Какие наказания назначают в России за киберпреступления? Мы проанализировали судебные приговоры по статьям 272, 273, 274 и 274.1 УК РФ за 2019-2024 годы: от неправомерного доступа и создания вредоносных программ до атак на критическую информационную инфраструктуру. Разбираем, как меняется судебная практика по киберпреступлениям, в каких случаях назначают реальные сроки, штрафы или условные наказания.
- Введение
- Статья 272 УК РФ: неправомерный доступ к компьютерной информации
- Статья 273 УК РФ: создание и распространение вредоносных программ
- Статья 274 УК РФ: нарушение правил эксплуатации ИТ-систем
- Статья 274.1 УК РФ: атаки на критическую информационную инфраструктуру (КИИ)
- Выводы
Введение
Киберпреступность постоянно развивается. Это касается как использования ИТ в традиционных преступлениях — кражах, мошенничестве, вымогательстве, распространении запрещенных веществ, — так и деяний, которые в российском Уголовном кодексе классифицируются как «Преступления в сфере компьютерной информации». Нечто похожее есть в соответствующих нормативных документах других стран.
В России долгое время считалось, что в сфере борьбы с такими преступлениями есть две основные проблемы:
- Низкий уровень раскрываемости.
- Снисходительное отношение судей к обвиняемым по данным статьям.
Низкий уровень раскрываемости – проблема глобальная. Такие преступления совершаются удаленно, и существует много трудно решаемых проблем, связанных с определением юрисдикции инцидента даже в том случае, когда злоумышленник, находясь в одном регионе страны, атаковал того, кто живет в другом субъекте той же страны. Если же преступники находятся за границей, всё становится ещё сложнее: многие страны не выдают своих граждан, которые обвиняются в преступлениях, совершенных на территории других государств, плюс ко всему часто в дело вмешиваются политика и геополитика.
А вот благодушное отношение судей к обвиняемым по статьям из 28 главы Уголовного кодекса РФ – 272 (неправомерный доступ к компьютерной информации), 273 (создание, использование и распространение вредоносных компьютерных программ), 274 (нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей) и 274.1 (Неправомерное воздействие на критическую информационную инфраструктуру) действительно является системной проблемой, которую не удается решить уже много лет. Ситуация меняется, но довольно медленно.
Как показало исследование, проведенное «СёрчИнформ», лишь 5% дел по преступлениям в сфере ИБ заканчивается реальным сроком. Суды чаще назначают штрафы, условные сроки и запрет занимать определенные должности. В 2023 году в качестве меры наказания появилась конфискация имущества, но пока, насколько нам известно, ее не применяли.
Мы решили разобрать то, какие меры наказания назначали российские суды по статьям из 28-й главы УК РФ за 2019-2024 годы. Мы использовали данные, которые собраны на портале «Судебная статистика».
Статья 272 УК РФ: неправомерный доступ к компьютерной информации
По данной статье суды вынесли больше всего приговоров за все рассматриваемые годы (рис. 1). Количество приговоров с 2019 года значительно увеличилось по разным частям статьи. Исключение составила только первая часть, где зафиксирован рост на 50%, тогда как по остальным он был без малого четырехкратным.
Между тем суды рассматривают лишь около 1-2% возбужденных по этим статьям. Впрочем, отчасти это можно объяснить тем, что по всем статьям из 28-й главы УК сроки следствия весьма длительны.
Такие значительные показатели могут быть связаны не только с ростом количества инцидентов, но и тем, что именно данную статью начали инкриминировать тем, чьи действия, по мнению следствия и судов, подпадали под другие. Это, например, продажи «левых» сим-карт работниками салонов связи, которых, как отметил адвокат Павел Домкин, часто судили по статье 274.1. По ней же привлекали также медиков, которые оформляли подложные сертификаты о вакцинации от гриппа и коронавируса и продавцов на заправочных станциях за мелкие махинации с бонусными системами. По мнению юриста, это обусловлено сложностью расследований по таким делам, тогда как «околонулевая» статистика по статьям УК недопустима с точки зрения правоохранительной системы.
Однако в 2025 году в таких случаях злоумышленникам инкриминируют как раз статью 272. Например, именно по части 3 было возбуждено уголовное дело в отношении трех сотрудников салона мобильной связи в Перми, которые ради выполнения плана продаж оформили большое количество сим-карт на персональные данные случайных лиц.
Рисунок 1. Общее количество приговоров по статье 272 УК РФ за 2019-2024 годы
Что касается мер наказания, которые назначали суды, тот тут ситуация не вполне однозначная. С одной стороны, количество приговоров, где обвиняемым назначено наказание в виде реального лишения свободы, с 2021 года все же отличается от нуля (рис. 2-4). В 2020 году, например, таких приговоров просто не было. С другой стороны, данная тенденция неустойчива, и доля таких приговоров остается низкой.
Рисунок 2. Статистика по приговорам по статье 272 УК РФ за 2019 год
Рисунок 3. Статистика по приговорам по статье 272 УК РФ за 2022 год
Рисунок 4. Статистика по приговорам по статье 272 УК РФ за 2024 год
С другой стороны, доля условных приговоров и штрафов, которые доминировали в 2019-2021 годах, становится заметно ниже. Хотя и в 2022 условные сроки назначали даже рецидивистам.
Также суды более активно назначают другие виды наказания, в частности, ограничение свободы и обязательные или исправительные работы. Как отметил генеральный директор «Международного правового клуба» Павел Борисовский в комментарии для портала «Сфера», российские суды в целом стали выносить меньше приговоров, связанных с лишением свободы. В итоге количество лиц, отбывающих наказание в исправительных колониях, за 10 лет снизилось почти вдвое.
Основатель юридической компании Future Legal Павел Катков также обращает внимание на то, что статьи из 28-й главы УК, в том числе и 272-ю, все чаще сочетают с традиционными, изначально «офлайновыми». Особенно он обратил внимание на статью 159 (мошенничество), поскольку у нее широкие формулировки. К примеру, сочетание статей 272 ч.2 и 159 инкриминируют жителю Челябинска, который оформлял кредиты на других людей, чьи данные он получал в ходе краж аккаунтов на различных онлайн-сервисах.
Двум злоумышленникам, которые воспользовались уязвимостью сервиса «Яндекс Такси» и за счет фиктивных заказов нанесли ущерб в 4,8 млн рублей, и вовсе вменили только статью о мошенничестве. Впрочем, благодаря усилиям их адвокатов и долгому времени, пока продолжалось следствие и суд, назначенный срок обвиняемые уже отбыли, находясь под домашним арестом, который был избран в качестве меры пресечения.
По официальным данным МВД, как напомнил Павел Катков, в России почти треть преступлений совершается с использованием информационно-коммуникационных технологий. И это при том, что количество дистанционных краж и преступлений в сфере компьютерной информации снизилось.
Статья 273 УК РФ: создание и распространение вредоносных программ
Количество приговоров по данной статье по сравнению с 2019 годом снизилось (рис. 5). Причем до 2021 года имел место рост, особенно по части 2, наиболее массовой. А вот по части 3 количество приговоров оставалось на уровне статистической погрешности.
Рисунок 5. Общее количество приговоров по статье 273 за 2019-2024 гг.
Адвокат Павел Домкин связал данную ситуацию по количеству приговоров по данной статье с тем, что статья 273 часто была дополнением к статье 146 (нарушение авторских и смежных прав). «Вредоносными программами» часто признавали разного рода «кряки» (утилиты, которые снимали ограничения демонстрационных версий ПО), активаторы и генераторы ключей, которые часто использовали те, кто устанавливал нелицензионное ПО. Однако после известных событий и ухода зарубежных вендоров правоохранительные органы стали чаще закрывать глаза на тех, кто занимался такой деятельностью.
Что касается распределения назначаемых судами наказаний, то ситуация тут была обратной той, что имеет место со статьей 272. Раньше осуждали на реальные сроки или разного рода работы чаще, чем в 2022 году и позже (рис. 6-8). Даже единственный приговор за рассматриваемый период по довольно «тяжелой» третьей части оказался условным. Вместе с тем, после 2021 года суды чаще стали назначать ограничение свободы.
Рисунок 6. Статистика по вынесенным приговорам по статье 273 за 2019 год
Рисунок 7. Статистика по вынесенным приговорам по статье 273 за 2021 год
Рисунок 8. Статистика по вынесенным приговорам по статье 273 за 2024 год
Вместе с тем, данная статья часто идет довеском к некоторым «офлайновым» статьям, часто довольно тяжелым. В частности, тем, кто использует зловреды для шантажа или требует выкуп, например, за расшифровку данных, инкриминируют статью 163 УК (вымогательство). Ответственность по ней может достигать 15 лет лишения свободы.
Примером тут может стать дело в отношении бывшего сотрудника одной из ИТ-компаний, который требовал от работодателей выкуп 27 млн рублей в криптовалюте. Также в компании F6 в комментарии на новые инициативы по включению новых составов в ряд статей УК в рамках второго пакета антимошеннических мер отметили, что действующие формулировки уже охватывают вымогательство с использованием вредоносного кода.
Статья 274 УК РФ: нарушение правил эксплуатации ИТ-систем
Количество приговоров по данной статье крайне мало. Особенно это касается ее второй части, которых за рассматриваемый период не было вынесено вообще. По первой части статьи 274 количество обвинительных приговоров за 2022-2024 годы единичное, за 2019-2021 год не было вынесено ни одного.
По данной статье не было приговоров с наказанием в виде лишения свободы. Суды приговаривали признанных виновными к ограничению свободы в 2024 году, исправительным работам в 2023 году и штрафу в 2022 году.
Впрочем, максимальное наказание по первой части данной статье небольшое (до 2 лет лишения свободы), и реальный срок по статьям, где установлен тот же уровень ответственности выносится крайне редко — только в случае рецидива или громкого инцидента. И то, в последнем случае, скорее всего, обвинение будет предъявлено по более тяжелой второй части, где мера ответственности выше.
Адвокат Павел Домкин назвал наиболее проблемным моментом определение лица, ответственного за нарушение информационной безопасности. Например, в случае использования нелицензионного ПО или несертифицированных средств защиты привлечение к ответственности ИТ- или ИБ-инженера было бы некорректным, поскольку у таких сотрудников нет полномочий по закупке. Однако практически всегда можно привлечь руководителя организации, вменив ему то, что он не обеспечил соблюдение установленных мер по защите инфраструктуры и данных.
Статья 274.1 УК РФ: атаки на критическую информационную инфраструктуру (КИИ)
Данная статья оказалась второй по количеству приговоров из 28 главы УК РФ по итогам 2024 года (рис. 9). А по темпам роста она далеко впереди остальных. По самой массовой 2 части количество приговоров по сравнению с 2019 годом выросло в 16 раз.
В целом данная статья относительно «молодая»: она была включена в УК в 2018 году, синхронно со вступлением в силу закона № 187-ФЗ, который регламентировал меры по защите объектов критической информационной инфраструктуры. Поэтому количество дел, и, соответственно, осужденных по ней до 2021 года было совсем небольшим.
Между тем, как отметил адвокат Павел Домкин, привлечь по ней настоящего хакера — дело крайне сложное. С другой стороны, околонулевая статистика по статьям УК с точки зрения правоохранительных органов недопустима, и по ней начали привлекать за правонарушения, имеющие весьма отдаленное отношение к сфере КИИ. Об этом уже было сказано выше: речь шла о продавцах салонов мобильной связи, которые фиктивно оформляли сим-карты на случайных людей и работников других сфер, которые занимались мелкими махинациями или приписками. По статистике, собранной компанией DLBI, по данной статье часто привлекали также тех, кто занимался «черным пробивом».
Однако к 2023 году такие деяния начали квалифицировать по другим статьям, в частности, по 272. Действующих сотрудников правоохранительных органов, которых уличали в продаже данных о людях и компаниях, изначально привлекали по другим статьям, связанным с превышением должностных полномочий, взяточничеством, разглашением банковской или налоговой тайны.
Рисунок 9. Общее количество приговоров по статье 274.1 за 2019-2024 гг.
Среди приговоров по данной статье до сих пор безусловно доминируют условные (рис. 10-12). До 2021 года включительно другие меры наказания суды практически не выносили, если не считать единичный случай отправки на принудительное лечение психически больного обвиняемого в 2019 году.
Между тем, по оценке директора Технического департамента RTM Group Федора Музалевского, по статье 274.1 могут быть привлечены сотрудники большого количества компаний за случайные действия, например, удаления файлов, копирование данных на личные устройства, вход в корпоративную сеть с чужими учетными данными или сканирование студентом во время выполнения учебного задания радиочастот, используемых силовыми структурами. Причем эти истории не теория, а реально возбужденные уголовные дела. Так что тут действия судей можно считать не благодушием, а, скорее, осторожностью.
Рисунок 10. Статистика по вынесенным приговорам по статье 274.1 за 2019 год
Рисунок 11. Статистика по вынесенным приговорам по статье 274.1 за 2022 год
Рисунок 12. Статистика по вынесенным приговорам по статье 274.1 за 2024 год
Однако после 2022 года приговоры, связанные с реальным лишением свободы начали выносить. Были и довольно громкие дела, например, в отношении топ-менеджеров «Серена-Тревел» Игоря Ройтмана и Александра Ковальчука. Им вменили бездействие по защите систем компании, что привело к утечке данных и мощной DDoS-атаке. Другой громкой историей стал заказной взлом системы ГИС ЖКХ в начале 2022 года.
Выводы
Действительно, с формальной точки зрения доля приговоров с реальным лишением свободы по статьям из главы 28 УК РФ остается небольшой. С другой стороны, это является частью общей тенденции, которой следует российское правосудие. С большинством «офлайновых» статей ситуация в целом схожая.
С другой стороны, обвиняемым по многим резонансным преступлениям вменяют статьи из 28 главы, что называется, в виде «прицепа». Основной же является другая, обычно мошенничество или вымогательство. Последняя преобладает в отношении тех, кто применяет программы-шифровальщики для шантажа или предъявлением требования выкупа.
