Преступления в сфере компьютерной информации

Эти правила должны устанавливаться управомоченным лицом, в противном случае каждый работающий с компьютером будет устанавливать свои правила эксплуатации.

2.   Применительно к комментируемой статье под правилами эксплуатации глобальных сетей типа Интернет понимаются нормативные акты, регламентирующие работу данной сети, в частности, Федеральный закон от 07.07.03 № 126-ФЗ «О связи», регламентирующий порядок создания и подключения к сети, или Закон РФ от 23.09.92 № 3520-1 «О товарных знаках, знаках обслуживания и  наименованиях   мест  происхождения   товаров»   (в  ред.  от11.12.02), определяющий правила присвоения доменных имен.

3.   Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен специальный режим ее правовой защиты, например государственная, служебная, коммерческая и банковская тайны, персональные данные и т.д.

4.   Объективная сторона данного преступления состоит в нарушении правил эксплуатации ЭВМ, повлекшем уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ при условии, что в результате этих действий был причинен существенный вред.

Между фактом нарушения  и наступившим существенным вредом должна быть установлена причинная  связь и полностью доказано, что  наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными в ст. 272, 273 УК.

Понятие существенного  вреда определяется самим потерпевшим и оценивается судом с учетом не только материального, но и морального ущерба, ущерба деловой репутации, вынужденных финансовых потерь и затрат на восстановление рабочего состояния ЭВМ, систем ЭВМ и их сети.

5.  Субъективную сторону ч. 1 комментируемой статьи характеризует наличие умысла, направленного на нарушение правил эксплуатации ЭВМ. В случае наступления тяжких последствий ответственность по данной статье наступает только в случае неосторожных действий.

Умышленное нарушение  правил эксплуатации ЭВМ, систем ЭВМ  и их сети влечет уголовную ответственность  в соответствии с наступившими последствиями, и нарушение правил эксплуатации в данном случае становится способом совершения преступления.

Действия специалиста  больницы, поставившего полученную по сетям программу без предварительной  проверки (что говорит о преступной неосторожности) на наличие в ней  компьютерного вируса, что привело к отказу работы систем жизнеобеспечения реанимационного отделения, повлекшему смерть больного, должны квалифицироваться по ч. 2 комментируемой статьи. Подобные действия, совершенные умышленно, должны квалифицироваться как покушение на убийство.

6. Субъект данного  преступления — специальный,  это лицо, в силу должностных  обязанностей имеющее доступ  к ЭВМ, системе ЭВМ и их сети и обязанное соблюдать установленные для них правила эксплуатации.

Международные нормы  и нормы национального законодательства об ответственности за правонарушения в сфере информационных технологий.

Исходя из особой опасности компьютерной преступности и угрожающих тенденций ее отрицательного влияния на мировое сообщество, в  рамках ООН регулярно проводится работа, целью которой является поиск  адекватных путей противодействия  этому виду преступлений. Во многих развитых странах для борьбы с  преступными действиями, связанными с противоправным использованием компьютерной техники, уже имеется современная  правовая база.

Так, например, в  США федеральный «компьютерный» закон действует уже с 1984 года, в Дании – с июля 1985 года, в  Канаде – с декабря 1985 года, в  Португалии – с 1982 года. Соответствующие  нормы уголовного права в Германии приняты с августа 1986 года. Ведутся  работы по усовершенствованию национального  законодательства для борьбы с компьютерными  преступлениями и в других странах  мира.

С целью унификации национальных законодательств 13 сентября 1989 года на заседании Комитета министров  Европейского Совета был выработан  список правонарушений, рекомендованный  странам-участницам ЕС для разработки единой уголовной стратегии при  разработке законодательства, связанного с компьютерными преступлениями. Он содержит так называемые Минимальный и Необязательный списки правонарушений.

Проскурин Егор Викторович

Литвинцев Александр Григорьевич

Декабрь 2011: внесены изменения  в главу 28 УК РФ. Что дальше?

28.01.2012 — 20:12

тема: Уголовное право

Наверно, ни для  кого не секрет, что совсем недавно  в Уголовный Кодекс Российской Федерации  Федеральным законом РФ от 7 декабря 2011 года № 420-ФЗ "О внесении изменений  в Уголовный кодекс Российской Федерации  и отдельные законодательные  акты Российской Федерации" были внесены изменения, среди которых имеются и относящиеся к главе 28 УК: «Преступления в сфере компьютерной информации». Теперь мы имеем следующие названия статей этой главы:

- Статья 272. Неправомерный  доступ к компьютерной информации

- Статья 273. Создание, использование и распространение  вредоносных компьютерных программ

- Статья 274. Нарушение  правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Приводить полный текст изменений не буду – вы можете и сами ознакомиться с формулировками составов преступлений данной главы  в новом законе. Однако хотелось бы сразу отметить, что уже найдены  некоторые слабые моменты новых  формулировок.  Так, по мнению Ильи Сачкова, генерального директора компании Group-IB, брешь уже есть в статье 272 УК РФ «Неправомерный доступ к компьютерной информации», согласно которой компьютерная информация – это «сведения <...> представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи»: ведь компьютерные сети также используют оптоволокно, в котором данные передаются с помощью переноса света внутри нитей посредством полного внутреннего отражения, а не электрических сигналов. И как быть на практике? Если часть хакерской атаки проходит именно с использованием оптоволокна, можно ли будет следствию продолжать квалифицировать деяние как компьютерное преступление, исходя из новых формулировок статей УК РФ? Простите за каламбур, но только практика как раз и даст ответ на этот вопрос.

Далее. Говоря в  общем, новые формулировки, как и  прежние, продолжают оставаться расплывчатыми  и, если позволите, «резиновыми» для  квалификации компьютерных преступлений. Зарубежные страны давно уже расширили  свое законодательство (именно законодательство, не говоря уже о правоприменительной  практике) в отношении преступлений в данной сфере. Существуют даже международные  кодифицированные акты (например, Европейская  конвенция по киберпреступлениям 2001г.) в отношении данных преступлений. А нам (читайте – государству) хватает и этих трех статей (ну вкупе с остальными УК по мере необходимости: ничто не мешает квалифицировать интернет-фишинг по совокупности статей 159 и 272 (и даже еще и по 273) УК РФ). Знаете, трех статей было достаточно Великобритании более 20 (!) лет назад, когда у них в законодательном арсенале имелся лишь Закон о злоупотреблении компьютерами 1990 г., который предусматривал ответственность за:

Ст. 1 - умышленный, незаконный доступ к компьютерным материалам для их использования в противоправных целях 
Ст. 2 - умышленный, незаконный доступ к компьютеру или содержащимся в нем информации или программам с намерением совершить или облегчить совершение другого преступления 
Ст. 3 - незаконную модификацию компьютерных материалов.

Сейчас же в Великобритании регулирование информационных отношений  осуществляется в двух направлениях:

I - установление  уголовной ответственности за  компьютерные преступления (computer crime) и

II - установление уголовной  ответственности за преступления, связанные с Интернетом (Internet - related crime).

Данную сферу  регулируют следующие акты: Закон  о злоупотреблении компьютером 1990 г.; Закон о телекоммуникациях (обман) 1997 г.; Закон об электронном сообщении 2000 г.  Кроме того, ряд положений об ответственности закреплен в других актах: Закон о защите персональных данных 1998 г.; Закон о телевизионных лицензиях (раскрытие информации) 2000 г.; Закон о борьбе с обманом в области социального обеспечения 2001 г.; Закон о мошенничестве 2006 г.

Возвращаясь к вопросу  об интернет-мошенничестве, следует  обратить внимание, что подобный состав преступления существует в зарубежном законодательстве: в частности, в  Уголовном Кодексе ФРГ параграф 263a называется «Компьютерное мошенничество», которым регламентирована ответственность  лица, желающего неправомерно получить для себя или третьего лица имущественную  выгоду, с помощью неправильного  создания программ, использования неправильных или неполных данных, неправомочного использования информации и воздействия  на результаты ее обработки.

И рано или поздно, но такой квалифицирующий состав все равно появится в нашем  УК – все-таки  очень велика цифра финансовых потерь именно в связи с интернет-мошенничеством и кражей денежных средств с банковских счетов посредством несанкционированного доступа с помощью компьютерных технологий.

Вот, к примеру, совсем недавний случай интернет-мошенничества: двое людей создали фиктивный интернет-магазин, принимали к оплате деньги за биотопливо, но товар не высылали. Тянули один-два месяца, а потом переставали отвечать на телефонные звонки. В итоге был нанесен ущерб по известным следствию эпизодам в размере порядка одного миллиона рублей.  И тенденция такова, что количество подобных преступлений будет лишь расти.

Гораздо более опасным  видом интернет-мошенничества является т.н. фишинг - разновидность сетевого мошенничества, при котором пользователей заманивают на фальшивые сайты, где получают доступ к данным платежных карт с целью хищения денежных средств.  Сегодня целью фишинга в основном являются клиенты банков и электронных платежных систем, но их целью может быть и завладение учетными записями от сервисов электронной почты или иных подобных сервисов, к которым может быть пользователем осуществлена привязка собственных денежных средств. Хотя это относительно новая противозаконная деятельность (первый случай, принято считать, произошел в 1996 г.), но статистика такова: 
•    В 2005 году каждый 20-й пользователь электронными банковскими услугами в Великобритании заявил о потерях, связанных с фишингом. 
•    С мая 2004 г. по май 2005-го 1,2 миллиона пользователей в США понесли потери в связи с фишингом. В общей сложности потери составили 929 млн. долларов США. 
•    В 2007 в Германии зарегистрировано более 3500 случаев фишинга. 
Согласно данным иного исследования, по подсчетам аналитиков компании Gartner, за период с 30 августа 2005 года по 30 августа 2006-го фишеры украли в США $2,8 млрд. В 2006 году ущерб, нанесенный одной жертве фишинга в США, в среднем составил 1244$. В 2005 году эта сумма не превышала 257$, что свидетельствует о невероятном успехе фишеров.  

Таким образом, вы сами можете наблюдать, что масштаб  подобной противозаконной деятельности огромен и она представляет собой достаточно серьезную угрозу для финансовой безопасности. Что касается правовой основы для борьбы с ним (имеется в виду привлечение именно к уголовной ответственности), то, например, в Великобритании был принят Закон о мошенничестве 2006 года,  согласно которому вводилась ответственность за мошенничество в виде тюремного заключения сроком до 10 лет. Кроме того, он ввел запрет на владение или разработку фишинговых инструментов для совершения мошенничеств.  Что касается России, то в Уголовном кодексе РФ нет отдельной статьи, которая охватывала бы состав данного преступления, поэтому в настоящий момент (в зависимости от специфики конкретного деяния) квалифицируются по ст. ст. 158, 159, 183 и 272 УК РФ, что опять, на мой взгляд, создает дополнительную нагрузку для следствия. А если верить «Российской газете», то у нас в 2009 году уже проходило дело в отношении хакеров, совершавших преступления подобным способом.  И обвинительный приговор был вынесен в апреле 2010 г. по ст.ст. 159, 272 УК РФ.

Далее. Аналогичную тенденцию роста  сохраняет иной состав преступления, которого, наверно, к сожалению, пока нет в нашем Кодексе – это  кардинг, то есть род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Проще говоря, если у вас были списаны с карты денежные средства не по вашей воли и не по иным причинам (например, вследствие ошибки оператора при переводе денег) то, скорее всего,  вы стали жертвой именно этого преступления. И хотя за подобные преступления можно привлекать к ответственности сразу по целому букету статей (159, 210, 187, 272, 273, 274) УК РФ, то не проще ли было ввести данный состав преступления в качестве квалифицированного вида мошенничества? Да, привязка к статье 187 УК «Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов» будет оставаться, но зато будет легче (это мое личное мнение и только) проводить юридическую квалификацию по одному составу преступлений, чем по целой группе одновременно. Так что это второй пример размышлений по поводу потенциальных перспектив изменений УК РФ. И в будущем хотелось бы видеть примерно следующие изменения в Кодексе: 
1)    в качестве квалифицирующего признака в ст. 159 УК РФ «Мошенничество» определить использование поддельной банковской карты при совершении хищения или 
2)    создать уголовно-правовую норму, которая могла бы охватить весь спектр противоправных деяний в сфере безналичных расчетов, осуществляемых с использованием банковских карт. 
На мой взгляд, на первоначальном этапе будет достаточно и первого варианта – ввода квалифицирующего признака в указанную статью.

В общем, такое впечатление, что  все три статьи главы 28 УК РФ даже в новой редакции изложены несколько размыто с той целью, чтобы любое противозаконное деяние, связанное с использованием компьютерных технологий, успешно подогнать под состав преступления одной из трех данных статей. Хорошо это или плохо – решать в итоге законодательству. Но оно, в свою очередь, должно опираться на реалии современной правоприменительной практики. А реалии таковы, что многие страны (как кажется, по крайней мере, мне) намного впереди нас и в плане законодательного урегулирования в данной сфере, и в плане правоприменительной практики. 
 Использованная литература:

1.    Уголовный Кодекс Российской Федерации (с посл. изм. от 07.12.2011) // (первонач. редакция) "Собрание законодательства РФ", 17.06.1996, N 25, ст. 2954 
2.    Федеральный закон Российской Федерации от 7 декабря 2011 года № 420-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации" // "Российская газета" - Федеральный выпуск №5654 9 декабря 2011 г. 
3.    The Budapest Convention on Cybercrime (opened for signature in Budapest, on 23 November 2001) // http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm 
4.    Computer Misuse Act 1990 // http://www.legislation.gov.uk/ukpga/1990/18/contents 
5.    Telecommunications (Fraud) Act 1997 // http://www.legislation.gov.uk/ukpga/1997/4/section/2 
6.    Electronic Communications Act 2000 // http://www.legislation.gov.uk/ukpga/2000/7/contents 
7.    Data Protection Act 1998 // http://www.legislation.gov.uk/ukpga/1998/29/contents 
8.    Television Licenses (Disclosure of information) Act 2000 // http://www.legislation.gov.uk/ukpga/2000/15/contents 
9.    Social Security Fraud Act 2001 // http://www.legislation.gov.uk/ukpga/2001/11/contents 
10.  Fraud Act 2006 // http://www.legislation.gov.uk/ukpga/2006/35/contents 
11.  Борисов Т., Интернет-магазин торговал воздухом // "Российская газета" - Федеральный выпуск №5611 (235) 20.10.2011 
12.  Воронцова С.В., Статья: Киберпреступность: проблемы квалификации преступных деяний // "Российская юстиция", 2011, N 2 
13.  Дорохов Р., Уголовный кодекс изменили в помощь хакерам // Vedomosti.ru 01.12.2011 
14.  Кузнецов А.П., Ответственность за преступления в сфере компьютерной информации по зарубежному законодательству // "Международное публичное и частное право", 2007, N 3 
15.  Сабадаш В., Влияние фишинга на развитие электронной коммерции // Центр исследования компьютерной преступности  http://www.crime-research.ru/analytics/sabodach07/ 
16.  Федосенко В., Хакеры в бригаде // "Российская газета" - Федеральный выпуск №4995 (171)  11.09.2009 
17.  В Орске вынесен приговор группе кибермошенников // журнал "Информационная безопасность" http://www.itsec.ru/newstext.php?news_id=70788 
18.  Prison terms for phishing fraudsters // The Register (14 .11.2006)  http://www.theregister.co.uk/2006/11/14/fraud_act_outlaws_phishing/