Журнал ПЛАС » Архив » 2018 » ЖУРНАЛ ПЛАС №7 »

УК РФ – новый взгляд на мошенничество. Часть вторая

Продолжаем анализ изменений в области уголовного права в сфере платежных технологий, происходящих во второй половине 2017 – первой половине 2018-го, начатый в августовском номере журнала «ПЛАС». В этот раз, помимо новых подходов к квалификации преступлений, которые определил Федеральный закон от 23 апреля 2018 г. № 111-ФЗ, мы рассмотрим возможные последствия введения с 1 января 2018 года в УК РФ новой статьи 274.1. Судя по всему, они могут оказаться весьма неожиданными как для платежного сообщества, так и для здравого смысла.

УК РФ – новый взгляд на мошенничество. Часть вторая

Николай Пятиизбянцев, независимый эксперт
Николай Пятиизбянцев, независимый эксперт

Итак, вначале рассмотрим, как повлиял на ситуацию с квалификацией преступлений в сфере платежных технологий Федеральный закон от 23 апреля 2018 г. № 111-ФЗ, который внес изменения в Уголовный кодекс РФ.

Часть 3 ст. 158 УК РФ (Кража) была дополнена квалифицирующим признаком: «г) с банковского счета, а равно в отношении электронных денежных средств (при отсутствии признаков преступления, предусмотренного статьей 159.3 настоящего Кодекса)». Максимальное наказание предусматривает лишение свободы до 6 лет. Подчеркнем, что преступление – тяжкое, поэтому уголовная ответственность наступает в том числе и за приготовление к нему.

Согласно Закону № 111-ФЗ была изменена и редакция пункта 4 Примечания ст. 158 УК РФ: «4. Крупным размером в статьях настоящей главы, за исключением частей шестой и седьмой статьи 159, статей 159.1 и 159.5, признается стоимость имущества, превышающая двести пятьдесят тысяч рублей, а особо крупным – один миллион рублей». Таким образом, размер похищенной суммы для статей 159.3 и 159.6 УК РФ, влияющий на квалификацию (крупный, особо крупный), был снижен с 1,5 млн до 250 тыс. руб. и с 6 млн до 1 млн руб. соответственно.

Шесть лет за не обновленный патч: возможно ли такое в России?

Изменилась статья 159.3 (Мошенничество с использованием платежных карт) – в новой редакции она называется «Мошенничество с использованием электронных средств платежа». С чем это связано? Предмет преступления – электронные средства платежа – шире, чем платежные карты, его определение дано в Федеральном законе 161-ФЗ «О национальной платежной системе» (п. 19 ст. 3): «средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств».

Кроме того, старая редакция ч. 1 ст. 159.3 не предусматривала уголовную ответственность, связанную с лишением свободы (максимальным наказанием являлся арест до 4 месяцев). В новой редакции максимальное наказание – лишение свободы до 3 лет. Интересно, что в новой редакции законодатель, оставив способом хищения мошенничество, исключил пояснение о способе хищения, которое присутствовало ранее: «путем обмана уполномоченного работника кредитной, торговой или иной организации». Вероятно, это означает, что данный признак перестает быть обязательным. Но тогда возникает вопрос: почему в таком случае речь идет о мошенничестве, а не о краже?

Часть 3 ст. 159.6 (Мошенничество в сфере компьютерной информации) дополнена квалифицирующим признаком «в) с банковского счета, а равно в отношении электронных денежных средств». Максимальное наказание по ч. 1. данной статьи осталось без изменения – арест до 4 месяцев.

Итак, сравним:

  • Часть 3 ст. 158 УК РФ: Кража, то есть тайное хищение, совершенная с банковского счета, а равно в отношении электронных денежных средств.
  • Часть 3 ст. 159.6 УК РФ: Мошенничество в сфере компьютерной информации, то есть хищение, совершенное с банковского счета, а равно в отношении электронных денежных средств.

С учетом Постановления Пленума Верховного Суда РФ от 30.11.2017 № 48 по ч. 3 ст. 159.6 УК РФ необходимо квалифицировать только те действия, при которых осуществляется целенаправленное воздействие программных и (или) программно-аппаратных средств на серверы, средства вычислительной техники, сети, которые нарушают установленный процесс обработки компьютерной информации. Если такого вмешательства нет, то преступление квалифицируется как кража. Но можно ли осуществить кражу с банковского счета, а равно в отношении электронных денежных средств (п. «г» ч. 3 ст. 158 УК РФ), без воздействия на серверы, средства вычислительной техники, сети, которое нарушает установленный процесс обработки компьютерной информации (ст. 159.6 УК РФ), или без использования электронных средств платежа (ст. 159.3 УК РФ)?! Вероятно, можно, только это уже не будет преступлением в сфере компьютерных технологий…

И наконец, еще одно значимое и неоднозначное, как можно убедиться ниже, событие – введение с 1 января 2018 года в Уголовном кодексе РФ новой статьи 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».

Данная статья очень похожа на уже имевшиеся другие статьи главы 28 УК РФ (Преступления в сфере компьютерной информации) – 272–274, однако она имеет специализацию в отношении критической информационной инфраструктуры. Как известно, отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак регулирует Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В соответствии с пунктами 7 и 8 статьи 2 данного закона к объектам критической информационной инфраструктуры отнесены в том числе информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в банковской сфере и иных сферах финансового рынка.

А теперь сравним новую статью 274.1 и уже имевшиеся ранее статьи Уголовного кодекса (272–274) – см. таблицу.

Сравнение новой ст. 274.1 и уже имевшихся ранее статей 272-274 УК РФ
Сравнение новой ст. 274.1 и уже имевшихся ранее статей 272-274 УК РФ

Часть 1 статьи 274.1 УК РФ (до 5 лет лишения свободы, преступление средней тяжести) соотносится со статьей 273 УК РФ (до 4 лет лишения свободы, преступление средней тяжести). Представляется, что в рамках возбужденного уголовного дела будет крайне сложно доказать, что созданная, распространяемая и (или) используемая компьютерная программа или информация заведомо предназначены для неправомерного воздействия именно на критическую информационную инфраструктуру Российской Федерации.

Если злоумышленник создаст, будет распространять или даже использовать программу или эксплойты, которые предназначены для уничтожения, блокирования, модификации, копирования, нейтрализации средств защиты любой информации, а не только содержащейся в критической информационной инфраструктуре РФ, то уголовной ответственности по части 1 статьи 274.1 УК РФ может и не наступить.

Вводится уголовная ответственность за неправомерный доступ к любой охраняемой компьютерной информации

А вот использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для нейтрализации средств защиты информации, содержащейся в критической информационной инфраструктуре Российской Федерации, например, проведение тестов на проникновение (pentest) в рамках аудита на соответствие PCI DSS или требования положения Банка России 382-П, как раз может быть квалифицировано как уголовное преступление по части 1 статьи 274.1.

Часть 2 статьи 274.1 УК РФ (до 6 лет лишения свободы, тяжкое преступление!) соотносится со статьей 272 УК РФ (до 2 лет лишения свободы, преступление небольшой тяжести), однако значительно расширяет объективную сторону преступления. В отличие от статьи 272 УК РФ предлагается ввести уголовную ответственность за неправомерный доступ к любой охраняемой (не только законом) компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации. То есть любая информация, к которой нет свободного доступа, в такой структуре будет охраняемой!

В ч. 2. ст. 274.1 УК РФ вводится уголовная ответственность за неправомерный доступ, если он повлек причинение вреда критической информационной инфраструктуре РФ. Понятие вреда значительно шире, чем уничтожение, блокирование, модификация, копирование компьютерной информации (ст. 272 УК РФ). Вред может быть не только имущественным, но и моральным (для физических лиц) и деловой репутации (для юридических лиц). Нижняя граница вреда, с которой наступает уголовная ответственность, не определена, это может быть и незначительный вред.

60Часть 3 статьи 274.1 УК РФ (до 6 лет лишения свободы, тяжкое преступление) соотносится со статьей 274 УК РФ (до 2 лет лишения свободы, преступление небольшой тяжести).

Рассмотрим уже имевшиеся ранее статьи подробнее, так как они затрагивают «внутреннего нарушителя», то есть собственный персонал. Статья 274 УК РФ применяется крайне редко. Согласно данным МВД РФ, в 2013 году по ней не было возбуждено ни одного уголовного дела, в 2014 году возбуждено 3 уголовных дела, в 2015-м – 12, в 2016 году – 3 уголовных дела.

Связано это с определенными объективными причинами. В частности, предусмотренное нарушение правил должно причинить крупный ущерб. Согласно ч. 2 Примечания ст. 272 УК РФ крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей. То есть ущерб менее 1 млн рублей не влечет уголовной ответственности.

Проведение тестов на проникновение (pentest) в рамках аудита на соответствие PCI DSS как раз может быть квалифицировано как уголовное преступление по части 1 статья 274.1

В «Методических рекомендациях по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации» указано, что данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих же правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети интернет, не существует. Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными ст. 272 и 273 УК РФ. Правила, о которых идет речь в ст. 274 УК РФ, должны быть направлены только на обеспечение информационной безопасности. Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах. Нарушение правил эксплуатации и доступа, предусмотренное ч. 1 ст. 274 УК РФ, может совершаться как умышленно (при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа), так и по неосторожности (например, программист, работающий в больнице, инсталлировал полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы). Субъектом преступления может быть любое (!) лицо (сотрудник), не только администраторы автоматизированных систем.

Таким образом, при возбуждении уголовного дела по статье 274 УК РФ необходимо было как минимум установить, что информация охраняется, нарушены конкретные правила, нарушение правил привело к ущербу, ущерб составил более 1 млн рублей. При этом максимальное наказание по части первой предусматривает два года лишения свободы, то есть преступление небольшой тяжести.

Однако в сфере критической информационной инфраструктуры (ч. 3 ст. 274.1 УК РФ) уголовная ответственность значительно усилена. В отличие от статьи 274 УК РФ уголовная ответственность предусмотрена за нарушения, повлекшие не ущерб в сумме более 1 миллиона рублей, а просто за причинение вреда. При этом нижняя граница вреда не определена, т. е. она может быть любой, и понятие вреда значительно шире, чем понятие ущерба. Вред может быть имущественным (прямые убытки – сломался компьютер, упущенная выгода – программа не работала), моральным для физических лиц, деловой репутации для юридических лиц (негативная информация о компании в социальных сетях и СМИ).

61

Максимальное наказание по ч. 3 ст. 274.1 предусматривает до 6 лет лишения свободы. В соответствии со статьей 15 УК РФ преступление является тяжким. В соответствии со статьями 30 и 66 УК РФ даже за приготовление к тяжкому преступлению предусмотрена уголовная ответственность (наказание за которое не может превышать половины максимального срока). То есть для привлечения к уголовной ответственности по ч. 3 ст. 274.1 УК РФ вред может быть даже не причинен, так как преступление было не окончено, но уголовная ответственность может наступить за приготовление к преступлению или покушение на преступление, если нарушение правил совершено умышленно.

Законодательство должно быть более определенным, чтобы исключать возможность слишком широких трактовок и юридических казусов

Так как Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» российские юридические лица, которым принадлежат информационные системы, функционирующие в банковской сфере, являются субъектами критической информационной инфраструктуры. Иными словами, теперь потенциально любой сотрудник банка, который нарушил внутренние инструкции, регламенты, положения и т. п. по эксплуатации, обработке, передаче информации, доступе к информации, может быть привлечен за это к уголовной ответственности! Если же данные действия не причинили вред, то, скорее всего, кроме работодателя, о них никто не знает. Такому сотруднику может быть предложен выбор – либо увольнение по собственному желанию, либо возбуждение уголовного дела.

Еще одним эффектом данных норм является то, что у служб информационной безопасности появляется сильный аргумент в пользу исполнения тех самых правил. Когда говорят о целесообразности каких-либо нарушений с целью выполнения конкретных бизнес-требований, всегда можно мягко напомнить, что такие нарушения являются уголовным преступлением.

62

В целом же следует отметить, что законодательство должно быть более определенным, чтобы исключать возможность слишком широких трактовок и юридических казусов. Например, в ч. 1 ст. 274.1 УК РФ для обеспечения принципа определенности толкования нормы достаточно убрать союз «или» перед словами «нейтрализации средств защиты указанной информации». Пример:

Действующая редакция:

1. «Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, — »

Предлагаемая редакция:

1. «Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, нейтрализации средств защиты указанной информации, — »

P.S. В заключение хотелось бы привести цитату из одного документа: «Крайне низок уровень компетенций полицейских в сфере информационно-коммуникационных технологий. … полицейские не конкурентоспособны по уровню своих компетенций и профессиональных навыков с киберпреступниками. Будучи не в силах бороться с киберпреступностью, полиция не только не помогает бизнесу и гражданам, но и прямо скрывает преступления, отказываясь открывать дела и проводить расследования по фактам киберкриминала». Цитата приведена из доклада Центра Detica в партнерстве с Офисом информационной безопасности Британской полиции и при поддержке Офиса Кабинета министров Великобритании и относится к полиции Великобритании. Причем в этом же докладе указано, что «…в мире признано, что Великобритания является одним из лидеров борьбы с киберпреступностью».

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных