Авторизация через иностранные сервисы: риски и штрафы

Запрет появился не сейчас, но раньше за него не штрафовали

Обязанность убрать вход через иностранные аккаунты существует с 1 декабря 2023 года — она пришла из закона № 406-ФЗ от 31.07.2023 и закреплена в ч. 10 ст. 8 закона № 149-ФЗ «Об информации». Новое в том, что теперь за нарушение предусмотрена отдельная административная ответственность — статья 13.55 КоАП.

Штрафы касаются не рядовых пользователей. Обычного человека не накажут за то, что у него есть Gmail, Apple ID или аккаунт на GitHub. Обязанность лежит на тех, кто владеет российским сайтом, приложением или сервисом и до сих пор оставляет там вход через иностранные провайдеры.

Главная задача — не потерять существующих пользователей

Новый посетитель как-нибудь зарегистрируется: через пароль, телефон, passkey или российский идентификатор. Настоящая проблема — в тех аккаунтах, что уже существуют.

Как разбирают на Хабре, у сайта уже есть пользователи с заказами, подписками, балансом, серверами, доменами и историей обращений. Часть из них годами входила одной кнопкой — через Google, Apple, GitHub или Microsoft. Теперь эту кнопку нужно убрать, но аккаунт пользователя потерять нельзя.

Поэтому задача для владельцев сервисов звучит не как «сделать новую авторизацию», а как «аккуратно привязать к старому аккаунту разрешённый способ входа». Пользователей, чей единственный способ входа — иностранный провайдер, нужно найти и предложить им добавить пароль, passkey, телефон или другой допустимый метод. Новый способ должен привязаться к тому же локальному аккаунту, а не создать дубликат — иначе вместо миграции сервис получит поток обращений «где мои заказы и деньги на счёте».

Внешний вход — удобство или зависимость

Для малых проектов вход через крупные аккаунты долгое время выглядел разумным решением: пользователь не создаёт ещё один пароль, сайт не хранит данные для аутентификации, а крупный провайдер берёт на себя многофакторную аутентификацию, восстановление доступа и антифрод. Эта схема работала, пока внешний провайдер оставался доступен.

После 2022 года, как отмечают в обсуждении, стало заметно, что внешний провайдер входа — это не только convenience, но и зависимость. Если авторизация российского сервиса завязана на Google, Apple, Microsoft или GitHub, часть его работоспособности зависит от компании в другой юрисдикции, которая живёт по своим правилам комплаенса. Теперь владельцам таких сервисов предстоит решать: строить собственную систему входа или искать альтернативные внешние решения.

Что имеет смысл проверить уже сейчас

Для владельцев сайтов и приложений — инвентаризация: через какие иностранные провайдеры до сих пор работает вход, сколько пользователей ими пользуются и есть ли у этих пользователей резервные способы авторизации. Пока из опубликованной информации следует, что обязанность прямо прописана, а механизм миграции — зона ответственности каждого сервиса.

Для рядового пользователя смысл проще: если вы входите на какие-то сервисы только через Google или Apple, имеет смысл добавить резервный способ — пароль, телефон или passkey. Это защитит доступ на случай, если кнопка внешнего провайдера однажды исчезнет.