Определение Судебной коллегии по уголовным делам Верховного Суда Российской Федерации от 05.03.2026 по делу N 12-УД25-2-К6 признало ошибочной квалификацию действий М. по ч. 4 ст. 274.1 УК РФ, поскольку использование легального (санкционированного) доступа медсестры к информационной системе, даже в противоправных целях, не образует объективной стороны «неправомерного доступа» к критической информационной инфраструктуре. Суд указал на отсутствие необходимого для данного состава преступления прямого умысла именно на подрыв функционирования инфраструктуры, а также реального вреда самой системе (ЕГИСЗ работала штатно), и расценил внесение данных исключительно как способ подделки официальных документов (ч. 1 ст. 327 УК РФ).
Суть дела
Приговором районного суда М., несудимый, осужден по ч. 1 ст. 327 УК РФ к 1 году лишения свободы, с освобождением от наказания в связи с истечением срока давности уголовного преследования, ч. 4 ст. 274.1 УК РФ к 3 годам 6 месяцам лишения свободы, на основании ст. 73 УК РФ условно с испытательным сроком 3 года с возложением приведенных в приговоре обязанностей.
Апелляционным определением судебной коллегии по уголовным делам Верховного Суда Республики приговор изменен: исключено из квалификации действий осужденного по ч. 1 ст. 327 УК РФ указание на подделку официального документа, освобождающего от обязанностей. Этот же приговор в части решения вопроса о судьбе вещественного доказательства — мобильного телефона К. отменен, дело в этой части направлено на новое судебное рассмотрение в тот же суд в порядке, предусмотренном ст. 397, 399 УПК РФ. В остальной части приговор оставлен без изменения.
Кассационным определением судебной коллегии по уголовным делам приговор и апелляционное определение оставлены без изменения.
Судебная коллегия установила
М. осужден за неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной структуре РФ, повлекший причинение вреда критической информационной структуре РФ, группой лиц по предварительному сговору, а также за совершение подделки официального документа, предоставляющего права, в целях его использования, и за сбыт такого документа.
В кассационных жалобах защитник оспаривает осуждение М. по ст. 274.1 УК РФ, утверждая об отсутствии состава преступления.
Обращает внимание на то, что доступ в систему был совершен К. на законных основаниях, вредоносные программы и компьютерные атаки не применялись, осужденный такого доступа не имел, умысла на воздействие на критическую информационную структуру у осужденного не было, и в сговор с К. с этой целью он не вступал. Вреда этой структуре причинено не было, она работала в штатном режиме, в нее лишь добавлялись соответствующие действительности персональные данные граждан.
Диспозиция преступления, предусмотренного ч. 4 ст. 274.1 УК РФ, предусматривает неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, повлекший причинение вреда критической информационной инфраструктуре Российской Федерации, группой лиц по предварительному сговору.
При этом наличие признака неправомерности доступа к охраняемой информации является необходимым условием наступления уголовной ответственности.
Вопреки этим требованиям закона по данном уголовному делу установлено и следует из приведенных в приговоре доказательств, в частности показаний осужденного М., свидетелей К. А. З. протокола выемки от 10 июля 2023 года, информации, полученной из ГБУ РМЭ «Оршанская ЦРБ», что К. в силу занимаемой должности имела санкционированный доступ к ЕГИСЗ по внесению сведений о вакцинированных лицах и именно это обстоятельство охватывалось умыслом осужденного М. при достижении им преступного сговора с ней на оформление подложных сертификатов.
При этом в приговоре не было установлено, а из содержащихся в судебном решении доказательств не следует, что действия М. были связаны с использованием компьютерных программ для неправомерного доступа или с использованием компьютерной информации, заведомо предназначенной для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации.
Таким образом, вывод суда о неправомерности доступа осужденного к компьютерной информации является необоснованным.
Кроме того, внесение в систему недостоверных сведений, само по себе не является уголовно наказуемым по ч. 4 ст. 274.1 УК РФ воздействием на критическую информационную инфраструктуру Российской Федерации, если этой инфраструктуре не причинен вред.
Как установлено судом и следует из материалов дела, принадлежащая Министерству здравоохранения РФ информационная система ЕГИСЗ является объектом критической информационной инфраструктуры Российской Федерации второй категории значимости, а «Регистр вакцинированных от COVID-19» является ее подразделом.
Вместе с тем из приведенных в приговоре доказательств не следует причинения какого-либо реального вреда критической информационной инфраструктуре Российской Федерации. Как видно из показаний представителя Министерства здравоохранения Российской Федерации Ш. представителя Министерства здравоохранения Республики Марий Эл З. ответа Министерства здравоохранения Российской Федерации N 18-4/1978 от 15 июня 2023 года, письма Министерства здравоохранения Республики Марий Эл N 7691 от 17 августа 2022 года, информационный ресурс COVID-19 продолжал работать в штатном режиме после внесения в него недостоверных сведений.
Внесенные в реестр сведения сделали содержащуюся в нем информацию относительно 30 граждан недостоверной, однако вреда самой Единой государственной информационной системе в сфере здравоохранения, как объекту критической информационной инфраструктуры РФ, не повлекли.
Субъективная сторона преступления, предусмотренного ч. 4 ст. 274.1 УК РФ, характеризуется прямым умыслом и целью подорвать устойчивое функционирование критической информационной инфраструктуры.
Однако установленные судом фактические обстоятельства свидетельствуют о том, что действий, направленных на достижение указанной цели М. не осуществлял и умысла воздействовать на такую инфраструктуру не имел.
Недостоверные сведения в ЕГИСЗ вносились, как установлено органами следствия и судом, в целях подделки и сбыта сертификатов о вакцинации с QR-кодом. Его действия были направлены исключительно на получение прибыли от сбыта поддельных официальных документов.
Соответственно, действия М., без которых совершить подделку и сбыт сертификатов о прививке от COVID-19 было бы невозможным, являются составной частью преступления, предусмотренного ч. 1 ст. 327 УК РФ, а квалификация этих действий по ч. 4 ст. 274.1 УК РФ подлежит исключению из приговора как излишне вмененная.
Мнение эксперта
Предметом рассмотрения является законность и обоснованность осуждения М. по ч. 4 ст. 274.1 УК РФ (неправомерный доступ к критической информационной инфраструктуре – КИИ) при фактически установленных обстоятельствах внесения фиктивных сведений о вакцинации от COVID-19.
М., желая получить сертификат о вакцинации без прохождения процедуры, вступил в сговор с медсестрой К., имевшей легальный санкционированный доступ к Единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ) – объекту КИИ. За вознаграждение они вносили в систему недостоверные персональные данные о вакцинации 30 граждан, что позволяло генерировать на портале «Госуслуги» поддельные QR-коды. Суды первой, апелляционной и кассационной инстанций квалифицировали эти действия как совокупность преступлений по ч. 1 ст. 327 и ч. 4 ст. 274.1 УК РФ.
Квалификацию по ч. 4 ст. 274.1 УК РФ следует считать ошибочной, т.к. отсутствовал признак «неправомерности доступа» (объективная сторона). Также диспозиция ч. 4 ст. 274.1 УК РФ в качестве обязательного элемента включает неправомерный доступ к охраняемой компьютерной информации и установлено, что медсестра К. имела законный (санкционированный) доступ к ЕГИСЗ в силу своей должности. М., не имея самостоятельного доступа к системе, использовал ее правомочия. Доступ был осуществлен легально, без взлома, использования вредоносных программ или обхода средств защиты. Действия, совершенные лицом с использованием своего или чужого легального доступа, даже в целях, противоречащих регламенту, не образуют объективной стороны преступления, предусмотренного ст. 274.1 УК РФ (отсутствует неправомерность как таковая).
Состав преступления ст. 274.1 УК РФ по конструкции является материальным, т.е. обязательно наступление последствий в виде причинения вреда критической информационной инфраструктуре.
Внесение недостоверных сведений в базу данных нарушило требования к достоверности и целостности информации, но не повлияло на функционирование самой системы как объекта КИИ. Из доказательств (показания представителей Минздрава, служебные письма) следовало, что ЕГИСЗ продолжала работать в штатном режиме. Реальный вред инфраструктуре (сбои, отказы, нарушение безопасности) не наступил. А причинение репутационного вреда или внесение недостоверных данных, не повлиявших на работоспособность КИИ, не охватывается составом ст. 274.1 УК РФ.
Субъективная сторона преступления (ст. 274.1 УК РФ) — прямой умысел, направленный на нарушение функционирования КИИ. Целью М. было не «подорвать устойчивое функционирование» инфраструктуры, а извлечение прибыли от сбыта поддельных документов (сертификатов). Внесение данных в систему являлось способом совершения подделки официального документа, а не самостоятельным посягательством на КИИ.
При квалификации содеянного как совокупности преступлений суды не учли, что одно деяние (внесение данных) было полностью поглощено другим (подделкой и сбытом документов по ч. 1 ст. 327 УК РФ) и не имело самостоятельной преступной цели.
ВС РФ указал на границы состава преступления ст. 274.1 УК РФ, что для квалификации действий как неправомерного доступа к КИИ необходимо установить технический или логический способ преодоления средств защиты, а не просто использование легального доступа в корыстных целях. Верховный Суд РФ изменил судебные акты всех трех инстанций, исключив осуждение М. по ч. 4 ст. 274.1 УК РФ как излишне вмененное. Осуждение по ч. 1 ст. 327 УК РФ оставлено в силе, что видится верным.
Решение проводит четкую грань между внесением недостоверных сведений в государственные информационные системы как способом подделки официальных документов (ст. 327 УК РФ) и реальным кибервоздействием на критическую инфраструктуру (ст. 274.1 УК РФ). ВС РФ указал, что квалификация по ст. 274.1 УК РФ требует установления специальной цели – вреда именно инфраструктуре, а не отдельным данным.
Красненкова Елена Валерьевна, доцент, к.ю.н., доцент Кафедры международного и публичного права ФГОБУ ВО «Финансовый университет при Правительстве Российской Федерации»
