Юристы сообщили, что расширено применение статьи против владельцев ботов

Юристы предупредили о жесткости наказания по новой статье за незаконный сбор и обработку персональных данных. Уголовное преследование по ней возможно даже за небольшие утечки данных и ошибки сотрудников

Новая статья Уголовного кодекса, направленная на борьбу с «ботами для пробива», все чаще применяется для уголовного преследования за мелкие корпоративные утечки данных, заявили опрошенные РБК эксперты. Помимо владельцев нелегальных сервисов под уголовное преследование попадают и рядовые сотрудники, допустившие незначительные нарушения.

Речь идет о статье 272.1 УК («Незаконные использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные»), которая вступила в силу 9 декабря 2024 года. Ее первоначальной целью было установление ответственности за создание или использование сервисов (ботов) для незаконного распространения персональных данных. По данным МВД, за десять месяцев 2025 года по этой статье зарегистрировано 923 преступления. Власти сообщали о ее успешном применении против администраторов ботов: в начале года прекратил работу крупный бот «Глаз Бога», а в ноябре был арестован Игорь Морозкин— владелец сервиса Userbox.

К ответственности по статье 272.1 начали привлекать не только владельцев ботов. Например, в марте 2025 года в Кировской области сотрудника салона связи задержали за передачу через мессенджер нескольких десятков записей с персональными данными. В томже месяце в Кировске 20-летнего работника салона сотовой связи обвинили в передаче персональных данных певца Shaman (Ярослав Дронов) и других абонентов. В ноябре по тойже статье в Башкирии задержали 38-летнего мужчину, который с помощью спецоборудования активировал тысячи сим-карт, а суд отправил под домашний арест начальницу отдела судебных приставов в одном из районов Перми Надежду Шабунину.

Значительные риски также несет «киберстатья» 274.1 УК «Неправомерное воздействие на критическую информационную инфраструктуру», пришли к выводу аналитики RTM Group (копия их исследования есть у РБК). Эта статья действует с 2018 года и применяется к инсайдерам, чьи действия могут трактоваться как преступление против критической информационной инфраструктуры (к ней относятся информационные системы и сети связи госорганов, энергетических, финансовых, медицинских, транспортных и некоторых других компаний). «Практика показывает, что личная флешка, воткнутая в рабочий компьютер на объекте КИИ (критической информационной инфраструктуры.— РБК), или передача пароля коллеге— это уже не просто нарушение трудовой дисциплины, а состав преступления. Бизнесу пора переходить к политике нулевого доверия к инсайдерам и жесткой юридической фиксации правил информационной безопасности»,— отметил управляющий RTM Group Евгений Царев.

По данным RTM Group, с 1 января 2018 года по 31 октября 2025 года суды рассмотрели 325 уголовных дел по статье 274.1, по 243 из них вынесли обвинительные приговоры (75% общего числа). Главная угроза для критической информационной инфраструктуры исходит от инсайдеров, говорится в исследовании: в 160 делах (почти 50%) фигурирует признак «использования служебного положения». Чаще всего к ответственности привлекают рядовых сотрудников банков, операторов связи, медицинских учреждений и почты за действия из корысти, «помощи другу» или желания выполнить план.

Аналитики RTM Group прогнозируют, что совокупное количество приговоров по статьям 274.1 и 272.1 может вырасти в десять раз в ближайшие три-четыре года. Основным драйвером роста эксперты назвали более активное применение статьи 272.1, которая в 2025-м проходила «обкатку».

Статьи 272.1 и 274.1 УК сконструированы как «рамочные» составы, содержащие абстрактные формулировки, что позволяет правоохранительным органам широко трактовать нормы и привлекать к уголовной ответственности даже за действия, ранее считавшиеся административными нарушениями или мелким дисциплинарным проступком, отмечает партнер коллегии адвокатов Pen & Paper Алена Гришкова. «Обе статьи сконструированы как так называемые рамочные составы. Это значит, что в описании преступного деяния присутствуют абстрактные формулировки и правоприменитель может их использовать по своему усмотрению»,— пояснила Гришкова. Она уточнила, что для квалификации по статье 272.1 не обязательно, чтобы был причинен реальный вред, достаточно факта неправомерного доступа к персональным данным, а что именно считать такими данными, остается на усмотрение следователя.

Советник практики интеллектуальной собственности юридической компании «ЭБР» Артем Евсеев считает, что широта охвата статьи 272.1 является осознанным решением законодателя, чтобы норма работала против новых схем нарушений, но одновременно это создает риски. «Основной запрос со стороны бизнеса связан не столько с жесткостью нормы, сколько с предсказуемостью ее применения: на практике до сих пор нет четкого понимания, где проходит граница между административной и уголовной ответственностью»,— отметил он.

Проблемы применения статьи 274.1 связаны с незавершенным регулированием в сфере критической информационной инфраструктуры, что дает следователям «чересчур широкие возможности самим решать, что является преступлением», рассуждает партнер практики уголовно-правовой защиты бизнеса BGP Litigation Анатолий Логинов. По его мнению, в статье не учтены некоторые важные технические аспекты, а ее текст «копирует состав административного правонарушения», что позволяет трактовать любое нарушение в обработке персональных данных как преступление. «На практике это создает ситуации, когда возможно любое нарушение в сфере обработки персональных данных трактовать как преступление. На мой взгляд, норма статьи 272.1 в этой части требует доработки»,— считает юрист.

Логинов указал, что эта статья «не очень помогла в борьбе с ботами», ведь зачастую их владельцы— анонимы, которые находятся не в России.

Читайте РБК в Telegram