Новые штрафы за утечки ПДн 2026: до 20 млн руб. и возможные риски шантажа для Бизнеса
С 30 мая 2025 года вступили в силу поправки к ст. 13.11 КоАП РФ (ФЗ-420 от 30.11.2024), которые существенно повысили ответственность за утечки персональных данных. Штрафы теперь зависят от масштаба инцидента, а повторные нарушения грозят оборотными санкциями.
Основные изменения в штрафах (актуально на 2026 год):
- Неуведомление Роскомнадзора об утечке в 24 часа — 1–3 млн руб. для юрлиц.
- Утечка от 1 000 до 10 000 субъектов — до 5–10 млн руб.
- От 10 000 до 100 000 субъектов — до 10–15 млн руб.
- Более 100 000 субъектов — до 15 млн руб.
- Утечка биометрии или специальных категорий ПДн — до 15–20 млн руб.
- Повторные утечки — 1–3 % годовой выручки (минимум 20 млн руб., максимум до 500 млн руб.).
В 2025 году по новым нормам вынесено всего 6 штрафов (максимум 150 тыс. руб., данные Роскомнадзора и InfoWatch). В 2026 году эксперты прогнозируют резкий рост количества дел и сумм — суды начали активно применять оборотные санкции.
Риски шантажа хакеров Повышенные штрафы создали для злоумышленников «готовый прайс-лист»: чем больше потенциальный штраф, тем выгоднее предлагать компании «тихое решение» за выкуп — без уведомления регулятора и публичного слива. Эксперты (Positive Technologies, InfoWatch, CISO Club) прогнозируют в 2026 году новую волну такого шантажа: хакеры крадут данные и требуют оплату за неразглашение.
Публичных подтверждённых прецедентов именно этой схемы (с прямой привязкой к штрафам 2025–2026) пока нет — компании решают инциденты без огласки, чтобы избежать дополнительных проверок и репутационных потерь. Но тенденция очевидна: страх огромных санкций делает шантаж более привлекательным инструментом монетизации утечек.
Повышение осведомлённости сотрудников — ключевой способ защиты бизнеса По данным из открытых источников - 70–85 % утечек ПДн происходят из-за человеческого фактора: фишинг, использование ИИ-чат-ботов для работы с конфиденциальными данными, ошибки конфигурации, загрузка баз в личные облака. Сотрудники остаются первым и самым уязвимым звеном.
Кнут (штрафы, увольнения) работает плохо. Лучше переходить к морковке: регулярное обучение + финансовая мотивация за знания. Это снижает инциденты по человеческому фактору на 30–50 % уже в первые 6 месяцев (по аналогичным кейсам рынка).
Лёгкое решение для сотрудников общего профиля (не ИБ-специалистов) — интерактивный КиберФорт Бот. Механика простая: короткие курсы (5–10 минут) в мессенджере с тестами, реальными сценариями угроз и ежедневными микро-уроками. За прохождение начисляются баллы, которые конвертируются в бонусы, подарки или финансовые поощрения (например, 500–2000 руб. в квартал). Обучение превращается в игру с выгодой для сотрудника и компании: повышает осведомлённость, снижает риски утечек без дополнительных нагрузок на ИТ/ИБ-отдел.
Практический чек-лист для Бизнеса:
- Уведомить Роскомнадзор в 24 часа при обнаружении утечки.
- Зафиксировать внутреннее расследование за 72 часа (логи, снимки, цепочка доказательств).
- Проводить регулярные пентесты и аудиты защищённости (минимум ежегодно).
- Разработать и тестировать Incident Response Plan ежеквартально.
- Мониторить использование ИИ-чат-ботов и облачных сервисов с корпоративными данными.
- Актуализировать политики обработки ПДн и договоры с подрядчиками.
Эти меры не требуют огромных бюджетов, но превращают утечку из потенциальной катастрофы в управляемое событие. В 2026 году профилактика (особенно осведомлённость сотрудников) окупается быстрее, чем штрафы или вымогательство.
