Штрафы за авторизацию через Google/Apple Вчера по ведущим СМИ прокатилась волна публикаций, о том, что Госдума приняла сразу в двух чтениях закон, по которому теперь владельцев сайтов будут штрафовать на 700к за авторизацию через зарубежные сервисы. Давайте вместе разбираться, что случилось и нужно ли нам с вами что-то предпринимать в этой связи? Что случилось? Во-первых, требование авторизовывать российских пользователей только определенными способами действует аж с 1 декабря 2023 года — это поправки в 149-ФЗ «Об информации». До сих пор не было административной ответственности за нарушение этого требования. Вчера, 9 июня, Госдума приняла в третьем чтении именно поправки в КоАП — то есть ввела штрафы за то, что и так уже три года было незаконно. Это вообще меня касается? Если у вас на сайте нет авторизации — то есть это простой лендинг или информационный сайт, без функционала, закрытого регистрацией/авторизацией — дальше можете не читать. А вот если в какой-то момент на вашем сайте, портале, интернет-магазине, в вашем мобильном приложении возникает окошко регистрации пользователя, без которой невозможен доступ к части функционала (например, доступ в личный кабинет или оформление заказа), то эти поправки касаются вас самым непосредственным образом. За что будут штрафовать? Нет, вопреки разлетевшемуся вчера мнению, штрафовать будут НЕ пользователей, которые авторизуются с помощью учеток Google или Apple, а владельцев сайтов, которые такую авторизацию допускают для российских пользователей. Запрещена только сама авторизация (OAuth-вход) через иностранный сервис. Закон обязывает обеспечивать аутентификацию граждан РФ через один из четырех описанных способов: — номер мобильного телефона; — ЕСИА (Госуслуги); — ЕБС (биометрию); — либо сервис авторизации, владелец которого — гражданин России без иного гражданства или российское юрлицо (например, Яндекс.ID, VK, Сбер, и т.д.). Использовать сам адрес @gmail.com как логин/идентификатор при регистрации — можно, это не запрещено. Чем грозит нарушение? Для физических лиц предусмотрена ответственность до 20к рублей, для юридических лиц — до 700к. На момент написания этого поста, поправки еще должны пройти оставшиеся этапы законодательной процедуры: одобрение Советом Федерации, подпись президента и официальную публикацию перед тем, как по ним можно будет начать штрафовать. Однако рассчитывать на то, что проблему можно отложить на потом, я бы не рекомендовал. Ладно, что делать-то? Разумным выглядит примерно такой план действий: 1. Провести аудит, выявить, в каких ваших системах и сервисах используются зарубежные сервисы авторизации пользователей. Тут важно понимать, что речь идет не только о Google и Apple, но и о других распространенных службах (Firebase, Auth0, и т.д.) 2. Отключить возможность авторизации через таких сервисы для новых пользователей. 3. Добавить (если еще не было) один из разрешенных способов авторизации. 4. Легализовать ранее зарегистрировавшихся через Google/Apple пользователей. Это ключевой и недешёвый пункт. Раньше запрет де-факто касался новых регистраций; теперь его распространяют и на ранее зарегистрированных. При следующем входе пользователя, привязанного к Google/Apple, придется заставить привязать телефон или российский метод. 5. Сделать рассылку текущим пользователям с просьбой уточнить регистрационные данные и установленным дедлайном для этой процедуры. 6. По истечение дедлайна — деактивировать тех пользователей, кто не перешел на новые способы авторизации и окончательно удалить из сервиса возможность авторизации через зарубежные сервисы. Если вы не уверены, затрагивает ли новый закон ваш сайт или приложение, мы можем провести технический аудит и подготовить план миграции: проверим риски, оценим объем работ и при необходимости переведем проект на новые способы авторизации без потери пользователей и данных. Пишите мне в личку. Цифра Комягина