Уголовное законодательство и цифровая экономика

Уголовное законодательство и цифровая экономика

    Интересное предложение от авторов из Университета МВД по квалификации распространения вирусов-шифровальщиков WannaCry и Petya как "вымогательство". И вполне традиционное замечание о несовершенстве ст.274.1 УК РФ (КИИ).
name='more'>


ОБ ИЗБЫТОЧНОСТИ И ПРОБЕЛЬНОСТИ РЕФОРМИРОВАНИЯ

УГОЛОВНОГО ЗАКОНОДАТЕЛЬСТВА В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ

ЦИФРОВОЙ ЭКОНОМИКИ

Е.А. РУССКЕВИЧ

Русскевич Е.А., кандидат юридических наук, доцент кафедры уголовного права ФГКОУ ВПО "Московский университет МВД России имени В.Я. Кикотя".


    Вместе с тем, на наш взгляд, анализируемая корректировка уголовно-правовой нормы об ответственности за кражу представляется крайне дискуссионной. Ее следствием является то, что кража денежных средств с банковского счета или электронных денежных средств оказалась механически приравнена к краже, совершенной в крупном размере. Таким образом, традиционная модель дифференциации ответственности за преступления против собственности на основе размера похищенного имущества была фактически нарушена.            Разработчики законопроекта указывали на то, что хищение денежных средств в электронной форме либо с банковского счета клиента, как правило, сопряжено с профессионализмом преступников, их оснащенностью и, как следствие, повышенной общественной опасностью <1>.      Однако даже поверхностный анализ правоприменительной практики позволяет сделать вывод, что данный довод весьма далек от реального положения дел. В этой связи уместен следующий пример хищения денежных средств с банковского счета клиента на примитивно-бытовом уровне. В., находясь в квартире Ш., увидел на полке мебельной стенки сим-карту потерпевшей.        Осознавая, что данная сим-карта ему не принадлежит, В. вставил ее в мобильный телефон и получил смс-сообщение от "Мобильного банка" о том, что на расчетном счету банковской карты Ш. находятся денежные средства в размере 5 900 рублей. Реализуя умысел на хищение чужого имущества, В., осознавая, что его действия никем не замечены и носят тайный характер, используя мобильный телефон, с помощью услуги "Мобильный банк" осуществил операцию по переводу денежных средств в размере 5900 рублей, принадлежащих Ш., на расчетный счет своей банковской карты <2>.
     Следует лишь дополнительно отметить, что подобная практика носит массовый характер. Полагаем, что единственно приемлемым выходом из сложившейся ситуации является исключение анализируемого особо квалифицирующего признака из уголовно-правовой нормы об ответственности за кражу.
       Данным Законом также скорректированы название и диспозиция ст. 159.3 УК РФ путем указания на "электронные средства платежа". Понятие таких средств раскрывается в ст. 3 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе". В целом указанная категория является более универсальной и охватывает не только платежные карты, но и иные современные средства безналичных расчетов с использованием информационно-коммуникационных технологий (ApplePay, SamsungPay и др.). Вместе с тем заслуживает внимания то обстоятельство, что, изменив диспозицию ст. 159.3 УК РФ, законодатель по каким-то причинам исключил оговорку о том, что соответствующие действия должны быть сопряжены с обманом уполномоченного работника кредитной или иной организации.       Если согласиться с тем, что такой способ уже не является обязательным, то данный состав преступления станет абсолютно неотличимым от кражи с банковского счета, а равно в отношении электронных денежных средств (п. "г" ч. 3 ст. 158 УК РФ). В связи с этим полагаем, что толкование данного преступления по-прежнему должно основываться на разъяснениях, сформулированных в п. 17 Постановления Пленума Верховного Суда Российской Федерации от 30.11.2017 N 48 "О судебной практике по делам о мошенничестве, присвоении и растрате", согласно которым признаки ст. 159.3 УК РФ имеют место только в случаях, когда хищение имущества осуществлялось путем сообщения уполномоченному работнику кредитной, торговой или иной организации заведомо ложных сведений о принадлежности лицу карты (с учетом изменений - электронного средства платежа) на законных основаниях либо путем умолчания о незаконном владении им такой картой (с учетом изменений - электронным средством платежа).
      Крайне дискуссионным и противоречащим теоретико-правовым основам дифференциации уголовной ответственности явилось решение законодателя о включении в ч. 3 ст. 159.6 УК РФ особо квалифицирующего признака, связанного с совершением компьютерного мошенничества в отношении электронных денежных средств и средств, которые находятся на банковском счете потерпевшего. С учетом специфического способа мошенничество в сфере компьютерной информации, как правило, не предполагает возможности его осуществления в отношении обычных (бумажных) денежных средств (исключением, пожалуй, может выступать противоправное вмешательство в работу программного обеспечения банкомата и последующее изъятие имеющихся денег). Это наглядно подтверждается и материалами довольно многочисленной судебно-следственной практики, где анализируемое преступление так или иначе всегда посягает на безналичные или электронные деньги. Таким образом, изменив редакцию ст. 159.6 УК РФ, законодатель практически аннулировал действие ее первой и второй части.
       Более перспективным направлением, на наш взгляд, является установление повышенной ответственности за совершение мошенничества в сфере компьютерной информации "с неправомерным сокрытием либо изменением идентификаторов оконечного оборудования пользователя информационно-коммуникационной сети (в том числе сети Интернет)".
      Как справедливо отмечает В.Х. Каримов, система шифрования и сокрытия данных пользователей Интернета активно используется преступным миром, вследствие чего у заинтересованных структур, в том числе правоохранительных, возникают сложности в расшифровке сведений и установлении лиц, их использующих <1>.
     Предпринимаемые законодателем меры по защите цифровой экономики от киберпреступности, к сожалению, не затронули современную редакцию уголовно-правовой нормы об ответственности за вымогательство (ст. 163 УК РФ), которая до настоящего времени не позволяет должным образом оценить требования о передаче денежных средств или иного имущества под угрозой совершения действий, связанных с блокированием, уничтожением или повреждением компьютерной информации.
     Вместе с тем в современных условиях такие деяния получают все большее распространение. Так, в качестве примеров можно привести атаки на информационную инфраструктуру ряда государств, в том числе России, вирусов-шифровальщиков WannaCry и Petya. В общей сложности только от WannaCry пострадало более 500 тысяч компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 150 странах мира <1>. Как известно, условием возобновления доступа к заблокированной компьютерной информации выступала выплата потерпевшим определенной суммы денежных средств.
   В правоприменительной практике такие случаи квалифицируются исключительно по статьям о преступлениях в сфере компьютерной информации (ст. ст. 272, 273 УК РФ). Однако такая юридическая оценка является объективно неполной, поскольку охватывает только деяния, связанные с использованием вредоносного программного обеспечения и неправомерным доступом к компьютерной информации. Последующее же требование о передаче владельцем информационного актива денежных средств или иного имущества остается без надлежащей уголовно-правовой оценки. На это обстоятельство уже неоднократно обращалось внимание в отечественной доктрине уголовного права <1>.
   Полагаем, что данный пробел должен быть устранен посредством дополнения диспозиции ст. 163 УК РФ указанием на "угрозу совершения действий, связанных с блокированием, уничтожением или повреждением компьютерной информации".
   Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" предполагает категорирование всех объектов прежде всего в зависимости от социальной, политической и экономической значимости. К сожалению, действующая редакция ст. 274.1 УК РФ не учитывает данное деление, что представляется существенным упущением не только с точки зрения игнорирования критериев дифференциации уголовной ответственности, но и, что, пожалуй, более значимо, анализируемая уголовно-правовая норма не позволяет должным образом оценить различия в объеме и значимости социальных последствий криминальных посягательств на объекты критической инфраструктуры. Вместе с тем вполне очевидно, что совершение компьютерной атаки на IT-инфраструктуру банка из первой тройки и кредитно-финансовой организации из третьей сотни рейтинга представляет собой отнюдь не одно и то же. Возможности учета опасности указанного деяния только лишь посредством дифференциации уголовного наказания, как представляется, явно недостаточны. Полагаем, что в этой части уголовно-правовая норма об ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации также требует соответствующей корректировки.


P.S. В «Клубе любителей КИИ» развивается цикл заметок про планирование действий персонала субъекта КИИ в нештатной ситуации (мера ДНС.1). Присоединяйтесь к обсуждению, комментируйте и делитесь опытом, распространяйте полезные наработки.

 

Нештатные ситуации.  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-ot-nas-trebuiut-npa-62058490047813262a1fcf8d

Нештатные ситуации. Что надо сделать?  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-nado-sdelat-620578d0a64db977482cb531

https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-6202bffa1688a06355f95388

Нештатные ситуации. Что от нас требуют НПА?  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470

Нештатные ситуации. Принципы формирования плана действий.  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470




* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
******Группа вконтакте  https://vk.com/klub187fz
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности