«Я совершил киберпреступление»: как беседовать с доверителем, когда непонятно, о чем речь

Вместо введения

Звонит телефон. Человек просит срочную консультацию. Голос убитый, но вежливый: поздоровался, извинился за беспокойство. Подробности дел я по телефону не обсуждаю — мало ли. Но хоть что-то понять надо: возможно, это вообще не моя специализация.

Спрашиваю первым делом: откуда вы про меня узнали и почему именно ко мне?

— Мне нужен адвокат по компьютерным преступлениям. Увидел сведения о вас на одном сайте по поиску, нет, не на «Праворубе».

Странно, что не на Праворубе. Ладно, не важно. Главное, что человек что-то нашел и решил мне позвонить. На осторожный вопрос «в чем суть обращения?» следует:

— Я совершил киберпреступление.

Всё. Точка.

В общем, к моменту встречи я знал только три вещи:

• он ищет адвоката по компьютерным преступлениям;
• он совершил нечто, что сам называет «киберпреступлением»;
• он в ужасе;
• и моя консультация платная.

А еще я знал, что «киберпреступления» — это огромная область. DDoS-атаки, неправомерный доступ, создание вредоносных программ, хищение средств с банковских карт, «крипта», «дропы», «продажа аккаунтов», распространение порнографии, а еще — от развратных бесед в чатах до государственной измены.

Человек мог сделать что угодно или ничего не делать — просто испугаться. Просто факт, который для него — конец света.

Он согласился консультацию оплатить и я назначил дату и время. Положил трубку. И понял, что сам не знаю, о чем со мной будут говорить через два дня.

А у меня есть два часа на свободных. И нет никакой конкретики. Проблема, знакомая многим.

Коллеги, которые берутся за сложные составы, особенно в сфере IT, кибербезопасности и платежных систем сталкиваются с одной проблемой: доверитель приходит и начинает говорить на языке, который понятен только ему, немного мне и, возможно, эксперту. Технические детали, логи, IP-адреса, протоколы, уязвимости, скрипты, дипфейки, криптокошельки, анонимайзеры. Он уходит в дебри. А вы слушаете и понимаете: вы не знаете, что из этого важно для квалификации, а что — просто шум.

И если вы начнете вникать в эти детали до заключения соглашения, есть два риска:

1. Вы утонете. Беседа превратится в техническую дискуссию, которая может длиться часами. Доверитель решит, что вы «в теме», но к моменту, когда вы доберетесь до сути, вы до подписания соглашения не дойдете.
2. Вы пропустите главное. За деревьями технических деталей можно не увидеть леса — вопроса квалификации, состава преступления и реальной угрозы для доверителя.

Поэтому я давно для себя вывел правило: никакой технической дискуссии до соглашения. Не потому что я жадный или недоверчивый (хотя коллеги говорят, что и то и другое — правда). А потому что это профессионально неоправданно.

До того как мы заключили соглашение и я получил статус защитника, не имеет смысла:

• оценивать доказательства и перспективы дела — потому что это уже элемент защиты;
• тратить часы на разбор технических деталей, которые могут вообще не иметь значения для квалификации.

Мое решение: список вопросов, который отсекает технический шум

Поскольку все мои экспромты тщательно готовятся, я давно составил для себя список вопросов, которые задаю до того, как погружаюсь в технические детали. Вопросы — не про «как ты это сделал», а про «что из этого имеет значение для уголовного дела».

Этот список позволяет:

1. понять, о чем вообще речь (состав, статья, примерная квалификация);
2. оценить, моя ли это специализация или нужно перенаправлять доверителя;
3. продемонстрировать доверителю, что я не лезу в его технический мир без нужды, но задаю правильные вопросы — «я в теме»;
4. не утонуть в деталях, которые не влияют на квалификацию.

Перед тем как задавать эти вопросы, я всегда произношу стандартную фразу:

«Всё, что вы мне скажете, — адвокатская тайна. Без вашего разрешения я не имею права это разглашать, и никто не имеет права меня допрашивать о том, что вы мне рассказали. Это ваша конституционная гарантия». После этого доверитель обычно выдыхает.

Список вопросов для первичной беседы (до соглашения)

Опускаем представление и переходим к сути.

Блок 1. Что произошло с точки зрения закона (а не техники)

1. Какая статья УК РФ вам вменяется (или может быть вменена)?

Доверитель может не знать точной статьи, но хотя бы часть или описание состава он уже обычно представляет. Правда, самолечение по интернету имеет свои недостатки — он может ошибаться.

Ориентируемся по терминам на самые частые составы:

• «SQL-инъекция», «брутфорс», «эксплойт», «перехват TCP-сессии», «кейлогер», «XSS-атака», «сниффинг», «подбор хешей» — скорее всего это Статья: 272 УК РФ — неправомерный доступ к компьютерной информации.
• «Ботнет», «эксплойт для повышения прав», «лоадер», «RAT» (удаленный доступ), «reverse shell»  -  Статья: 273 УК РФ — создание, использование и распространение вредоносных программ.
• «Скимминг», «фишинг-страница», «подмена платежной формы на сайте», «сбор CVV через кейлогер», «MITM-атака на банковское приложение» — Статья: 159.6 УК РФ (компьютерное мошенничество) или 158 УК РФ (кража), реже — 272.
• «Спуфинг DNS», «подмена ARP», «фейковый SSL-сертификат», «клонирование домена», «тайпсквоттинг» Статья: 159.6 УК РФ.
• «Deepfake», «нейросеть для подмены лица», «Nudify», «интимный контент, adult», «Webcam», «Нудизм», «модель», «хентай», «порно», «дикпик», «pthc», «сипи», «обмен контентом» — Статья: 133-135, 242, 242.1 и 242.2 УК РФ.
• «Экстремизм в соцсетях», «репост», «лайкнул пост», «меня обвиняют в призывах», «комментарий с призывом», «публикация символики», «администрирование канала» — Статья 205.2, 207, 280 УК РФ.

 Это дает  сразу понять, в каком поле работать. 272-я и 273-я — это одни эксперты и тактика. 135 и 242-я — совсем другие. А дискредитация и экстремизм — третья вселенная. Но особо обольщаться не стоит — следователи часто составы раздают случайно.

 1.  Дело уже возбуждено или идет проверка?

Это определяет срочность. Если дело возбуждено — следователь уже работает. Если проверка — есть время подготовиться, но не расслабляться: проверка может превратиться в дело в любой момент.

  2.  Есть ли у вас процессуальный статус (свидетель, подозреваемый, обвиняемый)?

Если человек не знает — это уже проблема. Часто люди приходят, когда статус «свидетель», а вопросы следователя уже идут о его вине. Классическая ловушка.

  3.  Что именно, по мнению следствия, вы сделали? (одним-двумя предложениями, без технических деталей). Прошу сформулировать суть без IP-адресов, логов и скриптов. Если не может — помогаю:

• «Вы получили доступ к чужой информации?»
• «Вы создали и распространили программу?»
• «Вы перевели деньги? Вам перевели деньги?»
• «Вы публиковали что-то в соцсетях?»
• «У вас изъяли носители с медиаконтентом?»

Блок 2. Доказательства и процесс

  1.  Какие доказательства у следствия уже есть?

2.  Были ли обыски? Что изъяли (техника, телефоны, носители)? Что на этих устройствах следствие может использовать как доказательства?

3.  Есть ли заключения экспертов?

4.  Допросили ли вас? В каком статусе? Что подписывали?

Зачем: понять, на какой стадии находится сбор доказательственной базы и какие риски уже материализовались. Если доверитель говорит «я ничего не подписывал», это чаще всего означает «в деле уже множество подписанных мною документов, просто я не понял, что подписывал».

  1.  Был или есть ли у вас уже адвокат? Если да — по соглашению или по назначению?

Часто люди приходят после действий с назначенцем, который уже «помог» подписать протоколы первых допросов и явку с повинной. Это важно знать сразу.

  2.  Давали ли вы какие-либо объяснения (письменно или устно)? Подписывали ли явку с повинной?

Классика. Человек уже написал то, что потом будет работать против него, и не понимает, что это катастрофа. Потому что потом суд скажет: «Вы же сами подписали».

Блок 3. Финансы и ущерб

  1.  Есть ли потерпевший? Какой ущерб заявлен?

Для многих киберсоставов ущерб — ключевой элемент. Крупный, особо крупный размер — это квалификация и тяжесть наказания.

Достаточно часто личность потерпевшего или потерпевших имеет решающее значение, особенно по составам т.н. сексуальных преступлений (потерпевший — несовершеннолетний — это сразу отягчающее обстоятельство).

  2.  Были ли попытки возместить ущерб? Добровольно или после требований?

Добровольное возмещение до возбуждения дела — один из немногих реальных способов «соскочить» с уголовного преследования на ранней стадии. Особенно по делам о мошенничестве и неправомерном доступе.

Блок 4. Личность и риски

  1.  Есть ли у вас судимости (особенно за аналогичные преступления)?

Повторность — отягчающее обстоятельство. По 273-й, например, повторность может сильно изменить меру пресечения. По сексуальным статьям мера пресечения – СИЗО практически автоматически.

  2.  Работаете ли вы в сфере IT / кибербезопасности / финансов официально?

Это важно для версии защиты:

• «я тестировал систему в рамках своих должностных обязанностей»;
• «я действовал по заданию работодателя»;
• «у меня был доступ по роду работы».

1. Есть ли основания полагать, что следствие будет настаивать на аресте (тяжесть статьи, личность, свидетели, давление)?

Позволяет заранее готовиться к мере пресечения. Я даю доверителю короткий инструктаж: что делать, если поймут, что могут арестовать, и что сделать уже сейчас – доверенности, снять деньги со счетов, вылечить зубы, медзаключения при хронических болезнях.

Блок 5. Главный вопрос (после всего)

  1.  Что для вас является наилучшим исходом? Что самое страшное, чего вы боитесь?

Звучит просто, но ответ часто неочевиден.

• Кто-то боится реального срока.
• Кто-то — потери работы и допусков к гостайне (особенно IT-специалисты).
• Кто-то — уголовки на всю жизнь, даже условной.
• Кто-то — просто не хочет, чтобы об этом узнала мама, жена и дети.

Иногда доверитель настолько подавлен самим фактом того, что он это сделал, что готов идти и признаваться — даже если его никто не ищет. В такой ситуации наша задача — не дать ему навредить себе.