В 2026 году у российских компаний появился новый риск, о котором еще недавно говорили в основном юристы и специалисты по информационной безопасности. Массовая утечка персональных данных теперь опасна не только потерей репутации, жалобами клиентов и публикациями в СМИ. Она может стать инструментом прямого шантажа со стороны хакеров.
Схема выглядит просто и поэтому особенно неприятно. Злоумышленники получают доступ к базе клиентов или сотрудников, после чего предлагают компании «решить вопрос» до публикации данных. Аргумент стал жестче: если база появится в открытом доступе, бизнесу придется иметь дело не только с репутационным кризисом, но и с новыми крупными штрафами за нарушение законодательства о персональных данных. О росте такого сценария в 2026 году сообщили эксперты «Позитив Технолоджис», на которых ссылается «Коммерсантъ»
Главная причина изменения ситуации — новые штрафы, которые начали действовать после вступления в силу Федерального закона №420-ФЗ. С 30 мая 2025 года ответственность за утечки персональных данных в России стала значительно жестче. За утечку данных более чем 100 тысяч человек компания может получить штраф от 10 до 15 миллионов рублей, за утечку биометрических данных — от 15 до 20 миллионов рублей, а за повторную утечку предусмотрен оборотный штраф от 1% до 3% годовой выручки, но не более 500 миллионов рублей.
Именно этот момент изменил психологию атаки. Раньше хакеры в основном продавали украденные базы на теневых площадках или использовали их для фишинга и телефонного мошенничества. Теперь у них появился дополнительный рычаг давления. Компании можно угрожать не только сливом данных, но и последующими проверками, публичным скандалом и крупными санкциями.
Для бизнеса это неприятная ловушка. Заплатить выкуп кажется быстрым способом остановить публикацию базы, но гарантий нет никаких. Данные могут все равно продать, передать другим группам или выложить позже. В худшем случае компания сначала платит преступникам, а затем все равно получает проверку, штраф и потерю доверия клиентов.
По данным ComNews, в 2025 году Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных, а в сеть попали более 52 миллионов записей. При этом штрафы получили только шесть организаций, но эксперты ожидают, что в 2026 году число взысканий будет расти, потому что дела по новым правилам постепенно доходят до судов.
Здесь важно понимать одну деталь. Новость не в том, что штрафы стали больше. Новость в том, что киберпреступники быстро встроили эти штрафы в свою экономику. Закон должен был заставить компании серьезнее защищать персональные данные, но одновременно он сделал сам факт утечки более дорогим и болезненным. А все, что становится дорогим и болезненным, преступники начинают использовать как инструмент давления.
Больше всего рискуют компании, которые собирают много данных, но не имеют зрелой системы информационной безопасности. Это интернет-магазины, медицинские центры, образовательные сервисы, службы доставки, небольшие финансовые организации, HR-платформы, маркетплейсы услуг и любые бизнесы, где годами копятся телефоны, адреса электронной почты, ФИО, история заказов и документы клиентов.
Плюс новых правил очевиден: бизнес больше не может относиться к персональным данным как к второстепенной таблице в CRM. Если компания собирает данные, она должна понимать, где они хранятся, кто имеет к ним доступ, как фиксируются инциденты и что произойдет в первые часы после обнаружения утечки.
Минус тоже есть. Часть компаний может попытаться скрывать инциденты, чтобы не попасть под штрафы и не вызвать публичный скандал. Это опасная стратегия. Во-первых, факт утечки часто становится известен не от самой компании, а из даркнета, Telegram-каналов или жалоб пользователей. Во-вторых, несвоевременное уведомление Роскомнадзора об утечке само по себе влечет ответственность: по новым правилам штраф за нарушение обязанности уведомить об утечке может составлять от 1 до 3 миллионов рублей.
Как эксперт по кибербезопасности, я бы не рассматривал эту историю только как юридическую новость. Это уже вопрос устойчивости бизнеса. Если компания узнает об утечке из письма шантажиста, значит, у нее, скорее всего, не сработали базовые механизмы мониторинга. Она не увидела аномальный доступ, не заметила выгрузку данных, не ограничила права сотрудников или подрядчиков, не проверила, где именно хранятся копии клиентских баз.
Для обычных людей последствия тоже вполне конкретные. После утечки данные редко лежат «мертвым грузом». Они начинают работать против владельца: появляются звонки от «службы безопасности банка», сообщения от «Госуслуг», фальшивые уведомления о доставке, письма с обращением по имени и попытки выманить код подтверждения. Чем точнее данные, тем убедительнее мошенническая легенда.
Главный вывод этой истории простой. В 2026 году персональные данные окончательно стали не просто юридической категорией, а полноценным активом и одновременно точкой давления. Для бизнеса утечка теперь означает не только технический инцидент. Это финансовый, репутационный и управленческий кризис. Для пользователей — новая волна более точного и персонализированного мошенничества. И если раньше компании могли годами откладывать защиту данных «на потом», то теперь это «потом» наступило.
