17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50
51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67
68 69 70 71 72 73 74 75 76 77 78
Таким образом, повышается роль банков членов платежных систем, их конкретных сотрудников, которые могли бы проводить экспертизы подлинности банковских карт, так как именно они обладают специальными познаниями, позволяющими определить, что представленная на исследование карта является поддельной.
Цель экспертизы: помочь установить следователю, что пластиковая карта является поддельной кредитной или расчетной картой.
Уголовно-процессуальный кодекс РФ разрешает проведение экспертизы после возбуждения уголовного дела (см. Приложение 117 УПК РФ — Постановление о назначении экспертизы, в котором необходимо указать номер уголовного дела[196]). В результате образуется коллизия: для того, чтобы установить, что пластиковая карта является поддельной кредитной или расчетной, необходимо провести экспертизу, но вынести постановление о такой экспертизе, возможно только после возбуждения уголовного дела, т. е., у следователя еще до момента проведения экспертизы, которая установит поддельность кредитных, расчетных карт, уже должны появиться основания считать данные карты поддельными и возбудить уголовное дело. Для того чтобы такие основания появились, необходимо провести исследование пластиковых карт у специалиста, которым скорее всего будет компетентный сотрудник банка или платежной системы. На основании выводов специалиста о поддельности, представленных на исследование карт, и о классификации их как кредитных или расчетных, возможно возбуждение уголовного дела и повторное направление карт для исследования, но уже эксперту в рамках возбужденного уголовного дела.
Объектом, направляемым следователем на исследование, является пластиковая карта, в том числе таким объектом может быть «белый пластик» (заготовка карты). Так как до получения заключения эксперта, следователь не может самостоятельно определить, что карты являются кредитными, расчетными, банковскими, платежными либо какими-либо иными (см. данные выше определения).
Необходимо несколько пояснить, что понимается под картой выпущенной или эмитированной не эмитентом. Данное определение означает, что истинный эмитент не давал разрешения на выпуск карты. В технологии обращения карт эмитенты могут изготавливать и персонализировать карты не самостоятельно, а, прибегая к услугам сторонних организаций, например, независимых персонализационных бюро, или банк-агент изготавливает карты у банка-спонсора. Однако распоряжение на изготовление карт (санкцию на их выпуск) дает именно эмитент. Если же изготовитель карт по каким-либо причинам выпустит карты без санкции эмитента (например, продублирует карты), то хотя такие карты будут соответствовать всем требуемым стандартам, но с точки зрения платежной системы (банка-эмитента) карта-дубликат будет являться поддельной и ее обращение в системе расчетов нелегитимно.
Кто и на основании чего делает вывод о поддельности карты?
В связи с тем, что понятия поддельной или подлинной кредитной или расчетной карты являются юридическими, то вывод об этом должен делать следователь. Экспертиза же должна дать необходимые и достаточные данные для признания карты подлинной или поддельной. По существу, исходя из приведенного определения поддельной карты, в ходе исследования необходимо установить следующие факты:
1) санкционировал ли эмитент выпуск данной карты;
2) если карта эмитирована эмитентом, то не была ли она модифицирована;
3) возможно ли использование карты в безналичных расчетах;
4) может ли карта быть воспринята участниками платежной системы в качестве кредитной или расчетной.
Если эксперт или специалист не являются сотрудниками эмитента, то в определенных случаях ответить на первый вопрос будет весьма сложно, а порой и невозможно (например, при выпуске персонализатором карт-дубликатов). Поэтому для решения вопроса о поддельности карты, необходимо классифицировать виды поддельных карт, чтобы, исходя из конкретных обстоятельств дела, правильно поставить вопросы эксперту.
Виды поддельных платежных банковских карт
1. Полностью изготовленная поддельная карта — карта, имитирующая настоящую карту, включая внешний вид и запись информации на магнитную полосу. В пластик карты может быть также вмонтирована микросхема, но использование ее при проведении незаконных операций в настоящее время не осуществляется и информация на нее не записывается. Такие карты предназначены для обмана персонала предприятий торговли, принимающего карты, относительно их подлинности и проведения платежных операций в данных торговых предприятиях.
2. Поддельная карта, изготовленная путем частичной подделки.
2.1. Подделка карты, выпущенной законным эмитентом, производителем, платежной системой.
2.1.1. Карта, изготовленная путем изменения эмбоссированных реквизитов карты, например номера карты. Может использоваться для операций, осуществляемых с помощью импринтера. В этом случае информация, записанная на магнитную полосу и микросхему, не имеет для злоумышленника никакого значения.
2.1.2. Карта, изготовленная путем изменения информации, записанной на магнитную полосу карты. Может использоваться для операций, осуществляемых с помощью электронного терминала. Информация, физически нанесенная на карту (номер, срок действия), отличается от информации, записанной на магнитную полосу. В случае нанесения на карте не полного номера (Visa Electron), возможен подбор реквизитов для магнитной полосы, совпадающих с нанесенными на пластике.
2.1.3. Комбинация двух выше названных методов.
2.2. «Белый пластик» — заготовка карты (исходник), не обязательно белого цвета, предназначена для совершения мошеннических операций, как правило, хищения денежных средств в торговых точках при соучастии с кассиром (продавцом) или в банкоматах, терминалах самообслуживания. В качестве «белого пластика» могут быть использованы любые пластиковые карты со стандартно расположенной магнитной полосой — дисконтные, клубные, идентификационные, подарочные, транспортные, сувенирные, рекламные и т. п.
2.2.1. Карта, изготовленная путем эмбоссирования реквизитов карты (номер, срок действия, имя держателя). Такие карты предназначены для проведения операций с использованием импринтера. В торговом предприятии операции можно совершить только при пособничестве кассира.
2.2.2. Карта, изготовленная путем нанесения информации с подлинных карт на магнитную полосу. Возможно несколько вариантов использования.
2.2.2.1. Проведение операций на электронных торговых терминалах в предприятиях торговли. При этом необходим сговор с кассиром.
2.2.2.2. Совершение операций в торговых (сервисных) терминалах самообслуживания (автоматы по продаже автобусных или железнодорожных билетов, счетчики на автомобильных стоянках, автоматические терминалы на АЗС, телефоны, платные дороги и др.). При данных операциях существует ограничение по максимальной разрешенной сумме.
2.2.2.3. Совершение операций в банкоматах. Необходимо знание ПИН-кода.
Исходя из вида поддельных карт, необходимо формирование конкретных вопросов, которые ставятся на разрешение эксперту. Помочь в этом следователю может специалист.
Для облегчения работы по выявлению поддельных банковских карт со стороны следствия сделаем некоторые предположения:
• при эмиссии банковских карт каждый банк под определенный карточный продукт получает уникальный БИН (банковский идентификационным номер), по которому банк участник платежной системы легко может определить название эмитента и тип карты;
• при изготовлении поддельных банковских карт злоумышленники не соблюдают соответствие номера БИН названию банка и карточному продукту (делается это либо не незнанию, либо в целях снижения себестоимости изготовления поддельной карты, либо намеренно, так как на поддельных картах магнитная полоса зачастую используется от банковских карт иностранных банков, а дизайн самой пластиковой карты выполняется как эмитированной российским банком — это вызывает меньше подозрений у кассиров);
• таких поддельных карт — непопадающих в БИН абсолютное большинство.
На основании данных предположений можно использовать следующую методику проведения исследования поддельных банковских карт Visa и MasterCard, которая позволит достаточно быстро и эффективно организовать проведение экспертиз сотрудниками экспертно-криминалистических подразделений МВД РФ или банков.
Для исследования поддельных банковских карт назначается технико-криминалистическая судебная экспертиза пластиковых карт.
В постановлении о назначении экспертизы необходимо поставить следующие вопросы.
1. Соответствует ли номер, представленной на экспертизу карты, названию банка-эмитента и типу карточного продукта?
2. Может ли быть представленная на экспертизу карта воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной?
Ответы на вышеназванные два вопроса являются необходимым и достаточным условием ответа на вопрос — является ли исследуемая пластиковая карта поддельной кредитной или расчетной картой?
В случае получения от эксперта отрицательного ответа на первый вопрос и положительного на второй (при этом ответ эксперта должен определить карту как кредитную или расчетную) следователь обосновано может сделать вывод, что данная карта является поддельной кредитной или расчетной.
Представляется ошибочной постановка перед экспертом следующего вопроса:
Соответствует ли предоставленная на экспертизу карта образцам аналогичной продукции, выпускаемой (эмитируемой) предприятиями (эмитентами) платежных систем либо стандартам платежной системы?
Так как ответ на данный вопрос не позволяет определить поддельная карта или подлинная. Дело в том, что платежные банковские карты изготовливаются на основании, определенных платежными системами стандартов. В случае проведения экспертизы эксперт пользуется именно этими стандартами (если только он не является работником эмитента). Однако констатация факта, что представленная на экспертизу карта не соответствует стандартам платежных систем, не позволяет следователю сделать вывод, что такая карта является поддельной. Эмитенты сами могут отходить от принятых в платежной системе стандартов как намеренно (например, социальная карта москвича), так и ненамеренно (в результате брака).
Производство экспертизы
Более подробно рассмотрим вопросы проведения экспертизы карт на примере банковских карт платежных систем VISA и MasterCard.
Для производства экспертизы необходимо следующее оборудование:
1) считыватель магнитной полосы (1 и 2 дорожки) с соответствующим программным обеспечением. Используется для считывания информации с магнитной полосы карты;
2) ультрафиолетовая лампа. Используется для определения ультрафиолетовых элементов на карте;
3) лупа с 10-кратным увеличением или более. Используется для определения элементов на карте, выполненных микрошрифтом;
4) измеритель линейных размеров. Используется для определения физических размеров карты;
5) считыватель микропроцессора карты с соответствующим программным обеспечением. Данное оборудование необходимо для анализа информации записанной в микропроцессор карты. Однако в настоящий момент подделка именно микропроцессоров платежных банковских карт еще не является сколь-нибудь заметным явлением. Микропроцессорные карты, как продукт, подделывают, не затрагивая непосредственно микросхему. Поэтому в приведенной ниже методике анализ информации записанной на микросхему не рассматривается, так как для полноценной экспертизы карт вполне допустимо его не проводить[197].
Методика проведения экспертизы[198]
Экспертиза карты заключается в осуществлении следующих основных исследований, по результатам которых можно сделать вывод о поддельной кредитной или расчетной карте, представленной на экспертизу.
1. Определение типа платежной системы, банка эмитента и банковского продукта.
Тип платежной системы определяется по логотипу и первым цифрам нормера карты.
Номера карт платежной системы Visa начинаются с цифры «4», платежной системы MasterCard — с цифры «5» (кроме карт типа Maestro, которые начинаются с цифр «50», «56–58», «60–69»; номер карт Maestro закодирован на магнитной полосе и может отличаться от номера, нанесенного графическим способом на карте).
Для платежной системы VISA информация о банке-эмитенте содержится в электронной базе данных Visa interchange directory (VID). Данная база регулярно обновляется и рассылается банкам принципиальным членам платежной системы. Информация о карточном продукте (кредитная или расчетная, а также ее тип — Electron, Classic, Gold и др.) содержится в таблицах БИН (BIN tables), которые находятся в процессинговых центрах, подключенных к сети VISA, ежедневно обновляются и служат для маршрутизации операций по картам сторонних эмитентов в устройствах процессингового центра.
Для платежной системы MasterCard информация о банке-эмитенте содержится в электронной базе данных Member information directory (MIM — Member information manual). Данная база регулярно обновляется и рассылается банкам принципиальным членам платежной системы. Информация о карточном продукте (кредитная или расчетная, а также ее тип — Maestro, Mass, Gold и др.) также содержится в таблицах БИН (BIN tables), которые находятся в процессинговых центрах, подключенных к сети MasterCard, ежедневно обновляются и служат для маршрутизации операций по картам сторонних эмитентов в устройствах процессингового центра.
В случае несоответствия информации графически нанесенной на пластиковой карте с сведениями из баз данных платежных систем — название банка эмитента и (или) карточного продукта, то данная карта является поддельной. По БИН таблицам определяется принадлежность карты к кредитной или расчетной. По дате действия карты определяется возможность проведения операций до определенного момента времени или за определенный временной промежуток (в случае если на карте нанесена дата начала действия карты).
Данный этап исследования позволяет выявлять полностью изготовленные поддельные карты (вид 1) и эмбоссированный «белый пластик» (вид 2.2.1). Однако на карте может быть нанесена не вся информация, например, отсутствует имя держателя, срок действия, часть номера карты или поддельная карта изготовлена в виде неэмбоссированного «белого пластика» (вид 2.2.2). Как уже было отмечено, подавляющее большинство поддельных карт изготавливается для проведения операций на электронных терминалах. В связи с этим необходимо провести следующий этап исследования.
2. Анализ информации, закодированной на магнитной полосе карты.
Для платежной системы VISA анализ производится на основе стандартов, изложенных в актуальной версиих следующих документов:
• Visa payment technology standards manual. В приложениях А и В (appendix A, B) описаны данные содержащиеся на первой (А) и второй (В) дорожках магнитной полосы карты.
Для платежной системы MasterCard анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов.
• Authorization system manual. В разд. 9 «Authorization Services Detail» в пунктах «Layout for Encoding Track 1» и «Layout for Encoding Тгаck 2» находится описание расположения данных записываемых на первой (Track 1) и второй (Track 2) дорожках магнитной полосы карты;
• Security rules and procedures. Пункт 3.6.3 valid service codes описывает значения полей сервис кода;
Более подробно рассмотрим информацию, записанную на магнитной дорожке. Мы не будем анализировать все значения, а выделим только значимые для проведения экспертизы.
На первой дорожке (трек 1), состоящей из 76 буквенно-цифровых символов, значимой для эксперта является следующая информация:
• номер карты — длина 16 цифр, начинается с третьего символа. Для карт Maestro длина номера карты может составлять 19 цифр;
• имя держателя — длина от 2 до 26 символов, начинается за номером карты после разделительного знака;
• дата действия карты — 4 символа, начинается за именем держателя после разделительного знака в формате ГГММ;
• сервис код — 3 символа, начинается сразу за датой действия карты без разделительного знака.
На второй дорожке (трек 2) значимой для эксперта является следующая информация:
• номер карты — длина 16 цифр, начинается со второго символа. Для карт Maestro длина номера карты может составлять 19 цифр.
• дата действия карты — 4 символа, начинается за номером карты после разделительного знака в формате ГГММ.
• сервис код — 3 символа, начинается сразу за датой действия карты без разделительного знака.
Значения сервис кода:
Карты VISA.
1 цифра:
1 — международная карта.
2 — международная карта с микропроцессором.
5 — для локального использования.
6 — для локального использования с микропроцессором.
2 цифра:
0 — нормальная авторизация.
2 — «позитивная» авторизация: разрешение на проведение транзакции, полученное от эмитента или от альтернативного процессингового центра.
3 цифра:
0 — требование ПИН.
1 — нормальная верификация (проверка).
2 — только товары и услуги в POS (не наличные).
3 — действительна только для сети Plus.
6 — запрашивать ПИН если есть пин-пад.
Карты MasterCard.
1 цифра:
1 — международная карта.
2 — международная карта с микропроцессором.
5 — для локального использования.
6 — для локального использования с микропроцессором.
7 — для карт частных или ограниченных сетей.
2 цифра:
0 — нормальная авторизация.
2 — «позитивная» онлайновая авторизация.
3 цифра:
0 — требование ПИН.
1 — нормальная верификация (проверка), без ограничений.
2 — нормальная верификация (проверка) только товары и услуги в POS (не наличные).
3 — только банкомат, требование ПИН.
5 — требование ПИН только товары и услуги в POS (не наличные).
6 — запрашивать ПИН если есть пин-пад.
7 — запрашивать ПИН если есть пин-пад только товары и услуги в POS (не наличные).
Другие значения, например, коды PVV, CVV, CVC не являются значимыми для экспертизы, так как проверить их может только эмитент.
Полученная с магнитной полосы информация позволяет получить недостающие реквизиты карты в случае отсутствия их графического нанесения и провести сравнение с графически нанесенной информацией. В случае несовпадения реквизитов карты, нанесенных графически и закодированных в электронном виде, кроме карт Maestro, имеем перекодированную поддельную карту (вид 2.1.2). Возможность проведения электронных операций с использованием терминалов устанавливается с использованием трека 2 по номеру карты, дате действия, сервис коду. Номер карты, записанный на втором треке, позволит также определить название банка эмитента, тип карточного продукта и отнести карту к кредитной, расчетной или предоплаченной, аналогично вышеописанной методике в п. 1 указанном ранее). Данный анализ позволяет идентифицировать «белый пластик» как поддельные кредитные, расчетные карты (вид 2.2.2) и выявлять перекодированные карты. В случае перекодированной карты встает вопрос: карту какого банка подделали — согласно физическим реквизитам или закодированным на магнитной полосе? Чтобы ответить на данный вопрос, необходимо понять, зачем модифицировали карту. Ответ лежит на поверхности — для проведения операции по магнитной полосе с использованием электронного терминала. Если с использованием такой карты совершить операцию, то в платежной системе отразится номер карты, записанный на магнитную полосу, и банк эмитент именно этот номер занесет в отчет о мошенничестве (fraud report) как операцию по поддельной карте.
3. На основании данных, полученных в п. 1 и 2 эксперт может ответить на вопросы.
• Соответствует ли номер, представленной на экспертизу карты, названию банка-эмитента и типу карточного продукта?
• Может ли быть представленная на экспертизу карта воспринята в технологии функционирования платежной системы в качестве кредитной?
Данная методика позволяет быстро и просто установить поддельность кредитных, расчетных карт для подавляющего количества подделок. Исключения составят полностью изготовленные поддельные карты (п. 1), которые попадают в БИН (название банка эмитента и карточный продукт поддельной карты соответствует информации из базы данных платежных систем), и карты, изготовленные путем изменения эмбоссированных реквизитов (при этом БИН банка и тип карты сохраняются). Вероятность исследования таких карт настолько мала, что не имеет большого практического значения. Если же все таки имеются основания считать, что предметом исследования является именно такая карта, то необходимо провести дополнительное исследование.
4. Анализ физических параметров, графических и защитных элементов карты исходя из дизайна карты в платежных системах VISA и MasterCard.
Для платежной системы VISA анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов.
• Visa international card and Marks Specification. Данный документ содержит описание физических параметров (спецификации) карточных продуктов и дизайна.
• Visa Product Brand Standards. Данное название объединяет несколько документов, содержащих описание физических параметров (спецификации) и дизайна карточных продуктов нового дизайна.
• Visa international operating regulations, Volume I — General rules. Раздел 10 «Card and Marks Requirements» содержит описание требований элементов дизайна и безопасности общих для карточных продуктов по всему миру.
Visa regional operating regulations, Central and Eastern Europe, Middle East, and Africa. В разделе 10 «Card and Marks Specifications» уточнение требований элементов дизайна и безопасности общих для карточных продуктов региона CEMEA (Центральная и Восточная Европа, Ближний Восток, и Африка), к которому относится Россия.
Для платежной системы MasterCard анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов:
• Card design standard system. Данный документ содержит описание физических параметров (спецификации) карточных продуктов и дизайна.
• Security rules and procedures. В разделе 2 «MasterCard Card Production Standards» и разд. 3 «MasterCard Card and TID Design Standards» содержатся дополнительные данные по элементам дизайна и безопасности карточных продуктов.
Руководства по требованиям исполнения дизайна и защитных элементов платежных карт доступны банкам принципиальным членам платежной системы.
Этапы экспертизы:
1) следователь готовит постановление о назначении судебной экспертизы;
2) передача постановления и объекта (объектов) экспертизы эксперту;
3) проведение экспертизы экспертом;
4) подготовка заключения и сопроводительного письма экспертом.
При ответе на вопрос: может ли представленная на экспертизу пластиковая карта быть воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной на определенную дату или период времени? — необходимо учитывать, что поддельная кредитная или расчетная карты может быть предназначена для использования её только определенным образом, а не в качестве полноценного банковского продукта. Чтобы определить, что пластиковая карта может быть воспринята платежной системой в качестве кредитной или расчетной, необходимо заключение эксперта о возможности («пригодности») использования исследуемой карты определенным образом в определенный момент времени в технологии платежных карт, в том числе «белого» пластика и карт, имеющих номера, которые еще никому не выдавались.
После производства исследований эксперт составляет письменное заключение и удостоверяет его своей подписью. В заключении эксперта должны быть отражены: время и место производства экспертизы; основания назначения экспертизы; данные об органе или лице, назначившем экспертизу; сведения об эксперте, которому поручено ее производство; предупреждение эксперта в соответствии с действующим законодательством об ответственности за отказ и уклонение от дачи заключения и за дачу заведомо ложного заключения; вопросы, поставленные перед экспертом; объекты и материалы дела, представленные ему и подлежащие исследованию; содержание и результаты экспертных исследований с указанием примененных методов, а также кто конкретно эти исследования проводил, если работала комиссия экспертов; оценка результатов исследования, обоснование и формулировка выводов по поставленным вопросам.
Выводы, к которым приходит эксперт при даче заключения, могут быть категорическими и вероятными (положительными и отрицательными). Категорическое заключение эксперта является источником доказательств, а фактические данные, изложенные в заключении, доказательствами по делу. Вероятное заключение не является источником доказательств; оно намечает лишь дальнейшую направленность расследования. Вероятное заключение играет оперативно-тактическую роль и, естественно, не может быть положено в основу приговора.
В тех случаях, когда в заключении делаются вероятные выводы или вывод о невозможности решения вопросов, эксперт обязан подробно изложить причины, приведшие его к такому результату. Категорическое заключение эксперта, являясь доказательством по делу, оценивается судом, судьей, прокурором, следователем, лицом, производящим дознание, с точки зрения его обоснованности, достоверности, полноты, надежности примененных методов исследования, соблюдения всех процессуальных положений, установленных для производства экспертизы.
Неправомерный доступ к компьютерной информации
В сфере рассматриваемого вопроса представляет интерес абз. 1 ч. 1 ст. 272 УК РФ.
Предметом неправомерного доступа к охраняемой законом компьютерной информации, является деяние, повлекшее уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Статья 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»[199]: информация — сведения (сообщения, данные) независимо от формы их представления;
Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами[200].
Неправомерным считается доступ к компьютерной информации, если:
• субъект не имеет прав доступа к этой информации;
• субъект имеет права доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа.
При этом по отношению к этой информации должны приниматься меры защиты, ограничивающие к ней доступ.
Статья 272 УК РФ защищает компьютерную информацию, где бы она ни была представлена.
Под переработкой (модификацией) программы для ЭВМ или базы данных понимаются любые их изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой язык, за исключением адаптации, т. е. внесения изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя.
Сотрудниками правоохранительных органов г. Ижевска совместно с сотрудниками Альфа-банка было осуществлено задержание гражданина, использовавшего подделанные банковские карты для оплаты товара в организации торговли. Было возбуждено и доведено до суда уголовное дело по ст. 272 УК РФ (Приговор Глазовского городского суда Удмуртской Республики по делу № 1-686/2004 67/415 от 28 декабря 2004 г.). При этом использовалась следующая аргументация:
Сервер банка эмитента (содержит компьютерную информацию — данные карт, данные операций, данные остатка и другую служебную информацию) — компьютерная база данных ограниченного пользования, доступ к которой строго регламентирован. Информация, размещенная на сервере, имеет конфиденциальный характер и допуск к ней имеет ограниченный список уполномоченных лиц в соответствии с должностными обязанностями.)
Авторизация покупки — уменьшение платежного лимита, (т. е. модификация (изменение) состояния электронных данных на (авторизационном) сервере банка-эмитента).
При квалификации противоправных действий по данной статье необходимо учитывать, что компьютерная информация, к которой осуществляется неправомерный доступ, должна защищаться законом. В случае рассмотрения банковских карт такой информацией является информация о счете клиента — доступный баланс, который в результате несанкционированной операции с использованием поддельной, утраченной карты либо с использованием реквизитов карты изменяется (уменьшается на величину операции, т. е. модифицируется). Однако, предоставить доказательства, подтверждающие данное изменение может только банк эмитент, в котором ведется счет держателя. В связи с этим, незаконные операции по картам иностранных эмитентов квалифицировать по данной статье будет практически невозможно.
Скимминг
Копирование магнитной полосы обычно осуществляется с целью изготовления поддельных карт. При этом, полученная информация может использоваться как самостоятельно, так и с целью её продажи. Конечной целью изготовления поддельных карт является хищение денежных средств и незаконное копирование магнитной полосы можно было бы квалифицировать как приготовление к данному виду преступления. Но возможно ли привлечь к уголовной ответственности злоумышленников на данном этапе их деятельности?
Уголовная ответственность наступает только в случае приготовления к тяжкому и особо тяжкому преступлениям (ч. 3 и ч. 4 ст. 159 УК РФ — с использованием своего служебного положения, в крупном размере, организованной группой, в особо крупном размере). В связи с этим предъявить обвинение по данной статье будет крайне сложно, так как до момента самого хищения или покушения на хищения невозможно определить размер ущерба, а квалифицирующие признаки служебное положение и организованная группа лиц могут отсутствовать. Поэтому необходимо рассмотреть другие статьи Уголовного кодекса РФ.
Вернемся к ст. 272 УК РФ «Неправомерный доступ к компьютерной информации», в ней особый интерес представляет неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло её копирование (перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации). Так как при использовании скиммеров либо других устройств или технологий происходит именно данное действие — компьютерная информация на машинном носителе (информация, записанная в электронном виде на магнитной полосе карты) копируется на другое устройство памяти. Необходимо удостоверится, что копируемая информация охраняться законом. Как уже упоминалось, на магнитной полосе банковской карты на первом треке записана фамилия держателя и номер карты, а на втором треке — номер карты. Каким же законом защищается данная информация?
Согласно ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[201]
Таким образом, повышается роль банков членов платежных систем, их конкретных сотрудников, которые могли бы проводить экспертизы подлинности банковских карт, так как именно они обладают специальными познаниями, позволяющими определить, что представленная на исследование карта является поддельной.
Цель экспертизы: помочь установить следователю, что пластиковая карта является поддельной кредитной или расчетной картой.
Уголовно-процессуальный кодекс РФ разрешает проведение экспертизы после возбуждения уголовного дела (см. Приложение 117 УПК РФ — Постановление о назначении экспертизы, в котором необходимо указать номер уголовного дела[196]). В результате образуется коллизия: для того, чтобы установить, что пластиковая карта является поддельной кредитной или расчетной, необходимо провести экспертизу, но вынести постановление о такой экспертизе, возможно только после возбуждения уголовного дела, т. е., у следователя еще до момента проведения экспертизы, которая установит поддельность кредитных, расчетных карт, уже должны появиться основания считать данные карты поддельными и возбудить уголовное дело. Для того чтобы такие основания появились, необходимо провести исследование пластиковых карт у специалиста, которым скорее всего будет компетентный сотрудник банка или платежной системы. На основании выводов специалиста о поддельности, представленных на исследование карт, и о классификации их как кредитных или расчетных, возможно возбуждение уголовного дела и повторное направление карт для исследования, но уже эксперту в рамках возбужденного уголовного дела.
Объектом, направляемым следователем на исследование, является пластиковая карта, в том числе таким объектом может быть «белый пластик» (заготовка карты). Так как до получения заключения эксперта, следователь не может самостоятельно определить, что карты являются кредитными, расчетными, банковскими, платежными либо какими-либо иными (см. данные выше определения).
Необходимо несколько пояснить, что понимается под картой выпущенной или эмитированной не эмитентом. Данное определение означает, что истинный эмитент не давал разрешения на выпуск карты. В технологии обращения карт эмитенты могут изготавливать и персонализировать карты не самостоятельно, а, прибегая к услугам сторонних организаций, например, независимых персонализационных бюро, или банк-агент изготавливает карты у банка-спонсора. Однако распоряжение на изготовление карт (санкцию на их выпуск) дает именно эмитент. Если же изготовитель карт по каким-либо причинам выпустит карты без санкции эмитента (например, продублирует карты), то хотя такие карты будут соответствовать всем требуемым стандартам, но с точки зрения платежной системы (банка-эмитента) карта-дубликат будет являться поддельной и ее обращение в системе расчетов нелегитимно.
Кто и на основании чего делает вывод о поддельности карты?
В связи с тем, что понятия поддельной или подлинной кредитной или расчетной карты являются юридическими, то вывод об этом должен делать следователь. Экспертиза же должна дать необходимые и достаточные данные для признания карты подлинной или поддельной. По существу, исходя из приведенного определения поддельной карты, в ходе исследования необходимо установить следующие факты:
1) санкционировал ли эмитент выпуск данной карты;
2) если карта эмитирована эмитентом, то не была ли она модифицирована;
3) возможно ли использование карты в безналичных расчетах;
4) может ли карта быть воспринята участниками платежной системы в качестве кредитной или расчетной.
Если эксперт или специалист не являются сотрудниками эмитента, то в определенных случаях ответить на первый вопрос будет весьма сложно, а порой и невозможно (например, при выпуске персонализатором карт-дубликатов). Поэтому для решения вопроса о поддельности карты, необходимо классифицировать виды поддельных карт, чтобы, исходя из конкретных обстоятельств дела, правильно поставить вопросы эксперту.
Виды поддельных платежных банковских карт
1. Полностью изготовленная поддельная карта — карта, имитирующая настоящую карту, включая внешний вид и запись информации на магнитную полосу. В пластик карты может быть также вмонтирована микросхема, но использование ее при проведении незаконных операций в настоящее время не осуществляется и информация на нее не записывается. Такие карты предназначены для обмана персонала предприятий торговли, принимающего карты, относительно их подлинности и проведения платежных операций в данных торговых предприятиях.
2. Поддельная карта, изготовленная путем частичной подделки.
2.1. Подделка карты, выпущенной законным эмитентом, производителем, платежной системой.
2.1.1. Карта, изготовленная путем изменения эмбоссированных реквизитов карты, например номера карты. Может использоваться для операций, осуществляемых с помощью импринтера. В этом случае информация, записанная на магнитную полосу и микросхему, не имеет для злоумышленника никакого значения.
2.1.2. Карта, изготовленная путем изменения информации, записанной на магнитную полосу карты. Может использоваться для операций, осуществляемых с помощью электронного терминала. Информация, физически нанесенная на карту (номер, срок действия), отличается от информации, записанной на магнитную полосу. В случае нанесения на карте не полного номера (Visa Electron), возможен подбор реквизитов для магнитной полосы, совпадающих с нанесенными на пластике.
2.1.3. Комбинация двух выше названных методов.
2.2. «Белый пластик» — заготовка карты (исходник), не обязательно белого цвета, предназначена для совершения мошеннических операций, как правило, хищения денежных средств в торговых точках при соучастии с кассиром (продавцом) или в банкоматах, терминалах самообслуживания. В качестве «белого пластика» могут быть использованы любые пластиковые карты со стандартно расположенной магнитной полосой — дисконтные, клубные, идентификационные, подарочные, транспортные, сувенирные, рекламные и т. п.
2.2.1. Карта, изготовленная путем эмбоссирования реквизитов карты (номер, срок действия, имя держателя). Такие карты предназначены для проведения операций с использованием импринтера. В торговом предприятии операции можно совершить только при пособничестве кассира.
2.2.2. Карта, изготовленная путем нанесения информации с подлинных карт на магнитную полосу. Возможно несколько вариантов использования.
2.2.2.1. Проведение операций на электронных торговых терминалах в предприятиях торговли. При этом необходим сговор с кассиром.
2.2.2.2. Совершение операций в торговых (сервисных) терминалах самообслуживания (автоматы по продаже автобусных или железнодорожных билетов, счетчики на автомобильных стоянках, автоматические терминалы на АЗС, телефоны, платные дороги и др.). При данных операциях существует ограничение по максимальной разрешенной сумме.
2.2.2.3. Совершение операций в банкоматах. Необходимо знание ПИН-кода.
Исходя из вида поддельных карт, необходимо формирование конкретных вопросов, которые ставятся на разрешение эксперту. Помочь в этом следователю может специалист.
Для облегчения работы по выявлению поддельных банковских карт со стороны следствия сделаем некоторые предположения:
• при эмиссии банковских карт каждый банк под определенный карточный продукт получает уникальный БИН (банковский идентификационным номер), по которому банк участник платежной системы легко может определить название эмитента и тип карты;
• при изготовлении поддельных банковских карт злоумышленники не соблюдают соответствие номера БИН названию банка и карточному продукту (делается это либо не незнанию, либо в целях снижения себестоимости изготовления поддельной карты, либо намеренно, так как на поддельных картах магнитная полоса зачастую используется от банковских карт иностранных банков, а дизайн самой пластиковой карты выполняется как эмитированной российским банком — это вызывает меньше подозрений у кассиров);
• таких поддельных карт — непопадающих в БИН абсолютное большинство.
На основании данных предположений можно использовать следующую методику проведения исследования поддельных банковских карт Visa и MasterCard, которая позволит достаточно быстро и эффективно организовать проведение экспертиз сотрудниками экспертно-криминалистических подразделений МВД РФ или банков.
Для исследования поддельных банковских карт назначается технико-криминалистическая судебная экспертиза пластиковых карт.
В постановлении о назначении экспертизы необходимо поставить следующие вопросы.
1. Соответствует ли номер, представленной на экспертизу карты, названию банка-эмитента и типу карточного продукта?
2. Может ли быть представленная на экспертизу карта воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной?
Ответы на вышеназванные два вопроса являются необходимым и достаточным условием ответа на вопрос — является ли исследуемая пластиковая карта поддельной кредитной или расчетной картой?
В случае получения от эксперта отрицательного ответа на первый вопрос и положительного на второй (при этом ответ эксперта должен определить карту как кредитную или расчетную) следователь обосновано может сделать вывод, что данная карта является поддельной кредитной или расчетной.
Представляется ошибочной постановка перед экспертом следующего вопроса:
Соответствует ли предоставленная на экспертизу карта образцам аналогичной продукции, выпускаемой (эмитируемой) предприятиями (эмитентами) платежных систем либо стандартам платежной системы?
Так как ответ на данный вопрос не позволяет определить поддельная карта или подлинная. Дело в том, что платежные банковские карты изготовливаются на основании, определенных платежными системами стандартов. В случае проведения экспертизы эксперт пользуется именно этими стандартами (если только он не является работником эмитента). Однако констатация факта, что представленная на экспертизу карта не соответствует стандартам платежных систем, не позволяет следователю сделать вывод, что такая карта является поддельной. Эмитенты сами могут отходить от принятых в платежной системе стандартов как намеренно (например, социальная карта москвича), так и ненамеренно (в результате брака).
Производство экспертизы
Более подробно рассмотрим вопросы проведения экспертизы карт на примере банковских карт платежных систем VISA и MasterCard.
Для производства экспертизы необходимо следующее оборудование:
1) считыватель магнитной полосы (1 и 2 дорожки) с соответствующим программным обеспечением. Используется для считывания информации с магнитной полосы карты;
2) ультрафиолетовая лампа. Используется для определения ультрафиолетовых элементов на карте;
3) лупа с 10-кратным увеличением или более. Используется для определения элементов на карте, выполненных микрошрифтом;
4) измеритель линейных размеров. Используется для определения физических размеров карты;
5) считыватель микропроцессора карты с соответствующим программным обеспечением. Данное оборудование необходимо для анализа информации записанной в микропроцессор карты. Однако в настоящий момент подделка именно микропроцессоров платежных банковских карт еще не является сколь-нибудь заметным явлением. Микропроцессорные карты, как продукт, подделывают, не затрагивая непосредственно микросхему. Поэтому в приведенной ниже методике анализ информации записанной на микросхему не рассматривается, так как для полноценной экспертизы карт вполне допустимо его не проводить[197].
Методика проведения экспертизы[198]
Экспертиза карты заключается в осуществлении следующих основных исследований, по результатам которых можно сделать вывод о поддельной кредитной или расчетной карте, представленной на экспертизу.
1. Определение типа платежной системы, банка эмитента и банковского продукта.
Тип платежной системы определяется по логотипу и первым цифрам нормера карты.
Номера карт платежной системы Visa начинаются с цифры «4», платежной системы MasterCard — с цифры «5» (кроме карт типа Maestro, которые начинаются с цифр «50», «56–58», «60–69»; номер карт Maestro закодирован на магнитной полосе и может отличаться от номера, нанесенного графическим способом на карте).
Для платежной системы VISA информация о банке-эмитенте содержится в электронной базе данных Visa interchange directory (VID). Данная база регулярно обновляется и рассылается банкам принципиальным членам платежной системы. Информация о карточном продукте (кредитная или расчетная, а также ее тип — Electron, Classic, Gold и др.) содержится в таблицах БИН (BIN tables), которые находятся в процессинговых центрах, подключенных к сети VISA, ежедневно обновляются и служат для маршрутизации операций по картам сторонних эмитентов в устройствах процессингового центра.
Для платежной системы MasterCard информация о банке-эмитенте содержится в электронной базе данных Member information directory (MIM — Member information manual). Данная база регулярно обновляется и рассылается банкам принципиальным членам платежной системы. Информация о карточном продукте (кредитная или расчетная, а также ее тип — Maestro, Mass, Gold и др.) также содержится в таблицах БИН (BIN tables), которые находятся в процессинговых центрах, подключенных к сети MasterCard, ежедневно обновляются и служат для маршрутизации операций по картам сторонних эмитентов в устройствах процессингового центра.
В случае несоответствия информации графически нанесенной на пластиковой карте с сведениями из баз данных платежных систем — название банка эмитента и (или) карточного продукта, то данная карта является поддельной. По БИН таблицам определяется принадлежность карты к кредитной или расчетной. По дате действия карты определяется возможность проведения операций до определенного момента времени или за определенный временной промежуток (в случае если на карте нанесена дата начала действия карты).
Данный этап исследования позволяет выявлять полностью изготовленные поддельные карты (вид 1) и эмбоссированный «белый пластик» (вид 2.2.1). Однако на карте может быть нанесена не вся информация, например, отсутствует имя держателя, срок действия, часть номера карты или поддельная карта изготовлена в виде неэмбоссированного «белого пластика» (вид 2.2.2). Как уже было отмечено, подавляющее большинство поддельных карт изготавливается для проведения операций на электронных терминалах. В связи с этим необходимо провести следующий этап исследования.
2. Анализ информации, закодированной на магнитной полосе карты.
Для платежной системы VISA анализ производится на основе стандартов, изложенных в актуальной версиих следующих документов:
• Visa payment technology standards manual. В приложениях А и В (appendix A, B) описаны данные содержащиеся на первой (А) и второй (В) дорожках магнитной полосы карты.
Для платежной системы MasterCard анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов.
• Authorization system manual. В разд. 9 «Authorization Services Detail» в пунктах «Layout for Encoding Track 1» и «Layout for Encoding Тгаck 2» находится описание расположения данных записываемых на первой (Track 1) и второй (Track 2) дорожках магнитной полосы карты;
• Security rules and procedures. Пункт 3.6.3 valid service codes описывает значения полей сервис кода;
Более подробно рассмотрим информацию, записанную на магнитной дорожке. Мы не будем анализировать все значения, а выделим только значимые для проведения экспертизы.
На первой дорожке (трек 1), состоящей из 76 буквенно-цифровых символов, значимой для эксперта является следующая информация:
• номер карты — длина 16 цифр, начинается с третьего символа. Для карт Maestro длина номера карты может составлять 19 цифр;
• имя держателя — длина от 2 до 26 символов, начинается за номером карты после разделительного знака;
• дата действия карты — 4 символа, начинается за именем держателя после разделительного знака в формате ГГММ;
• сервис код — 3 символа, начинается сразу за датой действия карты без разделительного знака.
На второй дорожке (трек 2) значимой для эксперта является следующая информация:
• номер карты — длина 16 цифр, начинается со второго символа. Для карт Maestro длина номера карты может составлять 19 цифр.
• дата действия карты — 4 символа, начинается за номером карты после разделительного знака в формате ГГММ.
• сервис код — 3 символа, начинается сразу за датой действия карты без разделительного знака.
Значения сервис кода:
Карты VISA.
1 цифра:
1 — международная карта.
2 — международная карта с микропроцессором.
5 — для локального использования.
6 — для локального использования с микропроцессором.
2 цифра:
0 — нормальная авторизация.
2 — «позитивная» авторизация: разрешение на проведение транзакции, полученное от эмитента или от альтернативного процессингового центра.
3 цифра:
0 — требование ПИН.
1 — нормальная верификация (проверка).
2 — только товары и услуги в POS (не наличные).
3 — действительна только для сети Plus.
6 — запрашивать ПИН если есть пин-пад.
Карты MasterCard.
1 цифра:
1 — международная карта.
2 — международная карта с микропроцессором.
5 — для локального использования.
6 — для локального использования с микропроцессором.
7 — для карт частных или ограниченных сетей.
2 цифра:
0 — нормальная авторизация.
2 — «позитивная» онлайновая авторизация.
3 цифра:
0 — требование ПИН.
1 — нормальная верификация (проверка), без ограничений.
2 — нормальная верификация (проверка) только товары и услуги в POS (не наличные).
3 — только банкомат, требование ПИН.
5 — требование ПИН только товары и услуги в POS (не наличные).
6 — запрашивать ПИН если есть пин-пад.
7 — запрашивать ПИН если есть пин-пад только товары и услуги в POS (не наличные).
Другие значения, например, коды PVV, CVV, CVC не являются значимыми для экспертизы, так как проверить их может только эмитент.
Полученная с магнитной полосы информация позволяет получить недостающие реквизиты карты в случае отсутствия их графического нанесения и провести сравнение с графически нанесенной информацией. В случае несовпадения реквизитов карты, нанесенных графически и закодированных в электронном виде, кроме карт Maestro, имеем перекодированную поддельную карту (вид 2.1.2). Возможность проведения электронных операций с использованием терминалов устанавливается с использованием трека 2 по номеру карты, дате действия, сервис коду. Номер карты, записанный на втором треке, позволит также определить название банка эмитента, тип карточного продукта и отнести карту к кредитной, расчетной или предоплаченной, аналогично вышеописанной методике в п. 1 указанном ранее). Данный анализ позволяет идентифицировать «белый пластик» как поддельные кредитные, расчетные карты (вид 2.2.2) и выявлять перекодированные карты. В случае перекодированной карты встает вопрос: карту какого банка подделали — согласно физическим реквизитам или закодированным на магнитной полосе? Чтобы ответить на данный вопрос, необходимо понять, зачем модифицировали карту. Ответ лежит на поверхности — для проведения операции по магнитной полосе с использованием электронного терминала. Если с использованием такой карты совершить операцию, то в платежной системе отразится номер карты, записанный на магнитную полосу, и банк эмитент именно этот номер занесет в отчет о мошенничестве (fraud report) как операцию по поддельной карте.
3. На основании данных, полученных в п. 1 и 2 эксперт может ответить на вопросы.
• Соответствует ли номер, представленной на экспертизу карты, названию банка-эмитента и типу карточного продукта?
• Может ли быть представленная на экспертизу карта воспринята в технологии функционирования платежной системы в качестве кредитной?
Данная методика позволяет быстро и просто установить поддельность кредитных, расчетных карт для подавляющего количества подделок. Исключения составят полностью изготовленные поддельные карты (п. 1), которые попадают в БИН (название банка эмитента и карточный продукт поддельной карты соответствует информации из базы данных платежных систем), и карты, изготовленные путем изменения эмбоссированных реквизитов (при этом БИН банка и тип карты сохраняются). Вероятность исследования таких карт настолько мала, что не имеет большого практического значения. Если же все таки имеются основания считать, что предметом исследования является именно такая карта, то необходимо провести дополнительное исследование.
4. Анализ физических параметров, графических и защитных элементов карты исходя из дизайна карты в платежных системах VISA и MasterCard.
Для платежной системы VISA анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов.
• Visa international card and Marks Specification. Данный документ содержит описание физических параметров (спецификации) карточных продуктов и дизайна.
• Visa Product Brand Standards. Данное название объединяет несколько документов, содержащих описание физических параметров (спецификации) и дизайна карточных продуктов нового дизайна.
• Visa international operating regulations, Volume I — General rules. Раздел 10 «Card and Marks Requirements» содержит описание требований элементов дизайна и безопасности общих для карточных продуктов по всему миру.
Visa regional operating regulations, Central and Eastern Europe, Middle East, and Africa. В разделе 10 «Card and Marks Specifications» уточнение требований элементов дизайна и безопасности общих для карточных продуктов региона CEMEA (Центральная и Восточная Европа, Ближний Восток, и Африка), к которому относится Россия.
Для платежной системы MasterCard анализ производится на основе стандартов, изложенных в актуальных версиях следующих документов:
• Card design standard system. Данный документ содержит описание физических параметров (спецификации) карточных продуктов и дизайна.
• Security rules and procedures. В разделе 2 «MasterCard Card Production Standards» и разд. 3 «MasterCard Card and TID Design Standards» содержатся дополнительные данные по элементам дизайна и безопасности карточных продуктов.
Руководства по требованиям исполнения дизайна и защитных элементов платежных карт доступны банкам принципиальным членам платежной системы.
Этапы экспертизы:
1) следователь готовит постановление о назначении судебной экспертизы;
2) передача постановления и объекта (объектов) экспертизы эксперту;
3) проведение экспертизы экспертом;
4) подготовка заключения и сопроводительного письма экспертом.
При ответе на вопрос: может ли представленная на экспертизу пластиковая карта быть воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной на определенную дату или период времени? — необходимо учитывать, что поддельная кредитная или расчетная карты может быть предназначена для использования её только определенным образом, а не в качестве полноценного банковского продукта. Чтобы определить, что пластиковая карта может быть воспринята платежной системой в качестве кредитной или расчетной, необходимо заключение эксперта о возможности («пригодности») использования исследуемой карты определенным образом в определенный момент времени в технологии платежных карт, в том числе «белого» пластика и карт, имеющих номера, которые еще никому не выдавались.
После производства исследований эксперт составляет письменное заключение и удостоверяет его своей подписью. В заключении эксперта должны быть отражены: время и место производства экспертизы; основания назначения экспертизы; данные об органе или лице, назначившем экспертизу; сведения об эксперте, которому поручено ее производство; предупреждение эксперта в соответствии с действующим законодательством об ответственности за отказ и уклонение от дачи заключения и за дачу заведомо ложного заключения; вопросы, поставленные перед экспертом; объекты и материалы дела, представленные ему и подлежащие исследованию; содержание и результаты экспертных исследований с указанием примененных методов, а также кто конкретно эти исследования проводил, если работала комиссия экспертов; оценка результатов исследования, обоснование и формулировка выводов по поставленным вопросам.
Выводы, к которым приходит эксперт при даче заключения, могут быть категорическими и вероятными (положительными и отрицательными). Категорическое заключение эксперта является источником доказательств, а фактические данные, изложенные в заключении, доказательствами по делу. Вероятное заключение не является источником доказательств; оно намечает лишь дальнейшую направленность расследования. Вероятное заключение играет оперативно-тактическую роль и, естественно, не может быть положено в основу приговора.
В тех случаях, когда в заключении делаются вероятные выводы или вывод о невозможности решения вопросов, эксперт обязан подробно изложить причины, приведшие его к такому результату. Категорическое заключение эксперта, являясь доказательством по делу, оценивается судом, судьей, прокурором, следователем, лицом, производящим дознание, с точки зрения его обоснованности, достоверности, полноты, надежности примененных методов исследования, соблюдения всех процессуальных положений, установленных для производства экспертизы.
Неправомерный доступ к компьютерной информации
В сфере рассматриваемого вопроса представляет интерес абз. 1 ч. 1 ст. 272 УК РФ.
Предметом неправомерного доступа к охраняемой законом компьютерной информации, является деяние, повлекшее уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Статья 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»[199]: информация — сведения (сообщения, данные) независимо от формы их представления;
Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами[200].
Неправомерным считается доступ к компьютерной информации, если:
• субъект не имеет прав доступа к этой информации;
• субъект имеет права доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа.
При этом по отношению к этой информации должны приниматься меры защиты, ограничивающие к ней доступ.
Статья 272 УК РФ защищает компьютерную информацию, где бы она ни была представлена.
Под переработкой (модификацией) программы для ЭВМ или базы данных понимаются любые их изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой язык, за исключением адаптации, т. е. внесения изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя.
Сотрудниками правоохранительных органов г. Ижевска совместно с сотрудниками Альфа-банка было осуществлено задержание гражданина, использовавшего подделанные банковские карты для оплаты товара в организации торговли. Было возбуждено и доведено до суда уголовное дело по ст. 272 УК РФ (Приговор Глазовского городского суда Удмуртской Республики по делу № 1-686/2004 67/415 от 28 декабря 2004 г.). При этом использовалась следующая аргументация:
Сервер банка эмитента (содержит компьютерную информацию — данные карт, данные операций, данные остатка и другую служебную информацию) — компьютерная база данных ограниченного пользования, доступ к которой строго регламентирован. Информация, размещенная на сервере, имеет конфиденциальный характер и допуск к ней имеет ограниченный список уполномоченных лиц в соответствии с должностными обязанностями.)
Авторизация покупки — уменьшение платежного лимита, (т. е. модификация (изменение) состояния электронных данных на (авторизационном) сервере банка-эмитента).
При квалификации противоправных действий по данной статье необходимо учитывать, что компьютерная информация, к которой осуществляется неправомерный доступ, должна защищаться законом. В случае рассмотрения банковских карт такой информацией является информация о счете клиента — доступный баланс, который в результате несанкционированной операции с использованием поддельной, утраченной карты либо с использованием реквизитов карты изменяется (уменьшается на величину операции, т. е. модифицируется). Однако, предоставить доказательства, подтверждающие данное изменение может только банк эмитент, в котором ведется счет держателя. В связи с этим, незаконные операции по картам иностранных эмитентов квалифицировать по данной статье будет практически невозможно.
Скимминг
Копирование магнитной полосы обычно осуществляется с целью изготовления поддельных карт. При этом, полученная информация может использоваться как самостоятельно, так и с целью её продажи. Конечной целью изготовления поддельных карт является хищение денежных средств и незаконное копирование магнитной полосы можно было бы квалифицировать как приготовление к данному виду преступления. Но возможно ли привлечь к уголовной ответственности злоумышленников на данном этапе их деятельности?
Уголовная ответственность наступает только в случае приготовления к тяжкому и особо тяжкому преступлениям (ч. 3 и ч. 4 ст. 159 УК РФ — с использованием своего служебного положения, в крупном размере, организованной группой, в особо крупном размере). В связи с этим предъявить обвинение по данной статье будет крайне сложно, так как до момента самого хищения или покушения на хищения невозможно определить размер ущерба, а квалифицирующие признаки служебное положение и организованная группа лиц могут отсутствовать. Поэтому необходимо рассмотреть другие статьи Уголовного кодекса РФ.
Вернемся к ст. 272 УК РФ «Неправомерный доступ к компьютерной информации», в ней особый интерес представляет неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло её копирование (перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации). Так как при использовании скиммеров либо других устройств или технологий происходит именно данное действие — компьютерная информация на машинном носителе (информация, записанная в электронном виде на магнитной полосе карты) копируется на другое устройство памяти. Необходимо удостоверится, что копируемая информация охраняться законом. Как уже упоминалось, на магнитной полосе банковской карты на первом треке записана фамилия держателя и номер карты, а на втором треке — номер карты. Каким же законом защищается данная информация?
Согласно ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[201]