💻 Профили клиентов — IT Аналитика

Уголовные риски IT-компании: топ-5 составов (вариант 7)

Уголовная ответственность руководителей и сотрудников IT-компаний регулируется главой 28 Уголовного кодекса РФ (компьютерные преступления), а также общими экономическими составами — статьями 159, 183, 199. По состоянию на май 2026 года число уголовных дел в IT-секторе выросло: МВД фиксирует ежегодно свыше 50 000 возбуждённых дел по статьям 272–274 УК РФ. Без понимания конкретных составов руководитель и разработчик не могут оценить собственные риски и принять превентивные меры.

Получите карту уголовных рисков для вашей IT-компании — бесплатно в Telegram.

Получить карту рисков → WhatsApp

КЛ

Ксения Лебедева

Аналитик · следственные действия · УПК

Опубликовано 15 мая 2026 Обновлено 15 мая 2026 18 мин. чтения

50 000 дел/год

Возбуждено по ст. 272–274 УК РФ
(МВД РФ, 2024)

5 лет

Максимальный срок по ч. 3 ст. 272 УК РФ
(группа лиц)

18,75 млн ₽

Порог крупного размера
по ст. 199 УК РФ (ч. 1)

100 млн ₽

Порог уголовной ответственности
по ст. 193 УК РФ (валюта)

Кто такой «IT-руководитель» в логике уголовного дела?

Следствие воспринимает IT-компанию не как технологический бизнес, а как субъект хозяйственной деятельности с конкретными физическими лицами на должностях директора, технического директора, CTO и главного бухгалтера. Уголовная ответственность юридического лица в России не предусмотрена — под удар всегда попадают люди, а не организация как таковая. Это принципиальная особенность, которую многие руководители IT-компаний недооценивают, полагая, что «корпоративный щит» защищает от личной ответственности.

Типичная ошибка СТО и технических директоров — считать себя вне зоны уголовного риска, поскольку они «не подписывали финансовые документы». Однако статьи 272 и 273 УК РФ прямо распространяются на лиц, выполняющих технические функции: именно они создают, модифицируют и эксплуатируют программный код. Следствие устанавливает умысел через переписку, техническую документацию и показания коллег.

Три роли с наибольшим уголовным риском в IT-компании: генеральный директор (экономические составы, налоговые преступления, мошенничество); CTO / технический директор (компьютерные составы, вредоносный код, неправомерный доступ); разработчик (статья 273 УК РФ при создании потенциально деструктивного кода). Главный бухгалтер несёт самостоятельный риск по статьям 199 и 199.1 УК РФ.

✓ Важно

Уголовная ответственность в IT-секторе носит персональный характер: статьи 272–274 УК РФ применяются к физическим лицам вне зависимости от их корпоративного статуса. Номинальный директор не освобождён от ответственности — напротив, именно он первым попадает в орбиту следствия при отсутствии реальных полномочий.

Состав 1: в каких случаях IT-компании предъявляют статью 272 УК РФ?

Статья 272 Уголовного кодекса РФ устанавливает ответственность за неправомерный доступ к охраняемой компьютерной информации, повлёкший её уничтожение, блокирование, модификацию или копирование. Уголовная ответственность наступает при наличии двух условий одновременно: доступ был неправомерным (не санкционированным владельцем информации) и повлёк один из перечисленных вредных последствий. Санкция по части 1 — до двух лет лишения свободы; по части 3, совершённой группой лиц, — до пяти лет.

В IT-практике эта статья возникает в трёх типовых сценариях. Сценарий «обиженный сотрудник»: уволенный разработчик сохраняет доступ к внутренним системам компании и скачивает базу клиентов или кодовую базу. Потерпевшей стороной выступает бывший работодатель; заявление в полицию — стандартный инструмент корпоративных конфликтов. Сценарий «нечёткие права доступа»: сотрудник в рамках своей роли получает доступ к данным за пределами своих должностных полномочий. Формально доступ был «разрешён» технически, но выходил за рамки трудового договора — следствие квалифицирует это как неправомерный доступ. Сценарий «пентест без договора»: специалист по информационной безопасности проводит тестирование инфраструктуры заказчика без надлежащим образом оформленного письменного разрешения.

⚠ Типичная ошибка

Пентест-команды часто работают по устной договорённости или на основании переписки в мессенджере. Такое разрешение не защищает от уголовного преследования по статье 272 УК РФ: единственный безопасный вариант — письменный договор с точным описанием периметра, сроков и разрешённых методов воздействия.

Руководитель IT-компании несёт ответственность по статье 272 УК РФ, если он давал указания на получение несанкционированного доступа либо знал о действиях подчинённых и не пресёк их. Следствие устанавливает это через электронную переписку, задачи в системах управления проектами и показания членов команды.

Состав 2: когда код разработчика становится «вредоносной программой» по статье 273 УК РФ?

Статья 273 УК РФ криминализирует создание, распространение и использование компьютерных программ, заведомо предназначенных для уничтожения, блокирования, модификации, копирования информации или нейтрализации средств защиты. Ключевое слово — «заведомо»: следствие обязано доказать умысел. Санкция по части 1 составляет до четырёх лет лишения свободы, по части 2 при наступлении тяжких последствий — до пяти лет.

Риск для разработчиков возникает в нескольких неочевидных ситуациях. Двойное использование кода: скрипт для автоматизации тестирования может быть переквалифицирован как вредоносный инструмент, если он модифицирует данные без явного согласия пользователя. Инструменты парсинга: парсеры сайтов в ряде случаев трактуются как средства несанкционированного копирования информации. Exploit-код: написанный в образовательных целях или для доклада на конференции по безопасности без надлежащего оформления.

// Примечание

Верховный суд РФ в обзоре практики по делам о компьютерных преступлениях указывал: признак «заведомости» означает, что лицо осознавало деструктивный характер программы на момент её создания. Добросовестное заблуждение относительно назначения кода — обстоятельство, исключающее умысел, и должно быть задокументировано (техническое задание, внутренняя документация, переписка с заказчиком).

Среди IT-специалистов распространена иллюзия, что хранение такого кода в приватном репозитории исключает уголовный риск. Это не так: статья 273 УК РФ не требует факта причинения вреда — достаточно самого факта создания программы с заведомо деструктивными свойствами.

IT-компании, занимающиеся разработкой инструментов информационной безопасности или автоматизации, сталкиваются с наибольшим риском по статьям 272 и 273 УК РФ. Оценить, какие конкретные продукты компании попадают в зону риска, можно в ходе уголовно-правового аудита.

Ваши продукты могут иметь «двойное назначение»?

Уголовно-правовой аудит позволяет до начала проверки выявить, какие инструменты и практики создают риск по статьям 272–273 УК РФ, и устранить их заблаговременно. «Ветров. 49» — Право·300 с 2017 года, более 1000 проектов в сфере уголовной защиты бизнеса.

Запросить аудит → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Состав 3: как мошенничество по статье 159 УК РФ применяется к IT-проектам?

Мошенничество по статье 159 УК РФ — обман или злоупотребление доверием с целью хищения чужого имущества или приобретения права на него. В IT-секторе этот состав возникает при трёх обстоятельствах: завышение объёмов работ по договору разработки ПО; привлечение инвестиций на основе заведомо ложных финансовых показателей; продажа «несуществующего» программного обеспечения или лицензий. Уголовная ответственность по части 2 наступает при ущербе свыше 250 000 рублей, по части 3 — свыше 1 млн рублей, по части 4 — свыше 4,5 млн рублей (особо крупный размер, до 10 лет лишения свободы).

Пленум Верховного суда РФ № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» разъяснил: обман при мошенничестве — это сознательное сообщение заведомо ложных сведений либо умолчание о фактах, которые лицо было обязано сообщить. В IT-контексте особую опасность представляют ситуации, когда компания подписывает акты приёмки выполненных работ по программным продуктам, которые фактически не функционируют в соответствии с техническим заданием.

⚠ Типичная ошибка

Директора IT-компаний нередко закрывают акты приёмки работ «по договорённости» с заказчиком — без фактической сдачи работающего продукта. При смене руководства у заказчика или в ходе налоговой проверки такие акты становятся основой для обвинения в мошенничестве. Закрытый акт не равен доказательству реальной передачи результата работ.

Кейс 1 · 2024 · IT-аутсорсинг · Сибирский ФО

Генеральный директор IT-компании, выручка 180 млн ₽

Триггер

Заказчик заявил, что поставленная система не соответствует техническому заданию; возбуждено дело по части 3 статьи 159 УК РФ (ущерб 3,2 млн рублей). В ходе обыска изъяты серверы и рабочие документы.

Результат

Дело прекращено на стадии предварительного следствия. Защита представила техническую документацию, подтверждающую передачу работающего продукта, и переписку об изменении заказчиком требований уже после подписания ТЗ. Основания для возбуждения дела признаны недостаточными.

Состав 4: когда разработчики рискуют по статье 183 УК РФ о коммерческой тайне?

Статья 183 Уголовного кодекса РФ устанавливает ответственность за незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Санкция по части 1 — до двух лет лишения свободы; по части 3, если деяние повлекло тяжкие последствия или совершено из корыстной заинтересованности, — до пяти лет. Норма применима к IT-компаниям в двух направлениях: компания выступает потерпевшей (сотрудник уходит к конкуренту с базой данных) или обвиняемой (сотрудники получили доступ к данным клиента, составляющим его коммерческую тайну).

Ключевое условие применения статьи 183 УК РФ — наличие надлежащим образом введённого режима коммерческой тайны в соответствии с Федеральным законом № 98-ФЗ «О коммерческой тайне». Если компания не утвердила перечень сведений, составляющих коммерческую тайну, не ознакомила с ним сотрудников под подпись и не нанесла гриф на носители — информация не является коммерческой тайной в правовом смысле, и статья 183 УК РФ неприменима.

✓ Важно

Режим коммерческой тайны — это не просто формальность. Без правильно оформленных документов компания лишается возможности уголовного преследования бывшего сотрудника, унёсшего клиентскую базу или исходный код. Закон № 98-ФЗ требует четырёх условий: перечень сведений, гриф на носителях, ознакомление сотрудников под подпись, ограничение доступа по кругу лиц.

Для IT-компании особую ценность представляют: исходный код, алгоритмы, база клиентов, методологии разработки, данные о ценообразовании. Каждый из этих объектов требует отдельного документального оформления в рамках режима коммерческой тайны.

Утвердить перечень сведений, составляющих коммерческую тайну
Нанести гриф «Коммерческая тайна» на все носители с охраняемой информацией
Ознакомить каждого сотрудника с перечнем под роспись при трудоустройстве
Внести обязательства по неразглашению в трудовой договор и NDA
Настроить систему логирования доступа к критическим репозиториям и базам данных

Состав 5: какой налоговый риск создаёт IT-компания при работе с самозанятыми и иностранными контрактами?

Статья 199 Уголовного кодекса РФ устанавливает уголовную ответственность за уклонение от уплаты налогов при недоимке свыше 18,75 млн рублей за три финансовых года подряд (крупный размер) или свыше 56,25 млн рублей (особо крупный). IT-компании создают налоговый уголовный риск по трём типичным схемам: дробление бизнеса для сохранения права на IT-льготы; переквалификация договоров с самозанятыми в трудовые отношения; необоснованное применение пониженных страховых взносов при несоответствии критериям аккредитации.

ФНС направляет материалы в Следственный комитет по истечении 75 рабочих дней после вступления в силу решения по налоговой проверке, если недоимка не погашена. Это «дорожная карта» ФНС → СК, прописанная в статье 32 Налогового кодекса РФ. На практике IT-компании имеют от 6 до 18 месяцев с момента начала выездной налоговой проверки до возможного возбуждения уголовного дела — это окно для превентивных мер.

// Примечание

Особая осторожность необходима при работе с самозанятыми: если ФНС переквалифицирует их в штатных сотрудников, возникает недоимка по НДФЛ и страховым взносам. Налог на профессиональный доход (4–6%) против 43% совокупной нагрузки при трудовых отношениях — разница кратная, и именно она привлекает внимание налогового контроля.

Матрица рисков по налоговому составу для IT-компании:

Сценарий	Состав	Срок санкции	Порог
Уклонение через самозанятых	Ст. 199 УК РФ	до 2 лет (ч. 1) / до 6 лет (ч. 2)	18,75 / 56,25 млн ₽
Ложная аккредитация IT-компании	Ст. 159 УК РФ	до 5 лет (ч. 3)	от 1 млн ₽ ущерба
Незачисление валютной выручки	Ст. 193 УК РФ	до 3 лет (ч. 1) / до 5 лет (ч. 2)	100 / 150 млн ₽
Сокрытие имущества от взыскания	Ст. 199.2 УК РФ	до 3 лет (ч. 1) / до 7 лет (ч. 2)	от 2,25 млн ₽

После предъявления обвинения по части 2 статьи 199 УК РФ у стороны защиты есть, как правило, 48–72 часа до выбора судом меры пресечения. Промедление с привлечением адвоката в этот период существенно сужает процессуальные возможности защиты — в том числе возможность заявить о деятельном раскаянии и возместить ущерб до суда.

Ведёте расчёты с самозанятыми или зарубежными контрагентами?

Налоговый уголовный риск IT-компании часто накапливается незаметно — вплоть до выездной проверки ФНС. «Ветров. 49» специализируется на превентивной защите: аудит налоговых схем до претензий, а не после возбуждения дела.

«Красная кнопка» 24/7 → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Как IT-руководителю действовать при реальной угрозе уголовного преследования?

При получении первых признаков уголовного интереса к компании — запросов силовых структур, появления «свидетелей» из числа сотрудников, утечки информации о доследственной проверке — у руководителя есть конкретный порядок действий. Промедление на этом этапе сужает процессуальные возможности защиты: большинство ключевых решений по делу принимается следствием в первые 30 дней.

Важно понять разницу между статусами участника уголовного дела. Свидетель обязан давать показания (ст. 56 УПК РФ), но вправе не свидетельствовать против себя (ст. 51 Конституции РФ). Подозреваемый вправе отказаться от дачи показаний без каких-либо правовых последствий. Обвиняемый не обязан доказывать свою невиновность — бремя доказывания лежит на обвинении (ст. 14 УПК РФ).

✓ Важно

Доследственная проверка по статье 144 УПК РФ проводится в срок до 30 суток. В этот период следователь не вправе производить следственные действия (допросы, обыски) в полном объёме — только «проверочные». Это окно для подготовки защитной позиции.

Подробнее о порядке действий при обыске в офисе IT-компании и о том, как организовать защиту документов и серверов — в разделе материалов о следственных действиях.

Кейс 2 · 2025 · SaaS-платформа · Центральный ФО

Технический директор IT-стартапа, выручка 95 млн ₽

Триггер

ФСБ России инициировала проверку в рамках дела о предполагаемой передаче данных пользователей иностранным структурам; в отношении CTO начата доследственная проверка по статье 272 УК РФ. Проведён обыск по месту жительства с изъятием личного ноутбука.

Результат

В возбуждении уголовного дела отказано. Защита представила техническую архитектуру платформы, подтверждающую отсутствие трансграничной передачи персональных данных, и журналы аудита с независимой экспертизой. Изъятый ноутбук возвращён до истечения срока доследственной проверки.

📋 Карта уголовных рисков IT-компании: 5 составов

Одностраничная карта с порогами, санкциями и первыми действиями по каждому составу — для генерального директора, CTO и главного бухгалтера.

Напишите «IT-риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

💻

Направления практики по теме

Уголовно-правовой аудит бизнеса — выявление рисков по 5 составам до проверки
«Красная кнопка» 24/7 — экстренная юридическая помощь при обыске или задержании

Q.01 Несёт ли руководитель IT-компании личную уголовную ответственность за действия сотрудников?

Руководитель несёт личную уголовную ответственность, если следствие докажет его осведомлённость о противоправных действиях сотрудников и согласие на их совершение. По части 3 статьи 272 УК РФ ответственность наступает при организации группой лиц по предварительному сговору — максимальный срок до пяти лет лишения свободы. Директор попадает под удар прежде всего в трёх ситуациях: он лично подписал договор, ставший основанием для обвинения; он знал о нарушении и не пресёк его; он получил материальную выгоду от схемы. Даже при номинальном руководстве следствие нередко предъявляет обвинение именно директору как субъекту с юридически значимыми полномочиями.

Q.02 Как защитить личные активы при уголовном преследовании IT-компании?

Арест имущества физического лица в рамках уголовного дела против компании возможен при наличии оснований полагать, что оно использовалось для совершения преступления либо нажито преступным путём — статья 115 Уголовно-процессуального кодекса РФ. Защита активов состоит из нескольких последовательных шагов. До возбуждения дела: корпоративная структура без номинальных владельцев, документально подтверждённые источники личного имущества. После возбуждения: незамедлительное привлечение адвоката, инвентаризация имущественного массива и оценка оснований для оспаривания ареста. Ходатайство об отмене ареста подаётся в порядке статьи 125 Уголовно-процессуального кодекса РФ; при наличии нарушений процессуальной формы суд отменяет арест примерно в 30% случаев.

Q.03 С чего начать, если против директора IT-компании возбудили уголовное дело?

Первое действие при получении информации о возбуждении уголовного дела — фиксация процессуального статуса: подозреваемый, обвиняемый или свидетель. От статуса зависит объём прав и обязанностей по Уголовно-процессуальному кодексу РФ. Второе — заключение соглашения с адвокатом до первого допроса: следователь вправе допросить директора в течение 24 часов с момента задержания, а показания, данные без адвоката, могут использоваться против него. Третье — не уничтожать документы и переписку: воспрепятствование производству следственных действий квалифицируется как самостоятельное преступление либо отягчающее обстоятельство. Четвёртое — проверить наличие оснований для обжалования постановления о возбуждении дела в порядке статьи 125 Уголовно-процессуального кодекса РФ.

Q.04 Какой состав преступления чаще всего предъявляют разработчикам ПО?

Разработчикам программного обеспечения чаще всего предъявляют статью 273 Уголовного кодекса РФ — создание, распространение или использование вредоносных компьютерных программ. Под действие статьи может попасть тестовый код, написанный для пентеста без надлежащего оформления, а также компонент с двойным использованием — законным и потенциально деструктивным. Санкция по части 1 составляет до четырёх лет лишения свободы; по части 2, если последствием стал тяжкий вред, — до пяти лет. Доказать умысел следствию проще, чем кажется: достаточно установить, что разработчик понимал деструктивный характер кода и тем не менее его написал.

Q.05 Что грозит IT-компании за работу с иностранными заказчиками без соблюдения валютного законодательства?

Нарушение требований репатриации валютной выручки влечёт административную ответственность по статье 15.25 Кодекса об административных правонарушениях РФ в размере от 3 до 10% незачисленной суммы. Уголовная ответственность по статье 193 Уголовного кодекса РФ наступает при незачисленной или невозвращённой сумме свыше 100 миллионов рублей — санкция до трёх лет лишения свободы, при особо крупном размере (свыше 150 миллионов рублей) или группой лиц — до пяти лет. IT-компании с зарубежными контрактами дополнительно обязаны соблюдать ограничения, введённые с февраля 2022 года: ряд расчётов с нерезидентами требует разрешения Правительственной комиссии.

Уголовные риски IT-компании охватывают пять принципиально разных составов: компьютерные преступления (статьи 272–273 УК РФ), мошенничество (статья 159 УК РФ), нарушение режима коммерческой тайны (статья 183 УК РФ) и налоговые преступления (статьи 199, 199.2 УК РФ). Каждый из них требует отдельной системы превентивных мер — единого «шаблонного» решения не существует.

«Ветров. 49» специализируется на уголовной защите бизнеса с 2017 года. Рейтинг Право·300, Best Lawyers 2021, более 1000 проектов. Мы работаем с IT-компаниями на стадии доследственной проверки, следствия и суда — а также на этапе, когда признаков уголовного преследования ещё нет, но риски уже накапливаются.

Что делать сейчас?

Если вы руководите IT-компанией или являетесь её ключевым сотрудником — уголовные риски уже присутствуют в вашей деятельности. Вопрос только в том, насколько они управляемы. Право·300 · 1000+ проектов · конфиденциально.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить аудит рисков Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00