💻 Профили клиентов Аналитика

Уголовные риски IT-компании: топ-5 составов (расширенный)

Уголовная ответственность руководителей и сотрудников IT-компании возникает по пяти основным составам УК РФ — мошенничество (статья 159), налоговые преступления (статья 199), неправомерный доступ к информации (статья 272), нарушение авторских прав (статья 146) и незаконное раскрытие коммерческой тайны (статья 183). По состоянию на май 2026 года число уголовных дел с участием IT-компаний выросло: силовые структуры освоили доказательную базу из git-репозиториев, логов доступа и переписки в корпоративных мессенджерах. Этот материал разбирает каждый состав применительно к конкретной роли — собственник, директор, разработчик, главный бухгалтер — и показывает, где риск наиболее высок.

Получите чек-лист уголовных рисков для IT-компании — адаптированный под вашу роль.

Получить чек-лист → WhatsApp

КЛ

Ксения Лебедева

Аналитик · следственные действия · УПК

Опубликовано 15 мая 2026 Обновлено 15 мая 2026 18 мин. чтения

5 составов

Основные статьи УК РФ для IT-бизнеса

18,75 млн ₽

Порог крупного ущерба по ст. 199 УК РФ

100 тыс. ₽

Порог крупного ущерба по ст. 146 УК РФ (авторские права)

до 10 лет

Санкция ч. 4 ст. 159 УК РФ (мошенничество в крупном размере)

Кто в IT-компании несёт уголовный риск и почему это не очевидно

Уголовный риск в IT-компании не ограничивается директором. Разработчик, DevOps-инженер, технический директор и главный бухгалтер могут оказаться фигурантами уголовного дела по совершенно разным статьям — в зависимости от конкретных действий и доступа к ресурсам. По данным МВД РФ, в 2023–2024 годах число уголовных дел с цифровым следом возросло: следователи научились работать с логами, метаданными файлов и историей коммитов в git-репозиториях.

Специфика IT-отрасли создаёт три нетипичных вектора уголовного преследования. Первый — двойственность доступа: разработчик по роду работы имеет легитимный доступ к данным клиентов, и граница между правомерным и неправомерным действием определяется должностной инструкцией и договором. Второй — сложность корпоративных структур: аутсорсинговые компании, субподряд, офшорные юрисдикции создают налоговые риски, которые следствие квалифицирует как умышленное уклонение. Третий — интеллектуальная собственность: использование open-source с несовместимыми лицензиями или иностранного ПО без надлежащего оформления превращается в уголовное дело по статье 146 УК РФ.

✓ Важно

Субъектом уголовного преступления всегда является физическое лицо. Юридическое лицо — IT-компания — несёт только гражданско-правовую и налоговую ответственность. Уголовное преследование обращается против директора, главного бухгалтера, технического директора или конкретного сотрудника.

Типичная ошибка собственника IT-компании — делегировать «уголовные риски» юристу, который специализируется на договорном праве или корпоративных спорах. Уголовный процесс устроен иначе: следователь работает с доказательной базой, а не с договорами, и подготовка начинается задолго до возбуждения дела — на стадии доследственной проверки по статьям 144–145 УПК РФ.

Не знаете, какой из составов актуален для вашей компании?

Уголовно-правовой аудит покажет реальную зону риска по вашей налоговой структуре, договорной базе и практике работы с данными. Ветров. 49 — Право·300 с 2017 года, более 1 000 проектов в уголовной защите бизнеса.

Запросить аудит → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Как мошенничество по статье 159 УК РФ применяется к IT-бизнесу?

Мошенничество (статья 159 УК РФ) — наиболее распространённый состав в уголовных делах против IT-компаний. Ответственность по части третьей наступает при ущербе свыше 250 000 рублей, по части четвёртой — свыше 1 миллиона рублей (санкция до 10 лет лишения свободы). Особенность применения в IT-отрасли: следствие не ограничивается очевидными схемами обмана — под статью 159 подпадают завышение стоимости разработки в государственных контрактах, фиктивные акты сдачи-приёмки и схемы с несуществующим программным обеспечением.

Четыре типовых сценария для IT-компании:

Государственный контракт с завышенными часами разработки. Акты сдачи-приёмки подписаны, деньги получены, но фактический объём работ значительно меньше заявленного. Следствие устанавливает это через экспертизу кода и показания сотрудников.
SaaS-продукт, не функционирующий в заявленном объёме. Клиент (особенно государственный) оплатил лицензии, система не работает в полном объёме — при определённых обстоятельствах это квалифицируется как хищение путём обмана.
Схема с подконтрольными субподрядчиками. IT-компания выводит деньги через подставные технические организации — классическая схема, квалифицируемая по статье 159 совместно со статьёй 199 УК РФ.
Агрессивный маркетинг с заведомо ложными характеристиками продукта. Актуально для стартапов: если инвестор докажет, что ему были предоставлены заведомо ложные данные о технологии, возникает риск по статье 159.4 (мошенничество в сфере предпринимательской деятельности).

⚠ Типичная ошибка

Директора IT-компании убеждены, что договор и подписанные акты защищают от уголовного преследования. На практике следствие оценивает не факт подписания документов, а реальное соответствие выполненных работ заявленному объёму. Подписанный акт — не иммунитет.

Для собственника и директора ключевой инструмент превентивной защиты — аудит договорной базы с государственными заказчиками и крупными корпоративными клиентами. Отдельного внимания требуют договоры, где стоимость определяется в часах: такие договоры требуют системы учёта рабочего времени, выдерживающей проверку следствия.

Кейс 1 · 2024 · IT-аутсорсинг

Директор IT-компании, Сибирский федеральный округ, выручка 180 млн ₽

Триггер

Государственный заказчик заявил о несоответствии сданной системы техническому заданию. Следственный комитет возбудил дело по части 4 статьи 159 УК РФ; в офисе проведён обыск, изъяты серверы и рабочие станции разработчиков.

Результат

Дело прекращено на стадии предварительного следствия. Защита доказала соответствие сданного кода требованиям ТЗ через независимую техническую экспертизу; следствие не смогло установить умысел на хищение.

Какой налоговый риск по статье 199 УК РФ грозит IT-компании в 2026 году?

Уголовная ответственность за уклонение от уплаты налогов (статья 199 УК РФ) наступает при недоимке свыше 18,75 млн рублей за три финансовых года подряд — это порог крупного размера для части первой. Особо крупный размер (часть вторая) — свыше 56,25 млн рублей; санкция — до 6 лет лишения свободы. IT-компании попадают под этот состав не реже, чем торговые или производственные предприятия, несмотря на налоговые льготы для аккредитованных IT-организаций.

Специфические IT-риски по статье 199 УК РФ связаны с четырьмя сценариями:

Схема «IT-льгота + реальный бизнес». Компания использует пониженную ставку страховых взносов (7,6%) и льготную ставку налога на прибыль (0% при соблюдении условий), не выполняя требования аккредитации — в частности, по доле выручки от IT-деятельности.
Вывод через иностранные юрисдикции. Роялти, лицензионные платежи, платежи за техническую поддержку в пользу офшорных структур — классический объект налоговых доначислений, перерастающих в уголовное дело.
Агрессивная оптимизация через ИП-разработчиков. Схема «самозанятые вместо штата» при фактических признаках трудовых отношений признаётся ФНС дроблением бизнеса; по совокупности недоимка может превысить уголовный порог.
Фиктивные контрагенты. Оплата «технического» субподряда в адрес организаций без реальной деятельности — доказывается через встречные проверки ФНС и анализ банковских операций.

// Примечание

ФНС направляет материалы в Следственный комитет после вступления в силу решения по налоговой проверке, если недоимка не погашена. Срок — в течение 10 рабочих дней. Это означает, что у компании есть «окно» между получением акта проверки и передачей материалов в СК — период, в который защита наиболее эффективна.

Субъект преступления по статье 199 УК РФ — директор и главный бухгалтер (при наличии умысла). Собственник, не занимающий должностей, также может быть привлечён как организатор или соучастник, если следствие докажет его участие в разработке схемы. Согласно позиции Пленума Верховного суда РФ № 48 от 26 ноября 2019 года «О практике применения судами законодательства об ответственности за налоговые преступления», при оценке умысла суд учитывает осведомлённость директора об используемых схемах.

Подробнее о «дорожной карте» ФНС → СК и о том, как выстроить защиту на каждом её этапе, читайте в материале об уголовно-правовом аудите бизнеса.

✓ Что подготовить по налоговому риску

Подтверждение соответствия критериям IT-аккредитации (доля IT-выручки ≥ 70%)
Экономическое обоснование лицензионных платежей в пользу иностранных структур
Трудовые договоры или договоры ГПХ с разработчиками — без признаков переквалификации
Досье на каждого ключевого контрагента: реальность деятельности, наличие ресурсов

Чем опасна статья 272 УК РФ для разработчиков и DevOps-инженеров?

Статья 272 УК РФ о неправомерном доступе к охраняемой компьютерной информации — наиболее специфичный для IT-отрасли состав. Санкция части первой — штраф до 200 000 рублей или лишение свободы до 2 лет. Части третья и четвёртая (использование служебного положения, группа лиц, тяжкие последствия) — до 5 и 7 лет соответственно. Ключевой элемент состава — «неправомерность» доступа, и именно здесь сосредоточена основная работа защиты.

Пять типовых ситуаций, в которых разработчик оказывается под риском уголовного преследования:

Доступ к продуктивной среде клиента после завершения контракта. Учётные данные не были отозваны; разработчик вошёл «посмотреть» — это доступ без права доступа.
Копирование базы данных клиентов перед увольнением. Даже если данные использовались для «личных целей», это уголовное дело с реальным потерпевшим.
Использование учётных данных коллеги. Любой доступ с чужими кредентами квалифицируется как неправомерный, независимо от добросовестности намерений.
Пентест без письменного разрешения. Тестирование безопасности систем клиента без оформленного письменного разрешения формально подпадает под статью 272 УК РФ.
Сохранение доступа к корпоративным системам после увольнения. Администратор уволен, но VPN-сертификат действителен ещё три месяца; любое соединение — потенциальное уголовное дело.

⚠ Типичная ошибка

DevOps-инженеры и системные администраторы недооценивают риск статьи 272 УК РФ, считая, что «ничего не украли». Следствие не требует доказывать цель хищения — достаточно доказать факт неправомерного доступа и наступление любых последствий: уничтожение, блокирование, модификацию или копирование информации.

Для IT-компании как работодателя ключевая мера — регламент управления доступом (Access Management Policy): немедленный отзыв учётных данных при увольнении, письменное оформление пентестов, раздельные учётные записи для продуктивной и тестовой сред. Этот регламент одновременно защищает компанию как потенциальную жертву и сотрудников как потенциальных подозреваемых.

Что взять на допрос и как вести себя при изъятии серверов — подробный регламент доступен по кнопке «Красная кнопка 24/7».

Сервер изъят. Что делать в первые 24 часа?

Выемка серверов и ноутбуков в IT-компании — стандартная практика СК. После изъятия у стороны защиты есть ограниченное время, чтобы зафиксировать нарушения следователя и заявить ходатайства. Промедление закрывает эту возможность.

Красная кнопка 24/7 → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Какую угрозу несут статьи 146 и 183 УК РФ для IT-компании?

Статья 146 УК РФ (нарушение авторских и смежных прав) и статья 183 УК РФ (незаконное получение и разглашение коммерческой тайны) — два менее очевидных состава, которые регулярно применяются в IT-отрасли. По статье 146 порог крупного ущерба для части второй — свыше 100 000 рублей; санкция — до 2 лет лишения свободы. По статье 183 части второй (незаконное разглашение) — до 3 лет, части третьей (тяжкие последствия) — до 5 лет.

Статья 146 УК РФ. Актуальные риски для IT-компании:

Использование иностранного ПО после истечения или прекращения лицензии. Вендор подаёт заявление — уголовное дело возбуждается по заявлению потерпевшего.
Включение open-source компонентов с лицензиями GPL или AGPL в проприетарный продукт без соблюдения условий лицензии. Это нарушение авторских прав правообладателя open-source.
Распространение клиентам продукта, содержащего нелицензионные компоненты. Квалифицируется как «распространение» — более строгая санкция, чем «использование».

Статья 183 УК РФ. Применяется в двух типичных ситуациях:

Сотрудник уволился и унёс клиентскую базу, исходный код или архитектурные документы конкурентам. Ответственность несёт уволенный сотрудник; компания — потерпевшая сторона.
Разработчик передаёт техническую документацию заказчика третьему лицу в рамках аутсорсинга. Ответственность несёт разработчик и IT-компания-работодатель, если она систематически допускала такие передачи.

// Примечание

Режим коммерческой тайны по Федеральному закону № 98-ФЗ «О коммерческой тайне» необходимо оформить до инцидента. Если перечень сведений, составляющих коммерческую тайну, не утверждён и не доведён до сотрудников под подпись, состав статьи 183 УК РФ не образуется — нет предмета тайны.

Согласно позициям, изложенным в Верховном суде РФ при рассмотрении дел по интеллектуальным составам, ключевым элементом доказывания является установление размера ущерба. В IT-сфере это особенно сложно: стоимость программного обеспечения определяется через экспертизу, и именно результат экспертизы часто становится основанием для переквалификации состава или прекращения дела.

Кейс 2 · 2025 · SaaS-разработка

Технический директор IT-компании, Центральный федеральный округ, выручка 90 млн ₽

Триггер

Бывший сотрудник обратился в полицию с заявлением о незаконном использовании компании его кода в коммерческом продукте. Следствие возбудило дело по части 2 статьи 146 УК РФ; ущерб оценивался потерпевшим в 4 млн рублей.

Результат

Дело прекращено за отсутствием состава преступления. Защита доказала, что код был написан в рамках трудовых обязанностей и исключительные права принадлежат работодателю согласно статье 1295 ГК РФ. Техническому директору обвинение предъявлено не было.

Матрица рисков: какой состав УК угрожает вашей роли в IT-компании

Уголовные риски в IT-компании распределяются неравномерно по должностям. Одно и то же событие — например, обыск в офисе — затрагивает директора, главного бухгалтера и разработчика принципиально по-разному. Понимание этой дифференциации определяет стратегию превентивной защиты.

Роль	Основной состав	Типичный триггер	Первоочередная мера
Собственник / бенефициар	Ст. 159, 199 УК РФ	Схема с подконтрольными контрагентами	Аудит корпоративной структуры
Генеральный директор	Ст. 159, 199, 201 УК РФ	Налоговая проверка / госконтракт	Уголовно-правовой аудит + регламент при обыске
Главный бухгалтер	Ст. 199, 199.1 УК РФ	Доначисления ФНС свыше порога	Анализ налоговой структуры
Технический директор	Ст. 146, 272 УК РФ	Претензии по ИС / доступ к данным	Аудит лицензионной базы и Access Policy
Разработчик / DevOps	Ст. 272, 183 УК РФ	Доступ к данным / утечка	Чёткие регламенты доступа + NDA
Менеджер по продажам	Ст. 159, 204 УК РФ	Переговоры о «решении вопроса»	Антикоррупционный регламент

Частая ошибка директора — игнорировать уголовные риски технического персонала. На практике разработчик, ставший свидетелем и давший показания против компании, создаёт доказательную базу по налоговому или мошенническому составу. Регламент взаимодействия сотрудников со следствием — часть уголовно-правового комплаенса, а не только личная защита директора.

Экономика превентивных мер: уголовно-правовой аудит стоит в разы меньше, чем защита по возбуждённому делу. При годовой выручке IT-компании от 100 млн рублей стоимость следственных действий (изъятие серверов, простой бизнеса, гонорар адвоката по уголовному делу) измеряется десятками миллионов рублей. Аудит устраняет наиболее явные точки риска до того, как ими воспользуется следствие.

Подробный обзор услуги — на странице уголовно-правового аудита бизнеса. Актуальные позиции ВС РФ по экономическим составам публикуются на сайте vsrf.ru; тексты норм — на consultant.ru.

📋 Чек-лист уголовных рисков IT-компании по 5 составам

Таблица с конкретными триггерами, порогами и первоочередными мерами для каждой роли — собственник, директор, главбух, разработчик, CTO.

Напишите «IT-риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🛡️

Направления практики по теме

Уголовно-правовой аудит бизнеса — анализ рисков до возбуждения дела
Красная кнопка 24/7 — экстренная помощь при обыске и изъятии

Q.01 Какие уголовные риски наиболее опасны для директора IT-компании?

Директор IT-компании несёт наибольший уголовный риск по статье 199 УК РФ (уклонение от уплаты налогов) и статье 159 УК РФ (мошенничество). По статье 199 уголовная ответственность наступает при налоговой недоимке свыше 18,75 миллиона рублей за три года — именно директор и главный бухгалтер признаются субъектами преступления. По статье 159 ключевой риск — схемы с фиктивными контрагентами или завышением стоимости разработки в государственных контрактах. Порог крупного ущерба по части третьей — свыше 250 000 рублей, по части четвёртой — свыше 1 миллиона рублей. Превентивная мера — уголовно-правовой аудит договорной базы и налоговой структуры до начала проверки ФНС.

Q.02 Что грозит разработчику за неправомерный доступ к данным?

Разработчику грозит ответственность по статье 272 УК РФ за неправомерный доступ к компьютерной информации. Санкция по части первой — штраф до 200 000 рублей или лишение свободы до двух лет. Если деяние совершено группой лиц или с использованием служебного положения (часть третья), срок возрастает до четырёх лет. На практике статья применяется к разработчикам, которые без санкции скопировали базы данных клиента, получили доступ к продуктивной среде в нерабочее время или использовали учётные данные уволенного сотрудника. Доказательная база — логи доступа, git-история, дампы трафика. Защита строится на оспаривании факта «неправомерности»: наличие должностной инструкции, служебного задания или письменного поручения существенно меняет квалификацию.

Q.03 Как уголовная защита руководителя IT-компании отличается от корпоративной?

Уголовная защита директора IT-компании направлена на исключение личной уголовной ответственности физического лица, тогда как корпоративная защита ориентирована на имущественные интересы юридического лица. По уголовному делу директор — подозреваемый или обвиняемый с процессуальными правами по статье 46 УПК РФ и статье 47 УПК РФ: право на молчание, защитника с момента первого допроса, ознакомление с материалами. В корпоративном споре компания — сторона гражданского процесса без этих гарантий. Ключевое отличие на практике: в уголовном деле адвокат входит в дело с первого следственного действия и блокирует получение показаний, которые потом используются против директора; корпоративный юрист такой функции не выполняет.

Q.04 Что нужно сделать прямо сейчас, чтобы снизить уголовные риски IT-компании?

Первый шаг — провести уголовно-правовой аудит: проверить структуру налоговой нагрузки на соответствие критериям статьи 199 УК РФ, оценить договорную базу с контрагентами на предмет признаков мошенничества (статья 159 УК РФ), убедиться, что соглашения о неразглашении с сотрудниками охватывают актуальный перечень коммерческой тайны (статья 183 УК РФ). Второй шаг — разработать регламент действий при обыске и допросе: IT-компании подвергаются выемке серверов и изъятию ноутбуков, поэтому регламент должен включать порядок фиксации нарушений следователя. Третий шаг — назначить единую точку контакта с правоохранительными органами: все запросы силовых структур должны проходить через юридическую службу, а не через разработчиков или менеджеров.

Q.05 Может ли IT-компания получить уголовное дело из-за иностранного ПО?

IT-компания может получить уголовное дело по статье 146 УК РФ за нарушение авторских прав, если использует иностранное программное обеспечение без надлежащей лицензии. Порог крупного ущерба для части второй — свыше 100 000 рублей. В условиях ухода зарубежных вендоров с российского рынка риск возникает, когда компания продолжает использовать ПО после истечения лицензии или без официальных каналов оплаты. Дополнительный риск — передача такого ПО клиентам в составе собственного продукта: это квалифицируется как распространение и влечёт более строгую санкцию по части второй. Защита — документальное подтверждение законности каждого использованного компонента, включая open-source с ограничительными лицензиями.

Что делать сейчас?

IT-компания сталкивается одновременно с пятью уголовными составами — и каждый из них применяется по-разному в зависимости от роли. Выстроить защиту до возбуждения дела проще и дешевле, чем после. Ветров. 49 — Право·300 с 2017 года, более 1 000 проектов в уголовной защите бизнеса.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00