8 499 938-65-20
Бесплатная консультация юриста
Мы — ваш онлайн-юрист 👨🏻‍⚖️
Опишите ситуацию — юрист подскажет, что делать дальше.
1150 ₽

Сюда попадают иностранные почтовые адреса (Gmail, Hotmail и т.д.) либо другие зарубежные сервисы (Apple ID, Google ID и т.д.)

26.06.2026 Путин подписал указ, , вводя административную ответственность за нарушение правил авторизации пользователей.

В СМИ пишут, что Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем.

К ним относятся:

- номер российского телефона;

- портал "Госуслуги";

- единая биометрическая система;

- иные системы, владельцами которых являются граждане РФ или российские юридические лица.

Использование иностранной электронной почты или зарубежных сервисов для этих целей запрещено. Сюда попадают иностранные почтовые адреса (Gmail, Hotmail и т.д.) либо другие зарубежные сервисы (Apple ID, Google ID и т.д.).

На нашем сайте для авторизации используются 2 варианта:

1) по номеру мобильного телефона

2) по связке: логин/email + пароль (при этом email может быть любой)

Плюс есть сервис восстановления пароля через email

Ранее на проф.форумах обсуждалась данная тема, и там приводилась следующая аргументация:

"...

Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.

Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.

Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.

Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.

Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) -- аутентификация (вы доказываете это паролем или хешем) -- авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.

..."

Вопросы:

1) нужно ли нам изменять порядок авторизации на сайте

https://piteroils.ru/personal/auth/

а именно: отказываться от связки email+пароль в сторону исключительно логин+пароль или вводить проверку, к российскому или зарубежному сервису относится email клиента?

2) должны ли мы проводить проверку мобильных телефонов на принадлежность исключительно российским номерам (и как быть, если доставка в ближнее зарубежье) и предупреждать на сайте об использовании только российских номеров?

3) восстановление пароля у нас идет в том числе через email.

Должны ли мы отказаться от этого шага или ограничить восстановление только через email яндекс? или можем спокойно отправлять ссылки на восстановление на указанный клиентом email, не проверяя, к зарубежному или российскому сервису он относится?

Показать полностью
, Ольга, г. Санкт-Петербург
appleGoogleгосуслугисайтяндексюридические лицасмиответственностьзащита информации

Здравствуйте.

Собственно, введенная административная ответственность лишь устанавливает ее, а обязанность владельцев сайтов была предусмотрена ранее — в п.10 ст. 8 Закона №149-ФЗ, в котором были определены 4 способа авторизации, которые являются приемлемыми с точки зрения данного закона:

10. Владелец сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:

Каких-то иных вариантов законом не предусмотрено, поэтому 

а именно: отказываться от связки email+пароль в сторону исключительно логин+пароль или вводить проверку, к российскому или зарубежному сервису относится email клиента?

 вероятно можно пользоваться способом №1:

1) с использованием абонентского номера оператора подвижной радиотелефонной связи;

Ну или вводить проверку.

2) должны ли мы проводить проверку мобильных телефонов на принадлежность исключительно российским номерам (и как быть, если доставка в ближнее зарубежье) и предупреждать на сайте об использовании только российских номеров?

 Полагаю, что проверять тут можно только по номеру телефона.

3) восстановление пароля у нас идет в том числе через email.

 Предположу, что придется использовать СМС-восстановление.

Вообще несмотря на введение этой нормы еще в 2023 году, пока все еще очень сыро и неопределенно. Но поскольку уже введена административная ответственность (а до ее введения владельцам сервисов и сайтов было предоставлено 3 года, чтобы к этому подготовиться), сейчас наконец могут появиться и какие-то конкретизированные разъяснения по данному вопросу.

0
0
0
0

У вас похожая ситуация?

Опишите свои детали — юрист подскажет, что делать.

Здравствуйте, Ольга! Я изучил Ваш вопрос и технические нюансы сайта piteroils.ru. Вносить радикальные изменения в систему и отключать привычные способы входа не требуется.

За тридцать лет практики я убедился: важно опираться на буквальный текст закона, а не на панику в СМИ. Закон номер 199-ФЗ от 26.06.2026 (статья 13.55 КоАП РФ) отсылает к части 10 статьи 8 закона 149-ФЗ. Штраф за нарушение по ст. 13.55 КоАП РФ достигает 300 000 рублей, поэтому важно уже сейчас зафиксировать соответствие Вашего сайта закону. Сами нормы не запрещают использовать иностранную почту.

Отвечаю на Ваши вопросы:

1. Отказываться от связки email и пароль или проверять домен почты не нужно. Почта (даже gmail.com) — это лишь логин. Согласно п. 3.20 ГОСТ Р 58833-2020, email — это лишь идентификатор, что дополнительно усиливает Вашу позицию при любой проверке. Поскольку Ваша база данных находится в РФ и сама сверяет пароли, авторизацию проводит Ваша собственная отечественная система, что полностью соответствует пункту 4 части 10 статьи 8 закона номер 149-ФЗ. Закон запрещает именно внешние зарубежные сервисы (Google OAuth или Apple ID), когда проверка сессии идет на иностранных серверах. Без таких кнопок требования соблюдены.
2. Проверять номера на принадлежность только к РФ не требуется. Вы вправе авторизовать клиентов из СНГ по их номерам. Закон регулирует сам механизм, а не географию покупателей.
3. Восстановление пароля через иностранную почту абсолютно законно. Это сервисная транзакция, а не авторизация. Вы можете спокойно отправлять ссылки на любые адреса.

Я советую сделать следующее:

1. Оставить форму входа по email и паролю без изменений.
2. Сохранить авторизацию по иностранным номерам для клиентов из СНГ.
3. Удалить кнопки входа через Google или Apple ID, если они установлены.

Ольга, чтобы исключить риск штрафа до 300 000 рублей и получить документальное подтверждение законности Вашей системы, пришлите в чат алгоритм авторизации. В течение 1–2 рабочих дней я подготовлю официальное заключение, на которое Вы сможете ссылаться при любой проверке.

0
0
0
0
Похожие вопросы
1150 ₽
Вопрос решен
Взыскание задолженности
Добрый день из-за перебоев с работой (санкции, бомбежка морских портов и тд, я занимаюсь грузоперевозками)
Добрый день из-за перебоев с работой (санкции, бомбежка морских портов и тд, я занимаюсь грузоперевозками), образовалась просрочка по автокредиту (около 5 месяцев) банк требует внести либо всю сумму,(913 000р) либо вернуть автомобиль ,сейчас с работой у меня наладилось и я прошу их поставить меня обратно в график и я буду платить, но на уговоры, чтобы встать в график банк дает полный отказ, какие есть варианты, чтобы сохранить автомобиль и продолжит платить за него по графику?
, вопрос №4988347, Роман, г. Москва

У вас похожая ситуация?

Опишите свои детали — юрист подскажет, что делать.
Военное право
И что делать нам в этом случае?
молодой человек после отпуска не вернулся в зону СВО. Таксист которому заплатил деньги заранее обманул, и не вернул денег, а на дальнейшие передвижения к части средств не было. С командиром бригады был на связи, не скрывался. Ком.бриг. начал угрожать тем что его отправит в штурм и тд. Думал что сами приедут заберут, в итоге через полтора месяца пошёл сам в военкомат, так как были выходные сторож ему сказал приходить в понедельник. В военкомате оставил адрес места постоянного пребывания и номер сотового. За это время его подали в федеральный розыск, после посещения военкомата приехали вп и забрали в комендатуру. У молодого человека в 24 году погиб старший брат в зоне СВО, в связи с этим он перед отпуском подписал рапорт о переводе в тыловую зону. Какое наказание ему может быть? И что делать нам в этом случае?25 августа выходит срок контракта
, вопрос №4988649, Лиза, г. Туймазы

У вас похожая ситуация?

Опишите свои детали — юрист подскажет, что делать.
Защита прав потребителей
Значит 5100 долларов мне должен вернуть сервис банкоматов?
У Илона Маска 28 июня юбилей. Поздравляю. И себя поздравляю тоже. Этой ночью мне пришла в голову мысль, если криптовалютные операции в блокчейне прозрачны, то и должна отслеживаться каждая из 6 операций перевода криптовалюты в адрес кошелька того Илона Маска. Пусть прокуратура и полиция выясняет тот или не тот Илон Маск. Но после того как он отправил мне 7 авг 2023 200. Тыс фальшивых долларов я 8и 9 авг 2023 отправила ему по его требованию 6 операциями через биткоин банкомат 5100 нефальшивых моих долларов на инвестиции компании Тесла по его требованию. Но 9 августа 2023 я обнаружила что его подаренные 200 тысяч долларов были заблокированы, я 9 авг 2023 обратилась в адрес сервиса банкоматов о блокировке и возврате денег моих в адрес кошелька обманщика. О том что подаренные 200 тысяч были фальшивые мне стало известно только в мае 2026 и 22 мая 2026 я обратилась в прокуратуру полицию США, так банкоматы были их. До этого времени я только жаловалась на блокировку этих денег и сокрытие от обозрения. Сегодня ночью я решила адрес кошелька вставить и просмотреть путь денег отправленных из банкомата. К моему удивлению в блокчейне такие трансакции не значатся. Это значило что сервис банкоматов прислал мне номер телефона для связи в ответном на мой емаил о блокировки 6 транзакций через банкомат. Деньги из банкомата вынимаются через несколько дней, а потому они не прошли в блокчейн , а осели в банкомате. Теперь я имею еще одного ответчика в деле. Это этот сервис подтвердивший получение моего сигнала блокировки. Как доказательство деньги в блокчейне не появились. Значит 5100 долларов мне должен вернуть сервис банкоматов? Из тех ошибочных переводов останется еще отправленные до подаренных 200000 долларов денег в сумме 7500- 6150=1350$
, вопрос №4987750, ольга гаио, г. Санкт-Петербург

У вас похожая ситуация?

Опишите свои детали — юрист подскажет, что делать.
Семейное право
Или мне по минимуму и делать ходатайство на розыск по ст 120 гпк рф?
Здравствуйте. Подала в сул на установление отцовства и взыскание алиментов. В браке не были с ответчиком, из доказательств только ходатайство на днк. Ответчик жил на съемной квартире (друга), адрес его регистрации не установлен мной. Работа- предположить могу последнее место работы. Ответчик уклонист, суд на первом собеседовании сообщил, что не смогли его оповестить, т.к. найти не удалось. До этого подавала ходатайство на истребование данных с органов МВД и тд. 1)Если ответчик имеет левую регистрацию или не имеет, то моё дело оставят без движения? 2) Может быть стоит сказать искать его через его брата, они живут в разных местах, через его сына ? 3) Я могу суду дать адрес ,который удалось поймать при сливах в открытые данные сети, где он предположительно мог быть (возможно там его родня)? Или мне по минимуму и делать ходатайство на розыск по ст 120 гпк рф?
, вопрос №4987648, Альбина, г. Москва

У вас похожая ситуация?

Опишите свои детали — юрист подскажет, что делать.
Защита прав потребителей
Что можно сделать и к чему стоит готовиться в таком случае?
Здравствуйте, приобрели поддержанный автомобиль в кредит 31 мая в г.Краснодар в автосалоне. Поехали на нём домой в Челябинск и проехали в общем уже около 3,500 тыс. км. За это время поняли, что двс ест масло необычайно много ~примерно 1литр масла на 1.000тыс.км. В сервисе мастер приговорил двс и сказал, что дешевле будет заменить двс на контракт, нежели ремонтировать его. Заявили нам сумму 200-300тыс.рублей в зависимости от цены контрактного двс. вместе с заменой. Обратились в салон - после 14 дней переговоров нам дали конечный ответ - готовы выделить 150.000тыс. рублей и не более. Соответственно сумма нас не устраивает. Были доп услуги от самого салона(на подобии: покрытие керамикой, полировка и тд ~ в среднем по 30-40тыс. рублей) Так же была завышена стоимость авто(рыночная 1.400.000, а продали за 1.800.000). Что можно сделать и к чему стоит готовиться в таком случае?
, вопрос №4987598, Александр, г. Челябинск

У вас похожая ситуация?

Опишите свои детали — юрист подскажет, что делать.
Дата обновления страницы 29.06.2026