Авторизация пользователей на сайте в 2026 году: разрешенные способы входа и штрафы

Российский владелец сайта должен авторизовывать пользователей из России по номеру телефона, через Госуслуги, Единую биометрическую систему или российскую информационную систему. Вход исключительно через Google, Apple ID, Microsoft и другой иностранный сервис требованиям закона не соответствует. Специальный штраф до 700 000 рублей уже принят Госдумой, но на 17 июня 2026 года еще не вступил в силу.

На какие сайты распространяются требования

Правила действуют не для любого сайта в интернете. Одновременно должны выполняться несколько условий.

Владельцем ресурса является российское юридическое лицо либо гражданин России. Он ведет деятельность в интернете на территории страны, а доступ к размещенной информации предоставляется после авторизации пользователя.

Под требования могут попасть:

• интернет-магазины с личными кабинетами;
• образовательные платформы;
• форумы и социальные сервисы;
• мобильные приложения;
• сервисы бронирования и заказа услуг;
• корпоративные облачные системы;
• сайты с платным или закрытым контентом.

Если посетитель читает общедоступную статью без регистрации, авторизации не происходит. Однако правило начинает применяться к личному кабинету, истории заказов, закрытым материалам и другим разделам после входа.

Какие способы авторизации разрешены

Закон предусматривает четыре варианта.

Первый способ - вход с использованием абонентского номера оператора мобильной связи. Пользователь вводит телефон и подтверждает его кодом из СМС либо другим предусмотренным способом.

Второй вариант - ЕСИА, то есть вход через подтвержденную учетную запись Госуслуг. Такой способ особенно удобен, когда сайту необходимо достоверно установить личность человека.

Третий вариант - Единая биометрическая система. Ее используют только при наличии технической и правовой необходимости обрабатывать биометрические данные.

Четвертый способ - другая система авторизации, которая принадлежит российскому гражданину без иностранного гражданства либо российскому юридическому лицу под российским контролем. Система должна соответствовать требованиям защиты информации.

К последней группе могут относиться российские ID-сервисы и собственная система сайта. Перед подключением внешнего поставщика запросите сведения о владельце, стране регистрации и структуре контроля.

Можно ли использовать собственный логин и пароль

По буквальному тексту закона сайт может использовать собственную информационную систему авторизации. Ее владельцем должна быть российская компания либо подходящий российский гражданин.

Например, интернет-магазин самостоятельно хранит учетные записи и проверяет логин с паролем на своем сервере. Такая модель может соответствовать четвертому разрешенному способу, если обеспечена необходимая защита информации.

Недостаточно просто назвать форму «собственной системой». Нужно определить администратора базы, правила выдачи доступа, хранение паролей, восстановление аккаунта и порядок блокировки.

Пароли нельзя хранить в открытом виде. Следует применять стойкое хеширование, защищенное соединение, ограничение попыток входа и журналирование подозрительных действий.

Разрешен ли вход по электронной почте

Сам адрес электронной почты прямо не исключен из закона. Важно, какая информационная система проверяет пользователя.

Если человек вводит email как логин, а пароль проверяет собственная российская система сайта, такой вариант можно обосновывать как использование иной разрешенной информационной системы.

Другая ситуация - кнопка «Войти через Google». Тогда проверку проводит иностранная система Google, а сайт получает готовый результат авторизации. Для пользователя, находящегося в России, такой способ не соответствует установленному перечню.

Наиболее безопасный вариант - использовать email только как идентификатор, средство связи или восстановления доступа. Основную регистрацию и подтверждение аккаунта лучше проводить через российский номер телефона или российский ID-сервис.

Официальная практика по использованию иностранного почтового адреса в качестве простого логина пока остается ограниченной. Поэтому не стоит делать Gmail единственным способом регистрации российских пользователей.

Можно ли оставить Google, Apple ID и другие иностранные сервисы

Кнопки Google, Apple ID, Microsoft, Facebook и другие иностранные OAuth-сервисы для российских пользователей создают прямой риск нарушения. Владельцы таких систем не соответствуют требованию о российском гражданстве или российском контроле.

Проблема возникает именно при использовании иностранной системы для подтверждения личности и предоставления доступа. Обычная ссылка на иностранный сайт, вставленная в статью, авторизацией не является.

В мобильном приложении нужно проверить не только главный экран. Иностранный вход может сохраниться:

• в старой версии приложения;
• в форме восстановления аккаунта;
• в тестовой сборке;
• во встроенном браузере;
• в стороннем SDK;
• на поддомене или отдельной странице оплаты.

Если магазин приложений требует добавить авторизацию через аккаунт Apple рядом с социальными логинами, следует перестроить схему. Например, оставить номер телефона и собственную форму входа без других социальных кнопок.

Можно ли оставить иностранный вход для пользователей за рубежом

Требование сформулировано в отношении пользователей, находящихся на территории России. Поэтому для зарубежной аудитории теоретически можно использовать отдельный набор способов авторизации.

Но одного переключателя языка недостаточно. Пользователь с русским интерфейсом может находиться за границей, а иностранный гражданин - в России.

Если компания сохраняет разные схемы, нужно документировать способ определения местонахождения и учитывать VPN. Более безопасно отключить иностранные OAuth-сервисы на российском ресурсе полностью либо вынести зарубежный сервис в отдельную инфраструктуру.

Что делать с существующими аккаунтами

Удалять старые личные кабинеты не требуется. Пользователям нужно предоставить возможность привязать разрешенный способ входа.

Подготовьте переходный сценарий:

1. Пользователь входит прежним способом.
2. Система предлагает подтвердить российский номер или подключить российский ID.
3. Заказы, файлы и подписки переносятся в обновленную учетную запись.
4. После завершения миграции иностранный способ отключается.
5. Пользователь получает уведомление об изменениях.

Нельзя требовать повторно оплатить доступ или лишать человека приобретенного контента только из-за технической миграции. Спор о сохранении заказов и подписки может перерасти в потребительскую претензию.

Обновите пользовательское соглашение и политику обработки данных. В документах следует перечислить применяемые способы регистрации, категории данных и сроки их хранения.

Авторизация и персональные данные

Номер телефона, email, идентификатор аккаунта, IP-адрес и история входов могут относиться к персональным данным. Поэтому одной технической настройки формы недостаточно.

Владелец сайта должен определить цель обработки и правовое основание. Данные нельзя собирать «на всякий случай» или хранить бессрочно.

Если обработка основана на согласии, с 1 сентября 2025 года оно оформляется отдельно от пользовательского соглашения, оферты и других подтверждаемых документов. Требования подробнее разобраны в статье о согласии на обработку персональных данных.

Нужно ли уведомлять Роскомнадзор

Большинство владельцев сайтов с личными кабинетами являются операторами персональных данных. До начала обработки им нужно проверить обязанность направить уведомление в Роскомнадзор.

Регистрация аккаунта редко попадает в узкие исключения из уведомительного порядка. Если сайт уже работает, но уведомление не направлялось, нарушение лучше устранить как можно скорее.

Порядок уведомления и исключения закреплены в статье 22 Закона о персональных данных.

За отсутствие обязательного уведомления организации грозит штраф от 100 000 до 300 000 рублей. Этот состав уже действует и не зависит от будущего специального штрафа за иностранную авторизацию.

Какие новые штрафы предусмотрены в 2026 году

9 июня 2026 года Госдума приняла законопроект с новой статьей 13.55 КоАП РФ. Она устанавливает ответственность владельца ресурса за использование неразрешенного способа авторизации.

По принятому тексту размеры составят:

• для граждан - от 10 000 до 20 000 рублей;
• для должностных лиц - от 30 000 до 50 000 рублей;
• для юридических лиц - от 500 000 до 700 000 рублей.

На 17 июня 2026 года эти специальные штрафы еще не действуют. Законопроект прошел Госдуму, но не был официально опубликован как вступивший в силу федеральный закон.

После официального опубликования поправки должны заработать через установленный период. Поэтому владельцу сайта не стоит ждать первого постановления - сама обязанность использовать разрешенные способы существует с декабря 2023 года.

В некоторых публикациях упоминается повторный штраф до 1,4 млн рублей. По принятому Госдумой тексту повышенная ответственность за повторность относится к нарушениям при использовании рекомендательных технологий, а не к статье об авторизации.

Кто отвечает за нарушение

Ответственность возлагается на владельца информационного ресурса. Обычного пользователя не штрафуют за нажатие кнопки Google или Apple ID.

Если сайт принадлежит ООО, основное взыскание назначается юридическому лицу. Одновременно может решаться вопрос об ответственности сотрудника, на которого возложены соответствующие обязанности.

Назначьте человека, контролирующего регистрацию пользователей, работу подрядчиков и безопасность личного кабинета. Для этого подойдет приказ о назначении ответственного за обработку персональных данных.

В приказе можно предусмотреть аудит всех форм входа, отключение иностранных сервисов, перенос аккаунтов, тестирование и сроки исполнения.

Как провести аудит авторизации

Составьте карту всех точек входа. Учитывайте основной сайт, поддомены, мобильные приложения, партнерские кабинеты и административные панели.

Для каждого способа укажите:

• кто владеет системой авторизации;
• в какой стране зарегистрирован поставщик;
• какие данные передаются;
• где они хранятся;
• на каком основании обрабатываются;
• доступен ли способ пользователю из России;
• как удаляется или блокируется аккаунт.

Проверьте договоры с разработчиком и облачным провайдером. Если иностранный SDK продолжает проверять токены, удаление видимой кнопки проблему не решает.

Результаты проверки можно оформить приказом о контроле за соблюдением законодательства о персональных данных.

Что делать после жалобы пользователя

Запросите у технического специалиста журналы входа, настройки провайдера и версию интерфейса. Зафиксируйте, какой способ был доступен пользователю в конкретную дату.

Если нарушение подтвердилось, отключите иностранный вход и сохраните акт выполненных работ. Пользователям предложите безопасную миграцию аккаунтов.

При незаконной обработке данных человек может направить владельцу требование, а затем жалобу в Роскомнадзор. Для спора о конкретных сведениях подойдет жалоба на обработку персональных данных.

Если при авторизации произошла утечка, необходимо отдельно выполнить обязанности по реагированию и уведомлению регулятора. Практический порядок рассмотрен в статье об утечке персональных данных и штрафах.

Частые ошибки владельцев сайтов

Первая ошибка - оставить российский способ входа рядом с Google и считать требование выполненным. Для пользователя из России иностранная кнопка продолжает оставаться неразрешенным способом.

Вторая ошибка - отключить кнопку только на сайте, но сохранить ее в приложении или старой версии API.

Третья ошибка - считать email самостоятельным нарушением. Риск зависит от владельца системы, которая проверяет учетные данные, а не только от домена почтового адреса.

Практический порядок действий

1. Определите владельца сайта, приложения и системы входа.
2. Найдите все точки регистрации и авторизации.
3. Отключите Google, Apple ID и другие иностранные OAuth-сервисы для пользователей из России.
4. Внедрите номер телефона, ЕСИА или российскую систему.
5. Перенесите существующие аккаунты без потери данных.
6. Обновите пользовательские документы и отдельное согласие.
7. Проверьте уведомление Роскомнадзора.
8. Назначьте ответственного сотрудника.
9. Проведите техническое тестирование и оформите результаты актом.
10. Следите за официальным опубликованием новых штрафов.

FAQ: авторизация пользователей на сайте в 2026 году

Можно ли оставить вход через Google вместе с российским номером?

Для пользователей, находящихся в России, безопаснее удалить иностранный вариант. Наличие рядом разрешенной кнопки не делает авторизацию через Google законной.

Разрешен ли вход по логину и паролю?

Да, если проверку выполняет собственная или другая российская система, отвечающая требованиям защиты информации.

Можно ли использовать адрес Gmail как логин?

Сам адрес может использоваться как идентификатор. Но вход через учетную запись Google является использованием иностранной системы и создает нарушение.

Распространяется ли правило на сайт без личного кабинета?

Нет, если посетителям не требуется авторизация для получения информации. Форма обратной связи регулируется персональными данными, но не является входом в аккаунт.

Действует ли уже штраф 700 000 рублей?

На 17 июня 2026 года специальный штраф еще не вступил в силу. Законопроект принят Госдумой, поэтому владельцам ресурсов нужно подготовиться заранее.