Банкиры и депутаты выступили за введение отдельной статьи в Уголовном кодексе РФ, посвященной фишингу — одному из наиболее распространенных способов интернет-мошенничества с использованием данных банковских карт граждан. Максимальный штраф для фишинг-мошенников могут установить на уровне 2 млн рублей, а максимальный срок лишения свободы — в пределах 10 лет. По сравнению с самым тяжким составом общей статьи о мошенничестве (159 УК), вдвое выше максимальный штраф, тюремный срок тот же, однако, по словам инициаторов идеи, новая статья облегчит доказывание по таким преступлениям.
Предложение банковского сообщества изложено в заключении Национального совета финансового рынка (НСФР) на правительственный законопроект, изменяющий УК и направленный на противодействие хищению средств с банковских карт клиентов. Заключение направлено в Совет Федерации и Госдуму. В настоящее время в УК не прописаны санкции за фишинг, не зафиксированы они и в правительственном законопроекте.
В НСФР предлагают разработать законодательное определение фишинга, приближенное к сути явления: это получение доступа к конфиденциальным данным клиентов (логинам и паролям) путем проведения массовых рассылок электронных писем и сообщений в соцсетях от имени популярных брендов — внутри сообщений содержится прямая ссылка на сайт, внешне неотличимый от настоящего. Мошенники различными путями побуждают пользователя ввести свои логин и пароль к сервису, позволяющему лишиться денег. По оценкам экспертов, 57% несанкционированного использования банковских карт клиентов происходит с помощью фишинга. В Сети регулярно появляются сайты-двойники крупных кредитных организаций, цель создания которых — получение логинов/паролей клиентов. Атакам подвергались, в частности, Сбербанк и другие банки. Потери клиентов исчислялись десятками миллионов рублей. По последним данным компании FICO, Россия находится на 5-м месте по потерям от карточного мошенничества в мире — в 2012 году они составили €91,4 млн, или 6% от общемировых потерь.
При этом, по последним данным ЦБ на 1 июля 2014 года, число банковских карт в России составляло 220,6 млн шт. (плюс 7% за год). Регулятора беспокоит проблема фишинга: ЦБ в своем сентябрьском указании № 3361-У о защите информации при денежных переводах обязал банки усилить борьбу с фишингом. Но, по мнению банковского сообщества, этого недостаточно — мошенников необходимо лишать свободы за данный вид нарушений.
В настоящее время ответственность за фишинг в УК не предусмотрена. Действующая редакция статьи о финансовом мошенничестве 187 УК («Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов») предусматривает для нарушителей лишение свободы на срок до 7 лет и штраф до 1 млн рублей. В Госдуму в начале июня 2014 года внесен правительственный законопроект, который дополняет статью 187 ответственностью за изготовление и сбыт, в частности, скимминговых устройств, которые мошенники устанавливают на корпус банкоматов и копируют данные, записанные на магнитную полосу карты (номер, срок действия, PIN-код). Это, грубо говоря, офлайновый фишинг. В рамках этого же законопроекта и предлагается внести новую статью о фишинге; дата рассмотрения документа в первом чтении еще не назначена.
Согласно предложению НСФР, если в результате фишинга клиенту причинен ущерб на сумму до 10 тыс. рублей, максимальный штраф для нарушителей составит 250 тыс. рублей, максимальный срок лишения свободы — 4 года. Если же ущерб превысил 10 тыс. рублей, предельный штраф для мошенников составит 600 тыс. рублей, максимальный срок лишения свободы — 6 лет. По ущербу в крупном размере (250 тыс. рублей) — штраф 1 млн рублей и/или 8 лет тюрьмы, при особо крупном размере (1 млн рублей) — 2 млн рублей штрафа и/или 10 лет тюрьмы.
Эта карательная идея возникла у банков на фоне действия нового закона и растущих издержек на компенсации клиентам — 1 января 2014 года вступили в силу поправки в закон «О национальной платежной системе». С тех пор банки обязаны возмещать клиенту ущерб от несанкционированного списания средств после получения от клиентов уведомления, что данная операция совершена без его согласия. Банк должен прежде выплатить компенсацию и лишь потом разбираться, действительно ли клиент стал жертвой мошенников.
В Госдуме предложение НСФР поддержали. Председатель комитета Госдумы по финансовому рынку Наталья Бурыкина заявила «Известиям», что санкции за фишинг изначально должны быть жесткими — иначе норма не имеет смысла и не будет работать. Бурыкина предлагает ввести для мошенников 10 млн рублей штрафа и лишать их свободы на срок в 10 лет. Она согласна с тем, что нужно вводить градацию по штрафам и срокам в зависимости от суммы ущерба. Первый зампред Госдумы по финансовому рынку Владислав Резник также считает, что с фишингом необходимо бороться на законодательном уровне — путем введения штрафов и сроков.
— Предложения НСФР абсолютно логичны, потому что мошенничество в этой сфере растет невероятно быстрыми темпами, а применяемые наказания за фишинг при отсутствии четкого отдельного состава в УК при огромных объемах черного рынка можно назвать символическими, — говорит зампред комитета Госдумы по экономической политике, инновационному развитию и предпринимательству Виктор Климов. — По существующему закону уголовному преследованию, например, может подлежать незаконное копирование компьютерной информации, хранящейся на платежной карте, несанкционированный доступ к кодам доступа и счетам клиентов (ст. 272 УК РФ); снятие денежных средств со счетов с использованием поддельных банковских карт и кодов доступа (ст. 158 УК); изготовление поддельных платежных карт (ст. 187 УК). При этом о краже данных банковских карт не сказано ни слова. Привлечение к уголовной ответственности возможно только в случае, если факт сбыта поддельных карт и других платежных инструментов был доказан.
Как считает юрист AstapovLawyers International Law Group Анна Арутюнян, инициатива НСФР заслуживает поддержки, поскольку УК не успевает за развитием технологий и не предусматривает составов, которые бы в точности описывали различные варианты компьютерного мошенничества. В то же время, как отмечает адвокат Данил Левченко, в УК есть составы, позволяющие сейчас привлекать мошенников к ответственности за фишинг, — ст. 159.6 («Мошенничество в сфере компьютерной информации») в совокупности со ст. 272 и 273 УК.
— За мошенничество в сфере компьютерной информации в особо крупном размере предусмотрена санкция до 10 лет лишения свободы и до 1 млн рублей штраф, — поясняет Левченко. — Чем не суровое наказание? Нужно не новые нормы вводить, а эффективно использовать существующие.
Анастасия Алексеевских