С 30 мая 2025 года в России вступили в силу, а в 2026 начали активно применяться поправки к КоАП РФ, которые существенно повысили штрафы за утечки персональных данных: до 15–20 млн рублей за первую утечку обычных ПДн (и выше для биометрии), а за повторные нарушения — до 1–3 % годовой выручки компании. Одновременно эксперты рынка (Positive Technologies, InfoWatch, CISO Club) отмечают рост интереса злоумышленников к использованию этих новых санкций как дополнительного рычага давления на бизнес.

Злоумышленники всё чаще пытаются монетизировать утечки не только через продажу данных, но и через прямой шантаж: «платите — не сообщаем в Роскомнадзор, не публикуем доказательства, не инициируем публичный скандал». Пока публичных подтверждённых случаев именно такой схемы (связанной напрямую с новыми штрафами 2025–2026 годов) в открытых источниках не зафиксировано — компании предпочитают решать подобные инциденты без огласки. Однако объективный риск такого сценария растёт: чем выше «прайс-лист» от государства, тем выгоднее для атакующих превращать утечку в инструмент вымогательства.

В этой статье мы разберём, что именно изменилось в регулировании, почему скрывать инцидент теперь стратегически проигрышно, и какие практические шаги позволяют CISO и владельцам бизнеса минимизировать как штрафы, так и риски шантажа. Всё — на основе актуальной нормативной базы и реальной практики аудитов защищённости.

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции на 2026 год), персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Определение остаётся максимально широким и не претерпело существенных изменений после поправок 2025 года — акцент сместился на ужесточение ответственности и процедур, а не на само понятие.

"Ключевой критерий: данные становятся персональными, если по ним (самостоятельно или в комбинации с другими сведениями) можно идентифицировать конкретного человека. Закон не содержит закрытого перечня, поэтому суды и Роскомнадзор трактуют его расширительно".

Важно: даже на первый взгляд неидентифицируемые для личности данные (например, email + cookie) превращаются в ПДн при возможности обратной идентификации. В 2026 году это особенно актуально для компаний с цифровыми продуктами — сайтами, приложениями, CRM и ИИ-системами, где сбор данных идёт автоматически. Говорить про Базы клиентов, которые некоторые предприниматели хрянят в качестве таблиц - не приходится. 

Никаких радикальных изменений в определении после 2025 года не произошло — поправки касались в основном обезличивания, формы согласий и штрафов. Но широкое толкование делает практически любую клиентскую/сотрудническую базу потенциально подпадающей под 152-ФЗ.

Новые штрафы: что именно изменилось с 30 мая 2025 года и окончательно закрепилось в 2026 году

Федеральный закон от 30.11.2024 № 420-ФЗ внёс масштабные изменения в ст. 13.11 КоАП РФ, которые вступили в силу 30 мая 2025 года. Основные нововведения: введение «градуированных» штрафов за утечки в зависимости от масштаба (количества субъектов или идентификаторов), отдельная ответственность за неуведомление об утечке, повышенные санкции за биометрию и специальные категории ПДн, а также оборотные штрафы за повторные нарушения.

Ключевые изменения (актуально на начало 2026 года):

• Неуведомление Роскомнадзора об утечке (ч. 11 ст. 13.11): для юрлиц — 1–3 млн руб. (ранее такой отдельный состав отсутствовал или штрафы были минимальными).

• Утечка ПДн в зависимости от объёма:

• От 1 000 до 10 000 субъектов (или 10 000–100 000 идентификаторов) — 3–5 млн руб. для юрлиц.

• От 10 000 до 100 000 субъектов (или 100 000–1 000 000 идентификаторов) — 5–10 млн руб.

• Более 100 000 субъектов — 10–15 млн руб.

• Утечка биометрических или специальных категорий ПДн (ч. 16–17): до 10–15 млн руб., для биометрии — до 15–20 млн руб. в отдельных случаях.

• Повторные утечки (ч. 15, 18): оборотные штрафы — 1–3 % годовой выручки (минимум 20–25 млн руб., максимум 500 млн руб.).

С 2025 года по новым нормам вынесено всего 6 административных штрафов (по данным из открытых источников),. Многие дела ещё были с применением старых нормам или завершались предупреждениями. В 2026 году эксперты прогнозируют резкий рост количества и сумм штрафов — суды общей юрисдикции вернулись к рассмотрению таких дел, и смягчающие обстоятельства (оперативное уведомление, аудит, пентест) позволяют снизить санкции.

Шантаж как возможный инструмент давления: или почему скрывать факт утечки не стоит

Новые штрафы за утечки ПДн создали объективный прецедент для злоумышленников: суммы в миллионах рублей за утечки + отдельные санкции за неуведомление Роскомнадзора. Эксперты рынка прямо связывают это с ростом интереса к схемам шантажа: хакеры крадут данные, а затем предлагают «выкуп» за неразглашение инцидента регулятору и публичный слив.

В 2026 году прогнозируется новая волна такого давления — часть хактивистов могут использовать утечки ПДн как рычаг: «платите — не сообщаем в РКН, не публикуем доказательства». Иногда это выгоднее, чем просто продавать базу на даркнете или выкладывать в открытый доступ, особенно когда компании боятся репутационных потерь и оборотных штрафов до 1–3 % выручки.

Пока публичных подтвержденных прецедентов именно такой схемы (шантаж с прямой привязкой к новым штрафам 2025–2026) в открытых источниках не зафиксировано — компании предпочитают решать инциденты без огласки, чтобы избежать дополнительных проверок и санкций. Однако тенденция очевидна: хакеры переходят от публичных сливов к тихой монетизации через выкуп или точечную продажу, а рост освещения темы в СМИ и первые применения повышенных штрафов только усиливают этот риск для среднего и крупного бизнеса.

Для CISO и CTO это сигнал: скрывать утечку или платить вымогателям становится ещё более проигрышной стратегией — регулятор и суды всё чаще смотрят на доказательства «должной заботы» (аудиты, пентесты, оперативное уведомление), а не на факт инцидента.

Публичные прецеденты и возможные модели поведения компаний при шантаже

На март 2026 года в открытых источниках (отчёты Positive Technologies, InfoWatch, Роскомнадзор, публикации в СМИ и профессиональных сообществах) не зафиксировано публичных подтверждённых прецедентов шантажа компаний именно по схеме «выкуп за неуведомление Роскомнадзора и неразглашение инцидента» с прямой привязкой к новым повышенным штрафам 2025 года.

Это может объясняться несколькими причинами:

• компании предпочитают не афишировать подобные инциденты, чтобы избежать дополнительных проверок, репутационных потерь и возможных вторичных атак;

• схема только набирает обороты — первые крупные применения оборотных штрафов и штрафов за биометрию/массовые утечки происходят в 2026 году, и хакеры ещё адаптируются к новому «прайс-листу»;

• большинство утечек ПДн в России по-прежнему монетизируются через продажу баз на даркнете или публичные сливы, а не через прямой шантаж жертвы.

Однако эксперты рынка единогласно прогнозируют рост именно этой модели в ближайшие 12–18 месяцев: чем выше потенциальный штраф (до 20 млн руб. за первую утечку биометрии + 1–3 % выручки за повторную), тем выгоднее хакерам предлагать “решение вопроса” вместо публичного разглашения.

Возможные модели поведения компаний в случае получения требований шантажа (на основе типичных рекомендаций экспертов и мирового опыта двойного/тройного вымогательства):

• Наиболее вероятный сценарий — попытка решить инцидент без огласки: внутреннее расследование, оценка ущерба, переговоры с атакующими (через посредников), выплата выкупа в криптовалюте. Это мотивировано страхом репутационных потерь, оттока клиентов и дополнительных штрафов за неуведомление в 24 часа.

• Объективно рекомендуемый экспертами подход: не платить выкуп, а оперативно уведомить Роскомнадзор (в 24 часа), провести расследование с привлечением внешних специалистов, зафиксировать все меры защиты и доказательства «должной заботы» для возможных разбирательств. Это позволяет минимизировать штраф (смягчающие обстоятельства), избежать обвинений в сокрытии и получить поддержку регулятора/правоохранителей.

• Худший сценарий — полное игнорирование требований без уведомления регулятора: приводит к двойному удару (выкуп + максимальный штраф + возможный публичный слив).

В любом случае, платить выкуп не гарантирует удаление данных — злоумышленники могут продолжать монетизацию. Поэтому ключевой фактор — наличие заранее подготовленного Плана реагирования на инцидент, регулярных аудитов и пентестов: все это превращает инцидент из катастрофы в управляемое событие с возможностью снижения санкций в.

Практическая стратегия защиты в 2026 году

Новые штрафы и растущий риск шантажа делают формальный подход к защите ПДн не просто недостаточным, а экономически невыгодным. Вот ключевые практические шаги, которые позволяют CISO минимизировать как вероятность утечки, так и последствия инцидента (на основе рекомендаций Positive Technologies, InfoWatch и реальной практики аудитов 2025–2026 годов):

1. Оперативное уведомление Роскомнадзора

Уведомить в течение 24 часов с момента обнаружения утечки (ч. 3 ст. 19 152-ФЗ). Затягивание → отдельный штраф 1–3 млн руб. + потеря смягчающих обстоятельств в суде.

2. Внутреннее расследование за 72 часа

Зафиксировать цепочку событий, собрать логи, снимки памяти, доказательства мер защиты. Привлекать внешних forensic-специалистов сразу — внутренние ИТ часто нарушают цепочку доказательств.

3. Доказательства «должной заботы»

Регулярные пентесты и аудиты защищённости (минимум 1 раз в год для среднего бизнеса), актуальные политики обработки ПДн, договоры с подрядчиками с прописанной ответственностью. Эти документы позволяют снизить штраф в 2–5 раз даже при крупной утечке.

4. Incident Response Plan

Готовый план реагирования на инциденты с ролями, контактами, шаблонами уведомлений и чек-листами. Тестировать план хотя бы 1 раз в квартал.

5. Повышение осведомлённости сотрудников — главный фактор снижения риска

По статистике большинствj утечек ПДн в России (70–85 % инцидентов) происходят из-за человеческого фактора: фишинг, использование ИИ-чат-ботов для работы с конфиденциальными данными, слабая или несоблюдение парольной политики, загрузка баз в личные облака.

Сотрудники - остаются первым и самым слабым звеном обороны. Кнут (штрафы, взыскания) работает плохо — лучше переходить к морквовке: регулярное обучение + финансовая мотивация за подтверждение повышения осведомленности.

6. Контроль технических точек

Запрет/мониторинг использования ИИ-моделей с корпоративными данными, двухфакторная аутентификация, сегментация сетей, внедрение парольной политики в компании.

Эти меры не требуют огромных бюджетов, но дают максимальный эффект: утечка превращается из «катастрофы с 20 млн штрафа» в управляемый инцидент с минимальными санкциями и без шантажа.

Заключение

Новые штрафы за утечки ПДн (с 30 мая 2025 года) и потенциальный рост шантажа со стороны злоумышленников — это не «конец света», а сигнал для бизнеса пересмотреть подход к защите данных. Скрывать инцидент, игнорировать уведомление Роскомнадзора или платить выкуп становится стратегически проигрышной тактикой: регулятор и суды всё чаще смотрят на доказательства «должной заботы», а не на сам факт утечки.

Ключевой вывод: инвестиции в реальную защиту (аудиты, пентесты, Incident Response Plan и особенно осведомлённость сотрудников) окупаются в разы быстрее, чем штрафы в 15–20 млн руб. или оборотные санкции. Человеческий фактор остаётся основной причиной инцидентов — именно здесь проще всего добиться снижения рисков за счёт регулярного обучения и мотивации вместо наказаний.