Российским сайтам запретили авторизацию через Google и Apple. Кого коснутся новые штрафы и как их избежать
Что изменилось и почему о запрете заговорили только сейчас?
Требования к авторизации пользователей были введены еще с 1 декабря 2023 года. Они закреплены в пункте 10 статьи 8 закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Однако более двух лет эти нормы фактически оставались без механизма принуждения. Многие компании не спешили отказываться от привычных кнопок «Войти через Google» или «Продолжить с Apple», поскольку наказания за это не было.
Ситуация изменилась после принятия Федерального закона № 199-ФЗ от 26 июня 2026 года. Документ вводит новую статью 13.55 КоАП РФ и устанавливает административную ответственность за нарушение правил авторизации. Закон вступает в силу 7 июля 2026 года.
Какие штрафы предусмотрены?
За использование неразрешенных способов входа будут штрафовать владельцев сайтов, приложений и других информационных ресурсов.
Размер штрафов составит:
— для граждан — от 10 тыс. до 20 тыс. руб.;
— для должностных лиц — от 30 тыс. до 50 тыс. руб.;
— для юридических лиц — от 500 тыс. до 700 тыс. руб.
При этом обычных пользователей новые нормы не затрагивают. Наказывать будут исключительно владельцев российских интернет-ресурсов.
Какие способы авторизации теперь разрешены?
Закон устанавливает закрытый перечень допустимых способов идентификации пользователей.
В него входят:
— российский номер мобильного телефона;
— учетная запись портала «Госуслуги» (ЕСИА);
— Единая биометрическая система (ЕБС);
— российские сервисы авторизации, соответствующие требованиям законодательства.
На практике речь идет прежде всего об аккаунтах «Яндекса», VK, Сбер ID и других российских системах.
Что теперь нельзя использовать
Под запрет попали иностранные сервисы, которые используются именно как механизм подтверждения личности пользователя.
Среди наиболее распространенных:
— Google ID;
— Apple ID;
— Microsoft Account;
— Facebook* Login;
— Yahoo и другие зарубежные системы авторизации.
Иными словами, сайт больше не должен предлагать пользователю кнопку «Войти через Google» или «Продолжить с Apple», если проверка учетной записи происходит на стороне иностранной платформы.
Даже если такой способ входа является дополнительным, а не основным, он все равно считается нарушением требований закона.
Значит ли это, что Gmail теперь запрещен?
Нет. Это один из самых важных нюансов нового регулирования.
Запрет касается именно сервиса авторизации, а не адреса электронной почты пользователя.
Россиянин по-прежнему может зарегистрироваться на сайте, указав адрес Gmail, Outlook или другой иностранной почтовой службы в качестве логина или контактного e-mail. Закон не содержит требований о том, какие именно почтовые адреса могут использоваться при регистрации.
Разъяснения об этом ранее публиковал РОЦИТ.
Например, если пользователь самостоятельно вводит свой адрес Gmail в регистрационной форме и создает пароль непосредственно на сайте, нарушения нет.
Нарушение возникает в другой ситуации — когда человек нажимает кнопку «Войти через Google», после чего сайт передает процедуру аутентификации зарубежному сервису и получает подтверждение личности от него.
Возможность регистрации с использованием иностранной почты остается добровольным решением самого сервиса. Закон не обязывает принимать адреса Gmail или Outlook, но и не запрещает этого делать.
Некоторые российские площадки уже отказались от регистрации через зарубежные почтовые домены в рамках собственной политики безопасности, но это не является обязательным требованием законодательства.
Нужно ли удалять старые аккаунты?
Нет. Закон не требует удалять учетные записи пользователей, которые были созданы через Google ID, Apple ID или другие иностранные сервисы до введения ограничений.
Владельцам сайтов необходимо лишь обеспечить пользователям альтернативные способы входа и постепенно перевести их на разрешенные механизмы авторизации.
Например, предложить привязать российский номер телефона, аккаунт на «Госуслугах» или отечественный сервис идентификации.
Блокировать существующие учетные записи необязательно.
Кого коснутся новые требования
Под действие закона подпадают российские владельцы сайтов, приложений, онлайн-сервисов и информационных систем, которые требуют обязательной регистрации или входа в личный кабинет.
Если весь контент ресурса доступен без авторизации, внедрять специальные механизмы идентификации пользователей не требуется.
Но если сайт предоставляет доступ к услугам, покупкам, личным кабинетам или закрытым разделам только после входа в систему, владельцам необходимо убедиться, что используются исключительно разрешенные законом способы авторизации.
Что стоит сделать владельцам сайтов до 7 июля
Юристы рекомендуют провести аудит всех способов входа на ресурсах.
Стоит проверить не только основные страницы авторизации, но и мобильные приложения, старые интерфейсы, сценарии восстановления пароля, интеграции с внешними сервисами и входы по ссылкам из электронных писем.
После этого необходимо отключить кнопки входа через Google, Apple и другие зарубежные платформы, удалить связанные API и OAuth-интеграции, а также заранее уведомить пользователей о предстоящих изменениях.
Именно после появления штрафов запрет, действующий с декабря 2023 года, фактически начинает работать в полном объеме.
* продукт компании Meta (признана экстремистской организацией и запрещена в РФ)
в Telegram канале