К вопросу правового регулирования киберпреступлений в России

Р азвитие современных технологий в последние десятилетия привело к появлению нового интернет-пространства. Однако, рост коммуникаций именно в этой среде имел негативные последствия в виде увеличения числа преступлений с использованием технических средств и компьютерных технологий. В странах Запада уже в конце 70-х годов XX века было сформулировано обобщенное понятие киберпреступления (преступления, связанные с использованием компьютера) [13, с.1121].

В России по данным МВД количество киберпреступлений в 2020 году выросло на 85,1 % , а удельный вес таких преступлений возрос до 21,7 % от общего числа [2]. В период ограничений, связанных с пандемией коронавирусной инфекции, количество таких преступлений по всему миру будет расти, что приводит к необходимости международного сотрудничества в сфере борьбы с интернет-преступнстью.

Правоохранительная практика предотвращения, расследования и наказания таких преступлений напрямую зависит от уровня законодательного регулирования данного вида деяний. Между тем, статьи, включенные в Уголовный кодекс Федеральных законом от 29.11.2012 №207-ФЗ, вводящие два специальных вида мошенничества в сфере компьютерной информации, рассматриваются некоторыми исследователями как излишние, перегружающие законодательство и препятствующие правильному толкованию компьютерных преступлений [5, с.42].

В Уголовном кодексе РФ (далее – УК РФ) и других нормативно-правовых актах, регулирующих правоотношения в информационной сфере, не содержится перечня или признаков киберпреступлений. Учитывая бурный рост правонарушений с использованием компьютера и сети Интернет и необходимость синхронизации российского законодательства с международным в данной области, требуется выработка понятия киберпреступления и внесение его в законодательство Российской Федерации.

Таким образом, целью данной статьи является выработка понятия киберпреступление и отделение правонарушений, в которых компьютер является только средством преступных действий, от высокотехнологичных преступлений, сопровождающихся созданием новых незаконных компьютерных программ или иных продуктов.

Задачами исследования являются:

• •    описание видов киберпреступлений, выяв ленных на сегодняшний день правоохранительной практикой, и их признаков;

• •    выделение существующих в российском зако нодательстве понятий, близких к понятию киберпреступление;

• •    изучение того, как в правоприменительной практике используются статьи УК РФ, вводящие два специальных состава мошенничества в сфере компьютерной информации, для определения правомерности отнесения данных составов к киберпреступлениям.

Методами исследования выступают: описание выявленных правоохранительной практикой видов киберпреступлений и их признаков на основе изучения научной литературы, анализ существующего российского законодательства, регулирующего преступления с использованием компьютеров и общедоступной сети Интернет, и практики его применения судами в России.

В законодательстве РФ отсутствует как таковое определение киберпреступления. При анализе ряда правонарушений, которые можно к ним отнести, исследователи, например, М.А. Констенко, Е.А. Аксенова ссылаются на Конвенцию о преступности в сфере компьютерной информации ETS № 185 (Будапешт, 23 ноября 2001 года, вступила в силу в 2004 году) [2]. Несмотря на то, что Россия к данной Конвенции не присоединилась, этот нормативно-правовой акт остается важным источником правопонимания киберпреступности, сформировавшемся в странах Запада. Согласно Конвенции компьютерные преступления связаны с нарушением конфиденциальности, целостности и доступности компьютерных данных и систем [9].

В настоящий момент отсутствует общепризнанная классификация киберпреступлений [1, с. 21]. Исследователи идут по пути описания наиболее распространенных мошеннических схем. Например, исследователи из Турции, Окутан и Себи выделили 19 видов преступлений с использованием компьютеров и сети интернет [11]. Мы попытались разделить их на три основные группы.

Прежде всего, это преступления, имеющие длительную историю, но переместившиеся в интернет-пространство.

Киберпреследование. Преступники используют электронные средства связи, включая Интернет, для преследования или давления на человека или группу людей. Сюда же можно отнести кибербуллинг или травлю в Интернете.

Детская порнография, переместившаяся в Интернет и распространяемая его средствами по всему миру.

Кибертерроризм. Анонимные угрозы в сети Интернет определенным группам, религиям, этническим группам или лицам с определенными убеждениями.

Вторая группа – преступления, связанные с кражей информации, реализация которых безтехнических устройств и сети Интернет была бы неосуществимой.

Вредоносное программное обеспечение, выполняющее противоправную задачу на целевом устройстве или сети, например, повреждение данных или захват системы. Одним из видов такого вредоносного программного обеспечения является троян. Это тип вредоносной программы, которая входит в целевую систему в виде похожей на одну, например, стандартную часть программного обеспечения, но затем выпускает свой вредоносный код. Еще один вид вредоносного обеспечения – черви. Это вредоносные программы, которые самовоспроизводятся на компьютерах или через компьютерные сети без ведома пользователя. Каждая последующая копия таких вредоносных программ также способна к самовоспроизводству.

Фишинг – атака на электронную почту, которая включает в себя обман получателя электронной почты, вынуждающий последнего раскрыть конфиденциальную информацию или загрузить вредоносное программное обеспечение,нажав гиперссылку в сообщении.

Атака «Человек посередине», где злоумышленник устанавливает позицию между отправителем и получателем электронных сообщений и перехватывает их, возможно, изменяя их окончательный вариант.

Захват данных клавиатуры. Это программа, которая запускается вместе с включением компьютера и в течение всего сеанса записывает каждое нажатие клавиши, сделанное владельцем, или только те, что сделаны в конкретных полях на веб-сайтах.

Захват экрана снимает скриншоты с компьютера. Захват экрана может быть инициирован на основе временных интервалов, нажатий клавиш или событий мыши.

Ботнет. Боты, или интернет-роботы, также известны как пауки, краулеры и веб-боты. Вредоносные боты используются для получения полного контроля над компьютером.

Сниффер включает в себя проверку, захват, декодирование и интерпретацию информации внутри сетевого пакета, который протекает по сети. Единственная цель, стоящая за этим, – украсть информацию (пароли, данные кредитных карт, другие данные, идентифицирующие пользователя в интернете).

Наконец, третья группа включает в себя преступления, реализация которых в виртуальном пространства настолько упрощает задачу преступника и усложняет работу правоохранительных органов, что можно говорить о новом виде преступлений.

Кража личных данных. Это киберпреступление происходит, когда преступник получает доступ к личной информации пользователя, чтобы украсть средства, получить доступ к конфиденциальной информации или участвовать в мошенничестве с налогами или медицинским страхованием. Преступники также могут открыть телефон/учетную запись в Интернете на имя потерпевшего, использовать его данные для планирования преступной деятельности и требовать предоставления государственных льгот на чужое имя.

Кибермошенничество. Это преступление, совершенное путем введения в заблуждение при использовании информационных систем. Например сайт покупок перестает корректно работать после получения денег пользователя.

Социальная инженерия. Социальная инженерия – это термин, используемый для широкого спектра вредоносных действий, выполняемых через взаимодействие с человеком. Данный способ противоправных действий направлен на применение психологических манипуляций, чтобы заставить пользователей ошибаться в безопасности или передавать конфиденциальную информацию.

Такие преступления подрывают доверие к транзакциям в интернет пространстве и тормозят развитие интернет-торговли. Как отмечают Мэджид и Штейнмиц,ониявляютсясерьезным вызовомдля правоохранительных структур всех государств, поскольку характеризуются трансграничным характером и анонимностью, которая является следствием дис-танционности и использования технических средств, а также общедоступностью сети Интернет [12, с. 11]. Кроме того, отсутствие единого места преступления и усилия преступников по сокрытию интернет-следов преступления сильно осложняют работу правоохранительных органов и требуют значительных материальных затрат при расследовании [4, с.64].

Между тем, ряд исследователей отмечают неоднородность преступлений с использованием компьютера и сети Интернет. Например, Гордон и Форд выделяют два вида компьютерных преступлений. Первые – это те деяния, в которых преобладает информационный, технологический компонент, вторые – те, в которых в большей степени представлен человеческий фактор [10, с. 23]. Данную типологию также обосновывают П.Р. Крупкин и П.А. Журкова [3, с. 172]. Первые деяния чаще всего сопровождаются созданием нового компьютерного продукта, второй же вид преступлений имеет длительную историю и с возникновением компьютерных технологий преступле- ние начинает совершаться в информационной среде, но оно не требует при этом специальных знаний, компьютер же используется в этом случае только как средство совершения преступления.

В Уголовном кодексе РФ санкции за совершение преступных действий в отношении охраняемой законом компьютерной информации содержатся в главе 28 «Преступления в сфере компьютерной информации». В примечании к статье 272 «Неправомерный доступ к компьютерной информации» определяется термин «Компьютерная информация». Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи [8], то есть, речь идет о таком виде информации, который возможно передать только с помощью технических средств или в момент, когда данная информация представлена в таком виде.

Поскольку порядок использования такой информации описывается в Федеральном законе от 27.07.2006 № 149-ФЗ (ред. от 30.12.2021) «Об информации, информационных технологиях и о защите информации», предполагается логичным включение данного определения в текст закона.

Кроме неправомерного доступа к компьютерной информации, статья 28 УК РФ предусматривает санкции за создание, использование и распространение вредоносных компьютерных программ (статья 273 УК РФ), нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (статья 274 УК РФ), неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (статья 274.1 УК РФ).

Понятия, используемые в последней статье, разъясняются Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», а под объектами критической информационной инфраструктуры страны подразумеваются значимые для обеспечения социальной, политической, экономической и военной жизнедеятельности автоматизированные системы. Неправомерное воздействие может происходить в виде хакерских атак, создания и использования вредоносных компьютерных программ и иными способами.

За исключением главы 28 только статья 159.6. УК РФ «Мошенничество в сфере компьютерной информации» непосредственно указывает на использование технических средств или общедоступной сети Интернет при совершении преступления [7]. Как было отмечено выше, ряд исследователей считают включение данной статьи в Уголовный кодекс излишним, поскольку непосредственный объект покушения (чужое имущество) не изменился, а введение нового состава правонарушения усложняет судебную практику.

Рассмотрим так ли это на примере из судебной практики. В Вахитовском районном суде города Казани 29 июля 2020 года рассматривалось дело о мошенничестве, совершенном с помощью подложных сайтов по продаже авиабилетов. Савгильдин М.С., имея умысел на мошенничество в сфере компьютерной информации, вступил в преступную группу, созданную неустановленными лицами, осуществляющими хищение денежных средств путем обмана, выражающегося в мнимой продаже авиабилетов, гражданам, не осведомленным о преступных планах последних, с целью личного обогащения.

Неустановленные лица открыли в сети Интернет ряд взаимосвязанных между собой сайтов, якобы предоставляющих гражданам онлайн услуги по приобретению авиабилетов, с использованием которых стали осуществлять преступную деятельность. С целью облегчения совершения преступлений в составе преступной группы в обязанности неустановленных лиц входило с помощью компьютерной техники в сети Интернет обеспечивать работу ряда взаимосвязанных между собой сайтов, якобы предоставляющих гражданам онлайн услуги по приобретению авиабилетов, подыскание и вовлечение в преступную деятельность группы новых членов, координация действий исполнителями преступлений.

В обязанности Савгильдина М.С., вовлеченного в преступную группу, входило приискание соучастников, с целью открытия банковских карт в различных кредитных организациях и последующего осуществления безналичных переводов похищенных у обманутых граждан денежных средств на открытые банковские карты и их обналичивания Савгильдиным М.С. в банкоматах кредитных организаций.

Один гражданин, будучи введенным в заблуждение и не осознавая подложности содержащейся на сайте информации, а также в результате неоднократной переадресации с одного сайта на другие сайты, созданные неустановленными лицами преступной группы с целью сокрытия преступной деятельности, совершил оплату за якобы приобретенный онлайн авиабилет путем ввода своих анкетных данных, а также данных своей банковской карты. В результате данных действий с банковской карты потерпевшего было совершено списание и перечисление денежных средств на общую сумму 27 722 руб.

Очевидно, что в данном случае имелись признаки именно компьютерного преступления, поскольку ущерб был причинен дистанционно, а действие имело анонимный характер. Однако, в данном случае не было создано новое программное обеспечение для преступного замысла, а подложные сайты не требовали значительного уровня знаний в сфере инфор- мационных технологий. Тем не менее, на наш взгляд, в данном деле могла быть использована статья 159 УК РФ, которая по санкции не отличается от использованной статьи 159.6 Уголовного кодекса Российской Федерации. Квалифицирующими признаками данного состава преступления является группа лиц или значительное причинение ущерба гражданину.

Другим примером преступления в сфере информационных технологий являются хищения денежных средств с банковского счета, совершенные с неправомерным использованием банковских карт. Одним из примеров такого хищения является устоявшаяся судебная практика на территории Российской Федерации. Подросток М., нашедший банковскую карту, осуществлял оплату продуктов питания в сетевых магазинах на сумму не превышающую лимита снятия денежных средств. Всего подростком были похищены денежные средства на сумму 9033 рубля, которые для потерпевшего являлись незначительным ущербом.

Однако органами предварительного следствия действия подростка были квалифицированы по п. “г” части 3 статьи 158 Уголовного кодекса Российской Федерации. Указанное преступление является тяжким, предусматривающим наказание в виде лишение свободы сроком до 6 лет [6].Квалифицирующим признаком данного состава преступления является хищение денежных средств с банковского счета, наряду с другими квалифицирующими признаками, такими как: кража нефтепродуктов из нефтепровода, кража в крупном размере или с проникновением в жилище, которые совершаются в основном группой лиц с применением высокотехнологичных орудий преступления.

Авторами статьи ставится вопрос о соотношении наказания за преступление – кражи с банковского счета, другим составам хищения. Например: п. “б” ч. 3 ст. 158 УК РФ – хищение из нефте-газопровода, требует предварительной подготовки и соответствующих навыков. Санкция по пункту “а”, ч.3 ст. 158 УК РФ – как кража с проникновением в жилище – не зависит от размера похищенного имущества. Квалифицирующим признаком данного состава преступления является нарушение Конституционных прав на неприкосновенность жилища.

По мнению авторов наказание за хищение средств с рассматриваемым квалифицирующим признаком (хищение с банковского счета) является несоразмерным той общественной опасности, которое оно представляет, размеру причиненного ущерба и характеру нарушенных Конституционных прав.

Использование компьютерной техники при хищении, мошенничестве, преступлениях в сфере кредитования и в банковской сфере, является способом и орудием совершения преступления. Это важный квалифицирующий признак, однако, он не должен быть решающим для отнесения деяния к особо опасным для общества и для определения наказания без учета тяжести нанесенного вреда.

Представляется обоснованным введение в законодательство Российской Федерации определения киберпреступления, сформулированного на основе Будапештской Конвенции о компьютерных преступлениях. К киберпреступлениям относятся действия, направленные против конфиденциальности, целостности и доступности компьютерных систем и сетей и компьютерных данных, а также против злоупотребления такими системами, сетями и данными, имеющие признаки анонимности и дистанционности.

При этом мы считаем необоснованным и излишним введение в состав УК РФ новых статей, описывающих уже существующие виды правонарушений, перенесенные в сферу Интернет или компьютерных коммуникаций, без изменения санкций за совершение правонарушения таким более технологичным способом.

При этом требуется привести в соответствие санкции отдельных норм уголовного законодательства с тяжестью совершенного преступления, которая может определяться с учетом размера причиненного ущерба. В настоящее время наказание за некоторые виды преступлений с использованием информационных технологий (например, хищение денежных средств с банковского счета) является излишне суровым и практически не зависит от размера похищенного имущества (денежных средств) и значительности причиненного ущерба. Следует помнить, что не суровость наказания, а его неотвратимость воспитывает уважение к закону.