С 7 июля 2026 года за авторизацию российских пользователей через зарубежные сервисы — Google, Apple ID, Facebook — владельцу сайта грозит штраф: юрлицам 500 000–700 000 ₽, при повторном нарушении — до 1 400 000 ₽ (статья 13.55 КоАП РФ, введена ФЗ №199-ФЗ от 26.06.2026). Разрешены только российские способы: номер телефона РФ, Госуслуги (ЕСИА), Единая биометрическая система, VK ID, Яндекс ID.
Что произошло
Сам запрет не новый. Статья 10.6 Федерального закона №149-ФЗ «Об информации» с 1 декабря 2023 года обязывает владельцев российских сайтов и приложений авторизовывать российских пользователей только способами из закрытого перечня. Но три года норма существовала без санкции — за нарушение ничего не было.
26 июня 2026 года подписан Федеральный закон №199-ФЗ, который добавил в КоАП две новые статьи:
- статья 13.55 — штрафы за нарушение требований к авторизации пользователей;
- статья 13.56 — штрафы за нарушения при работе рекомендательных технологий.
Закон вступил в силу 7 июля 2026 года. С этого дня кнопка «Войти через Google» на российском сайте — состав административного правонарушения.
Какие способы входа разрешены, а какие нет
| ✅ Разрешено (перечень ст. 10.6 149-ФЗ) | ❌ Запрещено |
|---|---|
| Номер телефона российского оператора (вход по SMS) | Google (Google ID, OAuth) |
| Госуслуги — ЕСИА | Apple ID («Sign in with Apple») |
| Единая биометрическая система (ЕБС) | Facebook, Instagram |
| VK ID, Яндекс ID и другие системы российских юрлиц/граждан РФ | Microsoft, GitHub, Discord и прочие зарубежные OAuth |
| Собственная система логин/пароль российского владельца сайта |
Перечень закрытый: если способа нет в списке — использовать его для авторизации российских пользователей нельзя.
Размер штрафа (ст. 13.55 КоАП РФ)
| Категория | Первичное нарушение | Повторное |
|---|---|---|
| Граждане | 10 000–20 000 ₽ | до 40 000 ₽ |
| Должностные лица | 30 000–50 000 ₽ | до 100 000 ₽ |
| Юрлица | 500 000–700 000 ₽ | до 1 400 000 ₽ |
Отвечает владелец сайта или приложения. Пользователей закон не наказывает.
Что делать владельцу сайта
- Найдите все точки входа. Страницы логина и регистрации, попапы, мобильные приложения, поддомены (форум, личный кабинет, интернет-магазин на отдельном движке).
- Уберите зарубежные OAuth-кнопки. «Войти через Google / Apple / Facebook» — отключить, client_id зарубежных OAuth-приложений — удалить из кода, чтобы виджеты не подгружались.
- Подключите российскую альтернативу. Минимум — вход по SMS на российский номер. Лучше добавить VK ID или Яндекс ID (бесплатные SDK), для госсегмента — вход через Госуслуги.
- Не удаляйте существующие аккаунты. Пользователям с зарубежной авторизацией предложите привязать российский способ при следующем входе.
- Проверьте результат. Убедитесь, что виджеты зарубежной авторизации не загружаются ни на одной странице.
Как проверить свой сайт за 30 секунд
Наш сканер с июля 2026 находит зарубежные сервисы авторизации автоматически: анализирует отрендеренную страницу и сетевые запросы, детектит OAuth-виджеты Google, Apple, Facebook, Microsoft, GitHub и Discord — вместе с остальными нарушениями 152-ФЗ (политика, согласия, cookie-баннер, реестр операторов РКН, запрещённые трекеры вроде Google Analytics).
Нормы закона: статья 10.6 149-ФЗ, статья 13.55 КоАП РФ (введена ФЗ №199-ФЗ от 26.06.2026). Полная таблица штрафов за нарушения с персональными данными — в статье «Штрафы РКН в 2026».