В России ужесточили применение статьи по борьбе с ботами для «пробива»
Российские юристы предупредили об усилении жесткости наказания по новой статье за незаконный сбор и обработку персональных данных. В январе 2026 г. было расширено применение статьи против владельцев ботов. Уголовное преследование по ней возможно даже за небольшие утечки данных и ошибки сотрудников.
Расширение применение статьи
В России расширили применение статьи Уголовного кодекса (УК), которая направлена на борьбу с ботами для пробива, пишет РБК. Юридическое сообщество обращает внимание бизнеса и должностных лиц на значительное ужесточение ответственности за нарушения в сфере обработки персональных данных после введения новой статьи.
Новая статья УК, направленная на борьбу с ботами для пробива, все чаще применяется для уголовного преследования за мелкие корпоративные утечки данных, заявили опрошенные РБК эксперты. Помимо владельцев нелегальных сервисов под уголовное преследование попадают и рядовые сотрудники, допустившие незначительные нарушения.
Пробив ботах — это автоматический поиск и выдача персональных данных человека по известным фрагментам информации: номеру телефона, электронной почте т.д. Telegram-боты, предлагающие пробив за небольшую плату, открывают доступ к детальной информации практически о любом россиянине. Основная же проблема заключается в передаче персональных данных.
В России расширено применение статьи для борьбы с ботами для пробива, уголовная ответственность может наступать по ней даже за ошибки сотрудников
Речь идет о статье 272.1 УК («Незаконные использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные»), которая вступила в силу 9 декабря 2024 г. Ее первоначальной целью было установление ответственности за создание или использование ИТ-сервисов т.е. ботов для пробива для незаконного распространения персональных данных. По данным Министерства внутренних дел (МВД), за десять месяцев 2025 г. по этой статье зарегистрировано 923 преступления. Власти сообщали также о ее успешном применении против администраторов ботов. Как писал CNews, в начале 2025 г. прекратил работу крупный бот «Глаз Бога», уже а в ноябре 2025 г. был арестован Игорь Морозкин — владелец сервиса Userbox.
Судебная практика
К ответственности по статье 272.1 начали привлекать не только владельцев ботов. Например, в марте 2025 г. в Кировской области сотрудника салона связи задержали за передачу через мессенджер нескольких десятков записей с персональными данными. В том же месяце в Кировске работника салона сотовой связи обвинили в передаче персональных данных певца Ярослава Дронова он же Shaman и других абонентов.
В ноябре 2025 г. по той же статье в Башкирии задержали мужчину, который с помощью спецоборудования активировал тысячи SIM-карт. 20 ноября суд отправил под домашний арест начальницу отдела судебных приставов в одном из районов Перми Надежду Шабунину, по версии следствия, она на рабочем месте вошла в ведомственную базу данных, где скопировала на смартфон информацию об исполнительных производствах и персональные данные должников и взыскателей — она сделала видеозапись.
Инсайдерам несдобровать
Значительные риски также несет теперь статья 274.1 УК «Неправомерное воздействие на критическую информационную инфраструктуру (КИИ)». Эта статья действует с 2018 г. и применяется к инсайдерам, чьи действия могут трактоваться как преступление против КИИ (к ней относятся информационные системы и сети связи государственных органов, энергетических, финансовых, медицинских, транспортных и некоторых других компаний).
«Практика показывает, что личная флешка, воткнутая в рабочий компьютер на объекте КИИ, или передача пароля коллеге — это уже не просто нарушение трудовой дисциплины, а состав преступления. Бизнесу пора переходить к политике нулевого доверия к инсайдерам и жесткой юридической фиксации правил информационной безопасности (ИБ)», — отметил управляющий RTM Group Евгений Царев.
По данным RTM Group, с 1 января 2018 года по 31 октября 2025 г. суды рассмотрели 325 уголовных дел по статье 274.1, по 243 из них вынесли обвинительные приговоры (75% общего числа). Главная угроза для КИИ исходит от инсайдеров, говорится в исследовании: в 160 делах (почти 50%) фигурирует признак использования служебного положения. Чаще всего к ответственности привлекают рядовых сотрудников банков, операторов связи, медицинских учреждений и почты за действия из корысти, помощи другу или желания выполнить план.
Аналитики RTM Group прогнозируют, что совокупное количество приговоров по статьям 274.1 и 272.1 может вырасти в десять раз до 2029-2030 г. Основным драйвером роста эксперты назвали более активное применение статьи 272.1, которая в 2025 г. проходила обкатку.
Размытые требования и абстрактные формулировки
Статьи 272.1 и 274.1 УК сконструированы как рамочные составы, содержащие абстрактные формулировки, что позволяет правоохранительным органам широко трактовать нормы и привлекать к уголовной ответственности даже за действия, ранее считавшиеся административными нарушениями или мелким дисциплинарным проступком, отмечает партнер коллегии адвокатов Pen & Paper Алена Гришкова. «Обе статьи сконструированы как так называемые рамочные составы. Это значит, что в описании преступного деяния присутствуют абстрактные формулировки и правоприменитель может их использовать по своему усмотрению», — пояснила РБК госпожа Гришкова. Она уточнила, что для квалификации по статье 272.1 не обязательно, чтобы был причинен реальный вред, достаточно факта неправомерного доступа к персональным данным, а что именно считать такими данными, остается на усмотрение следователя.
Партнер практики уголовно-правовой защиты бизнеса BGP Litigation Анатолий Логинов выделяет ряд системных проблем применения статьи 274.1 УК России, связанных с незавершенностью нормативного регулирования в сфере КИИ. По мнению эксперта, действующая редакция статьи предоставляет следственным органам чрезмерно широкие дискреционные полномочия по самостоятельному определению признаков преступления, что создает значительные правоприменительные риски. Ключевые недостатки нормы, на которые указывает юрист: отсутствие четкого учета ряда важных технических и отраслевых особенностей функционирования объектов КИИ; существенное дублирование формулировок состава административного правонарушения (прежде всего статьи 13.11 Кодекса об административных правонарушениях (КоАП) России, что размывает грань между административным и уголовно наказуемым деянием; возможность трактовки практически любого нарушения в сфере обработки персональных данных как уголовно наказуемого преступления при формальном подходе к квалификации.
«На практике это приводит к тому, что любое, даже незначительное отклонение от требований законодательства о персональных данных может быть интерпретировано как преступление по статье 274.1 УК», — отмечает Анатолий Логинов. Юрист убежден, что в текущем виде норма статьи требует существенной доработки с целью: повышения степени определенности и предсказуемости правового регулирования; установления четких критериев разграничения административной и уголовной ответственности; учета специфики технологических процессов в объектах КИИ.
По оценке господина Логинова, без внесения соответствующих изменений сохраняется высокий риск произвольного применения статьи, что негативно сказывается на инвестиционной привлекательности и операционной деятельности компаний, работающих с персональными данными и объектами КИИ.
