Декабрь 2011: внесены изменения в главу 28 УК РФ. Что дальше?
Наверно, ни для кого не секрет, что совсем недавно в Уголовный Кодекс Российской Федерации Федеральным законом РФ от 7 декабря 2011 года № 420-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации" были внесены изменения, среди которых имеются и относящиеся к главе 28 УК: «Преступления в сфере компьютерной информации».
Теперь мы имеем следующие названия статей этой главы:
- Статья 272. Неправомерный доступ к компьютерной информации
- Статья 273. Создание, использование и распространение вредоносных компьютерных программ
- Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Приводить полный текст изменений не буду – вы можете и сами ознакомиться с формулировками составов преступлений данной главы в новом законе. Однако хотелось бы сразу отметить, что уже найдены некоторые слабые моменты новых формулировок. Так, по мнению Ильи Сачкова, генерального директора компании Group-IB, брешь уже есть в статье 272 УК РФ «Неправомерный доступ к компьютерной информации», согласно которой компьютерная информация – это «сведения <...> представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи»: ведь компьютерные сети также используют оптоволокно, в котором данные передаются с помощью переноса света внутри нитей посредством полного внутреннего отражения, а не электрических сигналов. И как быть на практике? Если часть хакерской атаки проходит именно с использованием оптоволокна, можно ли будет следствию продолжать квалифицировать деяние как компьютерное преступление, исходя из новых формулировок статей УК РФ? Простите за каламбур, но только практика как раз и даст ответ на этот вопрос.
Далее. Говоря в общем, новые формулировки, как и прежние, продолжают оставаться расплывчатыми и, если позволите, «резиновыми» для квалификации компьютерных преступлений. Зарубежные страны давно уже расширили свое законодательство (именно законодательство, не говоря уже о правоприменительной практике) в отношении преступлений в данной сфере. Существуют даже международные кодифицированные акты (например, Европейская конвенция по киберпреступлениям 2001г.) в отношении данных преступлений. А нам (читайте – государству) хватает и этих трех статей (ну вкупе с остальными УК по мере необходимости: ничто не мешает квалифицировать интернет-фишинг по совокупности статей 159 и 272 (и даже еще и по 273) УК РФ). Знаете, трех статей было достаточно Великобритании более 20 (!) лет назад, когда у них в законодательном арсенале имелся лишь Закон о злоупотреблении компьютерами 1990 г., который предусматривал ответственность за:
Ст. 1 - умышленный, незаконный доступ к компьютерным материалам для их использования в противоправных целях
Ст. 2 - умышленный, незаконный доступ к компьютеру или содержащимся в нем информации или программам с намерением совершить или облегчить совершение другого преступления
Ст. 3 - незаконную модификацию компьютерных материалов.
Сейчас же в Великобритании регулирование информационных отношений осуществляется в двух направлениях:
I - установление уголовной ответственности за компьютерные преступления (computer crime) и
II - установление уголовной ответственности за преступления, связанные с Интернетом (Internet - related crime).
Данную сферу регулируют следующие акты: Закон о злоупотреблении компьютером 1990 г.; Закон о телекоммуникациях (обман) 1997 г.; Закон об электронном сообщении 2000 г. Кроме того, ряд положений об ответственности закреплен в других актах: Закон о защите персональных данных 1998 г.; Закон о телевизионных лицензиях (раскрытие информации) 2000 г.; Закон о борьбе с обманом в области социального обеспечения 2001 г.; Закон о мошенничестве 2006 г.
Возвращаясь к вопросу об интернет-мошенничестве, следует обратить внимание, что подобный состав преступления существует в зарубежном законодательстве: в частности, в Уголовном Кодексе ФРГ параграф 263a называется «Компьютерное мошенничество», которым регламентирована ответственность лица, желающего неправомерно получить для себя или третьего лица имущественную выгоду, с помощью неправильного создания программ, использования неправильных или неполных данных, неправомочного использования информации и воздействия на результаты ее обработки.
И рано или поздно, но такой квалифицирующий состав все равно появится в нашем УК – все-таки очень велика цифра финансовых потерь именно в связи с интернет-мошенничеством и кражей денежных средств с банковских счетов посредством несанкционированного доступа с помощью компьютерных технологий.
Вот, к примеру, совсем недавний случай интернет-мошенничества: двое людей создали фиктивный интернет-магазин, принимали к оплате деньги за биотопливо, но товар не высылали. Тянули один-два месяца, а потом переставали отвечать на телефонные звонки. В итоге был нанесен ущерб по известным следствию эпизодам в размере порядка одного миллиона рублей. И тенденция такова, что количество подобных преступлений будет лишь расти.
Гораздо более опасным видом интернет-мошенничества является т.н. фишинг - разновидность сетевого мошенничества, при котором пользователей заманивают на фальшивые сайты, где получают доступ к данным платежных карт с целью хищения денежных средств. Сегодня целью фишинга в основном являются клиенты банков и электронных платежных систем, но их целью может быть и завладение учетными записями от сервисов электронной почты или иных подобных сервисов, к которым может быть пользователем осуществлена привязка собственных денежных средств. Хотя это относительно новая противозаконная деятельность (первый случай, принято считать, произошел в 1996 г.), но статистика такова:
• В 2005 году каждый 20-й пользователь электронными банковскими услугами в Великобритании заявил о потерях, связанных с фишингом.
• С мая 2004 г. по май 2005-го 1,2 миллиона пользователей в США понесли потери в связи с фишингом. В общей сложности потери составили 929 млн. долларов США.
• В 2007 в Германии зарегистрировано более 3500 случаев фишинга.
Согласно данным иного исследования, по подсчетам аналитиков компании Gartner, за период с 30 августа 2005 года по 30 августа 2006-го фишеры украли в США $2,8 млрд. В 2006 году ущерб, нанесенный одной жертве фишинга в США, в среднем составил 1244$. В 2005 году эта сумма не превышала 257$, что свидетельствует о невероятном успехе фишеров.
Таким образом, вы сами можете наблюдать, что масштаб подобной противозаконной деятельности огромен и она представляет собой достаточно серьезную угрозу для финансовой безопасности. Что касается правовой основы для борьбы с ним (имеется в виду привлечение именно к уголовной ответственности), то, например, в Великобритании был принят Закон о мошенничестве 2006 года, согласно которому вводилась ответственность за мошенничество в виде тюремного заключения сроком до 10 лет. Кроме того, он ввел запрет на владение или разработку фишинговых инструментов для совершения мошенничеств. Что касается России, то в Уголовном кодексе РФ нет отдельной статьи, которая охватывала бы состав данного преступления, поэтому в настоящий момент (в зависимости от специфики конкретного деяния) квалифицируются по ст. ст. 158, 159, 183 и 272 УК РФ, что опять, на мой взгляд, создает дополнительную нагрузку для следствия. А если верить «Российской газете», то у нас в 2009 году уже проходило дело в отношении хакеров, совершавших преступления подобным способом. И обвинительный приговор был вынесен в апреле 2010 г. по ст.ст. 159, 272 УК РФ.
Далее. Аналогичную тенденцию роста сохраняет иной состав преступления, которого, наверно, к сожалению, пока нет в нашем Кодексе – это кардинг, то есть род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Проще говоря, если у вас были списаны с карты денежные средства не по вашей воли и не по иным причинам (например, вследствие ошибки оператора при переводе денег) то, скорее всего, вы стали жертвой именно этого преступления. И хотя за подобные преступления можно привлекать к ответственности сразу по целому букету статей (159, 210, 187, 272, 273, 274) УК РФ, то не проще ли было ввести данный состав преступления в качестве квалифицированного вида мошенничества? Да, привязка к статье 187 УК «Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов» будет оставаться, но зато будет легче (это мое личное мнение и только) проводить юридическую квалификацию по одному составу преступлений, чем по целой группе одновременно. Так что это второй пример размышлений по поводу потенциальных перспектив изменений УК РФ. И в будущем хотелось бы видеть примерно следующие изменения в Кодексе:
1) в качестве квалифицирующего признака в ст. 159 УК РФ «Мошенничество» определить использование поддельной банковской карты при совершении хищения или
2) создать уголовно-правовую норму, которая могла бы охватить весь спектр противоправных деяний в сфере безналичных расчетов, осуществляемых с использованием банковских карт.
На мой взгляд, на первоначальном этапе будет достаточно и первого варианта – ввода квалифицирующего признака в указанную статью.
В общем, такое впечатление, что все три статьи главы 28 УК РФ даже в новой редакции изложены несколько размыто с той целью, чтобы любое противозаконное деяние, связанное с использованием компьютерных технологий, успешно подогнать под состав преступления одной из трех данных статей. Хорошо это или плохо – решать в итоге законодательству. Но оно, в свою очередь, должно опираться на реалии современной правоприменительной практики. А реалии таковы, что многие страны (как кажется, по крайней мере, мне) намного впереди нас и в плане законодательного урегулирования в данной сфере, и в плане правоприменительной практики.
Использованная литература:
- Уголовный Кодекс Российской Федерации (с посл. изм. от 07.12.2011) // (первонач. редакция) "Собрание законодательства РФ", 17.06.1996, N 25, ст. 2954
- Федеральный закон Российской Федерации от 7 декабря 2011 года № 420-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации" // "Российская газета" - Федеральный выпуск №5654 9 декабря 2011 г.
- The Budapest Convention on Cybercrime (opened for signature in Budapest, on 23 November 2001) // http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm
- Computer Misuse Act 1990 // http://www.legislation.gov.uk/ukpga/1990/18/contents
- Telecommunications (Fraud) Act 1997 // http://www.legislation.gov.uk/ukpga/1997/4/section/2
- Electronic Communications Act 2000 // http://www.legislation.gov.uk/ukpga/2000/7/contents
- Data Protection Act 1998 // http://www.legislation.gov.uk/ukpga/1998/29/contents
- Television Licenses (Disclosure of information) Act 2000 // http://www.legislation.gov.uk/ukpga/2000/15/contents
- Social Security Fraud Act 2001 // http://www.legislation.gov.uk/ukpga/2001/11/contents
- Fraud Act 2006 // http://www.legislation.gov.uk/ukpga/2006/35/contents
- Борисов Т., Интернет-магазин торговал воздухом // "Российская газета" - Федеральный выпуск №5611 (235) 20.10.2011
- Воронцова С.В., Статья: Киберпреступность: проблемы квалификации преступных деяний // "Российская юстиция", 2011, N 2
- Дорохов Р., Уголовный кодекс изменили в помощь хакерам // Vedomosti.ru 01.12.2011
- Кузнецов А.П., Ответственность за преступления в сфере компьютерной информации по зарубежному законодательству // "Международное публичное и частное право", 2007, N 3
- Сабадаш В., Влияние фишинга на развитие электронной коммерции // Центр исследования компьютерной преступности http://www.crime-research.ru/analytics/sabodach07/
- Федосенко В., Хакеры в бригаде // "Российская газета" - Федеральный выпуск №4995 (171) 11.09.2009
- В Орске вынесен приговор группе кибермошенников // журнал "Информационная безопасность" http://www.itsec.ru/newstext.php?news_id=70788
- Prison terms for phishing fraudsters // The Register (14 .11.2006) http://www.theregister.co.uk/2006/11/14/fraud_act_outlaws_phishing/