В начале июня по рунету снова прошла волна тревожных новостей: владельцев сайтов будут штрафовать за регистрацию и авторизацию через зарубежные сервисы. В заголовках мелькали Google, Apple, Gmail, иностранная почта, штрафы до 700 тысяч рублей, а при повторном нарушении — до 1,4 млн.
После таких новостей у владельца обычного сайта или интернет-магазина возникает вполне понятный вопрос: что теперь делать? Запрещать регистрацию с почтой Gmail? Срочно переписывать сайт? Подключать Госуслуги? Убирать личный кабинет? Снова платить разработчикам за очередную срочную доработку?
Разобрались в теме. Вывод такой: паниковать не нужно, но проверить сайт стоит.
Главное: обычная форма регистрации вида «email + пароль» — это не то же самое, что вход через Google, Apple или другой иностранный сервис авторизации. Закон говорит не про домен почты сам по себе, а про способ авторизации пользователя.
Теперь по порядку.
Что вообще произошло
9 июня 2026 года Госдума приняла закон о штрафах за нарушение правил авторизации пользователей на сайтах и в приложениях.
Суммы действительно неприятные:
- для граждан — от 10 000 до 20 000 рублей;
- для должностных лиц — от 30 000 до 50 000 рублей;
- для юридических лиц — от 500 000 до 700 000 рублей;
- при повторном нарушении для юридических лиц — до 1,4 млн рублей.
Но важный момент: 9 июня закон был принят Госдумой. Это не то же самое, что «с сегодняшнего дня всех уже штрафуют». Закон должен пройти всю процедуру: Совет Федерации, подпись президента, официальное опубликование и вступление в силу.
То есть инфоповод реальный. Но подача в СМИ и соцсетях местами получилась такая, что люди смешали в одну кучу несколько разных норм.
Что за правила авторизации
Сами правила авторизации появились не 9 июня 2026 года. Они были введены раньше — через изменения в закон «Об информации, информационных технологиях и о защите информации».
Суть такая: если российский владелец сайта, приложения или информационной системы дает доступ пользователям после авторизации, то пользователей, находящихся в России, нужно авторизовывать законными способами.
В законе перечислены варианты:
- через номер мобильного телефона;
- через ЕСИА, то есть Госуслуги;
- через Единую биометрическую систему;
- через иную информационную систему, которая обеспечивает авторизацию, соответствует требованиям защиты информации и принадлежит российскому гражданину или российскому юридическому лицу.
Именно последний пункт важен для обычных сайтов и интернет-магазинов.
У большинства небольших сайтов нет входа через Госуслуги и биометрию. Обычно есть простая регистрация: пользователь вводит email, пароль, имя, телефон. Сайт создает учетную запись в своей базе. Дальше человек входит по логину и паролю.
Такой механизм — это внутренняя система авторизации сайта. Если она находится под контролем российского владельца сайта, то это совсем другая история, чем кнопка «Войти через Google».
Где началась путаница с Gmail
Проблема в том, что в новостях часто смешивают три разные вещи:
- регистрацию;
- авторизацию;
- электронную почту как контакт пользователя.
Регистрация — это создание аккаунта. Например, человек указал имя, email и пароль.
Авторизация — это вход в уже созданный аккаунт. Например, человек ввел логин и пароль, а сайт проверил их в своей базе.
Email — это может быть просто логин или контактный адрес. Например, user@gmail.com.
Если пользователь в обычной форме сайта указал user@gmail.com, это еще не значит, что сайт авторизует его через Google. Google в этом сценарии не проверяет пароль, не подтверждает личность пользователя, не выдает сайту токен входа. Пользователь просто написал свой адрес.
Другое дело — кнопка «Войти через Google». В этом случае сайт действительно отдает авторизацию внешнему сервису. Пользователь нажимает кнопку, переходит на сторону Google, подтверждает вход, а сайт получает результат от Google. Вот это уже иностранный сервис авторизации.
Разница принципиальная.
Значит, Gmail не запрещен?
Если говорить аккуратно: в тексте закона нет прямой фразы «запрещено принимать при регистрации адреса Gmail» или «нельзя использовать почтовые ящики иностранных сервисов».
Закон говорит о способах авторизации. Он не говорит о том, что владелец сайта обязан проверять домен каждого email-адреса и блокировать @gmail.com, @outlook.com, @icloud.com и сотни других доменов.
Поэтому вывод «любой Gmail в форме регистрации теперь запрещен» выглядит слишком грубым.
Более разумное толкование такое:
- нельзя использовать иностранные сервисы авторизации вроде Google ID, Apple ID, Microsoft, GitHub и похожих решений;
- можно использовать внутреннюю систему сайта, если она принадлежит допустимому российскому владельцу и не завязана на иностранный сервис авторизации;
- сам по себе email пользователя на иностранном домене не делает авторизацию «иностранной».
Иными словами: если у интернет-магазина есть обычная форма «email + пароль», это не повод срочно запрещать Gmail.
Когда риск действительно есть
Проверить сайт всё равно нужно. Не из-за самого Gmail, а из-за архитектуры авторизации.
Риск высокий, если на сайте есть кнопки:
- «Войти через Google»;
- «Войти через Apple»;
- «Войти через Microsoft»;
- «Войти через GitHub»;
- другие похожие варианты входа через иностранные аккаунты.
В таком случае авторизация проходит через иностранную информационную систему и именно такие сценарии лучше убрать или заменить.
Также стоит насторожиться, если сайт использует внешний зарубежный сервис авторизации. Например, не просто обычную форму CMS, а отдельный SaaS для логина, регистрации, управления пользователями, проверки входа или хранения учетных записей.
Для владельца сайта это может выглядеть как «у нас обычная форма», но технически вся авторизация может быть завязана на внешний сервис. Тогда нужно смотреть конкретную реализацию.
А если вход по email-коду?
Есть промежуточные случаи.
Например, сайт не использует пароль, а отправляет пользователю одноразовый код или ссылку для входа на email. Человек вводит почту, получает письмо, переходит по ссылке и попадает в личный кабинет.
Это уже более спорный сценарий, чем классический «email + пароль». Почему? Потому что почтовый сервис участвует в процессе входа сильнее. Если пользователь указал Gmail, то именно Gmail доставляет код или ссылку, без которых вход невозможен.
Значит ли это, что такой способ точно запрещен? Мы бы не делали такой категоричный вывод без официальных разъяснений. Но с точки зрения осторожности риск здесь выше.
Для небольших сайтов безопаснее использовать классическую схему: учетная запись хранится на стороне сайта, пароль проверяется сайтом, а email используется как логин и канал уведомлений. Либо добавить альтернативный вход по российскому номеру телефона, если это оправдано для проекта.
Это касается только банков и госструктур?
Нет, не только.
И здесь тоже появилась путаница. В российском законодательстве есть отдельные нормы про иностранные мессенджеры. Они действительно касаются специальных категорий организаций: банков, финансовых организаций, госкомпаний, компаний с государственным участием и так далее.
Но правила авторизации пользователей на российских сайтах — это отдельная тема. Она сформулирована шире. Там речь идет о российских владельцах сайтов, страниц, информационных систем и программ, если они ведут деятельность в интернете на территории России и дают доступ пользователям после авторизации.
То есть обычный коммерческий сайт с личным кабинетом теоретически тоже попадает в поле этой нормы.
Но это не означает, что каждый интернет-магазин обязан подключить Госуслуги или запретить Gmail. Это означает, что нужно понять, как именно устроена авторизация.
Как это связано с 152-ФЗ
С 152-ФЗ тоже важно не смешивать.
152-ФЗ — это закон о персональных данных. Он регулирует сбор, хранение, обработку и передачу персональных данных. В том числе трансграничную передачу.
Правила авторизации по 149-ФЗ — это другой вопрос. Они регулируют способ входа пользователя в аккаунт.
Пример.
Если пользователь указал user@gmail.com как логин, это вопрос авторизации.
Если сайт отправляет персональные данные пользователя в иностранную CRM, зарубежный чат, иностранную аналитику, внешний почтовый сервис или другой SaaS, это уже вопрос персональных данных и возможной трансграничной передачи.
Это разные риски.
По 152-ФЗ нельзя мыслить формулой «всё зарубежное запрещено». Но нужно понимать, где находится база, какие сервисы подключены, куда уходят заявки, заказы, письма, телефоны, email-адреса и другие данные пользователей.
Поэтому сайт может быть нормальным по части авторизации, но иметь вопросы по 152-ФЗ. И наоборот.
Что делать владельцу сайта
Мы бы не советовали сейчас бросаться и запрещать пользователям Gmail. Это может ударить по регистрациям, заказам и доверию к сайту, а юридическая польза такой меры сомнительна.
Лучше пройтись по нормальному чек-листу.
Проверьте, есть ли на сайте вход через иностранные аккаунты. Если есть кнопки «Войти через Google», «Войти через Apple», «Войти через Microsoft» и похожие — это первая зона риска.
Проверьте, кто фактически проводит авторизацию. Если это собственная CMS, сайт или российский сервис — ситуация одна. Если внешний иностранный SaaS — другая.
Проверьте, не используется ли иностранный сервис для управления пользователями. Иногда такие вещи подключены не явно: через плагин, модуль, конструктор, CRM или облачную платформу.
Проверьте, как работает восстановление пароля и вход по коду. Если email используется только для восстановления доступа, это одно. Если вся авторизация построена на одноразовых ссылках через почту, стоит разобрать схему отдельно.
Проверьте 152-ФЗ отдельно. Где хранится база пользователей? Куда уходят формы? Какие подключены CRM, чаты, рассылки, аналитика, антиботы, платежные виджеты? Есть ли политика обработки персональных данных, согласия, уведомление Роскомнадзора, если оно требуется?
Не делайте лишних доработок только из-за паники. Запретить Gmail технически можно, но это грубое решение. Оно создаст проблемы пользователям и бизнесу, а прямой обязанности именно так делать из закона не видно.
Выводы
Новости про штрафы не высосаны из пальца. Штрафы действительно обсуждаются и уже приняты Госдумой. Размеры серьезные.
Но вывод «теперь нельзя регистрироваться с Gmail» — слишком упрощенный.
Закон говорит о способах авторизации, а не о том, что владелец сайта обязан блокировать все иностранные почтовые домены. Обычный email в форме регистрации и вход через иностранный сервис авторизации — разные вещи.
Что стоит сделать владельцам сайтов:
- убрать иностранные social-login кнопки, если они есть;
- проверить, кто проводит авторизацию;
- не путать авторизацию с обработкой персональных данных;
- отдельно проверить сайт по 152-ФЗ;
- не тратить деньги на бессмысленные доработки только потому, что в соцсетях снова разогнали страшный заголовок.
Паниковать не нужно. Но провести спокойный аудит сайта — разумно.