640
сайтов проверено сканером ScanBase
18
из них используют вход через иностранные сервисы (Google, Apple и т.п.) — и все под риском по новому закону
53
передают данные за рубеж через другие иностранные сервисы помимо аналитики
Данные по сайтам, проверенным в ScanBase (база 640, июнь 2026), не по всему рунету.
Штрафы до 700 000 ₽ за авторизацию через иностранные сервисы: что нужно сделать владельцам сайтов до вступления закона в силу
9 июня 2026 года Государственная Дума приняла во втором и третьем чтениях закон, вводящий административные штрафы за авторизацию пользователей на российских интернет-ресурсах через иностранные сервисы. Максимальный штраф для юридического лица — 700 000 ₽ за первичное нарушение, при повторном — до 1 400 000 ₽.
Под действие закона попадают все, у кого есть российский сайт, мобильное приложение или веб-сервис с функцией авторизации: кнопки «Войти через Google» или «Войти через Apple ID» теперь несут конкретный финансовый риск. Ниже — что запрещает закон, кого касается и пошаговый план приведения ресурса в соответствие.
Проверьте, использует ли ваш сайт иностранную авторизацию
ScanBase находит кнопки входа через Google, Apple и другие зарубежные OAuth — включая скрытые интеграции, оставшиеся в коде после удаления кнопок. Результат за 30 секунд, без регистрации.
Суть закона: что именно запрещено и какие штрафы грозят
Российские интернет-ресурсы обязаны предоставлять пользователям возможность авторизации только через разрешённые методы — номер телефона российского оператора и государственную систему идентификации ЕСИА («Госуслуги»). Использование иностранных OAuth-провайдеров в качестве единственного или основного способа входа является нарушением.
Важный нюанс: закон не запрещает пользователям лично пользоваться иностранными сервисами. Ответственность несут исключительно владельцы российских ресурсов, предлагающие такой метод входа.
Таблица штрафов
| Категория нарушителя | Первичное нарушение | Повторное нарушение |
|---|---|---|
| Гражданин (физлицо) | 10 000 — 20 000 ₽ | 20 000 — 40 000 ₽ |
| Должностное лицо / ИП | 30 000 — 50 000 ₽ | 50 000 — 100 000 ₽ |
| Юридическое лицо | до 700 000 ₽ | до 1 400 000 ₽ |
Тем же законом вводится отдельная ответственность за нарушения при использовании рекомендательных алгоритмов — это отдельный состав со своими штрафами, не связанный с авторизацией.
Кого касается закон — проверьте за 5 минут
Под требования подпадает любой ресурс, у которого одновременно выполняются три условия: работает на российскую аудиторию, имеет систему авторизации и предлагает вход через иностранный OAuth-провайдер.
Выполнено: 0/5
- ✓На странице входа есть кнопки авторизации через зарубежные сервисы (Google, Apple и др.)?
- ✓Иностранная почта принимается как логин при регистрации без альтернатив?
- ✓Иностранный OAuth — единственный или основной способ входа?
- ✓Ресурс ориентирован на российских пользователей (домен .ru/.рф или русскоязычный контент)?
- ✓Мобильное приложение использует те же методы авторизации, что и веб-версия?
Разрешённые методы авторизации
| Метод | Сложность внедрения | Стоимость | Соответствие закону |
|---|---|---|---|
| SMS OTP (российский оператор) | Средняя | Платно (1–3 ₽/SMS) | ✅ Да |
| ЕСИА / Госуслуги | Средняя | Бесплатно | ✅ Да |
| Собственная БД (email + пароль) | Низкая | Бесплатно | ⚠️ Частично |
| Иностранный OAuth (Google, Apple и др.) | — | — | ❌ Нет |
SMS OTP — пользователь вводит российский номер и получает код. Интеграция с российским SMS-агрегатором занимает 1–2 недели разработки. ЕСИА подключается через Минцифры России бесплатно; внедрение на типовом сайте — 2–4 недели backend-разработки. Документация доступна на портале gosuslugi.ru. Регистрация по email технически допустима, если email используется как логин, а не как OAuth-провайдер, — но это серая зона, которую лучше устранить до появления официальных разъяснений.
Пошаговый план: привести сайт в соответствие
Зафиксируйте все точки входа: веб-сайт, мобильное приложение, публичный API. Выявите все активные OAuth-провайдеры. Оцените долю пользователей, использующих каждый метод — это поможет спланировать миграцию. Инструменты технического аудита страниц на scanbase.ru помогают обнаружить устаревшие интеграции, которые остались в коде, но скрыты визуально.
Выберите SMS OTP или ЕСИА — либо оба. Для SMS: выберите российского агрегатора, интегрируйте API, реализуйте форму ввода. Для ЕСИА: зарегистрируйтесь в системе межведомственного взаимодействия, получите доступ, внедрите OpenID Connect по документации. Параллельно удалите иностранные OAuth-кнопки из кода — скрытие визуально ответственности не снимает.
Аккаунты пользователей, зарегистрированных через Google или Apple ID, не удаляются. При следующем входе предложите им привязать номер телефона или ЕСИА. Не блокируйте немедленно старый метод, пока новый не привязан — это снижает риск потери базы и уменьшает нагрузку на поддержку.
Проверьте все сценарии: новый пользователь, существующий пользователь, восстановление доступа. Обновите политику конфиденциальности и пользовательское соглашение. Зафиксируйте дату изменений — это доказательство добросовестности при возможной проверке.
Типичные ошибки при переходе
«Мы маленькие — нас не заметят». Штраф для физлица-владельца сайта — 10 000–20 000 ₽. Жалобу может подать любой пользователь или конкурент, что инициирует проверку ресурса любого размера.
Убрать кнопку, не убрав интеграцию. Если OAuth-провайдер остался в коде, но скрыт визуально, это не снимает ответственности. Требуется полная деинтеграция.
Забыть про мобильное приложение. Требования распространяются на iOS- и Android-приложения так же, как на веб. Проверьте оба канала отдельно.
Игнорировать авторизацию через API. Если у ресурса есть публичный API с авторизацией — он также может попадать под требования закона.
Частые вопросы
Закон принят Госдумой 9 июня 2026 года во втором и третьем чтениях. Точная дата вступления в силу определяется после официального опубликования в «Российской газете» или на портале правовой информации. Официально объявленного переходного периода в тексте закона не установлено. Рекомендуем не ждать — внедрение альтернативной авторизации занимает от 2 до 6 недель.
По текущей редакции закона требование — обеспечить авторизацию через разрешённые методы. Сохранение иностранного OAuth как дополнительного варианта остаётся серой зоной до появления официальных разъяснений регулятора. Безопаснее полностью убрать иностранный OAuth до получения таких разъяснений.
Их аккаунты не удаляются. Вам нужно реализовать механизм привязки нового метода входа (телефон или ЕСИА) к существующему аккаунту. При следующем визите предложите пользователю привязать номер телефона — это стандартная практика «мягкой миграции».
Регистрация и подключение к ЕСИА для коммерческих организаций производится через Минцифры России. Стоимость самой интеграции — бесплатно, платите только за разработку. По оценкам, внедрение ЕСИА на типовом сайте занимает 2–4 недели работы backend-разработчика. Техническая документация доступна на gosuslugi.ru.
Основной надзорный орган в сфере интернета — Роскомнадзор. Механизм проверок формируется: ожидаются как плановые проверки крупных ресурсов, так и реакция на жалобы пользователей. Следите за разъяснениями на сайте rkn.gov.ru.
Новый закон — не повод для паники, а чёткое техническое задание. Разрешённые инструменты (SMS OTP, ЕСИА) существуют, алгоритм действий понятен. Чем раньше начнёте — тем меньше риск получить штраф в переходный период, пока правоприменительная практика ещё формируется.
Проверьте методы авторизации на вашем сайте прямо сейчас
Scanbase обнаруживает устаревшие и скрытые OAuth-интеграции, которые остаются в коде после удаления кнопок. Аудит занимает меньше минуты.
Запустить проверку →
Эксперт по соответствию сайтов 152-ФЗ. Пишет о практике защиты персональных данных, требованиях Роскомнадзора и технической стороне закона.