На сайте есть кнопка «Войти через Google», Apple ID или другой зарубежный сервис? Раньше это было просто удобным способом входа. Теперь для владельца сайта это может стать юридическим и техническим риском.
Госдума приняла поправки, которые вводят штрафы за нарушение правил авторизации пользователей на российских сайтах и в приложениях. Для компаний сумма может доходить до 700 000 ₽, а при повторном нарушении — до 1,4 млн ₽.
Разбираем, кого это касается и что стоит проверить уже сейчас.
Что изменилось
Требование использовать разрешенные способы авторизации действует с декабря 2023 года. Но раньше за нарушение не было отдельной административной ответственности.
Теперь ответственность появляется. Под риск попадают владельцы сайтов, интернет-магазинов, сервисов и мобильных приложений, где пользователи входят в личный кабинет или получают доступ к закрытому функционалу.
Важно: штрафовать планируют не пользователей, которые входят через Google или Apple ID. Ответственность лежит на владельце ресурса, который оставил такой способ входа.
Кого это касается
Проверка нужна, если на сайте или в приложении есть:
— личный кабинет клиента;
— регистрация перед оформлением заказа;
— закрытый раздел для партнеров, дилеров или сотрудников;
— подписка, платный доступ или внутренняя база знаний;
— мобильное приложение с аккаунтом пользователя;
— авторизация через сторонние сервисы: Google, Apple ID, Microsoft, Auth0, Firebase и похожие решения.
Если у вас простой сайт-визитка или лендинг без регистрации, риск ниже. Но даже в этом случае стоит проверить формы, виджеты и старые модули: иногда кнопки входа остаются в шаблонах CMS или личном кабинете, который давно не используют.
Какие способы входа считаются разрешенными
Для авторизации российских пользователей закон предусматривает несколько вариантов:
— номер мобильного телефона;
— ЕСИА, то есть вход через Госуслуги;
— ЕБС, единая биометрическая система;
— российский сервис авторизации, например VK ID, Яндекс ID, Сбер ID и другие решения, которые соответствуют требованиям закона.
Отдельный нюанс — использование иностранной почты как логина. В публичных разъяснениях встречаются разные трактовки. Поэтому технически стоит отдельно проверить, как именно устроен вход: пользователь просто указывает email в форме или сайт подтверждает личность через зарубежный сервис.
Почему нельзя просто удалить кнопку входа
Самый простой вариант — убрать Google и Apple ID из интерфейса. Но для бизнеса это может создать другую проблему: часть клиентов потеряет доступ к аккаунтам.
Особенно это критично для интернет-магазинов и сервисов, где в личном кабинете хранятся:
— история заказов;
— бонусные баллы;
— подписки;
— документы;
— обращения в поддержку;
— данные по оплатам;
— договоры и закрывающие документы.
Если отключить зарубежную авторизацию без подготовки, пользователи начнут писать в поддержку, повторно регистрироваться и терять данные. Это ударит по продажам, конверсии и лояльности.
Поэтому правильный путь — не резкое отключение, а миграция.
Что стоит сделать бизнесу
1. Проверить все способы авторизации
Нужно понять, где именно используется вход через зарубежные сервисы. Проверять стоит не только основной сайт, но и мобильное приложение, поддомены, старые личные кабинеты, партнерские порталы, CRM-интеграции и тестовые версии.
2. Оценить масштаб проблемы
Важно посчитать, сколько пользователей привязаны к Google, Apple ID или другому зарубежному сервису. От этого зависит сложность миграции и объем работ.
Одна ситуация — кнопка есть, но ей почти никто не пользуется. Другая — большая часть активных клиентов заходит именно через нее.
3. Добавить разрешенный способ входа
Чаще всего бизнесу подходит вход по номеру телефона или российский сервис авторизации. Выбор зависит от типа проекта, аудитории, CMS, требований к безопасности и текущей логики личного кабинета.
4. Продумать миграцию действующих пользователей
Пользователю нужно дать понятный сценарий: при следующем входе привязать телефон или другой разрешенный способ авторизации. При этом важно сохранить его аккаунт, заказы, документы, бонусы и историю обращений.
5. Проверить аналитику и воронку
После замены авторизации стоит проверить, не просела ли конверсия в регистрацию, заказ или заявку. Новый способ входа должен соответствовать требованиям закона, но не должен ломать путь клиента.
Где чаще всего возникают ошибки
На практике риск может быть не только в заметной кнопке «Войти через Google». Проблема может скрываться глубже:
— в готовом модуле CMS;
— в старой интеграции с Firebase или Auth0;
— в мобильном приложении;
— в отдельном личном кабинете на поддомене;
— в B2B-портале для дилеров;
— в форме оформления заказа;
— в тестовой версии сайта, которая открыта для пользователей.
Поэтому проверку лучше проводить технически, а не только визуально по страницам сайта.
Как Веб-Центр может помочь
Веб-Центр проведет технический аудит авторизации на сайте, в интернет-магазине, портале или приложении.
Что проверим:
— какие способы входа используются сейчас;
— есть ли зарубежные сервисы авторизации;
— где они подключены: сайт, личный кабинет, CMS, приложение, поддомены;
— сколько пользователей может быть затронуто;
— какие варианты замены подойдут проекту;
— как провести миграцию без потери аккаунтов, заказов и данных.
По итогам вы получите понятный план: что нужно отключить, что подключить вместо этого, какие работы потребуются и как снизить риски для пользователей и бизнеса.
Если на вашем сайте есть личный кабинет, регистрация или вход через сторонние сервисы — лучше проверить это заранее.
-
Оставьте заявку. Специалисты Веб-Центра проверят проект, оценят риски и при необходимости помогут перейти на разрешенные способы авторизации без потери пользователей и данных.
