аналитика 11 февраля 2028 По состоянию на 11 февраля 2028

Уголовка для CISO: когда наступает по ст. 272.1

Ст. 272.1 УК РФ — незаконные сбор, хранение, использование или передача компьютерной информации, содержащей персональные данные. Действует с 11 декабря 2024 года. Максимальное наказание по ч. 5 — лишение свободы до 10 лет.

CISO несёт персональную уголовную ответственность, если утечка произошла по его умыслу или если он не обеспечил меры защиты, предписанные законом. Параллельно компания получает административный штраф по ст. 13.11 КоАП: при повторной утечке — оборотный, от 1 до 3% годовой выручки, не менее 20 млн ₽.

→ Если вы CISO или CEO, которому доложили об инциденте: оба риска — уголовный и административный — возникают одновременно и требуют раздельных юридических стратегий.

ФЗ-421 от 30 ноября 2024 года ввёл в Уголовный кодекс ст. 272.1 — первую норму, прямо криминализирующую действия с персональными данными в цифровой среде. До этого за утечки привлекали по ст. 272 (неправомерный доступ) или ст. 137 (нарушение неприкосновенности частной жизни) — нормы с иным предметом состава. Теперь у прокуратуры есть специальный инструмент с наказанием до 10 лет. В этой статье — когда именно наступает уголовная ответственность для CISO, как она соотносится со штрафами по ст. 13.11 КоАП, и что делать руководству компании, если инцидент уже произошёл.

Что именно криминализирует ст. 272.1 УК и при каких условиях она применима к CISO?

Ст. 272.1 УК описывает шесть составов, объединённых общим предметом: компьютерная информация, содержащая персональные данные. Объективная сторона — незаконные сбор, хранение, использование, распространение или передача таких данных. Ключевое слово — «незаконные»: нарушение должно быть умышленным либо совершённым с косвенным умыслом.

Для CISO наиболее опасны два сценария. Первый: он сам совершил действие — например, выгрузил базу клиентов на внешний носитель без санкции работодателя или передал данные конкуренту. Это прямой умысел, квалификация по ч. 1 или ч. 2. Второй сценарий сложнее: CISO допустил утечку через систему, которую был обязан защитить, и при этом осознавал, что меры защиты недостаточны, но ничего не сделал. Здесь прокуратура может квалифицировать деяние как косвенный умысел — лицо не желало утечки, но допускало её наступление.

«Ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) — незаконное использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные. Ч. 5 — тяжкие последствия — лишение свободы до 10 лет.»

Части 3 и 4 ст. 272.1 устанавливают квалифицирующие признаки: деяние группой лиц, с использованием служебного положения, с причинением крупного ущерба. Ч. 4 — трансграничная передача незаконно полученных персональных данных — до 8 лет лишения свободы. CISO, передавший базу в иностранный сервис без уведомления РКН и без оснований по ч. 5 ст. 18 ФЗ-152, рискует получить квалификацию именно по ч. 4.

Важно: ст. 272.1 не требует наступления материального ущерба как обязательного признака. Достаточно самого факта незаконного действия с данными. Это принципиальное отличие от ст. 272, где доступ к информации должен повлечь её уничтожение, блокирование или копирование.

CISO получил сообщение об инциденте — что делать в первые два часа?

У вас 24 часа на первичное уведомление Роскомнадзора по ч. 3.1 ст. 21 ФЗ-152. Этот срок не восстанавливается. Одновременно начинается отсчёт уголовно-правовых рисков: как именно были зафиксированы факт инцидента и действия CISO — определит позицию на всех последующих стадиях. Ошибка в первичных документах сужает возможности защиты по обоим направлениям.

Защитить от штрафа по ст. 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как соотносятся уголовная ответственность CISO и административный штраф компании?

Ст. 272.1 УК и ст. 13.11 КоАП применяются параллельно и не поглощают друг друга. Компания как юридическое лицо несёт административную ответственность: штраф по ч. 12–14 ст. 13.11 зависит от числа затронутых субъектов. При повторной утечке включается оборотный состав по ч. 15 — 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 15 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — оборотный штраф при повторной утечке: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.»

Физическое лицо — CISO, директор, системный администратор — при наличии умысла привлекается по ст. 272.1 УК. Отдельно должностное лицо может получить административный штраф как физлицо по тем же частям ст. 13.11, плюс уголовное дело. Освобождение юрлица от штрафа не освобождает CISO от уголовного преследования и наоборот.

Практически значимый вопрос: когда действия CISO при утечке переквалифицируются из халатности в умысел. Прокуратура будет изучать: знал ли CISO об уязвимости до инцидента, фиксировалось ли это в переписке или внутренних отчётах, запрашивал ли он бюджет на устранение и получил ли отказ. Если CISO осознанно не устранял известную уязвимость — это косвенный умысел. Если бюджет был отказан руководством — ответственность смещается вверх по иерархии.

Ст. 4.1 КоАП содержит примечание, снижающее оборотный штраф по ч. 15 в 10 раз — до диапазона не менее 15 млн ₽ и не более 50 млн ₽ — при условии инвестиций в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года. Это единственный законный способ существенно снизить оборотный штраф для компании. Для CISO этот же факт является смягчающим обстоятельством в уголовном деле: он демонстрирует, что меры принимались.

Какие конкретные действия CISO порождают риск по ст. 272.1, а какие — защищают?

Уголовный риск возникает при следующих обстоятельствах. Первое: CISO самостоятельно передал базу данных третьим лицам — подрядчику, партнёру, аналитической компании — без поручения оператора, оформленного по п. 3 ст. 6 ФЗ-152. Второе: он знал об активной атаке на систему, не уведомил ни руководство, ни РКН, и данные утекли. Третье: система обработки данных работала без уровня защищённости, который CISO был обязан обеспечить по ПП РФ №1119 и Приказу ФСТЭК №21, — и он это знал из результатов внутренней проверки.

Что подготовить CISO для снижения уголовного и административного риска

Приказ об установленном уровне защищённости ИСПДн (УЗ-1..4) с подписью руководства — доказывает, что CISO действовал в рамках согласованного регламента.
Журнал запросов бюджета на ИБ с решениями руководства — фиксирует, что CISO сигнализировал о рисках.
Внутренние отчёты о состоянии систем защиты с датами — показывает, что уязвимости выявлялись и эскалировались.
Регламент реагирования на инциденты с датой утверждения и временными метками первых действий — подтверждает оперативность после обнаружения.
Доказательства инвестиций в ИБ за три года (договоры, акты, платёжные поручения) — основание для снижения оборотного штрафа по ст. 4.1 КоАП.

Защищающие обстоятельства: CISO своевременно уведомил руководство о риске, получил письменный отказ в финансировании и задокументировал его. В таком случае уголовная ответственность переходит к лицу, принявшему решение об отказе — как правило, к генеральному директору или финансовому директору. Второй защитный элемент: CISO немедленно после обнаружения инцидента инициировал процедуру по Приказу РКН №187 — первичное уведомление в течение 24 часов и отчёт о расследовании в течение 72 часов. Оперативность фиксируется в документах РКН и становится смягчающим обстоятельством.

Если у вас уже возбуждено дело по ст. 272.1 или ст. 13.11 КоАП — позиция по обоим направлениям строится одновременно. Стоимость защиты на этапе протокола существенно ниже, чем на этапе постановления о штрафе или обвинительного акта.

Защитить от штрафа по ст. 13.11

Матрица сценариев: CISO в трёх типовых ситуациях

Сценарий 1. Утечка через подрядчика — кто несёт ответственность. Ситуация: маркетинговое агентство, которому оператор передал базу по договору, допустило утечку. CISO подписал договор поручения, но не проверил наличие у подрядчика необходимых технических мер. Доказательства: протокол о передаче базы, договор без пункта об ответственности подрядчика за обеспечение УЗ. Вероятный исход: РКН возбуждает дело против оператора по ч. 12 ст. 13.11 — штраф 3–5 млн ₽; при наличии доказательств, что CISO знал о несоответствии, — протокол на должностное лицо. Стратегия: ещё до передачи данных фиксировать в договоре поручения конкретные технические требования к подрядчику, проводить их аудит, хранить акты проверки.

Сценарий 2. Внутренний сотрудник слил базу — ответственность CISO. Ситуация: администратор базы данных выгрузил таблицу с ПДн клиентов на личный носитель и продал данные. CISO не имел системы мониторинга привилегированных пользователей. Доказательства: отсутствие DLP-системы, отсутствие журналов аудита действий администраторов. Вероятный исход: уголовное дело против администратора по ч. 2 ст. 272.1; в отношении CISO прокуратура рассматривает вопрос об умышленном бездействии — косвенный умысел, если внутренние отчёты фиксировали риск инсайдерской угрозы. Стратегия: внедрить DLP и аудит привилегированного доступа; хранить задокументированные запросы на финансирование этих мер.

Сценарий 3. Повторная утечка — оборотный штраф по ч. 15. Ситуация: компания уже привлекалась по ч. 12 ст. 13.11 за первую утечку; через год произошла вторая. CISO не устранил выявленные уязвимости в предписанный срок. Доказательства: предписание РКН первой проверки, отсутствие актов устранения. Вероятный исход: ч. 15 ст. 13.11 — оборотный штраф не менее 20 млн ₽; одновременно рассмотрение вопроса о возбуждении дела по ст. 272.1 в отношении CISO. Стратегия: после первой проверки РКН немедленно составить план устранения с дедлайнами, фиксировать выполнение актами, обеспечить инвестиции в ИБ ≥ 0,1% выручки за три года для активации снижающего коэффициента по ст. 4.1 КоАП.

Как применяется ст. 4.1.1 КоАП и когда она не работает?

Ст. 4.1.1 КоАП позволяет заменить административный штраф предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии причинённого вреда. Арбитражные суды применяли этот инструмент по делам о нарушениях ст. 13.11, в том числе по ч. 1 и ч. 2, когда компания впервые нарушила требования о согласии или политике обработки данных и оперативно устранила нарушение.

Однако ст. 4.1.1 прямо не распространяется на составы ч. 15 и ч. 18 ст. 13.11 — оборотные штрафы за повторные утечки. Замена штрафа предупреждением здесь законодательно исключена. Также она не применяется, если нарушение повлекло вред охраняемым интересам граждан, то есть реальную утечку персональных данных с возможностью их неправомерного использования.

«Ст. 4.1 КоАП — примечание 3.4-2: при инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по ч. 15 ст. 13.11 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

На практике суды охотнее применяют смягчение по ст. 4.1, чем замену по ст. 4.1.1. Для компании с выручкой 1 млрд ₽ снижение оборотного штрафа с 20 млн до 15 млн ₽ через подтверждение ИБ-инвестиций — реальный инструмент при наличии подтверждающих документов. Без них суд применяет базовый диапазон.

После ФЗ-508 от 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — подсудность вернулась к ним от арбитражных судов (период с 30 мая по 27 декабря 2025 года). Это меняет тактику защиты: мировые судьи меньше погружены в тонкости корпоративного права, поэтому аргументация должна быть проще и документально насыщеннее.

Кейс 1. IT-компания из Сибирского федерального округа (осень 2025 года) получила протокол по ч. 13 ст. 13.11 КоАП — утечка затронула от 10 000 до 100 000 субъектов через взломанный API. CISO зафиксировал инцидент через 3 часа после его начала, первичное уведомление РКН подал за 21 час, отчёт о расследовании — через 68 часов. В суде компания представила договоры на ИБ-сервисы за три года на сумму более 0,1% выручки. Штраф был снижен через механизм ст. 4.1 КоАП до нижней границы диапазона. Уголовное дело в отношении CISO не возбуждалось: документация показала, что он действовал в рамках утверждённого регламента и исчерпал полномочия в рамках своей роли. Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Кейс 2. В деле о повторной утечке торговой компании (Центральный федеральный округ, начало 2026 года) компания ранее привлекалась по ч. 12 ст. 13.11. Вторая утечка привела к возбуждению дела по ч. 15 — оборотный штраф. Параллельно следственные органы изучали вопрос об ответственности директора по ИБ по ст. 272.1 УК. Защита представила переписку, из которой следовало, что CISO трижды направлял запросы на обновление систем мониторинга и получал отказы от финансового директора. В результате уголовное дело было переориентировано на иное должностное лицо; CISO получил статус свидетеля. Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1.
Аудит соответствия 152-ФЗ — проверка технических и организационных мер, выявление рисков по ст. 272.1 УК.
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписаний.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года вступила в силу редакция ст. 13.11 КоАП по ФЗ-420 от 30 ноября 2024 года. Статья расширена до 18 частей. За утечку от 1 000 до 10 000 субъектов — штраф для юрлица 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13); более 100 000 субъектов — 10–15 млн ₽ (ч. 14). За неуведомление об утечке в 24 часа — 1–3 млн ₽ (ч. 11). За обработку без согласия — 300 000 – 700 000 ₽ (ч. 2).

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении: если компания уже привлекалась по ч. 12, 13, 14, 16, 17 или 18 и совершила новое нарушение из этого же перечня. Размер — от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка за досрочную уплату по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется, когда расчётная сумма 1–3% от выручки оказывается ниже этой отметки. Например, при выручке 500 млн ₽ — 1% равен 5 млн, но штраф всё равно будет 20 млн ₽. Снизить его можно через механизм ст. 4.1 КоАП: при подтверждении инвестиций в ИБ не менее 0,1% выручки за три года минимум снижается до 15 млн ₽, максимум — до 50 млн ₽.

4. Можно ли заменить штраф по ст. 13.11 на предупреждение?

Замена на предупреждение по ст. 4.1.1 КоАП возможна для субъектов МСП при первичном нарушении и отсутствии реального вреда. Арбитражные суды применяли её по ч. 1–5 ст. 13.11. К оборотным составам (ч. 15 и ч. 18) замена на предупреждение законодательно не применяется. При утечке с реальным распространением данных суды также отказывают в замене, поскольку вред гражданам считается причинённым.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28 декабря 2025 года дела по ст. 13.11 КоАП снова рассматривают мировые судьи. В период с 30 мая по 27 декабря 2025 года действовала арбитражная подсудность. ФЗ-508 от 28 декабря 2025 года вернул дела к мировым судьям. Это важно для тактики защиты: у мировых судей иная практика применения смягчающих обстоятельств по сравнению с арбитражем.

Итог

Ст. 272.1 УК действует с декабря 2024 года и создаёт персональный уголовный риск для CISO — независимо от административного штрафа, который получает компания. Уровень риска определяется не фактом утечки, а тем, знал ли CISO о проблеме, действовал ли в рамках регламента и фиксировал ли свои действия документально. Параллельно с декабря 2024 и с мая 2025 действуют обновлённые составы ст. 13.11 КоАП: оборотный штраф при повторной утечке — не менее 20 млн ₽, и снизить его можно только через подтверждённые инвестиции в ИБ по ст. 4.1 КоАП.

Юристы DATUM специализируются на защите по ст. 13.11 КоАП и сопровождении в ситуациях, когда уголовный и административный риски возникают одновременно. Практика «Ветров и партнёры» по 152-ФЗ ведётся с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.