Электронный журнал «Уголовный процесс»
Новости
ещё
свернуть
Все статьи номера
1
Январь 2024года
Преступления в сфере экономики

Установление владельцев криптокошельков, обнаружение и изъятие приватных ключей при расследовании уголовных дел

Ольга Николаевна Тисен, д. ю. н., начальник Юридического управления Росфинмониторинга, консультант ООН по противодействию финансированию терроризма с использованием виртуальных активов

Current Time 0:00
Duration -:-
Loaded: 0%
Stream Type LIVE
Remaining Time -:-
1x

Несмотря на сложности, связанные с выявлением реальных владельцев криптовалют, нормы в УПК позволяют проводить процессуальные действия для придания статуса доказательств электронным следам, оставшимся от преступлений, совершенных с использованием криптовалют. В статье покажем, какую специфику при этом надо учесть правоприменителям.

Специфика расследования

Основная особенность расследования преступлений, совершенных с использованием криптовалют, связана с необходимостью своевременно выявить криптокошелек, используемый в преступных целях, обеспечить наложение ареста на криптовалюту, полученную преступным путем или предназначавшуюся для совершения преступлений, в том числе посредством ее конвертации в деньги.

Нередко в СМИ сообщается о примерах ареста и конфискации криптовалюты. Однако в реальности чаще всего речь идет о проведении оперативно-розыскных мероприятий и следственных действий, в результате которых криптовалюта под контролем правоохранительных органов была конвертирована в фиатные деньги и переведена на подконтрольный сотрудничающему с правоохранительными органами лицу банковский счет. Именно эти средства затем арестовываются по решению суда в порядке ст. 115 УПК. Фактически арестовывается не криптовалюта, а фиатные деньги, в которые была конвертирована криптовалюта (определение Шестого КСОЮ от 27.06.2023 № 88-13594/2023, апелляционное определение Московского городского суда от 17.12.2021 № 33-49671/2021, апелляционное постановление Верховного суда Республики Дагестан от 01.10.2019 № 22-1867/2019, апелляционное определение Первого АСОЮ от 21.03.2022 № 55-13/2022). Также аресту подлежат аппаратные криптокошельки, изъятые у подозреваемых/обвиняемых.

При производстве по делам о преступлениях, совершенных с использованием криптовалют, важно помнить, что упущение на первый взгляд незначительных деталей при осмотре места происшествия, электронных устройств и носителей информации может привести к невозможности в дальнейшем установить обстоятельства преступления, арестовать и конфисковать криптовалюту. В ходе задержания подозреваемых важно при осмотре места происшествия и обыска изъять все электронные устройства, которыми могли пользоваться преступники и их сообщники.

На практике в ходе обыска в жилище, по месту работы фигурантов, изымаются все обнаруженные электронные устройства, в том числе принадлежащие членам семьи и близким лицам фигурантов (с их слов), поскольку соучастники преступления могут умышленно выдавать свои устройства за принадлежащие другим лицам, чтобы сохранить активы в виде криптовалюты.

Изъятие «холодных» криптокошельков, как правило, обеспечивает возможность ареста и конфискации криптовалюты.

Однако в практике много случаев, когда сотрудники правоохранительных органов не изымали аппаратные и бумажные криптокошельки в ходе следственных действий только потому, что они не могли их идентифицировать. В результате изъятие преступных активов становилось невозможным.

Криптовалютные кошельки, их обнаружение и изъятие

При закреплении электронных следов по делам рассматриваемой категории важно принимать во внимание природу криптовалютных кошельков и адресов.

Понятие и виды криптовалютных кошельков. Криптовалютный кошелек — это программное или аппаратное средство, позволяющее хранить, отправлять и получать криптовалюту. При создании кошелька пользователь получает доступ к нему в виде открытого (публичного) и закрытого (приватного) ключа.

«Горячий» (программный) криптокошелек — программа, установленная на смартфон/компьютер с постоянным доступом в интернет. «Горячие» кошельки обеспечивают онлайн-хранение активов.

Это облачные онлайн-кошельки, кошельки — надстройки к браузеру, мобильные приложения и программы для персонального компьютера, биржевые (кастодиальные) кошельки.

«Десктопный» криптокошелек обеспечивает хранение криптовалют на персональном компьютере и требует значительного объема свободной памяти на устройстве, в связи с чем нередко пользователи применяют для этих целей внешний жесткий диск. Изъятие как внешнего жесткого диска, так и самого устройства, на котором установлен «десктопный» криптокошелек, в дальнейшем позволяет конфисковать криптовалюту.

Существуют также «десктопные» сервисы, или браузерные криптокошельки, основанные на технологии облачного хранения. Пользователь имеет возможность управлять криптовалютой с любого электронного устройства: смартфона, планшета, компьютера. Электронные следы браузерных криптокошельков можно обнаружить в ходе осмотра электронных устройств, изъятых у фигуранта, или производства компьютерной экспертизы.

Следующая разновидность криптокошельков, мобильный криптокошелек, — это приложения для смартфонов, работающие на системах Android и IOS, позволяющие быстро управлять криптовалютами, хранящимися в них.

«Холодный» (аппаратный) криптокошелек — устройство, предназначенное для хранения открытых, закрытых ключей и управления криптовалютой без постоянного подключения к интернету. Аппаратный кошелек подключается к компьютеру или смартфону через USB-порт, обычно выглядит как флеш-накопитель или внешний жесткий диск. Закрытый ключ встроен в аппаратный кошелек, поэтому его нельзя взломать через интернет. Изъятие «холодных» криптокошельков, как правило, на практике обеспечивает возможность ареста и конфискации криптовалюты, добытой преступным путем.

Наконец, нужно сказать и о «бумажном» криптокошельке. Под ним понимается сгенерированный с использованием возможностей специальных сайтов приватный и публичный ключи, которые возможно записать, сохранить в файле или, например, в заметках на смартфоне или планшете, на устройстве или физическом носителе. Ключи, сгенерированные таким способом, нигде не дублируются, их резервные копии не создаются, поэтому их потеря равноценна утрате содержимого криптокошелька.

Сведения о приватном и публичном ключах можно обнаружить в ходе осмотра/обыска жилища, места работы/пребывания подозреваемых или в их электронных устройствах. Нередко пользователи сохраняют приватные и открытые ключи в файлах на компьютерах, заметках в смартфонах или просто записывают их в блокноте, на листах с клейким краем, приклеивают их на монитор или хранят на компьютерном столе.

Важно обнаружить такие заметки в ходе осмотра жилища фигуранта, не упустить из виду записи ключей, зафиксировать их и изъять. Уничтожение записи с приватным ключом может привести к невозможности доступа к содержимому криптокошелька даже в случае согласия привлеченных к уголовной ответственности сотрудничать с правоохранительными органами, если приватный ключ он не зафиксировал на других носителях.

Внешний вид криптокошельков

Обнаружение и изъятие криптовалютных кошельков. В ходе личного досмотра или личного обыска подозреваемых/обвиняемых может быть обнаружен аппаратный или бумажный криптокошелек, а также электронное устройство, содержащее следы преступления, совершенного с использованием криптовалют.

Особенности изъятия электронных носителей информации при производстве следственных действий закреплены в ст. 164.1 УПК. Согласно ч. 2, 3 ст. 164.1 УПК, электронные носители информации изымаются в ходе производства следственных действий с участием специалиста, которым может быть произведено копирование содержащихся на них сведений по решению следователя, по ходатайству законного владельца или обладателя. С учетом возможности дистанционного перевода криптовалюты на подконтрольный подозреваемому/обвиняемому криптокошелек нецелесообразно передавать участникам уголовного судопроизводства и иным лицам скопированную информацию с изымаемых электронных устройств.

Методика установления владельца криптокошелька

Из-за того что выпуск криптовалюты децентрализован, отсутствует единый орган (центр, эмитент), выпускающий ее, на сегодня есть только два способа установления владельца криптокошелька.

Первый состоит во взаимодействии с криптобиржами/обменниками, или, обобщенно, провайдерами услуг виртуальных активов (ПУВА). Прежде всего — когда факт использования криптовалюты в совершении преступлений установлен правоохранительными органами.

При этом, если ПУВА функционирует в государстве, в котором отсутствует правовое регулирование института виртуальных активов и криптобиржи/обменники не осуществляют верификацию, получение информации от них проблематично.

Второй способ состоит в установлении факта использования криптовалюты в ходе ОРМ, предварительного следствия, изъятия информации о приватном ключе при осмотре и/или исследовании электронных устройств фигурантов, обыска/выемки.

Деанонимизация транзакции предполагает отслеживание всей цепочки блоков от раскрытия криптокошелька до конвертации криптовалюты в фиатные деньги. В целях установления владельца криптокошелька, помимо иных, применяются следующие способы:

  • структурирование и соотнесение информации с помощью эвристики, кластерного анализа, исследования графов;
  • отождествление IP/MAC-адреса, его аккаунтов в социальных сетях и на теневых площадках с номером криптокошелька;
  • анализ цифровых следов (fingerprint);
  • автоматический сбор и агрегация больших объемов данных с помощью веб-скрининга и методов конкурентной разведки (OSINT);
  • получение информации о владельцах криптокошельков от ПУВА;
  • установление владельца криптокошелька посредством отслеживания и сопоставления покупок в интернете с использованием криптокошелька;
  • отслеживание и сопоставление IP-адреса, IMEI-устройства.

Методика установления приватного ключа к криптокошельку, используемому в преступной деятельности

Взлом криптокошелька при отказе обвиняемого от сотрудничества со следствием пока считается технически невозможным.

В некоторых странах, в том числе государствах — участниках Евразийской группы по противодействию легализации преступных доходов и финансированию терроризма (ЕАГ), сокрытие пароля от криптокошелька посредством использования криптографических средств защиты информации является преступлением и влечет за собой наказание в виде лишения свободы. Например, в Индии противодействие интересам правосудия посредством использования криптографических средств защиты информации влечет наказание в виде 7 лет лишения свободы.

В целях исключения фактов оставления без внимания имеющейся на электронных устройствах или иных, в том числе бумажных носителях информации, сведений о приватных ключах к криптокошелькам, важно знать, из чего состоят и как выглядят их реквизиты.

Открытый ключ — это электронный адрес криптокошелька, который является открытым для иных пользователей. Как открытый, так и приватный ключи представляют собой уникальный набор символов, состоящий из букв и цифр.

Ключи шифрования Bitcoin, как правило, работают на основе алгоритма шифрования SHA-256, генерирующего 256-битное число.

Приватные ключи Bitcoin бывают следующих видов:

  • в HEX-формате приватный ключ состоит из 64 символов (случайно сгенерированных латинских букв и арабских цифр);
  • сгенерированы в формате WIF, которые состоят из 51 символа base58 и начинаются с цифры 5, например: 5DFLOHWC5YU7TY9UFDSbLIHDv0TseGfIBSTHgspvtFAWqroicGAk;
  • короткие (сжатые WIF) приватные ключи Bitcoin, которые состоят из 52 символов и начинаются с K или L, например: КDFК88WCvTY0bTYUFDSb3IHD6TseGfIBSTHgspvtFAWqroicGAКС;
  • в Base64-формате закрытые ключи состоят из 44 случайных символов, которые могут включать в себя символы, арабские цифры, латинские буквы, например: F8.К88WCvTY0-UFDSb3\IHD6Tse\IBSTHgspъtFAWqroicС.

Чаще всего для шифрования криптовалютных кошельков Bitcoin используется 52 символа, а для кошельков Ethereum — 64.

Публичные (открытые) ключи от криптокошелька, например Bitcoin, могут состоять из 66, 130 случайных символов или быть более короткими. Короткий публичный ключ может начинаться с единицы или тройки.

Для успешного выявления и расследования важно понимать сущность seed-фразы — набора 12, 18 или 24 слов на английском языке в строго определенной последовательности, используемого для восстановления приватного ключа в случае его утраты. Установление seed-фразы позволяет получить доступ к криптокошельку даже в случае отказа его владельца сотрудничать со следствием. Часто пользователи записывают seed-фразы на бумажных носителях, хранят их в сейфе, блокноте, в кошельке, вкладывают запись фразы в обложку паспорта, пишут на листе с клейким краем и приклеивают на монитор.

Доказывание принадлежности криптокошелька конкретному лицу

Доказательствами того, что криптокошелек принадлежит конкретному лицу, может быть:

  • наличие у фигуранта приватного ключа, например обнаруженного в ходе осмотра его электронных устройств, обыска, осмотра места происшествия;
  • факт открытия лицом криптокошелька и использования ПУВА с предоставлением для верификации документов и сведений о нем. При этом необходимо учитывать, что преступники могут использовать для этого сведения подставного, в том числе не осведомленного об их преступных намерениях, лица;
  • принадлежность подозреваемому/обвиняемому номера телефона, адреса электронной почты, предоставленной ПУВА пользователем при регистрации криптокошелька);
  • принадлежность подозреваемому/обвиняемому IP-адреса, с которого осуществлялся доступ к криптокошельку;
  • результаты сопоставления перемещений лица и сведений о геолокации пользователя, предоставленных ПУВА;
  • обнаружение у лица устройства, IMEI которого был зафиксирован ПУВА, которым пользовался владелец криптокошелька;
  • зафиксированный в установленном порядке факт доступа лица к криптокошельку;
  • совпадение уникального идентификационного номера пользователя (IP); зафиксированный факт указания лицом открытого ключа криптокошелька в мессенджерах, блогах, форумах и соцсетях;
  • подтверждение свидетелями факта позиционирования лицом конкретного криптокошелька как своего;
  • данные о сборе лицом средств на конкретный криптокошелек;
  • совпадение никнеймов, доменного имени и др.

В протоколе следственного действия важно зафиксировать все действия пошагово с приложением фототаблицы и (или) видеозаписи, при необходимости провести его с участием специалиста. Нужно отобразить действия с момента включения электронного устройства. Например, указать наличие или отсутствие пароля, вид и содержание рабочего стола, находящиеся на нем файлы, имеющие значение для дела, и их содержание, а также цепочка получения информации. При наличии на электронном устройстве специального программного обеспечения (приложения), используемого для совершения транзакций в криптовалюте, целесообразно осмотреть приложение, баланс кошелька, сведения о нем, историю проводимых транзакций.

Для сохранения информации о транзакциях на внешнем устройстве важно синхронизировать криптовалютный кошелек со смартфона с компьютером следователя. Веб-страницу с историей операций можно сохранить в виде отдельного файла, который должен быть приобщен к протоколу. Интерфейс ряда приложений для работы с криптовалютой содержит вкладку «скачать транзакции». Использование этой вкладки позволяет создать отчет о проводимых с использованием криптокошелька транзакциях и сохранить эти сведения в отдельном файле.

В протоколе следственного действия важно также указать марку, модель, тип и наименование устройств, которые использовались в ходе следственных действий. В процессуальных документах необходимо отразить и реквизиты криптокошельков и криптовалюты, наименование и другие сведения о криптобирже/обменнике, сведения о транзакциях. Если в следственном действии участвует подозреваемый/обвиняемый, в протоколе нужно зафиксировать его позиции, согласие или отказ в предоставлении приватного ключа.

В следующем номере читайте статью О.Н. Тисен, посвященную методике отслеживания транзакций криптовалют в целях выявления, раскрытия и расследований преступлений.
Содержание
Полезное
Темы
Микрообучение
Номера
Издания
Тест  0  / 0
Практика успешной защиты и обвинения
О журнале
Архив номеров с 2008 года, встроенная правовая база, книги и удобные электронные сервисы для юристов, специализирующихся на уголовном праве
Способы подписки
Позвоните по номеру 8 (800) 511-20-91
или подпишитесь в интернет-магазине
Подписаться
Ознакомительный номер
Все материалы номера открыты
для просмотра без регистрации
Читать
Сайт использует файлы cookie, что позволяет получать информацию о вас. Это нужно, чтобы улучшать сайт. Продолжая пользоваться сайтом, вы соглашаетесь с использованием cookie и предоставления их сторонним партнерам.