Вход через Google и Apple: за что штрафуют в 2026 году и как избежать претензий РКН

NeboPro

С июня 2026 года за использование иностранных сервисов авторизации на российских сайтах грозят штрафы до 700 тысяч рублей. Разбираем, кого касается закон, что считается нарушением и как привести сайт в соответствие.

Многие сайты предлагают быстрый вход через Google, Apple ID или другие зарубежные аккаунты. Для бизнеса это удобно: меньше сложностей при регистрации, выше конверсия. При этом в России уже несколько лет действуют ограничения на использование иностранных сервисов авторизации, а в июне 2026 года Госдума одобрила поправки, вводящие административную ответственность за их нарушение.

Что запрещено, а что нет

Не всякое упоминание зарубежного сервиса означает нарушение. Главные сценарии:

  • Вход по логину и паролю сайта - разрешён
  • Регистрация по адресу электронной почты, в том числе Gmail - разрешена
  • Вход по номеру телефона или биометрии - разрешён
  • VK ID, Яндекс ID, Сбер ID и другие российские сервисы - разрешены
  • Авторизация через Госуслуги - разрешена
  • Кнопка «Войти через Google» - запрещена
  • Кнопка «Войти через Apple ID» - запрещена
  • Любые OAuth-сервисы иностранных компаний (GitHub, Discord, Microsoft и другие) - запрещены

Важный нюанс: регистрация с адресом Gmail и вход через кнопку Google - разные сценарии с точки зрения закона. Проблема не в иностранной почте, а в том, что при OAuth-входе данные пользователя передаются на зарубежный сервер авторизации. При этом нарушение сохраняется, даже если кнопку убрали визуально, но в коде остался рабочий модуль с редиректом на иностранный сервис.

Кто в зоне риска

Штрафы могут затронуть владельцев сайтов и онлайн-сервисов с регистрацией пользователей:

  • интернет-магазины;
  • сервисы онлайн-записи;
  • образовательные платформы;
  • программы лояльности и клиентские кабинеты;
  • SaaS-сервисы и другие онлайн-платформы.

Лендинги, визитки и корпоративные сайты без личного кабинета под действие закона не подпадают.

Размер штрафов

После утверждения Советом Федерации и подписания Президентом поправки будут включены в КоАП РФ. Санкции предусмотрены в зависимости от статуса нарушителя: физическое лицо - от 10 000 до 30 000 рублей, должностное лицо - от 30 000 до 50 000 рублей, юридическое лицо - от 100 000 до 700 000 рублей. Штраф грозит не пользователю, вошедшему через Google, а компании или ИП, которые организовали такой способ авторизации.

Мнение эксперта

Привычный и удобный способ входа, который много лет использовали на сайтах без особого внимания к его правовой стороне, после вступления нового закона в силу может привести к штрафу до 700 тысяч рублей.

Денис ЛуковРуководитель ContentGuard.ru
Мнение эксперта

Обязанность распространяется не на любой онлайн-ресурс, она касается российских владельцев сайтов, сервисов и приложений, если они ведут деятельность в интернете на территории России, предоставляют доступ к информации после авторизации, а сам пользователь находится в России.

Денис ЛуковРуководитель ContentGuard.ru
Мнение эксперта

Изменения касаются не только крупных платформ. К небольшому сервису применяются те же требования, что и к крупной цифровой платформе. По этой причине проверить способы входа придется интернет-магазинам, онлайн-школам, сервисам бронирования, маркетплейсам, медиа с личными кабинетами и другим российским онлайн-проектам, если они соответствуют этим критериям.

Денис ЛуковРуководитель ContentGuard.ru
Мнение эксперта

Однако правоприменительная практика пока не сформирована. Поэтому спорные способы входа нужно оценивать не по названию кнопки, а по тому, кто фактически подтверждает пользователя и передает данные, необходимые для предоставления доступа. После вступления закона в силу штраф для юридических лиц за нарушение требований к авторизации составит от 500 до 700 тысяч рублей.

Денис ЛуковРуководитель ContentGuard.ru

Что делать бизнесу

Если на сайте работает авторизация через Google, Apple ID или другой иностранный сервис, в большинстве случаев проблема решается отключением иностранного способа входа и настройкой разрешённой альтернативы. Для сайтов с личными кабинетами достаточно обеспечить работающий вход через логин и пароль, номер телефона или российский сервис авторизации.

Наиболее частые скрытые источники риска:

  • готовый плагин с Google Sign-In в CMS;
  • SSO через зарубежные корпоративные сервисы (Microsoft, GitHub);
  • старые OAuth-настройки, оставшиеся после редизайна;
  • автоматически включённый Apple Sign-In в мобильных приложениях;
  • внешние библиотеки авторизации.

После отключения иностранных сервисов нужно проверить все точки входа: страницу регистрации, страницу входа, мобильное приложение, тестовые и резервные домены, API-методы авторизации. Нарушение нередко сохраняется только в одной из этих зон, например в тестовой версии сайта, даже если основная страница уже обновлена.

Если пришёл запрос Роскомнадзора

Игнорировать обращение регулятора не стоит. Запрос РКН формируется по результатам автоматического мониторинга или по обращениям третьих лиц. Даже если нарушение возникло по ошибке подрядчика, ответственность несёт владелец ресурса.

После получения запроса следует зафиксировать текущее состояние сайта, привлечь разработчика для проверки, устранить нарушения и подготовить ответ в установленный срок. Полезно сохранить доказательства внесённых изменений: техническое задание, акты выполненных работ, скриншоты обновлённого интерфейса. При отсутствии реакции возможно ограничение доступа к отдельным страницам или направление повторного требования с увеличением рисков административной ответственности.

Читать публикацию в NeboPro