Верховный Суд РФ 5 марта 2026 по делу № 12-УД25-2-К6 уточнил пределы уголовной ответственности за внесение недостоверных сведений в медицинские информационные системы. Суд указал: само по себе внесение ложных данных в ЕГИСЗ/РМИС не образует состава по ч. 4 ст. 274.1 УК РФ, если критической информационной инфраструктуре (КИИ) не причинен вред, отсутствует неправомерный доступ и нет цели подорвать устойчивое функционирование системы.
| Параметр | Суть |
|---|---|
| Дата и документ | 5 марта 2026, кассационное определение СК по уголовным делам ВС РФ № 12-УД25-2-К6 |
| Кому важно | Медработникам, организаторам и посредникам в схемах фальшивых прививочных сертификатов, юристам медорганизаций и ИБ-специалистам ОКИИ |
| Ключевой вывод | Ложные записи в ЕГИСЗ/РМИС без реального вреда КИИ и без неправомерного доступа — это не ч. 4 ст. 274.1 УК РФ |
| Когда возможна ч. 4 ст. 274.1 УК РФ | При наличии реального вреда КИИ, неправомерного доступа/воздействия на КИИ и прямого умысла на подрыв ее устойчивого функционирования |
| Что не подпадает под 274.1 | Внесение ложных сведений уполномоченным пользователем при отсутствии сбоев/ущерба КИИ (система работает штатно) |
| Иные составы | Действия по подделке и сбыту сертификатов охватываются ч. 1 ст. 327 УК РФ; возможны иные составы (служебный подлог и др.) в зависимости от роли лица |
| Факты дела | Посредник находил покупателей фальшсертификатов; ложные записи в ресурс COVID-19 (часть ЕГИСЗ) вносила медсестра ФАП с санкционированным доступом; недостоверность затронула ~30 граждан; работа ресурса не нарушалась |
| Практический эффект | Квалификация по ч. 4 ст. 274.1 исключается как излишняя, если нет доказанного вреда КИИ и цели подорвать ее работу |
Содержание
Как формировалась прежняя практика
- Ложные данные в системе с признаком ОКИИ — значит утрачены достоверность, актуальность, целостность и полнота информации.
- Следовательно, нарушена безопасность обработки и хранения данных, пострадала целостность системы.
- Значит, причинен вред КИИ РФ; при служебном положении — усугубляющий признак.
- Итог — квалификация по ст. 274.1 УК РФ помимо подлога/подделки документов.
Позиция Верховного Суда РФ
- Медсестра имела санкционированный доступ в ЕГИСЗ для внесения сведений о вакцинированных; это и охватывалось умыслом посредника.
- Не установлено использование программ/компьютерной информации для неправомерного доступа либо воздействия на КИИ.
- Вывод о неправомерности доступа необоснован.
- Само по себе внесение недостоверных сведений не является преступным воздействием на КИИ по ч. 4 ст. 274.1 УК РФ, если КИИ не причинен вред.
- Доказательств реального вреда КИИ нет: ресурс COVID-19 работал в штатном режиме после внесения ложных записей.
- Информация о ~30 гражданах стала недостоверной, но ущерба самой ЕГИСЗ как объекту КИИ это не повлекло.
- Субъективная сторона по ч. 4 ст. 274.1 требует прямого умысла и цели подорвать устойчивость функционирования КИИ.
- Умысла воздействовать на КИИ не установлено: цель — подделка и сбыт сертификатов с QR-кодом ради прибыли.
- Действия посредника составляют часть преступления по ч. 1 ст. 327 УК РФ; квалификация по ч. 4 ст. 274.1 УК РФ подлежит исключению как излишняя.
Что это означает на практике
- Для защиты: требуйте доказательств реального вреда КИИ (сбои, блокировка, нарушение целостности/доступности), фактов неправомерного доступа и наличия цели подорвать устойчивость системы.
- Для обвинения: одной недостоверности записей недостаточно; необходимо показывать технические последствия и умысел на КИИ.
- Для медорганизаций: разграничивайте санкционированный и несакционированный доступ; усиливайте контроль за учетными записями и регламентами внесения данных.
- Квалификация: схемы с фейковыми прививочными сертификатами, как правило, охватываются ст. 327 УК РФ и смежными составами (при наличии признаков).
Ответы на вопросы
| Вопрос | Ответ |
|---|---|
| Достаточно ли факта внесения ложных данных в ЕГИСЗ для ч. 4 ст. 274.1 УК РФ? | Нет. Нужны вред КИИ, неправомерный доступ/воздействие и прямой умысел на подрыв устойчивой работы. |
| Если ложные сведения внесены уполномоченным медработником, это 274.1? | При отсутствии вреда КИИ и неправомерного доступа — нет. Вопрос может решаться по иным статьям (например, 327 УК РФ). |
| Какие последствия признаны Верховным Судом в рассматриваемом деле? | Недостоверность сведений примерно о 30 гражданах без сбоев и нарушений функционирования ЕГИСЗ. |
| Нужен ли прямой умысел на подрыв КИИ? | Да. Субъективная сторона по ч. 4 ст. 274.1 УК РФ предполагает цель подорвать устойчивое функционирование КИИ. |
| Какая квалификация остается при фейковых сертификатах? | ч. 1 ст. 327 УК РФ (подделка, изготовление, сбыт поддельных документов); возможны иные составы при наличии признаков. |
| Применима ли позиция к РМИС и иным системам здравоохранения? | Да, если системе придан статус ОКИИ, но при этом не доказаны вред КИИ, неправомерный доступ и умысел. |
Нормативная база
- УК РФ: ст. 274.1 (в т.ч. ч. 4) — неправомерное воздействие на критическую информационную инфраструктуру РФ
- УК РФ: ст. 327 (в т.ч. ч. 1) — подделка, изготовление или сбыт поддельных документов
- Кассационное определение СК по уголовным делам Верховного Суда РФ от 5 марта 2026 № 12-УД25-2-К6
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
