Россия обсуждает гарантированные выплаты при утечках данных: страхование может заработать к 2026 году

Ключевое: в стране готовят механизм гарантированных выплат гражданам при утечках персональных данных. Во Всероссийском союзе страховщиков (ВСС) предложили обязать операторов либо оформлять страхование таких рисков, либо формировать специальный компенсационный фонд.

Инициатива ВСС: как это должно работать

Схема, предложенная ВСС, предполагает два варианта для операторов персональных данных: заключать договор страхования рисков утечек либо пополнять целевой фонд для выплат. Факт нарушения фиксирует Роскомнадзор, а граждане подают заявления на компенсацию через «Госуслуги». Сегодня, по оценкам рынка, из миллионов пострадавших компенсаций добиваются лишь десятки человек. При этом за восемь месяцев 2025-го количество утечек выросло на 60% (до 103), сообщили в Роскомнадзоре.

Официальные шаги и сроки запуска

ВСС уже направил письмо с предложением в Совет Федерации на имя сенатора Артема Шейкина, сообщили «Известиям» в организации.

«Страхование ответственности операторов персональных данных может заработать уже в 2026 году», — сообщил глава ВСС Евгений Уфимцев.

Компенсации: пороги выплат и порядок обращения

В союзе предлагают определять круг пострадавших после инцидентов и установить фиксированный размер компенсации в зависимости от вида скомпрометированной информации (например, биометрической или специальных категорий). Нажав «кнопку» на «Госуслугах», люди смогут получить компенсацию; на первом этапе ее предлагается установить в пределах 5 тыс. рублей. Если гражданин считает, что ущерб значительнее, он сможет обратиться в суд. Сейчас же система фактически не работает — операторы не страхуют свою ответственность перед людьми.

Позиция регулятора и страхового рынка

В Роскомнадзоре «Известиям» сообщили, что готовы в установленном порядке рассмотреть инициативу в виде проекта нормативного акта при поступлении.

В «СберСтраховании» отметили готовность предлагать клиентам соответствующий полис. Запустить продукт можно в течение трех—шести месяцев после доработки законодательства, сообщил директор по рискам компании Владимир Новиков. Он подчеркнул: жертвы утечек персональных данных в обязательном порядке должны получать компенсации. На начальном этапе размер выплат может составлять от 1 до 5 тыс. рублей, однако необходимо предусмотреть возможность их увеличения. При этом сервис действительно стоит запустить на «Госуслугах». Пострадавшим приходило бы автоматическое оповещение о возможности получить компенсацию. Тогда они смогли бы получать выплату по одному клику, пояснил Владимир Новиков.

Мнения экспертов

Гарантированные выплаты при утечках персональных данных — значимая инициатива, считает руководитель отдела страхования корпоративной ответственности и финансовых линий компании «Абсолют Страхование» Алина Растошинская. По ее мнению, инструментом реализации может стать фонд для выплат. Ужесточение ответственности операторов персональных данных — общемировая тенденция, она мотивирует компании усиливать защиту данных, однако меры требуется дополнительно проработать.

Глава НСИС Николай Галушин отмечает, что НСИС не сможет уведомлять жертв, если человек не оформлял страховки (его не будет в системе), поэтому механизм оповещения нужно выстроить иначе. Пострадавший должен обращаться за компенсацией к оператору, допустившему утечку, а тот — при наличии полиса — к страховщику. Кроме того, выплаты должны быть соразмерны ущербу: если человек пострадал на сумму 1 млн, он не должен получать лишь 5 тыс., полагает эксперт.

Что это значит для бизнеса и финансового рынка

Для компаний из разных отраслей, включая банки и финтех, появление обязательного механизма возмещения повысит значимость управления операционными рисками и комплаенса. Это способно повлиять на стоимость сервисов, а через бизнес-процессы — косвенно и на условия для клиентов, в том числе на экосистемные продукты, где соседствуют кредиты, ипотека, лизинг и инвестиции. Корпоративные ИТ-процессы и договорные практики будут чаще включать страховые оговорки и сценарии реагирования на инциденты.

Бизнесу стоит заранее оценить базовые решения, такие как Страхование ответственности, чтобы снизить финансовую нагрузку при возможных претензиях.

Руководителям компаний может быть полезно Страхование ответственности директоров и руководителей (D&O) как часть комплексной защиты при киберинцидентах и управленческих рисках.

Для профессий с доступом к чувствительным данным имеет смысл рассмотреть профильные решения, включая Страхование бухгалтерской ответственности, чтобы структурировать покрытие и требования к внутренним контролям.

Итог

Предложенная модель призвана сделать выплаты пострадавшим быстрыми и предсказуемыми, а операторам — задать понятные правила финансовой ответственности. Страхование в этой конструкции становится инструментом защиты как для граждан, так и для компаний, включая банки и другие участники рынка, чьи продукты связаны с кредитами, ипотекой, лизингом и инвестициями.