Штрафы за кнопку «Войти через Google»: что запрещает новый закон
С 7 июля 2026 года (ФЗ-199 от 26.06.2025, ст. 13.55 КоАП) российским сайтам запрещено предлагать авторизацию через Google, Apple ID и другие иностранные OAuth-сервисы. Штраф до 700 000 ₽ для юрлиц. Разбираем что запрещено, что нет и что делать.
Многие владельцы сайтов формулируют это как «запрет Gmail» — но это неточно. Закон не запрещает ни использовать адреса @gmail.com как логин, ни заводить почту на иностранных сервисах. Запрет касается другого: кнопок «Войти через Google», «Sign in with Apple» и аналогичных OAuth-виджетов на российских сайтах.
С 7 июля 2026 года за такую кнопку владельцу сайта грозит штраф до 700 000 ₽. Это предусмотрено Федеральным законом № 199-ФЗ от 26.06.2025, который добавил в КоАП новую статью 13.55 — административную ответственность за нарушение правил аутентификации.
Предыстория: два закона, одна тема
История вопроса началась в 2023-м. Тогда ФЗ-406 от 31.07.2023 обязал владельцев российских сайтов предоставить пользователям хотя бы один из «российских» способов входа: через номер телефона, Госуслуги (ЕСИА), Единую биометрическую систему или российскую информационную систему. Срок — с 1 декабря 2023 года.
Проблема была в том, что за игнорирование требований не было никакой ответственности. Большинство сайтов продолжали предлагать «Войти через Google» как ни в чём не бывало. ФЗ-199 закрыл этот пробел: теперь есть конкретные штрафы.
Что именно запрещено — и что нет
| Сценарий | Статус |
|---|---|
| Кнопка «Войти через Google» (OAuth 2.0 / OpenID Connect через серверы Google) | Запрещено |
| Кнопка «Sign in with Apple» | Запрещено |
| Авторизация через Facebook / Instagram (Meta) | Запрещено |
| Авторизация через иностранные соцсети (Twitter/X, LinkedIn и т.п.) | Запрещено |
Поле «Email», куда пользователь вводит свой user@gmail.com как логин | Разрешено — это не OAuth, это просто текстовое поле |
| Авторизация через VK ID, Яндекс ID, OK.ru | Разрешено (российские операторы) |
| Авторизация через Госуслуги (ЕСИА) | Разрешено и поощряется |
| Авторизация по российскому номеру телефона (SMS/звонок) | Разрешено |
| Собственная форма логин + пароль сайта | Разрешено без ограничений |
Ключевой критерий нарушения — авторизация проходит через серверы иностранного сервиса, то есть сессия пользователя технически управляется Google, Apple или другой зарубежной компанией. Если пользователь просто вводит свой gmail-адрес как имя пользователя в обычную форму — это не OAuth, закон не нарушается.
Штрафы по ст. 13.55 КоАП РФ
| Субъект | Первое нарушение | Повторное нарушение |
|---|---|---|
| Физическое лицо | 10 000 — 20 000 ₽ | 40 000 — 80 000 ₽ |
| Индивидуальный предприниматель | 30 000 — 50 000 ₽ | 60 000 — 100 000 ₽ |
| Юридическое лицо | 500 000 — 700 000 ₽ | 1 000 000 — 1 400 000 ₽ |
Ответственность несёт владелец сайта, а не пользователь. Гражданину, который пользовался кнопкой Google для входа, штраф не грозит. Закон направлен именно на операторов интернет-ресурсов.
Кого это касается
Под действие закона подпадают владельцы российских сайтов, приложений и информационных систем, которые требуют регистрации или авторизации пользователей. Фактически — это любой интернет-магазин, сервис, форум, SaaS-платформа с личным кабинетом.
Международные компании, чьи продукты ориентированы на аудиторию за пределами РФ и чьи сервера находятся не в России, формально могут находиться вне российской юрисдикции. Тем не менее российские юристы рекомендуют всем, кто имеет российских пользователей, ориентироваться на требования закона.
Что делать, если на сайте стоит «Войти через Google»
- Провести аудит форм авторизации. Найти все OAuth-кнопки — через Google, Apple, любые иностранные соцсети. Обычно они реализованы через библиотеки типа
passport.js(стратегииpassport-google-oauth20,passport-apple) или Firebase Auth. - Добавить российскую альтернативу — VK ID, Яндекс ID, авторизацию по SMS или собственную форму. Это обязательно даже без удаления иностранных кнопок (было требованием с 2023-го).
- Убрать или отключить иностранные OAuth-кнопки после того, как российская альтернатива протестирована и запущена для пользователей.
- Уведомить пользователей, у которых аккаунты созданы через Google/Apple: предложить привязать российский способ входа или задать пароль до отключения старого.
Практический срок на перестройку — до 7 июля 2026 года: закон вступил в силу именно в этот день. Если кнопка всё ещё стоит — нарушение уже действует.
Связь с 152-ФЗ
Авторизация через Google — это ещё и нарушение 152-ФЗ «О персональных данных»: данные российского пользователя в ходе OAuth передаются на серверы Google (США), что является трансграничной передачей без уведомления РКН и без согласия субъекта ПДн. Таким образом, один виджет может дать сразу два независимых состава — по ст. 13.55 КоАП (новый) и по ст. 13.11 ч. 8 КоАП (несоблюдение локализации, до 6 000 000 ₽).
Источники
- ФЗ-406 от 31.07.2023 (требование российской авторизации) — Консультант
- Разбор ФЗ-199 и ст. 13.55 КоАП — Гарант — garant.ru
- «Российские сайты будут крупно штрафовать за авторизацию с помощью Gmail» — CNews, 10.06.2026
- Новая ст. 13.55 КоАП РФ — Консультант