Компьютерные преступления в сфере оборота платежных карт

Компьютерные преступления в сфере оборота платежных карт

Статьи 272 и 273 УК РФ. Понятие, виды и способы совершения преступлений

Как показывает практика, реальная необходимость вменения компьютерных преступлений по делам о преступлениях в сфере оборота платежных карт возникает при расследовании сложных и особо сложных уголовных дел, возбужденных по ст. 187, 158 и 159 УК РФ, а именно тех, которые не относятся к так называемым бытовым случаям. Вместе с тем с формальной точки зрения практически любое преступление в сфере оборота платежных карт сопровождается незаконным доступом к компьютерной информации либо ее копированием, модификацией ввиду значительной компьютеризации процессов банковского обслуживания и денежных расчетов в современный период[38].

Таким образом, в механизме преступной деятельности компьютерное преступление занимает весьма важную роль, являясь необходимой предпосылкой, этапом подготовки к совершению мошеннических действий либо изготовлению поддельных платежных карт, а также неотъемлемой частью способа совершения мошенничества при использовании банкомата либо совершения покупок в магазинах и интернет-магазинах.

В условиях организованного характера преступной деятельности в сфере оборота платежных карт возможность вменения компьютерного преступления нельзя недооценивать. Деятельность организованных преступных групп в данной сфере довольно четко структурирована. Одни преступники занимаются исключительно сбором конфиденциальной информации, содержащейся на платежных картах[39], другие несут обязанности по изготовлению поддельных платежных карт или «белого пластика»[40]. Отдельная часть группы, обычно наименее квалифицированная и изолированная от костяка, входит в непосредственный контакт с персоналом торговых и сервисных предприятий[41], осуществляет снятие наличных денег через банкоматы. В России практически отсутствует практика разоблачения деятельности организованных преступных групп, совершающих преступления в сфере оборота платежных карт[42], так как обвиняемые не дают показания на других членов преступной группы, действующих на иных этапах преступной схемы, а иными способами их связь установить чрезвычайно сложно. Более того, играет роль высокая степень конспирации и отсутствие необходимости личных контактов для взаимодействия.

Согласно УК РФ в качестве компьютерных преступлений в рассматриваемой ситуации возможна квалификация следующих случаев.

1. Несанкционированный доступ (НСД) — неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

2. Несанкционированное воздействие (НСВ) — создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.

Как НСД (ст. 272 УК РФ) следует квалифицировать деяния, связанные с использованием платежных карт, в следующих ситуациях:

• реквизиты платежной карты скрытно копируются злоумышленником с помощью криминального (скиммингового) оборудования при обслуживании граждан в магазинах, кафе, иных местах, открытых для публичного посещения, при этом возможна запись ПИН-кода либо он просто подглядывается;

• реквизиты платежной карты скрытно копируются злоумышленником с помощью криминального (скиммингового) оборудования, размещенного на банкомате, ПИН-код фиксируется скрытно установленной видеокамерой либо накладной клавиатурой[43];

• реквизиты платежной карты копируются злоумышленником в результате внешнего доступа к компьютерной сети торгового или сервисного предприятия, процессингового центра, банка, ПИН-код не копируется (необходимо скомпрометировать криптографические ключи);

• реквизиты платежной карты копируются злоумышленником в результате доступа к компьютерной сети торгового или сервисного предприятия, процессингового центра, банка с помощью сообщника;

• реквизиты платежной карты копируются злоумышленником в результате взлома существующего или создания фальшивого, обманного интернет-сайта (фишинг);

• реквизиты платежной карты копируются злоумышленником в результате доступа к электронным каналам связи.

Реквизиты платежной карты копируются злоумышленником в результате использования вредоносного программного обеспечения в торговых терминалах, кассовых решениях, терминалах самообслуживания, банкоматах.

Таким образом, НСД особенно характерен для этапа подготовки к «основному» преступлению — мошенническим действиям, однако в практике имеются случаи вменения ст. 272 УК РФ в связи с самим событием «основного» преступления[44].

НСВ (ст. 273 УК РФ) обычно представляет собой следующее:

• создание, распространение и использование программ, модифицирующих программное обеспечение без ведома пользователя, результатом работы которых является копирование реквизитов платежных карт;

• создание, распространение и использование программ, управляющих криминальным оборудованием (в частности к ним могут относиться машинные носители), используемым при копировании реквизитов платежной карты[45];

• иное.

Как показывает практика, наиболее часто компьютерные преступления, совершаемые в ходе преступной деятельности в области оборота платежных карт, квалифицируются по ст. 272 УК РФ.

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем[46].

Неправомерным считается доступ к компьютерной информации, если:

• субъект не имеет прав доступа к этой информации;

• субъект имеет право доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа.

При этом по отношению к этой информации должны приниматься меры защиты, ограничивающие к ней доступ, т. е. она должна быть конфиденциальной.

При применении ст. 272 УК РФ модификация (переработка) программы для ЭВМ или базы данных должна пониматься как любые изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой язык, за исключением адаптации, т. е. внесения изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя[47].

Предмет и объект преступлений

Объект компьютерных преступлений — та совокупность общественных отношений, которая складывается по отношению к компьютерной информации и программам для ЭВМ с точки зрения их оборота и использования, сохранения конфиденциальности. Предмет преступления — охраняемая законом компьютерная информация (НСД), а также программа для ЭВМ (НСВ).

Объект НСД — неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, т. е. нарушение информационной безопасности информационной системы.

Объект НСВ — безопасность информации и оборудования, предназначенного для его обработки, т. е. нарушение целостности и сохранности информационной системы и системы ее информационной безопасности. В отличие от НСД НСВ характеризуется как формальный состав преступления, доказывания связи воздействия на программное обеспечение или создания вредоносного программного обеспечения не требуется, достаточно лишь факта их создания либо попытки их использования.

Предметом неправомерного доступа к охраняемой законом компьютерной информации является деяние, повлекшее уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети[48].

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами[49].

Неправомерным считается доступ к компьютерной информации, если:

• субъект не имеет права доступа к этой информации;

• субъект имеет право доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа.

При этом по отношению к этой информации должны приниматься меры по защите, ограничивающие к ней доступ.

Данная статья УК РФ защищает компьютерную информацию, где бы она ни была представлена.

При квалификации противоправных действий по данной статье необходимо учитывать, что компьютерная информация, к которой осуществляется неправомерный доступ, должна защищаться законом. Каким же законом защищается данная информация?

Согласно ст. 3 ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[50] «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу».

В Положении ЦБ РФ от 19 августа 2004 г. № 262-П «Положение об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» говорится, что «при совершении сделок с использованием платежных (банковских) карт идентификация осуществляется на основе реквизитов платежной (банковской) карты, а также кодов (паролей)». То есть информация о номере банковской карты идентифицирует (определяет) для банка держателя (физическое лицо). Следовательно, такая информация является персональными данными и охраняется законом. Неправомерный доступ к такой информации, если она представлена в компьютерном виде и это повлекло ее копирование, будет составлять объективную сторону преступления, предусмотренного ст. 272 УК РФ.

Дополнительно необходимо учитывать, что в случае банковских карт имеет место защищаемая законом банковская тайна.

Определение банковской тайны дано в ГК РФ и в Федеральном законе от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности»[51].

Статья 857 ГК РФ. Банковская тайна

«1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте».

Статья 26 Федерального закона от 2 декабря 1990 г. № 395-1 «0 банках и банковской деятельности»

«Кредитная организация… гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов».

По смыслу Положения ЦБ РФ № 266-П банковская платежная карта — это инструмент безналичных расчетов, достоверно устанавливающий соответствие между реквизитами платежной карты и соответствующим счетом физического лица, юридического лица, индивидуального предпринимателя (клиента банка). Таким образом, банковская платежная карта указывает на реквизиты банковского счета, а такая информация является банковской тайной.

Признаки и содержание объективной стороны

Сотрудниками правоохранительных органов г. Ижевска было осуществлено задержание гражданина, использовавшего подделанные банковские карты в организации торговли. Было возбуждено и доведено до суда уголовное дело по ст. 272 УК РФ, при этом использовалась следующая аргументация.

Сервер банка эмитента содержит компьютерную информацию — данные карт, данные операций, данные остатка денежных средств на счете и другую служебную информацию, объединенную в базу данных ограниченного пользования, доступ к которой строго регламентирован. Информация, размещенная на сервере, имеет конфиденциальный характер, составляет банковскую тайну, т. е. защищается законом, допуск к ней имеет ограниченный список уполномоченных лиц в соответствии с должностными обязанностями. Авторизация покупки либо выдача наличных денежных средств через банкомат влечет за собой уменьшение платежного лимита, т. е. модификацию (изменение) электронных данных на авторизационном сервере банка-эмитента, а именно содержания базы данных.

Несмотря на наличие описанной выше практики, представляется, что доказывание по этой статье может составлять определенную трудность в случае несанкционированного использования банковских карт иностранных эмитентов.

Под переработкой (модификацией) программы для ЭВМ или базы данных, как мы уже говорили выше, понимаются любые их изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой. Исключением является адаптация программы, т. е. внесение изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя[52]. А копирование информации — «перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации»[53].

Таким образом, объективная сторона НСД формируется за счет следующих обстоятельств совершения преступления: модификации либо копирования информации, защищаемой законом (персональные данные, банковская тайна).

Вместе с тем НСД имеет место также при совершении мошенничества без платежной карты с использованием ее реквизитов, например, при совершении покупок в интернет-магазине, так как независимо от способа НСД возникает одно и то же вредное последствие — модификация данных на сервере кредитного учреждения.

Упомянутый ранее скимминг может быть квалифицирован не только как НСД, но и как НСВ, так как его осуществление связано с созданием или использованием программ, управляющих работой используемого криминального оборудования, что является законченным преступлением.

Субъект и субъективная сторона

Субъект преступления по ст. 272 и 273 УК РФ — вменяемое физическое лицо, достигшее 16-летнего возраста.

С субъективной стороны преступления характеризуются наличием прямого умысла (осознание неправомерного доступа, предвидение наступления вредных последствий и желание их наступления) или косвенного умысла (осознание неправомерного доступа, предвидение наступления вредных последствий и сознательное допущение их наступления либо безразличное отношение к наступлению последствий).

Не признается преступлением доступ к информации без намерения совершить общественно опасное деяние (техническая помощь пользователю не допущенным к ЭВМ работником, выполнение работы за другое лицо с целью ускорения производственного процесса, непроизвольный доступ к информации вследствие ошибки непосредственного пользователя и т. п.).

В отличие от широко распространенной точки зрения о том, что субъектом преступления по ст. 272 и 273 УК РФ является специалист, обладающий глубокими знаниями в компьютерной технике и программировании, при совершении хищений в сфере оборота платежных карт субъектом НСД и НСВ (в форме использования программ для ЭВМ в составе оборудования, использованного для совершения преступления) могут быть неквалифицированные физические лица[54].

Как сказано ранее, обычно компьютерные преступления в рассматриваемой области совершаются на этапе подготовки и совершения хищений с использованием платежных карт. При этом подготовка и совершение обычно производятся разными группами лиц, а также на различных территориях как внутри России[55], так и за рубежом[56]. Однако в практике имеются случаи, когда изготовление «белого пластика» и снятие наличных денег осуществлялись одним лицом[57].

Например, в указанном ранее деле граждане Болгарии Г. Т. Илиев и Ц. Н. Божилов осуществляли копирование реквизитов платежных карт без снятия наличных денег. Более того, программное обеспечение, управлявшее криминальным оборудованием, находившимся в распоряжении осужденных, обеспечивало конфиденциальность полученных реквизитов, в том числе и от осужденных, за счет шифрования данных. Данное обстоятельство вместе с тем послужило одним из препятствий на пути доказывания того, что копирование данных было фактически осуществлено[58], что было определено в ходе осмотра с привлечением специалистов ЭКЦ МВД РФ.

«Банковская тайна» — ст. 183 УК РФ

В случае получения незаконным способом (например, в результате скимминга, покупки через Интернет дампов вторых дорожек или использования фишинга[59]) сведений, составляющих банковскую тайну (номеров банковских карт), такие действия будут составлять объективную сторону преступления, предусмотренного ст. 183 УК РФ.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом —

<…>

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности…

Объект преступления — общественные отношения в сфере обращения информации, составляющей банковскую тайну. Данная информация составляет предмет преступного посягательства.

Субъективная сторона характеризуется виной в форме прямого умысла. При этом квалифицирующим признаком будет являться корыстная заинтересованность (информация используется для последующего хищения денежных средств), что влечет более тяжкое наказание.

Субъект преступления — вменяемое лицо, достигшее 16-летнего возраста.

Насколько же законодатель считает данные преступления общественно опасными, какие уголовные наказания за их совершение предусматривает УК РФ?