Хакеры и Статья 272 УК — Швейцарский Нож Хромого Закона

Что общего у черного хакера, крэкера, дудосера и бывшего мужа, который после развода заходил в некогда общие семейные аккаунты в соцсетях? Всех их будут привлекать к уголовной ответственности по 272-ой статье Уголовного кодекса РФ.

Статья 272 УК РФ запрещает «неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации». Под компьютерной информацией данная статья понимает «сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи». Примечательно, что в 2014-ом году прокуратура в Методических рекомендациях по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации утверждала, что под понятие «компьютерная информация» не попадают сведения, хранящиеся в мобильных сотовых устройствах и планшетных компьютерах. К счастью для правосудия и к несчастью для адвокатов российское уголовное право проигнорировало данные рекомендации, а положение прокуратуры не стало сколько-нибудь серьезной проблемой даже в юридической доктрине, не говоря о практике. Но странности применения и интерпретации ст. 272 УК РФ на этом не заканчиваются.

Сегодня мы анализируем уникальную статью, которая из-за своей конструкции стала причиной многих оправдательных приговоров и постановлений о прекращении уголовных дел по реабилитирующим основаниям. Начнем мы наше исследование с довольно популярного вопроса, погружение в который не только позволит нам дать развернутый ответ, но еще и предоставит возможность продемонстрировать гротескность статьи 272 Уголовного кодекса Российской Федерации.

DDoS-атака — разновидность хакерской атаки, при осуществлении которой злоумышленник перегружает запросами пропускной канал сервиса, вследствие чего происходит полное прекращение работы веб-ресурса — «отказ в обслуживании» или DoS (Denial-of-service). Хакер доводит вычислительную систему до отказа, и при преодолении пропускной способности ресурс перестает корректно работать, а пользователи не могут к нему подключиться.

В народе, в сети и даже в юридических кругах (не связанных с уголовным правом или правом в IT-сфере) можно встретить мнение о том, что DDoS-атаки в России не запрещены. Что они абсолютно легальны сами по себе, а организатор атаки не несет рисков быть привлеченным к уголовной ответственности. Но, к сожалению, не все так просто.

С одной стороны — DDoS-атака может быть частью объективной стороны хулиганства (п. б. ч. 1 ст. 213 УК РФ) или неправомерного воздействия на критическую информационную структуру Российской Федерации (ст. 274.1 УК РФ), например, или иного состава преступления при определенных обстоятельствах. То есть DDoS-атака сама по себе не могла бы рассматриваться как обособленное деяние, имеющие признаки состава преступления, а лишь как элемент объективной стороны в составе преступления.

Но если абсолютизировать данный подход, то множество ситуаций совершения DDoS-атак ускользнут от действия Уголовного кодекса, а внутреннее убеждение судей в отношении доказанности факта события преступления в каждом отдельном случае проведения DDoS-атаки упокоится в перманентной турбулентности.

Действительно, УК РФ на дает прямого и недвусмысленного ответа на вопрос: «Запрещен ли в России DDoS?» В отличие от Уголовного кодекса Германии, где содержится такое преступление как «Компьютерный саботаж», признаки которого очень напоминают DDoS-атаку — то есть в Федеративной Республике Германия DDoS прямо запрещён. Компьютерный саботаж, кстати говоря, позаимствовали составители Модельного Уголовного кодекса для стран-участников СНГ еще в 1996 году. Однако подобное положение до сих пор не включено в уголовное законодательство РФ.

Настоящая публикация посвящена 272-ой статье УК РФ. Если мы прочтем диспозицию этой статьи, то вряд ли обнаружим очевидное «запрещение дудосить». В то же время именно через эту статью осуществляется привлечение к уголовной ответственности за организацию DDoS-атак, как бы это не показалось странным.

Потому что DDoS запрещён судебной практикой.

В 2013 году рассматривалось первое в истории России уголовное дело о совершении DDoS-атаки. Фабула дела такова:

В июле 2010 года гендиректор закрытого акционерного общества решил подпортить жизнь своему конкуренту — усложнить его взаимоотношения с партнёрами и нанести вред репутации. После беседы директора с главным специалистом в сфере информационной безопасности, было решено обратиться к лицам, оказывающим «хакерские услуги» на постоянной основе. Привлеченные хакеры, используя бот-сеть, девять дней проводили DDoS-атаку, в течение которой платежная сеть на веб-ресурсах конкурента прекратила работу, а пользователи не могли приобрести электронные авиабилеты. Все соучастники были осуждены по ч. 2 ст. 272 УК РФ именно за DDoS-атаку: целью группы было исключительно совершение атаки без какого-либо проникновения к компьютерной информации с последующим ее копированием, удалением или изменением.

Было вполне логично и ожидаемо, что сторона защиты в апелляционной жалобе поставит вопрос о том, что группу лиц осудили за преступление, которого не было в Уголовном кодексе РФ. При чем здесь DDoS-атака и неправомерный доступ к охраняемой законом компьютерной информации, повлеклший уничтожение, блокирование, модификацию либо копирование этой информации? После рассмотрения дела в апелляции Московский городской суд изменил приговор только части назначения наказания — квалификацию деяния он не тронул. В Апелляционном постановлении Московского городского суда от 25.11.2013 по делу N 10−11 502/2013 позиция защиты отбивалась следующим образом:

«Доводы жалоб об отсутствии в действиях осужденных состава преступления, так как в результате DDoS-атаки на информационные ресурсы ООО доступ к защищенной законом компьютерной информации не наступил, являются несостоятельными, так как в соответствии с требованиями ст. 2 ФЗ от 27 июля 2006 года N 149-ФЗ „Об информации, информационных технологиях и о защите информации“ доступ к информации понимается как возможность ее получения и использования, а поскольку, как установлено судом, в результате проведенной осужденными DDoS-атаки, повлекшей блокирование (то есть невозможность законного доступа к сведениям при их сохранности) работы системы ЭВМ ООО, осужденными была получена возможность неправомерного, несанкционированного доступа к защищенной законом компьютерной информации ООО, о чем свидетельствует, что в ходе атаки была использована бот-сеть, вредоносная программа, нормальный ход работы ООО был нарушен, а система ЭВМ блокирована, то есть, блокированы информационные ресурсы и система ЭВМ, объединенные в единую платежную систему, что судом правильно установлено как неправомерный доступ к компьютерной информации».

Не нужно быть адвокатом, чтобы остаться неудовлетворенным подобными формулировками. С одной стороны, мы можем где-то согласиться с выводами суда о том, что DDoS-атака действительно приводит к блокированию информации — на то, в общем-то, направлен умысел организатора атаки. В 2022 году Верховый суд, даст определение блокированию компьютерной информации, именно исходя из соображений о DDoS-атаке: «…воздействие на саму информацию, средства доступа к ней или источник ее хранения, в результате которого становится невозможным в течение определенного времени или постоянно надлежащее ее использование, осуществление операций над информацией полностью или в требуемом режиме (искусственное затруднение или ограничение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением)».

Но что остается очень и очень спорным, так это утверждение о факте осуществления неправомерного доступа к компьютерной информации путем проведения DDoS-атаки.

Например, взглянем на дело, в котором ст. 272 УК РФ применяется идеально (Апелляционное постановление Московского городского суда от 25.11.2013 по делу N 10−12 204). Здесь было доказано, что подсудимый неправомерным образом получил права администратора сайта, после чего модифицировал модуль системы «Блог» таким образом, что все страницы стали переадресовываться на главную страницу сайта, настройки которой в свою очередь содержали переадресацию на саму себя. Таким образом, образовался циклический запрос, препятствующий нормальной работе сайта — зашедшему на интернет-ресурс пользователю браузер выдавал ошибку 302.

Из заключения судебного эксперта: «В отношении ресурсов сети Интернет установлено, что в процессе обращений к данным ресурсам указанным пользователем было произведено изменение настроек, после которого при попытках доступа к указанным сайтам зафиксирован код ответа „302“ (означает „Временно перемещен, Moved Temporarily“, то есть не доступен), то есть для пользователей сети „Интернет“ доступ к содержимому данных страниц был заблокирован. Так как временные характеристики событий, отраженных в лог-файле, последовательны, и событиям, отражающим блокирование доступа к содержимому ресурсов предшествуют события, отражающие редактирование настроек указанных ресурсов, прослеживается прямая зависимость блокирования ресурсов от произведенных изменений пользователем IP-адрес в их настройках».

Вполне очевидно, что ст. 272 УК РФ намного больше подходит данному деянию, чем DDoS-атаке: злоумышленник «взломал» сайт и совершил модификацию компьютерной информации, вследствие чего произошло ее блокирование. Именно элемент неправомерного доступа к компьютерной информации в данной ситуации отражен наглядно и явно. И что удивительно — постановление по делу о DDoS-е и по делу о «взломе сайта» вышли в один день! Но какие разные ситуации! И какой одинаковый подход к ним.

В определенных случаях, действительно, в результате осуществления DDoS-атаки у хакеров появляется доступ к информации, которую обычно копируют, чтобы как-то распорядиться ей в дальнейшем. Но тогда по положениям ст. 272 УК РФ хакера необходимо судить за неправомерный доступ к компьютерной информации, в результате которого было осуществлено копирование компьютерной информации, а не ее блокирование. И тут бы вопросов не возникало.

В деле о DDoS-атаке не было ни осуществления неправомерного доступа к информации как такового, ни копирования информации — преступники руководствовались исключительно «конкурентными» мотивами по достижению цели прекращения работы определённой системы. Но суд говорит: «Раз осужденными была получена возможность неправомерного, несанкционированного доступа к защищенной законом компьютерной информации, то имел место неправомерный доступ к компьютерной информации». Кажется, Федеральный закон «Об информации, информационных технологиях и о защите информации» подкинул стороне защиты свинью, определив доступ к информации как «…возможность получения информации и ее использования». Однако, на наш взгляд, суть проблемы кроется в многозначности неудачно подобранного законодателем слова «возможность», которое суд интерпретировал в обвинительном уклоне.

Забегая вперед, сразу скажем — это единственное уголовное дело в истории применения ст. 272 УК РФ, где неправомерным доступом к охраняемой законом компьютерной информации признается возможность неправомерного доступа к охраняемой законом компьютерной информации. Доступ = Возможность Доступа. «Пленум о киберпреступлениях» теперь уже категорически пресекает подобный подход к определению неправомерного доступа, одним из признаков которого выступает получение или использование компьютерной информации.

Если отбросить адвокатский гнев, то вышеприведенное судебное решение в определённом смысле можно понять с точки зрения вершения уголовной политики — получив на стол дело о DDoS-атаке, суд, осознавая реальную общественную опасность этой атаки в современном мироустройстве, просто не нашел адекватных правовых механизмов, которые бы позволили признать DDoS-атаку преступлением. В то время как вынесение оправдательного приговора по такому делу имело бы эффект разорвавшейся бомбы и де-факто означало бы легализацию DDoS-атаки. Мы значительно глубже посмотрим на причины вынесения такого решения в разделе статьи «Доктрина с проблемами».

Годом позже Московский городской суд постарается подойти к проблеме квалификации DDoS-атаки значительно деликатнее. С одной стороны у него это получится, а вот с другой — ст. 272 УК РФ вновь будет приплетена к DDoS-атаке через уже знакомую нам формулу: «неправомерный доступ + блокирование информации».

Обвиняемый, «…являясь сторонником либерального общественно-политического течения…», совершил DDoS-атаку на некоторые государственные ресурсы.

В судебном акте отмечено, что подсудимый использовал программу, «…которая после ее активации отправляет большое количество запросов на атакуемый сайт, что приводит к блокированию вычислительной системы ресурса». Короче говоря, обвиняемый использовал специальное ПО по управлению ботнетом для осуществления DDoS-атаки.

Ничего особенного в этом нет: проведение DDoS-атак с помощью программ — самая стандартная практика в мире дудоса. Но в данном деле для нас интересно то, что DDoS-атаку квалифицировали через ст. 273 УК РФ, то есть как использование компьютерной программы, заведомо предназначенной для блокирования компьютерной информации.

И в определенном смысле это является ювелирным ходом: использование программы по управлению ботнетом для совершения DDoS-атак привело к блокировке сайта, что охватывалось умыслом обвиняемого — к такой квалификации невозможно придраться, она словно «прокрустово ложе» в данном деле. Одним изящным движением полностью снимается вопрос о наличии неправомерного доступа к компьютерной информации, на который мы возмущались выше.

Но суд вновь зачем-то приплетает статью 272 УК РФ в обвинение. И, судя по вынесению приговора в особом порядке, подсудимый вместе с защитником согласились с этим. Да-да: фигуранта дела осудили еще и по ст. 272 УК РФ за неправомерный доступ к компьютерной информации, повлекший ее блокирование.

Таким образом, в деле N 10−16 199/2015 обвиняемого осудили за DDoS-атаку по двум статьям одновременно: по 272-ой и 273-ей. Как можно было применить 272-ую статью, когда деяние уже было идеально квалифицировано по 273-ей? Зачем она здесь? Неужели Московский городской суд посчитал, что единичное крайне спорное применение ст. 272 УК РФ в деле о DDoS-атаке — уже сложившаяся практика? Неужели ни к кому в этом деле не приходила мысль о том, что статья 272 УК РФ абсолютно не подходит к данной ситуации? Как можно было в один момент найти такую удачную квалификацию DDoS-атаки и тут же напрыгнуть на годовалые грабли?

Таким образом, год спустя после первого уголовного дела по DDoS ситуация только ухудшилась: суды в растерянности начали прописывать в приговорах совокупность преступлений там, где ее реально не должно было существовать. Конечно, наиболее подходящей статьей, запрещающей DDoS-атаки, была и (в определенных случаях) остается ст. 273 УК РФ. 272-ая же может быть задействована только в том случае, когда в результате проведения атаки хакер получает доступ к определенной компьютерной информации, которую он впоследствии обычно копирует, модифицирует или удаляет. То есть деяние, квалифицируемое по ст. 272 УК РФ обычно совершается в результате проведения DDoS-атаки. После нее. Это абсолютно иное деяние. Не DDoS-атака.

Стоит также отметить, что использование норм ст. 273 УК РФ для квалификации DDoS-атаки также не является законченным и наиболее подходящим решением. Например, трудности могут возникнуть при квалификации DoS-атаки, где может и не быть использована какая-либо программа. Определенные сложности интерпретации может вызвать формулировка диспозиции 273-ей статьи: «иная компьютерная информация, заведомо предназначенная для несанкционированного блокирования компьютерной информации…». Также DDoS-атака может быть совершена и с помощью такого ПО, которое не является вредоносным по своему функционалу. То есть, когда программа и вовсе не создавалась автором для осуществления неправомерного деструктивного воздействия на компьютерную информацию.

Хуже того, Верховный суд в своем «пленуме по киберпреступлениям» вставляет «проблему доступа» туда, где ее и близко не было:

Статья 273 УК РФ ничего не говорит о неправомерном доступе к охраняемой законом компьютерной информации. А вот Верховый суд разъясняет, что создание вредоносных компьютерных программ или вредоносной компьютерной информации — это «деятельность, направленная на разработку, подготовку программ… или иной компьютерной информации, предназначенных для несанкционированного доступа, то есть совершаемого без согласия обладателя информации, лицом, не наделенным необходимыми для такого доступа полномочиями, либо в нарушение установленного нормативными правовыми актами порядка уничтожения, блокирования, модифицирования, копирования компьютерной информации или нейтрализации средств ее защиты». Таким образом, ВС РФ переносит «болячки» ст. 272 УК РФ на, казалось бы, подходящую ст. 273 УК РФ. Очевидно, применение ст. 273 УК РФ в делах о DDoS-атаках может стать крайне проблематичным из-за поднятия вопроса о несанкционированном доступе.

Но оставим проблемы статьи 273 УК РФ отдельной публикации.

«Проблема доступа», например, полностью снимается в ст. 274.1 УК РФ, запрещающей неправомерное воздействие на критическую информационную инфраструктуру (КИИ) РФ. В диспозиции данной статьи вопрос о неправомерном доступе ставится лишь в части 3. Законодатель вводит новую категорию — «неправомерное воздействие», которая все-таки является собирательной и подтягивающей за собой понятия статей 272 УК РФ и 273 УК РФ. К сожалению, законодатель не использует данную категорию для криминализации определённых вредоносных действий в киберпространстве — что помогло бы с проблемой квалификации DDoS-атаки. В то же время «неправомерное воздействие» возможно лишь в отношении объектов критической информационной структуры РФ. Короче говоря, DDoS-атака на объекты КИИ автоматически влечет за собой квалификацию по ст. 274.1 УК РФ без каких-либо разборок в отношении наличия или отсутствия неправомерного доступа к компьютерной информации.

Подход с использованием категории «неправомерное воздействие» можно встретить в Уголовном кодексе Германии и даже в Модельном Уголовном кодексе для государств-участников СНГ — преступление называется «компьютерный саботаж». Компьютерным саботажем признается уничтожение, блокирование либо приведение в непригодное состояние компьютерной информации, вывод из строя компьютерного оборудования, а равно разрушение компьютерной системы, сети или машинного носителя. Фактически то же самое, что и «неправомерное воздействие на компьютерную информацию». Примечательно, что в Модельном Уголовном кодексе для государств-участников СНГ квалифицирующим признаком является «то же деяние… сопряженное с неправомерным доступом к компьютерной информации или сети». То есть, в 1996 году составители данного документы имели представление о том, что DDoS-атака может совершаться и без неправомерного доступа к компьютерной информации; а если же доступ к ней был получен в результате осуществления «компьютерного саботажа», то такое преступление имеет повышенную общественную опасность и является тяжким.

Что изменилось в 2000-х? Куда исчезла это здравая и очевидная мысль? Почему она не возвращается в Уголовное право более двадцати лет? Почему игнорируется такое простое, лежащее на поверхности и абсолютно доступное решение уголовно-правовой проблемы квалификации DDoS-атаки? Почему нам все еще приходится поднимать бестолковый вопрос о неправомерном доступе, когда это абсолютно не относимый к обстоятельству фактор?

Возвращаясь к тому, как в 2022-ом году Верховный Суд РФ попытался обременить «проблемой доступа» даже ту статью, которая отродясь не имела такой болезни, необходимо обозначить современное положение дел — ничего не изменилось. Разве что чуть-чуть: когда ВС РФ давал определение понятию «блокирование компьютерной информации», он явно думал именно о DDoS-атаке: «…воздействие на саму информацию, средства доступа к ней или источник ее хранения, в результате которого становится невозможным в течение определенного времени или постоянно надлежащее ее использование, осуществление операций над информацией полностью или в требуемом режиме (искусственное затруднение или ограничение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением)». Рассматривая историю уголовных дел по DDoS-атакам в России, становится очевидным, такое определение «блокировки» содержит оправдание применения ст. 272 УК РФ в делах о «дудосе». Только элемент блокирования компьютерной информации (не смотря на определённую сложность применения к рассматриваемой категории дел) не так удурчающ, как элемент «неправомерного доступа», оправдания которому в «пленуме» нет.

«Проблема доступа» в контексте квалификации DDoS-атак так и не была решена. Верховный Суд указал, что под неправомерным доступом к охраняемой законом компьютерной информации понимается «…получение или использование такой информации без согласия обладателя информации лицом, не наделенным необходимыми для этого полномочиями, либо в нарушение установленного нормативными правовыми актами порядка независимо от формы такого доступа (путем проникновения к источнику хранения информации в компьютерном устройстве, принадлежащем другому лицу, непосредственно либо путем удаленного доступа)». В общем, неправомерный доступ все еще никак не привязан к DDoS-атаке. Ст. 272 УК РФ все еще является абсолютно непригодным правовым инструментом противодействия DDoS-атакам. Если не говорить о КИИ, то адекватных уголовно-правовых механизмов, запрещающих DDoS-атаки, в Уголовном кодексе нет. Но это совсем не значит, что «дудос» разрешен и никого за него не «посадят».

Запрещен ли DDoS в Росси? Да, однозначно запрещен, но как-то неочевидно. А исход уголовного дела по DDoS-атаке может быть абсолютно непредсказуемым — приговор может варьироваться от оправдания до совокупности преступлений по двум статьям. И все из-за особенности содержания ст. 272 УК РФ. Пора бы признать, что на DDoS необходимо наложить прямой запрет в Уголовном кодексе РФ, и при этом стоит ориентироваться на описанные выше концепции «компьютерного саботажа» и «неправомерного воздействия». Информационный общественный строй требует четкой конкретизации своих преступлений.

Итак, мы видим, что главная проблема кроется именно в тот самом неправомерном доступе к компьютерной информации, который едва ли относится к DDoS-атаке. Но к чему он относится? Что вообще можно понимать под неправомерным доступом к компьютерной информации? Когда он считается достигнутым? Как этот доступ должен быть получен? При каких условиях он становится одним из составляющих элементов объективной стороны преступления, регламентированного ст. 272 УК РФ?

Определение и расшифровка смысла неправомерного доступа — ключ к пониманию применения ст. 272 УК РФ. «Проблема доступа» выходит далеко за границы уголовных дел о DDoS-атаках. Исходя из контекста данного исследования ст. 272 УК РФ, не окунуться с головой в вопрос о том, что такое «неправомерный доступ к охраняемой законом компьютерной информации» — просто не культурно.

Руководитель организованной группы приобрел информацию с магнитных полос банковских карт, выпущенных в США и Южной Корее, после чего скопировал её на жесткий диск своего ноутбука с помощью специальных технических средств. В содержание данной компьютерной информации также входили данные, необходимые для восприятия поддельных платежных карт в технологии функционирования платежных систем в качестве кредитных или расчетных. Группа лиц имела целью хищение денежных средств держателей платежных карт — руководитель действовал в интересах группы, с ее согласия и при реализации единого преступного умысла. Эксцесса исполнителя в данном случае не имелось.

В связи с этим эпизодом суд первой инстанции признал виновным каждого члена группы лиц в совершении преступления, установленного ч. 3 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации, совершенный из корыстной заинтересованности, в составе организованной группы. Однако суд кассационной инстанции исключил из приговора указание об осуждении каждого подсудимого по ст. 272 УК РФ. «Тройка» судей установила, что в данном случае не было неправомерного доступа:

«По смыслу закона, под доступом к охраняемой законом компьютерной информации понимается неправомерный доступ в источник информации, позволяющий манипулировать информацией, то есть копировать, модифицировать, блокировать либо уничтожать ее, то есть получение реальной возможности ознакомиться и (или) воспользоваться компьютерной информацией. Доступ носит характер совершения определенных действий и может выражаться в проникновении в компьютерную систему путем использования специальных технических или программных средств, позволяющих преодолеть установленные системы защиты, незаконного использования действующих паролей или кодов для проникновения в компьютер, либо свершении иных действий в целях проникновения в систему или сеть под видом законного пользователя. Данный состав преступления носит материальный характер и предполагает обязательное наступление одного или нескольких указанных в законе последствий, в том числе уничтожение, блокирование, модификацию, копирование компьютерной информации».

«Тройка» отметила, что в приговоре суда первой инстанции было указано, что ни один из соучастников никаких действий, связанных непосредственно с проникновением в компьютерную систему, сеть или источник информации с целью получения охраняемой законом информации не совершал. А завладение носителем информации как имуществом не может квалифицироваться как доступ к компьютерной информации.

Суд кассационной инстанции пошел еще дальше и даже заявил, что в данном деле не осуществлялось копирования компьютерной информации, которое является неотъемлемой частью объективной стороны обсуждаемого преступления и предполагает создание копии с первоисточника информации, к которому осуществлен неправомерный доступ. Судьи не согласились с доводами обвинения о произошедшем копировании, поскольку осужденные использовали приобретенную руководителем организованной группы уже готовую копию с информацией о платежных картах. Таким образом, «тройка» заключает, что копирование полученной неустановленным путем информации с магнитных полос платежных карт на жесткий диск ноутбука не является следствием действий, совершенных именно осужденными именно в ходе неправомерного доступа к компьютерной информации. Эти действия являлись способом хищения денежных средств, в связи с чем не требовали отдельной квалификации по ч. 3 ст. 272 УК РФ: «При таких обстоятельствах суд кассационной инстанции находит квалификацию действий осужденных по ч. 3 ст. 272 УК РФ излишней».

В Определении Пермского краевого суда по делу N 22−2026 от аж 2009 года для нас интересным является раскрытие судом понятия неправомерного доступа к компьютерной информации: «Фактически такой доступ осуществляется с использованием компьютерной техники (персональной ЭВМ, иных электронных устройств) и технологически означает „взлом“ электронной системы защиты документированной информации путем использования чужого имени (пароля), изменения физических адресов технических устройств, модификации программного и информационного обеспечения. В результате лицо получает возможность воспринимать информацию и незаконно распоряжаться ею (копировать, пересылать, изменять, уничтожать и др.). Предметом преступления является охраняемая законом информация, то есть особым образом защищенные сведения о лицах, предметах, фактах, событиях, явлениях и процессах, которые содержатся в информационных системах (банках данных)». Данное определение суда кассационной инстанции — очередное несогласие с предъявлением обвинения по ст. 272 УК РФ.

Само же дело было возбуждено из-за того, что обвиняемый осуществлял незаконное распространение контрафактных компьютерных программ. Был задержан сотрудниками полиции после копирования пиратского софта с переносного жесткого диска на жесткий диск компьютера. Приговоры нижестоящих судов были отменены кассацией, дело было направлено на новое рассмотрение. И не удивительно: откуда взялась квалификация деяния по ст. 272 УК РФ — не совсем понятно даже в контексте 2008−2009 годов. Если осуждение по ч. 2 ст. 146 УК РФ (незаконное использование объектов авторского права, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере) понятно и предсказуемо, то предъявление обвинения по 272-ой статье выглядит очень неуместным.

Сразу отметим — в тех судебных актах, где наиболее исчерпывающие дается определение неправомерного доступа к компьютерной информации, прослеживается одна и та же проблема, о которой мы намекали в самом начале очерка — неправильная и излишняя квалификация деяний по ст. 272 УК РФ. Мне бы хотелось здесь сказать что-то вроде: «Мы запомним эту важную и все еще актуальную проблему и обязательно вернемся к ней, как только расправимся с неправомерным доступом». Но излишняя квалификация будет нас преследовать на протяжении всего путешествия по составу ст. 272 УК РФ…

Скимминг — противоправная деятельность, направленная на получение данных банковской карты путем считывания информации о ней с магнитной полосы. Для осуществления данного деяния обычно используется скимминговое устройство (скиммер), которое крепится к принимающему слоту картоприемника в банкомате. Таким образом, злоумышленники заполучают всю информацию, записанную на магнитной полосе карты, в том числе реквизиты и ПИН-код.

В итоге мы имеем следующее — несанкционированное получение данных банковских карт, которые используются для неправомерного распоряжения средствами на ней. Казалось бы, довольно незамысловатая легко квалифицируемая ситуация. Но сторона обвинения, запутавшись в объектах хищенческих и «компьютерных» преступлений, ввязывает 272-ую статью, тем самым все усложняя.

Такая «активность неведающих» в 2013—2014 годах приводила к парадокасальной ситуации в «скимминговых делах»: при практически аналогичных ситуациях одних оправдывали по 272-ой статье (или прекращали дело), других — привлекали по ней же к уголовной ответственности.

Группа лиц установила скимминговое оборудование на банкомат в одном из офисов банка. Как указал суд: «Скимминговое оборудование в совокупности может образовывать комплект для получения (перехвата) информации с магнитных полос пластиковых платежных карт и соответствующих им ПИН-кодов». Спустя некоторое время, достаточное для того, чтобы клиенты банка воспользовались банкоматом, а информация с их карт, необходимая для дальнейшего снятия денежных средств, была скопирована с помощью установленного комплекта технических средств, та самая группа лиц вернулась, чтобы снять скиммер. Как только один из соучастников снял оборудование отверткой, злоумышленников задержали сотрудники правоохранительных органов. Преступный умысел не был доведен до конца по независящим от исполнителей преступления обстоятельствам. Всего с помощью установленного комплекта скиммингового оборудования была скомпрометирована (перехвачена и скопирована во время сеансов пользования банкоматом) информация с платежных карт на общую сумму 1 975 156 рублей 69 копеек.

Отказывая обвинению в привлечении соучастников к уголовной ответственности по ст. 272 УК РФ суд руководствовался следующим: «обстоятельства совершения преступления… свидетельствуют о том, что умысел осужденных был направлен на хищение денежных средств путем незаконного получения информации с магнитных полос пластиковых платежных карт, то есть неправомерный доступ к компьютерной информации и перехват информации с пластиковых платежных карт путем копирования, является способом совершения хищения денежных средств. При таких обстоятельствах все действия осужденных… подлежат квалификации по одной статье, то есть по ч. 3 ст. 30, п. „б“ ч. 4 ст. 158 УК РФ, квалификация по ч. 3 ст. 272 УК РФ является излишней и подлежит исключению из приговора».

В данном случае отметим то, что суд заострил свое внимание именно на различиях субъективной стороны в составах преступлений, регламентированных ст. 158 и 272 УК РФ. Правоприменитель не просто указал на несхожесть объектов в составах двух преступлений, но и разграничил направленность умысла при совершении хищения и при совершении преступления против компьютерной информации. Тем самым произошло выделение направленности умысла в качестве важного обстоятельства, подлежащего доказыванию: установление мотива и цели действий обвиняемого прямым образом влияет на квалификацию деяния.

Фабула данного дела отличается от фабулы предыдущего дела лишь двумя факторами: первый — подсудимый самостоятельно изготовил скимминговое оборудование, и это признала экспертиза; второй — общая сумма информации с платежных карт имела эквивалент в 487 521 рублей 10 копеек. Все остальное — примерно то же самое: поставил скиммер, ушел, вернулся, стал его снимать и тут же был задержан полицейскими.

Но в этом деле подсудимый был признан виновным в совершении преступления, установленного ст. 272 УК РФ. В приговоре по делу часто упоминается: «преступные намерения, направленные на неправомерный доступ к охраняемой законом компьютерной информации». Словно чем больше повторишь, тем убедительней звучит. Какой-либо развернутой аргументации в отношении предпочтения применения нормы 272-ой статьи в данной ситуации, к сожалению, в приговоре не содержится.

Но далее мы видим очередное дело, в котором правоохранительные органы не могут разграничить объекты преступлений, указанных в ст. 158 и 272 УК РФ. Правда, на этот раз обвиняемый избегает уголовной ответственности по 272-ой статье из-за очень странных и необычных обстоятельств.

В решении суда указывается следующее: «С объективной стороны неправомерный доступ к компьютерной информации представляет собой незаконное либо не разрешенное собственником или иным ее законным владельцем проникновение в ее источник с использованием средств компьютерной техники, позволяющее использовать эту информацию».

Сразу скажем, что данное постановление может вызвать шок у любого филолога — настолько там ничего непонятно. Но, приложив немало усилий, мы можем как-то очертить фабулу дела: обвиняемая приобрела возможность совершения операций на счете банковской карты потерпевшей отнюдь не в результате совершения каких-либо активных действий в целях неправомерного доступа к компьютерной информации. Каким-то образом подсудимой подключили «Мобильный банк» на ее абонентский телефонный номер, который потерпевшая ошибочно указала при оформлении банковской карты. Оказавшись таким образом в чужом «Мобильном банке», обвиняемая перевала себе 35 800 рублей.

Суд указывает на то, что неправомерный доступ к компьютерной информации как часть объективной стороны состава преступления не доказан. Не удивительно — хоть и по ошибке, но все же формально доступ к банковскому счету был разрешен. И, судя по отсутствию в приговоре каких-либо намеков на логины и пароли, подсудимая объективно не могла осуществить каких-либо деяний, умышленно направленных на реализацию неправомерного доступа к «Мобильному банку». Она реально там оказалась по ошибке потерпевшей. Каким образом это вообще могло произойти — непонятно, а сюрреалистично написанное судебное решение совсем не проливает света на ситуацию.

Далее суд обозначает определение копирования: «…создание копии имеющейся информации на другом носителе, то есть перенос информации на обособленный носитель при сохранении первоначальной информации неизменной» и модификации: «…внесение изменений в компьютерную информацию (или ее параметры), в том числе внесение изменений в программы, базы данных и иные составляющие компьютерной информации, находящейся на материальном носителе…»

«Тройка» судей делает это для того, чтобы на корню зарубить любые попытки «притянуть» 272-ую статью: «Изменение первоначальных данных по движению денежных средств по лицевому счету… повлекло их хищение, а не модификацию компьютерной информации, которая сама по себе не претерпела каких-либо изменений». Действия осужденной квалифицируются по ст. 158 УК РФ, а по ст. 272 УК — дело прекращено.

Отсюда вывод — изменение цифр на интерфейсе на лицевом счете «Мобильного банка» не является модификацией компьютерной информации. Изменения состава имущественных прав (а именно имущественными правами признаются безналичные деньги в соответствии со ст. 128 ГК РФ) вследствие несанкционного доступа третьего лица к банковскому ID также не является модификацией компьютерной информацией.

На самом деле такой подход можно только поприветствовать. В данном деле суд избежал необоснованного, чрезмерного и откровенно вредного дублирования идентичного внешнего обстоятельства двумя объективными сторонами двух составов преступлений. Суд также верно разграничил объекты преступления в составах ст. 158 УК РФ и 272 УК РФ — если в первом случае объектом преступления является имущество (объект гражданского права в соответствии со ст. 128 ГК РФ), то в случае состава преступления ст. 272 УК РФ объектом является компьютерная информация. Суд верно исправил ошибку органов предварительного расследования, которые запутались между следствием и причиной: изменении данных интерфейса, отображающего остаток на счете, из-за совершения денежного перевода.

MITM-атака — вид кибератаки, выражающийся в перехвате данных между двумя информационными субъектами. MITM — аббревиатура от Man in the middle — «человек по середине». То есть: между (условно говоря) точкой A и точкой B, в между которыми происходит обмен информацией, появляется некое третье звено, которое несанкционно перехватывает трафик и может его использовать в своих интересах. Популярные примеры: прослушивание телефонных переговоров, перехват электронной переписки, «вклинивание» в дистанционное банковское обслуживание между клиентом и кредитной организацией.

Способов совершения MITM-атаки много: установление мошеннической точки доступа, изменение IP-адреса для перенаправления трафика на сайт взломщика, перехват сеанса, а также самый популярный способ — использование незащищенных общедоступных WiFi сетей. По данным исследователей около 25% путешественников, пользовавшихся общественным WiFi, были жертвами MITM-атаки.

Вот пример из судебной практики — лицо осуждено по ст. 272 УК РФ и по ст. 273 УК РФ за использование вредоносных программ для осуществления неправомерного доступа к компьютерной информации, повлекшего копирование компьютерной информации. В производившейся по делу N 77−530/2020 судебной экспертизе было установлено, что в перечень возможностей программного обеспечения «Intercepter-NG», которое обвиняемый использовал для неправомерного доступа к охраняемой законом компьютерной информации, входит различный функционал по перехвату трафика, его анализу с целью выделения значимых сущностей и сбору информации, а также различные методы организации MITM-атак, в том числе с подменой страниц авторизации на неоригинальные.

Обратим внимание — в судебном решении указывается, что обвиняемый был осужден по ст. 272 УК РФ именно за копирование информации. В контексте объективной стороны состава ст. 272 УК РФ копирование компьютерной информации — довольно понятная и простая категория (проще лишь удаление). Ctrl+v & Ctrl+c, фотографирование компьютерной информации, записывание увиденных сведений на бумагу рукой или иное деяние, умышленно направленное на материальное или электронное отражение или экземплирование полученных сведений — все это образует объективную сторону состава преступления ст. 272 УК РФ.

Получается — можно провести MITM-атаку без какого-либо копирования и тем самым избежать уголовного преследования? Ведь восприятие (созерцание) компьютерной информации, доступ к которой был неправомерно осуществлен, не отвечает признакам объективной стороны ст. 272 УК РФ.

Я бы не был так оптимистичен. Мне представляется, что в упомянутом выше деле привлечение к уголовной ответственности за неправомерный доступ к компьютерной информации с последовавшим ее копированием было основано на двух факторах: первый — счастливая удача стороны обвинения в том, что информация была умышленно скопирована; второй — нежелание входить в довольно-таки громоздкую с точки зрения уголовного права природу MITM-атаки.

MITM-атака состоит из двух фаз: перехвата и дешифрации. При перехвате реализуется неправомерный доступ к компьютерной информации. А вот дешифрацию — расшифровку перехваченных данных — копированием назвать трудно. Скопировать можно лишь продукт дешифрации.

Деяние по дешифрации перехваченного трафика соответствует таком признаку объективной стороны ст. 272 УК РФ как «модификация компьютерной информации», по которой «пленум по киберпреступлениям» понимает «…внесение в нее любых изменений, включая изменение ее свойств, например целостности или достоверности».

Итак, с момента дешифрации данных появляются все признаки объективной стороны ст. 272 УК РФ, а соответствующее преступление может признаваться оконченным. Отсюда встает следующий вопрос — а как можно доказать момент модификации (дешифрации) неправомерно перехваченной компьютерной информации?

Проще и дешевле всего провести следственный эксперимент: воссоздать обстановку, максимально схожу с той, при которой было совершено преступление и запротоколировать факт модификации — момент, когда произошла дешифрация, и компьютерная информация изменилась в форму, пригодную для понимания обвиняемым. А если обвиняемый «уйдет в 51 статью», тем самым сорвав следственный эксперимент?

Очевидный ответ — провести компьютерно-техническую экспертизу. Но сможет ли она достоверно установить факт дешифровки? Действительно, есть возможность определить расшифрование перехваченного трафика: сведения об этом можно «вытянуть» из жесткого диска или попробовать исследовать функционал вредоносной программы, которая реализует обе фазы MITM-атаки. В то же время и заключение эксперта, и самого эксперта, и сам ход производства судебной экспертизы сторона защиты может подвергнуть критике, не говоря уже о том, что компьютерно-техническая экспертиза может и не ответить на некоторые вопросы ввиду самых разных факторов.

Таким образом, мы обнаруживаем серьезную дистанцию между копированием и модификацией компьютерной информации в контексте доказывания при уголовном проследовании за совершение MITM-атаки. Примечательно то, что MITM-атака — фактически единственное деяние, при котором уголовная ответственность наступает за восприятие (лицезрение) компьютерной информации просто потому, что для этого в любом случае необходимо провести модификацию данных, к которым был осуществлен неправомерный доступ. И в то же время мы должны отметить — установление факта копирования компьютерной информации является благоприятным фактором для стороны обвинения, так как это избавляет ее от производства сложного и, вероятно, непредсказуемого многоступенчатого мероприятия по доказыванию модификации (дешифровки) компьютерной информации.

Поэтому, отсутствие умышленного копирования компьютерной информации, полученной в результате MITM-атаки, является не «отмазывающим» фактором, но значительно усложняющим предварительно расследование по делу. И в определенных случаях дело вполне может усложниться до реального прекращения уголовного преследования.

Подсудимый, получив текстовой файл с логинами и паролями электронных почтовых ящиков, воспользовался некоторыми из них для несанкционированного входа в чужие аккаунты. Далее злоумышленник, используя заранее приготовленный текст, содержащий заведомо ложную информацию о необходимости оказания благотворительной финансовой помощи и сборе средств для лечения малолетнего ребенка, путем перечисления денежных средств на указанный в сообщении номер виртуального счета, осуществил рассылку этого сообщения по электронным адресам, указанным в списке контактов каждого из электронных почтовых ящиков, тем самым — как указывает суд в приговоре — «модифицировав … компьютерную информацию, относительно первоначальной информации, имевшейся в распоряжении каждого из ее обладателей.»

Потерпевшие, с имейлов которых была осуществлена рассылка, давали показания о том, что их логины и пароли были известны только им и никому добровольно не передавались, потому отправка каких-либо писем с их учетных записей для всех них была неожиданностью. Также были допрошены свидетели, которые подтвердили получение писем из рассылки.

Нас особенно интересует момент совершения преступления, которое признается оконченным в момент модификации компьютерной информации: «Своими действиями П.И.ДБ. не только осуществил доступ к охраняемой законом информации, являющейся содержанием электронных почтовых ящиков, но и модифицировал ее, сначала создав в почтовых ящиках электронные письма, а затем отправив их по адресам, указанным в списках контактов». Отправка писем со взломанной электронной почты = модификация компьютерной информации.

Удивительно, но один из аргументов обвиняемого был о том, что электронные почтовые ящики принадлежали не потерпевшим, а владельцу электронного сервиса — Mail.ru Group. Почему данный довод был приведен? Не совсем понятно, на что рассчитывал осужденный (или сторона защиты в целом — из судебных актов не совсем ясно), утверждая, что имейлы — «собственность» владельца сайта. Я могу предположить, что сторона защиты исходила из той теоретической позиции, в соответствии с которой компьютерная информация, указанная в ст. 272 УК РФ, должна напрямую охраняться законом как банковская, налоговая тайна или сведения о частной жизни лица, например. Возможно, защита пыталась уйти от 272-ой статьи через постановку вопроса о принадлежности электронных ящиков, опасаясь того, что компьютерной информацией, охраняемой законом, будут признаны сведения о частной жизни, доступ к которым получил взломщик имейлов.

Но в таком случае суд переиграл защиту в ее же игре: «По смыслу закона охране подлежит именно та информация, которая в той или иной форме содержится в сервисе, сформированном пакетом специализированных программ для ЭВМ, позволяющих визуализировать и представить в объективной форме письма, рассылки, фотографии, иные сообщения, образующие в своей совокупности общепринятое понятие электронного почтового ящика. Именно эта информация, составляющая тайну переписки, охраняется законом, а непосредственно сами программы, посредством которых обеспечивается функционирование такого сервиса, принадлежат организации, занимающейся предоставлением почтовых услуг в сети Интернет».

Суд предсказуемо указал на то, что обвиняемый нарушил тайну переписки. Но и в то же время Постановление Пленума Верховного Суда РФ от 25.12.2018 N 46 «О некоторых вопросах судебной практики по делам о преступлениях против конституционных прав и свобод человека и гражданина» утверждает вот что: «…при рассмотрении уголовных дел о преступлении, предусмотренном статьей 138 УК РФ, судам следует иметь в виду, что тайна переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений признается нарушенной, когда доступ к переписке, переговорам, сообщениям совершен без согласия лица, чью тайну они составляют, при отсутствии законных оснований для ограничения конституционного права граждан на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

Незаконный доступ к содержанию переписки, переговоров, сообщений может состоять в ознакомлении с текстом и (или) материалами переписки, сообщений, прослушивании телефонных переговоров, звуковых сообщений, их копировании, записывании с помощью различных технических устройств и т. п.

Под иными сообщениями в статье 138 УК РФ следует понимать сообщения граждан, передаваемые по сетям электрической связи, например СМС- и ММС-сообщения, факсимильные сообщения, передаваемые посредством сети „Интернет“ мгновенные сообщения, электронные письма, видеозвонки, а также сообщения, пересылаемые иным способом».

Далее мы увидим, что субъектом неправомерного доступа может выступать лицо, формально не имеющее права на доступ к определенной компьютерной информации. Неправомерный доступ — это не всегда взлом или иные «хакерские» действия. Очень часто уголовному преследованию подвергаются те, кто просто в силу действующих «документов» не имел права заходить в аккаунт.

В 2015 году в суд поступило довольно необычное даже по сегодняшним меркам уголовное дело: обвиняемый, осуществив неправомерный доступ к сайту потерпевшего, модифицировал информацию на нем, «…ввиду чего торговля в области строительных материалов и оформления интерьера, которой занимается ЗАО, была нарушена, вследствие снижения популярности сайта в поисковых системах, так как ссылки с ключевыми словами, по которым пользователи находили указанный сайт, были им изменены или удалены».

Итак, первое уголовное дело по SEO в России.

Суд прекратил уголовное дело по реабилитирующим основаниям, поскольку пришел к такому выводу: в действиях осужденного отсутствует как объективная сторона преступления (неправомерный доступ), так и субъективная сторона указанного преступления (умысел на совершение неправомерного доступа). Эти факторы очень легко доказывались: обвиняемый путем удаленного доступа осуществлял администрирование сайта, в том числе его техническое обслуживание и поддержку — подсудимый оказывал услуги по договору, который не был расторгнут. В общем: доступ был правомерен, поскольку предоставлялся по сделке. К сожалению, суд мало чего сказал про «модификацию информации», которая (по мнению потерпевшего) привела к потере высоких позиций в поисковой выдаче — судья просто констатировал, что письменные доказательства, исследованные в ходе судебного заседания и касающиеся обстоятельств модификации информации, подтверждают лишь факт исполнения подсудимым гражданско-правовых обязательств перед потерпевшим.

Данное уголовное дело интересно самим фактом его возбуждения, прохождения стадии предварительного расследования и прокурорского контроля. Как оно вообще дошло до суда? Почему дело не было похоронено еще при рассмотрении заявления о преступлении? Конечно же, существует соблазн вульгарной истерии: представить озлобленного директора ЗАО, который обвиняет привлеченного SEO-специалиста в неудачах компании и дает взятки сотрудникам правоохранительных органов в надежде наказать человека, замешанного в падении выручки акционерного общества. Но не будем поддаваться процессуальному дилетантизму.

«Липа» должна пахнуть деревом, дорогой читатель.

Здесь же аромата «липы» не улавливается: это очередной случай непонимания органами следствия/дознания состава преступления, предусмотренного ст. 272 УК РФ. Правоохранители вновь преподнесли защите подарок. Причина — неразрешенный вопрос о понятии и определении доступа. Хотя, стоит признаться, в данном случае ничего и не надо было разрешать — стоило лишь посмотреть в договор на стадии доследственной проверки.

Подсудимый, работавший специалистом офиса продаж у одного из крупнейших операторов сотовой связи, неправомерно получил сведения из системы управления абонентской базой в отношении 11 абонентов. У 10 из них обвиняемый изменил логины электронной почты, что повлекло модификацию компьютерной информации, и в отношении 1 абонента совершил копирование информации. Вот этот эпизод копирования информации нам особенно интересен.

Работник офиса сфотографировал на свой смартфон персональные данные абонента, которые за вознаграждение отправил неустановленному лицу. Таким образом, копированием компьютерной информации суд признал ее фотографирование. Это сейчас есть «пленум» по киберпреступлениям, признающий копированием перенос имеющейся информации на другой электронный носитель при сохранении неизменной первоначальной информации либо ее воспроизведение в материальной форме (в том числе отправка по электронной почте, распечатывание на принтере, фотографирование, переписывание от руки и прочее). В 2020-ом же году суд, не имея достаточного правового регулирования и надлежащего определения «копирования компьютерной информации», самостоятельно вынес волевое решение, которое вполне укладывалось в современные судебному акту реалии.

Неправомерный доступ к компьютерной информации также может осуществить и уволенный работник: в данном деле при увольнении с сотрудника была снята персональная ответственность за ведение сайта. А уже после расторжения трудовых отношений бывший работник воспользовался логином и паролем для доступа на сайт и удалил оттуда новостную ленту, за что был привлечен к уголовной ответственности по статье 272 УК РФ.

В данном «нехакерском» случае уголовная логика довольно прямолинейна: лишение права на доступ к ведению сайта приводит к тому, что после него любой вход на ресурс в качестве администратора является неправомерным: «…судом обоснованно установлено, что с момента издания приказа N 230 от 1 ноября 2018 года, ФИО перестала быть лицом, имеющим правомерный доступ к администрированию сайта потерпевшего». После реализации неправомерного доступа произошло умышленное деяние, которое повлекло удаление компьютерной информации. Просто и документарно — язык не повернется назвать это «киберпреступлением».

Но что в данном деле интересует нас — защита подняла вопрос о том, что суд не выяснил уровень прав доступа к сайту потерпевшего. Суд же, в свою очередь, не отмахнулся от позиции защиты на основании того, что данное обстоятельство не являлось предметом доказывания по делу. В приговоре указывалось, что доводы защиты признаются несостоятельными, потому что в процессе было установлено, что потерпевшим «…были приняты как правовые, так и технические меры, подразумевающие введение для администрирования сайта логина и пароля, направлены на обеспечение защиты информации от неправомерного доступа и уничтожения».

Отсюда вопрос — значит, фактор принятия потерпевшим мер по защите информации влияет на общественную опасность деяния? Безответственное отношение к кибергигиене может повлечь отсутствие состава/события преступления?

До расторжения брака супруги совместно пользовались интернет-ресурсами в связи с чем делили логины и пароли между собой. После развода бывшая супруга пароли не сменила и каким-либо образом не выразила бывшему мужу запрета на использование аккаунтов, который — с учетом сложившихся между разведенными отношений — воспользовался логинами и паролями только лишь для придания огласке факта о расторжении брака. Вход в соответствующие учетные записи не понравился бывшей супруге, и она не преминула написать заявление в полицию.

Уголовное дело прошло стадии предварительного следствия с направлением дела прокурору и в итоге оказалось в суде. Суд прекратил уголовное дело на том основании, что в деянии отсутствовал состав преступления — оно не повлекло каких-либо общественно опасных последствий: «наступившие последствия являются незначительными…»

И все, вроде, хорошо, но почему суд прекратил уголовное из-за отсутствия в деянии состава преступления, но не из-за отсутствия события преступления как такового в соответствии с ч. 1 ст. 24 УПК РФ? Может, указывая на «незначительность последствий», он тем самым намекал на то, что вход в аккаунт бывшей жены — не самый приятный поступок, конечно, но не преступный, а признакам такого деяния место скорее в КоАПе? В пользу этой гипотезы также говорит тот факт, что среди признаков административного правонарушения (п. 1 ст. 2.1 КоАП РФ) не содержится критерий общественной опасности деяния (являющийся признаком преступления) — указаны противоправность, виновность и прямая запрещенность Кодексом об Административных Правонарушениях.

В то же время представляется само собой разумеющимся то, что запрещенность деяния КоАПом не существует в вакууме. Она должна быть вызвана детерменированием хоть какого какого-либо негатива — не удивительно, что одним из признаков доктрина указывает общественную вредность. Подобный вывод напрашивается сам собой просто из-за того, что вследствие деяния, запрещенного КоАПом, происходит нарушение общественных отношений, что является элементом состава административного правонарушения.

Через 9 лет Верховный Суд в «пленуме» по киберпреступлениям скажет, что неправомерный доступ к компьютерной информации подразумевает под собой отсутствие согласия обладателя информации на доступ к ней или нарушение установленного нормативными правовыми актами порядка доступа. Но разве нельзя было даже в 2013-ом году признать бывшего мужа таким же обладателем информации и прекратить дело за отсутствием события преступления? Таким образом, даже «позитивные» судебные решения по ст. 272 УК РФ являются теоретически очень спорными в некоторых моментах.

«Почему суды не обращались к доктрине, раз на практике возникали столь ощутимые препятствия?» — таким вопросом мог бы задаться любой сколько-нибудь приближенный к праву читатель. Но не все так однозначно и с самой доктриной. Сразу обозначим, что мы во многом будем опираться на монографию «Ответственность за преступления против компьютерной информации по уголовному законодательству Российской Федерации», автором которой является В. Степанов-Егиянц. В данном труде приведена наиболее комплексная систематизация правовых воззрений ученых-юристов на интересующую нас статью.

Анализ субъекта и субъективной стороны состава преступления, указанного в ст. 272 УК РФ, происходит спокойно и предсказуемо. Дискуссии у ученых возникают при определении объекта преступления ст. 272 УК РФ — но ничего радикального в данных дискуссиях нет, тем более что объект рассматриваемого преступления довольно легко ухватываем (хоть, как мы видели по судебной практике, далеко не всегда).

Но реальные страсти разгораются в момент начала обсуждения предмета неправомерного доступа к охраняемой законом компьютерной информации. Далее жар дискуссий перекидывается на объективную сторону состава рассматриваемого преступления, где всплывает «проблема доступа». Также определенные споры присутствовали вокруг понятий «удаление, блокирование, модификация и копирование охраняемой законом компьютерной информации», но многие из представленных точек зрения потеряли актуальность после выхода «пленума» о киберпреступлениях (а некоторые из них и вовсе не были актуальными с момента их обнародования).

Предмет преступления — это элемент материального мира, на который осуществляется воздействие в ходе совершения преступления. То есть при хищении предметом преступления является само похищенное имущество; при разглашении государственной тайны — сведения, составляющие государственную тайну; при убийстве — убитый.

А вот с предметом неправомерного доступа к компьютерной информации с последующими действиями по копированию, блокированию, модификации или уничтожению возникают какие-то проблемы. Одни предлагают считать предметом преступления «данные», напрочь игнорируя, что Федеральный закон N 149-ФЗ под информацией понимает сообщения или данные, т. е. автор позиции просто вычеркивает «сообщения» (в том числе и понимание этого слова в кибернетическом смысле) из предмета преступления ст. 272 УК РФ. Другие утверждают, что предметом преступления ст. 272 УК РФ является сам компьютер, в том числе и как носитель информации. Словно укравшему ноутбук вору вменят ст. 272 УК РФ за неправомерный доступ к охраняемой закону компьютерной информации, который повлек ее блокирование для владельца ноутбука — авторы подобной концепции как раз-таки ошиблись в установлении объекта преступления ст. 272 УК РФ. Третьи считают, что предметом рассматриваемого преступления является «информационная среда» — вследствие чего предмет преступления становится не ухватываемым и не охватываемым.

В монографии Степанова-Егиянца указано, что внутри группы, относящей к предмету неправомерного доступа к компьютерной информации саму компьютерную информацию (как, в общем, прямо и указано в ст. 272 УК РФ), выделяется несколько направлений научной полемики вокруг следующих вопросов:

I. Какая компьютерная информация является предметом преступления, предусмотренного ст. 272 УК РФ: только охраняемая законом либо любая компьютерная информация?

II. Применима ли к компьютерной информации категория собственности?

III. Имеет ли компьютерная информация цену и, если имеет, влияет ли ее цена на привлечение к уголовной ответственности?

А вот на данных вопросах мы остановимся поподробнее. И наша цель не просто дать ответ на них, а установить состояние доктрины уголовного права в секторе преступления, регламентированного ст. 272 УК РФ, через поиск ответов.

В монографии Степанова-Егиянца явно прослеживается, что подавляющее большинство представителей доктрины определяют предметом преступления, указанного в ст. 272 УК РФ, не любую информацию, находящуюся в компьютерной форме, а только охраняемую законом. Охрана такой информации должна быть прямо указана в тексте закона. Таким образом, предметом преступления по ст. 272 УК РФ могут быть исключительно государственная, налоговая, банковская, адвокатская, нотариальная, служебная, коммерческая и врачебная тайны; персональные данные (в определенных, получается, лишь случаях) и тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений. Таким образом, в российском законодательстве содержится около 30 видов информации с ограниченным доступом, и именно эти виды информации являются (по мнению ученых) предметом преступления, указанного в ст. 272 УК РФ.

Но в еще 2006 году Айсамов Руслан Мухамедович высказал смелое и несвоевременное (для широких кругов доктрины) заявление: неохраняемой информации в современном информационном поле в условиях постинформационного общества просто не существует, вследствие чего применение к компьютерной информации категории «охраняемой законом» не имеет ни малейшего смысла. Более того, эту категорию можно было бы удалить из тектса диспозиции ст. 272 УК РФ, и это не привело бы к расширению границ этой статьи, а, напротив, позволило бы более полно охватить уголовно-правовой охраной информацию, ограниченную законом или собственником в полном доступе. Степанов-Егиянц указывает, что позиция Айсамова перекликается с высказанной в 1997 году позицией Ю. Гульбина, который считает понятие «охраняемая законом компьютерная информация» расплывчатым: мол, неохраняемой информации практически нет, так как если информация не является объектом охраны одного из законодательных актов, то, как правило, она становится объектом охраны другого.

Но позиции Айсамова и Гульбина не перекликаются. Более того, Гульбин вполне относится к подавляющему большинству теоретиков, ратующих за «охраняемую законом информацию» — он лишь утверждает, что среди 30-ти тайн всегда можно найти подходящую. Подход Айсамова более радикальный — Айсамов концептуально не признает «списка 30-ти тайн». Ему не нужно прямого указания на охрану информации в законе. Он просто не видит такой бреши в правовой ткани, при которой обладатель компьютерной информации не мог бы защитить ее или своих прав на нее.

Но Степанов-Егиянц отметает логику Айсамова, и… де-факто прибегает к ней далее, чтобы обосновать свою позицию о том, что взлом аккаунта — преступление. Автор монографии пишет следующее: «…регистрационные данные признаются информацией, охраняемой законом, и этого достаточно для квалификации доступа по ст. 272 УК РФ». Но где регистрационные данные признаются информацией, охраняемой законом? В каком законе? Где это указано прямо (на момент выхода данного очерка)? Айсамов бы сказал, что совокупность положений Части первой ГК РФ и Федерального Закона «Об информации, информационных технологиях и о защите информации» полностью покрывает «необходимость» в правовой охране предмета преступления в данном случае.

Конечно, взлом аккаунта не мог бы быть преступлением по доктрине «списка 30-ти тайн». Да и Степанов-Егиянц все же чуть-чуть это признает: «…в момент, когда обладатель компьютерной информации ограничивает к ней доступ или определяет его порядок, она начинает приобретать требуемое качество охраняемой законом в понимании ст. 272 УК РФ» — но далее заявляет: «В случае если обладатель компьютерной информации не реализовал свое право на ограничение доступа к информации, то и рассматривать ее как охраняемую законом оснований не имеется». То есть автор монографии соглашается с тем, что стороны лицензионного договора, например, могут установить, что определенные сведения об аккаунте являются ограниченными, и тем самым аккаунт станет предметом преступления, указанного в ст. 272 УК РФ. Но если в соглашении между сторонами не будет оговорки об ограничении, то и состава не будет — т. е. Степанов-Егиянц все еще пытается реанимировать «список 30-ти тайн», умерщвленный Айсамовым.

Удивительно куда идет текст монографии далее: автор указывает на то, что, мол, а компьютерная информация общего пользования-то не защищена! «Государство берет под свою охрану совокупность общественных отношений по правомерному и безопасному использованию не любой компьютерной информации, а только той, которая находится под защитой закона». Тогда почему автор поддерживает применение ст. 272 УК РФ в отношении DDoS-атак? Далее — но ведь общедоступной компьютерной информации всегда предшествует компьютерная информация с ограниченным доступом: покушение на общедоступную компьютерную информацию всегда происходит через DDoS-атаки, взломы и иные действия, которые квалифицируются по ст. 272 УК РФ. Потому что обладатель общедоступной компьютерной информации манипулирует ей через компьютерную информацию с ограниченным доступом.

В итоге — Руслан Мухамедович Айсамов был пророчески прав. Доктрина «30-ти тайн» не является актуальной на сегодняшний день. Желание представителей доктрины сделать из ст. 272 УК РФ состав-дубляж-двойник статей, наказывающих за неправомерный доступ и манипуляцию с тайнами, к счастью, не нашло воплощения — ученые не раз указывали на то, что суды принимают за охраняемую законом компьютерную информацию сведения, не входящие в «список 30-ти тайн». А все дело в том, что и Айсамов, и суды прибегли к своей логике исходя из современного информационного строя и перелома в конъектуре преступлений — доктрина «списка 30-ти тайн» не отвечает данным обстоятельствам, а логика Айсамова и судов является абсолютно правомерной в юридическом смысле этого слова.

Тем более, что только лишь заявление Айсамова прошло проверку временем: «пленум» по киберпреступлениям указал, что охраняемой законом компьютерной информацией является «…как информация, для которой законом установлен специальный режим правовой защиты, ограничен доступ, установлены условия отнесения ее к сведениям, составляющим… тайну …, установлена обязательность соблюдения конфиденциальности такой информации и ответственность за ее разглашение; так и информация, для которой обладателем информации установлены средства защиты, направленные на обеспечение ее целостности и (или) доступности».

Первый из фундаментальных вопросов по ст. 272 УК РФ доктрина откровенно провалила даже просто из-за того, что он как таковой был поставлен. Как дела с другими вопросами?

У любого цивилиста данный вопрос вызовет разве что негодование, недоумение или раздражение, но уж точно не желание всерьез вступать в дискуссию. И когда подобное в доктрине относят к фундаментальным проблемам определенного подинститута, начинаешь невольно задумываться: «А все ли хорошо с этой доктриной?»

Степанов-Егиянц утверждает, что «…действующее законодательство под обладателем информации понимает лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. С нашей точки зрения, из формулировки статьи следует, что категория „обладатель информации“ объединяет в себе категорию „собственник информации“ и категорию „владелец информации“». Но автор монографии никак не обозначает ход мысли, который привел его к такому умозаключению.

В действующем законодательстве «собственник» — субъект исключительно лишь вещного права. Только у имущества есть «собственник». В отношении определенных других объектов — результатов интеллектуальной деятельности и средств индивидуализации, а также имущественных прав — применяется категория «правообладатель», т. е. лицо обладает определенными правами на что-либо, что не делает его собственником в данном случае.

Например, в соответствии со ст. 128 ГК РФ, безналичные деньги признаются имущественными правами, а не имуществом. Отчего «безнал» не может быть объектом права собственности, и у него не может быть собственника. У безналичных денег (т.е. у имущественных прав) есть только «правообладатель» — лицо, имеющее право на право. Нет собственника и у интеллектуальной собственности, как бы мы не хотели угодить в подкинутую языковую ловушку, а есть «правообладатель». «Обладатель» в юриспруденции — прагматический конструкт категории «субъекта права», не имеющий моновалентной связи с каким-либо одним институтом права или с какой-либо отраслью права.

Конечно, Уголовный кодекс РФ в некоторых своих нормах уровнял имущество и имущественные права: например, хищение чужих наличных денег или безналичных средств путем обмана или злоупотребления доверием будет одинаково квалифицированно в качестве мошенничества (ст. 159 УК РФ). И это верное решение законодателя: создание отдельных составов, охватывающих преступную перемену правообладателя, — излишне и неоправданно.

Но даже если бы вдруг теория уголовного права так радикально отдалилась от цивилистической доктрины — какой смысл введения категории «собственника информации»? Что это изменяет? Вместо «копирования компьютерной информации» ввелось бы «хищение компьютерной информации»? К чему вообще в доктрине была поставлена такая проблема? Какие механизмы решения правовых проблем она способна запустить? Какие проблемы она способна обнаружить или решить?

Но в монографии Степанова-Егиянца далее указывается: «Представляется, что после введения в действие ФЗ „Об информации, информационных технологиях и о защите информации“ для привлечения к уголовной ответственности необходимо определить, был ли нарушен установленный режим доступа к информации. Вопрос о том, кто является субъектом права собственности компьютерной информации, становится в рамках существующего закона менее существенным». Словно данный вопрос когда-либо вообще был существенным. А из проанализированных выше судебных решений нам известно, что суды как раз-таки и занимались установлением факта нарушения режима доступа к информации. Это, очевидно, следует из текста диспозиции ст. 272 УК РФ: раз «неправомерный доступ» является элементом объективной стороны, следовательно, «неправомерность» доступа — нарушение установленного режима доступа к информации — необходимо установить и доказать.

Суды вообще не имели этой проблемы — она существовала только в области доктрины. И если прошлый вопрос доктрина провалила, то этот вопрос был выпущен в «никуда».

«Имеет ли компьютерная информация цену?» — вопрос не актуальный даже на время написания монографии, не говоря уже о времени опубликования настоящей статьи. Но как указано у Степанова-Егиянца, вокруг данного вопроса «идет полемика». Некоторые представители доктрины считают, что элемент «ценности» компьютерной информации является обязательным признаком предмета преступления, указанного в ст. 272 УК РФ.

Автор монографии, в свою очередь, утверждает, что ценность информации не может влиять на отнесение компьютерной информации к предмету преступления, регламентированного ст. 272 УК РФ. И мы с ним соглашаемся. Но далее в тексте монографии указывается: «Полагаем, что ценность информации следует определять ее обладателю».

Но едва ли это на что-то влияет или должно влиять. И не совсем понятно, чего хочет добиться Степанов-Егиянц этой ремаркой. Ведь она намекает на то, что преступность деяния по неправомерному доступу к компьютерной информации с последующими ее удалением, копированием, блокированием или модификацией возможно было бы поставить в зависимость от причиненного субъективного экономического ущерба.

Не хотелось бы видеть что-то подобное в УК РФ. Не хотелось бы перетаскивания в статью 272 извечных проблем статей 146 (Нарушение авторских и смежных прав) и 147 УК РФ (Нарушение изобретательских и патентных прав), а именно — сложности оценивания причиненного вреда потерпевшему. Не хотелось бы «отказов» и «висяков», вызванных проблемами (в том числе бюрократическими) при оценивании информации. Уж тем более, что все свыклись с той банальностью современного мира, в соответствии с которой абсолютно любая информация очень ценна рекламной индустрии — т. е. ценность зависит от потенциального фактического обладателя информации.

Итак, 3 фундаментальных вопроса доктрины по составу преступления, указанного в ст. 272 УК РФ. Ни один из них не является релевантным. Ни один из них ни разу не поднимался на практике. Ни один из них не влияет на практику. Дискуссии вокруг этих вопросов не носили потенциально-реформаторского характера. Французский философ Жиль Делез не раз указывал на то, что существуют не только верные или неверные решения проблем, но еще и верные и неверные проблемы. И через такой угол обзора мы можем определить, что в сфере киберпреступности доктрина российского уголовного права наставила ряд неправильных проблем.

Почему же суды выносили такие разношерстные акты? Потому что они не могли в полной мере опереться на доктрину. Потому что судьям, работавшим «на земле» в условиях информационного общества 2010−2020-х годов, была очевидна нерелевантность доктрины. Многие судебные решения по ст. 272 УК РФ содержат больше развернутой аргументации, чем научная литература.

В то же время доктрина никогда не высказывала мнения «доступ = возможность доступа», к которому пришел в суд в перовом деле о DDoS-атаке. Совсем наоборот — юристы-теоретики критиковали даже вероятность подобного понимания категории неправомерного доступа к компьютерной информации. Вообще, мы легко можем заметить влияние доктрины конца 90-х годов на становление судебной практики по киберуголовным делам. Но в какой-то момент доктрина просто прекратила отвечать общественно-информационному укладу и потребностям правоприменения.

Поэтому не удивительно, что в 2006 году появился Айсамов со своим заявлением о том, что «охраняемая законом информация» — бесполезный пережиток прошлого, играющий роль сувенира в УК РФ. Поэтому суды и начали руководствоваться логикой Айсамова, а им в ответ со стороны окаменелой «науки» посыпались обвинения в том, что судебная власть не придерживается необходимого правового формализма при применении категории «охраняемая законом информация».

Когда законодатель игнорировал серьезный пробел, а доктрина наслаждалась собственными фантазмами, судам приходилось выкручиваться самостоятельно. Судебная практика по ст. 272 УК РФ формировалась отдельно от доктрины — неудивительно, что подавляющее большинство научной литературы с 2015-го года больше похоже на обзорные материалы по приговорам, преследующие цель нащупать status quo. Судам приходилось самостоятельно разрешать проблемы в отношении квалификации DDoS-атак, MITM-атак, взломов электронных почтовых ящиков и аккаунтов. Поэтому судебная мысль по уголовно-правовому аспекту киберпреступности кристаллизировалась в отдельную самостоятельную сферу знания.

Под конец 2022-го года вышло Постановление Пленума Верховного Суда РФ № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть „Интернет“». Тот самый долгожданный «пленум».

Он решил множество важных для применения ст. 272 УК РФ вопросов: раскрылось понятие неправомерного доступа. Объяснялась категория «охраняемая законом компьютерная информация». Были даны определения понятий копирование, блокирование, модификация и уничтожение компьютерной информации. Все это давно и страстно ожидалось. В то же время на «пленум» как на определенное событие в современном российском уголовном праве можно смотреть двояко.

С одной стороны — потребность в «пленуме» по киберпреступлениям стала остро ощущаться после первого дела о «дудосе», то есть за лет 10 до выхода. Также потребность в разъяснении правовых норм, регламентирующих преступления в сфере компьютерной информации, возникла после одного печально известного уголовного дела по 273-ей статье: в приговоре суд признал базовый софт MacOS вредоносной программой — об этом мы поговорим в отдельной публикации про ст. 273 УК РФ. Но ведь и это дело расследовалось и рассматривалось примерно в то же время, что и первое дело о DDoS-атаке и рассмотренное выше дело о «политическом DDoS-е». Реальная потребность в «пленуме» появилось в первые годы систематического применения норм ст. 272 УК РФ и ст. 273 УК РФ.

В конце концов, необходимость «пленума» диктуется актуальным мироустройством, в котором киберпреступления уже не воспринимаются в качестве чего-то из ряда вон выходящего. Мы привыкли к продажам слитых баз данных. Ко взломам, к уводам аккаунтов и перехватам переписок. К DDoS-атакам. Более того, многие в своей жизни не раз использовали программы, которые УК РФ называет «вредоносными». Кардинг и фишинг банализировались и ужились с более традиционными формами хищения. Сфера кибербезопасности становиться неотъемлемой частью современной экономики. Многие кибербез-компании эмитируют акции и размещают их на фондовых биржах. «Бумаги» кибербеза рассматриваются как интересное и перспективное вложение, формируются ETF’ы и ПИФы бумаг этого сектора.

И вот под конец 2022-го года он вышел. С огромным запозданием, но вышел. За плечами у «пленума» — гора самой хаотичной, безумной и невразумительной судебной практики. И вот он здесь. Да, «пленум» заострил внимание на многих недочетах и недосказанностях законодательного запрета киберпреступности. Он пролил свет на темные углы. Добавил цвета в серые зоны. Он никак, правда, не повлиял на квалификацию DDoS-атак. Да и выйти он должен был бы в году так 2015-ом или 2017-ом… В 2018-ом уж на крайний случай. Но ведь все-таки «пленум» появился, так же? Он хоть унифицирует судебную практику, направит ее. Доктрина поставит новые проблемы и отбросит нерелевантные и бессмысленные старые дискуссии. А после возникновения новых проблем «пленум» будет дополнен и исправлен — настоящее динамичное развитие института уголовной политике в сфере киберпреступности! Ведь так?

Это, скорее, позитивно-оптимистический взгляд на Постановление Пленума Верховного Суда РФ № 37.

С другой стороны — этого «пленума» не должно было быть. Вместо него стоило бы развернуть существенную комплексную уголовно-правовую реформу по киберпреступности. Хотя стоит признаться, что такая реформа должна была проводиться в 2017—2019 годах. Реформа бы учла DDoS-атаки, даркнет маркеты, сливы персональных данных, программы-вымогатели (С.И. Стяжкина очень верно отмечает недостаточность урегулирования кибервымогательства) и многие другие сферы киберпреступности, с которыми современный УК РФ взаимодействует с большой судебной натяжкой. И, представляется, в 2022-ом году вышел бы уже совсем другой «пленум» — с разъяснениями более продуманных и системных норм. Если бы в нем вообще была необходимость.