В России запретили логин через Gmail. Кого накажут? Что делать? Разбор Теплицы #11

Что это за рубрика

В рубрике «Разбор Теплицы» мы в режиме реального времени разбираемся в определённой проблеме, новостях интернет-цензуры и рассказываем:

что происходит;
как это устроено;
как с этим можно бороться.

Кратко

В декабре 2023 года вступил в силу закон № 406-ФЗ, обязавший российские сервисы верифицировать локальных пользователей через российскую инфраструктуру. Вместо Google и Apple — только номера телефонов отечественных операторов, государственный портал «Госуслуги» и Единая биометрическая система.

Как наказывать за невыполнение требования, придумали позже. Во вторник, 9 июня 2026 года Государственная дума приняла поправки к КоАП о штрафах за верификацию пользователей не через местную инфраструктуру.

Важно: прямо сейчас за логин через GMail никого не будут наказывать. Поправки приняты Госдумой, но пока не вступили в действие. Требуется еще одобрение Советом Федерации и президентом. Впрочем, маловероятно, что кто-то из них выступит против нормы.

Как работает закон?

Под запрет подпадает использование иностранных провайдеров идентификации (IdP, Identity Provider). Технически, если при создании нового аккаунта сервис перенаправляет пользователя, например, на accounts.google.com или appleid.apple.com через OAuth 2.0 (Open Authorization) / OpenID Connect, открытые стандарты делегированной авторизации и аутентификации, это нарушение.

Тот же запрет распространяется на номера телефонов иностранных операторов как идентификаторы при регистрации. Статус иностранных email-адресов как логинов остается дискуссионным: часть юристов считает, что под запрет подпадает авторизация через иностранный IdP (кнопка «Войти через Gmail»), а не само использование email-адреса в качестве логина (подробный правовой анализ есть на «Хабре»).

Закон определяет четыре допустимых метода:

номер мобильного телефона, выданного российским оператором связи;
единая система идентификации и аутентификации (ЕСИА, портал «Госуслуги»);
единая биометрическая система (ЕБС);
иная информационная система, принадлежащая гражданину России или российскому юридическому лицу с долей российского участия не менее 50%, при условии соответствия требованиям по защите информации.

Последний пункт потенциально охватывает ряд российских платформ, в частности VK ID и идентификационные системы крупных российских банков. Соответствие каждой из них требованиям закона подтверждается отдельно, однако порядок такого подтверждения и уполномоченный орган законом не определены.

Есть две (относительно) хороших новости

Закон не имеет обратной силы. Аккаунты, созданные через Google или Apple до 1 декабря 2023 года, сохраняются без ограничений.

Санкции за нарушение распространяются на владельцев сервисов, а не на пользователей. Об этом ранее говорил Сергей Боярский, председателя думского Комитета по информационной политике, информационным технологиям и связи.

Как будут наказывать?

Будут штрафы по новой статье КоАП (предварительный номер статьи — 13.55; окончательный будет закреплен при официальном опубликовании):

Категория	Первичное нарушение	Повторное нарушение
Физические лица	10 000–20 000 руб.	20 000–40 000 руб.
Должностные лица	30 000–50 000 руб.	60 000–100 000 руб.
Юридические лица	500 000–700 000 руб.	1 000 000–1 400 000 руб.

Есть нюансы

К закону есть несколько вопросов

Как будут проверять соответствие конкретного сайта требованиям?
Каковы сроки начала активного правоприменения?
Что делать с пограничными случаев: например, сервисами с преимущественно иностранной аудиторией и внутренними корпоративными системаси.
Каким образом РКН будет определять местонахождение пользователя — по IP-адресу, заявлению сервиса или как-то еще.
Как будут оценивать нарушения — по совокупности или по отдельности?

На последнем пункте остановимся поподробнее. В тексте закона есть термин «авторизация», тогда как смежные понятия («идентификация», «аутентификация», «регистрация») из 149-ФЗ отсутствуют. Возможно, при проверках РКН будет руководствоваться общедоступными источниками: словарями и локальными нормативными актами. Официальных разъяснений РКН о том, какими именно источниками он будет руководствоваться, на момент публикации не появилось. Поле для трактовок, к сожалению, большое.

В профессиональном сообществе обсуждается риск того, что РКН может оценивать каждую сессию авторизации как отдельный эпизод нарушения. Стандартная практика КоАП квалифицирует нарушение по факту неисполнения обязанности, а не по числу сессий; такая трактовка нетипична и, вероятно, будет оспорена в суде. В целом судебной практики, которая могла бы прояснить риски, пока нет.

А пока есть вероятность, что сервис могут оштрафовать столько раз, сколько пользователей зарегистрировались на нем через Gmail.

А где еще ограничивают логины пользователей?

Требование верифицировать новых пользователей через государственную инфраструктуру не является исключительно российской практикой. Специфика российского подхода — в явном запрете конкретных иностранных провайдеров (Google, Apple) при наличии определенных отечественных альтернатив.

Китай ввел обязательную верификацию по реальному имени для интернет-сервисов еще в 2017 году на основании Закона о кибербезопасности, а в 2025 году страна запустила единую государственную систему сетевой идентификации как централизованный IdP.
Турция с 2021 года обязала операторов связи верифицировать абонентов через государственный портал e-Devlet в секторе электронных коммуникаций.

Как теперь верифицируют пользователей?

До вступления нормы в силу российские сервисы могли делегировать верификацию пользователей иностранным провайдерам. Например, Google или Apple получали запрос, подтверждали личность и возвращали токен. Вся эта инфраструктура находилась за пределами российской юрисдикции.

С 1 декабря 2023 года для новых регистраций верификация переходит к одному из российских методов. Каждый задействует собственные данные и собственную инфраструктуру. Закон не обязывает сервисы отключать Google и Apple для аккаунтов, созданных до 1 декабря 2023 года. Вместе с тем он не запрещает делать это добровольно: Ozon, например, отключил иностранные IdP для всех пользователей без исключения.

SMS-верификация через российского оператора

Пользователь подтверждает владение номером телефона, выданным российским оператором. Оператор записывает каждую отправку одноразового пароля (OTP): номер телефона, время, адресат запроса. Речь идет об SMS-OTP: одноразовом коде, доставляемом через оператора связи.

Для реализации SMS-верификации доступны российские SMS-агрегаторы с HTTP-интерфейсом или протоколом SMPP (Short Message Peer-to-Peer) v3.4: SMS.ru, SMSAero, SMS Pilot, Stream-Telecom. Все они подключены к российским операторам. Помимо классического SMS OTP существует метод флэш-звонка (flash-call): код передаётся как последние цифры входящего звонка без отправки SMS-сообщения; этот подход быстрее, дешевле и не создаёт записи с содержимым кода в логах оператора. Метод поддерживается не всеми операторами связи и не на всех устройствах.

Что будет с одноразовыми паролями из генераторов вроде Google Authentificator, непонятно. Так называемые, TOTP-аутентификаторы (Time-based One-Time Password,), генерирующие коды локально без участия оператора, имеют иную техническую природу; их статус как самостоятельного метода авторизации в рамках 406-ФЗ остается неопределенным. По федеральному закону № 374-ФЗ российские операторы обязаны хранить метаданные соединений в течение трех лет и передавать их по запросу уполномоченных органов через СОРМ.

ЕСИА (Единая система идентификации и аутентификации)

Работает как федеральный IdP: хранит паспортные данные, СНИЛС и адрес регистрации, подтвержденные при создании учетной записи. При аутентификации через ЕСИА портал записывает, на какой сторонний сервис и когда заходил пользователь. Это стандартная практика для любого IdP, реализующего OAuth 2.0. Новый регламент ЕСИА, обязательный для всех новых подключений с 2025 года, требует от подключаемых систем использования СКЗИ класса КС3 (средств криптографической защиты информации с повышенным уровнем защиты) с сертификацией ФСБ и прохождения аттестации. Организации, подключившиеся по более ранним версиям регламента, должны завершить переход до конца 2026 года.

Документация Yandex ID опубликована по адресу yandex.ru/dev/id/doc/ru; для мобильных приложений предусмотрен специальный набор инструментов разработки LoginSDK. Интеграция реализуется по стандартному сценарию Authorization Code Flow через OAuth 2.0; технически механизм идентичен Google и Apple, меняются только конечные точки. OAuth 2.0 как протокол законом не запрещен: под запрет подпадает его использование через иностранные конечные точки (accounts.google.com, appleid.apple.com).

ЕБС

Единая биометрическая система хранит слепки, собранные через уполномоченные организации. При входе система сверяет биометрию пользователя с записями в базе.

Как внедряют новую норму?

Крупные платформы начали переходить еще до введения штрафов. Вот несколько примеров:

Ozon отключил авторизацию через Apple ID, отметив, что этим методом пользовалось менее 1% аудитории сервиса.
«Литрес» с 22 апреля 2024 года перестал поддерживать вход через Apple и Google ID; тех, у кого не было альтернативного метода, отправили в службу поддержки.
VK Play разослал пользователям предупреждение о смене методов входа

Под новые требования сформировался рынок российских IdP-провайдеров. Yandex ID, VK ID, Sber ID и T-ID (Т-Банк) позиционируются как замена иностранным IdP в B2B- и финтех-сегментах. Разработчики отмечают Yandex ID как наиболее бесшовный метод авторизации для российской аудитории; VK ID рекомендуют для проектов с явной социальной составляющей.

Несмотря на активность крупных компаний, по оценкам участников рынка, часть платформ не уложилась в переходный период, изначально продленный до 1 января 2025 года законопроектом Горелкина, что создало правовые риски после принятия поправок к КоАП. Пока поправки не вступили в силу, так что мы не можем оценить, превратятся ли потенциальные штрафы для опоздавших в реальные.

Кто что говорит?

Авторы закона

Депутат Антон Горелкин подтвердил: закон не имеет обратной силы, аккаунты до декабря 2023 года остаются нетронутыми.
Глава IT-комитета Госдумы Сергей Боярский дополнил: штрафы по статье КоАП 13.55 (номер подлежит уточнению при официальном опубликовании) применяются к владельцам сайтов, не к пользователям (заявление Боярского [5]).
Авторы законопроекта утверждают, что преследуют три цели: укрепить отечественную инфраструктуру, снизить зависимость от иностранных решений и помочь в противодействии правонарушениям.
9 июня, в день принятия поправок, оба депутата выступили с дополнительными разъяснениями. Горелкин еще раз уточнил: штрафы не коснутся обычных пользователей, а только владельцев сайтов, которые «уже два года игнорируют закон». А Боярский назвал распространившиеся в СМИ сообщения о штрафах для граждан «массовым вбросом, на пустом месте будоражащим общество».

IT-отрасль

Основатель LiveInternet Герман Клименко считает переход от Apple и Google ID технически управляемым.
Разработчики, опрошенные РБК, предупредили, что основные технические сложности при смене IdP лягут на владельцев сервисов, а не на конечных пользователей.
IT-специалист Саркис Дарбинян в комментарии «Новой газете Европа» подчеркнул: закон не запрещает пользователям иметь иностранную почту, он обязывает владельцев российских ресурсов не использовать её как метод авторизации.
Авторы разбора на «Хабре» обратили внимание на практический риск: закон не устанавливает порядок учета повторных нарушений, что теоретически позволяет РКН накапливать штрафы через серию «контрольных закупок» по одному нарушению.

Сервисы, доступные из России и предлагающие новым пользователям только Google или Apple, формально попадают под действие закона. Принудить к исполнению иностранные юридические лица РКН технически затруднено; прецедентов такого правоприменения публично не задокументировано.

Для оценки того, насколько закон затрагивает сервис, стоит проверить три параметра: долю трафика из России, наличие российских юридических лиц в корпоративной структуре, присутствие в российских реестрах или официальное взаимодействие с российскими регуляторами. Высокие показатели хотя бы по одному из них сигнализируют: нужно либо добавить российские методы аутентификации, либо ограничить доступ из российских IP-диапазонов.

Оба этих варианта сопряжены с последствиями. Добавление российских методов формирует юридическую связь с российской инфраструктурой и может влечь требования по локализации персональных данных. Ограничение по IP не снимает правовой риск при наличии российского юридического лица в корпоративной структуре. Для организаций с действующими санкционными ограничениями оба варианта требуют отдельной правовой оценки.

Что делать сервисам и разработчикам?

Несколько сценариев остаются нормативно неопределенными.

Email как логин без OAuth (прямой ввод адреса и пароля без редиректа к внешнему провайдеру, включая адреса на иностранных доменах): статус такого метода дискуссионен. Часть юристов считает это допустимым, другие относят к запрещенным методам.
Авторизация пользователей вне территории РФ и корпоративная федерация через иностранные системы управления удостоверениями (Active Directory, Okta и аналоги) законом явно не урегулированы; это касается внутрикорпоративной аутентификации сотрудников, а не публичной авторизации пользователей через Google или Apple.

Особая история — TOTP

TOTP как второй фактор поверх разрешенного метода входа технически не запрещается, в роли самостоятельного первого фактора его статус в рамках 406-ФЗ не определен, но, что важно, не запрещен
Для уменьшения объема идентификационных данных при SMS-верификации стоит рассмотреть поддержку TOTP как второго фактора: это снижает зависимость от SMS-канала и риски, связанные с уязвимостями оператора. Среди открытых реализаций, совместимых со стандартом RFC 6238 (Request for Comments): Aegis (Android) и FreeOTP (Android, iOS); оба не требуют аккаунта третьей стороны и не передают данные разработчику приложения. Использование SMS-агрегатора вместо прямого подключения к оператору снижает объем метаданных, видимых отдельным операторам, однако не устраняет запись в системе СОРМ.

Что стоит еще учитывать?

VPN скрывает IP-адрес, но не отменяет привязку к телефонному номеру, зафиксированную при регистрации. Если регистрация проходила через ЕСИА, активность пользователя остается связанной с его учетной записью на «Госуслугах» вне зависимости от используемого соединения. Иными словами, смена IP-адреса не защищает от идентификации: личность пользователя уже закреплена за аккаунтом на уровне регистрационных данных.

Переход к смс-верификации расширяет поверхность атаки. Перехват OTP через уязвимости протокола SS7 (Signalling System No. 7) технически сложен, но задокументирован как реальный вектор в отношении публичных лиц и владельцев криптовалютных кошельков. Смс-бомбинг превращается в новый инструмент: злоумышленник инициирует массовые запросы на регистрацию, генерируя непрерывный поток кодов подтверждения на целевой номер. Компрометация смс-провайдера, обслуживающего несколько платформ, открывает возможность перехватить коды сразу на множестве сервисов.

Меняется структура рисков: раньше взлом одного Google-аккаунта открывал доступ ко всем связанным сервисам, но защищал один провайдер с высоким уровнем безопасности. Теперь телефонный номер используется как логин на множестве независимых российских платформ с очень разным уровнем защиты инфраструктуры.

Закон меняет инфраструктуру аутентификации российских сервисов так, что это можно наблюдать извне. Отслеживать ход перехода можно через анализ OAuth-потоков. Признак соответствия закону: новые регистрации требуют ввода телефонного номера или перенаправляют на esia.gosuslugi.ru, тогда как вход по существующим аккаунтам через Google или Apple по-прежнему работает. Метод имеет ограничение: если сервис реализовал вход по телефону без OAuth-редиректа, переход не фиксируется через анализ потоков и требует прямого тестирования регистрации.

Отдельный вопрос для мониторинга: доступность ЕСИА из-за пределов России. Часть пользователей, находящихся за рубежом, не имеет действующего российского номера телефона. Проверка того, открывается ли esia.gosuslugi.ru из разных стран, покажет, могут ли пользователи за рубежом вообще зарегистрироваться на российских сервисах. Следует учитывать, что проверка HTTP-доступности портала не заменяет тестирование полного цикла аутентификации, который требует российского номера телефона или учетной записи ЕСИА. Такое измерение включает DNS-разрешение домена, установку TCP-соединения и HTTP/HTTPS-запрос с последующим сравнением результатов с контрольным незаблокированным узлом (по методологии OONI, Open Observatory of Network Interference, Web Connectivity).

Что стоит учитывать пользователям?

Закон не распространяется напрямую на пользователей: ответственность несут только владельцы сервисов. Тем не менее он меняет практику входа в аккаунты.

Если аккаунт создан до декабря 2023 года, со стороны закона к нему требований нет. Однако сервис может отключить иностранный IdP добровольно: как это сделал тот же Ozon. Чтобы не потерять доступ, стоит заранее добавить резервный метод входа: российский номер телефона или учетную запись на Госуслугах.

Закон формально распространяется только на пользователей на территории РФ, однако механизм определения местонахождения законом не установлен, поэтому граница применения для зарубежной аудитории остается неясной. Российский номер телефона работает в роуминге, но формирует привязку к оператору. На практике это означает, что создать новый аккаунт на российском сервисе из-за рубежа может быть затруднительно: ЕСИА может быть недоступна, а альтернатива в виде российского номера телефона влечет постоянную привязку к российскому оператору.

Российские методы авторизации по умолчанию оставляют больше следов, чем иностранные: они привязаны к государственной инфраструктуре и записям операторов. Каждый SMS-вход фиксируется у оператора связи в рамках требований 374-ФЗ. Авторизация через ЕСИА связывает онлайн-активность с паспортными данными. Для сравнения, Google и Apple также ведут журналы входов, однако в рамках иных юрисдикций и правовых режимов. TOTP-приложение как второй фактор снижает риск перехвата SMS-кода, но не разрывает связь номера телефона с сервисом.

Если сервис поддерживает TOTP как второй фактор, приложения Aegis (Android) и FreeOTP (Android, iOS) позволяют генерировать коды без привязки к Google- или Apple-аккаунту и без передачи данных разработчику приложения. Использование разных номеров телефонов для разных сервисов снижает возможность корреляции аккаунтов по номеру. VPN (Virtual Private Network, виртуальная частная сеть) при доступе к российским сервисам не разрывает идентификационную связь, установленную через телефонный номер при регистрации.

Итого

Аккаунты, созданные через иностранные IdP до декабря 2023 года, закон не обязывает переводить на российские методы. Однако ряд сервисов отключил иностранные методы входа добровольно для всех пользователей, тогда как другие сохранили их для существующих аккаунтов. Все новые регистрации с декабря 2023 года проходят через российские системы. Судя по действиям крупных платформ, они начали переход еще до введения штрафов: ряд из них завершил его весной 2026 года. Два аспекта частично поддаются внешнему мониторингу: скорость имплементации требований на оставшихся российских сервисах и доступность российских IdP для пользователей из других юрисдикций.