«Антифрод 2.0» одобрен: что менять в формах захвата заявок и сборе ПДн на сайте уже сейчас

Совет Федерации одобрил пакет «Антифрод 2.0» — около тридцати мер по защите граждан от телефонного и интернет-мошенничества, продолжение первого антифрод-пакета 2025 года. Госдума приняла его сразу во втором и третьем чтениях 9 июня, и норма прошла финальные чтения прямо перед одобрением Совфедом. Параллельно одобрены административные штрафы за нарушение правил авторизации пользователей на российских интернет-ресурсах — в том числе за использование иностранных сервисов авторизации, включая зарубежные почтовые сервисы.

Что одобрено и почему это денежный риск

Для юридического лица штраф за нарушение правил авторизации — от 500 до 700 тыс. ₽, при повторном нарушении — до 1,4 млн ₽. Это переводит форму входа и захвата заявки на сайте в разряд статей прямых потерь. Любая такая форма — точка, через которую в компанию заходит поток обращений, и теперь у этой точки появилась цена ошибки, сопоставимая с месячным рекламным бюджетом малого бизнеса.

Честно скажу про границы того, что известно: источники не называют дату вступления норм в силу и не описывают переходный период. Срок, к которому владельцу сайта нужно закрыть соответствие, требует юридической проверки по тексту закона. Но направление однозначное, и закладывать замену стоит сейчас, пока есть запас по времени.

Почему форма захвата заявки юридически работает с персональными данными

Здесь ломается привычная рамка собственника и руководителя отдела продаж. Кажется, что форма «просто собирает контакт». На уровне закона это обработка персональных данных. Любая система авторизации по своей природе работает с почтой, телефоном, IP-адресами, идентификаторами устройств, временными метками входов и данными сессий. Каждая заявка, которая падает в карточку сделки, тянет за собой обработку защищённых данных — и точка их входа теперь под санкцией.

Есть открытый вопрос, который честно держать на виду: что именно считается «иностранным сервисом авторизации». Попадает ли под штраф вход через Google или Apple на форме, или речь только о зарубежной почте — формулировка в источнике обобщённая и требует юридической проверки. Зарубежные ориентиры по ужесточению — в Европе штрафы доходят до €20 млн или 4% оборота — приведены как фон. Российские санкции им не равны, переносить европейские цифры на наш рынок напрямую нельзя, разбор нужен по 152-ФЗ.

Почему регуляторы давят именно на вход пользователя

Фон по мошенничеству объясняет, почему удар пришёлся на авторизацию. По зарубежным данным число случаев кражи и подмены личности более чем удвоилось с 2021 по 2024 год, а рост мошеннической активности зафиксировали 67% компаний. Мошенничество всё чаще опирается на искусственный интеллект: на дипфейки приходится около 7% инцидентов, на сгенерированные ИИ поддельные документы — порядка половины случаев.

Оговорюсь по методике: оценки разных источников по ИИ-мошенничеству расходятся, это разные метрики, и сводить их в одну цифру некорректно. Вывод держится не на конкретном проценте, а на направлении — требования к подтверждению личности на входе будут только жёстче, и регулятор уже двинулся в эту сторону.

Как перевести связку реклама → форма → CRM на российские решения

Инженерная задача формулируется коротко. Нужно заменить иностранный сервис авторизации и сбора данных на форме на российский — и при этом не разорвать передачу заявки в amoCRM и сквозную аналитику Roistat. Если менять точку входа грубо, первым ломается то, ради чего вся связка и строилась: привязка заявки к рекламному каналу.

Главное при замене — сохранить метки источника и параметры сессии. Потеряете их на новой форме — рекламная сделка теряет канал, и окупаемость рекламы перестаёт считаться корректно. Деньги на трафик списываются, а понять, какой канал их вернул, уже нельзя. Это решается на уровне автоматизации передачи данных: какие поля и идентификаторы уходят в карточку сделки, контролируется явно, а не «как настроилось». Как именно устроена сквозная связка от клика до сделки, я разбирал отдельно — в материале по сквозной аналитике для amoCRM.

Прямой связи между штрафами за авторизацию и интеграцией формы с CRM в источниках нет — это мой угол разбора, и стыковку новых санкций с требованиями 152-ФЗ нужно проверять по тексту закона. Но техническая сторона от юридической трактовки не зависит: переносить сбор данных на российский контур всё равно придётся, и сделать это без потери сквозной аналитики — отдельная инженерная работа, которую лучше спланировать заранее.

Что меняется в поведении клиента и в оплате по рекламным сделкам

Риск не заканчивается на форме. «Антифрод 2.0» ограничивает число банковских карт на одно физлицо — до двадцати — и вводит шестичасовую задержку подозрительных переводов. Для рекламной воронки это означает простую вещь: путь от согласия купить до зачисления оплаты удлиняется. Момент фиксации оплаты в воронке сдвигается, и расчёт окупаемости рекламной сделки придётся настраивать с учётом этой задержки, иначе цифры по каналам поедут.

Отдельно вводятся санкции за нарушения при использовании рекомендательных технологий — это касается сайтов, которые персонализируют подбор на основе поведения пользователя. Периметр риска расширяется за пределы одной формы входа.

Для собственника картина складывается так: под регулирование попадают сразу две точки — где заявка собирается и как по ней проходит оплата. Защищать имеет смысл весь путь от клика до зачисления, и сделать это спокойно можно, пока нормы не вступили в силу. Прежде чем планировать замену, полезно прикинуть, во сколько вам уже обходится разрыв между рекламой и оплатами — для этого есть калькулятор потерь без сквозной аналитики. Точная сумма потерь обычно и отвечает на вопрос, насколько срочно браться за переезд.