В статье сделан вывод о неприемлемо широком толковании квалифицирующего признака, предусмотренного п. «г» ч. 3 ст. 158 УК РФ, в ситуации кражи средств с банковского счета с использованием банковских карт при бесконтактной оплате товаров (работ, услуг) в рамках лимита платежа, допускаемого без введения PIN-кода. Основной проблемой для правильной квалификации является отсутствие разъяснения, что является доступом к счету и конфиденциальной информацией, которая его предоставляет.
Развитие современных технологий в экономике влияет на развитие законодательства, которому приходится адаптироваться к новым экономическим и технологическим реалиям. В любой экономической системе существуют товарно-денежные отношения: товары и услуги продаются и покупаются за деньги, которые имеют наличную и безналичную формы. Безналичные платежи получили широкое распространение благодаря развитию банковской системы и появлению пластиковых карт.
История развития безналичных платежей началась в 1950-е гг. ХХ в. с введения первых магнитных кредитных карт. В 1960-е гг. появились дебетовые карты, а в 1970-е – банкоматы. В 1980-х и 1990-х гг. стали развиваться электронные платежные системы и интернет-банкинг. В настоящее время безналичные платежи являются основным способом оплаты товаров и услуг благодаря развитию мобильных платежных приложений и технологии бесконтактных платежей.
Государственная политика по развитию безналичных платежей в России в основном направлена на стимулирование использования банковских карт и других форм безналичных платежей по следующим причинам:
- контроль денежных потоков: использование безналичных платежей облегчает контроль над перемещением денежных средств, что может быть полезно для предотвращения отмывания денег и финансирования терроризма;
- повышение эффективности банковских услуг: банкам легче обрабатывать безналичные транзакции, что приводит к снижению издержек и росту прибыли, а также стимулирует инновации в сфере банковских услуг, делая их более доступными и удобными для граждан;
- уменьшение использования наличных денег: сокращение доли наличных в обороте снижает риск преступлений, связанных с наличными деньгами, – таких как мошенничество, поддельные купюры, взятки;
- стимулирование экономики: переход на безналичные платежи стимулирует развитие электронной коммерции, онлайн-сервисов и других отраслей экономики, что, в свою очередь, приводит к созданию рабочих мест и экономическому росту;
- упрощение расчетов с государством: с помощью безналичных платежей гражданам и юрлицам проще и быстрее оплачивать счета за коммунальные услуги, а также налоги и штрафы.
Развитие технологий обусловливает не только множество новых возможностей, но и новые виды преступлений. Это связано с тем, что новые технологии нередко используются для совершения противозаконных действий.
При этом важно понимать, что новые технологии не являются причиной этих преступлений, а используются для облегчения их совершения.
Обоснованность применения п. «г» ч. 3 ст. 158 УК РФ
С этой точки зрения рассмотрим обоснованность применения п. «г» ч. 3 ст. 158 УК РФ в ситуациях кражи денежных средств с использованием банковских карт при бесконтактной оплате товаров (работ, услуг) в рамках лимита платежа, допускаемого без введения PIN-кода.
Норма п. «г» введена Федеральным законом от 23 апреля 2018 г. № 111-ФЗ и предусматривает уголовную ответственность за кражу с банковского счета, а равно в отношении электронных денежных средств (при отсутствии признаков преступления, предусмотренного ст. 159.3 УК), то есть мошенничество с использованием электронных средств платежа.
Для понимания причин, по которым в указанную статью Федеральным законом от 23 апреля 2018 г. № 111-ФЗ введен п. «г», необходимо обратиться к пояснительной записке к проекту названного Федерального закона № 186266-7 в УК РФ1, где приведены основания для дополнения таким квалифицирующим признаком: «При применении новых форм банковского обслуживания неизбежно возникают угрозы криминального характера, представляющие собой как высокотехнологические формы хакерских атак, так и методы социальной инженерии, в результате применения которых владелец счета либо сам переводит свои средства на счет преступников, либо передает всю конфиденциальную информацию (например, свои персональные данные, данные платежных карт, контрольную информацию, пароли), необходимую для получения доступа к счету. …
Отличительной чертой преступлений, совершаемых данными методами, является то, что многие граждане, попадая под влияние преступников, подтверждают правомерность совершения операций по их счетам даже в случаях, когда служба банка, осуществляющая мониторинг входящей и исходящей информации на предмет обнаружения мошеннических действий, определяет таковые как подозрительные. Потерпевшими от подобных посягательств, как правило, являются самые незащищенные слои населения – пенсионеры.
Кроме того, методы социальной инженерии также активно используют хакеры, атакующие клиентов с помощью вирусного и вредоносного программного обеспечения, позволяющего получить удаленный доступ к их компьютеру. Для получения разовых паролей, приходящих на телефон клиента, они имитируют сбой в работе его автоматизированного рабочего места, а затем звонят от имени технической поддержки банка и просят сообщать пароли якобы для отмены ошибочных платежей. …
Высокая степень общественной опасности указанных противоправных деяний подтверждается спецификой преступлений, совершить которые могут лишь лица, обладающие специальными знаниями и использующие технические средства, что приводит к нарушению не только права собственности, но и банковской тайны. Причинение существенного вреда очевидно при повсеместном применении безналичных расчетов, влекущем снижение наличных сбережений».
Наиболее популярные виды таких хищений:
- фишинг – форма мошенничества, при которой используется поддельный веб-сайт, чтобы получить доступ к личным данным пользователей – таким как номера банковских карт и пароли;
- кража данных, когда получают доступ к личной информации пользователя (номера карт, пароли, адреса и т.д.);
- вирусы и трояны, а также программы, которые могут быть загружены на устройства пользователя и использоваться для кражи данных;
- скимминг – способ, при котором злоумышленники устанавливают устройства на банкоматы или терминалы для считывания данных банковских карт;
- кардинг – способ использования украденных данных банковских карт для покупки товаров или услуг в Интернете.
Согласно Обзору операций, совершенных без согласия клиентов финансовых организаций, за 2022 г., от 14 февраля 2023 г., опубликованному на сайте Банка России, размер таких операций составил более 14 млрд руб. Основным инструментом злоумышленников для хищения средств осталось использование приемов и методов социальной инженерии.
К ранее используемым сценариям звонков злоумышленников, а именно звонков от якобы «специалистов службы безопасности банка», «правоохранительных органов» и «Центрального банка», добавились сценарии, связанные с частичной мобилизацией.
В течение 2022 г. операторами связи было заблокировано более 4 млн вызовов (в два раза больше относительно показателя 2021 г.), которые пытались осуществить злоумышленники с использованием технологии подмены номера.
Как видно из описания преступных действий, целью злоумышленников является доступ к банковскому счету, что позволяет завладеть информацией о владельце счета, его балансе и истории операций, а также получить возможность распоряжаться денежными средствами путем их перевода на счета третьих лиц – например, для покупки криптовалюты и дальнейшего вывода в фиатные деньги с использованием «криптовалютных миксеров», чтобы затруднить отслеживание средств, полученных незаконным путем.
Неприемлемо широкое толкование
Однако правоприменительная практика показывает, что указанный квалифицирующий признак стал толковаться неприемлемо широко. К уголовной ответственности стали привлекать лиц, которые потратили незначительные суммы с найденных банковских карт, что с учетом тяжести преступления явно не соответствует характеру и степени общественной опасности преступления.
Отличие такого вида кражи от других разъяснено в п. 25.1 постановления Пленума Верховного Суда РФ от 27 декабря 2002 г. № 29 «О судебной практике по делам о краже, грабеже и разбое», в котором указано, что по п. «г» ч. 3 ст. 158 УК квалифицируются действия лица и в том случае, когда оно тайно похитило средства с банковского счета или электронные денежные средства, использовав необходимую для получения доступа к ним конфиденциальную информацию владельца денежных средств (например, персональные данные держателя, данные платежной карты, контрольную информацию, пароли).
При этом тайное изъятие денежных средств с банковского счета или электронных денежных средств (например, если безналичные расчеты или снятие наличных денежных средств через банкомат были осуществлены с использованием чужой или поддельной платежной карты) надлежит квалифицировать как кражу по признаку «с банковского счета, а равно в отношении электронных денежных средств».
Указанное разъяснение, по моему мнению, не в полной мере соответствует целям введения рассматриваемого квалифицирующего признака, а также не учитывает специфику платежных систем.
В настоящее время наиболее распространенными средствами приема платежей при продаже товаров и оказания услуг являются банковские карты, которые выпускаются на пластиковом носителе, или виртуальные.
Реквизитами банковской карты являются данные банковского счета, часть которых отражена непосредственно на пластиковом носителе, информация о номере карты, фамилии и имени владельца, сроке действия и код проверки подлинности CVV или CVC – три цифры на обороте карты, необходимые при списаниях средств при оплате онлайн.
К данным, не отраженным на пластиковом носителе, относится номер счета банковской карты и PIN-код, который предоставляется банком при выдаче карты или устанавливается самостоятельно.
PIN-код используется для подтверждения операции при покупке и снятии наличных.
Для ускорения и упрощения платежей с использованием банковских карт используется технология NFC (Near Field Communication, или «коммуникация ближнего поля»), которая представляет собой высокочастотную беспроводную связь малого радиуса действия (не более 10 сантиметров), что позволяет производить бесконтактный обмен данными между устройствами, находящимися рядом.
При оплате с использованием указанной технологии в рамках установленного платежной системой лимита ввод PIN-кода не требуется.
Относительно использования карты для совершения операций через банкомат, в том числе для получения наличных, вопросов по объективной стороне не возникает, поскольку, во-первых, для этого необходимо знать PIN-код (если операция совершена, значит, PIN-код был получен от владельца карты в результате целенаправленных действий злоумышленника); во-вторых, карта и номер PIN-кода предоставляют доступ к счету – следовательно, имеется возможность получить как информацию о владельце счета и количестве денежных средств на нем, так и право распоряжения данными денежными средствами путем перевода.
Основной проблемой для правильной квалификации является отсутствие разъяснения, что является доступом к счету и конфиденциальной информацией, которая его предоставляет.
Например, согласно рекомендациям банков по безопасному использованию банковских карт с использованием совокупности персональных данных, размещенных на карте, можно совершать только покупки в онлайн-магазинах, не требующих ввода кода подтверждения, все остальные операции возможны только при их подтверждении таким кодом (SMS, Push-уведомления и пр.), т.е. необходим доступ к техническому устройству владельца счета, что в рассматриваемых случаях выходит за пределы понятия объективных действий.
Использование банковской карты непосредственно для оплаты товаров и услуг, а не для доступа к банковскому счету, без совершения иных действий, направленных на получение дополнительной информации, предоставляющей право распоряжения средствами непосредственно с банковского счета (PIN-кода, кодов подтверждения, паролей), по своей объективной стороне и общественной опасности не отличается, например, от покупки с помощью похищенных наличных денег, поскольку имеет те же цели – приобретения товаров или услуг с использованием чужих денежных средств.
Общение с лицами, которым приходилось оказывать юридическую помощь, всегда показывало, что знаниями в области функционирования банковской системы, безналичных платежей, а также в сфере информационных технологий они не обладают, найденную карту воспринимают как аналог кошелька с наличными деньгами. Целью использования найденной карты является приобретение товаров и услуг, а не денежные средства на банковском счете. Как правило, многие не имеют представления о том, кому будет причинен ущерб, – владельцу карты или продавцу.
Между тем цели введения рассматриваемого вида кражи недвусмысленно изложены в пояснительной записке к законопроекту № 186266-7: если злоумышленник с использованием идентификационных данных получил непосредственный доступ к распоряжению денежными средствами, такие действия должны образовывать объективную сторону кражи с рассматриваемым признаком. При этом размер похищенных средств не должен иметь значения, поскольку объект посягательства – это банковская тайна и нормальное функционирование банковской системы, а финансовая безопасность является основой суверенитета любой страны.
Отнесение таких действий к повышенной общественной опасности также обосновано в пояснительной записке к законопроекту № 186206-7, ставшему Федеральным законом от 23 апреля 2018 г. № 111-ФЗ: «… совершению преступления предшествует длительная подготовительная стадия, включающая отдельные деяния, которые самостоятельно могут не образовывать состав преступления. Согласно действующим уголовным нормам ответственность за приготовление к преступлению наступает только при совершении тяжких и особо тяжких преступлений».
«Кроме того, общественную опасность указанных деяний усиливает специфика способа совершения преступления – использование удаленного доступа к банковскому счету при помощи технических средств, позволяющего лицу оставаться анонимным и совершать преступление из любой точки мира, имея лишь доступ к сети Интернет. При этом способы обхода систем безопасности могут быть рассчитаны на многократное применение, в том числе использоваться для доступа не только к банковским счетам, но и иным охраняемым и особо охраняемым данным».
Следовательно, списание денежных средств с банковского счета является завершающей стадией подготовки и реализацией возникшего ранее преступного умысла на их хищение путем применения методов социальной инженерии и технических средств, направленных на получение конфиденциальной информации, с помощью которой возможен доступ к банковскому счету.
В рассматриваемом случае использование пластиковой карты как носителя конфиденциальной информации осуществляется в результате находки, а не противоправных действий.
Каких-либо дополнительных действий, направленных на получение иной конфиденциальной информации (завладение PIN-кодом, кодами подтверждения), не осуществляется.
Указанные обстоятельства, на мой взгляд, имеют существенное значение для правильной квалификации преступления и должны быть отражены в материалах дела.
Также при осуществлении защиты, полагаю необходимым ходатайствовать о приобщении договора банковского счета, к которому привязана банковская карта, о допросе представителя банка относительно порядка осуществления платежей с применением электронных средств платежа, в том числе с использованием технологий бесконтактной оплаты, а также порядка получения удаленного доступа к банковскому счету, допроса представителя платежной системы с целью доказать невозможность получения доступа к банковскому счету, поскольку при бесконтактных платежах без ввода PIN-кода лицо, применяющее платежный инструмент, не получает доступ к банковскому счету с использованием конфиденциальной информации владельца денежных средств, в связи с чем такой способ хищения, как представляется, не может быть квалифицирован по п. «г» ч. 3 ст. 158 УК РФ.
Стоит отметить, что рассмотренная проблема выступила предметом законодательной инициативы – 6 июля 2022 г. в Государственную Думу был внесен проект федерального закона № 158929-8 «О внесении изменений в статью 158 Уголовного кодекса Российской Федерации»2, согласно которому предлагалось исключить п. «г» из ч. 3 ст. 158 УК РФ, а квалифицирующий признак добавить в п. «в» ч. 2 ст. 158 УК РФ, поскольку цель введения указанной нормы не достигнута, объем операций без согласия клиента не снижается, а только увеличивается.
Более того, отнесение такого вида кражи к категории тяжкого преступления лишило виновных лиц возможности освобождения от уголовной ответственности в связи с: деятельным раскаянием, примирением с потерпевшим, назначением судебного штрафа, что, в свою очередь, снизило мотивацию виновных лиц к возмещению причиненного ущерба.
1 См. законопроект № 186266-7.
2 13 июля 2022 г. возвращен субъекту права законодательной инициативы // https://sozd.duma.gov.ru/bill/158929–8