Верховный суд РФ рассмотрел дело о хакерской атаке на бизнес-компанию: обвиняемый вскрыл информацию на 17 серверах общества, в том числе получил неправомерный доступ к коммерческой тайне и персональным данным, и написал руководству электронное письмо, в котором угрожал заблокировать и уничтожить компьютерные системы, если не получит выкуп в виде биткоинов – 2 единицы, стоимость которых оценивалась в более 1 миллиона рублей. 

Потерпевшие в ходе процесса указали, что блокировка информации на серверах лишила бы компанию возможности выполнять взятые на себя обязательства перед партнерами и привела к остановке процессов отгрузки и доставки товаров. Блокировка информационных баз данных создала реальную угрозу наступления тяжких последствий, отмечали свидетели. По их оценкам ущерб мог составить почти полмиллиарда рублей. Поэтому, пояснили представители общества, под воздействием угрозы они перевели на электронный кошелек фигуранта 0,8 единиц криптовалюты.

Примечательно, что на этапе следствия обвиняемому вменялись незаконный доступ к компьютерной информации (272 УК РФ) и вымогательство (163 УК РФ), но гособвинитель попросил о переквалификации вымогательства на грабеж (161 УК РФ) и суд его позицию поддержал. 

Назад в будущее 

«Из анализа представленной совокупности доказательств и направленности умысла и криминально активных действий подсудимого следует, что (осужденный) открытым способом в электронной переписке высказал безальтернативное требование имущественного характера в адрес представителей ООО о незамедлительной передаче ему денежных средств в размере, превышающем 500 тысяч рублей, угрожая сохранением дальнейшей блокировки компьютерной информации», – поясняется в приговоре. 

Первая инстанция отметила, что у нее не вызывает сомнений наличие корыстных побуждений у подсудимого, поскольку целью преступных действий было получение денежного вознаграждения за предоставление ключей для дешифрования и восстановления доступа к заблокированной компьютерной информации.

«Отсутствие законодательной определенности правового статуса «биткоинов» не свидетельствует об отсутствии материального ущерба, поскольку ООО понесло убытки», – указал суд.

Однако суд апелляционной инстанции прекратил уголовное преследование по статье грабеж за отсутствием состава преступления. Также он оставил гражданский иск компании без рассмотрения.

Апелляционная инстанция указала, что выводы суда первой инстанции о квалификации действий по статье 161 УК РФ не основаны на уголовном законе.

«Поскольку по смыслу закона грабеж предполагает нахождение преступника и иных лиц в одном месте, завладение имуществом при грабеже происходит одновременно с высказанной угрозой либо сразу после нее, что и отличает грабеж от вымогательства, при котором умысел виновного направлен на получение требуемого имущества в будущем», – пояснила апелляция. 

Учитывая то, что в момент требования о передаче имущества обвиняемый находился в Ростове-на-Дону, а сотрудники ООО – в Томске, а сам шантаж происходил с помощью электронной почты, то суд апелляционной инстанции пришел к выводу, что умысел фигуранта был направлен на получение требуемого имущества в будущем, поскольку в данных условиях направление электронного письма не могло являться средством завладения имуществом.

В связи с чем суд апелляционной инстанции посчитал, что действия не содержат всех признаков как грабежа, так и вымогательства, что исключает привлечение его к уголовной ответственности. Более того, суд признал за хакером право на реабилитацию. Суд кассационной инстанции согласился с этими выводами.

В ВС с представлением обратился замгенпрокурора, который полагает, что гособвинитель ошибочно предложил переквалифицировать действия хакера на грабеж. 

Вымогательство или грабеж? 

«Если действия, предусмотренные ст. 272 УК РФ, выступали способом совершения иных преступлений (например, модификация охраняемой законом компьютерной информации либо неправомерный доступ к ней осуществлялся с целью совершения кражи или мошенничества) они подлежат квалификации по совокупности с преступлениями, предусмотренными соответствующими статьями УК РФ», – разъясняет ВС со ссылкой на позицию Пленума (пункт 16 Постановления от 15 декабря 2022 года №37). 

При изложении в приговоре обстоятельств преступления о неправомерном доступе к компьютерной информации суд фактически признал наличие в действиях фигуранта вымогательства, указав, что требования осужденного сопровождались угрозами сохранения блокировки, уничтожения и повреждения компьютерных систем и имущества организации, обращает внимание ВС.

При этом под воздействием угрозы подсудимый получил биткоин на электронный кошелек, но факт завладения денежными средствами в итоге судебными инстанциями вообще не расценен как преступление, говорится в определении. 

ВС считает, что следует согласиться с доводами замгенпрокурора. 

Автор протеста, в частности указал, что для оценки угрозы как реальной не имеет значения, выражено ли намерение осуществить ее немедленно либо в будущем. Несмотря на то, что фигурант прямо не угрожал уничтожить или повредить информацию, создание препятствий для доступа к ней в совокупности с выдвинутым условием о снятии блокировки лишь в случае выполнения его требований имущественного характера, фактически является угрозой приведения информации в негодность для использования по назначению, то есть угрозой ее уничтожения, указано в представлении. 

«Следует признать, что оставление судами апелляционной и кассационной инстанций без внимания существенных обстоятельств, установленных судом первой инстанции, повлекло нарушение права потерпевшего на защиту своих интересов, что искажает саму суть правосудия и смысл судебного решения как акта правосудия», – подчеркивает высшая инстанция. 

В результате Судебная коллегия ВС РФ определила направить уголовное дело на новое рассмотрение со стадии судебного разбирательства в суд первой инстанции. (Дело №88-УДП23-7-К8)