Многие сайты предлагают быстрый вход через Google, Apple ID или другие зарубежные аккаунты. Для бизнеса это удобно: меньше сложностей при регистрации пользователей, а значит выше конверсия в создание учетной записи. При этом в России уже несколько лет действуют ограничения на использование иностранных сервисов авторизации, а с 2026 года за нарушение этих требований начнут штрафовать. Рассказываем, какие риски возникают для владельцев сайтов, кого могут привлечь к ответственности и какие меры стоит принять уже сейчас.
Почему все говорят о запрете входа через Google и Apple
В июне 2026 года появились новости о штрафах за использование зарубежных сервисов авторизации на сайтах. Из-за формулировок журналистов могло сложиться впечатление, что бизнес столкнулся с новыми ограничениями. На самом деле речь идет не о новом запрете, а об ответственности за нарушение требований, которые уже действуют несколько лет.
Закон устанавливает перечень допустимых способов авторизации пользователей на сайтах и в онлайн-сервисах. Использование иных способов, включая иностранные сервисы единой авторизации, не допускается.
В июне 2026 года Госдума одобрила поправки, которые вводят административную ответственность за несоблюдение этих требований. Санкции предусмотрены для владельцев сайтов, должностных лиц и организаций.
Что на самом деле запрещено, а что нет
На практике больше всего вопросов возникает вокруг Google и Apple ID. При этом не всякое упоминание зарубежного сервиса означает нарушение со стороны владельца сайта. Например, регистрация с использованием адреса Gmail и вход через кнопку Google — разные сценарии с точки зрения закона. Разберем основные варианты.
| Способ входа или регистрации | Можно использовать |
| Вход по логину и паролю сайта | Да |
| Регистрация по адресу электронной почты, в том числе Gmail | Да |
| Вход по номеру телефона или биометрии | Да |
| VK ID, Яндекс ID, Сбер ID и другие российские сервисы | Да |
| Авторизация через Госуслуги | Да |
| Кнопка «Войти через Google» | Нет |
| Кнопка «Войти через Apple ID» | Нет |
| Любые OAuth-сервисы иностранных компаний, включая GitHub, Discord, Meta (Facebook/Instagram)*, Microsoft. | Нет |
* Организация Meta, а также ее продукты Instagram и Facebook признаны экстремистскими на территории РФ.
Несмотря на общую формулировку закона, на практике ограничения касаются только части способов авторизации. Большинство стандартных вариантов входа продолжают использоваться без изменений.
Какие сайты находятся в зоне риска
Новые штрафы могут затронуть владельцев сайтов и онлайн-сервисов, где предусмотрены регистрация пользователей и личные кабинеты.
Чаще всего под требования закона подпадают:
- интернет-магазины;
- сервисы онлайн-записи;
- образовательные платформы;
- программы лояльности;
- клиентские кабинеты;
- SaaS-сервисы и другие онлайн-платформы.
Если сайт не предусматривает регистрацию и вход пользователей (лендинги, визитки, корпоративные сайты без личного кабинета), новые штрафы не актуальны.
| Олег Просин, основатель ScanBase.ru: «Закон бьет по очень распространенной практике: кнопке “Войти через Google” (а также Apple, Facebook* и других зарубежных сервисов) на российских сайтах. Многие ставили ее ради удобства и не подозревали, что это станет нарушением. Кого затронет. Любой бизнес с личным кабинетом, где есть вход через иностранный сервис: интернет-магазины, онлайн-сервисы и SaaS, образовательные платформы, медиа с подпиской, мобильные приложения (там вход через Google или Apple встречается особенно часто). Что нельзя. Идентифицировать и авторизовать пользователей российского сайта через иностранные сервисы. Технически нарушение возникает, когда сайт перенаправляет пользователя на зарубежный сервер авторизации (например, accounts.google.com). Важно: проблема не только в видимой кнопке. Если ее убрали визуально, но в коде остался рабочий модуль и редирект на иностранный сервис, это все равно нарушение». |
Какие штрафы предусмотрены за нарушение
Пока что Госдума только одобрила поправки о санкциях: после утверждения Советом Федерации, подписания Президентом РФ и официальной публикации они будут включены в КоАП РФ. На данный момент за нарушение требований к способам авторизации пользователей на сайтах и в приложениях предусмотрены следующие штрафы в зависимости от статуса нарушителя.
| Кто нарушил | Размер штрафа |
| Физическое лицо — владелец сайта | от 10 000 до 30 000 рублей |
| Должностное лицо | от 30 000 до 50 000 рублей |
| Юридическое лицо | от 100 000 до 700 000 рублей |
Если клиент вошел через кнопку Google, штраф грозит не ему, а компании или ИП, которые организовали такой способ авторизации.
Даже если сайт сделан давно и кнопка «Войти через Google» появилась как удобная функция, это не освобождает владельца ресурса от ответственности. Проверить способы авторизации стоит заранее, до возможных претензий со стороны Роскомнадзора.
| Денис Луков, руководитель проекта ContentGuard.ru: «Привычный и удобный способ входа, который много лет использовали на сайтах без особого внимания к его правовой стороне, после вступления нового закона в силу может привести к штрафу до 700 тысяч рублей. Обязанность распространяется не на любой онлайн-ресурс, она касается российских владельцев сайтов, сервисов и приложений, если они ведут деятельность в интернете на территории России, предоставляют доступ к информации после авторизации, а сам пользователь находится в России. Изменения касаются не только крупных платформ. К небольшому сервису применяются те же требования, что и к крупной цифровой платформе. По этой причине проверить способы входа придется интернет-магазинам, онлайн-школам, сервисам бронирования, маркетплейсам, медиа с личными кабинетами и другим российским онлайн-проектам, если они соответствуют этим критериям. Однако правоприменительная практика пока не сформирована. Поэтому спорные способы входа нужно оценивать не по названию кнопки, а по тому, кто фактически подтверждает пользователя и передает данные, необходимые для предоставления доступа. После вступления закона в силу штраф для юридических лиц за нарушение требований к авторизации составит от 500 до 700 тысяч рублей». |
Что делать бизнесу, чтобы исключить риски
Если на сайте до сих пор работает авторизация через Google, Apple ID или другой иностранный сервис, это не означает, что потребуется срочно переделывать весь сайт. В большинстве случаев проблема решается отключением иностранного способа входа и настройкой разрешенной альтернативы. Подготовку лучше начать уже сейчас: после вступления новых штрафов в силу такие способы авторизации могут стать основанием для претензий со стороны Роскомнадзора.
Шаг 1. Проверить все способы регистрации и входа
Сначала стоит выяснить, какие варианты авторизации доступны пользователям.
Проверить нужно:
- кнопки «Войти через Google»;
- кнопки «Войти через Apple ID»;
- вход через аккаунты зарубежных сервисов;
- авторизацию через сторонние плагины и модули;
- способы регистрации в мобильном приложении, если оно есть.
| Елена Васильева, практикующий юрист, партнер юридической компании «Джей Си»: «Важный нюанс: сам по себе факт наличия кнопки от иностранного сервиса на сайте – это еще не нарушение. Нарушением считается, если владелец предоставляет эту возможность как основной способ входа. Суть в том, что при таком входе данные пользователя уходят к иностранной платформе. Поэтому лучше такие кнопки убрать полностью, чтобы не рисковать. И еще отмечу, что запрета на использование иностранной почты нет, то есть можно в аккаунте указать иностранную почту и получать информацию от компании не нее. Нельзя с помощью иностранной почты авторизоваться. Как конкретно будет применяться закон покажет время». |
Шаг 2. Оценить, есть ли разрешенная альтернатива
Закон допускает несколько способов авторизации пользователей, в том числе через номер телефона, Госуслуги, биометрию или российские сервисы авторизации. Кроме того, владелец сайта может использовать собственную систему авторизации при соблюдении требований к защите информации.
Для сайтов с авторизацией требуется обеспечить рабочий способ входа без использования иностранных сервисов единой авторизации:
- регистрация по электронной почте и паролю;
- регистрация по номеру телефона;
- собственный личный кабинет с логином и паролем.
Именно поэтому большинству интернет-магазинов, сервисов записи и корпоративных порталов не потребуется полностью перестраивать систему работы с пользователями.
Шаг 3. Убрать рискованные способы входа
После настройки альтернативного способа авторизации (через логин и пароль, номер телефона или российский сервис) требуется полностью отключить иностранные способы входа, включая Google, Apple ID и другие зарубежные OAuth-сервисы.
На практике нарушение часто сохраняется не на главной странице, а в отдельных технических зонах сайта или приложения. Это связано с тем, что авторизация может быть подключена через плагины, сторонние библиотеки или старые настройки системы.
Наиболее частые источники риска:
- подключение готового плагина с Google Sign-In в CMS;
- использование SSO через зарубежные корпоративные сервисы (например, Microsoft или GitHub);
- сохранение старых OAuth-настроек после редизайна сайта;
- автоматическое включение Apple Sign-In в мобильных приложениях;
- интеграции через внешние библиотеки авторизации.
В большинстве случаев владелец сайта узнает о наличии таких подключений уже после проверки или запроса регулятора.
После отключения иностранных сервисов требуется проверить все точки входа и убедиться, что авторизация доступна только через разрешенные способы:
- страница регистрации;
- страница входа;
- мобильное приложение;
- старые версии сайта;
- тестовые и резервные домены;
- API-методы авторизации, используемые сторонними сервисами.
Иногда запрещенная авторизация остается доступной только в одной из этих зон, например в тестовой версии сайта или в мобильном приложении, даже если основная веб-страница уже обновлена.
Шаг 4. Зафиксировать внесенные изменения
Если доработка выполняется подрядчиком или штатным разработчиком, полезно сохранить документы, подтверждающие устранение нарушения:
- техническое задание;
- акты выполненных работ;
- переписку с исполнителем;
- скриншоты обновленного интерфейса.
Такие материалы помогут подтвердить добросовестность компании в случае спора.
| Даниэль Зеленский, CEO CARCRAFT GROUP: «С точки зрения минимизации рисков, я рекомендую компаниям провести полный аудит всех сценариев входа не только на основном сайте, но и в мобильных приложениях, а также на аффилированных и партнерских ресурсах, которые могут использовать единую учетную запись. После этого необходимо оперативно внедрить хотя бы один из разрешенных методов авторизации, причем с технически корректной обработкой персональных данных в соответствии с ФЗ-152. Важно не просто добавить российский способ входа, а полностью исключить из интерфейса кнопки и ссылки на зарубежные сервисы: частичное наличие таких опций даже при наличии альтернативы, как я предполагаю, может трактоваться как нарушение. Дополнительно рекомендую зафиксировать в политике обработки данных и пользовательском соглашении явное указание на используемые способы авторизации, а также подготовить внутренний акт о прекращении передачи данных для аутентификации за пределы РФ. Для компаний с трансграничной структурой или иностранными контрагентами настоятельно советую получить письменное заключение профильного юриста по конкретной архитектуре авторизации, поскольку возможны нюансы в части гибридных схем (например, когда зарубежная учетная запись используется как прокси при привязке российского номера). Своевременное выполнение этих мер, полагаю, позволит существенно снизить риски привлечения к административной ответственности без ущерба для функциональности сервисов для российских пользователей». |
Что делать, если пришел запрос или замечание Роскомнадзора
Игнорировать обращение регулятора не стоит. Запрос РКН формируется по результатам автоматического мониторинга или по обращениям третьих лиц. Даже если нарушение возникло по ошибке подрядчика или осталось после старой версии сайта, ответственность обычно несет владелец ресурса.
После получения запроса целесообразно:
- Проверить указанные в обращении нарушения.
- Зафиксировать текущее состояние сайта.
- Привлечь разработчика или технического специалиста для проверки.
- Устранить нарушения при их наличии.
- Подготовить ответ в установленный срок.
Если нарушение подтвердилось, лучше как можно быстрее отключить спорный способ авторизации и сохранить доказательства внесенных изменений. В случае отсутствия реакции возможно ограничение доступа к отдельным страницам сайта или направление повторного требования с увеличением рисков административной ответственности.
Для ответа Роскомнадзору могут пригодиться:
- скриншоты обновленного сайта;
- описание выполненных доработок;
- договор с разработчиком;
- акты выполненных работ;
- внутренние документы по защите информации.
Закон связывает возможность использования собственной системы авторизации с соблюдением требований по защите информации, поэтому порядок хранения и защиты пользовательских данных также имеет значение.
Коротко для предпринимателей
Использование кнопок входа через Google и Apple относится к иностранным сервисам единой авторизации и подпадает под ограничения законодательства. Закон требует наличия хотя бы одного разрешенного способа авторизации — через российские сервисы или собственную систему входа.
Авторизация по электронной почте и паролю (включая Gmail) не является использованием Google Login и не нарушает требования.
Основной риск связан не с сайтом в целом, а с отдельными точками входа, включая плагины, мобильные приложения и старые версии интерфейса. Нарушения часто возникают из-за технических модулей и OAuth-интеграций, установленных разработчиками по умолчанию.
После отключения иностранных сервисов необходимо проверить все каналы авторизации и убедиться, что альтернативный способ работает корректно.
При запросе Роскомнадзора важно зафиксировать состояние сайта и оперативно устранить нарушения, если они выявлены.
