Статья 273 УК РФ: наказание за распространение вредоносных программ и вирусов

Судебная практика по статье 273 УК РФ

Понятие и способы распространения компьютерных вирусов

Степень общественной опасности преступления, предусмотренного ст. 273 УК РФ, является более высокой по сравнению с другими преступлениями в сфере компьютерной информации. Об этом говорит, во-первых, конструирование законодателем данного состава преступления как формального</i>; во-вторых, размер санкции данной нормы. Действительно, вредоносные программы способны причинить наибольший ущерб обладателям компьютерной информации и пользователям компьютерной техники.

Вредоносной компьютерной программой в соответствии со ст. 273 УК РФ признается компьютерная программа либо иная компьютерная информация, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

УК РФ не раскрывает понятия компьютерной программы. Определение данного термина можно встретить в ГК РФ. Так, в ст. 1261 УК РФ иод программой для ЭВМ понимается представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения.

К иной компьютерной информации можно отнести отдельные элементы компьютерной программы в виде набора символов языка программирования, именуемого программным кодом. Также к иной компьютерной информации относятся и серийные номера для активации программного обеспечения.

Непосредственный объект — информационная безопасность

Объективная сторона характеризуется активными действиями лица, направленными на создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. Таким образом, действиями, входящими в объективную сторону данного преступления, являются: создание вредоносных программ, распространение вредоносных программ и их использование.

Создание программы означает формирование совокупности данных или команд, предназначенной для функционирования на ЭВМ или других компьютерных устройствах и направленной на получение определенного результата. Создание вредоносной программы может выражаться и во внесении изменений в существующую программу. Цели внесения изменений могут быть различными (изменение функционального предназначения программы, изменение ее основных свойств и пр.); главное состоит в том, чтобы изменения заведомо были предназначены для достижения последствий, указанных в ст. 273 УК РФ.

Распространение вредоносной программы означает передачу кому-либо вредоносной программы или носителя с такой программой безвозмездно или за определенную плату. Часто вредоносные программы распространяются под видом полезного информационного ресурса. Например, на компакт- диске с полезными программными продуктами помещается вредоносная программа, которая при установке первых также устанавливается на компьютер. Более того, злоумышленники, пытаясь обойти защиту какой-либо программы от ее несанкционированного (например, бесплатного) использования, сами часто становятся жертвами вредоносных программ. Сохраняя и запуская бесплатный активатор программы неизвестного происхождения на своем мобильном устройстве, они даже не подозревают, что с их счета в этот момент может быть списана некоторая сумма средств с использованием вредоносной программы, встроенной в предлагаемый активатор.

Использование вредоносной программы — это извлечение ее вредных свойств, а именно непосредственное использование программы в целях несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

Создание, использование и распространение вредоносных программ считается оконченным с момента совершения лицом одного из указанных в диспозиции действий, независимо от того, наступили общественно опасные последствия или нет. Среди предполагаемых последствий преступления наряду с рассмотренными выше уничтожением, блокированием, модификацией либо копированием компьютерной информации названа нейтрализация средств защиты компьютерной информации. Определение средств защиты компьютерной информации сегодня в законе отсутствует. В ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации» сказано лишь, что защита информации представляет собой принятие правовых, организационных и технических мер.

Вместе с тем в ст. 2 Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне» под средствами защиты информации понимаются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. С учетом специфики компьютерной информации, под средствами защиты компьютерной информации следует понимать технические, криптографические и программные средства, предназначенные для защиты компьютерной информации. Технические средства — это приборы, устройства и другие технические решения. К примеру, это могут быть различные устройства, считывающие информацию с носителя, без активации которых невозможен запуск компьютера. Криптографические средства — это способы или устройства, используемые в целях маскировки или сокрытия содержания, значимости или смысла передаваемой информации. Программные средства — это компьютерные программы, программные комплексы и системы защиты информации.

С субъективной стороны преступление, предусмотренное ч. 1 ст. 273 УК РФ. может быть совершено только с прямым умыслом. На это указывает признак заведомости в конструкции состава, т.е. лицо должно осознавать, что создаваемая, используемая или распространяемая им программа предназначена для достижения указанных в статье последствий.

Субъект — вменяемое физическое лицо, достигшее 16 лет

Частью 2 ст. 273 УК РФ предусматривается ответственность за совершение преступления группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно с причинением крупного ущерба или из корыстной заинтересованности; ч. 3 ст. 273 УК РФ — за наступление тяжких последствий или создание угрозы их наступления.

Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ)

Норма о преступлении, предусмотренном ст. 274 УК РФ, отличается от норм о других компьютерных преступлениях прежде всего своей конструкцией. Она предусматривает ответственность за нарушение специальных правил, установление которых не относится к компетенции уголовного законодательства, а следовательно, является бланкетной.

В ст. 274 УК РФ указывается на нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям. Упомянутые правила — понятие собирательное, что создает дополнительные трудности при квалификации данного преступления. К сожалению, не имеется единого нормативного правового акта, который бы их устанавливал.

Правила эксплуатации компьютерной техники, информационно-телекоммуникационных сетей и доступа к ним образуют нормы федерального законодательства, актов государственных органов исполнительной власти, правил и инструкций, утвержденных производителями техники, ее собственниками или иными правомочными лицами. К актам подобного рода можно отнести Федеральный закон от 07.07.2003 № 126-ФЗ «О связи», Санитарно-эпидемиологические правила и нормативы СанПиН 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы», утвержденные постановлением Главного государственного санитарного врача РФ от 03.06.2003 № 118, локальные правила эксплуатации компьютерной техники и информационно-телекоммуникационных сетей, утвержденные руководителем организации, и иные локальные акты.

Необходимо обратить внимание на отличие от предыдущих составов компьютерных преступлений в определении предмета преступления. Если в ст. 272, 273 УК РФ упоминается охраняемая законом компьютерная информация либо просто компьютерная информация, то в рассматриваемом составе используется иной термин — «охраняемая компьютерная информация». На наш взгляд, исключение упоминания об охране компьютерной информации законом не может оказать влияния на квалификацию рассматриваемого преступления, поскольку на основании ч. 1 ст. 9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ограничение доступа к информации устанавливается только федеральными законами.

К средствам хранения, обработки и передачи компьютерной информации относится все многообразие технических устройств, способных производить указанные действия с информацией, представленной в форме электрических сигналов.

Информационно-телекоммуникационная сеть — это технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Оконечное оборудование — технические средства для передачи и (или) приема сигналов по линиям связи (коммутаторы, маршрутизаторы, модемы, сетевые адаптеры и пр.).

Какое наказание и ответственность предусмотрено?

Примеры

За распространение программы-взломщика Windows 8, 29 летний житель Кемеровской области был приговорен к 9 месяцам исправительных работ и частичному ограничению свободы передвижения на этот же период. Ограничение свободы выражено в запрете покидать пределы области в период с 22. 00 до 6. 00.

Корыстный умысел обвиненного – стремление заработать бонусные льготы от провайдера.

43 петербуржца приговорили к 2 годам условно и денежному взысканию в 20 000 рублей за распространение вредоносной программы, способной деактивировать антивирусные приложения. Состав правонарушения: программа была передана правонарушителем сотруднику полиции.

Использование программы с вписанным вредоносным кодом привело к нежелательным последствиям в системе правоохранительного учреждения.

Вопросы и ответы

Начнем с самых простых вопросов.

«Я не пишу программ, которые шифруют или крадут данные. Я делаю программы, которые заражают компьютер и потом подгружают собственно вредоносные программы по заказу. В УК за это статьи нет!»
Все законодательства мира объять невозможно, поэтому будем рассматривать ситуации на примере УК РФ. Законодательства иных стран в большинстве случаев похожи.
Для ответа на вышеприведенное утверждение читаем ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ» (в ред. Федерального закона от 07.12.2011 N 420-ФЗ):

1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.

В данной статье указано, что ответственность наступает за действия, приводящие к уничтожению, блокированию, модификации, копированию компьютерной информации или нейтрализации средств защиты компьютерной информации. То есть при первом прочтении создается мнение, что если программа не выполняет ничего подобного, то ответственности за создание и распространение тех же троянов-downloader’ов нет. Это не так. Ключевое слово здесь — «компьютерной информации». Что это такое определяет ст. 272 УК РФ:

Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Таким образом информация с точки зрения закона — это не только документы. Это любой бит, записанный на компьютере. Соответственно любая программа что-либо модифицирующая на компьютере может при определенных условиях отнесена к вредоносным. Вышеприведенное утверждение можно признать ложным.
«Так что же — любая программа, что-либо меняющая на компьютере, может быть признана вредоносной?»
Не любая. Скажем утилиты исследования сети, утилиты удаленного управления — они зачастую относятся к программам, установку которых антивирусы встречают с подозрением — уж больно часто злоумышленники используют их для выполнения своих действий. Граница проходит по слову «заведомо» и «несанкционированного». Несколько цитат из комментариев к статье:

Под вредоносными программами в смысле комментируемой статьи понимаются программы, специально (заведомо) созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, что определено в документации на программу.
Под использованием вредоносной программы или вредоносной компьютерной информации следует понимать их непосредственный выпуск в свет, воспроизведение, распространение и иные действия по их введению в хозяйственный оборот (в том числе в модифицированной форме), совершенные с целью несанкционированного уничтожения, блокирования, модификации либо копирования информации, нарушения работы компьютерных устройств или их сети. Например, использованием вредоносной программы является ее ввод (установка) в память компьютера.
Данный состав является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате создания программы, независимо от того, использовалась эта программа или нет. По смыслу комментируемой статьи наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности.

Соответственно к вредоносным с точки зрения закона относятся программы, устанавливающиеся без уведомления пользователей и/или выполняющие действия, не отраженные в документации.
«Я системный администратор, я устанавливаю по сети всем RAdmin — я что под суд пойду?»
Установка программ без уведомления — достаточно частый случай в компаниях и организациях. Поэтому желательно проработать данный вопрос, утвердить список используемого ПО и внести согласие на его удаленную установку в документы, подписываемые сотрудниками компании. Во избежание.
«Ой, а я вирус по сети распространил!»
Начнем с самой веселой цитаты:

Под использованием вредоносных программ понимается их применение (любым лицом), при котором активизируются их вредные свойства.

Выше я обещал разобрать примеры разночтений. В законе не совсем удачно использовано слово «заведомо». Фраза «распространение… компьютерных программ …, заведомо предназначенных» может читаться двояко. Представим ситуацию, когда пользователь или администратор компании распространили по сети вредоносную программу. Если представить, что «заведомо» относится к вредоносным программам, то тогда любое неумышленное распространение заведомо вредоносной программы с точки зрения закона — не есть хорошо. И здесь играют роль разницы в подходе в первой и второй частей статьи. Напомним, что «Деяния, предусмотренные частью первой настоящей статьи, совершенные… лицом с использованием своего служебного положения… наказываются». Никакого уточнения, что действия, совершены неумышленно — нет!

С субъективной стороны преступление, предусмотренное ч. 1 комментируемой статьи, может быть совершено только с прямым умыслом, так как в этой статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.
Использование или распространение вредоносных программ тоже может осуществляться только умышленно, так как в соответствии с ч. 2 ст. 24 УК деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части УК.
Часть 2 комментируемой статьи в отличие от ч. 1 в качестве квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности.

Другое мнение к части 2:

Содержание этих квалифицирующих признаков соответствует содержанию аналогичных признаков ранее рассмотренных составов преступлений

Еще одно:

С субъективной стороны преступление может быть совершено как по неосторожности в виде легкомыслия, так и с косвенным умыслом в виде безразличного отношения к возможным последствиям. При установлении прямого умысла в действиях виновного преступление подлежит квалификации в зависимости от цели, которую перед собой ставил виновный, а когда наступили последствия, к достижению которых он стремился, — и в зависимости от наступивших последствий. В этом случае действия, предусмотренные ст. 273 УК, оказываются лишь способом достижения поставленной цели. Совершенное деяние подлежит квалификации по совокупности совершенных преступлений.

Забавно кстати мнение:

Разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки должны предвидеть возможные последствия использования этих программ.

Таким образом — включите в свои процедуры установки ПО проверку его антивирусом, утвердите процедуры и соблюдайте их — не забываем о 274 УК РФ:

В соответствии со статьей 274 УК РФ уголовная ответственность наступает за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.

«Я только для себя позапускал!»
Еще одно место, где толкования отличаются. В большинстве толкований считается, что разницы для себя или нет — не существует:

Рассматриваемое преступление будет окончено с момента создания, использования или распространения таких программ или информации, создающих угрозу наступления указанных в законе последствий, вне зависимости от того, наступили реально эти последствия или нет. При этом виновный должен осознавать, что создаваемые или используемые им программы заведомо приведут к указанным в законе общественно опасным последствиям. Мотив и цель не влияют на квалификацию преступления.

Ответ я думаю очевиден.
Правда то же толкование делает снисхождение для выстрелов в ногу:

Однако использование вредоносной компьютерной программы для личных нужд (например, для уничтожения собственной компьютерной информации) ненаказуемо.

«Я вирус не распространяю, я выложил на Гитхаб для общего ознакомления и все»

Распространение программ — это предоставление доступа к воспроизведенной в любой материальной форме компьютерной программе, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы для любой из этих целей. Одним из самых типичных способов распространения вредоносных программ является их размещение на различных сайтах и страничках информационно-телекоммуникационной сети Интернет.
Таким образом — любая публикация — это уже распространение. Естественно тут сразу же встает вопрос о публикациях эксплойтов, демонстрирующих уязвимость. С точки зрения закона — это не есть хорошо. Можно рекомендовать публикацию с внесением изменений, которые делают код не работоспособным — но примет ли это за аргумент суд — не известно.
«Да я даже не компилировал, только для интереса код накидал»

Данный состав является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате создания, использования или распространения программы, независимо от того, наступили ли в результате этого какие-либо общественно опасные последствия. По смыслу комментируемой статьи наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности.
Ответственность наступает за любое действие, предусмотренное диспозицией, альтернативно. Например, кто-то может нести ответственность за создание вредоносной программы, другой — за ее использование, третий — за распространение вредоносных программ.

Еще веселее:

Создание программ представляет собой деятельность, направленную на разработку, подготовку программ, способных по своему функционалу несанкционированно уничтожать, блокировать, модифицировать, копировать компьютерную информацию или нейтрализовать средства защиты компьютерной информации.
ст. 273 УК РФ устанавливает ответственность за незаконные действия с компьютерными программами, записанными не только на машинных, но и на иных носителях, в том числе на бумаге. Это обусловлено тем, что процесс создания компьютерной программы зачастую начинается с написания ее текста с последующим введением его в компьютер или без такового. С учетом этого наличие исходных текстов вредоносных компьютерных программ уже является основанием для привлечения к ответственности по ст. 273 УК РФ.

О написании исходных текстов на бумаге конечно прикольно, но смысл это не меняет. Хранение исходных текстов и уж тем более вредоносных программ — если вас будут привлекать по какому-либо делу — не есть хорошо. Судебная практика на этот счет однозначна. Наличие на компьютере программ, которые могут быть отнесены к вредоносным и возможность в связи с квалификацией ими воспользоваться (маразм, согласен, но практика именно такова) — служит отягчающими обстоятельствами
«Да я только в командной строке …»
Ранее мы говорили только о программам. Но 273я содержит и иное: «… распространение или использование… компьютерной информации, заведомо предназначенных». Вспоминаем, что информация — это любой бит на компьютере.

Гражданский кодекс Российской Федерации определяет программу для ЭВМ как «представленную в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения»

Поэтому любые действия, заведомо модифицирующие, уничтожающие и тд — подпадают под 273 УК РФ.
Даже скопировав вредоносное ПО можно попасть под формулировки закона

Формой совершения данного преступления может быть только действие, выраженное в виде создания вредоносных программ для ЭВМ, внесения изменений в уже существующие программы, а равно использование либо распространение таких программ. Распространение машинных носителей с такими программами полностью покрывается понятием «использование».

«Мне 18 нет еще!»

Субъектом данного преступления может быть любое вменяемое лицо, достигшее 16 лет.

«За что?»
В зависимости от выполненных вредоносной программой действий и последствий ответственность может быть не только по ст. 273УК РФ. Два примера

Если создание, использование или распространение вредоносных программ выступает в качестве способа совершения иного умышленного преступления, то содеянное надлежит квалифицировать по совокупности преступлений. Например, в тех случаях, когда вредоносная программа создается или используется с целью устранения установленных правообладателем средств индивидуальной защиты компьютерной программы, ответственность наступает по соответствующим частям статей 146 и 273 УК РФ.
В том случае, если виновный при использовании или распространении вредоносных программ умышленно уничтожил или повредил компьютерную технику, что причинило значительный ущерб потерпевшему, его поведение образует совокупность преступлений, предусмотренных статьями 167 и 273 УК РФ.

«Я из другой страны и под законы вашей страны не подпадаю!»
Увы это не так. Все действия по созданию (включая как мы помним хранение), распространение и использование — подпадают под УК РФ. То есть если вас возьмут с исходным кодом на территории РФ, вы выполняете какие либо действия против граждан и учреждений РФ — под законы РФ вы подпадаете.
Примеры злоумышленников, попавших в тюрьмы США — тому подтверждение.
Отказываетесь вы от ответственности или нет — закон это не волнует. Закон волнуют совершенные действия. Завязали вы или нет — аналогично. Есть совершенные действия и есть ответственность за них.

LeakedSource (агрегатор утечек, собиравший утекшие в сеть Интернет базы данных «Вконтакте», Mail.ru, Rambler, Last.fm, Linkedin, Dropbox, Myspace и многих других ресурсов и предоставлявший доступ к паролям жертв утечек любому, кто готов за них заплатит) утверждает законы Калифорнии не применимы к компании, поскольку она основана за пределами Соединенных Штатов.

«Почему же так мало посадок?»
Насколько мне лично известно проблема связана не с желанием посадить, а недоработками процедур. Сложностями объединения мелких дел из различных подразделений в одно, опытом сбора доказательств