Позвонили якобы из военкомата, попросили смс-код и доступ для регистрации на финуслугах. Пришло письмо от Роскомнадзора о доступе к госуслугам. Что делать и стоит ли волноваться?

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, за исключением случаев, предусмотренных статьей 272.1 настоящего Кодекса, -
наказывается ...
— Уголовный кодекс Российской Федерации, ст. 272

Поскольку предметом посягательства стали сведения, составляющие банковскую или иную финансовую тайну (номер счета, логин, пароль, пин-коды), дополнительно может быть инкриминирована ст. 183 УК РФ. Получение доступа к финансовым услугам — это собирание сведений, составляющих, в частности, банковскую тайну, так как такие данные позволяют управлять банковским счетом. Согласно ст. 183 УК РФ, собирание таких сведений путем обмана наказуемо.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. 1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, обмана, шантажа, принуждения, подкупа или угроз, а равно иным незаконным способом - наказывается ...
— Уголовный кодекс Российской Федерации, ст. 183

Кроме того, получение смс-кода означает перехват электронного сообщения, что может квалифицироваться как нарушение тайны переписки или иных сообщений. Смс-сообщение является одним из видов «иных сообщений», охраняемых ст. 138 УК РФ. В данном случае злоумышленники, не имея законных оснований, завладели содержанием смс, причем сделали это путем обмана (потерпевший сам передал код, будучи введенным в заблуждение). Хотя формально тайна сообщения нарушена. Однако здесь может быть конкуренция: если основная цель — хищение денег, то ст. 138 будет поглощена более тяжким составом. Тем не менее самостоятельный состав возможен, если будет установлен умысел на нарушение именно тайны.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан

1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается ...
   — Уголовный кодекс Российской Федерации, ст. 138

С точки зрения гражданско-правовой защиты главным инструментом является возмещение вреда. Поскольку на данный момент имущественный ущерб, возможно, еще не наступил, но существует реальная угроза его причинения, можно говорить о праве на защиту в порядке предупреждения убытков. Согласно ст. 1064 ГК РФ, вред, причиненный личности или имуществу гражданина, подлежит возмещению в полном объеме лицом, причинившим вред. Если в будущем мошенники спишут деньги, то необходимо будет взыскивать реальный ущерб. Пока ущерба нет, но уже нарушены личные неимущественные права — право на конфиденциальность персональных данных, право на тайну сообщений. За такие нарушения ст. 151 ГК РФ предусматривает компенсацию морального вреда. При определении ее размера суд учитывает степень вины нарушителя и характер страданий.

1. Вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред.
2. Лицо, причинившее вред, освобождается от возмещения вреда, если докажет, что вред причинен не по его вине.
   — Гражданский кодекс Российской Федерации, ст. 1064

Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
— Гражданский кодекс Российской Федерации, ст. 151

Также можно ставить вопрос о взыскании убытков (ст. 15 ГК РФ) — как реального ущерба, если в результате действий мошенников были, например, списаны средства или понадобились расходы на восстановление доступа к аккаунтам. На данный момент таких расходов могло не быть, но если потерпевший понесет их (например, оплата услуг по блокировке карт, восстановлению документов), они подлежат возмещению.

1. Лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере.
2. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы ...
   — Гражданский кодекс Российской Федерации, ст. 15

В сфере персональных данных здесь очевидно нарушение Федерального закона «О персональных данных». Мошенники получили доступ к персональным данным (ФИО, номер телефона, возможно, паспортные данные, данные учетной записи) без законного основания. Согласно ст. 9 этого закона, согласие субъекта на обработку персональных данных должно быть свободным, информированным, конкретным и сознательным. В данном случае согласие было получено обманным путем — потерпевший не знал, что передает данные именно для обработки в целях доступа к финансовым услугам, следовательно, такое согласие недействительно. Оператор (финансовая организация) не имел права обрабатывать персональные данные без надлежащего согласия, и ст. 7 закона обязывает всех, кто получил доступ к персональным данным, не раскрывать их и не распространять. Ответственность за незаконную обработку персональных данных без согласия в письменной форме (если она требовалась) предусмотрена ст. 13.11 КоАП РФ — административный штраф. Однако в случае наличия уголовно наказуемого деяния (мошенничество, неправомерный доступ) административная ответственность может не применяться, если те же действия образуют состав преступления.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
— Федеральный закон «О персональных данных», ст. 9

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
— Федеральный закон «О персональных данных», ст. 7

Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи... Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
— Федеральный закон «О персональных данных», ст. 14

Процессуальный механизм защиты — обращение с заявлением о преступлении в правоохранительные органы. Согласно ст. 144 УПК РФ, дознаватель, следователь обязаны принять, проверить сообщение о любом совершенном или готовящемся преступлении и в срок не позднее 3 суток принять решение (возбудить уголовное дело, отказать или передать по подследственности). По результатам рассмотрения выносится соответствующее решение, о котором уведомляется заявитель (ст. 145 УПК РФ). Заявитель вправе обжаловать отказ в возбуждении дела в установленном порядке. Применительно к данной ситуации наиболее вероятна подследственность органов внутренних дел (полиции), так как преступления — мошенничество и неправомерный доступ к компьютерной информации — относятся к компетенции следственных органов МВД. В случае выявления признаков преступления против конституционных прав (ст. 138) также компетенция полиции. Обращение в ФСБ возможно, если будет установлено, что использовались специальные технические средства для негласного получения информации, но в данной ситуации достаточно полиции. Роскомнадзор не уполномочен возбуждать уголовные дела, но он может контролировать обработку персональных данных и привлекать к административной ответственности (если не будет возбуждено уголовное дело).

1. Дознаватель, орган дознания, следователь, руководитель следственного органа обязаны принять, проверить сообщение о любом совершенном или готовящемся преступлении и в пределах компетенции, установленной настоящим Кодексом, принять по нему решение в срок не позднее 3 суток со дня поступления указанного сообщения. ...
   — Уголовно-процессуальный кодекс Российской Федерации, ст. 144

1. По результатам рассмотрения сообщения о преступлении орган дознания, дознаватель, следователь, руководитель следственного органа принимает одно из следующих решений:

1. о возбуждении уголовного дела в порядке, установленном статьей 146 настоящего Кодекса;
2. об отказе в возбуждении уголовного дела;
3. о передаче сообщения по подследственности ...
   — Уголовно-процессуальный кодекс Российской Федерации, ст. 145

Таким образом, квалификация содеянного может быть по совокупности ст. 159, 272, 183 и 138 УК РФ (с учётом правил конкуренции, возможно, вменение только части статей). Гражданско-правовая защита возможна как в порядке возмещения убытков и компенсации морального вреда (ст. 1064, 15, 151, 1099 ГК РФ), так и через требования к операторам персональных данных о блокировании/уничтожении данных на основании ст. 14 ФЗ «О персональных данных». Административная ответственность по ст. 13.11 КоАП РФ может быть применена к оператору, если он обрабатывал персональные данные без надлежащего согласия и это не образует уголовного состава. Процессуальный механизм — обращение с заявлением в полицию, которое должно быть рассмотрено в порядке ст. 144-145 УПК РФ.