Вход через Google и Apple ID на сайте: что проверить владельцу, чтобы не получить штраф

С 27 июля 2026 года за вход на сайт через Google, Apple ID и другие зарубежные сервисы вводят штрафы до 700 тысяч рублей. Разбираем, что именно запрещено, чем регистрация по email отличается от кнопки «Войти через Google», какие способы входа разрешены и что проверить на сайте. Внутри — чек-лист и ссылки на закон. Если на вашем сайте есть кнопка «Войти через Google» или «Войти через Apple ID», это повод проверить настройки авторизации. Требование использовать только российские способы входа действует с конца 2023 года, но теперь за его нарушение появилась административная ответственность, и штрафы заметные. Ниже — что именно поменялось в законе, кого это касается и какие способы входа теперь разрешены. В конце есть чек-лист для проверки сайта.

Что изменилось

Само правило не новое. С 1 декабря 2023 года владельцы российских сайтов обязаны авторизовывать пользователей из России только через разрешённые способы. Это требование закреплено в части 10 статьи 8 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Долгое время за нарушение фактически ничего не грозило, поэтому многие сайты оставили вход через зарубежные сервисы как есть. Теперь это изменилось. КоАП дополнили двумя новыми статьями со штрафами: статья 13.55 — за неисполнение обязанности проводить авторизацию пользователей, и статья 13.56 — за нарушение требований к рекомендательным технологиям. Штрафы начинают действовать с 27 июля 2026 года. Важный момент: обычных пользователей это не касается. Ответственность лежит на владельцах сайтов и приложений, а не на тех, кто заходит через тот или иной аккаунт.

Какие способы входа теперь под запретом

Под ограничение попадает авторизация через зарубежные сервисы. Это, например:

• вход через Google (кнопка «Sign in with Google»);
• вход через Apple ID;
• вход через аккаунты иностранных соцсетей;
• вход через зарубежные почтовые сервисы.

Технически речь идёт о любых OAuth-кнопках, которые перенаправляют пользователя на серверы иностранных сервисов для подтверждения личности.

Какие способы входа разрешены

Авторизацию нужно перевести на российские инструменты. Часть 10 статьи 8 закона № 149-ФЗ перечисляет четыре разрешённых способа авторизации пользователя:

1. с использованием абонентского номера оператора подвижной радиотелефонной связи;
2. с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации…» (ЕСИА, «Госуслуги»);
3. с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (ЕБС);
4. с использованием иной информационной системы, обеспечивающей авторизацию пользователей… принадлежащей гражданину Российской Федерации, не имеющему гражданства иного государства, либо российскому юридическому лицу.

— ч. 10 ст. 8 Федерального закона № 149-ФЗ

На практике под четвёртый пункт попадают российские сервисы авторизации — например, Яндекс ID, VK ID, Сбер ID — и собственная система входа сайта по логину и паролю. Минимально достаточно оставить хотя бы один разрешённый способ: обычный вход по email и паролю уже подходит.

Важный нюанс: регистрация по email — это не вход через Google

Путаница обычно в одном: кажется, что запрещён сам адрес @gmail.com. Но закон смотрит не на адрес почты, а на то, какая информационная система проводит авторизацию. Это видно из формулировки четвёртого разрешённого способа:

…с использованием иной информационной системы, обеспечивающей авторизацию пользователей… принадлежащей гражданину Российской Федерации, не имеющему гражданства иного государства, либо российскому юридическому лицу. — ч. 10 ст. 8 Федерального закона № 149-ФЗ, п. 4

Сравните два сценария:

• Регистрация по email и паролю, даже если адрес заканчивается на @gmail.com. Авторизацию проводит собственная система сайта, то есть российская информационная система из пункта 4. Адрес почты здесь только контакт, а не способ входа. Это разрешено.
• Кнопка «Войти через Google» или Apple ID. Пользователь уходит подтверждать вход на серверы Google, авторизацию проводит иностранная система, которой нет в перечне ч. 10 ст. 8. Это под запретом.

Дело не в домене почты, а в том, кто проверяет вход: ваш сайт или зарубежный сервис.

Кого это касается

Требование затрагивает сайты и сервисы, где пользователи заводят аккаунты и входят в них:

• интернет-магазины и маркетплейсы;
• сервисы бронирования и записи;
• образовательные платформы и личные кабинеты;
• программы лояльности и клиентские порталы;
• SaaS-сервисы и любые сайты с регистрацией.

Если на сайте нет авторизации вообще — например, это лендинг или корпоративный сайт без личных кабинетов, — этой части требований у вас нет.

Отдельное требование: рекомендательные технологии

Второе нарушение, за которое теперь штрафуют, связано с рекомендательными алгоритмами. Это требование тоже действует не первый год, но раньше за него не наказывали. Рекомендательные технологии — это любые алгоритмы, которые подбирают пользователю товары или контент на основе его предпочтений и поведения. Если на сайте есть блоки вроде «вам может понравиться», «похожие товары» или персональная подборка, требование вас касается. Обязанности владельца перечислены в статье 10.2-2 закона № 149-ФЗ:

…не допускать предоставление информации с применением рекомендательных технологий без информирования пользователей сети «Интернет» о применении… …разместить на информационном ресурсе… документ, устанавливающий правила применения рекомендательных технологий… …разместить на информационном ресурсе… адрес электронной почты для направления ему юридически значимых сообщений, свои фамилию и инициалы (для физического лица) или наименование (для юридического лица). — ст. 10.2-2 Федерального закона № 149-ФЗ

На практике нужно:

• разместить уведомление о применении таких технологий — на главной странице и на всех страницах, где собираются данные пользователей;
• опубликовать правила применения рекомендательных технологий на русском языке;
• указать адрес электронной почты для юридически значимых сообщений и сведения о владельце ресурса (имя или наименование).

Уведомление нельзя прятать, перекрывать другим текстом или делать незаметным — оно должно быть доступно пользователю.

Сколько составляют штрафы

Размеры штрафов одинаковы для обоих нарушений, по статьям 13.55 и 13.56 КоАП:

• для граждан — от 10 до 20 тысяч рублей;
• для должностных лиц — от 30 до 50 тысяч рублей;
• для организаций — от 500 до 700 тысяч рублей.

За повторное нарушение суммы для организаций вырастают примерно до 1–1,4 млн рублей. Отдельно предусмотрен штраф до 2,8 млн рублей для юрлиц за повторное игнорирование требования Роскомнадзора прекратить применять рекомендательные технологии. При нарушении правил надзорный орган сначала направляет уведомление с требованием устранить нарушение. То есть у владельца есть возможность всё исправить — поэтому имеет смысл проверить сайт заранее, не дожидаясь претензий.

Что проверить на сайте прямо сейчас

Пройдитесь по пунктам:

• Есть ли на сайте вход через Google, Apple ID или другие зарубежные сервисы.
• Остался ли хотя бы один разрешённый способ входа — телефон, «Госуслуги», российский сервис или логин с паролем.
• Не осталась ли иностранная авторизация в мобильном приложении, на тестовых поддоменах или в старых версиях интерфейса.
• Используются ли на сайте рекомендательные алгоритмы и блоки персональных подборок.
• Опубликованы ли уведомление и правила применения рекомендательных технологий.
• Указаны ли контакты для юридически значимых сообщений и сведения о владельце ресурса.

Как привести сайт в порядок

Если по чек-листу нашлись пробелы, действовать стоит последовательно:

1. Соберите все точки входа. Проверьте основной сайт, мобильное приложение, тестовые домены и API — иностранная авторизация часто остаётся именно в забытых местах.
2. Убедитесь, что есть разрешённый способ входа. Прежде чем отключать кнопки зарубежных сервисов, оставьте пользователям рабочую альтернативу, чтобы никто не потерял доступ к аккаунту.
3. Полностью отключите иностранную авторизацию. Важно убрать не только саму кнопку, но и её обработку на стороне сервера. Скрытая кнопка при работающем OAuth — это всё ещё нарушение.
4. Настройте рекомендательные технологии по требованиям. Разместите уведомление и правила, добавьте контакты и сведения о владельце.
5. Сохраните подтверждения изменений. Скриншоты, даты правок и описание внесённых изменений помогут, если потребуется показать, что сайт приведён в соответствие.

Документы и ссылки на закон

• Часть 10 статьи 8 Федерального закона № 149-ФЗ — обязанность авторизовывать пользователей из России и перечень из четырёх разрешённых способов.
• Статья 10.2-2 Федерального закона № 149-ФЗ — требования к применению рекомендательных технологий.
• Статьи 13.55 и 13.56 КоАП РФ — административная ответственность за нарушение этих требований (вступают в силу 27 июля 2026 года). Обзоры закона: ГАРАНТ.РУ, ComNews.

Полезные инструменты

Анализ сайта Проверка установленных ссылок Проверка состояния сайта Проверка скорости сайта Массовая проверка Core Web Vitals Найти похожие сайты Whois домена Проверка Яндекс.ИКС Аналитика Telegram-каналов Проверка доверия к сайту

Источник