Штрафы за авторизацию через Google / Apple ID: что произошло и что делать бизнесу
В Госдуму внесён законопроект, который меняет правила аутентификации на сайтах, доступных пользователям из России. Мы разобрали документ и подготовили краткое резюме для предпринимателей, директоров и digital-команд.
Привет, герой бизнеса!
В Госдуму внесён законопроект, который вводит административную ответственность: штрафы для владельцев российских ресурсов за несоблюдение требований к авторизации пользователей; максимальная сумма для юридических лиц упоминается до 700 000 ₽. Текст документа размещен в электронной базе. (Источник РБК).
В действующей и предлагаемой практике авторизация на ресурсах, доступных пользователям на территории РФ, должна проводиться через: номер мобильного телефона, ЕСИА / ЕБС или российские сервисы авторизации; вход через зарубежные ID (Google, Apple и т.п.) попадает под запрет/ограничение.
Официально подчеркивается: инициатива направлена на владельцев сервисов (штрафы ложатся на них), а не на обычных пользователей, хотя последствия для пользователей возможны (удобство, переходы). (Источник: Интерфакс).
Закон и требования к аутентификации пользователей из РФ
Согласно федеральному закону об информации, если доступ к содержимому сайта предоставляется только пользователям, прошедшим авторизацию, владельцы интернет-ресурсов обязаны обеспечивать аутентификацию граждан РФ с использованием:
номера мобильного телефона;
единой системы идентификации и аутентификации (ЕСИА);
единой биометрической системы (ЕБС);
либо через сервис авторизации, владельцем которого является гражданин России без иного гражданства.
Важно понимать, что в законодательстве термин «авторизация» используется в широкой формулировке, однако закон регулирует именно аутентификацию и идентификацию пользователей, то есть способы подтверждения личности пользователя, а не распределение прав доступа внутри системы.
Аутентификация — процесс проверки того, что конкретный пользователь действительно является владельцем аккаунта (вход в систему). На практике это реализуется через:
пароли и одноразовые SMS-коды;
OAuth‑вход через сторонние сервисы (Google, Apple, ВКонтакте);
SSO‑решения и ЕСИА.
Для регуляторов ключевым является способ аутентификации: каким методом сайт подтверждает личность пользователя.
Новые требования касаются именно методов входа: иностранные идентификаторы (Google, Apple) становятся под запретом, тогда как отечественные способы подтверждения личности разрешены и обязательны для соблюдения законодательства.
Кому необходима авторизация
Авторизация используется везде, где требуется разграничение доступа:
Интернет-магазины: история заказов, статусы, бонусы.CRM-системы: менеджерам видна только их часть данных.
Онлайн-банки и финтех-сервисы: важно, чтобы пользователь мог работать только со своими данными.
Госуслуги, школы, медучреждения: доступ к персональной информации.
Промышленные и B2B-порталы: прайс-листы, спецификации, конфигурации продукции.
Фактически любая система, где есть личные данные, коммерческие сведения или внутренние процессы, обязана использовать авторизацию.
Кого коснутся изменения?
Владельцы сайтов, интернет-сервисов и мобильных приложений, зарегистрированные как российские ресурсы и предоставляющие доступ пользователям, находящимся на территории РФ — основной объект регулирования.
Интернет-магазины, маркетплейсы, платформы с личными кабинетами, сервисы с платным доступом, где авторизация важна для покупки/подписок/персонализации.
Сервисы с алгоритмами рекомендаций и персонализации: законопроект также ужесточает требования к прозрачности рекомендательных систем; нарушения могут повлечь отдельные санкции.
Пользователи: формально штрафы предусмотрены для владельцев ресурсов и должностных лиц; рядовые пользователи, по заявлениям парламентариев, штрафоваться не будут, но их изменения затронут косвенно (потеря привычного входа, необходимость привязки телефона и т.п.).
Резюме: что запрещено и что разрешено
Запрещено / под угрозой штрафов:
Предоставлять пользователям в России возможность входа/регистрации через иностранные идентификаторы (Google ID, Apple ID и аналогичные), если иное не предусмотрено законом/переходными правилами.
Разрешено / рекомендуется:
Авторизация через номер мобильного телефона (SMS/One-Time-Code / PUSH), при условии соблюдения безопасности и требований к персональным данным.
Авторизация через ЕСИА / Единая биометрическая система (ЕБС) и иные российские системы идентификации, либо через информационные системы, владельцем которых является гражданин РФ или российское юрлицо.
Главный вывод простой: в России можно использовать любые способы авторизации, если у пользователя есть однозначная, подтверждённая привязка к его личности: номер телефона и данные паспорта.
Роман Федосов
Основатель и генеральный директор веб-интегратора «Компот»
Что нужно проверить владельцам сайтов и сервисов
Практические сценарии миграции пользователей
Если у пользователя есть e-mail в профиле: при следующем входе по Google/Apple ID предложить привязать email и установить пароль или подтвердить через SMS.
Если есть только Google/Apple ID: при следующем входе показывать модальное окно с пояснением → запрос номера телефона → отправка OTP (одноразовый пароль / код) → сохранение нового способа входа.
Если пользователь откажется: предусмотреть временный доступ на ограниченные операции и напомнить позже.
Для VIP клиентов: персональная коммуникация и поддержка через менеджера.
Итог
Законопроект даёт серьёзный сигнал рынку. Если у вашего проекта есть вход через Google/Apple ID — это становится потенциальным риском.
Рекомендуем действовать по плану: аудит → юридическая оценка → техническая миграция → коммуникация с пользователями.
Как мы можем помочь?
Веб-интегратор «Компот» может помочь с аудитом, разработкой UX-сценариев миграции и технической реализацией.
Просто о сложном
Неделя рекламы 
Новости 
Кейсы 
How to 
Интервью и дискуссии 
Маркетинговые исследования 
Энциклопедия обмана 
Проверено ADPASS 
Рекламные кампании