Новые штрафы за утечки ПДн в 2026 году: до 20 млн руб., оборотные санкции и риски шантажа

С 30 мая 2025 года вступили в силу поправки Федерального закона № 420-ФЗ от 30.11.2024 к ст. 13.11 КоАП РФ. Штрафы за утечки персональных данных (ПДн) стали существенно жёстче: они зависят от масштаба инцидента, а повторные нарушения грозят оборотными санкциями до 1–3 % годовой выручки.

Эксперты рынка отмечают, что новые суммы создали для злоумышленников дополнительный рычаг давления. Хакеры всё чаще рассматривают возможность не просто слить или продать базу, а предложить компании «тихое решение» за выкуп — без уведомления Роскомнадзора и публичного разглашения.

Пока публичных подтверждённых случаев именно такой схемы шантажа с прямой привязкой к новым штрафам не зафиксировано. Однако риск объективно растёт: чем выше «прайс-лист» от государства, тем выгоднее для атакующих превращать утечку в инструмент вымогательства.

Что считается персональными данными в 2026 году

Согласно ст. 3 Федерального закона № 152-ФЗ (в действующей редакции) персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Определение остаётся широким и не претерпело существенных изменений после 2025 года.

Данные становятся ПДн, если по ним (самостоятельно или в сочетании с другими сведениями) можно идентифицировать человека. Суды и Роскомнадзор трактуют норму расширительно.

Типичные примеры (на основе практики 2025–2026 гг.):

1. Является ПДн: ФИО + телефон / email / адрес / СНИЛС / ИНН, паспортные данные, биометрия (лицо, голос, отпечатки), IP-адрес + геолокация + история действий, cookie при авторизации.
2. Не является ПДн: одиночное имя без привязки, полностью обезличенные агрегированные показатели (пример - «30 % пользователей из Москвы»).

В 2026 году особое внимание уделяется биометрии и специальным категориям (здоровье, религия, судимость) — к ним применяются повышенные штрафы.

Новые штрафы: что изменилось с 30 мая 2025 года

Ключевые составы правонарушений (ст. 13.11 КоАП РФ):

1. Неуведомление Роскомнадзора об утечке в 24 часа — 1–3 млн руб. для юридических лиц.
2. Утечка от 1 000 до 10 000 субъектов — 3–5 млн руб.
3. Утечка от 10 000 до 100 000 субъектов — 5–10 млн руб.
4. Утечка более 100 000 субъектов — 10–15 млн руб.
5. Утечка биометрических или специальных категорий ПДн — до 15–20 млн руб.
6. Повторные утечки — 1–3 % годовой выручки (минимум 20–25 млн руб., максимум 500 млн руб.).

В 2025 году по новым нормам вынесено всего 6 административных штрафов (данные из открытых источников). Максимальная сумма — 150 тыс. руб. (РЖД и «Почта России»). Общая сумма по всем шести делам — около 570 тыс. руб. Многие дела ещё рассматривались по старым правилам.

В 2026 году эксперты ожидают резкого роста как количества, так и сумм штрафов. Суды начали активно применять оборотные санкции. При этом наличие доказательств «должной заботы» (регулярные аудиты, пентесты, оперативное уведомление, Incident Response Plan) позволяет существенно снизить размер санкций — иногда в 2–5 раз.

Шантаж как инструмент давления: почему риск растёт

Новые штрафы создали для злоумышленников понятный «прайс-лист». Эксперты ИБ отмечают переход части групп от публичных сливов и продажи баз на даркнете к модели «двойного вымогательства»: украсть данные + предложить выкуп за неразглашение инцидента регулятору.

Прогнозы на 2026 год однозначны: чем выше потенциальные санкции и чем активнее тема освещается в СМИ, тем привлекательнее для хакеров именно этот сценарий. Особенно уязвимы средний и крупный бизнес, а также компании с неидеальной защитой.

Публичная картина и возможные модели поведения компаний

На март 2026 года публичных подтвержденных прецедентов шантажа именно по схеме «выкуп за молчание перед Роскомнадзором» с привязкой к новым штрафам не зафиксировано. Большинство компаний предпочитают решать инциденты без огласки, чтобы избежать дополнительных проверок, репутационных потерь и вторичных атак.

Эксперты из АВБ Форт рекомендуют следующий подход:

1. Не платить выкуп (это не гарантирует удаление данных и не снимает ответственность перед регулятором).
2. Оперативно уведомить Роскомнадзор.
3. Провести полноценное forensic-расследование с фиксацией всех доказательств.
4. Представить в суде документы, подтверждающие «должную заботу» (совокупность мер направленные на предотвращение инцидента.

Практическая стратегия защиты для бизнеса в 2026 году

Чтобы минимизировать риски штрафов и шантажа, эксперты ИБ советуют сосредоточиться на следующих направлениях:

1. Оперативное реагирование Уведомление Роскомнадзора в течение 24 часов и внутреннее расследование за 72 часа.
2. Технические и организационные меры Регулярные пентесты и аудиты защищённости (минимум раз в год), актуальные политики обработки ПДн, договоры с подрядчиками с чётким распределением ответственности.
3. Incident Response Plan Готовый план реагирования на инциденты с ролями, шаблонами и ежеквартальными тестами.
4. Повышение осведомлённости сотрудников По оценкам экспертов рынка, 70–85 % утечек происходят именно по человеческому фактору (фишинг, ИИ-чат-боты, ошибки конфигурации). Переход от наказаний к мотивации (регулярное короткое обучение + бонусы за знания) даёт заметный эффект уже в первые месяцы.
   
   Одним из практических решений становится использование интерактивного КиберФОРТ бота — инструмента для обучения широкого круга сотрудников (не только ИБ-специалистов). Бот предлагает короткие курсы (5–10 минут) в Месенджерах с тестами, реальными сценариями угроз и ежедневными микро-уроками. За прохождение начисляются баллы, которые можно конвертировать в бонусы или подарки. Кроме того, предусмотрена соревновательная механика: лучшие сотрудники по итогам курсов получают дополнительную финансовую мотивацию. Такой подход превращает обучение из обязательной процедуры в интересную игру, значительно повышая вовлечённость и снижая риски, связанные с человеческим фактором.
5. Контроль критических точек Мониторинг использования ИИ-чат-ботов и облачных сервисов с корпоративными данными, сегментация сетей, двухфакторная аутентификация.

Выводы

Новые штрафы и потенциальный рост шантажа — это не повод для паники, а сигнал пересмотреть текущую систему защиты ПДн. Инвестиции в профилактику (аудиты, обучение сотрудников, готовность к инцидентам) в 2026 году окупаются значительно быстрее, чем возможные санкции и вымогательство.

С уважением,
Дмитрий Минорин
CMO проекта АВБ Форт