Декабрь 2011: внесены изменения в главу 28 УК РФ. Что дальше?

Наверно, ни для кого не секрет, что совсем недавно в Уголовный Кодекс Российской Федерации Федеральным законом РФ от 7 декабря 2011 года № 420-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации" были внесены изменения, среди которых имеются и относящиеся к главе 28 УК: «Преступления в сфере компьютерной информации».

Теперь мы имеем следующие названия статей этой главы:

- Статья 272. Неправомерный доступ к компьютерной информации

- Статья 273. Создание, использование и распространение вредоносных компьютерных программ

- Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Приводить полный текст изменений не буду – вы можете и сами ознакомиться с формулировками составов преступлений данной главы в новом законе. Однако хотелось бы сразу отметить, что уже найдены некоторые слабые моменты новых формулировок.  Так, по мнению Ильи Сачкова, генерального директора компании Group-IB, брешь уже есть в статье 272 УК РФ «Неправомерный доступ к компьютерной информации», согласно которой компьютерная информация – это «сведения <...> представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи»: ведь компьютерные сети также используют оптоволокно, в котором данные передаются с помощью переноса света внутри нитей посредством полного внутреннего отражения, а не электрических сигналов. И как быть на практике? Если часть хакерской атаки проходит именно с использованием оптоволокна, можно ли будет следствию продолжать квалифицировать деяние как компьютерное преступление, исходя из новых формулировок статей УК РФ? Простите за каламбур, но только практика как раз и даст ответ на этот вопрос.

Далее. Говоря в общем, новые формулировки, как и прежние, продолжают оставаться расплывчатыми и, если позволите, «резиновыми» для квалификации компьютерных преступлений. Зарубежные страны давно уже расширили свое законодательство (именно законодательство, не говоря уже о правоприменительной практике) в отношении преступлений в данной сфере. Существуют даже международные кодифицированные акты (например, Европейская конвенция по киберпреступлениям 2001г.) в отношении данных преступлений. А нам (читайте – государству) хватает и этих трех статей (ну вкупе с остальными УК по мере необходимости: ничто не мешает квалифицировать интернет-фишинг по совокупности статей 159 и 272 (и даже еще и по 273) УК РФ). Знаете, трех статей было достаточно Великобритании более 20 (!) лет назад, когда у них в законодательном арсенале имелся лишь Закон о злоупотреблении компьютерами 1990 г., который предусматривал ответственность за:

Ст. 1 - умышленный, незаконный доступ к компьютерным материалам для их использования в противоправных целях
Ст. 2 - умышленный, незаконный доступ к компьютеру или содержащимся в нем информации или программам с намерением совершить или облегчить совершение другого преступления
Ст. 3 - незаконную модификацию компьютерных материалов.

Сейчас же в Великобритании регулирование информационных отношений осуществляется в двух направлениях:

I - установление уголовной ответственности за компьютерные преступления (computer crime) и

II - установление уголовной ответственности за преступления, связанные с Интернетом (Internet - related crime).

Данную сферу регулируют следующие акты: Закон о злоупотреблении компьютером 1990 г.; Закон о телекоммуникациях (обман) 1997 г.; Закон об электронном сообщении 2000 г.  Кроме того, ряд положений об ответственности закреплен в других актах: Закон о защите персональных данных 1998 г.; Закон о телевизионных лицензиях (раскрытие информации) 2000 г.; Закон о борьбе с обманом в области социального обеспечения 2001 г.; Закон о мошенничестве 2006 г.

Возвращаясь к вопросу об интернет-мошенничестве, следует обратить внимание, что подобный состав преступления существует в зарубежном законодательстве: в частности, в Уголовном Кодексе ФРГ параграф 263a называется «Компьютерное мошенничество», которым регламентирована ответственность лица, желающего неправомерно получить для себя или третьего лица имущественную выгоду, с помощью неправильного создания программ, использования неправильных или неполных данных, неправомочного использования информации и воздействия на результаты ее обработки.

И рано или поздно, но такой квалифицирующий состав все равно появится в нашем УК – все-таки  очень велика цифра финансовых потерь именно в связи с интернет-мошенничеством и кражей денежных средств с банковских счетов посредством несанкционированного доступа с помощью компьютерных технологий.

Вот, к примеру, совсем недавний случай интернет-мошенничества: двое людей создали фиктивный интернет-магазин, принимали к оплате деньги за биотопливо, но товар не высылали. Тянули один-два месяца, а потом переставали отвечать на телефонные звонки. В итоге был нанесен ущерб по известным следствию эпизодам в размере порядка одного миллиона рублей.  И тенденция такова, что количество подобных преступлений будет лишь расти.

Гораздо более опасным видом интернет-мошенничества является т.н. фишинг - разновидность сетевого мошенничества, при котором пользователей заманивают на фальшивые сайты, где получают доступ к данным платежных карт с целью хищения денежных средств.  Сегодня целью фишинга в основном являются клиенты банков и электронных платежных систем, но их целью может быть и завладение учетными записями от сервисов электронной почты или иных подобных сервисов, к которым может быть пользователем осуществлена привязка собственных денежных средств. Хотя это относительно новая противозаконная деятельность (первый случай, принято считать, произошел в 1996 г.), но статистика такова:
•    В 2005 году каждый 20-й пользователь электронными банковскими услугами в Великобритании заявил о потерях, связанных с фишингом.
•    С мая 2004 г. по май 2005-го 1,2 миллиона пользователей в США понесли потери в связи с фишингом. В общей сложности потери составили 929 млн. долларов США.
•    В 2007 в Германии зарегистрировано более 3500 случаев фишинга.
Согласно данным иного исследования, по подсчетам аналитиков компании Gartner, за период с 30 августа 2005 года по 30 августа 2006-го фишеры украли в США $2,8 млрд. В 2006 году ущерб, нанесенный одной жертве фишинга в США, в среднем составил 1244$. В 2005 году эта сумма не превышала 257$, что свидетельствует о невероятном успехе фишеров.  

Таким образом, вы сами можете наблюдать, что масштаб подобной противозаконной деятельности огромен и она представляет собой достаточно серьезную угрозу для финансовой безопасности. Что касается правовой основы для борьбы с ним (имеется в виду привлечение именно к уголовной ответственности), то, например, в Великобритании был принят Закон о мошенничестве 2006 года,  согласно которому вводилась ответственность за мошенничество в виде тюремного заключения сроком до 10 лет. Кроме того, он ввел запрет на владение или разработку фишинговых инструментов для совершения мошенничеств.  Что касается России, то в Уголовном кодексе РФ нет отдельной статьи, которая охватывала бы состав данного преступления, поэтому в настоящий момент (в зависимости от специфики конкретного деяния) квалифицируются по ст. ст. 158, 159, 183 и 272 УК РФ, что опять, на мой взгляд, создает дополнительную нагрузку для следствия. А если верить «Российской газете», то у нас в 2009 году уже проходило дело в отношении хакеров, совершавших преступления подобным способом.  И обвинительный приговор был вынесен в апреле 2010 г. по ст.ст. 159, 272 УК РФ.

Далее. Аналогичную тенденцию роста сохраняет иной состав преступления, которого, наверно, к сожалению, пока нет в нашем Кодексе – это кардинг, то есть род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Проще говоря, если у вас были списаны с карты денежные средства не по вашей воли и не по иным причинам (например, вследствие ошибки оператора при переводе денег) то, скорее всего,  вы стали жертвой именно этого преступления. И хотя за подобные преступления можно привлекать к ответственности сразу по целому букету статей (159, 210, 187, 272, 273, 274) УК РФ, то не проще ли было ввести данный состав преступления в качестве квалифицированного вида мошенничества? Да, привязка к статье 187 УК «Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов» будет оставаться, но зато будет легче (это мое личное мнение и только) проводить юридическую квалификацию по одному составу преступлений, чем по целой группе одновременно. Так что это второй пример размышлений по поводу потенциальных перспектив изменений УК РФ. И в будущем хотелось бы видеть примерно следующие изменения в Кодексе:
1)    в качестве квалифицирующего признака в ст. 159 УК РФ «Мошенничество» определить использование поддельной банковской карты при совершении хищения или
2)    создать уголовно-правовую норму, которая могла бы охватить весь спектр противоправных деяний в сфере безналичных расчетов, осуществляемых с использованием банковских карт.
На мой взгляд, на первоначальном этапе будет достаточно и первого варианта – ввода квалифицирующего признака в указанную статью.

В общем, такое впечатление, что все три статьи главы 28 УК РФ даже в новой редакции изложены несколько размыто с той целью, чтобы любое противозаконное деяние, связанное с использованием компьютерных технологий, успешно подогнать под состав преступления одной из трех данных статей. Хорошо это или плохо – решать в итоге законодательству. Но оно, в свою очередь, должно опираться на реалии современной правоприменительной практики. А реалии таковы, что многие страны (как кажется, по крайней мере, мне) намного впереди нас и в плане законодательного урегулирования в данной сфере, и в плане правоприменительной практики.