Неопределенность терминологии и проблемы квалификации киберпреступлений (по материалам судебной практики)

Еlena V. Nikulchenkova, Candidate of Science (in Law), Associate-Professor at the chair of Criminal Law and Criminology 1; ;

Актуальность, значимость и сущность проблемы. В современном мире происходит стремительный рост развития современных интернет- и IT-технологий, которые стали неотъемлемой частью нашей жизни. Вместе с ними появляются и новые виды преступлений, при которых активно используются интернет-технологии и киберпространство.

Киберпреступления могут совершаться не только через глобальную сеть, но и в локальной компьютерной сети, любых интерактивных пространствах, где требуется применение соответствующих технологий. Киберпреступники осуществляют свои действия с помощью различных методов, таких как фишинг, социальная инженерия, вирусы и другие вредоносные программы. Посредством этих методов они могут красть личные данные, финансовую информацию и другие конфиденциальные сведения [1, с. 153].

Наибольшую опасность представляют информационные угрозы, так как они не имеют границ и вышли за рамки трансграничного оборота, угрожая международной безопасности и стратегической стабильности государств. Продолжает наращиваться и информационное воздействие на молодежь в целях размывания духовно-нравственных ценностей [2, c. 96–101].

В 2024 г. остается тревожной тенденция к росту киберпреступлений. Официальная статистика МВД России констатирует, что каждое третье преступление в 2023 г. было совершено с использованием информационнотелекоммуникационных технологий. В этой сфере зарегистрировано на 29,7% больше уголовно наказуемых деяний, чем в январе–декабре прошлого года 1.

Министр внутренних дел РФ В. А. Колокольцев отметил, что в 2022 г. ущерб от киберпреступлений в России составил 65 млрд рублей, что на 20% выше, чем в 2021 г. Особо тревожным остается тот факт, что в сферу этой преступной деятельности вовлекается молодежь, за вознаграждение разрабатывающая программы-вирусы 2.

Поэтому борьба с киберпреступностью выдвигается на передний план и становится одной из первостепенных задач обеспечения безопасности в государствах. Для борьбы с киберпреступностью предпринимаются различные меры, включая улучшение защиты компьютерных систем, обучение пользователей основным методам безопасной работы с информацией, работы на компьютерах и электронных площадках, в интернет-пространстве, а также разработка новых методов расследования и предотвращения киберпреступлений.

Зарубежные исследователи отмечают, что Всемирный индекс киберпреступности в 2024 г. по картированию глобальной географии на 1-е место определил Россию с показателем 58,39; на второе — Украину (36,44); третье — Китай (27,86); четвертое — США (25,01). В отмеченных исследователями странах наиболее распространена киберпреступность [3].

Основным средством борьбы с преступлениями остается уголовный закон РФ. Практика применения уголовноправовых норм в сфере компьютерных преступлений свидетельствует о проблемах в квалификации, недостаточной проработанности оценочных признаков указанных составов преступлений, незначительных наказаниях, назначаемых судами за них. Данные проблемы диктуют необходимость дальнейшего изучения компьютерных преступлений.

Цель — уголовно-правовой анализ некоторых киберпреступлений (компьютерных преступлений), выявление проблем квалификации на основе материалов судебной практики, уточнение понятийного аппарата преступлений, совершенных с использованием компьютерных технологий.

Материалы, результаты и обсуждение

В настоящем исследовании преступления в сфере компьютерной информации мы будем называть «киберпреступлениями». О необходимости введения термина «киберпреступление» в Уголовный кодекс РФ мы указывали в своих публикациях [4].

Уголовная ответственность за совершение киберпреступлений предусмотрена главой 28 УК РФ, которая называется «Преступления в сфере компьютерной информации» и включает пять статей: 272 (Неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ), 274 (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей), 2741 (Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации), 2742 (Нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационнотелекоммуникационной сети «Интернет» и сети связи общего пользования).

Название главы 28 УК РФ уже давно подвергается критике в научном сообществе и не отвечает требованиям настоящего времени. Прочно вошел в нашу жизнь термин «киберпреступления», хотя он не содержится ни в одном из нормативных правовых актов, тем не менее используется повсеместно, в том числе в отчетах МВД России на официальном сайте.

Наибольшие проблемы квалификации в следственносудебной практике вызывает ст. 272 УК РФ «Неправомер- ный доступ к компьютерной информации». Чаще всего неправомерный доступ осуществляется непосредственно на компьютеры отдельных пользователей, так как за безопасность канала связи отвечает представитель услуг интернета (провайдер), в штат которого нанимаются специалисты компьютерных технологий [5, с. 76].

Наказания за указанные преступления также вызывают некоторое недоумение, так как максимальное из них в виде лишения свободы на срок от трех до пяти лет. В большинстве своем санкции за указанные преступления варьируются в виде альтернативных видов наказаний: исправительных, принудительных работ, ограничения свободы, штрафов.

Суды назначают неоправданно мягкие наказания за многоэпизодные преступления в сфере компьютерной информации, которые совершаются наиболее часто. Примером тому может служить приговор Талдомского районного суда Московской области № 1-111/2023 от 19 октября 2023 г. Сотрудница отдела продаж одной из организаций сотовой связи, используя служебное положение в целях постоянного получения денежного вознаграждения, продавала персональные данные абонентов (включая их паспортные данные). Ее действия были квалифицированы как совершение неправомерного доступа к охраняемой законом компьютерной информации, повлекшее копирование компьютерной информации, совершенное из корыстной заинтересованности с использованием служебного положения, и незаконное получение, разглашение сведений, составляющих коммерческую и иную тайну. Всего ей было инкриминировано 30 эпизодов преступления, предусмотренного ч. 3 ст. 272, и 30 — ч. 3 ст. 183 УК РФ. Суд назначил условное наказание в виде лишения свободы на 3 года с испытательным сроком 2 года 3.

В другом случае Автозаводский районный суд г. Тольятти Самарской области назначил наказание за семь эпизодов преступления, предусмотренного ч. 3 ст. 272 УК РФ, в виде штрафа в 50 тыс. рублей и лишения права на один год заниматься деятельностью, связанной с обработкой, хранением и распоряжением охраняемой законом информацией. Преступления также совершались сотрудником одного из отделов сотовой связи, который продавал персональные данные своих абонентов 4.

Приговором Новочеркасского городского суда Ростовской области от 31 июля 2023 г. был осужден за 13 эпизодов преступления, предусмотренного ч. 3 ст. 272 УК РФ, сотрудник отдела сотовой связи, продававший персональные данные абонентов, к 2 годам 6 месяцам лишения свободы условно 5. Судебная практика изобилует подобными примерами.

Назначение мягких наказаний судами за преступления с квалифицирующими признаками не способствует предупреждению киберпреступлений. Данные официальной статистики совершенных киберпреступлений (официальный сайт МВД России) за последние годы свидетельствуют об их масштабном росте (табл.).

Таблица. Количество зарегистрированных преступлений, совершенных с использованием информационнотелекоммуникационных технологий или в сфере компьютерной информации в России (Table. Number of registered crimes committed via information and telecommunication technologies or in the field of computer information in Russia )

Год	2018	2019	2020	2021	2022	2023
Кол-во преступлений	174 674	294 409	510 396	517 722	522 065	676 951

Из таблицы следует вывод о тенденции к росту киберпреступлений, значительный скачок которых произошел в 2019 г. По сравнению с периодом 2018 г. прирост составил 70%. Раскрываемость этих преступлений низкая, о чем повествуют отчеты о состоянии преступности МВД России.

Одна из причин низкой раскрываемости — подготовленность и особенности личности киберпреступника; повышенная скрытность, трансграничный, дистанционный характер и многообразие способов совершения киберпреступлений [6, с. 114].

Единственное преступное деяние из указанных выше, за которое определено более суровое наказание — лишение свободы до семи лет, предусмотрено частью 4 ст. 272 УК РФ — неправомерный доступ к компьютерной информации, повлекший тяжкие последствия или создавший угрозу наступления таких последствий. Уголовный закон не раскрывает критериев тяжких последствий, поэтому не вполне понятным представляется оценочный признак «создавший угрозу наступления тяжких последствий». Ввиду неопределенности в терминологии создаются проблемы в правоприменительной практике в отношении данного состава преступления.

Не дает разъяснения этих вопросов и постановление Пленума Верховного Суда РФ № 37 от 15 декабря 2022 г. 6, согласно которому тяжкие последствия — это длительная приостановка или нарушение работы предприятия, учреждения или организации, получение доступа к информации, составляющей охраняемую законом тайну, предоставление к ней доступа неограниченному кругу лиц, причинение смерти по неосторожности, тяжкого вреда здоровью. Угрозу наступления тяжких последствий указанное постановление Пленума предлагает оценить только по критерию того, что должна быть установлена реальность такой угрозы. При этом невозможно четко определить, что, например, понимается под длительной приостановкой деятельности организаций. Сколько это должно быть по времени? Где критерии реальности угрозы? Как следует ее распознавать и толковать?

Полагаем, что законодатель при формулировании преступлений в уголовном законе должен конкретизировать понятия и оценочные признаки или установить их критерии, чтобы на практике они не вызывали различное толкование.

Путаница в квалификации преступлений между объективной стороной вымогательства и открытого хищения электронных денег с использованием компьютерных технологий находит отражение в судебной практике. Вызывает интерес следующий пример, в котором мы видим, насколько сложным является правильное определение того или иного «компьютерного» преступления на практике.

Гр Д. был признан виновным в неправомерном доступе к компьютерной информации: с помощью блокировки совершил хищение информации, являющейся коммерческой тайной организации, и электронных денег (биткойнов). Гр. Д. направил в адрес организации письмо с требованием перечислить ему деньги в размере двух единиц биткойнов, что превышало 1 млн рублей. Гр. Д. высказал угрозу о блокировке серверов и повреждении компьютерных систем организации. Преступные действия гр. Д. судом первой инстанции были квалифицированы по ч. 4 ст. 272 УК РФ и по п. «д» ч. 2 ст. 161 УК РФ как неправомерный доступ к охраняемой компьютерной информации, создавший угрозу наступления тяжких последствий, и грабеж — открытое хищение чужого имущества в крупном размере. Позиция в части квалификации открытого хищения чужого имущества, т. е. грабежа, обосновывалось тем, что гр. Д. высказал потерпевшему требование о немедленном перечислении ему денежных средств в сумме более 500 тыс. рублей, угрожая сохранением блокировки компьютерной информации. Поэтому не понятно, по каким критериям органы предварительного следствия, прокуратура, поддерживающая обвинение, и суд первой инстанции определяли открытое хищение чужого имущества, изначально давая такую квалификацию деянию, совершенному гр. Д.

Верховный Суд РФ отменил приговор нижестоящего суда с такой квалификацией преступления как неверной и указал, что в действиях гр. Д. не усматривается грабеж, так как фактически присутствует вымогательство — требование передачи чужого имущества и угроза сохранения блокировки компьютерной информации. Блокировка информации на серверах организации лишила ее возможности осуществлять все действия, в том числе взятые на себя перед другими партнерами обязательства, данные действия привели к остановке процессов отгрузки и доставки товаров, что создало реальную угрозу наступления тяжких последствий.

Кроме того, судом также дана оценка угрозы наступления тяжких последствий (ч. 4 ст. 272 УК РФ) и в части невозможности нормальной бесперебойной работы и функционирования организации, необходимости восстанов- ления бухгалтерской и иной документации, для которого потребуются существенные расходы 7. На этом примере мы видим, что в каждом отдельном случае правоприменителю придется обосновывать наличие тяжких последствий и доказывать, что они именно таковыми являются.

Некоторые сложности при квалификации вызывает признак ч. 3 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации с использованием своего служебного положения. По мнению исследователей, служебное положение лица определяется имеющейся возможностью доступа к компьютерной информации в силу выполняемой работы по трудовому или гражданско-правовому договору. Соответственно, специальными субъектами могут быть программисты, системные администраторы, операторы и другие работники [7, c. 166].

Признаки специального субъекта в теории уголовного права определяются дополнительными критериями, отличающимися от общего субъекта преступления. В киберпреступлениях специальным субъектом может быть широкий круг лиц, обладающих специальным правом или полномочием в силу своих профессиональных обязанностей, закрепленных трудовым договором, контрактом, договором оказания услуг. Важно установить круг обязанностей, в силу которых возник у субъекта доступ к компьютерной информации, персональным данным, базам данных. Только исходя из этих условий, можно квалифицировать деяние по признаку использования лицом своего служебного положения.

Представляется, что термин «использование лицом своего служебного положения» в квалифицирующем признаке ч. 3 ст. 272 УК РФ сформулирован не совсем правильно. Глагол «служить» означает «нести, исполнять службу» 8. Соответственно, служебное положение должно отвечать признакам должностного лица, выполняющего свои должностные обязанности в государственных организациях и правоохранительных органах. Широкое толкование признака должностного лица и служебных полномочий дает примечание к ст. 285 УК РФ, которое цитировать нет необходимости. Законодатель тем самым запутал правоприменителя окончательно. Получается, в отношении каждого отдельного состава Особенной части УК РФ, где есть квалифицирующий признак «должное лицо, использующее свое служебное положение», правоприменитель должен домысливать, додумывать, а следователь и толковать по-своему этот квалифицирующий признак. Такая терминологическая неопределенность и путаница создают серьезные проблемы на практике. Полагаем, законодателю следует устранить этот пробел в примечании к ст. 272 УК РФ. Предлагаем сформулировать его так: «Под лицом, использующим свое служебное положение, в статьях настоящей главы следует понимать лицо, постоянно, временно или по специальному полномочию (приказу, распоряжению), выполняющее свои профессиональные обязанности в силу трудового договора, контракта, договора по оказанию услуг в организациях, предприятиях, учреждениях любых форм собственности».

Так, гр-ка П. совершила неправомерный доступ к охраняемой законом компьютерной информации, повлекшее модификацию компьютерной информации, совершенное из корыстной заинтересованности, с использованием своего служебного положения. Занимая должность руководителя отдела продаж в одной из дочерних компаний ПАО МТС, гр-ка П. обязана была знать и соблюдать инструкции по работе в автоматизированных и информационных системах; обеспечивать обработку персональных данных клиентов, хранить в базе данных компании эти сведения и осуществлять доступ к информационным ресурсам компании и персональным данным клиентов, используя только свои учетные личные записи и пароли доступа к ресурсам. В целях улучшения показателей своей деятельности в виде выполнения плана компании и получения премии она, используя служебное положение, а также персональные данные клиентов ПАО МТС, изменила информацию путем ее модификации, незаконно оформила две sim-карты на лиц, которые не имели об этом представления и, соответственно, своего согласия на это не давали. Действия П. были правильно квалифицированы по ч. 3 ст. 272 УК РФ. Суд назначил наказание подсудимой в виде условного лишения свободы сроком на 1 год 9.

Представляется небезосновательным мнение о том, что законодатель не успевает оперативно реагировать на новые способы совершения киберпреступлений, в результате чего их сложно квалифицировать. Например, рассылка спама и DDoS-атаки не имеют до настоящего времени уголовноправовой оценки. Увеличение потока такой информации несет в себе угрозу нормальной работы электронной почты [8, с. 529].

Экспертами в области кибертехнологий отмечается, что до сих пор остается актуальной проблема обнаружения и пресечения несанкционированного доступа в цифровую среду. Уязвимость в цифровой среде может находиться долго в «спящем» виде до определенного момента, что является опасным [9, c. 619]. В данном контексте представляется необходимым увеличение штата сотрудников организаций по кибербезопасности и постоянный мониторинг.

В России отсутствует отдельный нормативный правовой акт о кибербезопасности. Между тем его принятие уже давно стало необходимостью.

Так, в Китае еще в 2017 г. был принят Закон о кибербезопасности, который целенаправленно урегулировал вопросы национальной безопасности государства и граждан в киберпространстве [10, c. 122–123].

Важной является и виктимологическая профилактика киберпреступности. К факторам формирования виктимности жертв относят такие личностные качества, как доверчивость, неосторожность; активное небезопасное поведение в социальных сетях; отсутствие психологической готовности молодежи анализировать информацию и контролировать поведение в виртуальном пространстве [11, с. 99].

По-прежнему не теряет актуальности соблюдение элементарных мер компьютерной безопасности и гигиены пользователями компьютеров. В условиях отсутствия у государственных правоохранительных органов эффективных инструментов профилактики киберпреступлений важным является самостоятельное обеспечение личной безопасности и сохранности своих денежных средств и имущества каждым субъектом цифровых информационнокоммуникационных отношений [12, с. 103].

Таким образом, для борьбы с киберпреступлениями необходим комплексный подход, включающий совершенствование законодательства, постоянное информирование населения о способах защиты, широкую виктимологиче-скую профилактику.

Выводы

• 1.    По данным официальной статистики МВД России, ежегодно отмечаются значительный рост киберпреступлений и их низкая раскрываемость.

• 2.    Меры уголовно-правового и криминологического воздействия отстают в своевременном реагировании на киберугрозы и требуют скорейшего принятия федерального закона «О противодействии киберпреступности в России».

• 3.    Возникла необходимость приведения терминологии, связанной со сферой правоприменения компьютерной

• 4.    Уголовный закон должен раскрывать критерии определения таких оценочных признаков, как «тяжкие последствия» и «создавшие угрозу наступления тяжких последствий».

• 5.    Ввиду неопределенности и проблем толкования на практике квалифицирующего признака в ч. 3 ст. 272 УК РФ, а именно использования служебного положения, предлагается включить часть 3 в примечания к ст. 272 УК РФ следующего содержания: «Лицо, использующее свое служебное положение, в статьях настоящей главы, — это постоянно, временно или по специальному полномочию (приказу, распоряжению) лицо, выполняющее свои профессиональные обязанности в силу трудового договора, контракта, договора по оказанию услуг в организациях, предприятиях, учреждениях любых форм собственности».

• 6.    Необходима виктимологическая профилактика киберпреступлений, направленная на разные возрастные группы с применением различных методов с учетом возраста, сферы деятельности.

информации и информационных технологий, в единое законодательное русло.

Область применения и перспективы. Полученные результаты настоящего исследования позволяют расширить представление о киберпреступности и киберугрозах в современном обществе, предъявить объективные данные для проведения дальнейших исследований в области кибербезопасности, уголовно-правовой регламентации киберпреступлений и привести в соответствие требованиям настоящего времени наше законодательство.