Мошенники взломали аккаунт на Госуслугах, но из-за самозапрета на кредиты ущерба нет: что делать и куда обращаться?

Подозрительный вход в личный кабинет Госуслуг: юридическая оценка ситуации, риски и план действий

Здравствуйте. Описанная вами ситуация действительно серьёзна, хотя тот факт, что благодаря самозапрету мошенникам не удалось оформить кредиты, существенно снизил возможный ущерб. Давайте разберём ваши действия и риски с правовой точки зрения.

1. Квалификация действий мошенников и вопрос о заявлении в полицию

Вы спрашиваете, есть ли смысл подавать заявление, если кредиты не оформили. Смысл есть. Несанкционированный доступ к вашему личному кабинету на Госуслугах и последующее получение ваших персональных данных (паспорт, СНИЛС, ИНН) образуют состав сразу нескольких преступлений.

• Неправомерный доступ к компьютерной информации (ст. 272 УК РФ)
  Ваш личный кабинет — это охраняемая законом компьютерная информация. Действия мошенников подпадают под определение из этой статьи. Для квалификации по ней важен сам факт доступа, повлекший копирование информации.

  "Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло... копирование компьютерной информации... — наказывается штрафом..."
  (Источник: Уголовный кодекс РФ, Статья 272)

• Незаконные сбор и хранение персональных данных (ст. 272.1 УК РФ)
  Это специальная, более новая статья, которая напрямую описывает вашу ситуацию. Она устанавливает ответственность за незаконный сбор, передачу и хранение компьютерной информации, содержащей персональные данные, полученной неправомерным путём. Ваши данные были именно собраны и скопированы незаконно.

  "Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем... — наказываются штрафом..."
  (Источник: Уголовный кодекс РФ, Статья 272.1)

• Нарушение неприкосновенности частной жизни (ст. 137 УК РФ)
  Ваши персональные данные — это часть вашей частной жизни. Их незаконное собирание без вашего согласия образует состав преступления.

  "Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия... — наказываются штрафом..."
  (Источник: Уголовный кодекс РФ, Статья 137)

Даже если финансовый ущерб не был причинён сразу, преступления (особенно по ст. 272.1 и 272) считаются оконченными с момента доступа и копирования данных. Отсутствие дальнейшего ущерба не освобождает преступников от ответственности. Уголовный кодекс также предусматривает ответственность за приготовление к преступлению, если, например, злоумышленники создавали условия для хищения денег (ст. 30 УК РФ).

Обязанности подавать заявление у вас нет, но это ваше право. Полиция обязана принять и зарегистрировать ваше заявление. Оно может помочь в установлении злоумышленников и может быть использовано в будущем, если ваши данные всё же будут использованы для других мошеннических действий. Такое преступление может быть совершено из корыстной заинтересованности, что является отягчающим обстоятельством. Заявление станет важным доказательством того, что кредиты вы лично не оформляли.

2. Риски снятия или обхода самозапрета на кредиты

Вы правильно сделали, что установили самозапрет. Это самый мощный инструмент защиты от мошеннических кредитов. Ваши опасения о его обходе понятны, но закон и процедура построены так, чтобы максимально этому препятствовать.

• Обязанность банка и МФО. Прежде чем выдать кредит или заём, любая кредитная или микрофинансовая организация (МФО) обязана запросить кредитную историю заёмщика во всех квалифицированных бюро.

  "Кредитная организация, микрофинансовая организация не ранее чем за тридцать календарных дней до даты заключения договора потребительского кредита (займа) обязаны запросить во всех квалифицированных бюро кредитных историй... информацию о наличии в кредитной истории заемщика сведений о запрете (снятии запрета)..."
  (Источник: Федеральный закон "О потребительском кредите (займе)" от 21.12.2013 N 353-ФЗ, Статья 7)

• Обязательный отказ при наличии запрета. Если в вашей кредитной истории есть действующий запрет, банк или МФО обязаны отказать в выдаче кредита, даже если у мошенников на руках все ваши паспортные данные и доступ к Госуслугам.

  "При наличии сведений о действующем запрете в кредитной истории заемщика... кредитная организация, микрофинансовая организация отказывают заемщику в заключении договора потребительского кредита (займа)..."
  (Источник: Федеральный закон "О потребительском кредите (займе)" от 21.12.2013 N 353-ФЗ, Статья 7)

• Механизм установления и снятия запрета. Запрет устанавливается вами через Госуслуги или лично в МФЦ. Чтобы снять запрет, нужно пройти сложную процедуру с усиленной электронной подписью, что исключает возможность его снятия "в пару кликов" даже при доступе в ваш кабинет. Информация о запрете включается в кредитную историю не позднее следующего дня.

Риск существует только в случае, если банк или МФО нарушат закон и не проверят кредитную историю. В этом случае у вас будут все законные основания для оспаривания такого кредита через суд и для получения компенсации от банка-нарушителя.

3. Уведомление банков и юридические обязанности

Прямой юридической обязанности уведомлять свои банки о компрометации данных законом не установлено, однако это крайне рекомендуется сделать. У вас есть право защищать свою информацию.

"Обладатель информации, если иное не предусмотрено федеральными законами, вправе: ... 4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;"
(Источник: Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ, Статья 6)

Уведомление банков — это реализация вашего права на защиту. Оно позволяет:

• банку усилить мониторинг операций по вашим счетам на предмет подозрительной активности;
• добавить дополнительный фактор проверки при обращениях по телефону или в отделении;
• зафиксировать факт компрометации данных для возможных будущих разбирательств.

Банки, в свою очередь, как операторы персональных данных, обязаны принимать меры для защиты информации от неправомерного доступа.

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры... для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения..."
(Источник: Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ, Статья 19)

4. План действий для минимизации последствий и профилактики

Для максимальной защиты и спокойствия рекомендую следующий порядок действий:

1. Подать заявление в полицию. Обратитесь в ближайший отдел полиции. Важно получить талон-уведомление о регистрации вашего заявления. Подробно опишите обстоятельства: как узнали о взломе, какие данные могли быть похищены, какие меры вы предприняли самостоятельно. Квалифицируйте произошедшее как неправомерный доступ к компьютерной информации, повлекший копирование персональных данных.

2. Запросить кредитную историю. Это первоочередная мера для проверки, не пытался ли кто-то, несмотря на самозапрет, подать заявки. Вы имеете право на получение сведений о вашей кредитной истории. Проверьте, нет ли там новых запросов от банков или МФО, которых вы не делали. Это станет дополнительным доказательством покушения на мошенничество.

3. Уведомить банки. Письменно (в чате поддержки мобильного приложения или заказным письмом) уведомьте свои банки о несанкционированном доступе к вашим персональным данным. Попросите усилить контроль за вашими счетами.

4. Обратиться в оператору Госуслуг с правовым требованием. Вы как субъект персональных данных имеете право требовать от оператора (Минцифры) уточнения, блокирования или уничтожения ваших персональных данных, если они обрабатываются незаконно.

   "Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются... незаконно полученными..."
   (Источник: Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ, Статья 14)
   Хотя данные в Госуслугах вы не удалите, такое требование фиксирует факт нарушения и может заставить оператора провести служебное расследование инцидента.

5. Проверка кредитной истории

Проверка кредитной истории после такого инцидента — не просто рекомендация, а логически вытекающая из ситуации необходимость. Это позволит вам:

• Убедиться, что механизм самозапрета сработал, и все запросы от неизвестных вам банков были отклонены.
• Обнаружить сам факт попыток мошенников получить кредит. Эти запросы в кредитной истории будут прямым доказательством для правоохранительных органов.
• Контролировать любые несанкционированные изменения, которые могли быть внесены.

Дважды в год вы имеете право бесплатно получить полный кредитный отчёт в каждом бюро кредитных историй (БКИ). Сначала через Госуслуги запрашивается список БКИ, в которых хранится ваша история, а затем в каждом из них запрашивается сам отчёт.

Резюмирую мои рекомендации:

• Подача заявления в полицию настоятельно рекомендуется, так как в действиях мошенников усматриваются признаки нескольких преступлений, связанных с незаконным доступом и сбором персональных данных, независимо от отсутствия финансового ущерба.
• Самозапрет на кредиты, установленный вами, является мощным правовым барьером, он делает оформление кредита на ваше имя практически невозможным без нарушения закона со стороны кредитора.
• Обязательно уведомите свои банки о случившемся и незамедлительно запросите свою кредитную историю для полного контроля над ситуацией.

Если последствия всё же проявятся неожиданным для вас образом (например, попытки списания средств или обращения от коллекторов по неизвестному долгу), я рекомендую незамедлительно обратиться к адвокату для координации действий.