ФЗ-230 и разработка ПО: как встроить compliance в архитектуру CRM для взыскания

АГ

Алексей Громов

Технический директор КоллектСофт. Более 10 лет проектирует CRM, базы данных и интеграции для агентств взыскания, МФО и юридических подразделений.

Материал обновлен с учетом действующих требований 230-ФЗ, 152-ФЗ и практики автоматизации взыскания в 2026 году.

Почему 230-ФЗ нельзя закрыть инструкцией для операторов

230-ФЗ регулирует порядок взаимодействия с должниками и ограничивает способы, частоту и время контактов. Для коллекторского агентства это не только юридическая задача. Если CRM, телефония, SMS-шлюз и мобильное приложение работают разрозненно, оператор может формально следовать инструкции, но система все равно допустит нарушение.

Поэтому compliance по 230-ФЗ должен быть встроен в архитектуру: контакт нельзя создать, отправить или назначить исполнителю, пока центральный сервис правил не проверит лимиты, согласия, статус должника, часовой пояс и историю коммуникаций по всем каналам.

«Главная ошибка при автоматизации взыскания - считать 230-ФЗ отчетом после контакта. Правильная система проверяет законность действия до звонка, сообщения или визита».
- Алексей Громов, технический директор КоллектСофт

Что именно должна контролировать система

В CRM для взыскания закон должен быть разложен на проверяемые бизнес-правила. Ниже - базовая матрица, которую мы используем при проектировании compliance-модуля.

Требование	Что делает ПО	Риск без автоматизации
Частота контактов	Считает звонки, сообщения и встречи по должнику, договору, каналу и периоду.	Превышение лимита из-за параллельной работы операторов.
Время взаимодействия	Проверяет локальное время должника до создания задачи или звонка.	Контакт в запрещенный временной интервал.
Согласия и отказы	Хранит согласия, отзывы, запреты каналов и историю изменения статусов.	Контакт после отзыва согласия или по недопустимому каналу.
Третьи лица	Разделяет должника, поручителя, наследника, работодателя и контактных лиц.	Раскрытие информации не тому адресату.
Доказательная база	Фиксирует событие, автора, канал, результат, запись звонка и технические метки.	Невозможно быстро подтвердить корректность действий при жалобе.

Архитектура compliance-модуля

Надежная схема строится вокруг единого сервиса правил. Он не должен быть частью только телефонии или только CRM, потому что коммуникации идут через несколько каналов: операторский интерфейс, автодозвон, SMS, мессенджеры, email, мобильное приложение выездного сотрудника и внешние интеграции.

Compliance Rules Engine Центральный сервис проверяет лимиты, запреты, часовой пояс, статус дела и тип контакта до выполнения действия.

Contact Ledger Единый журнал всех попыток взаимодействия: успешных, неуспешных, автоматических и ручных.

Consent Management Отдельный контур для согласий, отзывов, доверенностей, третьих лиц и разрешенных каналов связи.

Immutable Audit-log Неизменяемая история действий пользователей, системных проверок, блокировок и ручных исключений.

В такой архитектуре любой канал сначала запрашивает разрешение у compliance-сервиса. Если контакт запрещен, CRM не показывает оператору кнопку звонка, автодозвон не ставит номер в очередь, SMS-шлюз не принимает отправку, а задача выездного агента не попадает в маршрут.

Как считать лимиты контактов без ошибок

Счетчик контактов должен работать атомарно. Недостаточно раз в сутки строить отчет по событиям: два оператора могут одновременно открыть карточку должника, и оба увидят, что лимит еще не исчерпан. Правильный подход - резервировать право контакта в момент действия и сразу фиксировать попытку.

Для высоконагруженной системы мы обычно разделяем быстрое принятие решения и долговременное хранение: Redis или другой быстрый слой держит оперативные счетчики, PostgreSQL хранит неизменяемый журнал событий, а фоновый процесс сверяет агрегаты и выявляет аномалии.

Минимальная логика проверки

Определить субъект контакта: должник, поручитель, представитель или третье лицо.
Проверить канал связи и наличие действующего согласия, если оно требуется.
Перевести текущее время в часовой пояс адресата.
Посчитать контакты по нужным периодам и каналам.
Зарезервировать контакт или вернуть оператору причину блокировки.
Записать результат действия в контактный журнал и audit-log.

Согласия, отказы и третьи лица

Отдельный блок данных нужен для управления согласиями. В нем важно хранить не только текущий статус, но и основание: когда получено согласие, кто его загрузил, к какому договору или лицу оно относится, какой канал разрешен, когда согласие отозвано и каким документом это подтверждается.

Объект учета	Что хранить	Зачем это нужно
Должник	Телефоны, адреса, часовой пояс, допустимые каналы, статусы отказов.	Чтобы не контактировать по запрещенному каналу.
Третье лицо	Связь с должником, основание контакта, запрет раскрытия данных.	Чтобы исключить незаконное раскрытие информации.
Документ	Скан, электронная форма, дата, источник, версия, автор изменения.	Чтобы быстро подтвердить правомерность контакта.

Audit-log и доказательная база для ФССП

При жалобе регулятору важны не только итоговые отчеты, но и путь к решению: кто инициировал контакт, какие правила проверила система, почему действие было разрешено или заблокировано, была ли запись звонка, какие данные видел оператор в момент взаимодействия.

Поэтому audit-log должен быть неизменяемым для обычных пользователей. Исправления лучше оформлять отдельными компенсирующими событиями, а не редактированием старой записи. Это помогает сохранить доказательность и снижает риск внутреннего обхода правил.

Интеграции, без которых compliance не будет полным

230-ФЗ невозможно контролировать только внутри CRM, если реальные контакты проходят через внешние системы. Все каналы должны отдавать события в единый журнал и запрашивать разрешение перед действием.

Телефония и автодозвон. Перед постановкой номера в очередь проверяются лимиты, время и запреты, после звонка сохраняются результат и запись.
SMS, email и мессенджеры. Отправка идет через единый шлюз, который учитывает канал, текст, шаблон, получателя и статус доставки.
ФССП. Система готовит выгрузки, помогает разбирать жалобы и хранит доказательства по контактам.
БКИ и банковские АБС. Интеграции нужны для загрузки портфелей, статусов договоров, платежей и событий реструктуризации.
Мобильное приложение. Выездной агент получает только разрешенные задачи, а отчет о визите сразу попадает в общий журнал.

Типовые ошибки при разработке

Большинство нарушений появляется не из-за отсутствия одного модуля, а из-за разрывов между системами. Вот ошибки, которые мы чаще всего видим при аудите CRM для взыскания.

Лимиты считаются только в CRM Автодозвон, SMS и мобильное приложение продолжают создавать контакты мимо общего счетчика.

Нет атомарного резервирования Параллельные операторы успевают совершить несколько действий до обновления отчета.

Согласия лежат файлами Система не может автоматически понять, какой канал разрешен и когда согласие было отозвано.

Audit-log можно редактировать История теряет доказательность, а расследование жалобы превращается в ручной поиск.

Чеклист готовности CRM к требованиям 230-ФЗ

Используйте этот список как первичную проверку текущей системы или технического задания на разработку.

Все каналы связи подключены к единому журналу контактов.
Лимиты проверяются до действия, а не только в отчете.
Контакты резервируются атомарно при параллельной работе операторов.
Система учитывает часовой пояс должника.
Согласия и отказы хранятся как структурированные данные.
Третьи лица отделены от должников и поручителей.
Запись звонка связана с событием в карточке дела.
Audit-log нельзя изменить без отдельного компенсирующего события.
Оператор видит причину блокировки, а не только техническую ошибку.
Руководитель видит дашборд рисков и заблокированных действий.
Есть выгрузки для внутреннего комплаенса и ответа на жалобы.
Исключения требуют роли, основания и отдельного журналирования.

FAQ: частые вопросы о 230-ФЗ в CRM для взыскания

Можно ли доработать универсальную CRM под 230-ФЗ?

Можно, если CRM позволяет перехватывать все действия до контакта и подключать внешний сервис правил. Если телефония, SMS и задачи живут отдельно, доработка обычно превращается в набор отчетов, а не в полноценный compliance-контроль.

Где лучше считать лимиты контактов: в CRM или телефонии?

В отдельном compliance-сервисе. Телефония должна запрашивать у него разрешение, но не быть единственным источником правды, потому что контакты проходят не только через звонки.

Нужно ли хранить неуспешные попытки связи?

Да, их лучше фиксировать отдельно от успешных контактов. Это помогает восстановить полную картину действий сотрудников и автоматических систем при внутренней проверке или жалобе.

Как быстро можно внедрить compliance-модуль?

Для существующей CRM первичный аудит и проектирование занимают 2-4 недели. MVP контроля звонков и SMS обычно занимает 2-3 месяца, полноценный контур с согласиями, audit-log и отчетностью - 4-6 месяцев.

Что важнее: юридическая таблица правил или технический audit-log?

Нужны оба слоя. Таблица правил определяет, можно ли совершить действие, а audit-log доказывает, что система действительно проверила правило и зафиксировала результат.

Нормативная база и источники

При проектировании compliance-модуля нужно регулярно сверяться с актуальной редакцией закона и внутренними регламентами агентства. Техническая реализация не заменяет юридическую экспертизу, но делает требования закона исполнимыми в ежедневной работе.

Федеральный закон № 230-ФЗ о защите прав и законных интересов физических лиц при возврате просроченной задолженности.
Федеральный закон № 152-ФЗ о персональных данных.
Внутренние регламенты коллекторского агентства: сценарии контактов, матрица ролей, политика хранения записей и порядок ответа на жалобы.

Вывод: compliance должен быть частью архитектуры

Если 230-ФЗ контролируется только инструкциями и постфактум-отчетами, риск нарушения остается высоким. Надежная CRM для взыскания должна блокировать недопустимые действия до контакта, хранить доказательную базу и одинаково учитывать все каналы взаимодействия.

Для агентств с активным портфелем правильнее начинать не с покупки отдельного отчета, а с аудита архитектуры: какие каналы уже есть, где теряются события, как хранятся согласия и можно ли доказать каждое решение системы.