ВС разъяснил, когда искажение данных в сервисах госуслуг не считается киберпреступлением

Верховный суд РФ разъяснил пределы уголовной ответственности за действия в государственных информационных системах (ГИС)¹Федеральные и региональные цифровые платформы, используемые для автоматизации функций органов власти, обмена данными и предоставления госуслуг. Суд указал: само по себе внесение ложных данных не образует «киберпреступление» при законном доступе к системе и отсутствии нарушения ее работы.

Как выяснил Legal.Report, поводом для разбирательства стало уголовное дело о фиктивных COVID-сертификатах. В Республике Марий Эл предприниматель Дмитрий Микаков, не желая вакцинироваться, получил сертификат с QR-кодом через знакомую медсестру. За вознаграждение сотрудница фельдшерско-акушерского пункта Екатерина Кузнецова внесла его данные в информационный ресурс COVID-19, входящий в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ). Позднее Микаков поставил на поток оформление таких сертификатов: он находил клиентов, собирал данные и деньги, а Кузнецова вносила сведения в систему. Стоимость QR-справки составляла до 4000 рублей, всего были оформлены сертификаты для 30 человек.

Схему вскрыли сотрудники УФСБ. Действия Микакова квалифицировали по «традиционным» составам, связанным с подделкой и оборотом фиктивных документов. Одновременно следствие, а затем и суд первой инстанции вменили фигурантам ч. 4 ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру (КИИ) РФ), усмотрев признаки этого преступления во внесении недостоверных данных в ЕГИСЗ. Суд исходил из того, что уже сам факт внесения недостоверных сведений нарушил целостность ЕГИСЗ и причинил вред объекту КИИ.

Кузнецова признала вину, заключила досудебное соглашение и получила 2,5 года лишения свободы условно по ч. 4 ст. 274.1 УК РФ — без квалификации по статье о подделке документов. Микаков был осужден по совокупности преступлений: по ст. 327 УК РФ (подделка документов) — с освобождением от наказания в связи с истечением срока давности, и по ч. 4 ст. 274.1 УК РФ — к 3,5 годам лишения свободы условно. Апелляция изменила приговор частично, исключив один из квалифицирующих признаков по ст. 327 УК РФ, а в остальной части оставила его без изменения. Кассация согласилась.

ВС пришел к иному выводу, сформулировав ключевую правовую позицию: для квалификации по ч. 4 ст. 274.1 УК РФ необходимы признаки неправомерного доступа к информации и реального вреда критической информационной инфраструктуре — само по себе внесение недостоверных сведений таким преступлением не является.

Медсестра имела санкционированный доступ к ЕГИСЗ, а действия осужденного были направлены на использование именно этого легального доступа — при этом не установлено ни неправомерного доступа, ни воздействия на систему.

ВС подчеркнул: при отсутствии реального вреда само по себе внесение недостоверных сведений не образует уголовно наказуемого воздействия на критическую инфраструктуру — ЕГИСЗ продолжала работать в штатном режиме, а данные были искажены лишь в отношении конкретных лиц. Кроме того, у Микакова отсутствовал умысел на воздействие на критическую инфраструктуру: его действия были направлены исключительно на извлечение прибыли от сбыта поддельных сертификатов.

ВС признал квалификацию по ч. 4 ст. 274.1 УК РФ излишней, исключил этот эпизод из приговора и оставил остальные судебные решения без изменения

• 1
  Федеральные и региональные цифровые платформы, используемые для автоматизации функций органов власти, обмена данными и предоставления госуслуг