Ст. 272 УК: неправомерный доступ — для хакеров, не для оператора
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7, оборотный штраф за повторную утечку — от 1 до 3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Параллельно с 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность за незаконное использование и передачу компьютерной информации с персональными данными. Однако ст. 272 УК, на которую нередко ссылаются в медиа и в протоколах, — это иной состав: неправомерный доступ к охраняемой компьютерной информации. Понять разницу означает не допустить ошибки в выборе стратегии защиты.
Что такое ст. 272 УК и кому она адресована?
Ст. 272 УК РФ устанавливает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию или копирование информации. Ключевой элемент состава — «неправомерный доступ», то есть доступ лица, которое не имело права на него в принципе. Типичные субъекты: внешние злоумышленники, взломавшие систему; инсайдеры, превысившие предоставленные полномочия; подрядчики, получившие доступ сверх договорённости.
Оператор персональных данных — организация или физическое лицо, которое законно обрабатывает ПДн в рамках своих полномочий, — по общему правилу не является субъектом ст. 272 УК. Когда в компанию взламываются извне и похищают базу клиентов, потерпевшей стороной в уголовном деле выступает сама компания. Злоумышленника привлекут по ст. 272 УК; оператора — по ст. 13.11 КоАП за ненадлежащую защиту ПДн и по ст. 272.1 УК, если он допустил незаконное использование информации.
Базовый состав ч. 1 ст. 272 УК — лишение свободы до 2 лет или штраф. Квалифицирующие признаки — группой по предварительному сговору, с использованием служебного положения, с наступлением тяжких последствий — поднимают санкцию до 7 лет. Именно дело об атаке на Аэрофлот (Silent Crow, июль 2025) возбуждено по ч. 4 ст. 272 УК — это уголовное дело против хакеров, а не против авиакомпании как оператора.
Вы CEO и на компанию поступил протокол по ст. 13.11 или запрос следователя?
Неправильная квалификация нормы на старте меняет всю стратегию защиты. Важно сразу разграничить: ст. 272 УК — это про взломщика, ст. 272.1 УК и ст. 13.11 КоАП — это про оператора. Каждая норма требует своего пакета документов и своей тактики. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для смягчения, а при наличии уголовного контекста — выстроят скоординированную линию защиты.
Защитить от штрафа по 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как ст. 272.1 УК отличается от ст. 272 УК?
Ст. 272.1 УК РФ введена ФЗ-421 от 30.11.2024 и действует с 11.12.2024. Она закрывает принципиально иной пробел: незаконные сбор, хранение, использование или передача компьютерной информации, содержащей персональные данные. Субъектом этой нормы может быть не только посторонний взломщик, но и сам оператор, его сотрудник или подрядчик, допустивший неправомерное использование данных, к которым у него был легальный доступ.
Ч. 4 ст. 272.1 УК — трансграничная передача незаконно полученных ПДн — до 8 лет лишения свободы. Ч. 5 — тяжкие последствия — до 10 лет. Это уже тяжкие преступления, а не административные правонарушения. Для CEO принципиально важно: если сотрудник передал базу конкурентам — это ст. 272.1 УК. Если хакер взломал сервер — ст. 272 УК. Компания-оператор в обоих случаях несёт административную ответственность по ст. 13.11 КоАП.
Что грозит оператору по ст. 13.11 КоАП с 30.05.2025?
С 30.05.2025 ст. 13.11 КоАП содержит 18 частей в редакции ФЗ-420 от 30.11.2024. Структура санкций за утечку выглядит следующим образом. Ч. 12 — утечка от 1 000 до 10 000 субъектов — штраф для юрлица 3–5 млн ₽. Ч. 13 — от 10 000 до 100 000 субъектов — 5–10 млн ₽. Ч. 14 — более 100 000 субъектов — 10–15 млн ₽. При этом ч. 17 за утечку биометрических данных устанавливает штраф 15–20 млн ₽ независимо от числа субъектов.
Главная новация ФЗ-420 — ч. 15, оборотный штраф: если компания ранее уже привлекалась по ч. 12–14 или ч. 15–18 и допустила новую утечку — штраф составит от 1 до 3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 2 млрд ₽ это минимум 20 млн, максимум 60 млн ₽. Для выручки 10 млрд ₽ — от 100 до 300 млн ₽.
Помимо санкций за утечку, ч. 11 ст. 13.11 КоАП устанавливает штраф 1–3 млн ₽ за неуведомление или несвоевременное уведомление РКН об инциденте в 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152. Ч. 10 — за неуведомление о намерении обрабатывать ПДн (ст. 22 ФЗ-152) — 100–300 тыс. ₽. Протоколы по нескольким частям одновременно — обычная практика РКН после крупной утечки.
Что подготовить CEO при поступлении протокола по ст. 13.11
- Выписку из реестра операторов ПДн (pd.rkn.gov.ru) с актуальной датой — подтверждает своевременность уведомления по ст. 22 ФЗ-152.
- Политику обработки ПДн с датой размещения на сайте — по ч. 2 ст. 18.1 ФЗ-152, нарушение фиксируется по ч. 3 ст. 13.11.
- Уведомление в РКН об инциденте с отметкой о времени подачи — ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187; критично для ч. 11 ст. 13.11.
- Документацию о мерах технической защиты по ПП РФ №1119 и Приказу ФСТЭК №21 — используется как смягчающее обстоятельство по ст. 4.1 КоАП.
- Данные о расходах на информационную безопасность — при инвестициях в ИБ ≥ 0,1% выручки за 3 года штраф по оборотным составам снижается до 1/10 минимума (примечание 3.4-2 к ст. 4.1 КоАП).
Как снизить оборотный штраф: ст. 4.1 и ст. 4.1.1 КоАП
Ст. 4.1 КоАП позволяет суду учитывать смягчающие обстоятельства при назначении штрафа: добровольное устранение нарушения, сотрудничество с регулятором, отсутствие умысла, незначительность последствий. Примечание 3.4-2 к ст. 4.1 КоАП — специальная норма для оборотных составов ст. 13.11: если оператор инвестировал в средства защиты информации не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 и ч. 18 составит 1/10 от минимального, но не менее 15 млн ₽ и не более 50 млн ₽.
Ст. 4.1.1 КоАП — замена штрафа предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении без причинения вреда. Однако к оборотным составам — ч. 15 и ч. 18 ст. 13.11 — эта льгота не применяется. Для первичных нарушений по ч. 1, ч. 3, ч. 10 замена возможна. С 28.12.2025 (ФЗ-508) подсудность дел по ст. 13.11 КоАП вернулась к мировым судьям — это меняет тактику обжалования по сравнению с периодом арбитражного рассмотрения.
Если на вашу компанию уже составлен протокол по ч. 12–15 ст. 13.11 КоАП — каждый день без юриста сужает возможности применения ст. 4.1 и ст. 4.1.1 КоАП. Срок обжалования постановления — 10 дней с даты вручения.
Защитить от штрафа по 13.11Как это выглядит на практике
Кейс 1. Торговая компания (Сибирский ФО, осень 2025): хакеры похитили базу из ~15 000 записей клиентов. РКН возбудил дела по ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов, штраф 5–10 млн ₽) и по ч. 11 (несвоевременное уведомление, 1–3 млн ₽). Следователь первоначально квалифицировал действия сотрудника ИБ по ст. 272 УК, однако юристы подтвердили, что доступ был правомерным — сотрудник действовал в рамках полномочий. Уголовное дело переквалифицировано на ст. 272.1 УК против внешнего злоумышленника. Компания-оператор получила административный протокол; в ходе рассмотрения применены смягчающие по ст. 4.1 КоАП, итоговый штраф составил сумму в нижней трети диапазона.
Кейс 2. В деле о защите оператора (Центральный ФО, начало 2026) компания, ранее уже привлекавшаяся по ч. 12 ст. 13.11, допустила повторную утечку. РКН применил ч. 15 — оборотный штраф. Юристы собрали документацию об инвестициях в ИБ за три предшествующих года и подтвердили порог 0,1% выручки, предусмотренный примечанием 3.4-2 к ст. 4.1 КоАП. Штраф снижен до 1/10 минимума — в пределах допустимого диапазона 15–50 млн ₽.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
- Аудит соответствия 152-ФЗ — проверка 38 пунктов, выявление оснований для смягчения до протокола
- Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей. За утечку от 1 000 до 10 000 субъектов (ч. 12) — 3–5 млн ₽; от 10 000 до 100 000 (ч. 13) — 5–10 млн ₽; более 100 000 (ч. 14) — 10–15 млн ₽; за утечку биометрии (ч. 17) — 15–20 млн ₽. За несвоевременное уведомление РКН об инциденте (ч. 11) — 1–3 млн ₽. Подсудность с 28.12.2025 — мировые судьи (ФЗ-508).
2. Что такое оборотный штраф 1–3%?
Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке — если компания ранее уже привлекалась по ч. 12–14 или по ч. 15–18. Размер — 1–3% совокупной годовой выручки за предшествующий календарный год. Минимум — 20 млн ₽, максимум — 500 млн ₽. Скидка за досрочную уплату по ст. 32.2 КоАП к оборотным составам не применяется.
3. Когда применяется минимум 20 млн ₽?
Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется, когда 1–3% годовой выручки дают сумму ниже 20 млн ₽ — то есть при выручке до примерно 670 млн ₽. При выручке выше этого порога штраф определяется процентом от выручки. Если оператор документально подтвердил инвестиции в ИБ ≥ 0,1% выручки за три года, штраф снижается до 1/10 минимума по примечанию 3.4-2 к ст. 4.1 КоАП, но не менее 15 млн ₽ и не более 50 млн ₽.
4. Можно ли заменить штраф на предупреждение?
Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для субъектов МСП при первичном нарушении без причинения вреда. Для ч. 15 и ч. 18 ст. 13.11 (оборотные) эта льгота прямо исключена. Для ч. 1, ч. 3, ч. 10 ст. 13.11 при первичности и отсутствии вреда замена возможна. В 2025 году зафиксированы случаи замены штрафа по ч. 1 ст. 13.11 на предупреждение для микропредприятий.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508?
С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Это влияет на тактику обжалования: апелляция на постановление мирового судьи подаётся в районный суд, а не в апелляционную инстанцию арбитражного суда.
Итог
Ст. 272 УК РФ — инструмент для привлечения хакеров и взломщиков, а не операторов персональных данных. Оператора при утечке привлекают по ст. 13.11 КоАП (до 500 млн ₽ оборотного штрафа) и — при наличии умысла в обращении с данными — по ст. 272.1 УК, введённой ФЗ-421 от 30.11.2024. Смешение этих норм при защите приводит к неверной тактике и увеличению финансовых потерь.
Практика DATUM по защите операторов при производстве по ст. 13.11 КоАП — оспаривание протоколов, применение ст. 4.1 и 4.1.1 КоАП, документирование инвестиций в ИБ для снижения оборотного штрафа до нижней границы допустимого.