·6 мин чтения

Штрафы за кнопку «Войти через Google»: что запрещает новый закон

С 7 июля 2026 года (ФЗ-199 от 26.06.2025, ст. 13.55 КоАП) российским сайтам запрещено предлагать авторизацию через Google, Apple ID и другие иностранные OAuth-сервисы. Штраф до 700 000 ₽ для юрлиц. Разбираем что запрещено, что нет и что делать.

Автор: compliance-команда сервиса

Многие владельцы сайтов формулируют это как «запрет Gmail» — но это неточно. Закон не запрещает ни использовать адреса @gmail.com как логин, ни заводить почту на иностранных сервисах. Запрет касается другого: кнопок «Войти через Google», «Sign in with Apple» и аналогичных OAuth-виджетов на российских сайтах.

С 7 июля 2026 года за такую кнопку владельцу сайта грозит штраф до 700 000 ₽. Это предусмотрено Федеральным законом № 199-ФЗ от 26.06.2025, который добавил в КоАП новую статью 13.55 — административную ответственность за нарушение правил аутентификации.

Предыстория: два закона, одна тема

История вопроса началась в 2023-м. Тогда ФЗ-406 от 31.07.2023 обязал владельцев российских сайтов предоставить пользователям хотя бы один из «российских» способов входа: через номер телефона, Госуслуги (ЕСИА), Единую биометрическую систему или российскую информационную систему. Срок — с 1 декабря 2023 года.

Проблема была в том, что за игнорирование требований не было никакой ответственности. Большинство сайтов продолжали предлагать «Войти через Google» как ни в чём не бывало. ФЗ-199 закрыл этот пробел: теперь есть конкретные штрафы.

Что именно запрещено — и что нет

СценарийСтатус
Кнопка «Войти через Google» (OAuth 2.0 / OpenID Connect через серверы Google)Запрещено
Кнопка «Sign in with Apple»Запрещено
Авторизация через Facebook / Instagram (Meta)Запрещено
Авторизация через иностранные соцсети (Twitter/X, LinkedIn и т.п.)Запрещено
Поле «Email», куда пользователь вводит свой user@gmail.com как логинРазрешено — это не OAuth, это просто текстовое поле
Авторизация через VK ID, Яндекс ID, OK.ruРазрешено (российские операторы)
Авторизация через Госуслуги (ЕСИА)Разрешено и поощряется
Авторизация по российскому номеру телефона (SMS/звонок)Разрешено
Собственная форма логин + пароль сайтаРазрешено без ограничений

Ключевой критерий нарушения — авторизация проходит через серверы иностранного сервиса, то есть сессия пользователя технически управляется Google, Apple или другой зарубежной компанией. Если пользователь просто вводит свой gmail-адрес как имя пользователя в обычную форму — это не OAuth, закон не нарушается.

Штрафы по ст. 13.55 КоАП РФ

СубъектПервое нарушениеПовторное нарушение
Физическое лицо10 000 — 20 000 ₽40 000 — 80 000 ₽
Индивидуальный предприниматель30 000 — 50 000 ₽60 000 — 100 000 ₽
Юридическое лицо500 000 — 700 000 ₽1 000 000 — 1 400 000 ₽

Ответственность несёт владелец сайта, а не пользователь. Гражданину, который пользовался кнопкой Google для входа, штраф не грозит. Закон направлен именно на операторов интернет-ресурсов.

Кого это касается

Под действие закона подпадают владельцы российских сайтов, приложений и информационных систем, которые требуют регистрации или авторизации пользователей. Фактически — это любой интернет-магазин, сервис, форум, SaaS-платформа с личным кабинетом.

Международные компании, чьи продукты ориентированы на аудиторию за пределами РФ и чьи сервера находятся не в России, формально могут находиться вне российской юрисдикции. Тем не менее российские юристы рекомендуют всем, кто имеет российских пользователей, ориентироваться на требования закона.

Что делать, если на сайте стоит «Войти через Google»

  1. Провести аудит форм авторизации. Найти все OAuth-кнопки — через Google, Apple, любые иностранные соцсети. Обычно они реализованы через библиотеки типа passport.js (стратегии passport-google-oauth20, passport-apple) или Firebase Auth.
  2. Добавить российскую альтернативу — VK ID, Яндекс ID, авторизацию по SMS или собственную форму. Это обязательно даже без удаления иностранных кнопок (было требованием с 2023-го).
  3. Убрать или отключить иностранные OAuth-кнопки после того, как российская альтернатива протестирована и запущена для пользователей.
  4. Уведомить пользователей, у которых аккаунты созданы через Google/Apple: предложить привязать российский способ входа или задать пароль до отключения старого.

Практический срок на перестройку — до 7 июля 2026 года: закон вступил в силу именно в этот день. Если кнопка всё ещё стоит — нарушение уже действует.

Связь с 152-ФЗ

Авторизация через Google — это ещё и нарушение 152-ФЗ «О персональных данных»: данные российского пользователя в ходе OAuth передаются на серверы Google (США), что является трансграничной передачей без уведомления РКН и без согласия субъекта ПДн. Таким образом, один виджет может дать сразу два независимых состава — по ст. 13.55 КоАП (новый) и по ст. 13.11 ч. 8 КоАП (несоблюдение локализации, до 6 000 000 ₽).

Источники

  • ФЗ-406 от 31.07.2023 (требование российской авторизации) — Консультант
  • Разбор ФЗ-199 и ст. 13.55 КоАП — Гарант — garant.ru
  • «Российские сайты будут крупно штрафовать за авторизацию с помощью Gmail» — CNews, 10.06.2026
  • Новая ст. 13.55 КоАП РФ — Консультант
#РКН#авторизация#Google#Apple ID#ФЗ-199#штрафы 2026#OAuth