Расплата за DDoS: какую ответственность несут киберпреступники

Число нападений на IT-инфраструктуру ежегодно растёт. Вместе с тем увеличивается и ответственность за DDoS-атаки: законодательство ужесточается и в России, и за рубежом. Во многих странах злоумышленникам грозит уголовный срок. Где хакера могут отправить за решётку на 10-20 лет? За что наказывают с особой строгостью? Как может измениться законодательство нашей страны в следующем году? 

В статье разберём, какие санкции предусмотрены за DDoS-атаки в мире и России, и обсудим самые известные истории с привлечением злоумышленников к ответственности.  

Громкие киберпреступления последних лет: судебная практика

С января по сентябрь 2025 года в России было раскрыто 29% от общего количества преступлений в IT-сфере. Это значит, что лишь в трети случаев организаторов или исполнителей удалось установить и привлечь к уголовной ответственности. В статистику пресс-центра МВД России попадают все виды таких правонарушений — от мошенничества в интернете, фишинга и кражи данных до масштабных нападений на государственные системы. 

Отдельных данных по раскрываемости распределённых атак типа «отказ в обслуживании» в доступе нет. Часто заказчики нападения находятся за границей, используют ботнеты (сети заражённых устройств по всему миру), прокси-серверы и маскируют IP-адреса. Тем не менее, в России уже сложилась судебная практика по киберпреступлениям. 

В 2022-24 годы прошла серия задержаний политически мотивированных хактивистов — как одиночек, так и участников группировок, которые атаковали «Госуслуги», сайты банков, госкомпаний и провайдеров. В большинстве случаев суды назначали условные сроки в 2-3 года и крупные штрафы. 

Одними из самых резонансных стали:

• дело Евгения Котикова. Программист из Ростова-на-Дону весной 2022 года организовал серию DDoS-атак на сайты Министерства обороны и президента России. Ростовский областной суд приговорил хакера к 3 годам лишения свободы в колонии-поселении и оштрафовал на 800 000 рублей. Это был один из первых приговоров за DDoS по статье 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру РФ».
• дело Артёма Хорошилова. Научного сотрудника из Москвы в 2024 году задержала ФСБ по обвинению в DDoS-атаках на системы связи и банки данных. Он признал свою вину и находится под следствием.

За рубежом правоприменительная практика по DDoS сменилась намного раньше. В других странах часто привлекают к ответственности за такие киберпреступления, как управление ботнетами и продажу услуг по организации атак:

• В 2024 году в рамках операции под кодовым названием PowerOFF правоохранители 15 стран Евросоюза деактивировали несколько ботнетов и закрыли 27 сервисов для DDoS-атак. Во Франции и Германии арестовали трёх хакеров, которым грозит до 10 лет лишения свободы, и установили личности 300 их клиентов. В Нидерландах привлекли к ответственности четверых злоумышленников и 200 заказчиков. 
• В 2022 году в США суд на 2 года отправил в заключение оператора DDoS-сервиса Мэтью Гатрела. Он провёл более 200 000 атак по заказу клиентов, консультировал, как подобрать технику и обойти защиту. 

Сложнее вычислить создателей киберпреступных группировок, которые имеют иерархическую структуру и проводят масштабные операции. Самые известные:

• Anonymous и KillNet атакуют сайты органов власти и корпораций, 
• Lizard Squad — игровые серверы, 
• NoName057(16) — политические и финансовые институты,  
• BlackMatter занимаются вымогательством,
• APT31, или Zirconium атакуют сайты госорганов, логистические цепочки и похищают интеллектуальную собственность.

Статьи за DDoS и другие киберпреступления в России

Уголовная ответственность за киберпреступления, включая DDoS-атаки, прописана в нескольких статьях УК РФ. 

1. Ст. 274 УК РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей» (ЭВМ, основная статья за DDoS). 

Статья распространяется на неправомерные действия с данными и сетями. В общих случаях наказание — лишение свободы на срок до 5 лет, штраф до 500 тыс. рублей. Если же атака была совершена на критическую IT-инфраструктуру, санкции строже: 

• хакеру-одиночке грозит лишение или ограничение свободы на срок от 2 до 6 лет и штрафы до 1 млн руб.;
• члена организованной группировки, должностное лицо либо организатора нападения, повлекшего крупный ущерб, могут отправить за решётку на срок от 3 до 8 лет и запретить занимать профильные должности либо заниматься аналогичной деятельностью до 3 лет или бессрочно;
• за тяжкие последствия атаки срок заключения — от 5 до 10 лет.

2. Ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Злоумышленнику грозит лишение свободы на срок до 4 лет, участие в преступной группировке или причинение крупного ущерба может увеличить срок до 5-7 лет.

Отметим, что эта статья регламентирует и ответственность за создание ботнета, принцип работы которого основан на заражении устройств вредоносным ПО. 

3. Ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

Напрямую не относится к DDoS-атакам, но может применяться, если параллельно злоумышленники проникают в чужие системы и крадут или изменяют данные. Хакерам грозит условный или реальный срок от 2 до 7 лет и штрафы до 500 тыс. рублей. 

На практике эти статьи часто применяются совокупно.

В федеральных законах также обозначены обязанности операторов персональных данных и правовые основания для защиты от атак:

• ст. 19 ФЗ «О персональных данных» предписывает предотвращать DDoS-атаки. А если нападение произошло — сообщить о нём в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
• ст. 7,10.1, 15.1-15.3 ФЗ «Об информации, информационных технологиях и о защите информации» позволяют государству законно блокировать инфраструктуру, используемую хакером для проведения атаки, например, IP-адреса, домены, серверы. 

Кроме того, в четырёх приказах Федеральной службы по техническому и экспортному контролю (ФСТЭК) установлены требования по безопасности, выполнение которых помогает защититься от атак.

Номер приказа	Защиту каких систем регламентирует
17	Государственные информационные системы
239	Критическая инфраструктура
31	Автоматизированные системы управления производственными и технологическими процессами
159	Государственные IT-системы и значимые объекты критической инфраструктуры (КИИ)

Уголовную ответственность за DDoS могут ужесточить: до 8 лет тюрьмы и до 2 миллионов рублей штрафа 

Минцифры подготовило новый пакет антифрод-поправок, который устанавливает более строгие наказания за «целенаправленное воздействие», если оно привело к сбоям в работе IT-систем и причинило значительный ущерб. 

В УК РФ планируется ввести новую ст. 272.2 «Злостное воздействие на информационную систему, информационно-телекоммуникационную сеть, компьютерную информацию или сеть электросвязи». По ней хакеров могут отправить за решётку на срок до 8 лет, оштрафовать на сумму до 2 млн руб. и запретить занимать определённые должности до 3 лет. При этом за нападение на запрещённые российским законодательством ресурсы наказывать не будут. 

Сейчас законопроект находится на согласовании и может вступить в силу с 1 сентября 2026 года.

Наказание за организацию DDoS-атак в мире

Практически во всех развитых странах DDoS-атаки рассматриваются как серьёзное киберпреступление: 

• в США действует Computer Fraud and Abuse Act (CFAA) — федеральный закон о компьютерном мошенничестве и преступлениях. За DDoS-атаку могут отправить за решётку на срок до 10 лет за первое правонарушение и до 20 лет за повторное, а штрафы достигают сотен тысяч и даже миллионов долларов. Кроме того, пострадавшие могут подать в суд и взыскать убытки;
• в Великобритании согласно Computer Misuse Act 1990 максимальное наказание — до 10 лет тюрьмы, суммы штрафов не ограничены;
• в Евросоюзе обязательный документ — Директива о борьбе с киберпреступностью, согласно которой страны-члены ЕС должны ввести в национальное законодательство составы киберпреступлений. Хакеров лишают свободы не менее чем на 2 года, а участников организованной группировки — на 5 лет и более;
• во Франции и Германии в УК есть дополнительные статьи. Преднамеренное нарушение работы IT-систем наказывается лишением свободы до 3 лет, а если действовала преступная группа или атака затронула сервисы органов власти и важных предприятий — до 5 лет; 
• в Китае ещё строже — более 5 лет тюрьмы за тяжёлые правонарушения; 
• в Японии за нападение ботнета могут посадить на срок до 3 лет или оштрафовать на сумму до 500 000 иен.

Таким образом, DDoS-атаки объявлены вне закона практически во всех цивилизованных странах. Предусмотрены серьёзные наказания, особенно в США и Великобритании, где хакеров могут посадить на 10-20 лет. Корыстные мотивы, участие в преступной группировке, нападение на государственную инфраструктуру или причинение крупного ущерба почти всегда увеличивают сроки тюремного заключения. 

В России тоже наметилась тенденция к ужесточению наказаний. Но даже риск на годы оказаться в заключении не останавливает злоумышленников. Важно быть к готовыми к нападениям, актуализировать подходы к защите и использовать профессиональные antiDDoS-решения.