Финансовая отрасль в России впервые с начала года ворвалась в топ-3 самых атакуемых сфер по числу DDoS-атак. По данным аналитиков, в третьем квартале 2025 года таких инцидентов было в три раза больше, чем годом ранее. Чтобы разобраться, кто отвечает за подобные атаки и какие юридические последствия могут быть, Инфо24 пообщался с адвокатом Сергеем Жориным.
По словам адвоката, организаторов DDoS-атак на банки обычно привлекают по трем статьям УК РФ: о незаконном доступе к компьютерным данным, создании и распространении вредоносного софта и об атаках на критическую инфраструктуру вроде банковской.
«КоАП тут почти не в деле — это для самих банков, если они плохо защищены: штрафы по статьям 13.11 и 13.12 за утечки данных или невыполнение требований к безопасности. То есть: DDoS устроил злоумышленник — его привлекают по УК; банк „недозащитился“ или не выполнил регуляторные требования — к нему прилетает КоАП и банковский надзор», — пояснил Жорин.
Он добавил, что в 2025 году ситуация накаляется: правительство предложило новую статью в УК специально за DDoS — штрафы до 2 млн рублей или до 8 лет тюрьмы. Пока это находится на стадии обсуждения, но дела уже квалифицируют по старым нормам. С сентября обновили закон 187-ФЗ: банки как часть критической инфраструктуры должны усиливать защиту, а штрафы по КоАП выросли. Суды чаще дают реальные сроки за атаки на банки, групповые действия или большой ущерб, но одиночки с мелкими инцидентами могут отделаться штрафами или условкой.
Если DDoS идет из-за границы, банк сам не инициирует дело — это работа для полиции и регуляторов. Главное — правильно зафиксировать инцидент и ущерб, чтобы передать материалы. По гражданским искам за рубежом: теоретически можно нанять местных юристов и судиться в другой стране, если известен конкретный виновник. Но на практике, по словам Жорина, это редко получается.
«Международные гражданские иски по DDoS — экзотика, основной канал — уголовное преследование и международная правовая помощь», — прокомментировал адвокат.
Он отметил, что для системно значимого или просто крупного банка киберстрахование в 2025 году — рациональный элемент risk-management, учитывая рост частоты и мощности DDoS, ужесточение требований к защите информации и КИИ. Но это, по его мнению, не освобождает от необходимости инвестировать в инфраструктуру Anti-DDoS, выполнять требования федеральных законов и нормативов ЦБ. Для средних и мелких игроков вопрос, со слов Жорина, упирается в цену и объем покрытия.
