Участники рынка хотят внести поправки в УК и серьезно ужесточить наказание за «сливы» финансовой информации. Но такие дела редко доходят до судов, эффективнее — улучшать работу правоохранительных органов, говорят юристы
Российские банки решили включиться в борьбу с утечками данных о клиентах на законодательном уровне: участники рынка планируют подготовить поправки в Уголовный кодекс, чтобы ужесточить наказание за незаконный доступ и разглашение сведений, представляющих собой банковскую тайну. Такое предложение обсуждалось в четверг, 3 декабря, на встрече в Ассоциации банков России (АБР).
Озвученное предложение банков — лишать свободы за неправомерный доступ к банковской тайне на срок до 10–20 лет, но предельный срок наказания еще обсуждается, рассказал РБК вице-президент АБР Алексей Войлуков. «Действующее наказание несоразмерно с ущербом, который оно [разглашение] влечет», — пояснил он позицию рынка. По словам Войлукова, законопроект будет разработан в ближайшее время.
В Банке России поддерживают идею ужесточения наказаний за киберпреступления, сообщил РБК представитель регулятора. «В то же время инициатива участников рынка требует глубокой юридической проработки», — добавил он.
Какое наказание хотят ввести банки
Участники рынка хотят внести изменения в ст. 183 Уголовного кодекса, которая предусматривает наказание за незаконное получение и разглашение информации, составляющей коммерческую, налоговую или банковскую тайну.
«Необходимо отделить понятие «банковская тайна» от других тайн, потому что получение именно этой информации носит массовый характер: сейчас в русскоязычной части даркнета (теневого сегмента интернета. — РБК) зарегистрированы почти 2 млн покупателей, которые хотят получить доступ к банковской тайне», — говорит Войлуков.
Кредитные организации также хотят прописать в Уголовном кодексе определения для «неправомерного доступа» и «незаконного сбора» банковских данных. Но главное — заметно ужесточить санкции за преступления по ст. 183 УК РФ.
РБК направил запросы в топ-10 банков.
Как сейчас наказывают за кражу данных
Уголовный кодекс предусматривает наказание даже за сбор информации без дальнейшего разглашения, если она содержит коммерческую, налоговую или банковскую тайну. Незаконными считаются кража документов, получение данных с помощью подкупа или угроз. Минимальное наказание по этой части статьи — штраф до 500 тыс. руб. или равный годовому доходу осужденного. Максимальное — лишение свободы до двух лет.
Если гражданин имел доступ к подобным сведениям на работе, но решил использовать их или раскрыть, ему грозит штраф до 1 млн руб., запрет занимать определенные должности на срок до трех лет, исправительные или принудительные работы либо лишение свободы сроком до трех лет. Если в действиях такого сотрудника суд увидит «корыстную заинтересованность», то срок наказания может быть увеличен до пяти лет заключения. Максимальное наказание по этой статье — семь лет лишения свободы — применяют для тех, чьи действия по разглашению коммерческой, налоговой или банковской тайны имели «тяжкие последствия».
По оценкам компании InfoWatch, в январе—сентябре 2020 года 79,1% утечек данных из российских компаний произошли из-за внутренних нарушений. Причем в России доля «сливов» по вине работников вдвое выше, чем в мире, — более 72%. Финансовый сектор занимает второе место по частоте краж данных, на него приходится 18,9% таких инцидентов.
Осенью 2019 года ЦБ впервые раскрыл масштаб продаж персональных данных россиян: в первой половине прошлого года специалисты обнаружили 13 тыс. подобных объявлений, только 1,5 тыс. из них оказались базами банков. С тех пор регулятор такую статистику не публиковал, но не раз указывал, что самым популярным видом мошенничества по-прежнему считается социальная инженерия. Для такого метода необязательны данные, относящиеся к банковской тайне, они лишь уточняют и дополняют необходимую информацию, говорилось в докладе ФинЦЕРТа (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России).
В первой половине 2020 года зафиксировано 374 случая незаконного доступа банковских работников к информации о счетах клиентов, следует из статистики ЦБ. Ущерб от действий менеджеров оценивался в 7,4 млн руб.
Сработает ли ужесточение наказания
Чаще всего незаконные действия с клиентскими данными совершают сотрудники сотового ретейла и банков, рассказывает руководитель направления «Информационная безопасность» ИТ-компании «Крок» Андрей Заикин. По его словам, в первой половине 2020 года число утечек данных по вине персонала выросло на 47%, но только треть инцидентов можно считать умышленными, когда сотрудник целенаправленно продает клиентские данные. Остальное — случайные утечки, например в результате фишинга или взлома устройств.
При этом уголовное преследование по ст. 183 УК РФ — редкость, ежегодно заводят около 100 дел и лишь единицы доходят до суда, отмечает старший юрист юридической фирмы «Рустам Курмаев и партнеры» Алексей Лежников. В большинстве случаев фигурантами становятся сотрудники банков, которые либо предоставляли сведения о клиенте-юрлице его конкурентам, либо продавали базы данных клиентов-физлиц. Чаще всего обвиняемые по этой статье отделываются штрафами, поскольку большинство преступлений относят к категории небольшой и средней тяжести, добавляет он.
«Текущее наказание за сбор и раскрытие сведений, составляющих банковскую тайну, не соответствует сложности раскрытия и выявления [таких случаев]. При этом «слив» базы данных клиентов может повлечь за собой череду преступлений и многомиллионный ущерб с большим количеством потерпевших», — признает юрист, но считает, что радикально увеличивать порог наказания не стоит. «Разумным представляется установление пределов наказания от пяти до десяти лет», — замечает Лежников.
Специально выделять «банковскую тайну» из состава статьи или уточнять специфику сбора финансовой информации не нужно, считают опрошенные РБК юристы. «Дополнительно прописывать в УК моменты, связанные с незаконным сбором и кражей банковских данных, не требуется, так как такой способ охватывается диспозицией статьи и не требует дополнительного упоминания», — отмечает юрист BGP Litigation Марат Хужин. Он также не поддерживает ужесточение санкций за кражу данных.
По словам Хужина, количество приговоров по ст. 183 в случае принятия поправок вырастет, но новая практика «может оказаться чреватой для значительного круга лиц». «Надо улучшать качество работы правоохранительных органов, повышать стандарты доказывания, а не усиливать санкции, тем самым размахивая уголовно-правовой дубиной. Сначала необходимо решить системные проблемы в применении ст. 183 УК РФ, которые ярко видны на практике, сделать имеющийся правовой механизм рабочим, и мы убедимся, что данный состав может функционировать и решать задачи по защите банковской тайны без необходимости усиления санкций», — подчеркивает собеседник РБК.
Если учитывать не только продажу клиентских баз, но и так называемый пробив информации (получение данных о конкретном клиенте), то «сливы» происходят практически непрерывно, говорит основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По мнению эксперта, риск длительного тюремного заключения просто поднимет цены на подобные услуги.
«Сейчас основным методом ловли торговцев данными является контрольная закупка. В сети правоохранительных органов в результате попадаются только единичные — самые глупые — продавцы. В случае организованной группы задержание посредника не прерывает ее работу, а без остальных участников довести даже его до суда крайне сложно», — говорит Оганесян. Предложения банков он считает попыткой переложить ответственность за кражу данных на рядовых сотрудников. «Для улучшения ситуации нужно повышать ответственность юридических лиц, что подвигнет их на инвестиции в системы защиты», — подчеркивает эксперт.
Евгения Чернышова, Юлия Кошкина
По материалам: “РБК”