Если IT-компания сама не производит шифрование, но она хэширует пароли на своём сайте, нужна ли для такой деятельности лицензия ФСБ на СКЗИ?

Может быть Вам нужно обратить внимание на пункт 27 приложения к Постановлению Правительства РФ №313.

Есть исключения. Зависит от того, что Вы делаете, что для этого используете.

Постановление Правительства РФ от 16.04.2012 N 313
(ред. от 03.02.2023)
«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»

ПЕРЕЧЕНЬ
ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ
ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ
(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ

п27. Предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.

Также может быть есть смысл обратить внимание на следующий нормативно-правовой акт:

Постановление Правительства РФ от 03.02.2012 N 79
(ред. от 03.02.2023)
«О лицензировании деятельности по технической защите конфиденциальной информации»
(вместе с «Положением о лицензировании деятельности по технической защите конфиденциальной информации»)