Второй «антифрод-пакет»: Минцифры предлагает ужесточение правил игры для бизнеса и усиление кибербезопасности

Законопроекты, разработанные Минцифры, устанавливают множество новых обязанностей для операторов связи, финансовых организаций и компаний в ИТ-сфере, а также усиливают уголовную ответственность за киберпреступления.

Операторы связи при заключении договоров на услуги связи будут обязаны собирать идентификаторы пользовательского оборудования (IMEI) и передавать их в централизованную базу данных Минцифры. А правоохранительные органы получат право запрещать вызовы с устройств с определенными IMEI. Кроме того, для операторов связи вводится обязанность по передаче сведений о подозрительных абонентах в ГИС противодействия нарушениям с использованием информационных технологий.

Если из ГИС поступит информация о необходимости ограничить работу определенных номеров, то операторы обязаны исполнить такое требование в течение 24 часов. Если меры не были приняты, то оператор обязан возместить абоненту потери, понесенные в результате хищения его средств мошенниками. Обмениваться информацией с ГИС обяжут также администраторов мессенджеров, социальных сетей, сервисов размещения объявлений и операторов по переводу денежных средств.

Есть и другие нововведения. Например, операторы связи должны будут дополнительно маркировать вызовы от юридических лиц и ИП. Виртуальные АТС будет разрешено размещать только на российских сетевых адресах (доменах) и на серверах провайдеров хостинга, включенных в национальный реестр. Для некоторых сайтов обязательной станет авторизация пользователей с помощью российских адресов электронной почты.

Предусматривается также выпуск сертификатов безопасности для российских сайтов, получение которых станет обязательным для разработчиков веб-браузеров, а также государственных органов (при электронном взаимодействии с гражданами).

Операторы по переводу денежных средств будут взаимодействовать с названной ГИС и отказывать в исполнении распоряжений клиента при наличии информации о взломе его учетной записи. Если операцию все же выполнят и клиент в результате понесет потери, то оператор будет обязан возместить сумму такой операции. Также ограничат число банковских карт — не более пяти карт одного банка и не более 10 карт любых банков в совокупности.

Субъекты персональных данных (ПДн) смогут предоставлять согласие на обработку ПДн через портал Госуслуг (ЕСИА) в порядке, определенном правительством. В свою очередь, операторы ПДн также в случаях, определенных правительством, должны будут поставлять в ЕСИА информацию о фактах обработки ПДн. Кроме того, они не будут вправе требовать от граждан предоставления согласия на обработку ПДн, если это не предусмотрено законом или международным договором.

В статью 158 УК РФ («Кража») добавляются новые квалифицирующие признаки: 1) использование банковской карты или счета; 2) взлом информационных систем, в том числе с применением ИИ; 3) применение методов, позволяющих скрыть информацию о пользователе услуг связи (абоненте).

Дополнительные квалифицирующие признаки — использование сети Интернет и методов анонимизации абонента добавляются и в ст. 159 УК РФ («Мошенничество»). При этом утрачивают силу ст. 159.3 и 159.6 УК РФ — составы преступления из этих статей распределяются по другим статьям УК РФ. Кроме того, осужденным по статьям, связанным с интернет- и телефонным мошенничеством, хакерскими атаками и созданием вирусов, нарушением правил работы с ИТ-системами, будут грозить более значительные сроки лишения свободы и суммы уголовных штрафов.

В УК РФ вводится также новая ст. 163.1, предусматривающая ответственность за вымогательство в сфере ИТ, сопряженное со взломом информационных систем, в том числе с использованием ИИ.

Наконец, новой ст. 272.2 предусматривается уголовная ответственность за неправомерное воздействие на информационную систему, даже если доступ к данным не получен. При этом от ответственности освобождаются российские хакеры, которые атакуют «запрещенные» зарубежные сайты.

Прямо указывается, что в уголовно-правовом контексте цифровая валюта признается имуществом, в связи с чем возможны ее конфискация и арест.

Если законы будут приняты в текущей редакции, можно ожидать реального снижения числа киберпреступлений, то есть поставленные цели будут достигнуты. При этом такие меры потребуют от операторов связи и финансовых организаций дополнительных затрат, которые, в свою очередь, могут вызвать рост стоимости их услуг для потребителей.

В целом подготовленный пакет поправок является давно назревшей реакцией уголовного законодательства на изменившийся мир, где знакомые каждому преступления все чаще происходят не в физической, а в виртуальной реальности.

Отличный показатель этого — давно ожидаемая полноценная криминализация посягательств на криптовалюту, которая теперь признана имуществом для целей УК РФ. Изменение касается права государства конфисковывать криптоактивы, на что прямо указывают поправки в примечание к ст. 104.1 УК РФ, посвященной конфискации, и одновременно вводимая норма ст. 164.2 УПК РФ, описывающая саму процедуру.

Не менее важным является признание криптовалюты имуществом для целей всего УК РФ — по логике законопроекта, с момента его принятия за хищения криптовалюты и другие посягательства на нее может наступить уголовная ответственность. Именно эта новелла и представляет наибольший интерес, учитывая, что приговоры за незаконные действия с криптовалютой начали появляться еще несколько лет назад — практически сразу после принятия Федерального закона от 31.07.2020 № 259-ФЗ (см., например, кассационные определения 3КСОЮ от 24.06.2021 № 77-1411/2021, от 06.06.2023 № 77-1296/2023 и др.). В связи с этим предыдущие судебные акты, принятые как бы «на опережение», вряд ли будут пересмотрены.

Законопроект предлагает добавить в отдельные составы новый квалифицирующий признак — совершение преступления с использованием ряда современных технологий, в том числе ИИ и так называемых «сим-боксов». В такой редакции предложенные изменения выглядят более обоснованно, тем более, что их авторы предлагают одновременно исключить из УК РФ составы ст. 159.3 (Мошенничество с электронными средствами платежа) и 159.6 (Мошенничество в сфере компьютерной информации) УК РФ, во избежание коллизий.

В результате сам по себе ИИ не представляется опасным, если только он не используется, например, в хакерских атаках. Хакерские атаки, к слову, предложено закрепить как самостоятельное преступление в ст. 272.2 УК РФ (Злостное воздействие на информационную систему).

Разработанный законопроект заслуживает поддержки, хотя и нуждается в дополнительном юридическом обосновании — хотя бы в части криминализации преступлений с криптовалютой и соотношении новых составов с уже существующими запретами из главы 28 УК РФ. В остальном его положения скорее положительно скажутся на практике, в которой до настоящего времени наблюдаются сложности с привлечением к уголовной ответственности лиц, совершивших разные виды прямо не предусмотренных в УК РФ киберпреступлений.

По инициативе Минцифры РФ готов законопроект с изменениями в УК РФ и УПК РФ в части регулирования случаев киберпреступлений.

В частности, предлагается не освобождать от уголовной ответственности лиц, впервые совершивших преступление и возместивших причиненный ущерб (а также совершивших определенные выплаты в федеральный бюджет), в отношении следующих преступлений: мошенничество с использованием электронных средств платежа (ст. 159.3 УК РФ) и мошенничество в сфере компьютерной информации (ст. 159.6 УК РФ).

Ст. 159.3 УК РФ относится к случаям, когда изъятие денежных средств было осуществлено путем обмана или злоупотребления доверием их владельца или иного лица. Одним из «классических» примеров такого преступления является завладение данными банковской карты человека путем обманных действий. Данный вид преступления следует отличать от случаев кражи (ст. 158 УК РФ), когда хищение было тайным, примером чего является кража банковской карты и совершение с ее помощью покупок, или перевод денежных средств с чужого мобильного телефона (который был похищен), используя банковское приложение.

Примером преступления согласно ст. 159.6 УК РФ является установка вредоносных программ, с помощью которых преступник незаконным образом овладевает чужим имуществом (чаще всего, денежными средствами).

В статье 158 УК РФ (кража) для случаев кражи с использованием компьютерной информации либо путем воздействия на информационные системы/информационно-телекоммуникационные сети впервые вводится понятие «с использованием искусственного интеллекта». Вводится также само понятие ИИ, что является новшеством для российского законодательства: комплекс технологических решений, позволяющий имитировать когнитивные функции человека… и получать при выполнении конкретных задач результаты, сопоставимые как минимум с результатами интеллектуальной деятельности человека.

Кроме того, вводится новая ст. 163.1 (вымогательство в сфере информационно-телекоммуникационных технологий), где также одним из способов совершения преступления указано использование искусственного интеллекта.

Также нововведением является конфискация цифровой валюты как одна из разновидностей конфискации имущества, являющейся мерой уголовно-правового характера, дополняющей наказание (для этих целей цифровую валюту предлагается квалифицировать в качестве имущества).

Минцифры разработало так называемый второй «антифрод-пакет» — серию направленных на борьбу с мошенниками поправок в уголовный и гражданский кодексы, кодекс об административных правонарушениях, а также в отраслевое законодательство о связи, информации, персональных данных и т.д. Помимо прочего, в «антифрод-пакет» вошли более 20 регуляторных инициатив, ниже — лишь некоторые из них:

Так, например, для операторов связи появятся дополнительные обязанности:

• они должны будут маркировать входящие звонки с иностранных номеров. При наличии самозапрета на их получение, оператор должен вовсе блокировать их;

• возложена обязанность передавать в реестр ГИС «Антифрод» сведения о номерах, с которых и на которые совершаются мошеннические вызовы, а по указанию от ГИС «Андифрод» — блокировать такие номера на 24 часа.

Может существенно измениться подход к обработке персональных данных:

• обрабатывать персональные данные на основании согласий будет можно в случаях, когда законом или международным договором прямо предусмотрена обязанность его получения. Если закон или международный договор не обязывает оператора получить согласие на обработку, то оператор не вправе будет требовать дачи такого согласия;

• на Госуслугах появится платформа для предоставления и отзыва согласий. Вероятно, для определенных отраслей бизнеса (например, для банков) использование такой платформы для получения согласий станет обязательным;

• все операторы должны будут передать в Госуслуги информацию об обработке персональных данных.

Хотя изменения в части персональных данных направлены на противодействие мошенничеству, они могут серьезно повлиять на всех.

Очевидно, что, если эти изменения будут приняты в редакции законопроекта, следует ожидать их развития в законодательстве и подзаконных актах. Самая «чувствительная» для бизнеса инициатива — это переход от разрешительной модели согласий («если нет иного законного основания, оператор может получить согласие и обрабатывать») к запретительной («согласие можно получить, только когда закон прямо требует его получения»). В результате может образоваться еще больше «серых зон», когда в законе прямо не указана обязанность получения согласия, а на другие правовые основания оператор опираться не может.