7 июля 2026 года
5 минут

Требования к авторизации пользователей: о чем говорит № 199-ФЗ и что делать владельцам интернет-ресурсов

Если на сайте, в приложении или сервисе есть личный кабинет, закрытый раздел или вход для клиента, стоит проверить, как устроена авторизация. С 7 июля 2026 года за нарушение правил входа пользователей появляются штрафы.

Под требования могут попадать интернет-магазины, онлайн-школы, сервисы записи, B2B-порталы, мобильные приложения и другие проекты, где пользователь из России входит в аккаунт и получает доступ к информации.

В статье простыми словами объясняется, какие ресурсы стоит проверить, какие способы входа разрешены, почему зарубежные сервисы авторизации создают риск и что сделать владельцу бизнеса, чтобы не получить штраф.

Редакция MIKHAILOV studio

В MIKHAILOV studio разрабатываем сайты, брендинг и коммуникационные материалы более 6 лет. За это время у нас накопилось 250+ проектов, работаем как с no-code, так и с полноценной front/back-разработкой.

Мы тщательно отслеживаем все нововведения, которые касаются сайтов. В 2025 году, например, усилились требования к сайтам со стороны Роскомнадзора, а в 2026 году возник закон о русификации и изменился порядок регистрации домена.

На эти темы мы тоже писали статьи: 



Публикуем живые кейсы, решения и ошибки, которые экономят бюджет

Подписаться в Telegram

Больше таких материалов — в нашем Telegram

Что меняется для владельцев интернет-ресурсов

Сама логика работы личного кабинета не меняется. Пользователь по-прежнему может входить в аккаунт, смотреть заказы, материалы, документы, историю оплат или другие данные. Меняется ответственность владельца ресурса за то, каким способом работает этот вход.

Сами правила авторизации появились раньше. Их ввел закон № 406-ФЗ от 31 июля 2023 года: он внес изменения в 149-ФЗ «Об информации, информационных технологиях и о защите информации» и ограничил способы авторизации пользователей на интернет-ресурсах. Эти положения начали действовать с 1 декабря 2023 года.

С этого момента авторизацию пользователей нужно проводить одним из установленных способов: по номеру мобильного телефона, через ЕСИА, через Единую биометрическую систему или через другую систему, которая соответствует требованиям защиты информации и имеет российского владельца.
Номер телефона — только если владелец ресурса заключил с оператором связи договор об идентификации. ЕСИА — это система, через которую работает вход с использованием аккаунта на «Госуслугах». Единая биометрическая система — способ идентификации и аутентификации через биометрию. А «другая система» должна соответствовать требованиям к защите информации, и ее владельцем должно быть российское юридическое лицо или гражданин России без другого гражданства.

Теперь к этому требованию добавили ответственность. Закон № 199-ФЗ вносит в КоАП новую статью 13.55, которая вступает в силу 7 июля 2026 года.
Она говорит о том, что если интернет-ресурс не использует один из разрешенных способов входа, его могут привлечь к ответственности в виде штрафа.

Кого касается закон, критерии и пограничные случаи

Изменения точно необходимо учитывать тем проектам, где есть авторизация и доступ к информации после входа, это черным по белому прописано в законе.
Главный критерий такой: пользователь из России заходит на сайт, в сервис или приложение и после входа получает доступ к информации. Это могут быть заказы, материалы курса, настройки профиля, история оплат, персональные условия или другой закрытый контент.

Есть и пограничные случаи. Форма заявки, подписка на рассылку или форма обратной связи сами по себе не равны авторизации. Но если после регистрации пользователь получает доступ к закрытым материалам или личным данным, такой сценарий уже стоит проверить.

Отдельно стоит посмотреть проекты на Tilda, WordPress, 1C-Битрикс и других CMS. Иногда личный кабинет, закрытая страница или вход через сторонний сервис подключены внутри платформы или через плагин, хотя владелец не воспринимает это как юридический риск.

Какие способы входа создают риск

Главный риск — оставить авторизацию через сервис, который не входит в перечень разрешенных способов. После изменений это касается не только явно сомнительных решений, но и привычных: «Войти через Google», «Войти через Apple», «Войти через Facebook» и других зарубежных аккаунтов.

По закону авторизацию можно проводить через информационную систему, которая соответствует требованиям к защите информации. При этом у такой системы должен быть российский владелец: юридическое лицо из России или гражданин РФ без другого гражданства.

Из-за этого зарубежные сервисы авторизации становятся проблемным вариантом. Google, Apple, Facebook и похожие платформы не подходят под условие про российского владельца системы, поэтому использовать их для входа пользователей становится невозможно.

Поэтому стоит проверить все варианты авторизации: кнопки соцсетей, старые плагины, модули входа, мобильное приложение и сторонние интеграции. Если вход идет через зарубежный сервис, его лучше заменить на способ, который прямо предусмотрен законом.

В MIKHAILOV studio мы берём на себя бриф и подготовку. Первый шаг — бесплатная консультация 20−30 минут

Что получите на старте:
  • выбор платформы
  • варианты реализации под задачу

Фёдор михайлов

Сделаем сайт без лишней бюрократии

основатель студии

Какие штрафы предусматривает № 199-ФЗ

До 2026 года требования к авторизации уже были в законе, но для бизнеса это часто выглядело как формальность. Теперь неправильная авторизация становится административным нарушением.

По статье 13.55 КоАП штрафы такие:
Для Граждан от 10 000 до 20 000 рублей
Для Должностных лиц от 30 000 до 50 000 рублей
Для Юридических лиц от 500 000 до 700 000 рублей

Для ООО основной риск — штраф на юридическое лицо. Это самая крупная сумма: от 500 000 до 700 000 рублей.

Для руководителя или ответственного сотрудника может появиться риск как для должностного лица.

Отдельного повышенного штрафа за повторное нарушение именно по статье 13.55 в законе не указано. Но даже первый штраф для юридического лица может быть существенным для малого и среднего бизнеса.

Чек-лист: как избежать штрафа по закону № 149-ФЗ

1. Выписать все способы входа
Необходимо посмотреть не только основную форму авторизации, но и дополнительные варианты: вход через соцсети, Google, Apple ID, старые плагины, мобильное приложение, закрытые страницы и сторонние сервисы.

2. Сверить текущую авторизацию с разрешенными способами
Закон допускает вход по номеру мобильного телефона, через ЕСИА, Единую биометрическую систему или другую информационную систему, которая соответствует требованиям к защите информации и имеет российского владельца.

3. Выбрать подходящие варианты
Не к каждому проекту обязательно подключать «Госуслуги». В зависимости от задачи может подойти авторизация по номеру телефона или другой разрешенный способ. Главное, чтобы выбранное решение соответствовало требованиям закона и было понятно пользователям.

4. Передать задачу специалистам
Владелец бизнеса не обязан сам разбираться в технической реализации, договорах с операторами и настройках интеграций. Может помочь разработчик, который понимает устройство проекта, и юрист, который проверит выбранный способ входа с точки зрения закона.

5. Привести ресурс в соответствие
Если есть вход через зарубежные сервисы или другие рискованные варианты, их необходимо убрать или заменить. После этого важно проверить, что старые способы входа не остались в настройках, плагинах или мобильном приложении.

6. Зафиксировать изменения
Стоит сохранить, какие способы авторизации были, что изменили, какой вариант оставили и кто отвечал за проверку. Это поможет показать, что требования не игнорировали и работу по приведению ресурса в порядок действительно провели.

Но это еще не все. Если на вашем сайте, в приложении или сервисе есть блоки вроде «вам может понравиться», «похожие товары», «рекомендуем для вас», персональные подборки или алгоритмы подбора, стоит прочитать эту статью.

С 7 июля 2026 года начнут штрафовать не только за неправильную авторизацию, но и за несоблюдение закона про персональные рекомендации, которые предусматривают сбор, систематизацию и хранение данных пользователя.

В статье также разбираем, что считается рекомендательными технологиями, за какие обязанности появилась ответственность у владельцев сайтов и какие штрафы предусмотрены за нарушения.

Вывод

Главное изменение в том, что требования к авторизации больше нельзя воспринимать как формальность. Сами правила появились раньше, а с 7 июля 2026 года за их нарушение вводятся штрафы.

Если на сайте, в приложении или сервисе есть вход для пользователя, необходимо проверить, каким способом он работает. Особое внимание стоит обратить на зарубежные сервисы авторизации, старые плагины, кнопки входа через соцсети и другие решения, которые когда-то подключили.

Самый простой путь — выписать все способы входа, сверить их с разрешенными вариантами и заменить рискованные решения. После этого лучше зафиксировать, какие изменения были внесены и кто отвечал за проверку.

Если своего юридического или технического отдела нет, безопаснее подключить специалистов: разработчика и юриста по IT. Так требования закона можно выполнить без хаотичных доработок и лишнего риска для бизнеса.

В MIKHAILOV studio мы берём на себя бриф и подготовку. Первый шаг — бесплатная консультация 20−30 минут

Что получите на старте:
  • выбор платформы
  • варианты реализации под задачу

Фёдор михайлов

Сделаем сайт без лишней бюрократии

основатель студии

смотреть также