В рубрике «Разбор Теплицы» мы в режиме реального времени разбираемся в определенной проблеме и рассказываем о новостях интернет-цензуры и рассказываем:
- что происходит;
- как это устроено;
- как с этим можно бороться
Есть мысли по поводу темы? Поделитесь с нами!
Заполните небольшую форму и расскажите, что вы думаете про устройство новых ограничений и как можно минимизировать ущерб для них операторам VPN и обычным пользователям.
Кратко
В апреле 2026 года ужесточило правила работы сразу для двух уровней телеком-инфраструктуры: операторов связи и хостинг-провайдеров.
Цель государства — перекрыть инфраструктурную базу для VPN-сервисов, а заодно передать ответственность за фильтрацию от регулятора к участникам рынка. Хостеров де-факто сделали в операторами связи. Мелкие и средние игроки рынка вытесняются. Контроль над трафиком концентрируется в руках «большой пятерки» (МТС, «Мегафон», «Вымпелком», «Т2», «Ростелеком»).
Что происходит
3 апреля 2026 года, CNews сообщило, что Минцифры обсуждает с участниками рынка связи радикальное ужесточение правил лицензирования операторов: сокращение 17 существующих видов лицензий до трех, установление уставного капитала от 5 до 100 млн рублей, запрет выдачи лицензий ИП, возможность лишения лицензии за повторные нарушения с запретом на перелицензирование в течение 10 лет. Изменения могут вступить в силу с 1 сентября 2026 года. Фактически это приведет к сокращению числа игроков на рынке операторов связи.
Еще 16 апреля 2026 года газета «Коммерсантъ» сообщила, что ко второму чтению законопроекта «Антифрод 2.0» предложены поправки, прямо запрещающие хостинг-провайдерам предоставлять вычислительные мощности владельцам сайтов и IT-систем, которые обеспечивают доступ к заблокированной в России информации. Фактически это запрет на размещение серверной инфраструктуры VPN-сервисов на российском хостинге.
При этом Минцифры сообщило, что «поправки согласовываются с заинтересованными ведомствами», и финальной версии документа еще нет.
Механика
Ключевой элемент новой логики – перевод хостеров из статуса «технического посредника» в статус «контролера».
Для хостеров это потенциальное нововведение означает переход из статуса «технического посредника» в статус «контролера» <…> На практике это будет означать ужесточение оферты, более плотное взаимодействие компаний с Роскомнадзором.
Происходящее не является абсолютной новинкой. Некоторые хостеры и раньше включали в договоры публичной оферты запрет на использование мощностей для запуска VPN-серверов и прокси. Причины были отчасти коммерческими (VPN- и прокси-сервисы генерируют непропорционально высокий трафик, перегружая каналы и создавая нагрузку на соседних клиентов), отчасти регуляторными: с 2017 года VPN-сервисы в России обязаны ограничивать доступ к запрещенным ресурсам, и хостеры не хотели нести солидарную ответственность за клиентов, предоставляющих инструменты обхода блокировок. Запрет в офертах был страховкой от регуляторных рисков и от конфликтов с РКН еще до того, как государство формализовало соответствующие требования в законе.
Как это выглядит в офертах
Кликните, чтобы узнать
Beget (виртуальный хостинг, правила использования):
«Запрещено использовать ресурсы Исполнителя для предоставления массовых публичных почтовых сервисов, VPN-сервисов, прокси-сервисов».
В облачных правилах Beget формулировка мягче, зато содержит прямую привязку к юрисдикции:
«Запрещено использовать ресурсы Исполнителя для предоставления массовых VPN-сервисов, прокси-сервисов, если это противоречит правилам страны, где размещается площадка».
RUVDS (публичная оферта, Приложение 1, п. 2.3.5):
«Размещение открытых (публичных) proxy- или VPN-серверов, а также систем для проверки работоспособности сторонних. Либо размещение приватных с использованием более 10 Гбайт суммарного трафика в сутки. Либо размещение VPN, прокси-серверов, средств анонимизации трафика и любых других средств для получения доступа к ресурсам, доступ к которым ограничен на территории Российской Федерации».
NTX.ru (договор на оказание услуг, п. 11.1.5):
«Запрещено размещение open proxy, open VPN, других общедоступных сервисов (в том числе с платным или приватным доступом), которые могут служить вспомогательными средствами для противоправных действий в сети Интернет».
Показательно, что если в ранних версиях оферт запрет формулировался преимущественно через нагрузочные ограничения (трафик, ресурсы процессора) или через расплывчатую формулировку «противоправные действия», то в более поздних редакциях — как у RUVDS – появляется прямая формулировка про «средства для получения доступа к ресурсам, доступ к которым ограничен на территории Российской Федерации».
Это уже не бизнес-логика, а правовая страховка, прямо синхронизированная с реестром РКН. Поправки «Антифрод 2.0» по сути переводят эту добровольную практику ряда хостеров в обязательное требование для всех 566 участников реестра хостеров. Теперь хостеры получают функции операторов связи в части фильтрации запрещенного трафика, не становясь ими юридически.
Провайдер будет обязан проверить, состоит ли клиент в чёрном списке и исполняет ли его владелец предписания Роскомнадзора. Если клиент игнорирует закон, провайдер должен будет отказать ему в услугах. Речь идёт не просто о запрете серверов, а о конкретной процедуре для провайдеров хостинга
Игорь Бедеров, председатель совета по противодействию технологическим правонарушениям КС НСБ
Эта практика уже отрабатывалась «вручную» до принятия закона и хостеры получали соответствующие письма от РКН. Например, в декабре 2025 года хостинг-провайдер Aeza получил от Роскомнадзора список IP-адресов из своей сети (подсеть 138.124/16) с требованием удалить с них VPN-серверы в течение 24 часов, иначе весь хостинг будет заблокирован. Пользователи были обязаны прислать скриншот удаленного VPN в подтверждение выполнения требования.
Примечательно, что РКН научился находить VPN-серверы даже с обфусцированными протоколами (Xray) в «чистых» подсетях, где ранее не запускались легко обнаруживаемые OpenVPN и WireGuard. Это свидетельствует об улучшении технических возможностей обнаружения VPN на уровне ТСПУ.
Кстати, требования к реестровым хостерам уже существуют. С февраля 2024 года хостеры вне реестра РКН не имеют права оказывать услуги в России. На апрель 2026 года в реестре зарегистрировано 566 организаций. Новые поправки «Антифрод 2.0» распространяют на всех участников реестра обязательство активно выявлять и отключать клиентов-нарушителей – то есть тех, кто использует мощности для VPN.
Что ещё стоит учитывать
Реформа затрагивает сразу несколько уровней инфраструктуры одновременно, и это не совпадение. Ужесточение лицензирования операторов связи вытесняет с рынка малых и региональных игроков, у которых ТСПУ либо не установлены, либо установлены с нарушениями. По данным АМОР, с рынка уйдут десятки тысяч сотрудников; по прогнозу собеседника «Важных историй» из Ленинградской области, «средних купят, а мелких прижмут» — в течение трех лет.
Требования к хостерам закрывают последний сегмент, который оставался относительно свободным: серверную инфраструктуру VPN внутри России. Даже если VPN-сервис работает через зарубежный сервер, его клиентская часть, биллинг, управляющая панель или CDN могут находиться на российском хостинге – теперь и это под запретом.
Важна и финансовая сторона. Хостинг-индустрия уже под повышенным давлением: рост цен на оборудование, повышение НДС и внедрение СОРМ за счет хостеров привели к удорожанию услуг более чем на 30%. Интеграция с базами РКН и обязательный отказ части клиентам, по оценке Никиты Цаплина из RUVDS, «приведут к гарантированному повышению цен для остальных».
Темп блокировок нарастает, а законодательная база для блокировок инфраструктуры достраивается параллельно. По состоянию на конец февраля 2026 года Роскомнадзор заблокировал доступ к 469 VPN-сервисам, к середине января – к 400.
Как смягчить последствия
Для VPN-провайдеров и их пользователей описанные меры формируют несколько новых ограничений, под которые нужно адаптироваться:
- Self-hosted решения на зарубежных VPS с современными протоколами маскировки (Trojan, obfs4, XRay с нестандартными конфигурациями) остаются наиболее устойчивым вариантом на текущем этапе.
Российский хостинг для серверной инфраструктуры VPN становится полностью непригодным – любой хостер в реестре РКН будет обязан отключить такого клиента по требованию (и самостоятельно). Зарубежные хостеры, работающие в российском правовом поле или имеющие российских совладельцев находятся под риском аналогичного давления; - Обфускация протоколов (Xray, VLESS, Shadowsocks) замедляет, но не останавливает обнаружение РКН – прецедент с Aeza показал, что даже «чистые» подсети с обфусцированным трафиком попадают в списки.
- Ротация IP-адресов и использование незаметных подсетей малых хостеров сохраняет актуальность, но окно возможностей сужается по мере вытеснения малых операторов с рынка;
- Для пользователей, разворачивающих личные VPN на VPS, критически важно выбирать хостеров за пределами российской юрисдикции и без российских акционеров.
Обновление на 13 мая 2026
Будем честны: последние недели РКН просто выкашивал обычные дата-центры целыми пулами.
Telegram-канал Liberty.
К началу мая публичные сигналы стали жёстче. 4 мая 2026 года сообщалось, что «Антифрод 2.0» планируют принять в мае, а сами поправки предполагают, что хостинг-провайдер больше не может ссылаться только на нейтральный статус технической площадки. На практике это означает переход от модели «реагировать по жалобе» к модели «проверять и не допускать заранее».
Изменение важно не только юридически, но и технически. В открытых технических публикациях и обсуждениях за апрель-май 2026 года отмечается, что обнаружение VPN все чаще строится на сочетании DPI, сигнатур TLS и поведенческого анализа, а значит хостеру достаточно получить от регулятора или оператора связи указание на подозрительный узел, чтобы затем уже самому разбираться с клиентом и отключением сервиса.
Отдельно стоит добавить, что сложившаяся практика всё заметнее смещает ответственность вниз по цепочке от государства и операторов связи к хостеру, к отключению VPN «через хостинг», а не через платежи, магазины приложений или точечные блокировки сайтов.
Теперь речь идёт не просто о риске блокировки VPN-сервисов, а о формировании режима, при котором российский хостинг становится участником контроля за обходом блокировок. Даже если финальные санкции и процедуры в публичных текстах ещё не до конца раскрыты, сама практика уже складывается: через проверку клиентов, исполнение предписаний, мониторинг «подозрительных» сервисов и отключение по признаку связи с VPN-инфраструктурой. И эта практика уже внедряется.
Обновление от 11 июля 2026 года
К чему это все приведет? Ну, к тому, что интернет-проектов станет сильно меньше. И не потому, что VPN там разместят или еще чего, нет. Просто все, кто делал хоть какой-то боле-менее работающий интернет-проект знает, что любой шаг, который не приносит пользователю пользы снижает конверсию.
Глава «Общества защиты интернета» Михаил Климарев. ЗаТелеком.
История с превращением хостеров в контролёров получила продолжение — но с другой стороны. Если весной обсуждали, как обязать провайдеров отключать «неправильных» клиентов, то теперь Минцифры хочет сделать так, чтобы анонимных клиентов у хостинга не было в принципе. Как сообщил «Коммерсантъ» 10 июля со ссылкой на двух собеседников на рынке, ведомство обсуждает с хостинг-провайдерами обязательную идентификацию клиентов-физлиц через «Госуслуги» (ЕСИА). Идея в том, чтобы за каждым IP-адресом стоял конкретный пользователь с подтверждённой учётной записью — и распространить это на все услуги провайдеров, от аренды виртуальных серверов до размещения сайтов. Сейчас личность клиента можно подтвердить проще: по электронной почте или платежом с карты российского банка.
В 2023 году Минцифры уже предлагало сделать «Госуслуги» единственным способом идентификации, но после возражений отрасли перечень допустимых вариантов расширили. Теперь у инициативы есть обкатанный прецедент рядом: с сентября 2026 года то же требование действует для администраторов доменов в зонах .ru, .рф и .su — идентификация через ЕСИА при регистрации и продлении. Хостинг предлагается подключить к той же модели. По данным Роскомнадзора, на 8 июля 2026 года в реестре провайдеров хостинга — 584 компании; именно на них распространятся новые требования, если их примут.
Мнения рынка разделились. Гендиректор «Турбо Облако» (входит в «Ростелеком») Александр Обухов считает, что любой инструмент, гарантирующий, что за ресурсом стоит реальный пользователь, помогает бороться с фишингом и мошенничеством; в его компании идентификацию через ЕСИА уже внедрили добровольно, а затраты называют подъёмными для рынка. Гендиректор RUVDS Никита Цаплин смотрит иначе: называя трансформацию нормативного поля «естественным этапом развития Рунета», он предупреждает, что обязательная идентификация заметно ударит по экономике розничного сегмента. По его оценке, в первый год отрасль рискует потерять от 20% до 35% клиентов-физлиц — независимых разработчиков, студентов, розничных пользователей — которые перенаправят бюджеты на площадки вне российской юрисдикции. На корпоративном сегменте, работающем по договорам с юридическими лицами, изменения не скажутся. Затраты на внедрение руководитель департамента хостинга «Рунити» Валентин Бостанов оценивает от 5 млн рублей на провайдера в зависимости от схемы интеграции и аттестации.
Для темы этого разбора важны два следствия. Во-первых, инициатива снова бьёт по средствам обхода блокировок: привязка каждого IP к верифицированному пользователю ударит по VPN-сервисам, которые арендуют российские VPS, чтобы обходить «белые списки» и маскировать трафик. Во-вторых, под удар попадают иностранцы — без доступа к ЕСИА аренда хостинга и доменов в России для них оказывается под вопросом, «Рунити» только разрабатывает отдельную интерактивную процедуру идентификации для нерезидентов.
Решение пока не принято, проектов постановлений нет — ведомство закрыто обсуждает инициативу с отраслью. Но направление то же, что и ранее: пространство анонимности в инфраструктуре Рунета последовательно сжимается, а хостеры превращаются из технических посредников в точку государственного контроля. Обновим разбор, когда появится проект нормативного акта.
Источники
- «Хостинг Aeza начал рассылать пользователям уведомления по требованию РКН» — Cashinout Wallet / Instagram, 07.12.2025
- «Aeza начала блокировать хостинг за использование VPN» — Хабр, 08.12.2025
- «Роскомнадзор предупредил о фейковой рассылке про запрет VPN» — www1.ru, 27.02.2026
- «Большие реформы в телекоме. Вернутся проверки операторов связи» — CNews, 03.04.2026
- «Минцифры обсудит возможность снять мораторий на плановые проверки операторов» — РБК, 03.04.2026
- «Провайдеры предупредили, что новые инициативы Минцифры лишат доступа в сеть жителей некоторых районов России» — «Важные истории», 14.04.2026
- «VPN-сервисам помахали хостом» — «Коммерсантъ», 16.04.2026
- «Хостинг-провайдерам запретят размещать VPN-сервисы» — iPhones.ru, 16.04.2026
- «Правительство внесло правки, обязывающие хостинги выявлять и блокировать VPN» — «Хабр», 17.04.2026
- «Ъ узнал о возможном ужесточении требований к хостинг-провайдерам для борьбы с VPN» — Forbes, 17.04.2026
- «Коммерсантъ», «Провайдерам садятся на хост» (обязательная идентификация клиентов хостинга через «Госуслуги»; комментарии Никиты Цаплина, Александра Обухова), 10 июля 2026
- «Хабр», «Идентификация покупателей хостинга через „Госуслуги“ по IP-адресу может стать обязательной» (цифры по ЕСИА, оценка затрат, комментарий Валентина Бостанова), 10 июля 2026
Материал обновляется
Кстати, рассылку сложнее заблокировать. Так что каждую неделю мы рассказываем о самом важном в области технологий и безопасности: как уберечь свои данные, финансы и себя в условиях блокировок, шатдаунов и финансовых ограничений. Подпишитесь!