Обзор изменений в законодательстве за март 2026 года

7 апреля 2026

Новости

В обзоре изменений за март 2026 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим официально опубликованные отраслевые особенности категорирования объектов КИИ в сферах науки и недвижимости.

Разберем официально опубликованные стандарты для систем ИИ в КИИ и доверенных интегральных микросхем в КИИ.

2. Персональные данные

Разберем изменения в правилах ЕБС.

3. Иное

Рассмотрим официально опубликованные изменения в положении о порядке обращения со служебной информацией ограниченного распространения.

Изучим новые проекты правил регистрации доменных имен, а также правил формирования и ведения перечней регистраторов доменных имен.

Разберем проект Федерального закона в сфере государственного регулирования применения технологий ИИ.

Разберем изменения в Федеральный закон об электронной подписи.

Рассмотрим изменения в лицензировании деятельности по ТЗКИ.

4. ФСТЭК России

Приведем список обновленных перечней и реестров ФСТЭК России.

5. Судебная практика

Рассмотрим судебную практику в области ИБ за 1 квартал 2026 года.

Критическая информационная инфраструктура

Отраслевые особенности категорирования объектов КИИ сферы науки

7 марта официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 07.03.2026 № 246 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее – КИИ) РФ в сфере науки».

Субъектами КИИ в сфере науки признаются государственные органы и государственные учреждения, владеющие или обеспечивающие взаимодействие информационных систем (далее – ИС), информационно-телекоммуникационных сетей, автоматизированных систем управления.

При применении к объектам КИИ перечня показателей критериев значимости следует учитывать следующие особенности:

Оценка показателей критериев значимости объектов КИИ, утвержденных постановлением Правительства № 127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (далее – перечень критериев значимости), проводится с учётом отраслевой специфики.

Номер показателя из перечня критериев значимости	Условия применения показателя	При расчете значения показателя учитывается	Особые условия применения показателя
1	При выполнении научно-исследовательских работ, опытно-конструкторских работ и (или) научно-исследовательских и опытно-конструкторских работ (далее – НИОКР) используются вредные или опасные химические вещества	Количество лиц, задействованных в обеспечении функционирования объекта КИИ при проведении научных исследований, экспериментальных разработок; количество работников (по штатному расписанию), которые могут оказаться в зоне поражения при чрезвычайной ситуации	Оценивается риск техногенной катастрофы и негативные последствия с нарушением технологического процесса работы объекта КИИ, вызванные компьютерным инцидентом
7	НИОКР выполняются в рамках международного договора РФ	Снижение количества завершенных испытаний (опытов, экспериментов, измерений) за определенный промежуток времени, снижение точности (правильности, прецизионности) результатов измерений при проведении испытаний (опытов, экспериментов, измерений) или целостности, доступности информации, полученной в ходе выполнения НИОКР	Учитываются компьютерные инциденты, которые могут негативно повлиять на объект КИИ от которого зависит выполнение работ по международному договору
9	Субъект КИИ выполняет НИОКР	Снижение налоговых выплат (отчислений) в бюджеты бюджетной системы РФ, осуществляемых субъектом КИИ	Учитывается возможность снижения налоговых выплат субъектами КИИ в бюджеты бюджетной системы РФ
11	При выполнении НИОКР используются вредные или опасные химические вещества	Количество лиц, задействованных в обеспечении функционирования объекта КИИ при проведении, научных исследований, экспериментальных разработок; количество работников (по штатному расписанию), которые могут находится в зоне поражения при чрезвычайной ситуации; территория, на которой окружающая среда может подвергнуться вредным воздействиям (с учетом рельефа, ветра, объема выбросов)	Учитывается возможность возникновения выбросов (сбросов, разливов) вредных и загрязняющих веществ в атмосферу (водоемы, почву) в случае нарушения функционирования объекта КИИ
13.1	НИОКР выполняются в рамках государственного оборонного заказа	Снижение количества завершенных испытаний (опытов, экспериментов, измерений) за определенный промежуток времени, снижение точности (правильности, прецизионности) результатов измерений при проведении испытаний (опытов, экспериментов, измерений) или целостности, доступности информации, полученной в ходе НИОКР, которое может произойти в результате совершения компьютерной атаки на категорируемый объект КИИ	Учитывается возможность снижения объемов продукции (работ, услуг) в заданный период времени, а также увеличения времени изготовления единицы продукции с заданным объемом в случае нарушения функционирования объекта КИИ при выполнении НИОКР в рамках государственного оборонного заказа

Проведение категорирования объектов КИИ осуществляется исходя из возможности возникновения компьютерных атак и компьютерных инцидентов при выполнении НИОКР не ниже 7 уровня готовности разрабатываемых или разработанных технологий, утверждаемого в соответствии с пунктом 3.1 положения о единой государственной информационной системе (далее – ГИС) учета научно-исследовательских, опытно-конструкторских и технологических работ гражданского назначения, утвержденного постановлением Правительства РФ от 12.04.2013 № 327.

Отраслевые особенности категорирования объектов КИИ в сфере недвижимости

24 марта официально опубликовано постановление Правительства РФ от 23.03.2026 № 303 «Об утверждении отраслевых особенностей категорирования объектов КИИ в сфере государственной регистрации прав на недвижимое имущество и сделок с ним».

Различия между опубликованной и проектной версиями документа носят уточняющий характер и не меняют его концептуальную основу.

Подробнее с документом можно ознакомиться в обзоре за май 2025 года Аналитического центра УЦСБ.

Стандарт для систем доверенных интегральных микросхем в КИИ

Опубликован национальный стандарт РФ ГОСТ Р 72507-2026 «КИИ. Микросхемы интегральные доверенные. Общие требования к производству».

Стандарт распространяется на производство доверенных интегральных микросхем (далее – ДИМС), предназначенных для использования в доверенных программно-аппаратных комплексах (далее – ДПАК) на объектах КИИ.

Требования стандарта обязательны для всех организаций и предприятий на территории РФ.

На основе стандарта рекомендовано разрабатывать нормативную и техническую документацию, учитывающую специфику процессов изготовления ДИМС и взаимоотношений между изготовителями ДИМС и ДПАК.

В определении ДИМС установлено, что это интегральная микросхема с подтвержденным свойством соответствия заданным требованиям к:

качеству (работоспособность, надежность, стойкость);
безопасности (информационная и функциональная);
технологической независимости.

Производитель ДИМС обязан разработать, внедрить и поддерживать в рабочем состоянии:

систему менеджмента качества;
систему менеджмента информационной безопасности (далее – ИБ);
систему управления технологической независимостью;
документацию по менеджменту рисков;
конструкторскую документацию;
технологическую документацию.

В разделах стандарта определены требования к содержанию обязательной документации.

Стандарт вводится в действие 1 июля 2026 года.

Стандарт для систем ИИ в КИИ

Опубликован предварительный национальный стандарт РФ ПНСТ 1046-2026 «Искусственный интеллект (далее – ИИ) в КИИ. Общие положения».

Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ.

Стандарт вводится в действие 1 апреля 2026 года.

Персональные данные

Изменения в правилах ЕБС

17 марта Министерством цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) опубликован проект приказа «О внесении изменений в приложения № 1 и 5 к приказу Минцифры России от 12.05.2023 № 453».

Ключевые изменения:

закрепится право гражданина размещать в единой биометрической системе (далее – ЕБС) как все виды биометрических персональных данных (далее – ПДн), так и любой из них в отдельности (изображение лица или запись голоса);
будет установлена возможность проведения идентификации и (или) аутентификации физических лиц с врожденными или приобретенными деформациями (аномалиями развития) по адаптивным требованиям к параметрам биометрических ПДн;
сократится минимальная длительность чистой речи в образце голоса с 30 до 10 секунд.

Иное

Изменения в положении о порядке обращения со служебной информацией ограниченного распространения

5 марта официально опубликовано постановление Правительства РФ от 04.03.2026 № 226 «О внесении изменений в постановление Правительства РФ от 03.11.1994 № 1233».

Документом внесены изменения в положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности.

Ключевые изменения:

документом рекомендуется руководствоваться, в том числе:

o органам государственной власти субъектов РФ;

o органам публичной власти федеральной территории «Сириус»;

o органам местного самоуправления;

o государственным и муниципальным учреждениям и унитарным предприятиям;

o организациям с публично значимыми функциями;

o организациям, созданным для выполнения задач Правительства РФ;

o юридическим лицам с долей участия РФ, субъекта РФ или муниципальных образований;

o государственным внебюджетным фондам;

o иным юридическим лицам.

электронные документы включены в объект регулирования документа;
при необходимости включения в документ служебной информации ограниченного распространения, пометка «Для служебного пользования» дополняется отметками «без служебной информации ограниченного распространения – доступ не ограничен» или «без приложений – доступ не ограничен»;
руководителю необходимо определять порядок обращения, копирования и уничтожения документов;
ответственность теперь привязана не только к факту разглашения и нарушения обращения с документами, но и к порядку их уничтожения;
установлен приоритет создания документов в электронном виде;
изготовление, обработка, хранение и обмен электронными документами осуществляется с использованием систем электронного документооборота или иных программных решений, отвечающих требованиям ИБ, установленным ч. 5 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – 149-ФЗ);
обмен электронными документами между организациями должен осуществляться в соответствии с правилами обмена документами в электронном виде при организации информационного взаимодействия, утверждёнными постановлением Правительства РФ от 24.07.2021 № 1264;
установлена детальная (техническая) процедура уничтожения бумажных и электронных документов;
дополнен круг лиц, имеющих право снимать пометку «Для служебного пользования»:

o должностное лицо вышестоящей организации;

o вышестоящий руководитель.

номер экземпляра документа не проставляется на электронных документах и на подлинниках, подписанных собственноручной подписью в единственном экземпляре.

Порядок формирования и ведения перечней регистраторов доменных имен

16 марта Министерством цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) опубликована новая версия проекта постановления Правительства РФ «Об утверждении Правил формирования и ведения перечней регистраторов доменных имен и требований к российским юридическим лицам, включаемым в указанные перечни».

Подробнее с документом можно ознакомиться в обзоре за февраль 2026 года Аналитического центра УЦСБ.

Ключевые отличия новой версии документа от предыдущей:

исключена типовая форма соглашения о выполнении функций регистратора доменных имен, в том числе приложения к соглашению;
соглашение о выполнении функций регистратора доменных имен заключается по типовой форме, утвержденной Минцифры России по согласованию с Федеральной службой безопасности РФ (далее – ФСБ России);
добавлено понятие «регистратор»;
пункт 7, регламентирующий подачу заявления, убран из оснований для отказа во включении перечень регистраторов доменных имен;
увеличился срок с 10 до 60 дней для направления документов, подтверждающих подключение организации к единой системе идентификации и аутентификации (далее – ЕСИА);
исключено уточнение основания для отказа в изменении сведений о регистраторе доменных имен, в случае подписания заявления на изменение электронной подписью с истекшим сроком действия сертификата ключа проверки;
вводится перечень оснований для приостановления статуса регистратора;
установлен порядок возобновления статуса регистратора;
расширен перечень оснований для исключения сведений о регистраторе;
введен 10-дневный срок для:

o проверки координатором факта устранения регистратором доменных имен выявленных нарушений;

o уведомления регистратора о приостановлении его статуса;

o решения о возобновлении статуса регистратора доменных имен.

Общественное обсуждение проекта завершится 13 апреля 2026 года.

Правила регистрации доменных имен

16 марта Минцифры России опубликовало новую редакцию проекта постановления Правительства РФ «Об утверждении Правил регистрации доменных имен».

Подробнее с документом можно ознакомиться в обзоре за февраль 2026 года Аналитического центра УЦСБ.

Ключевые отличия новой версии документа от предыдущей:

введено понятие «код авторизации доменного имени»;
изменен состав сведений о доменных именах, предоставляемых сервисом регистрационных данных и сведений для хранения в реестре доменных имен;
уточнена процедура передачи прав администрирования специального доменного имени при реорганизации, ликвидации или упразднении государственной организации;
ответственность перед администратором и третьими лицами за ущерб, связанный с прекращением делегирования доменного имени, установлена не только для регистратора, но и координатора;
из перечня для установления сведений по идентификации пользователя с использованием ЕСИА убраны иностранные юридические лица, не зарегистрированные в качестве налогоплательщика в РФ, но в сведениях о доменных именах, предоставляемых сервисом регистрационных данных их упоминание осталось;
в перечень оснований для отказа в регистрации доменного имени добавлено новое основание: «заявка подана лицом, включённым в перечни экстремистов, террористов, нежелательных организаций».

Общественное обсуждение проекта завершится 13 апреля 2026 года.

Регулирование сферы применения технологий ИИ РФ

18 марта Минцифры России опубликовало проект Федерального закона «Об основах государственного регулирования сфер применения технологий ИИ в РФ».

Действие закона будет распространяться на физических и юридических лиц, осуществляющих деятельность в области разработки, применения, внедрения технологий ИИ на территории РФ.

Проект установит основные понятия в сфере деятельности с ИИ:

система ИИ;
сервис ИИ;
модель ИИ;
доверенная модель ИИ;
эксплуатация уязвимостей человека;
оператор системы ИИ и иные.

Правительство РФ будет вправе устанавливать случаи обязательного применения суверенных и национальных моделей ИИ, соответствующие следующим требованиям:

все стадии разработки и обучения моделей ИИ осуществляются на территории РФ, гражданами РФ или российскими юридическими лицами;
обучение моделей ИИ с использованием наборов данных, формирование которых осуществляется на территории РФ, гражданами РФ и российскими юридическими лицами.

К применению в ГИС и на значимых объектах КИИ РФ, принадлежащих государственным органам, будут допущены только модели ИИ, включенные в реестр доверенных моделей ИИ.

К доверенным моделям ИИ отнесут суверенные, национальные модели ИИ и большие фундаментальные модели, соответствующие следующим требованиям:

наличие подтверждения соответствия модели ИИ требованиям по безопасности, установленным Федеральной службой по техническому и экспортному контролю РФ (далее – ФСТЭК России) и ФСБ России;
обеспечение обработки данных исключительно на территории РФ;
подтверждение соответствия модели ИИ требованиям качества, установленным федеральными органами исполнительной власти, государственными корпорациями, Центральным банком РФ в соответствующих сферах (отраслях) деятельности.

Оператор системы ИИ будет обязан:

включить в руководство по эксплуатации запрет на манипуляции поведением и использование уязвимостей человека;
проверять систему на риск использования в противоправных целях;
информировать пользователей о назначении и ограничениях ИИ;
обеспечивать техническое обслуживание и мониторинг параметров работы объектов с использованием ИИ;
немедленно прекращать работу ИИ при угрозе окружающей среде, имуществу, жизни, безопасности государства;
обеспечивать учет инцидентов, связанных с функционированием объектов с использованием ИИ;
назначать ответственных лиц за обеспечение безопасного функционирования объектов с использованием ИИ.

Владелец сервиса ИИ будет обязан:

определить правила доступа к сервису ИИ;
принимать меры по недопущению использования сервиса в противоправных целях;
информировать пользователей о взаимодействии с системой ИИ, за исключением случаев, когда такое обстоятельство очевидно для пользователя;
выполнять обязанности организатора распространения информации, предусмотренные статьей 10.1 149-ФЗ, если к сервису в течение суток обращается более 500 тысяч пользователей сети «Интернет», находящихся на территории РФ;
определить порядок обслуживания и контроля параметров функционирования объектов с ИИ;
внедрять механизмы ограничения создания противоправного материала.

Проект установит презумпцию ответственности разработчика, оператора и владельца сервиса ИИ за результат, полученный с использованием ИИ, нарушающий законодательство РФ, если указанные лица знали или должны были знать о возможности такого результата.

Пользователь, в свою очередь, будет нести ответственность за умышленное использование результатов работы ИИ в нарушение закона или условий предоставления сервиса.

Изменения в Федеральном законе об электронной подписи

19 марта опубликован проект постановления Правительства РФ «О внесении изменений в Федеральный закон «Об электронной подписи».

Ключевые изменения:

установится возможность участия в электронном документообороте международной и межправительственной организации путем выдачи квалифицированного сертификата ключа проверки электронной подписи (далее – квалифицированный сертификат);
установится возможность идентификации заявителя (иностранного гражданина) без личного присутствия с использованием ЕБС и ЕСИА;
изменится состав предоставляемых сведений в аккредитованный удостоверяющий центр при обращении заявителя для выдачи квалифицированного сертификата;
расширится состав реквизитов в квалифицированном сертификате;
установится применение только формы машиночитаемой доверенности, формируемой и размещаемой Минцифры России на едином портале государственных и муниципальных услуг;

в случае выдачи квалифицированного ключа банкроту – аккредитованный удостоверяющий центр не осуществляет проверку достоверности сведений об его адресе.

Изменения в лицензировании деятельности по ТЗКИ

23 марта опубликована новая редакция проекта постановления Правительства РФ «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации (далее – ТЗКИ), утвержденное постановлением Правительства РФ от 03.02.2012 № 79».

Подробнее с документом можно ознакомиться в обзоре за январь 2026 года Аналитического центра УЦСБ.

Ключевые отличия новой версии документа от предыдущей:

срок вступления постановления в силу перенесен на 1 марта 2027;
для инженерно-технических работников добавлено обязательное повышение квалификации по направлению работ (услуг) в течение 1 года до подачи заявления на лицензирование;
исключено требование о преимущественно отечественном происхождении и территориальном размещении оборудования и программных средств в РФ.

Общественное обсуждение проекта завершится 13 апреля 2026 года.

ФСТЭК России

Обновление перечней и реестров ФСТЭК России

На официальном сайте ФСТЭК России размещены обновленные перечни и реестры:

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

Судебная практика в части персональных данных

АО «Почта Банк» Фамилия, имя, отчество и адрес не являются ПДн

07.11.2025 Арбитражный суд города Москвы, рассмотрев дело по заявлению индивидуального предпринимателя (далее – ИП) об оспаривании постановления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) об отказе в возбуждении дела об административном правонарушении в отношении ООО «ВебСайтСофт» по ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ), постановил, что фамилия, имя и отчество (далее – ФИО) и адрес места жительства пользователя, оставившего отзыв на сайте, не являются ПДн.

ИП утверждал, что на сайте Otzovik.com, разработчиком и администратором которого является ООО «ВебСайтСофт», был размещен отзыв, содержащий его ПДн и порочащие сведения.

В процессе судебного разбирательства было установлено следующее:

ФИО в спорной публикации были частично скрыты символами (звездочками), что делает невозможной идентификацию конкретного физического лица.
В копии паспорта, предоставленной ИП, адрес не соответствовал адресу, указанному в публикации. Таким образом, адрес, указанный в публикации, не может являться ПДн ИП.
Также ИП не предоставил доказательств, подтверждающих его отношение к компании ООО «Роботоп», о которой шла речь в отзыве.

Так как ООО «ВебСайтСофт» выступает информационным посредником (т.е. не является средством массовой информации или социальной сетью с аудиторией более 500 тыс./сутки – ст.10.6 149-ФЗ, не несет ответственности за информацию, размещенную третьими лицами, без знания о незаконности ее распространения (Постановление Конституционного Суда РФ от 09.07.2013 № 18-П «По делу о проверке конституционности положений пунктов 1, 5 и 6 статьи 152 Гражданского кодекса РФ в связи с жалобой гражданина Е.В. Крылова»). Ответственность посредника наступает в случае, если он был осведомлен о правонарушении или должен был быть осведомлен о нем (вследствие получения претензии или запроса от Роскомнадзора) и не предпринял необходимых действий для его предотвращения или устранения.

Суд вынес решение об отказе в удовлетворении исковых требований, предъявленных ИП, в полном объеме.

Штраф за бездействие оператора ПДн

19.11.2025 Арбитражный суд города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновным ООО ПКО «Интерпрайм», в совершении правонарушения по ч. 1 ст. 13.11 КоАП РФ: обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн.

В процессе судебного разбирательства было установлено, что работники ООО ПКО «Интерпрайм» при увольнении сфотографировали экраны рабочих компьютеров на личные мобильные телефоны. Объектами фотосъемки стали распечатки писем внутренней электронной почты, содержащие ПДн должников. Позже фотографии, содержащие ПДн возможных работников и клиентов ООО ПКО «Интерпрайм», были распространены в сети Интернет.

ООО ПКО «Интерпрайм» утверждало, что доступ к базе данных с ПДн работников и должников был только у действующих на тот момент работников. Уволенные работники пояснили, что фотографии были сделаны для доказательств в трудовом споре. Они ссылались на пп. 6 п. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), который допускает обработку ПДн без согласия субъекта ПДн в случае, если обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах (п. 3 ч. 1 ст. 6 № 152-ФЗ).

Суд отклонил доводы уволенных работников и указал, что должники не являлись участниками рассматриваемого судебного спора, а также в отношении должников судом не истребованы ПДн.

На основании выше изложенного суд пришел к заключению, что ООО ПКО «Интерпрайм» имело возможность для соблюдения требований ч. 1 ст. 6, ст. 7 и ст. 10.1 152-ФЗ. Однако данным лицом не были предприняты все необходимые меры для соблюдения указанных требований.

Суд назначил наказание в виде административного штрафа в размере 60 тыс. руб.

Халатность в обеспечении безопасности ПДн не освобождает от ответственности

18.12.2025 Судебная коллегия по гражданским делам Четвертого кассационного суда общей юрисдикции, рассмотрев гражданское дело по иску гражданина к ПАО «Банк Уралсиб» о возмещении убытков, причиненных незаконным списанием средств с банковского счета, оставил кассационную жалобу представителя ПАО «Банк Уралсиб» без удовлетворения.

В процессе судебного разбирательства было установлено, что преступная группа получила доступ к информации о счетах и паспортных данных гражданина от бывшей работницы ПАО «Банк Уралсиб». После чего неустановленные лица по изготовленному поддельному паспорту в одном из филиалов ПАО «Банк Уралсиб» беспрепятственно сняли денежные средства со счетов гражданина в размере на общую сумму 27 723 610 руб.

Суды указали, что ответственность за действия работника при исполнении им трудовых обязанностей несет работодатель (статья 1068 ГК РФ). Довод ПАО «Банк Уралсиб» о том, что работница, разгласившая ПДн гражданина, была уволена до совершения преступления, не опровергает вывод судов о том, что именно в период ее работы в ПАО «Банк Уралсиб» ПДн гражданина были разглашены и стали инструментом для последующего правонарушения.

Суды, учитывая грубые нарушения законодательства РФ, допущенные ПАО «Банк Уралсиб» в виде несоблюдения сохранности банковской тайны, утечки ПДн гражданина, а также проявления формализма при проверке документа при выдаче крупной суммы денежных средств наличными, обязал ПАО «Банк Уралсиб» выплатить гражданину полную стоимость прямых убытков, проценты за неправомерное удержание средств, компенсацию морального вреда и штраф в общем размере свыше 46 млн. руб.

Кассационный суд, рассмотрев жалобу ПАО «Банк Уралсиб», пришел к выводу об отсутствии правовых оснований для отмены судебных актов, принятых предыдущими инстанциями.

Снижение наказания за утечку ПДн до предупреждения

19.01.2026 Арбитражный суд Кемеровской обл., рассмотрев дело об административном правонарушении, вынес решение о снижении наказания для ООО Торговый дом «Автоматизированные системы контроля» (далее – ООО ТД «АСК») в совершение правонарушения по ч. 1 ст. 13.11 КоАП РФ: обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн.

ООО ТД «АСК» было подвергнуто DDoS-атаке, в результате которой были неправомерно распространены в сети Интернет ПДн двух работников (ФИО, должность, номер телефона, адрес электронной почты, серия, номер паспорта, дата выдачи и наименование органа, выдавшего паспорт, адрес регистрации, страховой номер индивидуального лицевого счета).

Организация уведомила Роскомнадзор:

в течение суток о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (исполнение п. 1 чт. 3.1 ст. 21 152-ФЗ);
через двое суток о результатах внутреннего расследования выявленного инцидента (исполнение п. 2 чт. 3.1 ст. 21 152-ФЗ).

По факту выявленных нарушений Роскомнадзор составил протокол об административном нарушении, в соответствии с которым был сделан вывод о назначении наказания для ООО ТД «АСК» по ч. 1 ст. 13.11 КоАП РФ в виде штрафа от 150 тыс. руб. до 300 тыс. руб.

Суд пришел к выводу о возможности применения положений ст. 4.1.1 КоАП РФ (замена административного наказания в виде административного штрафа предупреждением) и назначил ООО ТД «АСК» наказание в виде предупреждения, принимая во внимание следующее:

ООО ТД «АСК» является
субъектом малого и среднего предпринимательства, включенным в Единый реестр субъектов
малого и среднего предпринимательства в качестве малого предприятия;
наличие признания
вины ООО ТД «АСК», сотрудничества со следствием и отсутствия ранее привлечения к
административной ответственности по ст. 13.11 КоАП
РФ;
отсутствие причинения вреда или возникновения угрозы
причинения вреда жизни и здоровью людей, объектам животного и растительного мира,
окружающей среде, объектам культурного наследия народов РФ, безопасности государства,
угрозы чрезвычайных ситуаций природного и техногенного характера, а также причинение
имущественного ущерба.

Штраф за утечку ПДн на стороне подрядчика

21.01.2026 Верховный Суд РФ, рассмотрев дело об административном правонарушении, признал виновным Министерство труда и социальной защиты РФ (далее – Минтруд России) в совершении правонарушения по ч. 1 ст. 13.11 КоАП РФ: обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн.

На Минтруд России был наложен штраф в размере 100 тыс. руб. в связи с утечкой 1400 строк ПДн работников и их родственников, включающие ФИО, дату и место рождения, паспортные данные, адрес регистрации, реквизиты банковских карт, сведения о гражданстве и другие сведения.

Минтруд России настаивал на отсутствии своей вины ввиду того, что:

серверы и рабочие станции ведомства были частично зашифрованы экземпляром вредоносной программы, предположительно, иностранной специальной службой;
неустановленное третье лицо получило доступ к инфраструктуре подрядчика, а затем подключилось к инфраструктуре Минтруд России и частично зашифровало ее вредоносными программами.

Однако суды, включая Верховный Суд РФ, пришли к следующему:

Минтруд России не доказал отсутствие возможности исполнения требований законодательства РФ в области обеспечения безопасности ПДн, а также, что он принимал все зависящие от него меры по исполнению указанных требований;
Минтруд России не осуществлял реализацию мер, направленных на обеспечение выполнения оператором ПДн своих обязанностей (ст. 18.1, 19, 22.1 152‑ФЗ);
доступ к ПДн через инфраструктуру подрядной организации, не снимает ответственности непосредственно с оператора ПДн, не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением такой защиты у подрядной организации (ч. 1 ст. 19 152-ФЗ);
Минтруд России не уведомил Роскомнадзор об инциденте самостоятельно. Размещение ПДн сотрудников Минтруд России в сети Интернет было подтверждено лишь после направления запроса Роскомнадзором о предоставлении информации по факту выявленного инцидента (ч. 3.1 ст. 21 152-ФЗ).

Судом было принято постановление:

оставить решения судов первой, второй и третьей инстанции без изменения;
оставить жалобу Минтруд
России об отмене наказание в виде штрафа в
размере 100 тыс. руб. без удовлетворения.

Требование о предоставлении ПДн для разблокирования профиля является незаконным

04.12.2025 Московский районный суд, рассмотрев гражданское дело по иску пользователя к ООО «КЕХ еКоммерц», являющемуся оператором российского интернет-сервиса «Авито», постановил, что отказ от предоставления ПДн для разблокировки профиля не может служить основанием для отказа в предоставлении услуг.

Пользователю было отказано в доступе к интернет-сервису «Авито» со ссылкой на «подозрительную активность» в профиле. Для восстановления доступа к профилю истцу предлагалось пройти проверку: записать видеоизображение с поворотом головы, предоставить фото паспорта или водительских прав. Пользователь наотрез отказался раскрывать свои биометрические ПДн.

Ответчик ограничил доступ истцу поскольку ответчиком было выявлено, что истцом нарушены правило: недопустимо размещение объявлений в одной категории с использованием разных профилей.

Согласно ст. 13 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ» отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических ПДн не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание.

Также суд сослался на 152-ФЗ, напомнив, что согласие на обработку ПДн должно быть свободным, а собираемые данные не должны быть избыточными по отношению к целям обработки.

Суд постановил обязать ООО «КЕХ еКоммерц» восстановить истцу безопасный доступ к использованию профиля на интернет-сайте «Авито» без раскрытия персональной биометрической информации, без предоставления запрошенного ответчиком видеоизображения владельца указанного профиля, фотографии паспорта и фотографии водительских прав.

Освобождение от наказания за утечку ПДн

16.02.2026 Девятый арбитражный апелляционный суд, рассмотрев жалобу ОАО «Российские железные дороги» (далее – РЖД) на решение по делу об административном правонарушении по ч.1 ст.13.11 КоАП РФ, отменил наказание в виде штрафа в размере 150 тыс. руб. за утечку данных 17 млн. строк.

Из материалов дела следует, что Роскомнадзором в ходе мониторинга сети Интернет был установлен факт размещения базы данных, содержащей, предположительно сведения о работниках РЖД (ФИО, адрес электронной почты, должность и место работы).

По данному факту Роскомнадзором была проведена внеплановая выездная проверка, по результатам которой в закрытом чате телеграмм-канала выявлен факт публикации пользователем фрагмента архива с данными работников РЖД, предположительно, скопированных из адресной книги сервисного портала РЖД, являющейся общедоступным источником (справочником) РЖД.

РЖД было направлено уведомление в Национальный координационный центр по компьютерным инцидентам Федеральной службы безопасности РФ и в Министерство внутренних дел РФ о преступлении, по результатам которого было возбуждено уголовное дело по ч. 1 ст. 272.1 УК РФ: незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн.

Суд апелляционной инстанции принял во внимание следующее:

Сам факт утечки информации не является достаточным основанием для признания вины. Применение штрафных санкций к юридическому лицу исключительно на основании факта произошедшего инцидента является неправомерным. Роскомнадзор обязан доказать, какие именно меры компания могла принять, но не приняла.
В деле отсутствуют относимые и допустимые доказательства несоблюдения РЖД требований, установленных 152-ФЗ.
Выводы Роскомнадзора о наличии единоличной вины РЖД являются преждевременными, в условиях наличия в материалах дела доказательств о возбуждении уголовного дела по ч. 1 ст. 272.1 УК РФ.
С начала проведения специальной военной операции (24.02.2022), вследствие действий со стороны недружественного государства, на территории РФ наблюдаются сбои в работе программного обеспечения, значительно повысилось количество хакерских атак.

Суд принял решение отказать в удовлетворении заявления Роскомнадзора о привлечении РЖД к административной ответственности, предусмотренной ч. 1 ст. 13.11 КоАП РФ, а также взыскать с Роскомнадзора в пользу РЖД расходы по оплате государственной пошлины в размере 30 тыс. руб.

Наказание в виде предупреждения за утечку ПДн

26.02.2026 Арбитражный суд города Санкт-Петербурга и Ленинградской области, рассмотрев дело по заявлению Роскомнадзора, вынес решение о признании виновным ООО «ПКР Аналитика» в совершении правонарушении по ч. 13 ст. 13.11 КоАП РФ: действия (бездействие) оператора ПДн, которые повлекли неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн.

Осенью 2025 года ООО «ПКР Аналитика» подверглось хакерской атаке на информационные системы, в результате которой база данных, содержащая ПДн 70 тыс. субъектов ПДн (представители и сотрудники юридических лиц), была размещена в открытом доступе (в Telegram-канале). Состав данных: ФИО, номер телефона, электронная почта. ООО «ПКР Аналитика» своевременно направила в Роскомнадзор уведомления:

в течение суток о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (исполнение п. 1 чт. 3.1 ст. 21 152-ФЗ);
через двое суток о результатах внутреннего расследования выявленного инцидента (исполнение п. 2 чт. 3.1 ст. 21 152-ФЗ).

В ходе заседания ООО «ПКР Аналитика» ходатайствовало о приостановлении производства по делу, ссылаясь на наличие материала проверки в правоохранительных органах (КУСП № 18075 от 15.08.2025). Суд отклонил ходатайство, не обнаружив достаточных оснований для временного прекращения рассмотрения административного дела.

В процессе судебного разбирательства материалами дела было подтверждено нарушение ООО «ПКР Аналитика» п. 1 ст. 6, ст. 7 152-ФЗ. Также суд признал наличие вины ООО «ПКР Аналитика» во вменяемом правонарушении применительно к ч. 2 ст. 2.1 КоАП РФ, так как доказательства невозможности соблюдения оператором ПДн требований законодательства в силу чрезвычайных событий и обстоятельств, которые оно не могло предвидеть и предотвратить, равно как и доказательства принятия необходимых и своевременных мер в материалы дела не представлены.

Суд назначил административное наказание в виде предупреждения, так как правонарушение ООО «ПКР Аналитика» было совершено впервые (ст. 4.1.1 КоАП РФ).

Штраф за невыполнение требований по локализации баз ПДн

1. Bad Kitty's Dad, LDA

05.02.2026 Арбитражный суд города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновной компанию-разработчика игр и приложений Bad Kitty's Dad, LDA, зарегистрированной в Португалии, в совершении правонарушения по ч. 9 ст. 13.11 КоАП РФ: повторное невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ.

Организация Bad Kitty's Dad, LDA, являясь оператором ПДн, при сборе ПДн повторно отказалась выполнить обязанности по локализации баз ПДн, содержащих сведения о пользователях РФ.

В ходе судебного разбирательства было установлено, что компания, используя принадлежащий ей интернет-сервис Ome.TV (видеочат для общения со случайными собеседниками), собирала ПДн пользователей РФ (адрес электронной почты, имя, возраст, фотографию и информацию из профилей в социальных сетях, файлы cookie). База собранных ПДн хранится на территории Европейского союза.

Суд назначил наказание в виде штрафа в размере 6 млн. руб.

2. Battlestate Games Limited

03.03.2026 Мировой судья судебного участка № 422 Таганского района города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновным разработчика компьютерных игр в совершении административного правонарушения по ч. 8 ст. 13.11 КоАП РФ: невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ.

Организация Battlestate Games Limited, являясь оператором ПДн, при сборе ПДн не выполнила обязанности по локализации баз данных, содержащих сведения о российских пользователях.

Суд назначил наказание в виде административного штрафа в размере 2 млн. руб.

3. SSI International GmbH

10.03.2026 Мировой судья судебного участка № 422 Таганского района города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновной международную организацию, специализирующаяся на обучении дайвингу, фридайвингу, плаванию и снорклингу, в совершении административного правонарушения по ч. 9 ст. 13.11 КоАП РФ: повторное невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ.

Организация SSI International GmbH, являясь оператором ПДн, при сборе ПДн повторно отказалась выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях.

Суд назначил наказание в виде административного штрафа в размере 6 млн. руб.

4. Change.org.Pbc

24.03.2026 Мировой судья судебного участка № 422 Таганского района города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновной платформу для размещения петиций Change.org.Pbc в совершении административного правонарушения по ч. 8 ст. 13.11 КоАП РФ: невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ.

Change.org.Pbc, являясь оператором ПДн, при сборе ПДн отказалась выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях.

Суд назначил наказание в виде административного штрафа в размере 1 млн. руб.

5. PADI Americas Inc

24.03.2026 Мировой судья судебного участка № 422 Таганского района города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновным разработчика приложения для аквалангистов PADI Americas Inc в совершении административного правонарушения по ч. 9 ст. 13.11 КоАП РФ: повторное невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ.

Организация PADI Americas Inc, являясь оператором ПДн, при сборе ПДн повторно отказалась выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях.

Суд назначил наказание в виде административного штрафа в размере 6 млн. руб.

6. Duolingo и eNom LLC.

26.03.2026 Мировой судья судебного участка № 422 Таганского района города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновными иностранные компании «Дуолинго, Инк.» (Duolingo, Inc.) и «еНом ЛЛС» (eNom LLC.) в совершении административного правонарушения по ч. 8 ст. 13.11 КоАП РФ: невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ.

Компания «Дуолинго, Инк.» (Duolingo, Inc.), являющаяся владельцем обучающей иностранным языкам платформы Duolingo, и регистратор доменных имен «еНом ЛЛС» (eNom LLC.), являясь операторами ПДн, при сборе ПДн отказались выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях.

Суд назначил наказание в виде административных штрафов в размере 2 млн. руб. для каждой организации.

Привлечение к ответственности за хранение паролей на рабочем столе

05.03.2026 Шестой кассационный суд общей юрисдикции, рассмотрев гражданское дело по иску гражданина к ПАО «АНК «Башнефть» о признании приказа о применении дисциплинарного взыскания в виде замечания незаконным, вынес решение о признании правомерности наказания работника за факт создания угрозы информационной безопасности (хранение паролей на виду), даже если негативные последствия (взлом, утечка) не наступили.

Работник ПАО «АНК «Башнефть» был привлечен к дисциплинарной ответственности в виде замечания. Основанием послужил выявленный службой безопасности факт: на своем рабочем компьютере в открытом виде в текстовом файле пароли к информационным ресурсам СЭД «БОСС‑Референт», «СПАРК-Интерфакс», «Портал обучения и развития персонала», а также «LYNX». Допущенное нарушение создало угрозы информационной безопасности ПАО «АНК «Башнефть», включая риск утечки конфиденциальной информации, угрозы несанкционированных действий третьих лиц.

Истец пытался оспорить приказ ПАО «АНК «Башнефть», ссылаясь на следующие обстоятельства:

1. Доступ на территорию предприятия осуществляется по пропускам. Доступ к рабочему месту дозволен всего трем работникам: истцу и двум работникам отдела контроля закупочных процедур и осуществляется путем оформления доступа к электронной ключнице.

2. Для получения доступа к содержимому рабочего компьютера при включении питания необходимо пройти двухфакторную аутентификацию учетной записи пользователя.

3. Утечки конфиденциальной информации не произошло, персональные логины и пароли третьим лицам не передавались.

4. ПАО «АНК «Башнефть» не проинформировал о наличии специализированной защищенной программы для хранения и защиты паролей.

Судом были рассмотрены следующие доводы предыдущих инстанций:

1. Согласно п. 3.5.19.2 Стандарта ПАО «АНК «Башнефть» «Политика Методических указаний Компании «Требования информационной безопасности к пользователям ИТ-активов» запрещено сохранять пароли в открытом виде, в том числе в текстовом виде на рабочем столе.

2. Истец был ознакомлен с должностной инструкцией и требованиями внутренних нормативных документов под роспись.

3. Факт, что ПАО «АНК «Башнефть» не предложил программу для хранения и защиты паролей, не является оправданием: при возникновении трудностей с запоминанием паролей работник должен был самостоятельно запросить у работодателя информацию о легитимных защищенных способах их хранения.

4. Отсутствие фактической утечки данных или несанкционированного доступа не отменяет факта дисциплинарного проступка (нарушения правил безопасности).

Суд решение всех инстанций оставил без изменения, кассационную жалобу – без удовлетворения.

Судебная практика в части критической информационной инфраструктуры

Исправительные работы за нарушение достоверности информации объекта КИИ

1. АО «Почта России»

07.07.2025 Первомайский районный суд города Ижевска, рассмотрев дело об уголовном правонарушении, вынес решение о признании оператора связи АО «Почта России» виновным по ч. 4 ст. 274.1 Уголовного кодекса (далее – УК) РФ: неправомерное воздействие на КИИ РФ; по ст. 160 ч.3 УК РФ: присвоение или растрата, совершенные лицом с использованием своего служебного положения в крупном размере.

Работница АО «Почта России», используя свое служебное положение, выразившееся в свободном доступе к вверенным ей денежным средствам, неоднократно изымала из основной операционной кассы АО «Почта России» денежные средства в общей сумме 110 209 руб. 37 коп.

Оператор связи АО «Почта России» неправомерно модифицировал (внесла изменения) в единую автоматизированную систему отделений почтовой связи (далее – ЕАС ОПС) ложные сведения о выплате четырем получателям денежных средств, в общем размере 35 430 руб. 91 коп. по поступившем платежным поручениям. Осуждаемая вводила недостоверные паспортные данные физических лиц в их отсутствие в систему ЕАС ОПС.

АО «Почта России» является субъектом КИИ РФ, которому на праве собственности принадлежат информационные системы и телекоммуникационные сети, в том числе ЕАС ОПС, которая является значимым объектом КИИ АО «Почта России» третьей категории значимости.

Суд назначил наказание в виде исправительных работ сроком на один год и шесть месяцев с удержанием 15% заработной платы в доход государства. Также дополнительным наказанием стало: лишение права заниматься деятельностью, связанной с доступом к КИИ РФ; взыскание с оператора связи в счет возмещения имущественного вреда в пользу АО «Почта России» 145 640 руб. 28 коп.

2. ПАО «МегаФон»

22.07.2025 Первомайский районный суд города Омска, рассмотрев дело об уголовном правонарушении, вынес решение о признании гражданина виновным по ч. 4 ст. 274.1 УК РФ: неправомерное воздействие на КИИ РФ.

Директор офиса продаж и обслуживания салона связи осуществил подключение к сотовой сети ПАО «МегаФон» новых абонентских номеров телефонов в отсутствие клиентов и без их согласия, внеся при этом в информационную систему ПАО «МегаФон» заведомо недостоверные сведения о принадлежности вышеуказанных абонентских номеров телефонов клиентам.

Внесение гражданином ложных сведений повлекло причинение вреда информационной системе ПАО «МегаФон», являющейся объектом КИИ, в связи с тем, что информация в данной системе перестала отвечать критерию достоверности, соблюдение которого предусмотрено п. 6 ст. 3 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и ст. 44 Федерального закона от 07.07.2003 № 126-ФЗ «О связи». Кроме того, действия директор офиса продаж и обслуживания салона связи привели к необходимости проведения внеплановых мероприятий по локализации последствий, оценке защищенности системы и актуализации циркулирующих в ней данных.

Суд назначил наказание в виде исправительных работ на срок один год с удержанием 15% из заработной платы в доход государства, с лишением права заниматься деятельностью, связанной с оформлением подключения абонентов к операторам сотовой связи сроком на один год.

Лишение свободы за неправомерное воздействие на КИИ

1. АО «Почта России»

17.09.2025 Северодвинский городской суд Архангельской области, рассмотрев дело об уголовном правонарушении, вынес решение о признании заместителя начальника отделения почтовой связи АО «Почта России» виновным по ч. 4 ст. 274.1 УК РФ: неправомерное воздействие на КИИ РФ.

Обвиняемый без ведома и без согласия клиентов внес их ПДн, полученные в связи с оформлением процедуры получения почтового отправления и оформления ей простой электронной подписи, в информационную систему Автоматизированная банковская система финансовой организации, которая является значимым объектом КИИ РФ третьей категории значимости. После чего в электронном виде от имени клиентов работник АО «Почта России» открыл банковские (сберегательные) счета с выпуском неименных банковских (платежных) карт.

Обвиняемый своими действиями причинил вред КИИ РФ, выраженный в модификации информации в Автоматизированной банковской системе банка, внесении в нее недостоверной информации, что нарушило целостность информационной системы, в результате чего находящаяся под охраной государства компьютерная информация, циркулирующая в ней, перестала соответствовать критериям объективности, достоверности, актуальности, защищенности и конфиденциальности.

Судом было назначено наказание в виде:

лишения свободы сроком на три года условно с испытательным сроком один год и шесть месяцев;
лишения права заниматься деятельностью, связанной с доступом к КИИ РФ, на срок один год и шесть месяцев.

2. ПАО «ВТБ»

22.09.2025 Ленинский районный суд города Чебоксары, рассмотрев дело об уголовном правонарушении, вынес решение о признании главного специалиста по обработке обращений клиентов (далее – специалист) ПАО «ВТБ» виновным:

по ч. 4 ст. 274.1 УК РФ: неправомерное воздействие на КИИ РФ;
по ч. 3 ст. 183 УК РФ: незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, совершенные группой лиц по предварительному сговору или организованной группой, а также причинившие крупный ущерб или совершенные из корыстной заинтересованности;
по ч. 3 ст. 272 УК РФ: неправомерный доступ к компьютерной информации, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения;
по ч. 3 ст. 159.6 УК РФ: мошенничество в сфере компьютерной информации.

Эпизод 1.

Специалист совершил несанкционированные операции по переводу денежных средств на свой банковский счет, используя данные банковских карт своих знакомых и родственников. После этого он фабриковал заявления о хищении денежных средств от имени указанных лиц и направил их в ПАО «ВТБ». Специалист, злоупотребляя своим служебным положением, внес сведения об установлении факта хищения в систему «JIRA», оформил распоряжение на возмещение денежных средств и направил его для осуществления возврата денежных средств знакомым и родственникам, что привело к модификации компьютерной информации. Сотрудники департамента операционной поддержки бизнеса ПАО «ВТБ» осуществили перевод денежных средств с расчетного счета ПАО «ВТБ» на расчетный счет обвиняемого.

В результате указанных действий обвиняемый похитил денежные средства ПАО «ВТБ» в общей сумме 379 610 руб.

Эпизод 2.

Обвиняемый с использованием своего служебного положения предоставил неизвестному лицу в мессенджере «Telegram» ПДн клиентов ПАО «ВТБ», включая их счета, вклады, операции и другую конфиденциальную информацию, обрабатываемую в информационной системе ПАО «ВТБ» «DB Manager – PROD WAY4VTB», за вознаграждение в 80 долларов за каждого человека.

Таким образом, неправомерные действия специалиста нарушили целостность информационной системы ПАО «ВТБ» «DB Manager – PROD WAY4VTB», являющейся объектом КИИ РФ, безопасность обрабатываемых в ней данных, их хранения, в результате чего информация, циркулирующая в системе, перестала соответствовать критериям оценки конфиденциальности, ограниченного пользования.

В результате передачи ПДн клиентов ПАО «ВТБ» обвиняемый получил денежное вознаграждение в общем размере не менее 740 долларов США, что составило 61 856,60 руб.

Судом было назначено наказание в виде:

лишения свободы сроком на четыре года и три месяца (условно с испытательным сроком 5 лет);
лишения права заниматься деятельностью, связанной с доступом к КИИ РФ, сроком на два года;
взыскания денежных средств в размере 61 856,60 руб. в доход федерального бюджета.

3. ООО «Т2 Мобайл»

23.10.2025 Псковский городской суд Псковской области, рассмотрев дело об уголовном правонарушении, вынес решение о признании супервайзера ПАО «Ростелеком» виновным по ч. 4 ст. 274.1 УК РФ: неправомерное воздействие на КИИ РФ.

В процессе судебного разбирательства установлено, что в обязанности супервайзера помимо продажи услуг ПАО «Ростелеком», также входило осуществление реализации комплектов подключения ID ООО «Т2 Мобайл», которое является субъектом КИИ.

Супервайзер ввел посредством внешнего интерфейса AppSeller в автоматизированную информационную систему «Автоматизированная система расчетов «Billing Plus», являющуюся значимым объектом КИИ, принадлежащей ООО «Т2 Мобайл», сведения о регистрации SIM-карт на установочные данные гражданина РФ, который не присутствовал при регистрации указанных абонентских номеров и не давал в любой форме согласия на данные действия.

Указанными действиями супервайзер нанес вред КИИ, который выразился в модификации информации, содержащейся в базе данных объекта КИИ, в результате чего информация, циркулирующая в ней, перестала соответствовать объективности, достоверности и актуальности.

Суд назначил наказание в виде лишения свободы сроком на два года (условно с испытательным сроком 1 год 6 месяцев).

4. ООО «Т2 Мобайл»

21.11.2025 Ломоносовский районный суд города Архангельска, рассмотрев дело об уголовном правонарушении, вынес решение о признании продавца ООО «М.видео Менеджмент» (далее – ООО «МВМ») виновным по ч. 4 ст. 274.1 УК РФ: неправомерное воздействие на КИИ РФ.

Продавец, наделенный полномочиями по заключению договоров об оказании услуг связи от имени оператора связи ООО «Т2 Мобайл», используя информационную систему «Trade Service», которая применяется в ООО «МВМ» для заключения договоров на оказание услуг связи с клиентами ООО «Т2 Мобайл», используя служебный компьютер:

оформил три абонентских номера на вымышленные ПДн;
оформил десять абонентских номеров на клиентов ООО «МВМ» без их ведома и без их согласия.

Внесенные продавцом данные из информационной системы «Trade Service» попали в информационную систему обслуживания абонентов «WebDealer», являющуюся значимым объектом КИИ и внешним интерфейсом доступа к информационной системе «Billing Plus» ООО «Т2 Мобайл», являющейся значимым объектом КИИ, в которую эти сведения были переданы и где в последующем хранились и обрабатывались.

В результате продавец своими действиями по заключению фиктивных договоров об оказании услуг связи от имени ООО «Т2 Мобайл» причинили вред КИИ, выраженный в модификации компьютерной информации в информационной системе «Billing Plus», а именно внесении в нее недостоверной информации, что нарушило целостность информационной системы, в результате чего информация, циркулирующая в ней, перестала соответствовать критериям объективности, достоверности и актуальности.

Судом было назначено наказание в виде лишения свободы сроком на три года (условно с испытательным
сроком три года).

Назад к списку