Регуляторные изменения июля 2026 — это пакет из семи нормативных событий (ФЗ, постановления КС, КоАП), вступивших в силу или подписанных 26 июня — 3 июля 2026 года. В России регулируются законами 133-ФЗ, ст. 13.55 КоАП, законопроектом № 1194918-8 и иными актами. Затрагивают финтех, МФО, маркетплейсы, криптоплатформы, ИИ-сервисы.
Кратко — 7 событий и 7 шагов
- С 1 июля 2026 биометрия ЕБС разрешена в сделках с недвижимостью (ФЗ № 133-ФЗ).
- С 7 июля 2026 OAuth-кнопки иностранных сервисов запрещены, штраф до 1,4 млн руб. (ст. 13.55 КоАП).
- Закон о крипте перенесён на 1 сентября 2026; travel rule и мониторинг ≥1 млн руб. — уже сейчас.
- Дипфейк-фрод вырос на 2 137% за три года (Signicat, 2026).
- ЭПР для ИИ упрощён: снят барьер, срок режима — 5 лет.
За неделю 26 июня — 3 июля вступили в силу три нормы и подписаны ещё два закона. Регулятор не объявлял об этом как о пакете: нормы пришли из разных ведомств и разных точек законодательного цикла. Для compliance-команды они образуют один дедлайн — конец июля 2026, когда большинство из них начнёт создавать финансовые последствия.
Биометрия в сделках с недвижимостью: что нужно сделать до конца июля?
С 1 июля 2026 в силу вступил ФЗ от 07.06.2025 № 133-ФЗ, внёсший изменения в ч. 6 ст. 36.2 218-ФЗ. Участник сделки с недвижимостью вправе подтвердить личность через Единую биометрическую систему — по лицу и голосу, без визита в МФЦ. Отпечатки пальцев и сетчатка глаза в процессе не задействованы.
Биометрия дополняет УКЭП, под новый механизм не подпадают сделки с долями, сделки с участием несовершеннолетних и наследственные вопросы, а также сделки, для которых законом предусмотрено обязательное нотариальное удостоверение — во всех этих случаях личное присутствие или участие нотариуса остаётся обязательным. Убрана обязательная отметка в ЕГРН о согласии на электронную регистрацию — конструкция «сделка Москва — Владивосток без единого визита» теперь оформлена законодательно. Документы подаются через «Госуслуги» после предварительной сдачи биометрии в центре обслуживания.
Механизм подтвердили в пресс-службе Росреестра: документы по сделке подписываются УКЭП, личность правообладателя подтверждается через ГИС ЕБС, а отдельная отметка в ЕГРН для этого больше не требуется. Ведомство отдельно указало, что цель изменения — исключить обязательный визит в МФЦ для тех, кто хочет оформить сделку полностью онлайн (РИА Недвижимость). Как подготовиться к дедлайну:
Как подготовиться к дедлайну:
- Юридическим сервисам, сопровождающим сделки с недвижимостью без обязательного нотариального удостоверения, — обновить регламент работы с клиентами под электронный формат подачи документов (УКЭП + биометрия через ЕБС на Госуслугах).
- Проверить, поддерживает ли текущий онбординг новый сценарий — дистанционную сделку без визита в МФЦ через УКЭП и биометрию ЕБС, и что процесс явно исключает случаи, требующие личного присутствия или участия нотариуса.
- Явно закрепить в регламенте перечень исключений: доли, несовершеннолетние, наследство, сделки, требующие нотариального удостоверения — на них новый механизм не распространяется.
OAuth-запрет: за что именно штрафуют и на сколько?
26 июня 2026 президент подписал закон, введший ст. 13.55 КоАП РФ (Kommersant). С 7 июля 2026 года — через 10 дней после официального опубликования закона 26 июня — авторизация на российских платформах через иностранные сервисы становится административным правонарушением для владельцев сайтов.
Размер санкций зафиксирован в законе. Юридические лица: 500–700 тыс. руб. за первое нарушение, 1–1,4 млн руб. при повторном. Должностные лица: 30–50 тыс. руб. Физические лица — владельцы платформ: 10–20 тыс. руб. Вход через личный Gmail наказуем для оператора сайта, но не для самого пользователя.
Закон запрещает кнопку «Войти через Google» — делегирование аутентификации серверам иностранного сервиса (Google OAuth, Apple ID, Microsoft, GitHub, Discord). Использовать и хранить адрес @gmail.com как логин в паре с паролем на собственном сервере платформы закон не запрещает: под запретом именно передача самой процедуры входа иностранному провайдеру, а не домен почты пользователя (ГАРАНТ.РУ). Разрешённые альтернативы: телефон РФ, ЕСИА, ЕБС, VK ID, Яндекс ID, Сбер ID (ГАРАНТ.РУ).
Что нужно сделать прямо сейчас:
- Аудит страниц входа на всех продуктах: убрать OAuth-кнопки иностранных сервисов.
- Подключить хотя бы одну из разрешённых альтернатив.
- Проверить корпоративные инструменты с публичным доступом — закон распространяется не только на B2C.
КС № 39-П: почему маркетплейсам недостаточно реактивной блокировки?
Постановление Конституционного суда РФ № 39-П от 16 июня 2026 закрепило: платформа не вправе ссылаться на нейтралитет посредника, если нарушение носило явный характер. Одновременно Минэкономразвития предложило поправки в КоАП со штрафом до 400 тыс. руб. за ценовое давление на продавцов. По требованию ФАС «Авито», Ozon и Wildberries ограничили продажу топлива.
Постановление меняет юридическую позицию. Модель реактивной блокировки по жалобам — «пожаловались → заблокировали» — после КС № 39-П уязвима в суде. Для платформы с очевидными нарушениями на витрине «не знал» больше не работает как аргумент.
Рекомендация для compliance-команды:
- Ввести KYB-верификацию (Know Your Business) продавцов на этапе онбординга: проверять юридическое лицо или ИП до допуска к торговле.
- Пересмотреть регламент модерации: какие нарушения классифицируются как «очевидные» по критериям КС.
Закон о криптовалютах: дата сдвинулась, требования остались прежними
Законопроект № 1194918-8 «О цифровой валюте и цифровых правах» принят в первом чтении в апреле 2026. По данным Интерфакс от 1 июля 2026, председатель думского комитета по финансовому рынку Анатолий Аксаков сообщил на Финансовом конгрессе ЦБ: закон заработает с 1 сентября 2026 года, а не с 1 июля, как планировалось ранее. Требования не менялись.
Операции с криптовалютой допускаются только через лицензированных участников реестра ЦБ — биржи, депозитарии, брокеры, обменники. Крипта не является средством платежа внутри страны. Неквалифицированные инвесторы ограничены лимитом 300 тыс. руб. в год через одного посредника, после прохождения тестирования.
KYC-требования в законе: вводится travel rule — передача данных платформы ЗСК депозитариям. Операции свыше 1 млн руб. подлежат уведомлению Росфинмониторинга. Ответственность за работу вне лицензированной инфраструктуры наступает с 1 июля 2027. Перенос срока на сентябрь не даёт запаса времени: до дедлайна осталось меньше двух месяцев.
Шаги до конца июля:
- Крипто-платформам — приступить к настройке travel rule и мониторинга операций ≥1 млн руб.
- Проверить соответствие KYC-процессов требованиям реестра ЦБ.
МФО и ЕБС: мораторий есть, обязанность никуда не делась
Норма об обязательной проверке клиентов МФК через ЕБС действует с 1 марта 2026. Однако ни одна МФК реально не применяла систему: по данным оператора ЕБС, к началу марта 2026 к системе при выдаче займов были готовы менее 2% потенциальных заёмщиков МФО, ни одна МФК не выдавала займы через ЕБС.
5 мая 2026 года ЦБ направил информационное письмо: до 1 января 2027 года регулятор воздержится от надзорных мер за неподключение к ЕБС для МФК, для МКК отсрочка действует до 1 марта 2027 года. Практика уже подтверждает масштаб проблемы: по данным «Коммерсанта», к 26 марта 2026 года ни одна из действовавших МФК так и не подключилась к системе, а Банк России в середине мая 2026 года отдельно зафиксировал тенденцию — компании массово меняют статус с МФК на МКК, чтобы выиграть время на интеграцию (Коммерсантъ, 1prime.ru). По данным НКБ, к началу мая 2026 года на статус МКК перешли уже 13 компаний — именно из-за более позднего порога подключения к ЕБС (НКБ).
Мораторий не отменяет норму. Письмо ЦБ носит информационный характер, а не нормативный. Оно приостанавливает надзорное реагирование, но не отменяет саму обязанность подключиться к ЕБС.
Практический вывод:
- МФК и МКК — начать интеграцию с ЕБС в рамках технического пилота. Оставшегося времени хватает на одну-две итерации тестирования.
- Назначить ответственного за подготовку к ЕБС внутри компании уже сейчас.
Дипфейк-фрод вырос на 2 137%: что это меняет для KYC-системы
По данным отчёта Signicat «The Battle Against AI-Driven Identity Fraud» (2026), доля дипфейков среди попыток фрода выросла с 0,1% до 6,5% за три года — прирост 2 137%. Каждый 15-й случай онлайн-мошенничества связан с синтетической идентичностью. По данным совместного отчёта ACFE и SAS 2026 года, 77% организаций фиксируют рост атак с применением ИИ, при этом только 7% считают себя к ним готовыми.
На ПМЮФ замначальника следственного департамента МВД Данил Филиппов сообщил, что с начала 2026 года зафиксировано более 4 000 атакованных с суммарным ущербом 21 млрд руб. Средний чек одного инцидента — 16 млн руб. Общее число киберпреступлений за пять месяцев снизилось на 31,2%, а дипфейк-атаки за тот же период выросли.
Атака внедрения (injection-атака) — подмена реального видеопотока синтетическим через виртуальную камеру. Уязвимы системы, которые не анализируют аппаратный слой устройства и поведенческие паттерны видеопотока. OCR-системы без проверки метаданных документа уязвимы для синтетических удостоверений.
Практические шаги до конца июля:
- Запросить у поставщика KYC-системы: выявляет ли liveness-проверка injection-атаки, то есть подтверждает ли, что видеопоток поступает с реальной камеры устройства, а не подставлен через виртуальную камеру или файл (анализ целостности устройства и метаданных потока)?
- Проверить, обновлены ли модели антифрод-скоринга под injection-атаки в 2025–2026 годах.
ЭПР для ИИ упрощён: что открылось для финтех-идентификации
26 июня 2026 президент подписал закон об экспериментальном правовом режиме (ЭПР) для ИИ (РИА Новости). Закон снял главный барьер на входе — отменено требование доказывать «нормативный барьер», на котором ранее отсеивалось большинство заявок. Одновременно срок действия режима увеличен с 3 до 5 лет, а для участников добавлен механизм досрочного выхода по мотивированному обращению.
19 июня 2026 стартовал тестовый обмен данными между ЦБ и банками для обучения ИИ-моделей антифрода. 16 июня ЦБ опубликовал методические рекомендации № 3-МР по MLSecOps: принцип «человек на критических операциях», ответственный на уровне заместителя руководителя. Статус рекомендаций — необязательный, однако в горизонте 12–18 месяцев рекомендации ЦБ обычно превращаются в фактическое требование для рынка.
Что закончить к августу:
- Финтех-командам, тестирующим ИИ-идентификацию, — пересмотреть заявку в ЭПР под новые условия: без снятого «нормативного барьера» порог входа ниже, а увеличенный до 5 лет срок позволяет заложить в пилот более длинный цикл валидации моделей без риска досрочного завершения режима.
- Внедрить два обязательных элемента MLSecOps из рекомендаций № 3-МР: назначить ответственного за ИИ-модели на уровне заместителя руководителя и закрепить регламент «человек на критических операциях» — то есть определить, какие решения ИИ-системы требуют обязательного подтверждения оператором.
- Оценить целесообразность участия в тестовом обмене данными с ЦБ (стартовал 19 июня) как источнике размеченных данных для обучения антифрод-моделей — это снижает зависимость от собственной ограниченной выборки.
Сводный чеклист: 7 шагов до конца июля 2026
- ЕБС в недвижимости (с 01.07.2026): проверить готовность к интеграции; убедиться, что сделки-исключения (доли, дети, наследство) покрыты действующим процессом.
- OAuth-запрет (штрафы с 07.07.2026): убрать кнопки Google, Apple, Microsoft, GitHub, Discord. Добавить альтернативу из разрешённого списка (ЕСИА, ЕБС, VK ID, Яндекс ID, Сбер ID, телефон РФ). Охватить корпоративные инструменты с публичным доступом.
- КС № 39-П от 16.06.2026 (маркетплейсы): ввести KYB-верификацию продавцов на онбординге. Пересмотреть регламент модерации под критерии «очевидного нарушения».
- Закон о крипте (01.09.2026): настроить travel rule и мониторинг операций ≥1 млн руб. Проверить соответствие KYC требованиям реестра ЦБ.
- МФО и ЕБС (мораторий до 01.01.2027): назначить ответственного. Запустить технический пилот ЕБС.
- Дипфейки и KYC: проверить, анализирует ли liveness-система аппаратный слой. Убедиться в актуальности моделей антифрод-скоринга.
- ЭПР для ИИ (с 26.06.2026): оценить применимость упрощённого режима для пилота. Внедрить MLSecOps-практики по рекомендациям ЦБ № 3-МР.
Источники
- Kremlin.ru — ФЗ № 133-ФЗ от 07.06.2025 (текст закона)
- РИА Недвижимость — биометрия в сделках с 1 июля 2026
- Kommersant — Путин подписал закон о штрафах за авторизацию
- Delprof.ru — Госдума ввела штрафы за авторизацию через зарубежные сервисы
- Garant — штрафы за авторизацию с июля 2026
- Garant — использование email как логина не запрещено
- Interfax — закон о криптовалютах заработает с 1 сентября 2026
- Banki.ru — ЦБ пока не наказывает МФО за займы без биометрии
- Fintop.expert — ЦБ временно не будет штрафовать МФО
- Signicat — deepfake fraud +2 137% за 3 года
- ACFE & SAS — 2026 Anti-Fraud Technology Benchmarking Report
- РИА Новости — Путин подписал закон об ЭПР
- Vedomosti — МФО начали настраивать идентификацию клиентов по биометрии
Материал носит информационный характер и не является юридической консультацией.