Показові судові справи у сфері кіберзлочинів: практика України, ЄС та США

Останнім часом правоохоронні органи та суди зіткнулися з великою кількістю справ про кіберзлочини, даний факт вказує, зокрема, на глобальний і стрімкий розвиток нової епохи цифровізації .

Україна, Європейський Союз та США напрацьовують власну судову практику розгляду таких правопорушень, починаючи від несанкціонованого втручання в роботу комп’ютерних систем і фішингу до атак на критичну інфраструктуру, кібертероризму та зловживань із криптовалютами.

На наш погляд, за останні три роки в Україні практику можна поділити на 2 типи: з одного боку, кібератаки, пов’язані з російською агресією, з іншого – типові кіберзлочини проти громадян.

Законодавча база востаннє була оновлена на початку повномасштабного вторгнення, зокрема, законом України № 2149-IX від 24.03.2022 р. уточнено несанкціоноване втручання в роботу електронно-обчислювальних систем.

З аналізу єдиного реєстру судових рішень вбачається, що більшість справ стосується злочинів корисливого характеру проти пересічних громадян, а найпоширенішим складом несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж ст. 361 КК України, в більшості поєднане з шахрайством.

Водночас, правоохоронці все частіше фіксують складні, та масштабні кібератаки, викриття яких потребує кропіткої і системної роботи та міжнародної співпраці.

Розглянемо три показові справи щодо злочинів в Україні, ЄС та США, які вказують на ефективність розвитку у цьому напрямку та невідворотність у покаранні.

Судова практика в Україні

Однією із показових справ стала справа №760/8515/23 щодо кібератак російської групи, яка діяла під керівництвом ФСБ РФ.

До суду було передано матеріали стосовно ексспівробітників СБУ, які після окупації Криму перейшли на бік ворога.

У вересні 2024 року суд заочно визнав двох осіб винними у державній зраді та несанкціонованому втручанні в роботу інформаційних мереж .

Вироком суду, кожного засуджено до 15 років позбавлення волі за сукупністю злочинів.

Слідство встановило, що вони брали участь у діяльності хакерського угруповання, яке здійснювало кібератаки на державні установи України.

Зокрема, у період з 2020 року по 2021 рік вони здійснили несанкціоноване втручання в роботу системи електронного документообігу "АСКОД", яку використовують близько 700 державних установ, зокрема Міністерство розвитку економіки, торгівлі та сільського господарства та Міністерство закордонних справ.

Внаслідок їхніх дій стався витік та блокування інформації, спотворення процесу її обробки та порушення порядку маршрутизації.

Судовий розгляд відбувався заочно, оскільки обвинувачені переховуються на окупованій території або в рф.

Відлік 15-річного строку покарання розпочнеться з дня їх фактичного затримання.

Практичне значення справи полягає в тому, що національний суд вперше дал правову оцінку широкомасштабному кіберзлочину в контексті збройного конфлікту: кваліфікація за статтею про держзраду підкреслює, що кібератаки, вчинені на користь ворожої держави, прирівнюються до традиційних форм шпигунства та саботажу.

Це рішення також стало сигналом про невідворотність покарання для кіберзлочинців, які діють під нібито прикриттям держави агресора, такі особи оголошуються в міжнародний розшук з перспективою опинитися перед українським судом.

Судова практика в Європейському Союзі

У Європейському Союзі розслідування кіберзлочинів проводиться досить ефективно. На рівні ЄС діють директиви, що урівноважують кримінальну відповідальність за посягання на інформаційні системи (зокрема, Директива 2013/40/ЄС про атаки на інформаційні системи) метою яких є зближення кримінального законодавства держав-членів щодо атак на інформаційні системи, шляхом встановлення мінімальних необхідних правил визначення злочинів, та відповідних покарань, а також тісна співпраця між державами-членами через Європол і Євроюст.

Більшість справ розглядаються судами держав-членів за їх кримінальним законодавством, при цьому виклики для правосуддя є схожими по всій Європі – масові витоки персональних даних, фінансові шахрайства, атаки на критичну цифрову інфраструктуру.

Європейські суди створюють практику, де значна увага приділяється захисту прав потерпілих.

Показово, що у грудні 2023 року Суд ЄС у справі C-340/21 щодо наслідків хакерської атаки на податкову службу Болгарії постановив: сам по собі страх потерпілого перед можливим неправомірним використанням викрадених з його електронних даних у майбутньому може визнаватися нематеріальною шкодою, що підлягає компенсації .

Цим рішенням суд підтвердив право громадян вимагати від державних установ відшкодування моральної шкоди, якщо ті не забезпечили належного захисту їхніх даних від кібератак.

Отже, підхід ЄС вирізняється тим, що поряд із кримінальним покаранням винних, увага приділяється й цивільно-правовим наслідкам кібератак.

Одним з найбільш резонансних кіберзлочинів у Європі стала атака на фінську психотерапевтичну клініку Vastaamo, що призвела до витоку персональних даних та медичної таємниці.

Хакер, здійснивши у 2018 році злам бази даних Vastaamo, викрав записи приблизно 33 000 пацієнтів.

У 2020 році зловмисник почав шантажувати саму клініку, вимагаючи викуп у розмірі 200 біткоїнів за нерозголошення даних.

Після відмови клініки платити він перейшов до вимагання грошей у пацієнтів, розсилаючи тисячам людей листи з погрозами опублікувати їхні терапевтичні записи, якщо не буде сплачено 200–500 євро з кожного.

У 2023 році поліція затримала підозрюваного – 25-річного Александері Ківімакі, відомого в хакерських колах, який переховувався у Франції під чужим ім’ям .

Судовий процес привернув увагу всієї Європи, адже кількість потерпілих становила понад 20 000 осіб, така кількість потерпілих стала рекордною для кримінального провадження у Фінлянді.

30 квітня 2024 року окружний суд Фінляндії визнав Ківімакі винним за всіма інкримінованими епізодами: незаконне втручання в інформаційні системи, обтяжене масштабом, порушення недоторканності приватного життя, та шантаж .

Суд призначив суворе покарання – 6 років і 3 місяці позбавлення волі , хоча сторона обвинуваченнч просила 7 років позбавлення волі, що є максимальним терміном за відповідними статтями.

У вироку підкреслено надзвичайну тяжкість діяння: зловмисник цілеспрямовано атакував найбільш вразливу сферу, а потім застосовував психологічний тиск на жертв, погрожуючи розкрити їхні особисті та медичні данні .

Суд врахував обтяжуючу обставину масштаб і цинізм злочину, а пом’якшуючим фактором – добровільне відшкодування частині потерпілих збитків.

Крім того, Ківімакі підписав мирові угоди щодо компенсації з тисячами позивачів.

Значення цього кейсу полягає в тому, що європейські суди готові призначати максимально наближені до граничних санкції за кіберзлочини, які порушують право на приватність.

Крім того, кейс Vastaamo вказує на те, що необхідно ретельніше дотримуватися вимог кібербезпеки і GDPR, адже проти колишнього директора клініки також порушено справу за недотримання вимог захисту даних (йому інкриміновано недбалість, що сприяла витоку інформаціі) .

Сама ж Фінляндія після цього інциденту посилила міжнародну співпрацю.

Ківімакі екстрадували з-за кордону, а правоохоронці ряду країн ЄС отримали досвід розслідування злочинів, по різних державах.

Практика Сполучених Штатів Америки

Для США характерною рисою є агресивне переслідування кіберзлочинців на міжнародному рівні – американські правоохоронці широко застосовують екстрадицію, видачу міжнародних ордерів та притягнення іноземців до відповідальності за злочини, що стосуються США.

Сполучені штати Америки реалізували численні резонансні справи проти хакерів з усього світу, включно з громадянами європейських країн і пострадянського простору.

Кіберзлочини у США кваліфікуються за федеральними кримінальними законами, зокрема за Закон про комп'ютерне шахрайство та зловживання (18 U.S.C. §1030), статтями про електронне шахрайство (18 U.S.C. §1343), крадіжку особистих даних (18 U.S.C. §1028), тощо.

Федеральні суди призначають досить суворе покарання та присуджують великі суми відшкодування збитків, особливо якщо йдеться про організовані групи або шкоду для критичної інфраструктури.

Паралельно у США активно залучаються і спецслужби: частину кіберзагроз нейтралізують шляхом санкцій (наприклад, у 2023–2024 рр. було запроваджено санкції проти російських хакерів, та проведено операції з відключення ботнетів ГРУ).

Одним з прикладів – справа французького громадянина Себастьяна Раулта, учасника хакерського угруповання ShinyHunters.

Ця група в 2020–2021 рр. здійснила злами понад 60 компаній по всьому світу, в тому числі, і США, з метою крадіжки конфіденційної інформації та її продажу у даркнеті.

Серед жертв були і технологічні компанії штату Вашингтон, і міжнародні сервіси; зловмисники виставляли на продаж сотні мільйонів записів з персональними даними користувачів, іноді шантажуючи компанії, погрожуючи оприлюднити викрадені дані, якщо не буде сплачено викуп .

Раулт, був заарештований у Марокко в 2022 році за ордером США і екстрадований до Сполучених Штатів у січні 2023 року.

У серпні 2023 року він уклав угоду про визнання вини за змовою з групою осіб, з метою вчинення кібершахрайства та крадіжки особистих даних, і вже 9 січня 2024 року Федеральний суд у Сіетлі виніс йому вирок – 3 роки позбавлення волі та понад 5 млн доларів реституції потерпілим.

Хоча 3-річний строк видається відносно невеликим для масштабів злочину, суд врахував молодий вік обвинуваченого на той час - 22 роки, та співпрацю зі слідством.

Практичне значення справи полягає в тому, що вона демонструє ефективність міжнародної співпраці у боротьбі з кіберзлочинністю: зловмисника, який не діяв на території США, було притягнуто до відповідальності у США завдяки екстрадиції.

Це стало можливим за наявності відповідних договорів і доведеної юрисдикції.

Прецедент висвітлює іншим учасникам хакерських груп, що навіть знаходячись поза США, вони можуть отримати покарання.

Як ми бачимо підходи правосуддя України, ЄС та США щодо розгляду кіберзлочинів сформувалися під впливом різних викликів, однак їх об’єднує тенденція до посилення відповідальності і розширення інструментів правосуддя у цифровій сфері.

Наша держава у зазначений період фактично діє в умовах кібервійни, тому суди демонструють готовність застосовувати найсуворіші статті Кримінального кодексу до кіберзлочинів, пов’язаних з воєнною агресією наприклад, у поєднанні зі ст.ст. 111 111-1 436-2 КК України тощо.

Водночас у звичайних справах (фішинг, карткове шахрайство) національна практика застосовує на даний час відносною м’яку міру покарань – це може пояснюватися як гуманізацією правосуддя, так і новизною таких злочинів.

Європейський Союз зосереджується на захисті прав потерпілих і законності процесу: показові справи демонструють, що європейські суди не вагаються призначити багаторічне ув’язнення за масові кіберзлочини, але водночас ретельно стежать за дотриманням процедур.

США вирізняються глобальним охопленням юрисдикції та інноваційністю підходів: американські суди розглядають справи, що охоплюють кілька континентів, і застосовують як традиційні інструменти (угоди про визнання вини, широке трактування складів шахрайства) , так і нетипові рішення.

Вироки судів США містять значні превентивні заходи – великий розмір реституції, публічні заяви про небезпеку для критичної інфраструктури, наголос на тому, що кіберзлочини будуть каратися невідворотно навіть через роки, що на нашу думку є корисним задля профілактики злочинів.

Таким чином, у трьох правових системах створилися своєрідні акценти:

Україна – воєнно-правовий (кіберзлочини як частина гібридної війни, максимальне покарання для кіберзлочинців в сфері військових правопорушень).

ЄС – правозахисний (захист даних і процедур, колективні інтереси постраждалих).

США – глобально-превентивний (досяжність покарання в будь-якій точці світу, демонстрація сили закону).

Втім, спільним для України, ЄС та США є усвідомлення того, що кіберзлочинність не має кордонів, а відтак, необхідна міжнародна співпраця судів та правоохоронців.

Таким чином, юридична практика у сфері кіберзлочинів поступово формується як єдиний фронт, де судові рішення, встановлюють міжнародні стандарти кіберправосуддя.

Автор: Юрій Жовтан, адвокат, партнер АО Barristers, доктор філософії, член комітету НААУ з питань інформаційної політики та ЗМІ.