Киберпреступления в Грузии (კიბერდანაშაული) - это уголовно наказуемые деяния в сфере компьютерных данных и информационных систем, предусмотренные статьями 284-286 Уголовного кодекса Грузии (სისხლის სამართლის კოდექსი). По состоянию на май 2026 года санкции по этим статьям предусматривают лишение свободы на срок до 6 лет, а при квалифицирующих признаках - до 8 лет. Грузинское законодательство в этой сфере приведено в соответствие с Будапештской конвенцией о киберпреступности, ратифицированной Грузией в 2012 году.
Для IT-компаний, VASP, финтех-платформ и разработчиков программного обеспечения уголовные риски по ст. 284-286 УК Грузии возникают не только при очевидных нарушениях, но и в ситуациях, которые бизнес воспринимает как технические инциденты или коммерческие споры. Статья разбирает: составы трёх статей и их разграничение, квалифицирующие признаки, типичные сценарии уголовного преследования IT-бизнеса, процессуальные особенности расследования и стратегии защиты.
Что запрещают статьи 284, 285 и 286 УК Грузии?
Статья 284 УК Грузии устанавливает ответственность за несанкционированный доступ к компьютерным данным (კომპიუტერულ მონაცემებზე არასანქცირებული წვდომა). Статья 285 - за незаконное вмешательство в компьютерные данные и системы, включая их повреждение, удаление и блокирование. Статья 286 - за создание, распространение и использование вредоносного программного обеспечения. Базовые санкции по каждой статье - штраф или лишение свободы до 3 лет; квалифицированные составы предусматривают до 6-8 лет.
Три статьи образуют единый блок компьютерных преступлений в грузинском УК и применяются как самостоятельно, так и в совокупности с другими статьями - мошенничеством (ст. 180), нарушением неприкосновенности частной жизни (ст. 157), отмыванием денег (ст. 194).
Статья 284 - несанкционированный доступ. Объективная сторона - получение доступа к компьютерным данным или системе без разрешения правообладателя либо с превышением предоставленных полномочий. Ключевой элемент состава - отсутствие согласия. Это означает, что сотрудник компании, получивший доступ к данным клиентской базы за пределами своих должностных полномочий, формально подпадает под ст. 284, даже если действовал в интересах работодателя. Квалифицирующие признаки: причинение существенного вреда, совершение группой лиц, использование служебного положения.
Статья 285 - вмешательство в данные и системы. Охватывает более широкий круг действий: изменение, повреждение, удаление, блокирование данных, а также создание препятствий для функционирования информационных систем. Под действие статьи подпадают DDoS-атаки, несанкционированное шифрование данных (в том числе с целью вымогательства), удаление логов и резервных копий. Для финтех-компаний и VASP особенно значим квалифицирующий признак - причинение вреда критической инфраструктуре или финансовой системе.
Статья 286 - вредоносное ПО. Предмет преступления - программы или данные, специально созданные для несанкционированного доступа, повреждения или блокирования систем. Уголовная ответственность наступает уже за создание такого ПО, вне зависимости от факта его применения. Это создаёт риск для разработчиков инструментов тестирования безопасности (pentest-утилит), которые по функциональным признакам могут быть квалифицированы как вредоносные.
Частая ошибка компаний из РФ и СНГ, работающих в Грузии, - перенос привычной логики российского права, где уголовная ответственность по аналогичным статьям (ст. 272-274 УК РФ) традиционно применялась избирательно. В Грузии Прокуратура (საქართველოს პროკურატურა) активно использует ст. 284-286 в связке с финансовыми преступлениями, особенно в делах, связанных с криптоактивами и платёжными системами.
Какие квалифицирующие признаки увеличивают санкцию по ст. 284-286?
Квалифицирующие признаки по статьям 284-286 УК Грузии повышают максимальное наказание с 3 до 6 или 8 лет лишения свободы. Ключевые отягчающие обстоятельства: совершение деяния группой лиц по предварительному сговору, использование служебного положения, причинение существенного имущественного вреда (порог - свыше 3 000 лари по практике грузинских судов), а также направленность против объектов критической инфраструктуры - банков, платёжных систем, государственных информационных ресурсов.
Для VASP и финтех-платформ наиболее опасен признак «причинение вреда финансовой системе». Грузинские суды трактуют его широко: под него подпадают случаи, когда несанкционированный доступ к данным клиентов платёжной платформы повлёк блокировку транзакций или утечку финансовой информации. Национальный банк Грузии (ეროვნული ბანკი, NBG) вправе направить в Прокуратуру материалы о нарушениях, выявленных в ходе надзора, - это один из типичных триггеров возбуждения дела.
Неочевидный риск для IT-компаний - признак «использование служебного положения». Он применяется не только к сотрудникам, но и к руководителям компаний, которые санкционировали действия, впоследствии квалифицированные как несанкционированный доступ к данным третьих лиц. Директор или CTO, давший указание о сборе данных конкурента через автоматизированный парсинг, может быть привлечён к ответственности именно по этому признаку.
Компании из Тбилиси (зима 2024-2025) помогли прекратить уголовное преследование по ст. 284 УК Грузии на досудебной стадии. Дело было возбуждено в связи с тем, что разработчик компании получил доступ к тестовой среде клиента за пределами согласованного технического задания. После подготовки правовой позиции и переговоров с Прокуратурой производство было прекращено в связи с отсутствием умысла и малозначительностью деяния.
Чтобы получить чек-лист требований по кибербезопасности и уголовным рискам для IT-компаний малого бизнеса в Грузии, отправьте запрос на info@interlawfirm.ru
Квалификация деяния по той или иной части статьи зависит от конкретных обстоятельств: характера данных, наличия умысла, последствий для потерпевшего. Оценка этих обстоятельств на ранней стадии определяет стратегию защиты.
Получили уведомление о проверке или вызов на допрос по делу о киберпреступлении?Если Прокуратура Грузии или следственный орган инициировали проверку деятельности вашей IT-компании или VASP по признакам ст. 284-286 УК - промедление с выработкой правовой позиции сужает возможности защиты. Юристы Inter Law Firm проанализируют основания проверки, оценят риски квалификации и подготовят стратегию защиты с учётом грузинского уголовно-процессуального законодательства.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как расследуются киберпреступления в Грузии: процессуальные особенности
Расследование дел по ст. 284-286 УК Грузии ведёт Главное управление по расследованию киберпреступлений Прокуратуры Грузии совместно с Агентством кибербезопасности (კიბერუსაფრთხოების ბიურო). Уголовно-процессуальный кодекс Грузии (სისხლის სამართლის საპროცესო კოდექსი) предоставляет следствию широкие полномочия: обыск серверов и рабочих станций, изъятие электронных носителей, получение данных от провайдеров и облачных сервисов в ускоренном порядке - в течение 24-48 часов при наличии судебного разрешения.
Для бизнеса критически важно понимать: в Грузии обыск в офисе IT-компании может быть проведён на основании постановления суда первой инстанции без предварительного уведомления. Срок предварительного расследования по делам о киберпреступлениях - до 2 лет с возможностью продления. На практике большинство дел завершается либо прекращением на досудебной стадии (при наличии сильной правовой позиции), либо передачей в суд в течение 6-12 месяцев.
Что подготовить при первых признаках уголовного интереса к компании:
- Зафиксировать и сохранить все внутренние политики доступа к данным и журналы авторизации
- Собрать договорную документацию, подтверждающую согласие на обработку данных
- Подготовить техническую документацию по архитектуре систем и разграничению прав доступа
- Проверить наличие и актуальность политики информационной безопасности (Information Security Policy)
- Убедиться, что сотрудники проинструктированы о порядке взаимодействия со следователями
В отличие от российской практики, где следствие нередко затягивается на годы, грузинская Прокуратура работает в более сжатых процессуальных рамках. Это означает, что окно для выработки эффективной защитной позиции - первые 2-4 недели после возбуждения дела или начала проверки.
Особенность грузинского уголовного процесса - состязательная модель (адверсарная система), близкая к англо-американской. Прокурор и защита представляют доказательства суду на равных основаниях. Это принципиально отличается от российской инквизиционной модели и означает, что качество доказательной базы защиты имеет прямое влияние на исход дела уже на стадии судебного разбирательства в Городском суде Тбилиси (თბილისის საქალაქო სასამართლო).
Какие сценарии уголовного преследования наиболее типичны для IT-бизнеса и VASP в Грузии?
Для IT-компаний и VASP в Грузии существует несколько типовых сценариев, при которых деятельность компании может быть квалифицирована по ст. 284-286 УК. Первый - инцидент с данными клиентов, когда утечка или несанкционированный доступ к клиентской базе становится основанием для возбуждения дела по жалобе пострадавшего или по инициативе NBG. Второй - корпоративный конфликт, при котором бывший партнёр или сотрудник использует уголовный механизм как инструмент давления. Третий - проверка VASP со стороны NBG, в ходе которой выявляются нарушения в системах хранения и обработки данных клиентов.
Сценарий 1: Инцидент с данными. Утечка персональных данных клиентов платёжной платформы или криптобиржи автоматически привлекает внимание NBG и Прокуратуры. Если следствие установит, что утечка стала следствием недостаточных мер защиты, а не внешней атаки, ответственность может быть возложена на руководство компании по ст. 285 УК (вмешательство в данные) в совокупности с нарушением законодательства о персональных данных. Штраф за нарушение Закона о персональных данных Грузии (2011) составляет до 5 000 лари для юридического лица; уголовная ответственность физических лиц - отдельно.
Сценарий 2: Корпоративный конфликт. Уголовная жалоба по ст. 284 УК - распространённый инструмент в корпоративных спорах в Грузии. Бывший партнёр или миноритарный акционер, утративший доступ к корпоративным системам после выхода из бизнеса, может заявить о «несанкционированном изменении данных» или «блокировке доступа». Грузинские суды в таких делах тщательно исследуют корпоративную документацию - устав, решения общего собрания, трудовые договоры - для разграничения законного управленческого решения и уголовно наказуемого деяния.
Сценарий 3: Pentest и Bug Bounty. Специалисты по информационной безопасности, проводящие тестирование на проникновение без надлежащего письменного разрешения заказчика, подпадают под ст. 284 УК Грузии. Устная договорённость или переписка в мессенджере не являются достаточным основанием для исключения уголовной ответственности. Письменный договор с чётко описанным scope работ - обязательное условие для любого pentest-проекта в грузинской юрисдикции.
Сценарий 4: Автоматизированный сбор данных. Парсинг публично доступных данных с сайтов конкурентов или агрегаторов может быть квалифицирован по ст. 284 УК, если владелец ресурса установил технические ограничения (robots.txt, CAPTCHA, rate limiting) и заявил о нарушении. Грузинская судебная практика по этому вопросу формируется, однако уже есть прецеденты привлечения к ответственности за массовый автоматизированный доступ к защищённым ресурсам.
Компании из Батуми (лето 2025) помогли выстроить систему внутреннего комплаенса по требованиям ст. 284-286 УК Грузии после того, как NBG инициировал проверку в связи с инцидентом безопасности. Разработанная политика разграничения доступа и процедура реагирования на инциденты позволила компании пройти повторную проверку NBG без замечаний и избежать передачи материалов в Прокуратуру.
Чтобы получить чек-лист требований NBG по информационной безопасности для VASP и финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Описанные сценарии показывают, что уголовный риск по ст. 284-286 УК возникает не только при очевидных нарушениях. Оценка конкретной ситуации требует анализа технических обстоятельств в связке с уголовно-правовой квалификацией.
Ваша компания работает с данными клиентов или проводит тестирование безопасности в Грузии?Если NBG запросил документы по инциденту безопасности или партнёр угрожает уголовной жалобой - каждый день без правовой позиции сужает возможности защиты. Юристы Inter Law Firm проведут уголовно-правовой аудит деятельности компании, оценят риски квалификации по ст. 284-286 УК и подготовят комплаенс-документацию для снижения уголовных рисков.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Стратегии защиты по делам о киберпреступлениях в Грузии
Эффективная защита по делам о киберпреступлениях в Грузии строится на трёх направлениях: оспаривание субъективной стороны (умысла), исключение доказательств, полученных с нарушением процессуальных требований, и использование досудебных механизмов прекращения дела. Грузинский УПК предусматривает институт медиации и прекращения дела в связи с примирением сторон (ст. 168 УПК Грузии) - он применим по ст. 284-285 при отсутствии тяжких последствий.
Направление 1: Оспаривание умысла. Составы ст. 284-286 УК Грузии - умышленные. Доказательство отсутствия умысла (например, технической ошибки, добросовестного заблуждения относительно наличия разрешения) является основанием для прекращения дела или оправдательного приговора. На практике это требует технической экспертизы и детального анализа переписки, технических заданий и внутренних политик компании.
Направление 2: Процессуальные нарушения. Доказательства, полученные с нарушением требований УПК Грузии (в том числе без надлежащего судебного разрешения на обыск или изъятие данных), признаются недопустимыми. Грузинские суды последовательно применяют это правило - в отличие от российской практики, где суды нередко принимают доказательства, полученные с процессуальными нарушениями.
Направление 3: Досудебное урегулирование. Прокуратура Грузии активно использует институт процессуального соглашения (plea agreement) - аналог досудебного соглашения о сотрудничестве. По делам о киберпреступлениях, не связанным с тяжкими последствиями, процессуальное соглашение позволяет существенно снизить санкцию или заменить лишение свободы штрафом. Переговоры с Прокуратурой на этой стадии - стандартная практика грузинской уголовной защиты.
Матрица решений по ст. 284-286 УК Грузии:
Ситуация «инцидент безопасности без умысла, ущерб до 3 000 лари»: инструмент - досудебное урегулирование + примирение сторон; срок - 1-3 месяца; затраты - от 3 000-5 000 лари на юридическое сопровождение; риск - минимальный при наличии документации.
Ситуация «корпоративный конфликт, уголовная жалоба бывшего партнёра»: инструмент - оспаривание умысла + корпоративная документация; срок - 3-6 месяцев; затраты - от 5 000-10 000 лари; риск - средний, зависит от качества корпоративных документов.
Ситуация «проверка NBG, передача материалов в Прокуратуру»: инструмент - комплаенс-аудит + процессуальное соглашение; срок - 6-12 месяцев; затраты - от 10 000-20 000 лари; риск - высокий без предварительной подготовки.
Направления практики по теме
- Уголовная защита бизнеса в Грузии - защита по делам о киберпреступлениях, финансовых и корпоративных преступлениях
- Санкционный комплаенс и регуляторные риски - комплаенс для VASP и финтех-компаний в Грузии
- Финтех и лицензирование NBG - сопровождение лицензионных процедур и взаимодействие с регулятором
Частые вопросы
1. Что грозит компании, если сотрудник без разрешения получил доступ к данным клиента?
Если сотрудник получил доступ к данным клиента без разрешения или с превышением полномочий, компания как юридическое лицо может быть привлечена к административной ответственности по Закону о персональных данных Грузии (штраф до 5 000 лари), а сотрудник - к уголовной ответственности по статье 284 УК Грузии. Уголовная ответственность юридических лиц в Грузии предусмотрена статьёй 106-1 УК и применяется при доказанности того, что деяние совершено в интересах или от имени организации. На практике Прокуратура Грузии чаще преследует физических лиц - руководителей или сотрудников, - однако параллельное преследование компании возможно при наличии системного характера нарушений. Минимизировать риск позволяет наличие актуальной политики разграничения доступа и документированных процедур авторизации.
2. Является ли pentest-деятельность законной в Грузии без специальной лицензии?
Тестирование на проникновение (pentest) в Грузии не требует специальной государственной лицензии, однако является законным только при наличии письменного договора с заказчиком, в котором чётко определён scope работ - конкретные системы, временной период и допустимые методы. Устная договорённость или переписка в мессенджере не исключают уголовную ответственность по статье 284 УК Грузии. Грузинские суды оценивают наличие согласия по объективным критериям: письменный договор, техническое задание, акты выполненных работ. Отсутствие хотя бы одного из этих документов создаёт риск квалификации действий специалиста как несанкционированного доступа. Рекомендуемый минимум - письменный договор с приложением, описывающим scope, и страховое покрытие профессиональной ответственности.
3. Как грузинское законодательство о киберпреступлениях отличается от российского?
Грузинское законодательство о киберпреступлениях базируется на Будапештской конвенции и использует состязательную (адверсарную) модель уголовного процесса, тогда как российское право применяет инквизиционную модель. Практическое различие: в Грузии доказательства, полученные с нарушением процессуальных требований, последовательно исключаются судами, что создаёт реальные возможности для защиты. Санкции по статьям 284-286 УК Грузии сопоставимы со статьями 272-274 УК России, однако грузинская Прокуратура активнее применяет институт процессуального соглашения (plea agreement) - по российским меркам аналог досудебного соглашения о сотрудничестве, но с более широкой сферой применения. Ещё одно отличие: в Грузии уголовная ответственность юридических лиц по киберпреступлениям применяется на практике, а не только формально закреплена в законе.
4. Что делать в первые часы после обыска в офисе IT-компании?
В первые часы после обыска в офисе IT-компании в Грузии необходимо зафиксировать перечень изъятого имущества и данных в протоколе обыска, потребовать копию постановления суда, на основании которого проводится обыск, и немедленно уведомить юридического советника. Уголовно-процессуальный кодекс Грузии гарантирует право на юридическую помощь с момента начала любого следственного действия - статья 38 УПК. Сотрудники компании не обязаны давать объяснения следователю без присутствия адвоката. Изъятые серверы и носители информации могут быть возвращены по ходатайству защиты, если следствие не обоснует необходимость их удержания - срок рассмотрения такого ходатайства судом составляет до 5 рабочих дней. Промедление с привлечением защитника в первые 24-48 часов существенно сужает процессуальные возможности.
5. Применяется ли ст. 284-286 УК Грузии к действиям, совершённым за рубежом?
Статьи 284-286 УК Грузии применяются к деяниям, совершённым за рубежом, если их последствия наступили на территории Грузии - в соответствии с принципом территориальности, закреплённым в статье 4 УК Грузии. Это означает, что иностранная компания или физическое лицо, атаковавшие грузинскую платёжную систему или VASP с серверов за пределами Грузии, могут быть привлечены к уголовной ответственности по грузинскому праву. На практике экстрадиция применяется в рамках двусторонних договоров; Грузия имеет соглашения об экстрадиции с рядом государств. Для компаний, зарегистрированных в Грузии и использующих зарубежную инфраструктуру, риск уголовного преследования по грузинскому праву сохраняется в полном объёме вне зависимости от места физического нахождения серверов.
Статьи 284-286 УК Грузии формируют самостоятельный уголовно-правовой режим для IT-бизнеса и VASP, который существенно отличается от привычных российских аналогов - как по процессуальной модели, так и по практике применения. Уголовный риск возникает не только при очевидных нарушениях, но и в типовых бизнес-ситуациях: pentest без надлежащего договора, инцидент безопасности без документированных процедур, корпоративный конфликт с бывшим партнёром.
Юридическая фирма Inter Law Firm сопровождает клиентов в Грузии по вопросам уголовно-правовой защиты бизнеса, включая дела о киберпреступлениях. Мы можем помочь с оценкой уголовных рисков деятельности IT-компании или VASP, подготовкой комплаенс-документации, выработкой правовой позиции при проверке Прокуратуры или NBG, а также с защитой интересов в грузинских судах всех инстанций.
Чтобы получить чек-лист уголовно-правовых рисков для IT-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Нужна оценка уголовных рисков вашей IT-компании или VASP в Грузии?Юристы Inter Law Firm проведут правовой анализ деятельности компании с учётом требований ст. 284-286 УК Грузии и предложат стратегию снижения рисков. Без гарантий результата - с конкретным планом действий.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Георгий Мамуладзе, Управляющий партнёр, info@interlawfirm.ru 15 мая 2026 года