Фишинг — это серьёзно. Из-за действий мошенников пора менять законы

С каждым годом в России происходит всё больше попыток виртуального мошенничества с целью хищения персональных данных. Одна из его разновидностей называется фишингом. Как с ним бороться?

Рыба в мутной воде

Фишинг — от английского слова fishing, то есть рыбалка. Путём фишинга злоумышленники пытаются обманом выманить у нас конфиденциальную информацию: логины, пароли, данные карт, паспортные данные, код доступа к личному кабинету на портале «Госуслуги» и т. д.

Цель — поймать жертву, как рыбу, на приманку. В качестве таковой может быть «запись к врачу», «пересчёт пенсии», «льготы при установке электросчётчика» — список уловок постоянно пополняется.

Противодействие фишингу в основном ведётся путем информирования граждан о том, как не стать жертвой мошенничества. Сотрудники Президентской академии Оксана Шмалий и Сергей Чаннов предложили пойти дальше — бороться с фишингом на законодательном уровне. Их работа, посвященная этому важному делу, называется «Для противодействия фишинговым атакам требуются дополнение и совершенствование существующих правовых норм».

А что сейчас?

А как с этим делом у нас обстоит сейчас? Российское законодательство не определяет фишинг как отдельное преступление. В случае получения конфиденциальной информации граждан посредством фишинговых атак мошенника (или мошенников) можно привлечь к юридической ответственности по нормам административного или уголовного законодательства за манипуляции с этими данными без согласия владельца.

Действия злоумышленников подводятся под существующие нормы Уголовного кодекса Российской Федерации (УК РФ) и Кодекса об административных правонарушениях (КоАП РФ). В частности, если они содержат признаки:

• мошенничества в сфере компьютерной информации (ст. 159.6 УК РФ);
• неправомерного доступа к компьютерной информации (ст. 272 УК РФ);
• передачи информации, необходимой для регистрации и/или авторизации пользователя сети интернет с целью совершения преступления (ст. 274.5 УК РФ);
• передачи информации, необходимой для регистрации и/или авторизации пользователя сети интернет при отсутствии признаков уголовно наказуемого деяния (ст. 13.29.2 КоАП РФ);
• незаконного сбора или распространения сведений о частной жизни лица, составляющих его личную или семейную тайну (ст. 137 УК РФ);
• нарушения законодательства в области персональных данных (ст. 13.11 КоАП РФ).

«Существующие нормы УК РФ и КоАП РФ закрывают часть правовых проблем, связанных с выделенными нами категориями противоправного использования цифровой личности по посягательству на идентификаторы и аутентификаторы, — сказано в работе. — Но остались нерешенными некоторые другие проблемы, например, отсутствие прямого запрета на фишинг как метод хищения данных, недостаточная защита игровых активов как имущества и отсутствие норм против сбыта украденных аккаунтов».

Чего не сказано в законе

Есть и другие проблемы. Например, действия злоумышленника, создающего фишинговый сайт и рассылающего письма, подпадают под ст. 159 УК РФ (мошенничество) только после причинения значительного ущерба. Сами по себе действия по созданию сайта-двойника часто остаются безнаказанными.

Ещё пример: для того чтобы похищение виртуальных данных было квалифицировано как кража, суд должен признать их «имуществом». Такое происходит далеко не всегда.

Одним словом, в российском законодательстве «отсутствуют правовые нормы, которые бы описывали весь цикл кражи элементов, составляющих цифровую личность», — утверждают авторы. А этот цикл, между прочим, весьма сложен. Как минимум, он состоит из:

• хищения учетных данных;
• несанкционированного доступа к аккаунту;
• завладения виртуальным имуществом;
• получения финансовой прибыли — сбыт учетных записей, данных цифровой личности и т. д.

«Для создания комплексного правового механизма борьбы с фишингом и кражей игровых аккаунтов требуются дополнение и совершенствование существующих правовых норм», — настаивают авторы работы. И предлагают свои пути решения проблемы, которые стоят того, чтобы процитировать их без купюр.

От года до пяти

«Предлагается включить в УК РФ статью 159.7 следующего содержания:

Статья 159.7. Мошенничество с цифровыми идентификаторами.

1. Мошенничество с цифровыми идентификаторами, то есть хищение или приобретение идентификаторов и аутентификаторов, позволяющих идентифицировать физическое или юридическое лицо в информационно-телекоммуникационных сетях, включая сеть Интернет, совершенные путем обмана или злоупотребления доверием, либо их копирование, наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев.

2. То же деяние, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину, наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до пяти лет с ограничением свободы на срок до одного года или без такового».