Юристы сообщили о расширении применения статьи Уголовного кодекса против владельцев ботов. Эксперты предупредили о жёсткости наказания по новой норме за незаконный сбор и обработку персональных данных. Уголовное преследование по ней возможно даже за небольшие утечки данных и ошибки сотрудников. Издание РБК провело опрос среди юристов на эту тему.
Новая статья направлена на борьбу с ботами для незаконного получения персональных данных. Однако всё чаще её применяют для преследования за мелкие корпоративные утечки. Под уголовное преследование попадают не только владельцы нелегальных сервисов, но и рядовые сотрудники, допустившие незначительные нарушения.
Речь идёт о статье 272.1 Уголовного кодекса: «Незаконные использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные». Статья вступила в силу 9 декабря 2024 года. Её первоначальной целью было установление ответственности за создание или использование сервисов для незаконного распространения персональных данных.
По данным МВД, за десять месяцев 2025 года по этой статье зарегистрировано 923 преступления. Власти сообщали об успешном применении нормы против администраторов ботов. В начале года прекратил работу крупный бот «Глаз Бога». В ноябре был арестован Игорь Морозкин. Он являлся владельцем сервиса Userbox.
К ответственности по статье 272.1 начали привлекать не только владельцев ботов. В марте 2025 года в Кировской области сотрудника салона связи задержали за передачу через мессенджер нескольких десятков записей с персональными данными. В том же месяце в Кировске обвинили 20-летнего работника салона сотовой связи. Ему вменили передачу персональных данных певца Shaman и других абонентов. В ноябре по той же статье в Башкирии задержали 38-летнего мужчину. Он с помощью специального оборудования активировал тысячи сим-карт. Суд отправил под домашний арест начальницу отдела судебных приставов в одном из районов Перми Надежду Шабунину.
Значительные риски несёт также статья 274.1 Уголовного кодекса. Она называется «Неправомерное воздействие на критическую информационную инфраструктуру». К такому выводу пришли аналитики RTM Group. Эта статья действует с 2018 года. Её применяют к инсайдерам, чьи действия могут трактоваться как преступление против критической информационной инфраструктуры. К ней относятся информационные системы и сети связи госорганов. Туда же входят энергетические, финансовые, медицинские, транспортные и некоторые другие компании.
Управляющий RTM Group Евгений Царев отметил, что практика показывает серьёзность ситуации. Личная флешка, воткнутая в рабочий компьютер на объекте критической информационной инфраструктуры, или передача пароля коллеге уже не просто нарушение трудовой дисциплины. По его словам, это уже состав преступления. Евгений Царев указал, что бизнесу пора переходить к политике нулевого доверия к инсайдерам и жёсткой юридической фиксации правил информационной безопасности.
По данным RTM Group, с 1 января 2018 года по 31 октября 2025 года суды рассмотрели 325 уголовных дел по статье 274.1. По 243 из них вынесли обвинительные приговоры (это составляет 75% от общего числа). Главная угроза для критической информационной инфраструктуры исходит от инсайдеров. В 160 делах фигурирует признак использования служебного положения (это почти 50%). Чаще всего к ответственности привлекают рядовых сотрудников банков, операторов связи, медицинских учреждений и почты. Причинами становятся действия из корысти, помощи другу или желания выполнить план.
Аналитики RTM Group прогнозируют рост числа приговоров. Совокупное количество приговоров по статьям 274.1 и 272.1 может вырасти в десять раз в ближайшие три-четыре года. Основным драйвером роста эксперты назвали более активное применение статьи 272.1. В 2025 году она проходила обкатку.
Партнёр коллегии адвокатов Pen & Paper Алёна Гришкова отметила особенности этих статей. Статьи 272.1 и 274.1 Уголовного кодекса сконструированы как рамочные составы. Они содержат абстрактные формулировки. Это позволяет правоохранительным органам широко трактовать нормы. В результате к уголовной ответственности привлекают даже за действия, ранее считавшиеся административными нарушениями или мелким дисциплинарным проступком.
Алёна Гришкова пояснила суть рамочных составов. В описании преступного деяния присутствуют абстрактные формулировки. Правоприменитель может их использовать по своему усмотрению. Она уточнила, что для квалификации по статье 272.1 не обязательно, чтобы был причинён реальный вред. Достаточно факта неправомерного доступа к персональным данным. Что именно считать такими данными, остаётся на усмотрение следователя.
Советник практики интеллектуальной собственности юридической компании «ЭБР» Артём Евсеев высказал своё мнение о широте охвата статьи 272.1. Он считает, что это является осознанным решением законодателя. Норма должна работать против новых схем нарушений. Однако одновременно это создаёт риски. Артём Евсеев отметил, что основной запрос со стороны бизнеса связан не столько с жёсткостью нормы, сколько с предсказуемостью её применения. На практике до сих пор нет чёткого понимания, где проходит граница между административной и уголовной ответственностью.
Партнёр практики уголовно‑правовой защиты бизнеса BGP Litigation Анатолий Логинов рассуждает о проблемах применения статьи 274.1. Они связаны с незавершённым регулированием в сфере критической информационной инфраструктуры. Это даёт следователям чересчур широкие возможности самим решать, что является преступлением. По его мнению, в статье не учтены некоторые важные технические аспекты. Её текст копирует состав административного правонарушения. Это позволяет трактовать любое нарушение в обработке персональных данных как преступление.
Анатолий Логинов считает, что на практике это создаёт ситуации, когда возможно любое нарушение в сфере обработки персональных данных трактовать как преступление. На его взгляд, норма статьи 272.1 в этой части требует доработки. Юрист указал, что эта статья не очень помогла в борьбе с ботами. Зачастую их владельцы являются анонимами, которые находятся не в России.