Адвокат Александр Станишевский


Статья 273 УК РФ: Компьютерные Вирусы & Вредоносное ПО

Что УК РФ понимает под вредоносной программой и какое наказание грозит за создание, использование и распространение компьютерных вирусов
Оглавление
Ст. 273 УК РФ выполняет функцию уголовного запрещения создания, оборота и использования вредоносных компьютерных программ — тех самых «вредоносов». Диспозиция данной нормы ставит вне закона создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
Тут отметим, что в определенных случаях использование и создание «вредоносов» не является преступлением: в соответствии с п. 12 Постановления Пленума Верховного Суда Российской Федерации № 37 от 15 декабря 2022 г. «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть „Интернет“» допускается использование malware индивидом на принадлежащих ему устройствах либо с согласия собственника устройства при отсутствии цели неправомерного доступа к охраняемой законом компьютерной информации и без совершения несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты. «Пленум по киберпреступлениям» приводит пример легальной эксплуатации вредоносных программ в образовательных целях и в целях тестирования компьютерных систем для проверки уязвимости средств защиты компьютерной информации, к которым у соответствующего лица имеется правомерный доступ.
В целом и в общем говоря, мы понимаем, что любые легальные действия субъектов индустрии защиты информации и кибербезопасности находятся в правовом поле, пока имеется согласие владельца информации и (или) собственника компьютерного устройства на доступ к компьютерной информации и манипулирование ей. Но может произойти так, что подобные легальные деяния могут, скажем, выйти из-под контроля и затронуть права и свободы непричастных к «кибербезу» лиц. Например, созданный при соблюдении п. 12 «пленума по компьютерным преступлениям» «вредонос» используется одним из сотрудников вне своих трудовых обязанностей с целью причинения вреда иным лицам — такое деяние будет содержать признаки объективной стороны преступления, предусмотренного ст. 273 УК РФ, и сотрудник будет привлечен к уголовной ответственности именно за этот эпизод, в то время как действия по созданию, распространению и использованию тестового «вредоноса» не могут квалифицироваться в качестве преступлений, даже если один из сотрудников преступно решил самовольно использовать написанное ПО.
Субъект преступления общий — вменяемое физическое лицо, достигшее 16-ти лет. Субъективная сторона преступления, указанного в п. 273 УК РФ, характеризируется наличием прямого или косвенного умысла — категория «заведомость», применяемая в диспозиции ст. 273 УК РФ, указывает на то, что несанкционированное уничтожение, блокирование, модификация, копирование компьютерной информации или нейтрализации средств защиты компьютерной информации должны происходить именно умышленно. Объект преступления — общественные отношения, обеспечивающие безопасность в области поиска, получения, передачи, создания, распространения и защиты компьютерной информации.
Объективная сторона выражается в создании, использовании или распространении «вредоноса». Создание вредоносной компьютерной программы — деятельность по написанию хотя бы одной копии malware как с нуля, так и при переработке иной компьютерной программы, изначально не предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, но приобретающей такой функционал в результате личного авторского вмешательства субъекта в код изначального продукта. П. 10 «пленума по киберпреступлениям» разъясняет, что для признания преступления оконченным достаточно установить создание части (фрагмента) кода вредоносной компьютерной программы, позволяющего осуществить неправомерный доступ к компьютерной информации. В таком случае, если еще не было завершено создание вредоносной компьютерной программы, действия субъекта преступления подлежат квалификации как создание иной вредоносной компьютерной информации.
Использование вредоносной компьютерной программы считается совершенным при установлении наличия факта применения maleware с последовавшим умышленным уничтожением, блокированием, модификацией, копированием компьютерной информации или нейтрализации средств ее защиты. Распространение «вредоносов» выражается в предоставлении доступа к ним конкретным лицам или неопределенному кругу лиц абсолютно любым способом.
Итак, вооружившись некоторыми вводными данными, позволим себе отметить один важный момент: основные проблемы уголовно-правового регулирования киберпреступности в России и общее состояние данной сферы мы охарактеризовали в нашей публикации касательно 272-ой статьи УК РФ. Ст. 272 УК РФ применяется чаще других, и не затронуть ее — в том числе и в целях проведения сравнения применения статей 272 и 273 УК РФ — не получится. В вышеуказанном очерке мы наметили некоторую картографию проблем, пронизывающих все «составы киберпреступлений», поэтому особенно останавливаться на них более не станем, а просто будем держать в уме при анализе правового регулирования или правоприменения. Тем более, что в ст. 273 УК РФ также всплывает досконально изученная нами «проблема доступа», существенно играющая на обстоятельство создания правовой неопределенности при применении норм ст. 272 УК РФ. Но обо всем по порядку.

273 УК РФ и ее совместимость

Рассматриваемая нами норма регулирует исключительно создание и эксплуатацию компьютерной информации, намеренно созданной для указанных в законе целей. Более данная норма ничего не регламентирует — ее действие заканчивается сразу после совершения одного из трех актов выражения описанной нами объективной стороны. Определенное исключение составляет только квалифицирующий признак, указанный в ч. 3 ст. 273 УК РФ — наступление тяжких последствий, под которыми в п. 14 «пленума по киберпреступлениям» понимается длительная приостановка или нарушение работы предприятия, учреждения или организации; получение доступа к информации, составляющей охраняемую законом тайну; предоставление к ней доступа неограниченному кругу лиц; причинение по неосторожности смерти, тяжкого вреда здоровью хотя бы одному человеку и так далее — на самом деле тут говорится о явлениях, которые охватываются иными составами преступлений, регламентированных в Уголовном кодексе РФ. Но тем не менее, в данном случае существует определенное рамочно-правовое ограничение фактором регламентированного взаимодействия с «вредоносом».
Поэтому в судебной практике ст. 273 УК РФ не так часто применяется в одиночестве.
Самая верная пара 273-й — 146-ая УК РФ. В нашей публикации по теме статьи 146 УК РФ мы уже говорили о том, что нередко можно увидеть применение статей 146 и 273 УК в совокупности — это объясняется применением определенных IT-решений для свободного несанкционированного использования объектов авторского права. В подобных делах ст. 273 УК РФ покрывает как раз обстоятельство применения какого-либо софта, позволяющего использовать ПО нелегально. То есть в таком случае вредоносными признаются любые программы, которые позволяют обходить средства блокировки (1−210/2024) и генерировать ключи для активации компонентов (1−1033/2023).
В том случае, если при использовании «вредоноса» произошел несанкционированный доступ к охраняемой законом компьютерной информации, в результате реализации которого совершались уничтожение, блокирование, модификация или копирование компьютерной информации, то субъекту предъявят обвинение еще и по ст. 272 УК РФП: п. 15 «пленума по киберпреступлениям» разъясняет, что если вредоносная компьютерная программа использовалась для осуществления неправомерного доступа к компьютерной информации, и это повлекло наступление последствий, предусмотренных частью 1 статьи 272 УК РФ, то действия лица подлежат квалификации по совокупности преступлений, предусмотренных соответствующими частями статей 272 и 273 УК РФ.
Дело № 1−637/2023 — пример не только привлечения по ст. 273 УК РФ из-за создания, использования и распространения инструментов фишинга, но и работы статей 273 и 159 УК РФ в дуэте. Фабула: осужденный создал программные коды, относящиеся к категории компьютерных программ, обладающих признаками вредоносного программного обеспечения, предназначенных для использования в качестве WEB-страниц и программных компонентов фишинг-сайта, с целью дальнейшего несанкционированного копирования компьютерной и платежной информации банковских карт. После чего обвиняемый запустил соответствующий веб-ресурс, на котором разместил созданные им «вредоносы» и в результате фишинга успешно получил сведения о банковских картах нескольких граждан. Чуть позднее гражданин отправил другому лицу созданную им вредоносную программу через Telegram, что суд квалифицировал в качестве распространения (под которым «пленум по киберпреступлениями» понимает предоставление доступа к malware конкретным лицам или неопределенному кругу лиц любым способом, включая продажу, рассылку, передачу копии на электронном носителе либо с использованием сети «Интернет», размещение на серверах, предназначенных для удаленного обмена файлами). За хищение денежных средств посредством фишинга фигурант дела был осужден по ч. 2 ст. 159 УК РФ.
Совокупность «159-ой» и «273-ей» также фигурирует в делах, в фабуле которых отражается, что оператор сотовой связи понес убытки из-за переконфигурирования настроек USB-модемов в целях намеренного искажения информации, передаваемой оператору сотовой связи — делается это для существенного снижения стоимости использования интернета (один из примеров — приговор Свердловского районного суда г. Костромы по делу № 1−253/2023; такие уголовные дела в своей массе довольно однотипны).
Также отметим ситуацию, при которой «вредоносы» используются при атаке на объекты критической информационной инфраструктуры. Как указывает в п. 13 «пленум по компьютерным преступлениям» использование вредоносных компьютерных программ в целях неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации (в том числе и в случае, когда осуществляется распространение этих программ на объекты критической информационной инфраструктуры исключительно для их последующего использования) полностью охватывается частью 2 статьи 274.1 УК РФ и дополнительной квалификации по статье 273 УК РФ не требует. Таким образом, ст. 274.1 (которую мы также в последующем разберем, конечно же) в определенном смысле является самостоятельным и монолитным составом, объективная сторона которого не позволяет применять составы иных «компьютерных преступлений» в совокупности, когда объектом посягательства субъекта выступала критическая инфраструктура РФ.
Статья 273 УК РФ может также применяться в совокупности со ст. 158 УК РФ — например, при использовании «вредоносов» для кардинга или взлома мобильных банков с последующим хищением денег при наличии фактора удаления, блокирования, копирования или модификации полученной компьютерной информации. Разработка и применение специального ПО для изготовления поддельных платежных поручений (и иных средств платежей) также может образовывать «тандем» из статей 187 и 273. Нередко в судебной практике встречается 273-я в паре со ст. 159.6 УК РФ (Мошенничество в сфере компьютерной информации): например, при эксплуатации программ, осуществляющих скрытую установку на персональные компьютеры пользователей, заражение их в последующем путем вмешательства в работу установленных в ПК прикладных бухгалтерских программ и программ дистанционного банковского обслуживания с похищением денежных средств с банковских счетов (Кассационное определение Третьего кассационного суда общей юрисдикции от 21.10.2021 по делу N 77−2272/2021).
Ст. 273 УК РФ может применяться в совокупности даже с такими составами преступлений, как неправомерное завладение автомобилем или иным транспортным средством без цели хищения (ст. 166 УК РФ) и умышленное уничтожение или повреждение имущества (ст. 167 УК РФ).
Таким образом, мы видим: норма ст. 273 УК РФ самостоятельно применима практически к любой ситуации, в которой фигурирует создание, использование или распространение вредоносной программы. Очевидно, что именно фактор «вредоноса» является центральным при квалификации деяния по 273-ей статье УК РФ. Первый вопрос, на который необходимо ответить следователю при возбуждении уголовного дела по факту киберпреступления: «Представлено ли в совершившемся событии фигурирование вредоносной компьютерной программы?» И тут сразу встает проблема определения задействованных элементов компьютерной информации (ПО, базы данных, файлов с командами) как того самого malware — в законодательном массиве Российской Федерации отсутствует список, перечень или реестр «вредоносов», как это представлено в отношении наркотических средств и психотропных веществ.

Что понимать под вредоносной программой?

Что сразу бросается в глаза при анализе ст. 273 УК РФ, так это то, что «вредоносом» является компьютерная программа или иная информация.
В соответствии с п. 8 «пленума по киберпреступлениям» к иной компьютерной информации, заведомо предназначенной для несанкционированных блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты, могут быть отнесены любые сведения, которые, не являясь в совокупности компьютерной программой, позволяют обеспечить достижение целей, перечисленных в части 1 статьи 273 УК РФ — в пример приводятся ключи доступа, позволяющие нейтрализовать защиту компьютерной информации, а также элементы кодов компьютерных программ, способных скрытно уничтожать и копировать информацию. Мы бы еще сюда отнесли базу данных (или иной информационный объект), который осуществляет свои вредоносные функции при взаимодействии с нормальным легальным софтом.
УК РФ дает следующие признаки «вредоноса»:
  • программа для ЭВМ или любые сведения (сообщения или данные) в электронно-цифровой форме, функционал которых, не образовывая собой программу для ЭВМ, позволяет достичь целей, отнесенных в ч. 1 ст. 273 УК РФ к присущим вредоносным программам;
  • существование или создание с умыслом причинения категорий вреда, прямо указанных в диспозиции ст. 273 УК РФ;
  • цель при эксплуатации — несанкционированное уничтожение, блокирование, модификация, копирование компьютерной информации или нейтрализации средств ее защиты.
Вредоносность программы устанавливается по обладанию предмета преступления всеми указанными признаками — т. е. «вредонос» представляет собой сконфигурированный в любой форме продукт компьютерной информации, созданный с целью несанкционированного уничтожения, блокирования, модификации, копировании компьютерной информации или нейтрализации средств защиты компьютерной информации.
Например, программа RedLine, использование которой отразилось в приговоре Череповецкого городского суда Вологодской области по делу № 1−660/2023: подсудимый распространил файл — скрипт для игры «Roblox» — с соответствующим вирусом, после чего получал доступ к информации на компьютерах пользователей. С помощью такой схемы гражданин «захватил» 25 аккаунтов, которые впоследствии продал за 2 600 рублей. Дело рассматривалось в особом порядке: подсудимого признали виновным в совершении преступления, предусмотренного ч. 2 ст. 273 УК РФ, и он получил 1 год условно.
В судебной практике можно найти дела привычного «взлома» (дело № 1−226/2023 в Пролетарском районном суде г. Тулы): обвиняемый установил malware и: «…, руководствуясь соображениями любопытства и совершенствования собственных навыков владения программным обеспечением, с целью последующего просмотра видеоизображений с камер видеонаблюдения и веб-камер персональных компьютеров других пользователей сети „Интернет“…осуществил подбор регистрационных данных (логин и пароль) к оконечному оборудованию пользователей сети „Интернет“, путем совершения компьютерных атак на не менее 24 IP-адреса, методом перебора логино-парольных комбинаций». Подсудимый следил за разными людьми, делал скриншоты и использовал функционал записи экрана. Поэтому наравне с составами статей 272 и 273 УК гражданину вменяли еще и ст. 137 УК РФ за нарушение неприкосновенности частной жизни, так как осужденный незаконно собрал сведения о частной жизни лиц, составляющие личную тайну, без их согласия. Подсудимый вину признал, заявил ходатайство о рассмотрении дела в особом порядке и в итоге получил штраф размером 80 000 рублей.

Malware от Apple и сложности задумки автора

В соответствии с п. 8 «пленума по компьютерным преступлениям» уголовную ответственность по статье 273 УК РФ влекут действия по созданию, распространению или использованию только вредоносных компьютерных программ либо иной компьютерной информации, то есть заведомо для лица, совершающего указанные действия, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. Однако до появления «пленума по киберпреступлениям» судебная практика породила несколько примеров того, как вредоносной признавалась программа, которая изначально и не задумывалась в качестве таковой — она не является «вирусом», но тем не менее использовалась именно в качестве орудия кибератаки.
Например, в Кассационном определении Седьмого кассационного суда общей юрисдикции от 13.07.2021 N 77−2660/2021 усматривается, что осужденный использовал вполне легальную Ammyy Admin — систему удаленного доступа и администрирования. Проблема заключалась в том, что субъект поставил эту программу на платежные терминалы, принадлежавшие иному лицу. Поэтому суд заключил, что осужденный несанкционированно, без уведомления пользователя и скрытно от него, установил программное обеспечение «Ammyy Admin», обладающее признаками вредоносности и способностью причинить реальный вред компьютерной информации.
Есть еще и более радикальный пример — в нашумевшем деле вредоносной программой была признана одна из базовых «родных» программ MacOS, авторства знаменитой Apple Inc.
Топ-менеджмент акционерного общества обнаружил эпизоды несанкционированного доступа к конфиденциальной компьютерной информации и инициировал служебную проверку по факту утечки информации. После выявилось, что с компьютеров ряда сотрудников и руководства компании было скопирована информация с помощью установленного программного обеспечения, которое само по себе не являлось вредоносным. Оно имелось в свободной продаже и предназначалось для защиты компьютерной информации, в том числе с возможностью скрытого наблюдения за пользователями этих компьютеров. Программу и ее данные впоследствии удалили. Только системный администратор в АО знал уникальный внутренний адрес сетевого хранилища организации, где в ходе проверки обнаружили структурированные папки-досье на компанию и работников (финансовая отчетность, служебные документы, копии паспортов и личных документов сотрудников), которые не должны были там храниться. Об обстоятельствах установки такого ПО никто из пользователей компьютеров, включая руководителей, не знал. Также в ходе проверки обнаружилось, что без ведома руководства на их персональных компьютерах была активирована программа, позволяющая делать резервные копии информации, к которой имелся удаленный доступ, на внешнее устройство для хранения информации, принадлежавшее системному администратору организации. Вскоре после подготовки отчета по результатам проверки, сисадмин уволился, и на него завели уголовное дело (обстоятельства описаны в Апелляционном постановлении Московского городского суда от 09.02.2017 по делу N 10−244/2017).
Интересно, что в заключении эксперта в данном деле говорится о факте сбора и хранения информации, содержащейся на компьютерах сотрудников акционерного общества с использованием (в том числе путем удаленного доступа к закрытым сетевым ресурсам компании) штатного средства операционных систем фирмы «Apple», а также двух иных программ, предназначенных их производителями для обеспечения информационной безопасности. Эксперт заявил, что данный софт является системой нового на тот момент поколения, допускающей наблюдение за деятельностью сотрудников, контроль их действий и блокировку потенциально опасных путей утечки конфиденциальной информации. Отмечалось, что ПО было активировано лицом с привилегированными правами доступа, имеющим специальные познания в области компьютерной техники, и настроено оно было таким образом, что со всех ноутбуков руководства компании информация копировалась на подключенное в локальную сеть внешнее сетевое хранилище, а информация с компьютеров сотрудников собиралась на дисках в специальные папки, созданные не самими пользователями, а иным лицом.
Но нигде эксперт не намекал на то, что обычная программа MacOS компьютера Apple является тем самым malware. Очевидно, фактор «заведомости» здесь отсутствовал. Но суд первой инстанции понял это по-своему и привлек обвиняемого к ответственности по ч. 1 ст. 273 УК РФ.
Апелляция с этим не согласилась и указала: «По смыслу ст. 273 УК РФ под вредоносными программами очевидно понимаются программы, известные как компьютерные вирусы, то есть такие программы, которые специально созданы в целях нарушения нормального функционирования компьютерных программ для достижения преступных результатов, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации. Как установлено в суде первой инстанции, используемые … компьютерные программы ведущих мировых производителей, были созданы и предназначены не для заведомо несанкционированного доступа к компьютерной информации, а для ее защиты… Таким образом, указанные выше программы не могут быть признаны вредоносными».
После этого суд апелляционной инстанции приходит к верному выводу о необходимости переквалификации деяния осужденного с ч. 1 ст. 273 УК РФ на ч. 1 ст. 272 УК РФ. Что неудивительно — обвиняемый неправомерно получил доступ к компьютерной информации вполне легальными программами, после чего скопировал эту информацию самым обычным софтом. Неправомерным такой доступ является только из-за отсутствия согласия обладателей конфиденциальной информации (пользователей компьютеров, на которых были установлены средства защиты — коды доступа и пароли) на проникновение в источник информации с применением средств компьютерной техники, позволяющих использовать полученную информацию и копировать ее. Данное деяние — пресловутое отражение объективной стороны состава преступления, указанного в ст. 272 УК РФ, словно по методичке.
А вот пример хоть и похожий на вышеописанный, но в определенном смысле все же более неоднозначный — дело № 1−571/2023, рассмотренное Советским районным судом г. Брянска. Обвиняемый скачал файлы вредоносной компьютерной программы «Router Scan», предназначенной для нейтрализации средств защиты компьютерной информации, после чего, находясь на рабочем месте, осуществил компьютерное воздействие на различные IP-адреса типа компьютерной атаки, которое основано на вычислении необходимого для проникновения в систему логина и пароля методом последовательного перебора логино-парольных комбинаций, для получения правильной пары логина и пароля для доступа к атакуемой системе. В результате антивирусного сканирования файлов, содержащихся в каталоге «Rscan» на ТТН нашлись файлы «librouter.dll» и «RouterScan.exe», детектируемые антивирусными программами как вредоносные. Кроме того, на машинных носителях информации имелись файлы, содержавшие сведения об использовании обвиняемым программного обеспечения «Router Scan» и полученных логино-парольных комбинациях к не менее чем 393 IP-адресам, принадлежащих различным физическим и юридическим лицам, а также государственным органам.
Здесь хотелось бы отметить следующее: RouterScan едва ли задумывалась как вредоносная программа, но волей судьбы начала использоваться как malware в своей модифицированной версии: вообще эта программа предназначалась для выявления сторонних пользователей, подключенных к точке доступа — например, с помощью этого ПО можно узнать не подключился ли к вашему домашнему вайфаю непрошенный субъект. Но по итогу программа стала востребована в качестве ключа по подбору паролей к сети Wi-Fi с функционалом получения доступа к любому сетевому устройству. Так что в данном случае мы имеем дело с вредоносной программой, созданной (переработанной) из обычного и легального софта.

Доказательственное значение уведомлений антивируса

А еще примечательно, что доказывание вредоносности исходило из данных антивирусной программы. Вот этот фактор ориентировки на сообщение антивируса очень интересен. Все-таки производители такого софта так или иначе работают с библиотекой «вредоносов», мониторят и анализируют сферу кибербезопасности на предмет обращения вредоносных программ, а также разрабатывают алгоритмы обнаружения malware на устройстве пользователя по тем или иных следам. В каком-то смысле — но не в уголовно-процессуальном — «тревога» антивирусной программы схожа с мнением специалиста в области компьютерной безопасности, который считает определенную программу «вредоносом» (разработчики антивируса уже посчитали так).
И в подавляющем большинстве случаев антивирусы реагируют именно на ПО, запрещенное ст. 273 УК РФ — в том числе кряки, кейгены и иные средства обхода блокировок. Но использование сообщений антивируса имеет и свои слабые стороны:
Во-первых, антивирус может не обнаруживать «кастомный» авторский malware, если он не внесен в библиотеку. В принципе, проблема решается назначением судебной экспертизы, а в заключении эксперт исследует программу на предмет умышленного создания для нанесения вреда компьютерам, системам и сетям. Ничего в этом страшного нет.
Во-вторых, нередко «антивирусники» помечают как «вредоносы» программы, запрещенные в той или иной юрисдикции по каким-либо политическим причинам (возьмем, к примеру, Tor или программы VPN — в РФ, кстати, не запрещены). При этом такой продукт не разрабатывается с целью совершения компьютерных атак, но антивирусы реагируют на них как на вредоносное ПО. В данном случае стороне обвинения не стоит так полагаться на данные антивирусных программ. Следует лишь приступить к самостоятельному оцениванию функционала софта на наличие в нем признаков предмета преступления, регламентированного ст. 273 УК РФ. Если возникают какие-то сложности, то можно также назначить экспертизу.
В-третьих, в качестве вредоносных компьютерных программ могут маркироваться ПО, не обладающее признаками вредоносной компьютерной программы по смыслу ст. 273 УК РФ. Пример — торрент-клиенты, которые не созданы для несогласованного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. Торрент может распространять «вредоносы» (и продукты, подвергшиеся их действию — пиратские видеоигры, например) и иные объекты с нарушением прав правообладателей, но не более, чем это может делать любой другой канал передачи файлов. При этом стоит сказать: то, что происходит в торрент-сети вполне можно назвать копированием компьютерной информации — в соответствии с п. 4 «пленума по киберпреступлениям» таковой признается перенос имеющейся информации на другой электронный носитель при сохранении неизменной первоначальной информации либо ее воспроизведение в материальной форме (в том числе отправка по электронной почте, распечатывание на принтере, фотографирование, переписывание от руки и т. п.) — в конце концов торрент представляет собой архитектуру кооперативного обмена файлами. С юридической точки зрения торрент-клиент нельзя признать вредоносной программой как раз из-за того, что его не создавали с целями, прописанными в ст. 273 УК РФ — известно, что изначально софт разрабатывался для более быстрого и простого распространения и обновления ПО Linux, но спустя 3 года после запуска протокола BitTorrent пиратский контент стал занимать большую часть трафика.
Заведомость в ч. 1 ст. 273 УК РФ проявляется в наличии замысла автора-создателя (или соваторов-соучастников) объекта на сознательную разработку функционала по проведению компьютерных атак, при которых целенаправленно происходит несанкционированное уничтожение, блокирование, модификация, копирование компьютерной информации или нейтрализации средств защиты компьютерной информации. В действиях разработчика должен присутствовать элемент воли на создание «вредоноса». И установить это необходимо через анализ целеполагания команд в программе и «репутацию» обороте, т. е. выяснить для чего данный софт вообще используется. В делах о создании «вредоносов» у стороны обвинения появляется возможность допросить автора программы, что не только дает возможность установления более полной картины совершения преступления, но и представляет стороне защиты благодатную почву для развертывания эффективных стратегий в условиях отсутствия идентификации софта антивирусными программами.
Неожиданная возможность использования ПО для причинения вреда компьютерам и сетям не означает того, что программа является вредоносной. В то же время в случаях «маскировки» malware легальными функциями одного и того же продукта необходимо все же выяснить общую цель существования программы и оценить вредоносные, и не вредные элементы по отдельности для установления индивидуальных/совокупных принципов работы и применения. Для подобных ситуаций УК РФ (как нам разъясняет «пленум по киберпреступлениям») специально ввел категорию «иная компьютерная информация».

Прошивка игровых консолей — преступление по 273 УК РФ

Выполняя задачу очерчивания тенденций правоприменения, нельзя не отметить провозглашение использованием «вредоноса» прошивание приставки, после которой можно играть в пиратские видеоигры. Если взять, к примеру, Постановление Первого кассационного суда общей юрисдикции от 19.07.2022 N 77−3501/2022, то можно увидеть, что здесь гражданина обвиняли в использовании и распространение вредоносных компьютерных программ, заведомо предназначенных для несанкционированного блокирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершенное из корыстной заинтересованности. Поводом для проведения оперативно-розыскного мероприятия стало обнаружение информации о размещении на сайте «Авито» объявления о продаже игровой приставки с указанием наличия прошивки, позволяющей играть в скачанные на флеш-накопитель игры. Представляется, что ч. 2 ст. 146 УК РФ просто не вменялась из-за недобора необходимой суммы вреда — имевшиеся на приставке игры никак не могли причинить правообладателям вред в размере 100 000 рублей.
Интересно, что в похожем деле — о прошивке Иксбокса — обвиняемому еще вменяли ст. 272 УК РФ, но кассация освободила осужденного от наказания ввиду истечения сроков давности (Кассационное определение Третьего кассационного суда общей юрисдикции от 01.12.2020 по делу N 77−1172/2020). Судя по судебному решению, логика обвинения строилась на том, что прошивание (несомненно, являясь использованием вредоносной программы — совершение действий, состоящих в применении «вредоносов», в результате которого происходит умышленное уничтожение, блокирование, модификация, копирование компьютерной информации или нейтрализация средств ее защиты) вылилось в предоставлении осужденному доступа к компьютерной информации (программному обеспечению приставки), вследствие чего произошла ее модификация (позволявшая, устанавливать и использовать нелицензионные игры).
В деле № 1−157/2024 гражданин привлекался к ответственности по ч. 1 ст. 273 УК РФ за то, что он продал за денежные средства игровую консоль «Sony Play Station 3», позволяющую скачивать и воспроизводить нелицензионную продукцию без внесения какой-либо платы. В судебном решении фигурирует Sony PlayStation 3 с модифицированным программным обеспечением, и имеющимися в ней компьютерными программами (компьютерной информацией), предназначенными для блокировки (нейтрализации) средств защиты и воспроизведения нелицензионной продукции: «HEN Тoolbox Mod 2.1.5» (Хэн тубакс мад 2.1.5), «IRISMAN v4.88» (Ирисман ви 4.88), «mmCM v.4.00» (эмэм СиЭм ви.4.00), «PKGI PS3 RUS MOD v.124» (ПКГИ ПС3 РУС МОД ви.124), правообладателем которой является компания «Сони Интерэктив Интертейнмент Инк.» Гражданин разместил объявление на авито о продаже прошитой консоли, и нашел покупателя, естественно, в лице оперативного сотрудника. Интересно, что гражданину также вменяли ч. 1 ст. 272 УК РФ, поскольку суд посчитал, что обвиняемый осуществил неправомерный доступ к охраняемой законом компьютерной информации путем несанкционированной установки на игровую консоль Sony PlayStation 3 нелицензионных игр и тем самым блокировал системную программную защиту игровой консоли. В итоге уголовное дело прекратили в соответствии со ст. 76.2 Уголовного кодекса Российской Федерации и назначили обвиняемому судебный штраф в размере 15 000 рублей. Та же ситуация в делах № 1−177/2024 и № 1−80/2024.

Смарт-карты ТВ и 273 УК РФ

Отметим, что довольно популярны дела, в фабуле которых отражается приобретение обвиняемыми модифицированных смарт-карт спутникового телевидения для просмотра закрытых телевизионных спутниковых каналов без абонентской платы. Таким образом, действия подсудимых, связанные с просмотром данных каналов «за бесплатно» квалифицируются в качестве неправомерного доступа к компьютерной информации, повлекшего модификацию и копирование данной информации, из корыстной заинтересованности (ч.2 ст. 272 УК РФ), а использование конфигурации на модифицированной карте признается использование компьютерной информации, заведомо предназначенной для нейтрализации средств защиты компьютерной информации, совершенной в тех же корыстных целях (ч. 2 ст. 273 УК РФ) — дело № 1−128/2023, рассмотренное Собинским городским судом Владимирской области. Данное уголовное дело прекратили с освобождение обвиняемого от уголовной ответственности на основании ст. 76.2 УК РФ в связи с назначением меры уголовно-правового характера в виде судебного штрафа в размере 15 000 рублей.
Но что интересно — мы тут вновь сталкиваемся с трудностями применения ст. 272 УК РФ, потому как существует ряд уголовных дел, в которых субъекту не предъявлялось обвинение по 272-ой статье. Например, обратимся к приговору Калужского районного суда Калужской области по делу № 1−577/2023, которое рассматривали в тот же период, что и дело Собинского городского суда: то же приобретение модифицированной карты с вредоносным программных обеспечением, позволяющих обходить средства блокировки. Тот же просмотр платных зашифрованных телевизионных спутниковых каналов по технологии, позволяющей осуществлять блокирование, модификацию и копирование информации, представленной в том, числе, в виде зашифрованных ключевых слов, открывающих доступ к платным зашифрованным спутниковым телевизионным каналам без оригинальных данных условного доступа смарт-карт. Однако тут обвиняемый предложил приобретенный «вредоносный» комплект на продажу в интернете. На объявление откликнулись сотрудники отдела «К» БСТМ УМВД России по Калужской области, которые при личной встрече задержали продавца. По итогу обвиняемый не прибегнул к институту освобождения от уголовной ответственности с назначением меры уголовно-правового характера в виде судебного штрафа и получил полтора года ограничения свободы (выезд за пределы Калуги только с согласия ФСИН).
Разница в обстоятельствах уголовных дел заключается в двух моментах: в первом деле гражданин удовлетворял свои личные потребности в просмотре платных каналов без той самой платы, а во втором обвинение не интересовалось вопросом о факте просмотра подсудимым каналов из пакетов с дополнительной ценой и даже не старалось доказать этот факт. И, конечно, в первом деле не было обстоятельства реализации смарт-карты с вредоносным ПО третьим лицам.
Получается, человек, решивший посмотреть «спираченное ТВ», совершает еще одно преступление и тем самым признается более опасным элементом по сравнению с распространителем смарт-карты с «вредоносом». Справедливо? Едва ли.
Можно ли говорить о том, что субъект из первого приговора реально совершил преступление, регламентированное ст. 272 УК РФ, во время просмотра «пиратского» спутникового телевидения? Я скажу, что нет. Вот почему:
Индивид, ставящий переконфигурированую смарт-карту, позволяющую бесплатно смотреть «платные» каналы, безусловно совершает преступление, указанное в ст. 273 УК РФ — и это преступление считается оконченным с момента нейтрализации средств защиты технологий спутникового телевидения, которые в обычном режиме не допускают просмотр определенных каналов без оплаты соответствующих услуг. Что происходит далее? Да, физическое лицо осуществляет неправомерный доступ к защищенной информации и далее… просто созерцает ее. А это не запрещено диспозицией ст. 272 УК РФ. Данный момент вызывает определенные споры в доктрине уголовного права, но в действительности не стоит надеяться, что восприятие компьютерной информации при неправомерном доступе будет криминализировано в рамках состава преступления ст. 272 УК РФ — поиск виновных лиц и доказывание по подобным делам будут чересчур трудными, а применение категорий «созерцание» или «восприятие» на практике (да и попытка дать определение такому термину в рамках юриспруденции) приведет к полному хаосу в судебных разбирательствах.
Таким образом, фигурант первого дела не совершал преступления, регламентированного ст. 272 УК РФ. Несанкционированный доступ к каналам не влек за собой модификации информации — модифицированной была информация на самой «пиратской» карте. Решение суда не поясняет почему в данном событии фигурирует «копирование» информации, которое, как мы помним, представляет собой умышленный перенос информации. Но факт заключается в том, что такого деяния не было. Взаимодействие с «платными» каналами происходило в моменты нейтрализации средств защиты оборудования спутникового ТВ вследствие применения «вредоноса», а уже после этого осуществлялся несанкционированный доступ. Но далее — индивид просто просматривал программы, т. е. созерцал и воспринимал компьютерную информацию.
При этом п. 4 «пленума по киберпреступлениям» под нейтрализацией средств защиты компьютерной информации понимает воздействие на технические, криптографические и иные средства, предназначенные для защиты компьютерной информации от несанкционированного доступа к ней, а также воздействие на средства контроля эффективности защиты информации (технические средства и программы, предназначенные для проверки средств защиты компьютерной информации, например, осуществляющие мониторинг работы антивирусных программ) с целью утраты ими функций по защите компьютерной информации или контролю эффективности такой защиты. Карта с «вредоносом» (модифицированной информацией) осуществляла именно ту самую функцию воздействия на средства контроля. Все деяние охватывалось применением ст. 273 УК РФ.
Примечательно, что пока в головном деле фигурирует одно лишь обвинение по ст. 273 УК РФ, то существует только одна проблемная задача — определить является ли ПО вредоносным (главное только о критерии заведомости не забывать, и все будет нормально, на самом деле). Конечно, могут также возникнуть некоторые вопросы признания действий «использованием», «распространением» и «созданием». Традиционные аспекты выявления «удаления», «блокирования», «копирования» и «модификации», а также установление юридически значимого факта нейтрализации средств защиты компьютерной информации — все это, честно говоря, не является каким-то бременем для обвинения.
Но стоит в обвинении появиться статье 272 УК РФ, и сразу начинаются танцы с бубном вокруг этого самого «неправомерного доступа» — бича ст. 272 УК РФ, который мы досконально разбирали в соответствующей публикации и который отсутствует в диспозиции ст. 273 УК РФ. На первый взгляд…

Призрак 272-ой: «Проблема Доступа»

Статье 272 УК РФ, в принципе, все равно на категорию «нейтрализации средств защиты компьютерной информации» — она разворачивает категорию «неправомерного доступа», которая охватывает любые действия по получению или использованию информации без согласия обладателя неуполномоченным лицом, либо в нарушение установленного нормативными правовыми актами порядка независимо от формы такого доступа. Такое деяние может сопровождаться как нейтрализацией средств защиты, так и иным каким-то их обходом.
П. 9 «Пленума по киберпреступлениям» указывает, что создание вредоносных компьютерных программ или иной вредоносной компьютерной информации представляет собой деятельность, направленную на разработку, подготовку программ (в том числе путем внесения изменений в существующие программы) или иной компьютерной информации, предназначенных для несанкционированного доступа, то есть совершаемого без согласия обладателя информации, лицом, не наделенным необходимыми для такого доступа полномочиями, либо в нарушение установленного нормативными правовыми актами порядка уничтожения, блокирования, модифицирования, копирования компьютерной информации или нейтрализации средств ее защиты.
Загвоздка в том, что диспозиция ст. 273 УК РФ — в отличие от нормы ст. 272 УК РФ — вообще ничего не говорит про тот самый «неправоверный доступ». В принципе, любому индивиду, имеющему какое-то представление о malware и понимающему юридический смысл уголовно-правовых категорий «вредоносных компьютерных программ и иной компьютерной информации», представляется само собой разумеющимся фактор отсутствия получения неправомерного доступа к компьютерной информации третьих лиц.
В нашей публикации о 272-ой статье мы критиковали приговоры по DDoS-атакам из-за применения ст. 272 УК РФ как раз из-за того, что при DDoS-атаке не происходит какого-либо неправомерного доступа к компьютерной информации. Организатор атаки ничего не взламывает, не получает никакого контроля или администрирования, а если говорить еще и об общедоступной компьютерной информации (в принципе, на нее DDoS как раз и направлен), то он ничем не отличается от любого другого пользователя с точки зрения получения доступа к информации. Повредить автомобиль (ст. 167 УК РФ) не означает угнать его (ст. 166 УК РФ). Тут работает тот же принцип.
Но ст. 273 УК РФ в делах о DDoS-е работает отлично (из того, что вообще есть в Уголовном кодексе Российской Федерации на данный момент): создание и использование любых программ, рассчитанных на проведение DDoS-атак — однозначно будет иметь признаки объективной стороны состава преступления, предусмотренного ст. 273 УК РФ. «Руководство» ботнетом (или его создание, или передача администрирования иным лицам) при проведении DDoS-атаки — также охватывается 273-ей. И в этой ситуации не может быть поднят вопрос о наличии неправомерного доступа к компьютерной информации ни с позиции регулирования ст. 272 УК РФ, ни с диспозиции ст. 273 УК РФ — или, точнее, с положений п. 15 «пленума по киберпреступлениям», который из неоткуда решил привнести в ст. 273 УК РФ слабое место ст. 272 УК РФ.
Еще: на примере приведенного выше дела (которое, кстати, рассматривалось уже после принятия «пленума») о создании фишингового сайта и осуществлении мошеннической схемы на нем мы можем увидеть, что ст. 273 УК РФ была верно применена в ситуации создания софта для совершения мошенничества, при котором отсутствовал фактор неправомерного доступа к информации. В соответствии с п. 5 «пленума по киберпреступлениям» неправомерным доступом к компьютерной информации является получение или использование такой информации без согласия обладателя информации лицом, не наделенным необходимыми для этого полномочиями, либо в нарушение установленного нормативными правовыми актами порядка независимо от формы такого доступа, и «пленум» дает следующие примеры: «…путем проникновения к источнику хранения информации в компьютерном устройстве, принадлежащем другому лицу, непосредственно либо путем удаленного доступа».
Проблема-то в том, что лицо, оставившее данные банковской карты, дало свое согласие на получение правонарушителем информации, испрашиваемой фишинговым сайтом. Потрепавший просто был обманут и непосредственно передал данные, находясь в заблуждении относительно веб-ресурса, на котором находился в тот момент.
«Вредонос» нацелен на взаимодействие со средствами, а неправомерный доступ — это состояние субъекта преступления в определенной ситуации. Нейтрализация средств защиты может произойти, но неправомерный доступ (с последующей манипуляцией информации) может и не осуществиться ввиду самых разных причин: представим, например, ситуацию использования malware для нейтрализации средств защиты без совершения каких-либо последующих действий со стороны исполнителя — чем-то подобным, по существующей логике российского уголовного права, является DDoS-атака, ведь понятия «компьютерный саботаж» или чего-то похожего в УК РФ нет.
Вообще, если посмотреть на определения термина «Вредоносная компьютерная программа», то можно обнаружить, что там далеко не всегда кого-то волнует фактор получения доступа к информации. Например, Microsoft понимает «вредонос» как термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру, серверу, или компьютерной сети, независимо от того, является ли оно вирусом, шпионской программой и прочим, а важнейшим признаком отмечается наличие препятствий при работе конечных устройств. «Касперский» исходит примерно из того же и называет вредоносными программами те, которые намеренно разрабатываются и внедряются для нанесения ущерба компьютерам и компьютерным системам. «Если работа программы повлекла непреднамеренный ущерб, это обычно называют программной ошибкой». McAffe воспринимает как «вредоносы» программное обеспечение, предназначенное для нанесения вреда или эксплуатации программируемого устройства, службы или сети. Group-IB, например, отказываются давать определение «вредоносным программам» и просто говорят о том, что все «вредоносы» разные, и каждый из них имеет свою индивидуальную цель. В принципе, УК РФ утверждал и утверждает то же самое, но у «пленума по киберпреступлениям» возникло свое оригинальное мнение на данную тему.
Но, может, мы совершаем ошибку, сравнивая юридическое определение с определением из компьютерных наук?

Вредоносная компаративистика

Если проводить какую-то общую классификацию уголовно-правового регулирования проблемы разработки, использования и оборота вредоносных компьютерных программ, то в целом можно привести два вида юрисдикций: к первому виду мы отнесем те, в уголовном законе которых под «вредоносы» отведена отдельная статья, к второму — страны, не имеющие в праве индивидуального «уголка» под malware, но упоминающие его либо как квалифицирующий признак преступления, либо как какой-то иной значимый элемент объективной стороны деяния. Очень часто уголовные законы в своих статьях о «вредоносах» содержат отсылочные нормы, указывающие на иные киберпреступления, тем самым утверждая, что преступное взаимодействие с malware возможно исключительно в рамках обозначенных в законе преступных посягательств, связанных с причинением вреда компьютерам, системам, сетям и нарушением целостности их обычного функционирования.
Например, Уголовный кодекс Республики Беларусь, который можно признать самым развитым в подходах к киберпреступности на постсоветском пространстве, в ст. 354 дает такую норму: «Разработка, использование, распространение либо сбыт компьютерной программы или специального программного или аппаратного средства, заведомо предназначенных для нарушения системы защиты, несанкционированного доступа к компьютерной системе, сети или машинному носителю, несанкционированного уничтожения, блокирования, модификации компьютерной информации или неправомерного завладения компьютерной информацией либо нарушения работы компьютерной системы, сети или машинного носителя». Первое, что бросается в глаза правоведу, работающему с уголовным правом в РФ — перечисление действий, которые злоумышленник может совершить с помощью «вредоноса». На самом деле в данной диспозиции приводятся иные преступления, предусмотренные УК РБ: несанкционированный доступ к компьютерной информации (ст. 349 УК РБ); уничтожение, блокирование или модификация компьютерной информации (ст. 350 УК РБ); неправомерное завладение компьютерной информацией (ст. 352 УК РБ).
Примерно того же придерживается положение ст. 6 Закона Ирландии «Об уголовном правосудии (преступления, связанные с информационными системами)» — оно опирается на все тот же критерий заведомости и таким образом запрещает незаконное создание, распространение, продажу, предложение к продаже и хранение вредоносных компьютерных программ, под которыми понимаются любая компьютерная программа, которая изначально разработана или адаптирована для использования в связи с совершением киберпреступления; или любое устройство, пароль компьютера, ключ или код дешифрования, код доступа или аналогичные данные, с помощью которых можно получить доступ к информационной системе. Примечательно, что уголовное право Ирландии прибегает к «доступу» (его неправомерность презюмируется) только в своеобразном аналоге «иной компьютерной информации», под которой тут явно понимаются средства обеспечения входа в систему — т. е. «проблеме доступа» тут посвящено как бы отдельное регулирование внутри ст. 6. Закона
В принципе, мы также точно можем сразу сказать, что критерий заводомости присущ абсолютно всем уголовным законам, а некоторые из них прямо раскрывают его в норме, например, регламентируя в качестве вредоносной программы переработанную «безвредную». Далее мы заранее отметим, что юрисдикции систематически используют категорию «иная компьютерная информация» (в разных языковых формах, конечно) и приводят в пример определенные данные, нередко связанные именно с получением доступа к информационной системе.
Что еще можно обнаружить в уголовном законодательстве той или иной юрисдикции — норму об уголовной ответственности за приобретение и хранение «вредоноса». Такого в УК РФ и близко нет, «пленум по киберпреступлениям» также нигде не намекает на криминализацию таких деяний в российском праве. Но в то же время стоит отметить, что вопрос о признании деяний по приобретению и хранению malware преступными все же остается дискуссионным, а подобное положение не получило значительного распространения.
В соответствии с Законом Сингапура от 2017 г. «О неправомерном использовании компьютеров и кибербезопасности» (он же — CMAA) запрещены создание, продажа, предложение к продаже или предоставление каким-либо любым способом любого из перечисленных в статье объектов с намерением использовать его для совершения или содействия совершению преступления согласно разделам 3, 4, 5, 6 или 7 CMAA. Объектами являются: любое устройство, включая компьютерную программу, которое изначально разработано, адаптировано или может быть использовано с целью совершения преступления согласно разделам 3, 4, 5, 6 или 7 CMAA; и пароль, код доступа или аналогичные данные, с помощью которых можно получить доступ ко всему компьютеру или к его части. Приобретение и хранение malware признается преступлением в соответствии с разделом 8B (1)(a) CMAA в тех случаях, когда лицо намеревается использовать «вредонос» для совершения или содействия совершению преступлений, указанных в разделах 3, 4, 5, 6 или 7 CMA.
Ч. 1 ст. 28 Закона Нигерии «О киберпреступлениях» запрещает незаконно производить, поставлять, адаптировать, перерабатывать, приобретать для использования, импортировать, экспортировать, распространять, предлагать к продаже или иным образом предоставлять: (a) любое устройство, включая компьютерную программу или ее компонент, разработанное или адаптированное с целью совершения преступления, предусмотренного Законом; (b) компьютерный пароль, код доступа или иные данные, с помощью которых можно получить доступ ко всей или к любой части компьютерной системы или сети с целью совершения преступления в соответствии с Законом; © подделку электронных инструментов; или (d) любое устройство, включая компьютерную программу, предназначенную для обхода мер безопасности в любой компьютерной системе или сети с намерением использовать эти устройства с целью нарушения любого положения Закона. Ч. 2 статьи ставит вне закона неправомерное хранение устройства или программы, использованного при совершении киберпреступления.
Прямое применение критерия заведомости при хранении malware можно найти в ст. 342.2 Уголовного кодекса Канады — она ставит вне закона распространение, продажу, предложение к продаже, хранение и использование устройств, которые спроектированы или приспособлены в первую очередь для совершения киберпреступлений, при наличии понимания у лица, что данное устройство использовалось или предназначено для использования для совершения киберпреступлений, запрещенных статьями 342.1 или 430 Уголовного кодекса.
В уголовном кодексе Австралии присутствует такая норма как «Заражение IT-систем вредоносным ПО» (ст. 478.2). Преступление состоит из трех элементов: первый состоит в том, что действия индивида вызывают любое несанкционированное нарушение надежности, безопасности или работы данных, хранящихся на компьютерном диске, кредитной карте или другом устройстве, используемом для хранения данных с помощью электронных средств. Второй элемент — наличие прямого умысла. Третий — заведомость несанкционированности нарушений. Ст. 478.3 УК запрещает распространение, продажу или предложение к продаже оборудования, программного обеспечения или других инструментов, используемых для совершения киберпреступлений (максимальное наказание — 3 года лишения свободы). Ст. 478.4 УК ставит вне закона деяния по владению оборудованием или использованию оборудования, программного обеспечения или других инструментов, эксплуатирующихся для совершения киберпреступлений (максимальное наказание — 3 года лишения свободы).
В иных юрисдикциях само по себе хранение и (или) приобретение вредоносного ПО не является самостоятельным преступлением, но в определенных случаях все же может составлять объективную сторону состава преступления или криминализироваться иным образом. И нередко тот же подход используется для распространения «вредоносов» — их передача может быть как преступной, так и вполне легальной.
Раздел 18 Кодекса законов США (Федеральный закон США «О компьютерном мошенничестве и злоупотреблениях» («CFAA»)) запрещает использование «вредоноса» в § 1030(a)(5)(A) как комплексе «Умышленного причинения вреда». В § 2512 признает преступлением создание, распространение, хранение и рекламу устройств для прослушивания телефонных разговоров и многих подобных инструментов. Само по себе распространение хакерских инструментов будет считаться преступлением только в том случае, если получатель собирается использовать их в незаконных целях. При наличии доказательств преступного намерения лицо может быть привлечено к ответственности за пособничество и подстрекательство к нарушению CFAA, § 1030(a)(5)(A) Раздела 18 Кодекса законов США. Что касается хранения «вредоносных программ», то здесь американские юристы отмечают, что как и в случае с распространением, простое владение хакерскими инструментами не будет преступлением при отсутствии намерения использовать их в незаконных целях или связанного с этим заговора. Если имеются доказательства преступного намерения или заговора, и при этом совершено какое-либо действие, явно предпринятое с целью воплощения преступного замысла, то лицо может быть привлечено к ответственности за покушение на совршение соответствующего преступления по CFAA, § 1030(a)(5)(A) Раздела 18 Кодекса законов США.
В соответствии со ст. 303b Уголовного кодекса Германии действия по заражению компьютеров и (или) систем вредоносными программами подпадают под понятие «компьютерного саботажа». Внешнее выражение данного преступления состоит во вмешательстве в операции по обработке данных, имеющих существенное значение для другого лица, путем удаления, подавления, приведения в непригодную для использования форму или изменения данных, а также путем ввода или передачи данных с намерением причинить ущерб другому лицу. Диспозиция также указывает на преступность действий по уничтожению, повреждению, приведению в негодность, удалению или изменению системы обработки данных или носителя информации.
По немецкому уголовному праву любой, кто осуществляет распространение вредоносной компьютерной программы с целью совершения какого-либо преступления, будет признан соучастником совершенного с данным «вредоносом» преступления (в зависимости от обстоятельств, такой индивид может быть либо пособником, либо подстрекателем). Хранение или приобретение вредоносных компьютерных программ может признаваться приготовлением к совершению преступления в зависимости от обстоятельств, но самостоятельного оконченного преступления такое деяние не образует.
Таким образом, Уголовный кодекс Германии не содержит отдельной статьи под malware, и немецкое право просто использует институт соучастия. Это регулярно отражается в немецкой судебной практике по делам по ст. 202a («Шпионаж данных») и 202b («Фишинг» — принятие данных, не предназначенных принимающему лицу, переданных техническими средствами из закрытой передачи данных или из электромагнитной трансляции со средства обработки данных). При этом есть ст. 202c («Совершение приготовления к совершению шпионажа данных или фишинга»), которая наказывает за создание, приобретение для себя или другого лица, продажу, поставку другому лицу, распространение или предоставление любым другим способом компьютерных программ с целью совершения преступлений, регламентированных статьями 202a и 202b.
Примерно той же методологии придерживается Закон Индии «Об информационных технологиях». Только индийское уголовное право прямо вводит уголовную ответственность за несанкционированное внедрение вредоносного ПО в компьютерные системы, сети или устройства, а взаимодействие с malware отражается в разделах 43 («Причинение вреда компьютеру и компьютерной системе»), 65 («Подделка компьютерных исходных документов»), 66 («Взлом компьютерной системы с неправомерным намерением причинить вред»), 66 °F («Кибертерроризм»).
Подход Китайской Народной Республики к правовым аспектам кибербезопасности вообще очень интересен сам по себе (он обязателен к изучению в рамках узконаправленных юридических исследований кибербез-права — в КНР разработана адекватно отвечающая современным реалиям административно-уголовная система правового регулирования), но мы постараемся остановиться только на обороте и применении вредоносных компьютерных программ.
Деяние по умышленному созданию или распространению компьютерного вируса или других деструктивных программ, нарушающих нормальную работу компьютерной информационной системы, охватывается регулированием ст. 286 Уголовного кодекса Китайской Народной Республики и представляет собой «преступление, связанное с саботажем компьютерной информационной системы». Лицо, устанавливающее вышеуказанные деструктивные программы с целью контроля над чужими компьютерами, может совершить преступление по незаконному управлению компьютерной информационной системой, предусмотренное частью 2 ст. 285 УК КНР. В этой статье вводится преступление, объективная сторона которого выражается в проникновении в компьютерную систему, получении данных из компьютерной информационной системы или управлении компьютерной информационной системой. И при этом категория «проникновение» сама по себе включает уже действия по нейтрализации средств защиты компьютерной информации.
Та же ст. 285 УК КНР дает уголовно-правовую интерпретацию случаев, когда лицо предоставляет аппаратное, программное обеспечение или другие инструменты, специально используемые для вторжения в компьютерные информационные системы или незаконного контроля над ними; или когда лицо знает, что любое иное лицо совершает преступное деяние по вторжению в компьютерную информационную систему или незаконному контролю над ней, но при этом предоставляет программы или инструменты такому лицу — данное преступление именуется как «Предоставление программ или инструментов для проникновения в компьютерные информационные системы или незаконного контроля над ними». Для права РФ первый элемент вышеприведенного состава представляет собой распространение вредоносной компьютерной программы по ст. 273 УК РФ, второй — распространение вредоносной компьютерной программы по ст. 273 УК РФ и пособничество в совершении преступления исполнителя.

Уголовные аспекты кибербезопасности УК РФ

Уголовный кодекс РФ пошел по следующему пути: он не признает приобретение или хранение «вредоноса» преступлением, но данный фактор может признаваться элементом объективной стороны при приготовлении к преступлению, установленному ч. 3 ст. 273 УК РФ. В соответствии со ст. 30 УК РФ уголовная ответственность наступает за приготовление только к тяжкому и особо тяжкому преступлениям, таким образом хранение или приобретение вредоносных компьютерных программ не наказуемо. Приобретение или хранение «вредоноса» в приготовлении к преступлению, регламентированному ч. 3 ст. 273 УК РФ, будет криминализировано через обвинение в подготовке к использованию или распространению (в зависимости от обстоятельств) компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации и создающих угрозу наступления тяжких последствий.
П. 15 «пленума по киберпреступлениям» указывает, что под тяжкими последствиями здесь следует понимать длительную приостановку или нарушение работы предприятия, учреждения или организации; получение доступа к информации, составляющей охраняемую законом тайну, предоставление к ней доступа неограниченному кругу лиц, причинение по неосторожности смерти, тяжкого вреда здоровью хотя бы одному человеку и т. п. Реальность такой угрозы должна быть доказана — ее можно подтвердить через проведение судебной экспертизы, которая может установить заведомые цели создания такой программы для применения по определенным объектам (атаки по которым приводят к тяжелым последствиям); или с помощью иных доказательств, которые подтвердят намерение лица использовать или распространить malware для достижения приведения к наличию какого-либо обозначенного последствия, а в случае создания вредоносной компьютерной программы сторона обвинения может прибегнуть даже к допросу обвиняемого.
Как мы помним, ст. 273 УК РФ нередко используется в совокупности с другими статьями УК РФ. Если исходить из логики ст. 30 УК РФ, то сам факт приобретения и (или) хранения «вредоноса» может являться элементом объективной стороны при приготовлению к совершению преступлений, указанных в ч. 3−4 ст. 159.6, ч.3 ст. 146, ч. 4 ст. 272, ч. 2−5 ст. 274.1 — чтобы признать такое обстоятельство криминализирующим, необходимо доказать наличие умысла на использование вредоносной компьютерной программы в приготовляемом преступлении. При этом индивиду нельзя предъявить обвинение по ч. 1 и 2 ст. 273 УК РФ, поэтому в отдельных случаях факт наличия у субъекта вредоносной программы будет представлять собой элемент объективной стороны соответствующего готовящегося преступления без применения положений ст. 273 УК РФ.
В общем и целом, мы можем сказать, что ст. 273 УК РФ отвечает международным трендам уголовного противостояния киберпреступности и сама по себе представляет довольно стройную и адекватную современности конструкцию. Да, могут возникать проблемы при применении критерия заведомости, являющегося важнейшим элементом доказывание вредоносности программы, но в остальном применение ст. 273 УК РФ не может и не должно порождать какие-то проблемы для вдумчивого подхода к обвинению, которое все-таки сможет отличить malware от обычного ПО, использующегося в качестве орудия преступления (напрашивается банальнейшая аналогия с арматурой, которая не создается для причинения вреда здоровью или убийства, но тем не менее может использоваться в этих целях — и регулярно же используется!).
Проблема реально кроется в самой системе киберпреступлений в УК РФ, а именно в главном рассаднике всевозможных недопониманий — ст. 272 УК РФ. Мы отмечали, что главная ее проблема — «проблема неправомерного доступа» — отбрасывает тень на ст. 273 УК РФ и угрожает «заразить» данную норму своей хронической болячкой, разрешаемой разве что хирургическим вмешательством законодателя. Ведь Верховный Суд Р Ф в «пленуме» выступил разве что в роли целителя-шарлатана, наслушавшегося медицинских терминов. Отсюда в п. 9 и появление «неправомерного доступа», как одной из двух категорий угловно-правового запрета киберпреступности в России. Вторая, естественно — вредоносная компьютерная программа.
Но оказалось, что высшая судебная инстанция сама запуталась в «проблеме доступа», которую зачем-то пыталась сохранить. П. 9 «пленума по киберпреступлениям» указывает категорию «получения неправомерного доступа к компьютерной информации» в качестве преступлениеобразующего фактора, но тут же п. 15 признает «получение неправомерного доступа» квалифицирующим признаком части 3 ст. 273 УК РФ. То есть элемент доступа как бы и центральный, но как бы и нет.
Во всем остальном ситуация сложилась типичным образом для киберпреступного права РФ — Верховный Суд собрал провозглашенные разумные выводы судов по делам по ст. 273 УК РФ и устранил все возможные потенциальные разночтения. Например, решение считать переработанную программу вредоносной в случае наличия критерия заведомости проистекает от «судов на земле» — и ВС РФ правильно закрепил данный подход в своих разъяснениях. А те же «суды на земле» не прониклись «проблемой доступа» и не стали разыскивать ее в каждом «вредоносе», тем самым продолжив трезво оценивать современные киберреалии сквозь призму имеющихся норм УК РФ.
Напоследок отметим, что в данной публикации мы не рассматривали доктрину по ст. 273 УК РФ из-за того, что она не так уж витает в облаках, как это было в случае со ст. 272 УК РФ — да, некоторые авторы предлагали понимать под «применением вредоносной компьютерной программы» ее хранение/наличие/приобретение, но ВС не пошел по пути «нормотворчества в пленуме» и решил исходить из имеющейся диспозиции ст. 273 УК РФ, которая не имеет даже намеков на криминализацию хранения «вредоносов» как самостоятельного преступления («пленум», кстати, посвятил даже отдельную секцию под разъяснение легального использования malware в образовательных и специальных отраслевых целях). Как мы говорили в самом первом очерке по «киберпреступности в УК РФ», подобные моменты должны разрешаться продуманным комплексным подходом законодательной власти, а не витиеватой герменевтикой власти судебной.

Автор: Станишевский Александр Игоревич

Источник: Блог Адвоката Александра Станишевского
Еще о киберпреступности
Еще больше о киберпреступности на Telegram-канале
Предыдущая Публикация
Смарт-Контракты: Что Это? — Юридический Разбор Адвоката
Что ж здесь умнее — компьютерный код, формирующий транзакции на блокчейне, или люди, с уважением относящиеся к теории гражданского права?