Работа Государственной Думы РФ по развитию законодательства будет включать изменения, о которых говорилось 3 июня 2016 года на совещании Правительства России, посвященном вопросам информационной безопасности в кредитно-финансовой сфере. Совершенно правильно отмечалось, что противодействие киберпреступности является многосторонней системной задачей. Такая работа в настоящее время ведётся по нескольким направлениям.
КОМПЛЕКСНАЯ АКТУАЛИЗАЦИЯ
Кроме формирования необходимой инфраструктуры, использования технических и организационных мер, необходимо, конечно, совершенствование законодательной базы. Ощутимого результата добиться не получится, внеся изменения в какой-то отдельный закон. Предстоит актуализировать, усовершенствовать целый комплекс нормативных актов, принадлежащих к разным отраслям права: уголовному, процессуальному, административному и финансовому.
Проходят согласования поправки в Уголовный кодекс РФ об изменении статей, касающихся компьютерных преступлений, разработанные с участием ведущих банков. Эти поправки разрабатывались, исходя из насущных требований современной практики. Жёсткость ответственности за преступления должна быть приведена в соответствие с их общественной опасностью.
В частности, в статье 1596 Уголовного Кодекса РФ предполагается изменить квалификацию ряда киберпреступлений в финансовой сфере с мошенничества на кражу. Стоит вспомнить, что указанная статья, введённая Федеральным законом от 29 ноября 2012 года № 207-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации», в своё время вызвала большие споры среди специалистов.
Отличительной чертой мошенничества является способ завладения чужим имуществом – обман или злоупотребление доверием. В киберпреступлениях хищение или приобретение права на чужое имущество сопряжено с преодолением компьютерной защиты и осуществляется путем манипуляции с компьютерной информацией. Обмана или злоупотребления доверием, в том смысле, в каком он был определен Пленумом Верховного Суда еще в 2007 году, по сути, нет. Предстоит устранить это несоответствие, которое оставляет злоумышленникам надежду на более мягкое наказание.
УЖЕСТОЧЕНИЕ СООБРАЗНО ОПАСНОСТИ
Учитывая общественную опасность компьютерных преступлений в кредитно-финансовой сфере, можно ожидать дальнейшего ужесточения ответственности за их подготовку и совершение. Ранее в русле этой тенденции в 2011 году были внесены изменения в ст. 272, 273 и 274 главы 28 Уголовного Кодекса РФ. Нами был подготовлен законопроект дальнейших изменений в Уголовный кодекс РФ, касающихся усиления уголовной ответственности за хищение денежных средств с банковского счета, включая электронные платежи.
До сих пор такие деяния квалифицировались согласно части 1 статьи 158, по общему состав преступления, - как обычная кража. Виновные проговаривались к наказанию в виде лишения свободы на срок всего до 2 лет. После принятия предлагаемых изменений такие кражи смогут квалифицироваться как специальный состав преступления. Подобные преступления начнут подпадать под действие части 3 статьи 158-й Уголовного Кодекса РФ, перейдут из категории небольшой степени тяжести в тяжкие. Наказание за их совершение лишением свободы увеличится на срок до 6 лет.
Одновременно законопроект расширяет объективную сторону состава преступления, связанного с мошенничеством с использованием электронных средств платежа – не только платёжных карт, но и интернет-банкинга и других подобных современных способов. Ранее состав подобных преступлений предусматривал действия только с платёжными картами и вообще не наказывался лишением свободы, только штрафом. Теперь такие преступления предлагается наказывать лишением свободы на срок до 3 лет.
Кроме того, в законопроекте ужесточается наказание за мошенничество в сфере компьютерной информации согласно уже упомянутой статья 1596 Уголовного Кодекса РФ. Срок лишения свободы за подобные преступления увеличивается до 5 лет. Этот законопроект находится на согласовании в Правительстве России и Верховном Суде РФ. Конечно, этот процесс не будет быстрым и простым, но предлагаемые нововведения должны пройти всестороннюю проверку на соответствие системному характеру законодательства, принципам соразмерности и справедливости. В этом видится залог эффективности работы по совершенствованию законодательства.
В ходе проводящихся согласований, а также работы по принятию предлагаемого законопроекта Государственной Думой, возможна корректировка некоторых содержащихся в нём положений. Непреодолимых противоречий нет, речь идёт о чисто рабочих вопросах.
Например, у Верховного Суда РФ свой подход к тому, к какой краже можно приравнивать хищение средств с банковского счета. То ли к краже в крупном размере, от 250 000 до 1 млн рублей, то ли к краже с причинением значительного ущерба гражданину, который определяется с учетом его имущественного положения, но не менее 5 000 рублей. От ответа на данный вопрос зависит определение категории тяжести преступления - средней тяжести или тяжкое. Что соответственно, определяет строгость наказания, лишение свободы сроком на 5 или на 6 лет.
АДРЕСНАЯ ДЕТАЛИЗАЦИЯ
Ещё одна тенденция, как показывает зарубежный опыт, в частности, США и Великобритании, - усиление детализации в уголовном законодательстве различных видов компьютерных преступлений. Таких, как кража паролей, DDoS-атаки и многие другие незаконные действия злоумышленников. Превалирующая пока в российском уголовном законодательстве квалификация подобных деяний как неправомерного доступа к информации перестала соответствовать их серьезности и опасности.
Однако следует помнить, что в США и Великобритании действует прецедентная система права, при которой велика роль судейского усмотрения, способного компенсировать коллизии между специальными нормами уголовного закона. Этот правовой механизм имел свои предпосылки, формировался веками, и нельзя просто так скопировать его на наши реалии. В Российской Федерации - свой путь правотворчества, адаптации норм к судебной практике.
Детализация различных видов компьютерных преступлений в российском законодательстве, конечно, будет вестись. Вопрос и в том, насколько быстро, качественно и посредством каких механизмов. Важно, чтобы этот процесс шёл с учетом специфики нашей правовой системы. Вспомним, что до 2012 года в Уголовном Кодексе РФ был закреплен только один общий состав мошенничества. Потом Государственная Дума РФ приняла уже упомянутый Федеральный закон № 207-ФЗ. Появились специальные статьи, позволяющие квалифицировать мошенничество в отдельных сферах: в кредитовании, в страховании, при использовании банковских карт, в сфере информационных технологий.
Скажем откровенно: все трудности с квалификацией ряда преступлений после этого разом не исчезли. Например, мошенничество в сфере информационных технологий может быть совершено в различных сферах - кредитования, страховании, социальных выплат, интернет-банкинга - и содержать признаки нескольких специальных составов преступлений. Учитывая подобный опыт, нужно стремиться, чтобы детализация в законодательстве различных видов компьютерных преступлений не привела к лишнему усложнению правоприменительной практики.
ПРИОСТАНОВКА ПОДОЗРИТЕЛЬНЫХ ТРАНЗАКЦИЙ
Ещё одним узким местом остаются пробелы в законодательстве, не позволяющие сформулировать официальные критерии неправомерных электронных платежей. Такие критерии необходимы, чтобы приостанавливать сомнительные транзакции до результатов разбирательства. По мнению экспертов, это мешает выстраивать безопасное информационное пространство в кредитно-финансовой сфере.
Можно дать оптимистический прогноз ликвидации указанного пробела: нами подготовленный законопроект, который находится на стыке ряда отраслей права и вносит изменения в несколько нормативных актов. В частности, ? в федеральные законы ФЗ-161 от 27 июня 2011 года «О национальной платежной системе», закон ФЗ-395-1 от 2 декабря 1990 года «О банках и банковской деятельности», ФЗ-86 от 10 июля 2002 года «О Центральном банке Российской Федерации», а также в Арбитражный процессуальный кодекс РФ.
Законопроект получил положительную оценку Банка России. Сейчас идет процесс согласования с Правительством Российской Федерации. Он направлен на решение проблемы несанкционированных снятий денежных средств со счетов физических лиц, которые осуществляются в первую очередь с использованием платёжных карт, посредством сети интернет и устройств мобильной связи. Доля таких операций, составившая в IV квартале 2014 года 66%, выросла до 74% к концу 2015 года. По прогнозам экспертов, в 2017 году ожидается дальнейших рост числа атак на счета клиентов, в том числе через платежные системы, платформы для оплаты государственных услуг, посредством средств мобильной связи и систем дистанционного банковского обслуживания.
Законопроект закрепляет право, а в ряде случаев и обязанность банка приостанавливать транзакцию, если выявлены признаки совершения перевода денежных средств без согласия плательщика. Обязательные признаки несанкционированных снятий будут вырабатываться Банком России. Так же банки могут самостоятельно вырабатывать факультативные признаки неправомерных транзакций, которые они смогут использовать в работе с клиентами.
ВОЗВРАЩЕНИЕ ПОХИЩЕННЫХ СРЕДСТВ
Кроме того, для случаев, когда выявлены признаки совершения перевода денежных средств без согласия плательщика, устанавливается порядок действий банков для возврата денег законному владельцу. Законопроект определяет порядок возврата денежных средств при доказанности факта, что перевод был осуществлен без согласия клиента. Нужно подчеркнуть: при этом законопроект не удлиняет срок проведения платежей клиентов кредитных организаций.
С практической точки зрения данный правовой механизм выглядит так. Дело не безнадежно, даже если деньги по поддельному электронному платёжному поручению списаны со счёта владельца без его согласия. Банк-плательщик на основании имеющихся признаков несанкционированного списания может направить банку-получателю уведомление о приостановлении зачисления денежный средств.
Далее в течение 14 рабочих дней банк-плательщик должен представить решение арбитражного суда, принятое по особой ускоренной процедуре, в котором устанавливается факт несанкционированного снятия денежных средств. Тогда несанкционированно переведённые денежные средства могут быть возвращены их владельцу.
Если же такого судебного решения своевременно не поступит, то деньги зачисляются на счет банка-получателя. В этом случае ответственность за ущерб, причинённый владельцу денежных средств, возлагается на него самого. Банк может сам выявить подозрительный платёж и дополнительно проверить его правомерность.
Но и клиент банка, владелец денежных средств на счету, должен заботиться о том, чтобы добросовестно незамедлительно уведомлять банка об инцидентах - списании денежных средств без его согласия. Чтобы, в отведённое на это время, несанкционированный платёж был приостановлен, и проведены процедуры возврата денег.
Для противодействия киберпреступности в финансовой сфере нуждаются в развитии нормы федеральных законов Ф3-152 от 27 июля 2006 года «О персональных данных» и 395-1-ФЗ «О банках и банковской деятельности» ? в части, касающейся банковской тайны. Ряд норм нуждаются в дополнении и конкретизации, поскольку препятствуют информацией банку друг с другом и с правоохранительными органами о дропперах. То есть о лицах, напрямую занимающихся выводом и снятием наличными денежных средств, похищенных в результате киберпреступлений.
Подготовленный нами законопроект создаст правовую возможность формирования базы данных покушений совершения переводов денежных средств без согласия клиента, включая удачные случаи. Главным оператором этой базы, согласно федеральному законодательству, будет ведущий государственный регулятор финансового сектора - Банк России. Кредитные организации обязаны будут направлять регулятору информацию обо всех подобных инцидентах. Объем и порядок предоставления такой информации будет устанавливаться ведомственными нормативными документами Банка России.