Новый закон в России: штрафы до 700 000 ₽ за авторизацию через Google/Apple ID

Краткая выжимка: главное о новом законе

14 ноября 2025 года в Государственную Думу РФ внесен законопроект № 1069392-8, устанавливающий административную ответственность за использование иностранных сервисов авторизации пользователей на российских интернет-ресурсах.

Ключевые факты:

• Штрафы для юридических лиц: от 500 000 до 700 000 рублей
• Запрещены: Google ID, Apple ID и другие иностранные сервисы авторизации
• Разрешены: авторизация через номер телефона, Госуслуги (ЕСИА), российские сервисы
• Касается: владельцев сайтов, веб-сервисов, мобильных приложений — российских юридических лиц и граждан РФ
• Старые аккаунты: продолжат работать, закон обратной силы не имеет
• Требование: Требование использовать российские способы авторизации действует с 1 декабря 2023 года. Штрафы за нарушение вступят в силу после принятия и подписания законопроекта.

Что произошло: законопроект о штрафах за иностранную авторизацию

14 ноября 2025 года группа депутатов Государственной Думы РФ во главе с первым заместителем председателя комитета по информационной политике, информационным технологиям и связи Антоном Горелкиным внесла на рассмотрение законопроект о внесении изменений в Кодекс Российской Федерации об административных правонарушениях.

Законопроект вводит новую статью 13.53 КоАП РФ «Неисполнение обязанности по проведению авторизации пользователей при предоставлении доступа к информации» и статью 13.54, касающуюся применения рекомендательных технологий.

Важный контекст: Требование использовать только российские способы авторизации для пользователей из России действует уже с 1 декабря 2023 года согласно поправкам в Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите информации». Однако до сих пор не было предусмотрено административной ответственности за нарушение этого требования.

Теперь власти намерены ввести реальные санкции, чтобы стимулировать владельцев интернет-ресурсов соблюдать требования российского законодательства об идентификации пользователей.

Цели законопроекта

Согласно пояснительной записке к законопроекту, основные цели инициативы:

• Обеспечение цифрового суверенитета и снижение зависимости российского интернета от иностранных сервисов
• Защита персональных данных российских граждан
• Контроль идентификации пользователей на территории РФ

Кого касается новый закон об авторизации

Законопроект затрагивает строго определенный круг субъектов. Важно понимать: новые требования распространяются только на владельцев и операторов интернет-ресурсов, а не на обычных пользователей.

Кто обязан соблюдать требования

Согласно части 10 статьи 8 Федерального закона № 149-ФЗ, требования распространяются на:

Что именно подпадает под действие закона

Закон касается следующих типов интернет-ресурсов:

• Сайты и страницы сайтов в сети Интернет — любые веб-ресурсы с системой регистрации
• Информационные системы — онлайн-платформы, требующие создания аккаунта
• Программы для ЭВМ — мобильные и десктопные приложения с функцией входа
• Личные кабинеты — разделы сайтов, доступные после входа в систему

Важно! Требование применяется только к ресурсам, где доступ к информации предоставляется пользователям, прошедшим авторизацию. Если ваш сайт полностью открыт без регистрации — закон вас не касается.

Кого НЕ касается закон

• Обычных пользователей интернета — россияне могут продолжать пользоваться при авторизации любыми зарубежными почтовыми сервисами
• Иностранные компании без деятельности в РФ
• Публичные сайты без системы авторизации
• Мобильные приложения в App Store/Google Play (отдельные правила)

Какие способы авторизации запрещены в России

Законодательство четко определяет, какие методы идентификации пользователей нельзя использовать для авторизации российских граждан на территории РФ.

Список запрещенных сервисов авторизации

Запрещено использовать следующие иностранные сервисы:

• Google Identity / Google Sign-In — авторизация через аккаунт Google
• Apple ID / Sign in with Apple — вход через учетную запись Apple
• Facebook Login — авторизация через Facebook/Meta
• Twitter/X Authentication — вход через учетную запись X (бывший Twitter)
• Microsoft Account — авторизация через учетную запись Microsoft
• GitHub OAuth — вход через GitHub
• LinkedIn Sign In — авторизация через LinkedIn
• Amazon Login — вход через аккаунт Amazon
• Любые другие сервисы авторизации, принадлежащие иностранным компаниям

Что именно попадает под запрет

Важно понимать разницу между различными способами использования иностранных сервисов:

Комментарий эксперта Дмитрия Коноваленко, технический директор MWI: «Суть законопроекта — однозначная идентификация гражданина РФ через привязку к номеру телефона или паспорту. Адрес зарубежной почты можно использовать как логин, но только если аккаунт дополнительно привязан к российскому номеру телефона — например, через СМС-код при двухфакторной авторизации».

Типичные нарушения

Рассмотрим конкретные примеры того, что будет считаться нарушением:

1. Кнопка «Войти через Google» — классический пример OAuth-авторизации через иностранный сервис
2. «Зарегистрироваться через Apple ID» — использование сервиса Sign in with Apple
3. Обязательная регистрация через Gmail — когда невозможно создать аккаунт без зарубежного email
4. Единственный способ входа через Facebook — отсутствие альтернативных методов

Разрешенные способы авторизации по закону № 149-ФЗ

Законодательство четко определяет четыре категории разрешенных способов авторизации пользователей, находящихся на территории Российской Федерации.

1. Авторизация через номер мобильного телефона

Наиболее распространенный и простой способ. Пользователь вводит номер мобильного телефона российского оператора, получает СМС с кодом подтверждения и использует этот код для входа или регистрации.

Преимущества метода:

• Простота реализации для разработчиков
• Привычность для пользователей
• Высокая степень безопасности
• Однозначная идентификация через номер телефона
• Возможность использования двухфакторной аутентификации

Технические требования:

• Поддержка российских мобильных операторов (МТС, Билайн, МегаФон, Теле2 и др.)
• Использование SMS-шлюзов или специализированных сервисов
• Хранение номера телефона как основного идентификатора

2. Единая система идентификации и аутентификации (ЕСИА) — Госуслуги

Государственная система авторизации. Пользователи входят через свою учетную запись на портале Госуслуг, которая привязана к паспортным данным и СНИЛС.

Преимущества ЕСИА:

• Максимальный уровень доверия к идентификации
• Верифицированные личные данные пользователей
• Единая точка входа для государственных и коммерческих сервисов
• Соответствие всем требованиям законодательства РФ
• Бесплатное подключение для государственных информационных систем (так как ЕСИА бесплатна для государственных систем, но для коммерческих может быть платной в зависимости от объёма запросов)

Как подключить ЕСИА:

1. Зарегистрироваться в качестве информационной системы на портале Госуслуг
2. Получить доступ к API ЕСИА
3. Интегрировать OAuth 2.0 протокол в свою систему
4. Пройти тестирование и получить одобрение

3. Единая биометрическая система (ЕБС)

Система идентификации по биометрическим параметрам (лицо, голос), разработанная для дистанционной идентификации граждан при получении государственных и финансовых услуг.

Особенности использования:

• Высокая степень защиты от мошенничества
• Удобство для пользователей (не нужны пароли)
• Требуется предварительная регистрация биометрии в банке
• Подходит для финансовых и государственных сервисов

⚠️ ЕБС применяется ограниченно — в основном для финансовых и государственных услуг. Для большинства сайтов и приложений недоступна.

4. Российские сервисы авторизации

Авторизация через сервисы, принадлежащие российским компаниям и гражданам. Это могут быть существующие российские платформы или собственные системы авторизации.

Требования к владельцу сервиса авторизации:

• Гражданин Российской Федерации без иного гражданства, ИЛИ
• Российская организация, находящаяся под контролем РФ/субъекта РФ/муниципального образования/граждан РФ

Примеры разрешенных российских сервисов:

• VK ID — единая система авторизации от VK (бывший VK Connect)
• Яндекс ID — авторизация через учетную запись Яндекса
• ru ID — вход через учетную запись Mail.ru
• Telegram Login — только если обеспечена обязательная привязка к российскому номеру телефона (статус под вопросом из-за иностранной юрисдикции сервиса)
• Собственные системы авторизации компаний, отвечающие требованиям

Размеры штрафов по КоАП РФ: таблица санкций

Законопроект предусматривает введение двух новых статей в Кодекс об административных правонарушениях с существенными финансовыми санкциями.

Статья 13.53 КоАП РФ: штрафы за нарушение правил авторизации

Эта статья предусматривает ответственность за неисполнение обязанности по проведению авторизации пользователей установленными способами.

Максимальный штраф для компаний: 700 000 рублей — именно эта цифра фигурирует в заголовках СМИ и привлекла наибольшее внимание бизнеса.

Кто будет контролировать и назначать штрафы

Согласно законопроекту, составление протоколов об административных правонарушениях по статьям 13.53 и 13.54 будет осуществляться:

• Роскомнадзором — составление протоколов о нарушениях
• Судами — рассмотрение дел и назначение конкретного размера штрафа

Что будет со старыми аккаунтами пользователей

Один из самых частых вопросов от владельцев сайтов и пользователей: нужно ли будет удалять или перерегистрировать существующие аккаунты?

Главное: закон обратной силы не имеет

Все существующие аккаунты продолжат работать. Пользователи, которые зарегистрировались через Google ID, Apple ID или другие иностранные сервисы до вступления закона в силу, смогут продолжать пользоваться своими учетными записями.

Официальная позиция инициатора законопроекта

Антон Горелкин, первый зампред комитета по информационной политике Госдумы: «Закон обратной силы не имеет, это значит, что в случае его принятия и вступления в силу изменения коснутся только новых регистраций. Уже зарегистрированные аккаунты, привязанные к зарубежным сервисам электронной почты (имеется в виду OAuth-авторизация через Google ID, Apple ID и т.д.), продолжат работать, опасения на этот счет беспочвенны».

Что это означает на практике

Технические аспекты для владельцев сайтов

Владельцам интернет-ресурсов необходимо:

1. Отключить кнопки «Войти через Google/Apple» для новых регистраций
2. Сохранить доступ для существующих пользователей с OAuth-авторизацией
3. Добавить альтернативные способы входа (телефон, российские сервисы)
4. Предложить существующим пользователям добавить номер телефона как дополнительный способ входа
5. Информировать пользователей о изменениях через email или уведомления в сервисе

Рекомендация: Хотя закон не требует переноса старых аккаунтов, стоит постепенно переводить пользователей на российские способы авторизации — это упростит администрирование и снизит зависимость от иностранных сервисов.

Сценарии миграции для пользователей (добровольные)

Владельцы сайтов могут предложить пользователям добровольно перейти на новые способы авторизации:

• Привязка номера телефона — предложить добавить телефон как дополнительный способ входа
• Двухфакторная аутентификация — внедрить 2FA с обязательным номером телефона
• Мягкая миграция — показывать уведомления о преимуществах перехода на новый способ
• Стимулирование — предлагать бонусы или преимущества за добавление российского телефона

Как проверить свой сайт на соответствие требованиям

Владельцам интернет-ресурсов необходимо провести аудит своих систем авторизации, чтобы определить, требуются ли изменения.

Чек-лист проверки сайта

Пройдите по этому чек-листу для каждого вашего сайта, приложения или онлайн-сервиса:

Шаг 1: Определите применимость закона

1. Ваша компания зарегистрирована в России?
2. Вы — гражданин РФ, владеющий сайтом?
3. Ваш ресурс предоставляет услуги для пользователей в России?
4. На вашем сайте/в приложении есть система авторизации?
5. Контент доступен только после входа в аккаунт?

Если вы ответили «Да»

на вопросы 1-3 (хотя бы один)

и на вопросы 4-5 (оба)

— закон касается вас.

Шаг 2: Проверьте текущие способы авторизации

Войдите на ваш сайт/в приложение и посмотрите страницу регистрации/входа:

Шаг 3: Проверьте код и интеграции (для технических специалистов и разработчиков)

Если у вас есть доступ к коду сайта или приложения:

1. Поиск по коду: Найдите упоминания oauth.google.com, appleid.apple.com, graph.facebook.com
2. Проверьте SDK: Убедитесь, что не используются библиотеки Google Sign-In SDK, Sign in with Apple SDK
3. API ключи: Найдите Client ID для Google/Apple/Facebook OAuth
4. Redirect URLs: Проверьте настройки обратных ссылок после авторизации

Шаг 4: Проверьте мобильные приложения

Для мобильных приложений (iOS/Android):

• Откройте экран входа/регистрации
• Проверьте наличие кнопок «Войти через Google/Apple»
• Убедитесь, что есть альтернативные способы (телефон, российские сервисы)
• Проверьте код нативных модулей авторизации

Внимание для мобильных разработчиков: Apple может требовать наличие Sign in with Apple, если есть другие социальные логины. При удалении всех социальных логинов и оставлении только телефона/email это требование не применяется.

Пошаговая инструкция для владельцев сайтов и приложений

Подробное руководство по переходу на соответствие требованиям российского законодательства.

Этап 1: Аудит и планирование (1-2 недели)

1 Проведите полный аудит всех ресурсов

• Составьте список всех сайтов, приложений, сервисов компании
• Определите, какие из них имеют систему авторизации
• Зафиксируйте текущие способы входа/регистрации
• Оцените количество активных пользователей с OAuth-авторизацией

2 Оцените технические ресурсы

• Определите команду разработки (внутренняя/внешняя)
• Рассчитайте примерные сроки доработки
• Заложите бюджет на внедрение новых систем авторизации
• Выберите приоритетные ресурсы для первоочередного перехода

3 Выберите новые способы авторизации

Этап 2: Техническая реализация (2-6 недель)

4 Внедрите авторизацию по номеру телефона

Базовая реализация:

1. Выберите SMS-провайдера (Twilio, SMSC.ru, СМСЦентр, Devino Telecom)
2. Зарегистрируйтесь и получите API-ключи
3. Создайте UI для ввода номера телефона
4. Реализуйте отправку кода через SMS
5. Добавьте проверку кода и создание сессии
6. Настройте защиту от спама (rate limiting, капча)

Примерная стоимость SMS в России: 0,50 - 2,00 ₽ за сообщение в зависимости от провайдера и объемов.

5 Интегрируйте VK ID или Яндекс ID

Шаги интеграции VK ID:

1. Зарегистрируйте приложение на id.vk.com
2. Получите App ID и Secure Key
3. Добавьте VK Connect SDK в проект
4. Реализуйте кнопку "Войти через VK"
5. Обработайте OAuth callback
6. Сохраните данные пользователя

Аналогично для Яндекс ID через Яндекс.OAuth.

6 Подключите ЕСИА (при необходимости)

1. Зарегистрируйте информационную систему на esia.gosuslugi.ru
2. Получите сертификат ключа проверки электронной подписи
3. Настройте технологическое подключение
4. Пройдите тестирование в тестовой среде
5. Получите одобрение и доступ к production
6. Реализуйте OAuth 2.0 flow согласно документации ЕСИА

Этап 3: Миграция пользователей (ongoing)

7 Удалите кнопки иностранной авторизации для новых пользователей

• Скройте/удалите кнопки "Войти через Google/Apple/Facebook"
• Оставьте функционал OAuth для существующих пользователей (backend)
• Обновите документацию и FAQ

8 Предложите существующим пользователям добавить телефон

Стратегии мягкой миграции:

• Показывайте баннер с предложением добавить номер телефона
• Предлагайте бонусы за добавление альтернативного способа входа
• Внедрите обязательную 2FA с телефоном для критичных действий
• Отправьте email-рассылку с объяснением изменений

9 Информируйте пользователей

• Разместите уведомление на главной странице
• Обновите пользовательское соглашение
• Создайте FAQ-раздел о новых способах входа
• Настройте поддержку для вопросов по миграции

Этап 4: Тестирование и контроль (1-2 недели)

10 Проведите тестирование

• Регистрация нового пользователя через телефон
• Вход существующего пользователя (OAuth и новые способы)
• Восстановление доступа
• Двухфакторная аутентификация
• Производительность при отправке SMS
• Безопасность (брутфорс, rate limiting)

11 Мониторинг метрик

Отслеживайте следующие показатели:

• Конверсия регистрации (до и после изменений)
• Процент пользователей, добавивших телефон
• Количество обращений в поддержку
• Скорость доставки SMS-кодов
• Процент неудачных попыток авторизации

Этап 5: Юридическое оформление

12 Обновите документы

• Политику конфиденциальности
• Пользовательское соглашение
• Согласие на обработку персональных данных
• Внутренние регламенты безопасности

После завершения всех этапов ваш сайт/приложение будет полностью соответствовать требованиям российского законодательства об авторизации пользователей.

Технические решения для перехода на российскую авторизацию

Рассмотрим конкретные технические решения и примеры кода для различных платформ.

Решение 1: Авторизация по номеру телефона

Backend (Node.js / Express)

Пример реализации отправки SMS-кода:

const axios = require('axios');
async function sendSMSCode(phoneNumber) {
    const code = Math.floor(100000 + Math.random() * 900000);
   
    // Сохраняем код в Redis с TTL 5 минут
    await redis.setex(`sms:${phoneNumber}`, 300, code);
   
    // Отправка через SMS-провайдер
    await axios.post('https://api.smsc.ru/json/send/', {
        login: process.env.SMS_LOGIN,
        password: process.env.SMS_PASSWORD,
        phones: phoneNumber,
        mes: `Ваш код подтверждения: ${code}`
    });
   
    return { success: true };
}

Frontend (React)

function PhoneAuth() {
    const [phone, setPhone] = useState('');
    const [code, setCode] = useState('');
    const [step, setStep] = useState('phone'); // 'phone' или 'code'
   
    const sendCode = async () => {
        const response = await fetch('/api/auth/send-code', {
            method: 'POST',
            body: JSON.stringify({ phone }),
            headers: { 'Content-Type': 'application/json' }
        });
        if (response.ok) setStep('code');
    };
   
    const verifyCode = async () => {
        const response = await fetch('/api/auth/verify-code', {
            method: 'POST',
            body: JSON.stringify({ phone, code }),
            headers: { 'Content-Type': 'application/json' }
        });
        const data = await response.json();
        if (data.token) {
            localStorage.setItem('token', data.token);
            window.location.href = '/dashboard';
        }
    };
   
    return step === 'phone' ? (
        <div>
            <input value={phone} onChange={e => setPhone(e.target.value)} />
            <button onClick={sendCode}>Получить код</button>
        </div>
    ) : (
        <div>
            <input value={code} onChange={e => setCode(e.target.value)} />
            <button onClick={verifyCode}>Войти</button>
        </div>
    );
}

Решение 2: Интеграция VK ID

Подключение VK Connect SDK

<script src="https://unpkg.com/@vkid/sdk@latest/dist-sdk/umd/index.js"></script>
<script>
    VKID.Config.init({
        app: YOUR_APP_ID,
        redirectUrl: 'https://yoursite.ru/auth/vk/callback'
    });
   
    const oneTap = new VKID.OneTap();
   
    oneTap.render({
        container: document.getElementById('vk-auth-button'),
        showAlternativeLogin: true
    })
    .on(VKID.WidgetEvents.SUCCESS, (payload) => {
        // Отправляем токен на backend
        fetch('/api/auth/vk', {
            method: 'POST',
            body: JSON.stringify({ token: payload.token }),
            headers: { 'Content-Type': 'application/json' }
        });
    });
</script>

Решение 3: Интеграция ЕСИА (Госуслуги)

OAuth 2.0 flow для ЕСИА

// Генерация ссылки для авторизации

const esiaAuthUrl = `https://esia.gosuslugi.ru/aas/oauth2/ac?
    client_id=${CLIENT_ID}&
    client_secret=${CLIENT_SECRET}&
    redirect_uri=${REDIRECT_URI}&
    scope=openid fullname email mobile&
    response_type=code&
    state=${generateState()}`;
// Обработка callback
app.get('/auth/esia/callback', async (req, res) => {
    const { code } = req.query;
   
    // Обмен code на access_token
    const tokenResponse = await axios.post('https://esia.gosuslugi.ru/aas/oauth2/te', {
        grant_type: 'authorization_code',
        code: code,
        client_id: CLIENT_ID,
        client_secret: CLIENT_SECRET,
        redirect_uri: REDIRECT_URI
    });
   
    const accessToken = tokenResponse.data.access_token;
   
    // Получение данных пользователя
    const userResponse = await axios.get('https://esia.gosuslugi.ru/rs/prns/', {
        headers: { 'Authorization': `Bearer ${accessToken}` }
    });
   
    // Создание сессии
    req.session.user = userResponse.data;
    res.redirect('/dashboard');
});

Готовые библиотеки и SDK

SMS-провайдеры для России

Совет: Используйте два SMS-провайдера одновременно для резервирования. Если один не работает, автоматически переключайтесь на второй.

Мнение эксперта: Александр Апраксин о последствиях закона

Александр Апраксин — совладелец и генеральный директор digital-агентства MWI (ТОП-10 Рейтинга Рунета), — о том, как новый закон повлияет на бизнес.

«Новые штрафы — это попытка заставить бизнес выполнять требования, которые уже два года существуют на бумаге. Раньше закон был, но без санкций — поэтому многие компании продолжали использовать Google ID и Apple ID по инерции. Теперь игнорировать не получится.».

Влияние на бизнес

«Для крупного бизнеса переход не станет проблемой — большинство уже адаптировались или в процессе. Государственный сектор давно использует ЕСИА. А вот малому бизнесу и стартапам нужно действовать быстро. Штраф в 700 000 рублей для небольшой компании — это серьезный удар по бюджету».

Технические аспекты

«Технически это не ракетостроение. Авторизацию по телефону можно прикрутить за неделю-две, VK ID или Яндекс — ещё быстрее. Но главное — не откладывать на последний момент. Пока закон не принят, самое время сделать аудит своих ресурсов».

Рекомендации для владельцев сайтов

Что советует Александр Апраксин:

1. Проверьте все ресурсы прямо сейчас — сайты, приложения, веб-сервисы. Начните с проектов, где больше пользователей
2. Выбирайте простые решения — для большинства случаев хватит авторизации по телефону + VK ID
3. Не забывайте про мобильные приложения — многие концентрируются на сайтах и упускают iOS/Android
4. Готовьте пользователей заранее — объясните изменения и предложите добавить телефон ещё до вступления закона в силу

«Не драматизируйте ситуацию. Да, придётся потратить время на интеграции, но это не конец света. Российские сервисы авторизации работают отлично — VK ID и Яндекс ID по функциональности не хуже Google. Плюс вы получаете больше контроля над данными пользователей и снижаете зависимость от зарубежных платформ.»

Прогноз развития ситуации

«Скорее всего, закон примут в течение 3-6 месяцев. Первые штрафы от Роскомнадзора можно ждать уже в 2026 году. Компаниям, которые не успеют перестроиться, грозят не только финансовые санкции, но и репутационные риски. Поэтому главный совет: не ждите, пока закон заработает. Начинайте переделывать авторизацию сейчас.»

Типичные ошибки при переходе на российскую авторизацию

Рассмотрим самые распространенные ошибки владельцев сайтов при адаптации к новым требованиям и способы их избежать.

Ошибка 1: Полное удаление старых способов авторизации

Неправильно: Сразу удалить OAuth с Google/Apple для всех пользователей, включая существующих.

Правильно: Скрыть кнопки для новых регистраций, но оставить backend-функционал для существующих аккаунтов.

Почему это ошибка:

• Закон не имеет обратной силы — старые аккаунты могут продолжать работать
• Резкое изменение способа входа вызовет недовольство пользователей
• Высокий риск потери части аудитории

Правильное решение:

1. Удалите кнопки "Войти через Google/Apple" со страниц регистрации
2. Оставьте API-endpoint для OAuth, чтобы старые пользователи могли входить
3. Предложите существующим пользователям добавить номер телефона как альтернативу
4. Постепенно мигрируйте пользователей на новые способы

Ошибка 2: Отсутствие альтернативных способов входа

Неправильно: Оставить ТОЛЬКО авторизацию через Госуслуги (ЕСИА).

Правильно: Предложить несколько вариантов — телефон, VK ID, Яндекс ID, ЕСИА.

Почему это проблема:

• Не все пользователи имеют подтвержденный аккаунт на Госуслугах
• Некоторые не хотят использовать социальные сети для авторизации
• Снижается конверсия регистрации

Оптимальный набор:

• Номер телефона (обязательно) — универсальный способ
• VK ID или Яндекс ID — для тех, кто привык к социальным логинам
• ЕСИА — для государственных сервисов или B2G

Ошибка 3: Плохая защита от спама при SMS-авторизации

Проблема: Отсутствие защиты от злоупотреблений при отправке SMS-кодов.

Типичные атаки:

• Массовая отправка кодов на чужие номера (SMS-флуд)
• Перебор кодов подтверждения (брутфорс)
• Накрутка расходов на SMS

Обязательные меры защиты:

Ошибка 4: Игнорирование мобильных приложений

Проблема: Владельцы обновляют сайт, но забывают про мобильные приложения iOS/Android.

Почему это критично:

• Мобильные приложения тоже подпадают под действие закона
• Обновление приложений занимает время (ревью в сторах)
• Часть пользователей может не обновить приложение сразу

Правильный подход:

1. Параллельно обновляйте web и mobile версии
2. Подайте апдейт в App Store и Google Play заранее
3. Сохраните обратную совместимость API
4. Используйте force-update для критичных изменений

Ошибка 5: Недостаточное информирование пользователей

Проблема: Внезапное изменение способов входа без предупреждения пользователей.

Последствия:

• Массовые обращения в поддержку
• Негативные отзывы и комментарии
• Отток пользователей
• Репутационные риски

Как правильно коммуницировать изменения:

• За 2-4 недели до изменений: Email-рассылка с объяснением причин
• За 1 неделю: Баннер на сайте с напоминанием
• В день изменений: Попап с инструкцией по новому способу входа
• Первую неделю после: Усиленная поддержка пользователей
• Постоянно: Обновленный раздел FAQ

Ошибка 6: Отсутствие тестирования перед запуском

Проблема: Выкатка новой авторизации на production без полноценного тестирования.

Критичные сценарии для тестирования:

• Регистрация нового пользователя через все доступные способы
• Вход существующего пользователя (старый и новый способы)
• Восстановление доступа к аккаунту
• Добавление альтернативного способа входа
• Двухфакторная аутентификация
• Поведение при недоступности SMS-провайдера
• Поведение при недоступности VK ID / Яндекс ID
• Нагрузочное тестирование (пиковые нагрузки)

Ошибка 7: Хранение SMS-кодов без защиты

Проблема: Небезопасное хранение кодов подтверждения в базе данных.

Правильная реализация:

• Храните хеши кодов, а не сами коды
• Используйте TTL (время жизни) — 5-10 минут
• Удаляйте коды после успешной проверки
• Ограничьте количество попыток ввода кода (3-5 попыток)
• Логируйте все попытки авторизации для аудита

Часто задаваемые вопросы (FAQ)

Когда вступит в силу новый закон о штрафах?

Законопроект внесен в Госдуму 14 ноября 2025 года. После прохождения трех чтений в Государственной Думе, одобрения Советом Федерации и подписания Президентом РФ, закон вступит в силу в установленные им сроки. Прогнозируется, что это произойдет в первой половине 2026 года. Точные даты будут известны после принятия закона.

Касается ли закон обычных пользователей интернета?

Нет, обычных пользователей закон не касается. Вы можете продолжать использовать Gmail, iCloud и другие зарубежные почтовые сервисы. Закон регулирует только действия владельцев интернет-ресурсов — сайтов, приложений, онлайн-платформ. Именно они обязаны предоставлять российским пользователям разрешенные способы авторизации.

Нужно ли удалять свой аккаунт Google/Apple?

Нет, не нужно. Если вы уже зарегистрировались на каком-то сайте через Google ID или Apple ID, ваш аккаунт продолжит работать. Закон обратной силы не имеет и касается только новых регистраций после его вступления в силу. Владельцы сайтов должны будут предложить альтернативные способы входа, но ваши существующие аккаунты останутся активными.

Можно ли использовать Gmail как логин для входа на сайт?

Да, можно — если есть дополнительная привязка аккаунта к номеру российского мобильного телефона. Закон запрещает не использование зарубежной почты в качестве логина, а именно авторизацию через OAuth-протоколы иностранных сервисов (кнопки «Войти через Google»). Если при регистрации вы вводите Gmail и дополнительно подтверждаете номер телефона — это соответствует закону.

Касается ли закон мобильных приложений из App Store и Google Play?

Да, касается — если приложение принадлежит российской компании или гражданину РФ и предоставляет услуги для пользователей на территории России. При этом правила не меняются для самих магазинов приложений — вы можете использовать любую почту для входа в App Store или Google Play. Но внутри приложения должны быть предусмотрены российские способы авторизации.

Что делать, если мой сайт находится на иностранном хостинге?

Расположение серверов не имеет значения. Важно, кто является владельцем ресурса и предоставляются ли услуги для пользователей на территории РФ. Если вы — российская компания или гражданин РФ, и ваш сайт работает для российской аудитории, вы обязаны соблюдать требования закона независимо от того, где физически расположены серверы.

Какой способ авторизации лучше всего выбрать?

Для большинства случаев оптимальным будет комбинация: номер телефона + VK ID (или Яндекс ID). Это обеспечивает:

• Простоту внедрения
• Низкие затраты
• Удобство для пользователей
• Полное соответствие законодательству

Для государственных сервисов рекомендуется также добавить ЕСИА (Госуслуги).

Сколько стоит внедрение новой системы авторизации?

Стоимость (ориентировочно, на 2025 год) зависит от сложности проекта:

• Простой сайт/приложение: 30 000 - 80 000 ₽ (разработка) + текущие расходы на SMS
• Средний проект: 100 000 - 300 000 ₽
• Крупная платформа: 500 000 - 2 000 000 ₽

Самый бюджетный вариант — авторизация по телефону через готовые SMS-сервисы. Интеграция VK ID или Яндекс ID обычно бесплатна.

Будут ли штрафовать за каждого пользователя отдельно?

Нет. Штраф накладывается на владельца ресурса за сам факт нарушения — предоставление возможности авторизации через запрещенные сервисы. Размер штрафа не зависит от количества пользователей, которые воспользовались этим способом. Однако при повторных нарушениях штрафы увеличиваются.

Как Роскомнадзор будет проверять соблюдение требований?

Роскомнадзор может проверять соблюдение требований несколькими способами:

• Мониторинг общедоступных сайтов и приложений
• Проверка по жалобам пользователей или конкурентов
• Плановые проверки крупных интернет-платформ
• Анализ трафика и API-запросов к иностранным сервисам

При обнаружении нарушения выносится предписание об устранении, и в случае неисполнения накладывается штраф.

Можно ли использовать Telegram для авторизации?

Статус Telegram Login неоднозначен. Формально Telegram требует номер телефона для регистрации, но сам сервис принадлежит иностранной компании. Рекомендуется использовать его только как дополнительную опцию вместе с другими российскими способами (телефон, VK ID, Яндекс ID). Для полной уверенности лучше проконсультироваться с юристом.

Что делать, если я только планирую запускать сайт/приложение?

Сразу внедряйте российские способы авторизации. Не стоит начинать с Google/Apple ID с расчетом на последующий переход — это усложнит развитие проекта. Используйте авторизацию по телефону и/или российские OAuth-сервисы (VK ID, Яндекс ID) с самого начала. Это сэкономит время и деньги в будущем.

Выводы и рекомендации экспертов

Законопроект о штрафах за использование иностранных сервисов авторизации — это не внезапное нововведение, а логическое продолжение политики цифрового суверенитета России, которая проводится уже несколько лет.

Ключевые выводы

1. Требование действует с декабря 2023, штрафы вступят после принятия законопроекта (прогноз — 2026 год)
2. Штрафы до 700 000 ₽, но избежать их просто — внедрение занимает 1-2 недели
3. Обычные пользователи не пострадают, старые аккаунты продолжат работать
4. Переход не требует огромных инвестиций — достаточно телефона + российского OAuth-сервиса
5. Действовать лучше сейчас, не дожидаясь принятия закона"

Долгосрочная перспектива

Это не последнее регулирование в IT-сфере. Можно ожидать новых требований к локализации данных и развития российских альтернатив зарубежным сервисам. Компании, которые адаптируются заранее, будут в выигрыше.

Компаниям, которые заранее адаптируются к этим изменениям, будет проще развиваться на российском рынке в будущем.

Итоговый чек-лист

Перед тем как закрыть эту статью, убедитесь что вы:

• Понимаете, касается ли закон вашего бизнеса
• Знаете, какие способы авторизации разрешены и запрещены
• Представляете примерные сроки и бюджет на внедрение
• Имеете план действий на ближайшие недели
• Знаете, куда обратиться за помощью при необходимости

Главное: Не откладывайте переход на потом. Законопроект уже внесен, и время на комфортную миграцию ограничено. Проактивный подход сэкономит вам деньги, нервы и репутацию.

Нужна помощь с переходом на российскую авторизацию?

Digital-агентство MWI (ТОП-10 Рейтинга Рунета) предоставляет услуги по аудиту и внедрению систем авторизации в соответствии с требованиями российского законодательства.

Наши услуги:

• Аудит текущих систем авторизации
• Разработка стратегии перехода
• Техническая реализация интеграций
• Миграция пользовательской базы
• Консультации и поддержка

Статья подготовлена на основе официальных документов:

• Законопроект № 1069392-8 от 14.11.2025
• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите информации»
• Кодекс Российской Федерации об административных правонарушениях
• Материалы с портала duma.gov.ru

Категория вопроса

Что мы можем предложить?