Запрет на авторизацию через Google и другие иностранные сервисы

Допустим, на вашем сайте есть кнопка «Войти через Google». Пользователь нажимает её — и вы уже нарушаете закон. Причём формально это нарушение длится с декабря 2023 года. Разница лишь в том, что раньше за него не наказывали. Сейчас — будут.

9 июня 2026 года в КоАП появилась новая статья 13.55. Она заполнила пустоту, которая три года позволяла владельцам сайтов игнорировать требования об авторизации: теперь за это предусмотрена конкретная денежная ответственность.

Что именно запрещено — и где граница

Здесь многие путаются, потому что заголовки в СМИ нередко вводят в заблуждение.

Запрещено

Под запрет попадает сама механика передачи входа стороннему зарубежному сервису. Когда пользователь нажимает «Войти через Google» или «Войти через Apple», ваш сайт фактически перекладывает проверку личности на иностранную платформу — вот это и является нарушением.

Не запрещено

При этом адрес на gmail.com как логин — не проблема. Если у вас стандартная форма входа, где пользователь вводит почту и пароль, а ваш сайт сам проверяет эти данные — всё в порядке. Ключевое здесь не адрес почты, а то, кто выполняет проверку: ваш сервер или иностранный сервис.

Разрешённые способы авторизации

Владельцы сайтов обязаны авторизовать пользователей из РФ одним из способов: российский номер мобильного телефона, ЕСИА («Госуслуги»), Единая биометрическая система, либо российский сервис авторизации, владелец которого — гражданин РФ или российское юридическое лицо.

На практике это означает: VK ID, Яндекс ID, Сбер ID — разрешены. Google, Apple, Microsoft, Facebook* — нет.

А если у меня просто форма с логином и паролем без всяких кнопок?

Многие предприниматели задают именно этот вопрос: «У меня на сайте обычная регистрация, пользователь сам придумывает логин и пароль, данные хранятся на моём сервере. Это нарушение?»

Скорее всего — нет. Закон допускает авторизацию через «иную информационную систему, отвечающую требованиям к защите информации», владельцем которой является российский гражданин или юридическое лицо. Собственная система входа на сайте российской компании подпадает под это определение.

Проще говоря: если вы сами храните учётные данные пользователей и сами проверяете пару «логин-пароль» — вы не передаёте авторизацию иностранному сервису, а значит, закон не нарушаете.

Однако чёткой правоприменительной практики по этому вопросу пока нет — закон только что получил механизм штрафов. Поэтому если ваш сайт работает с большой аудиторией, стоит проконсультироваться с юристом и на всякий случай добавить авторизацию по номеру телефона — это снимет любые вопросы.

Сколько придётся заплатить

Новая статья 13.55 КоАП устанавливает следующие штрафы: для граждан — от 10 000 до 20 000 рублей, для должностных лиц — от 30 000 до 50 000 рублей, для юридических лиц — от 500 000 до 700 000 рублей. За повторное нарушение суммы удваиваются — до 1,4 млн рублей.

Для малого бизнеса 700 000 рублей — это крайне неприятно. И речь не о гипотетической угрозе: уже через несколько дней после принятия закона крупные площадки стали убирать иностранные кнопки входа — Авито одним из первых отключил возможность входа через Google.

Кого это касается

Санкции адресованы исключительно владельцам ресурсов. Рядовые пользователи под действие закона не попадают — об этом прямо говорил один из авторов законопроекта Антон Горелкин: по его словам, претензии возникнут лишь к тем, кто два года сознательно не приводил свой сайт в соответствие с требованиями.

Под действие закона попадает любой сайт, где для доступа к контенту или функциям требуется регистрация и вход: интернет-магазины, корпоративные порталы, сервисы, блоги с личным кабинетом.

Особый риск у тех, кто давно не заглядывал в технические настройки своего сайта. На практике бывают ситуации, когда кнопка «Войти через Google» добавлялась разработчиком как удобный функционал без какого-либо юридического согласования. Теперь каждая такая кнопка — потенциальный штраф до 700 тысяч рублей.

Как проверить свой сайт: конкретные шаги

Не откладывайте это на потом. Вот что нужно сделать:

Шаг 1. Проверьте все страницы с формами входа

Откройте свой сайт и найдите все точки авторизации: страницу входа, страницу регистрации, всплывающие попапы. Ищите кнопки с логотипами Google, Apple, Facebook*, Microsoft, GitHub или надписями «Войти через...».

Шаг 2. Проверьте сторонние виджеты

Кнопка иностранной авторизации может появиться не в основной форме входа, а в сторонних виджетах: чат-боте, форме обратной связи, попапе с предложением скидки. Если эти виджеты подключены от внешнего сервиса — проверьте их отдельно.

Шаг 3. Проверьте установленные модули и плагины

Если ваш сайт на 1С-Битрикс, зайдите в раздел «Настройки → Настройки модулей → Социальные сервисы» и убедитесь, что среди подключённых провайдеров нет Google, Apple и других иностранных сервисов. Особенно внимательно стоит проверить это, если сайт дорабатывался сторонними разработчиками.

Шаг 4. Проверьте мобильное приложение

Мобильные приложения тоже попадают под действие закона. Откройте своё приложение и проверьте экран входа по той же логике, что и сайт.

Что делать, если нарушение обнаружено

Главное не паниковать, а действовать быстро. Если вы нашли у себя кнопки иностранной авторизации:

• Зафиксируйте, где именно они расположены.
• Свяжитесь с разработчиком или подрядчиком, обслуживающим сайт.
• Убедитесь, что вместо удалённых кнопок пользователям доступны разрешённые способы входа — телефон, Госуслуги или российские сервисы авторизации.
• После изменений повторно проверьте все формы входа.

Мы в «Лоджик» готовы помочь разобраться с этим вопросом. Проверим ваш сайт, найдём потенциальные нарушения и предложим правильное решение — будь то небольшая доработка или полноценная интеграция с российскими сервисами авторизации. Напишите нам или оставьте заявку на сайте — проконсультируем бесплатно.

* Facebook и Instagram принадлежат компании Meta, признанной в России экстремистской организацией.