Авторизация через Google и Apple под запретом: что делать бизнесу

Привет, герой бизнеса!

В Госдуму внесён законопроект, который вводит административную ответственность: штрафы для владельцев российских ресурсов за несоблюдение требований к авторизации пользователей; максимальная сумма для юридических лиц упоминается до 700 000 ₽. Текст документа размещен в электронной базе. (Источник РБК)

В действующей и предлагаемой практике авторизация на ресурсах, доступных пользователям на территории РФ, должна проводиться через: номер мобильного телефона, ЕСИА / ЕБС или российские сервисы авторизации; вход через зарубежные ID (Google, Apple и т.п.) попадает под запрет/ограничение.

Официально подчеркивается: инициатива направлена на владельцев сервисов (штрафы ложатся на них), а не на обычных пользователей, хотя последствия для пользователей возможны (удобство, переходы). (Источник: Интерфакс)

Закон и требования к аутентификации пользователей из РФ

Согласно федеральному закону об информации, если доступ к содержимому сайта предоставляется только пользователям, прошедшим авторизацию, владельцы интернет-ресурсов обязаны обеспечивать аутентификацию граждан РФ с использованием:

номера мобильного телефона;
единой системы идентификации и аутентификации (ЕСИА);
единой биометрической системы (ЕБС);
либо через сервис авторизации, владельцем которого является гражданин России без иного гражданства.

Важно понимать, что в законодательстве термин «авторизация» используется в широкой формулировке, однако закон регулирует именно аутентификацию и идентификацию пользователей, то есть способы подтверждения личности пользователя, а не распределение прав доступа внутри системы.

Аутентификация — процесс проверки того, что конкретный пользователь действительно является владельцем аккаунта (вход в систему). На практике это реализуется через:

пароли и одноразовые SMS-коды;
OAuth‑вход через сторонние сервисы (Google, Apple, ВКонтакте);
SSO‑решения и ЕСИА.

Для регуляторов ключевым является способ аутентификации: каким методом сайт подтверждает личность пользователя.

Новые требования касаются именно методов входа: иностранные идентификаторы (Google, Apple) становятся под запретом, тогда как отечественные способы подтверждения личности разрешены и обязательны для соблюдения законодательства.

Кому необходима авторизация

Авторизация используется везде, где требуется разграничение доступа:

Интернет-магазины: история заказов, статусы, бонусы.
CRM-системы: менеджерам видна только их часть данных.
Корпоративные порталы: документы, задачи, переписка.
Онлайн-банки и финтех-сервисы: важно, чтобы пользователь мог работать только со своими данными.
Госуслуги, школы, медучреждения: доступ к персональной информации.
Промышленные и B2B-порталы: прайс-листы, спецификации, конфигурации продукции.

Фактически любая система, где есть личные данные, коммерческие сведения или внутренние процессы, обязана использовать авторизацию.

Кого коснутся изменения?

Владельцы сайтов, интернет-сервисов и мобильных приложений, зарегистрированные как российские ресурсы и предоставляющие доступ пользователям, находящимся на территории РФ — основной объект регулирования.

Интернет-магазины, маркетплейсы, платформы с личными кабинетами, сервисы с платным доступом, где авторизация важна для покупки/подписок/персонализации.

Сервисы с алгоритмами рекомендаций и персонализации: законопроект также ужесточает требования к прозрачности рекомендательных систем; нарушения могут повлечь отдельные санкции.

Пользователи: формально штрафы предусмотрены для владельцев ресурсов и должностных лиц; рядовые пользователи, по заявлениям парламентариев, штрафоваться не будут, но их изменения затронут косвенно (потеря привычного входа, необходимость привязки телефона и т.п.).

Резюме: что запрещено и что разрешено

Запрещено / под угрозой штрафов:

Предоставлять пользователям в России возможность входа/регистрации через иностранные идентификаторы (Google ID, Apple ID и аналогичные), если иное не предусмотрено законом/переходными правилами.

Разрешено / рекомендуется:

Авторизация через номер мобильного телефона (SMS/One-Time-Code / PUSH), при условии соблюдения безопасности и требований к персональным данным.
Авторизация через ЕСИА / Единая биометрическая система (ЕБС) и иные российские системы идентификации, либо через информационные системы, владельцем которых является гражданин РФ или российское юрлицо.

«Главный вывод простой: в России можно использовать любые способы авторизации, если у пользователя есть однозначная, подтверждённая привязка к его личности: номер телефона и данные паспорта.»

— Роман Федосов, основатель и генеральный директор веб-интегратора «Компот»

Что нужно проверить владельцам сайтов и сервисов

Этап / Действие	Срок	Цель / Результат
Срочный аудит: собрать все способы регистрации/входа (Google, Apple, соцсети, телефон, email, ЕСИА и др.) и посчитать долю пользователей через иностранные ID.	1–3 дня	Определить масштаб потенциальных изменений и KPI для последующих действий.
Юридическая проверка: оценка рисков, соответствие политике персональных данных, разработка плана действий в зависимости от принятия закона.	1 неделя	Убедиться в правовой защищённости компании и готовности к изменениям.
Техническая дорожная карта: внедрение/усиление авторизации по телефону (привязка номера + OTP + fallback через email), интеграция с ЕСИА или российскими ID-провайдерами, подготовка сценариев миграции пользователей с Google/Apple.	2–6 недель	Обеспечить законную и безопасную аутентификацию для всех пользователей.
UX / коммуникация: убрать кнопки иностранной авторизации, подготовить уведомления, баннеры, FAQ и рассылку для пользователей.	2–4 недели до изменений	Снизить пользовательский стресс, объяснить изменения и сохранить лояльность.
Тестирование и мониторинг: проверить все сценарии входа, восстановления паролей, привязки телефона; настроить метрики конверсии и обращения в поддержку.	Постоянно после внедрения	Убедиться, что изменения работают корректно и пользователи не теряются в процессе миграции.

Практические сценарии миграции пользователей

Если у пользователя есть e-mail в профиле: при следующем входе по Google/Apple ID предложить привязать email и установить пароль или подтвердить через SMS.

Если есть только Google/Apple ID: при следующем входе показывать модальное окно с пояснением → запрос номера телефона → отправка OTP (одноразовый пароль / код) → сохранение нового способа входа.

Если пользователь откажется: предусмотреть временный доступ на ограниченные операции и напомнить позже.

Для VIP клиентов: персональная коммуникация и поддержка через менеджера.

Пример коммуникации:
«Уважаемый пользователь! В связи с изменениями в правилах авторизации вход через Google/Apple ID может быть отключён. Чтобы сохранить доступ, привяжите, пожалуйста, номер телефона или подтвердите email в настройках профиля. Это займёт 1–2 минуты и позволит вам дальше пользоваться сервисом без ограничений.»

Итог

Законопроект даёт серьёзный сигнал рынку. Если у вашего проекта есть вход через Google/Apple ID — это становится потенциальным риском.

Рекомендуем действовать по плану: аудит → юридическая оценка → техническая миграция → коммуникация с пользователями.

Как мы можем помочь?

Веб-интегратор «Компот» может помочь с аудитом, разработкой UX-сценариев миграции и технической реализацией.

➡️ Пишите, подготовим для вас план и смету.

Что скрывает под собой закон об авторизации на сайте?

Сняли ролик-комментарий про закон об авторизации на сайте. Штрафы до 700.000р для владельцев сайтов… Так ли это страшно или же страшнее полная потеря конфиденциальности?
(Для просмотра может потребоваться vpn)

Успехов в делах!

Роман Федосов, основатель и генеральный директор веб-интегратора «Компот»

Штрафы за авторизацию через Google / Apple ID: что произошло и что делать бизнесу