Сколько стоит подключение к ЕСИА и почему

Дмитрий Лившин, генеральный директор «САЙБЕР Бизнес Консалтинг»

ЕСИА или Единая система идентификации и аутентификации – это элемент государственной ИТ-инфраструктуры, обеспечивающий для граждан и организаций доступ к порталу «Госуслуги» и другим государственным информационным системам. До недавнего времени её использование было обязательным в основном для структур, напрямую взаимодействующих с госорганами – банков, страховых компаний и операторов персональных данных, обязанных соблюдать требования регулятора. Недавно этот круг существенно расширился.

В декабре 2025 года Государственная Дума приняла закон, который при регистрации доменов вводит обязательную идентификацию через ЕСИА владельца доменного имени в зонах .ru и .рф. Закон вступает в силу 1 сентября 2026 года. Под его действие подпадают более 170 аккредитованных российских регистраторов, которые обязаны интегрировать свои IT-системы с ЕСИА. Правила регистрации доменных имён, включая технические требования и сроки, будут устанавливаться правительством РФ.

Из-за этого регистраторы доменов столкнулись с необходимостью в сжатые сроки провести полноценную интеграцию с данной государственной системой. Насколько это сложно и дорого – вопрос, который сейчас активно обсуждается в отрасли. Мы прошли этот путь несколько месяцев назад с одним из своих клиентов, когда внедряли интеграцию с ЕСИА для работы инвестиционной площадки с лицензией Центрального банка, и можем поделиться собственным опытом.

Реальная стоимость – от 5 до 10 миллионов рублей: в чем причины

Называемые нами цифры – от 5 до 10 миллионов рублей на интеграцию – могут показаться завышенными, ведь формально ЕСИА является бесплатным государственным сервисом. Но дьявол, как обычно, кроется в деталях.

Главная причина столь высокой стоимости – отсутствие готовых решений. До конца 2024 года на рынке существовали «коробочные» продукты для интеграции с ЕСИА, позволявшие реализовать подключение всего за пару недель. Но из-за внесения разработчиками изменений в архитектуру ЕСИА они стали недоступны для новых клиентов. То есть возможна только кастомная разработка – со всеми сопутствующими затратами.

Вторая причина – значительная бюрократическая нагрузка. Для работы с ЕСИА необходимо подавать специальную заявку, собрав большой пакет документов, причём сроки её рассмотрения жёстко регламентированы. Для сравнения: аналогичные по функциям сервисы – «Яндекс.Паспорт», «Сбер.ID», «Т-Банк ID» – тоже оперируют верифицированными персональными данными пользователей, но подключение к ним начинается с заполнения простой онлайн-анкеты. Разница в затратах времени и труда на старте – весьма принципиальная.

Третья причина – инфраструктурные ограничения, связанные с использованием криптографии. Для подписания всех запросов к API ЕСИА необходимо использовать сертификат Rutoken, то есть накопители с электронной цифровой подписью – пресловутые флешки, которые применяются в онлайн-банкинге или при сдаче отчётности в налоговую. Их интеграция в инфраструктуру компании может оказаться нетривиальной, у нас на это ушло полтора человеко-месяца. Кроме того, для работы с Rutoken необходимы физические серверы с возможностью подключения USB-накопителя с криптоконтейнером, а это – дополнительная статья расходов на инфраструктуру. Замечу также, что ПО для работы с Rutoken в пику адептам импортозамещения оптимизировано под Windows, в то время как большинство отечественных компаний строит серверную инфраструктуру на отечественных ОС на основе ядра Linux. Обеспечение их совместимости – отдельная история, которая не всегда заканчивается с первой попытки.

Перечисленные препятствия – это ещё не вся картина. С 1 января 2027 года подключение к ЕСИА будет доступно только через защищённые криптошлюзы – такие как WipNet или аналогичные программно-аппаратные комплексы. Их приобретение и интеграция – ещё одна отдельная и весьма значительная статья расходов. И хотя срок ещё не подошёл, на практике это требование уже применяется для всех новых интеграций.

Четвёртая причина – процесс допуска состоит из двух этапов. После успешного прохождения проверки на тестовой инфраструктуре необходимо подать отдельную заявку для получения доступа к «боевому окружению» ЕСИА. Пусть эта заявка и несколько проще первоначальной, но и на её рассмотрение тоже уходит до двух недель.

Учитывая эти требования, можно предположить, что интеграция с ЕСИА в ближайшие месяцы или год потребует наличия команды разработчиков из как минимум 4–8 человек, которые будут заняты на 2–2,5 месяца. Плюс к этому потребуются соответствующие инвестиции в корпоративную инфраструктуру. В совокупности это и даст озвученный диапазон в 5 и более миллионов рублей.

До появления на рынке эффективных отработанных решений (а такие, насколько нам известно, уже разрабатываются) ситуация принципиально не изменится.

Административные риски важнее денег

Для крупного бизнеса прямые затраты на интеграцию сами по себе не очень критичны. Гораздо серьёзнее риски, связанные со сроками подключения. Если регистратор не успеет выполнить требования к установленной дате, это грозит приостановкой деятельности по регистрации доменов или штрафами. Компании, для которых регистрация доменных имён является основным или значительным направлением бизнеса, от такой приостановки понесут куда большие потери, чем стоимость самой интеграции.

Аналитики рынка не исключают, что не все действующие регистраторы смогут сохранить свой статус после введения новых требований или что кто-то из них попадёт на штрафы. Особенно это касается компаний с небольшими портфелями доменов, для которых их регистрация не является основным бизнесом. При этом вызывают сомнения и возможности системы эффективно обслужить одномоментный наплыв новых клиентов.

Почему возникают вопросы у участников рынка

Большинство обсуждений, за которыми мы наблюдали или в которых нам довелось принимать участие, сводятся к вопросу – можно ли было сделать иначе, удобнее? На наш взгляд, ответ – да.

В России уже существуют коммерческие системы идентификации, которые оперируют верифицированными персональными данными и располагают механизмами офлайн-верификации пользователей: уже упомянутые «Яндекс.ID», «Сбер.ID» и «Т-Банк ID». Подключение к ним несравнимо проще, чем к ЕСИА, хотя они работают с тем же набором данных – ФИО, паспорт, ИНН. Вполне можно было бы организовать передачу регистраторам доменов таких данных в качестве альтернативы.

Однако было принято решение пойти по пути обязательной интеграции с единственной системой с наиболее сложным с технической точки зрения входом, серьёзной документальной нагрузкой и архитектурными ограничениями, вызывающими проблемы с совместимостью на уровне серверных сред. Создаётся впечатление, что за кадровыми изменениями в курирующих ведомствах сервисы госуслуг и ЕСИА начали постепенно терять ту так ценимую индустрией клиентоориентированность, с которой они изначально создавались.

Требования, безусловно, будут выполнены – у рынка просто нет другого выхода. Вопрос в том, какую цену придётся заплатить, насколько эффективно справится система с наплывом и как изменится после сентября 2026 года количество игроков, а значит, и конкурентная среда.