Несанкціоноване втручання в роботу комп’ютера: практика Верховного Суду

У суспільстві сьогодення, де інформація панує над усіма сферами життєдіяльності людини, обробка інформації, використання інформаційних, автоматизованих, електронних комунікаційних, інформаційно-комунікаційних систем та електронних комунікаційних мереж є однією з ключових складових.

У цьому питанні важливу роль відіграє практика Верховного Суду, спрямована на розгляд справ, пов’язаних із несанкціонованим втручанням у роботу комп’ютера, яка має особливе значення для формування чітких правових позицій у цій сфері. Рішення найвищого суду в системі судоустрою України не лише захищають основоположні права і свободи людини і громадянина та забезпечують сталість і єдність судової практики, але також сприяють установленню ефективних механізмів запобігання кіберзлочинам і поліпшенню стану кібербезпеки на національному рівні.

Екскурс у законодавство та зміни до нього

24 березня 2022 року було прийнято Закон України «Про внесення змін до Кримінального кодексу України щодо підвищення ефективності боротьби з кіберзлочинністю в умовах дії воєнного стану» (далі – Закон № 2149-IX), яким було викладено ст. 361 Кримінального кодексу України (далі – КК України) в новій редакції.

Так, згідно із Законом № 2149-IX ст. 361 Кримінального кодексу України (далі – КК України) було перейменовано з «Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку» на «Несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж». У зв’язку з цим було також приведено у відповідність до назви статті частини останньої. Із-поміж того кваліфікуючими ознаками такого несанкціонованого втручання було визнано дії, які призвели до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, заподіяли значну шкоду чи створили небезпеку тяжких технологічних аварій або екологічних катастроф, загибелі або масового захворювання населення чи інших тяжких наслідків та ін.

Отже, на сьогодні ст. 361 КК України передбачає кримінальну відповідальність за несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж.

Проблемним питанням, яке вирішувалося Верховним Судом у розкритій нижче справі, стало те, що в новій редакції ст. 361 КК України з диспозиції зазначеної статті було виключено термін «комп’ютер», що викликало сумніви у сторони захисту щодо стану криміналізації несанкціонованого втручання в роботу комп’ютера.

Актуальна позиція Верховного Суду

19 вересня 2024 року колегія суддів Першої судової палати Касаційного кримінального суду у складі Верховного Суду (далі – ККС ВС) у справі № 735/739/29 (провадження № 51-2737км23) розглянула у відкритому судовому засіданні кримінальне провадження за обвинуваченням особи у вчиненні кримінальних правопорушень, передбачених ч.ч. 1, 2 ст. 361 КК України (далі – КК України).

Згідно з обставинами справи вироком суду першої інстанції від 15 вересня 2021 року особу було засуджено за ч. 1 ст. 361 КК України (за епізодом із 13 лютого 2018 року до 29 серпня 2019 року) до покарання в розмірі 10 200 грн без позбавлення права обіймати певні посади чи займатися певною діяльністю.

Суд першої інстанції визнав доведеним, що особа не пізніше 13 лютого 2018 року розмістила на персональному комп’ютері комунального закладу файл, який містив шкідливу програму, призначену для прихованого збирання інформації про активність користувача на персональному комп’ютері з можливістю перегляду та копіювання файлів, розміщених на ньому. За допомогою цієї програми з 13 лютого 2018 року до 29 серпня 2019 року він несанкціоновано втручався в роботу цього комп’ютера, що призвело до витоку наявної там інформації. Однак за недоведеністю винуватості особу було виправдано в тому ж вироку за обвинуваченням за ч. 1 (за першим епізодом із 1 січня 2017 року до 5 лютого 2018 року), ч. 2 ст. 361 КК України (за другим епізодом із 15 серпня 2017 року до 16 жовтня 2018 року та за третім епізодом із 11 січня 2018 року до 17 вересня 2018 року).

Судом апеляційної інстанції з посиланням на п. 1-1 ч. 2 ст. 284 Кримінального процесуального кодексу України (далі – КПК України) було постановлено ухвалу, якою вирок у частині призначеного покарання скасовано та кримінальне провадження закрито у зв’язку з утратою чинності законом, яким установлювалась кримінальна протиправність діяння.

У зв’язку з «істотним порушенням кримінального процесуального закону та неправильним застосуванням закону України про кримінальну відповідальність» прокурор у касаційній скарзі просив скасувати оскаржену ухвалу та призначити новий розгляд у суді апеляційної інстанції. Прокурор обґрунтував свої касаційні вимоги тим, що суд апеляційної інстанції: 1) не застосував закон, який підлягав застосуванню, оскільки викладена в новій редакції диспозиція ст. 361 КК України не свідчить про повну декриміналізацію діянь, пов’язаних із втручанням у роботу електронно-обчислювальних машин, а охоплюється поняттям інформаційної (автоматизованої) системи, використаним у новій редакції ст. 361 КК України; 2) не врахував, що особа втручалася в роботу чотирьох комп’ютерів закладу, що самі собою становлять відповідну систему; 3) мав закрити кримінальне провадження за п. 1-2 ч. 2 ст. 284 КПК України, проте закрив його з підстави, передбаченої п. 1-1 ч. 2 ст. 284 КПК України.

Мотивуючи своє рішення колегія суддів ККС ВС зазначила, що доводи сторони обвинувачення щодо неправильного застосування кримінального закону є слушними, а також не погодилась із висновком суду апеляційної інстанції, згідно з яким внесені Законом № 2149-IX зміни до диспозиції ст. 361 КК України свідчать про часткову декриміналізацію втручання в роботу комп’ютера.

ККС ВС наголосив, що питання у цій справі зводиться до того, чи виключив законодавець, змінюючи диспозицію ст. 361 КК України, відповідальність за втручання в роботу комп’ютера. Іншими словами чи охоплює поняття «інформаційної (автоматизованої) системи» також і «електронно-обчислювальну машину (комп’ютер)».

Як зазначила колегія суддів ККС ВС, термінологія, застосована у сфері інформаційних технологій, змінювалася відповідно до розвитку цих технологій. Автоматизовані системи обробки інформації з часом стали називатися «інформаційними (автоматизованими) системами». Відповідно до ст. 1 Закону України «Про захист інформації в інформаційно-комунікаційних системах», який діяв на час подій у цій справі, інформаційною (автоматизованою) системою визначалася організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів.

Комп’ютер, за втручання в який було засуджено особу судом першої інстанції, відповідав цьому визначенню, оскільки становив собою сукупність апаратних і програмних засобів, інтегрованих для виконання операцій із обробки інформації. Той факт, що цей комп’ютер відповідав такій характеристиці, випливає з самих обставин, покладених в основу обвинувачення.

Колегія суддів ККС ВС вважає, що використаний у новій редакції ст. 361 КК України термін «інформаційна (автоматизована) система» включає також комп’ютер як різновид такої системи. Відповідно зміна термінології в диспозиції та використання законодавцем більш широкого поняття, яке охоплює більш вузьке поняття, використане в попередній редакції ст. 361 КК України, не означає декриміналізацію діяння.

ККС ВС також підкреслив, що відповідно до старої редакції ст. 361 КК України особа обвинувачувалась у втручанні в роботу комп’ютера, що призвело до витоку інформації. Спричинення таких наслідків кваліфікується за ч. 3 ст. 361 КК України (в новій редакції). У той же час при вирішенні питання про застосування санкції мають ураховуватись положення ч. 2 ст. 5 КК України, яка забороняє застосовувати більш сувору санкцію, ніж було передбачено законом на час учинення злочину.

Ураховуючи вищенаведене ККС ВС ухвалив касаційну скаргу прокурора задовольнити частково, ухвалу суду апеляційної інстанції скасувати та призначити новий розгляд у суді апеляційної інстанції.

Автор: Тамєрлан Керімов.