Статья 27 Федерального закона № 1б1-ФЗ «О национальной платежной системе». Обеспечение защиты информации в платежной системе
3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России.
Положение ЦБ РФ № 382-П
2.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее — защищаемая информация):
информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт.
Одним из основных значимых данных держателей карт является номер банковской карты. Этот номер записан на магнитной полосе платежной карты. Следовательно, информация, копируемая с магнитной полосы платежной карты, защищается Федеральным законом «О национальной платежной системе». Неправомерный доступ к такой информации, если это повлекло ее копирование, будет составлять объективную сторону преступления, предусмотренного статьей 272 УК РФ.
По смыслу Положения 266-П ЦБ РФ банковская платежная карта достоверно устанавливает соответствие между реквизитами (номером) платежной карты и соответствующим банковским счетом. Таким образом, банковская платежная карта указывает на реквизиты банковского счета и данная информация является банковской тайной. Например, можно зачислить (списать) денежные средства на банковский счет, зная только номер банковской карты, соответствие между номером банковской карты и конкретным банковским счетом однозначное. В итоге получение незаконным способом (например, скимминг, покупка через Интернет дампов вторых дорожек или покупка поддельных платежных карт) сведений, составляющих банковскую тайну (номера банковских карт), будет составлять объективную сторону преступления, предусмотренного статьей 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).
Необходимо обратить внимание, что квалифицирующие действия по части 3 статьи 183 УК РФ сформулированы недостаточно определенно: «Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности». Что имеется в виду: деяния, указанные в части первой и второй, или только во второй? Если только во второй, то квалифицирующие действия по частям третьей и четвертой (крупный ущерб, корыстная заинтересованность и тяжкие последствия) будут относиться только к незаконному разглашению или использованию сведений, составляющих банковскую тайну. Но они не будут влиять на квалификацию при собирании сведений, составляющих банковскую тайну, незаконным способом.
Напомним, что в уголовном праве существует презумпция невиновности (часть 3 статьи 14 УПК РФ: «Все сомнения в виновности обвиняемого, которые не могут быть устранены в порядке, установленном настоящим Кодексом, толкуются в пользу обвиняемого»). Которая «предполагает, что обязанность доказывания виновности, а значит, и того, что лицо должно нести ответственность по определенной правовой норме, возлагается на государство. Если же уполномоченные на то государственные органы однозначно не доказали, что надлежит применять четко определенную уголовно-правовую норму, то применяться должна более благоприятная для лица норма. Таким образом, когда возникают непреодолимые сомнения относительно того, по какой уголовно-правовой норме следует квалифицировать содеянное, то применять следует норму более мягкую, благоприятную для обвиняемого»[105].
Интересно, что и судебная практика имеет две точки зрения. Одни суды считают, что в случае скимминга квалификация по части 3 статьи 183 УК РФ отсутствует:
В части квалификации действий подсудимых как совершенных из корыстной заинтересованности суд с данной квалификацией не согласен, поскольку по смыслу закона квалифицирующий признак, содержащийся в части 3 статьи 183 УК РФ — корыстная заинтересованность относится только к незаконному разглашению или незаконному использованию сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.
Уголовное дело № 1-178/2013, Подольский городской суд Московской области Суд учитывает приведенную государственным обвинителем позицию о квалификации действий подсудимых по части 1 статьи 183, части 3 статьи 272 УК РФ и полностью соглашается с ней, поскольку состав преступления, предусмотренного частью 3 статьи 183 УК РФ, является квалифицированным по отношению к части 2 статьи 183 УК РФ.
Уголовное дело № 1-372/2012, Тверской районный суд г. Москвы Другие суды просто выносят приговоры, предусматривающие уголовное наказание за скимминг по части 3 статьи 187 УК РФ, например: уголовное дело № 1-146/2014, Егорьевский городской суд Московской области, уголовное дело № 1-436/2013, Железнодорожный районный суд г. Екатеринбурга, уголовное дело № 1-144/2013, Рузский районный суд Московской области, уголовное дело № 1-105/2013, Химкинский городской суд Московской области.
Собирание сведений, составляющих банковскую тайну, путем доступа к охраняемой законом компьютерной информации, если это повлекло копирование информации, следует квалифицировать по совокупности части 1 статьи 183 и статьи 272 УК.
Применение скимминговых устройств дополнительно может предусматривать уголовную ответственность за использование компьютерных программ, заведомо предназначенных для несанкционированного копирования компьютерной информации (статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ)).
Создание программы является оконченным преступлением с момента получения объективной формы представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств. Указанная программа должна обладать способностью к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, их системы или сети. Под использованием вредоносной программы понимается ее непосредственное использование для несанкционированного уничтожения, блокирования, модификации, копирования информации, нарушения работы ЭВМ, их системы или сети. Распространение вредоносной программы означает как распространение ее с помощью средств связи, так и простую передачу ее другому лицу в любой форме. В отличие от статьи 272 УК РФ, несанкционированное воздействие может осуществляться на любую компьютерную информацию, а не только на защищаемую законом.
Уголовный кодекс предусматривает также ответственность за незаконный оборот специальных технических средств, предназначенных для негласного получения информации (статья 138.1. УК РФ (Незаконный оборот специальных технических средств, предназначенных для негласного получения информации)).
