Владельцам российских сайтов запретили авторизовывать пользователей через иностранные сервисы и использовать зарубежные сертификаты. Как это коснется пользователей?

Госдума сразу во втором и третьем (окончательном) чтениях приняла законопроект, который вводит административную ответственность за нарушение правил авторизации. Теперь, согласно инициативе депутатов, владельцев российских сайтов начнут штрафовать за то, что пользователи могут войти через иностранные сервисы (например, Google или Apple ID). О деталях инициативы и о том, кого она может коснутся, — в разборе «Новой-Европа». .
В чем заключается инициатива?
Законопроект в ноябре 2025 года внесла группа депутатов, среди которых Андрей Луговой и Антон Горелкин. Одно из положений нового антифрод-закона добавляет в российский КоАП статью 13.55 («Авторизация пользователей»). Согласно ей, если сайт или приложение требует, чтобы пользователи авторизовывались, его владельцы обязаны проверять, что они из России, и использовать разрешенные способы.
Авторы законопроекта в пояснительной записке говорили, что ещё в 2023 году в закон «Об информации» внесли поправку, обязавшую сайты пускать пользователей только через российский номер телефона, «Госуслуги», биометрию или российский сервис авторизации. Но штрафов за то, что это правило не соблюдается, до сих пор не было.
Теперь же, согласно законопроекту, за авторизацию на онлайн-порталах через иностранные сервисы, в том числе почту Gmail и Apple ID, будут штрафовать: для граждан-владельцев сайтов штраф составит до 20 тысяч рублей, для должностных лиц — до 50 тысяч, для юрлиц — до 700 тысяч.
Что еще прописано в законопроекте?
Отдельная часть законопроекта касается TLS-сертификатов, которые обеспечивают защищенное HTTPS-соединение, то есть шифруют трафик в браузере. Закон формализует работу российского национального удостоверяющего центра (НУЦ) и обязывает разработчиков российских браузеров встроить его сертификат как доверенный. Правительство при этом получает право постановлением сделать сертификат НУЦ обязательным в отдельных сферах — например, в банковском секторе. Таким образом, теперь государство контролирует как DNS (то, куда ведёт домен) при помощи Национальной системы доменных имён, так TLS (то, доверяет ли браузер домену). „
«Это действительно несёт некоторые риски по безопасности и анонимности для российских пользователей. Еще один инфраструктурный шаг к суверенизации Рунета,
— уверен IT-специалист и координатор проектов eQualitie на русском языке Леонид Юлдашев. — В частности, государство сможет таким образом устраивать атаку вида Man-in-the-Middle, когда регулирующий орган, который видит, на какие страницы каких сайтов вы заходите, если у этих сайтов есть этот российский государственный сертификат, сможет подменять при необходимости одни страницы другими. И мы знаем такие случаи в Казахстане в 2019 году».
Этим же законом депутаты снова усложнили работу VPN. Теперь хостинг-провайдеры и дата-центры больше не могут предоставлять серверы VPN-клиентам, которые дают доступ к заблокированным в России ресурсам.
Именно серверы внутри страны были особенно эффективны для обхода блокировок, отмечает Юлдашев. Трафик с них воспринимается российской инфраструктурой как внутренний и хуже поддается фильтрации через ТСПУ.
Закон об авторизации касается абсолютно любых сайтов?
Закон касается не любых сайтов в принципе, а только российских информационных ресурсов (сайтов, приложений, информационных систем). То есть зайти в Инстаграм через почту Gmail даже после принятия закона точно получится.
Кроме того, документ устанавливает требования и штрафы исключительно для их владельцев. Про ответственность пользователей в законе не прописано. „
Закон не запрещает для обычных пользователей иметь условный Gmail, отметил в разговоре с «Новой-Европа» IT-специалист Саркис Дарбинян.
Однако он вводит обязанность для владельцев российских сайтов и приложений не использовать иностранные сервисы как способ авторизации пользователей из РФ, если сайт работает на территории РФ и допускает вход/регистрацию.
«То есть для обычного пользователя это ощутиться так, что на сайтах в зоне .ru и российских app будет оставаться все меньше альтернативных способов авторизации. Граждан штрафовать не предусматривается. Однако, владельцам сервисов в зоне RU — сайтов и приложений — проект добавляет новый весомый риск в виде штрафа до 700к рублей, что весьма существенно для малого предпринимательства», — говорит эксперт. Фото: Артем Геодакян / ТАСС / ZUMA Press / Scanpix / LETA.
Что теперь остается делать пользователям?
Если законопроект примут, это вовсе не будет значить, что необходимо иметь лишь только российские почты, отметил Саркис Дарбинян. „
По словам эксперта, надо иметь разные почты и разные сервисы для разных целей.
На многих сервисах всё также останется возможность использовать любые почты для регистрации, но для авторизации в некоторых приложениях теперь можно будет пользоваться лишь теми способами, которые указаны в законе.
«Госуслуги и ЕСИА — это не единственный выбор. Авторизоваться можно будет по российскому мобильному номеру или через условные Яндекс и ВК. Стоит напомнить, что использование этих сервисов чревато соблюдением платформой закона Яровой, а значит внесудебным доступом майора ФСБ ко всей доступной информации, в том числе к содержанию самих писем в почтовом ящике. Если не смущает круглосуточное наблюдение [на конкретной платформе, где вы будете использовать российский сервис для авторизации], то это может быть вплоне рабочий решением», — говорит эксперт.
Российские сервисы действительно игнорировали требования авторизации?
Анализ «Агентства» в ноябре прошлого года показал, что 16 сайтов из топ-50 (почти треть) всё ещё предлагают вход через иностранные сервисы: это, в частности, Google, X, Apple ID и Telegram. Среди них — Mail.ru, Ozon, Avito, «Яндекс» и «Одноклассники».
Кроме того, закон проигнорировали и другие известные сервисы: несколько проектов «Яндекса» (Маркет, Музыка, Кинопоиск), сервисы Mail.ru (Облако, Новости), а также Drom, Drive2, hh.ru, 2ГИС, российский AliExpress и даже сайт с мангой Mangalib.
Хотя Юлдашев и считает новые ограничения для VPN и TLS более важными, чем запрет авторизации через иностранные сервисы, он уверен, что российские регуляторы действительно начнут штрафовать владельцев сайтов за нарушение этого запрета. «А кому это будет приятно», — подытоживает он.
А что говорили авторы законопроекта?
Горелкин, комментируя инициативу, еще в ноябре написал: «Авторизация через Google — ВСЁ». Однако он уверил, что обычных пользователей это не коснется – только тех «владельцев сайтов и приложений, которые уже два года игнорируют закон».
«Инициатива направлена на дальнейшее уменьшение зависимости Рунета от решений из недружественных стран», — утверждал он.
В пояснительной записке депутаты обосновывали закон статистикой киберпреступлений: 380 тысяч мошеннических дел в 2024 году, ущерб — почти 189 миллиардов рублей. При этом они не объяснили, как запрет авторизации, VPN-хостинга и иностранных сертификатов поможет бороться с этим. ...