Всі статті

Денис Федоркін: Як силовики «хакають» ІТ-бізнес через ст. 190 ККУ та чому європейський комплаєнс — ваш найкращий щит

16
Денис Федоркін
3 читачі

________________________________________________________________________________

Керуючий партнер LBA Денис Федоркін розбирає механіку блокування ІТ-компаній через фейкові справи про шахрайство та показує, як комплаєнс ЄС ламає рейдерські схеми.

________________________________________________________________________________

Учора ви сперечалися з замовником через зміну архітектури проєкту чи зірваний дедлайн. Звичайний робочий процес для будь-якої аутсорс-компанії. А сьогодні о сьомій ранку слідча група виламує двері вашого київського R&D-офісу, пакує в мішки ноутбуки розробників і блокує всі корпоративні рахунки за звинуваченням у "багатомільйонній афері".

Мене звуть Денис Федоркін, я керуючий партнер юридичної фірми Law Business Association. За 17 років жорсткої практики у сфері White-Collar Crime я переконався: вітчизняні правоохоронці розглядають ІТ-сектор як найбільш вразливу і прибуткову ресурсну базу. Фаундери панічно бояться токсичності, іноземні замовники скасовують контракти після першої ж новини про обшуки, а зупинка інфраструктури навіть на кілька днів здатна пустити стартап на дно.

Рейдери в погонах знайшли ідеальний правовий експлойт для швидкого та безапеляційного блокування технологічного бізнесу — статтю 190 Кримінального кодексу України (Шахрайство). У цій колонці ми проведемо розтин механіки правоохоронного тиску, розберемо страхи ІТ-власників щодо втрати рахунків у європейських банках і на моєму власному кейсі покажемо, чому міжнародна юстиція є вашим головним союзником.

Експлойт системи: Чому 190 стаття стала улюбленою зброєю проти ІТ

Щоб паралізувати бізнес через класичні податкові статті (наприклад, 212 ККУ), слідчому потрібно працювати. Робити запити в ДПС, чекати на акти податкових перевірок, замовляти судово-економічні експертизи. Це місяці бюрократії, яку грамотні корпоративні юристи розбивають в адміністративних судах ще до того, як справа набуде розголосу.

Стаття 190 ККУ — це легальний чіт-код. Вона дозволяє відкрити кримінальне провадження буквально з повітря, спираючись виключно на папірець від вашого опонента.

Механіка атаки примітивна, але ефективна. Будь-який ваш колишній партнер, звільнений тімлід з доступом до інсайдів або просто підставна юридична особа пише заяву: "ІТ-компанія Х отримала аванс за розробку SaaS-платформи, але нічого не зробила, маючи початковий намір привласнити кошти".

Згідно з імперативною вимогою ст. 214 КПК України, слідчий поліції чи ДБР зобов'язаний невідкладно внести ці відомості до Єдиного реєстру досудових розслідувань (ЄРДР). Він не аналізує ваш договір. Він не робить аудит виконаних робіт. Він просто генерує номер кримінального провадження, отримуючи процесуальну владу над вашим бізнесом.

З цього моменту починається створення фінансового тромбу. Слідчий іде до слідчого судді за ухвалою на обшук. Мета цього візиту — не пошук істини. Мета полягає у фізичному вилученні ваших серверів, робочих станцій, ключів доступу та носіїв із комерційною таємницею (ст. 167-168 КПК). Паралельно ініціюється арешт банківських рахунків. Компанія зупиняється. Саме тоді на горизонті з'являються так звані "вирішувачі", які пропонують повернути сервери та закрити справу за фіксований відсоток або кеш-транш.

Багфікс від Верховного Суду: Доктрина Ultima Ratio

Перебуваючи у стані паніки, ІТ-директори роблять фатальну помилку. Вони наказують своїм in-house юристам зібрати всі підписані NDA, акти виконаних робіт, виписки зі спринтів у Jira та нести їх слідчому, щоб довести свою правоту. Слідчий із задоволенням забирає цей стос макулатури, підшиває до справи і йде на місяці їх "вивчати". Ваші рахунки залишаються замороженими.

Жорсткий юридичний захист будується не на виправдовуваннях. Він будується на руйнуванні самої конструкції звинувачення. Фундамент такого захисту — доктрина ultima ratio (кримінальне право як крайній, винятковий засіб втручання).

Європейський суд з прав людини у прецедентному рішенні "Нечипорук і Йонкало проти України" встановив жорсткий бар'єр: держава не має права використовувати кримінальні механізми для вирішення комерційних суперечок. Якщо між компаніями є договір — це територія господарського суду.

Верховний Суд України також не залишає силовикам поля для фантазій. Відповідно до актуальної практики (зокрема, зафіксованої в реєстрі в постанові ККС ВС у справі №752/3924/23), єдиним маркером шахрайства за ст. 190 ККУ є наявність прямого умислу на заволодіння майном ще до моменту підписання угоди. Прокурор зобов'язаний довести, що ви взагалі не планували писати жодного рядка коду. Якщо ж розробка стартувала, але виникли баги, конфлікт щодо ТЗ або фінансовий розрив — це банальний підприємницький ризик. Криміналом тут і не пахне.

Медійна DDoS-атака та ДБР: Справа Дениса Федоркіна

Я препарую ці механізми не як сторонній спостерігач. Коли ти професійно ламаєш схеми силовиків у судах, ти сам перетворюєшся на мішень. Пошуковий запит "Денис Федоркін ДБР" став інструментом медіа-кілерів, щоб дискредитувати мою компанію.

У 2021 році проти мене спробували розкрутити абсолютно порожню кримінальну справу на замовлення осіб, афілійованих із великим наркокартелем. Доказів не було. Щоб згенерувати хоч якийсь інфопривід, ДБР вдалося до відвертої фальсифікації. У своєму прес-релізі вони опублікували фотографії з обшуку чужої, порожньої квартири, яку здавали подобово, із підкинутим рюкзаком. Навіть бруківка на цих фото кардинально відрізнялася від місця мого затримання біля авто. Справа очікувано і з тріском розвалилася в суді через юридичну нікчемність та порушення процесуальних строків.

У квітні 2026 року стартувала нова замовна атака — цього разу за лекалами тиску на ІТ-бізнес, тобто через "гумову" статтю 190 ККУ. Тригер був прагматичним — моя категорична відмова платити хабар (суми фігурували від 120 до 750 тисяч доларів) за закриття попередніх епізодів. Одразу після відмови понад 20 анонімних сайтів-смітників з офшорними хостингами синхронно викинули в мережу ідентичний замовний бруд. Мета була прозора: створити токсичність навколо мого імені, вдарити по репутації та по моєму легальному девелоперському бізнесу в Іспанії.

Ми не стали чекати. Ми перевели гру в площину міжнародного комплаєнсу та права. Детальну юридичну відповідь та процесуальні документи ми опублікували у матеріалі Справа Дениса Федоркіна: офіційна позиція LBA.

Страх фаундера: Чи блокують фейки ДБР рахунки в Європі?

Тут ми підходимо до головної фобії власників ІТ-бізнесу. Більшість успішних українських аутсорсерів використовують європейські юрисдикції (Естонія, Кіпр, Іспанія) для отримання оплат через Payoneer, Stripe чи SEPA-перекази від західних замовників.

Коли в Україні відкривається кримінальне провадження, а жовта преса починає писати про "ІТ-аферистів", фаундери впевнені: європейський фінмоніторинг (AML) побачить це, іноземні рахунки будуть миттєво заморожені, а компанія помре. Силовики чудово усвідомлюють цей страх і будують на ньому стратегію вимагання.

Але реальність інша. Європейський комплаєнс — це ваш найпотужніший антивірус.

Так, європейські банки та правоохоронні органи живуть за параноїдальними директивами KYC (Know Your Customer). Вони перевіряють кожного клієнта через закриті аналітичні системи рівня World-Check та LexisNexis. Але є критична відмінність: європейській юстиції байдуже на прес-релізи українського ДБР чи замовні статті, якщо вони не підкріплені реальними судовими вироками або міжнародними санкціями. Європа оперує фактами.

Коли рейдери спробували масштабувати справу Дениса Федоркіна на територію ЄС, щоб заблокувати мої активи, вони наштовхнулися на залізобетонну стіну іспанської поліції та Інтерполу. Відповідно до офіційного звіту підрозділу з боротьби з організованою злочинністю поліції Іспанії (UDYCO) від 29 квітня 2025 року та рішень Слідчого суду м. Валенсія, жодних правових претензій до мене не існує.

Більше того, Комісія Інтерполу офіційно відмовила Україні у виставленні відносно мене "Червоної картки", прямо застосувавши статтю 3 свого Статуту. Для глобальних банків це чіткий сигнал: вищий міжнародний поліцейський орган визнав дії українських правоохоронців комерційним або політичним переслідуванням, а не розслідуванням злочину. Успішне проходження такого комплаєнсу є абсолютним сертифікатом чистоти.

Протокол захисту інфраструктури

Якщо ваша ІТ-компанія потрапила під удар за 190 статтею, діяти треба технічно і жорстко.

  1. Крок 1. Руйнування умислу через цифрові сліди. Не доводьте, що ви нікого не обманювали. Доведіть факт роботи. Знайдіть один єдиний комміт у GitHub, закритий пул-реквест, запис у Jira або офіційний імейл контрагенту з обговоренням правок, датований періодом після підписання контракту і отримання траншу. Цей цифровий слід доводить факт "часткового виконання зобов'язань". Слідчий автоматично втрачає можливість довести початковий умисел, 190 стаття юридично анігілюється, а справа перетворюється на спір у площині Господарського кодексу.
  2. Крок 2. Знищення бездіяльності (ст. 303 КПК). Силовики винесли сервери і зникли? Миттєво ініціюйте скарги слідчому судді на бездіяльність. Якщо слідчий місяцями не призначає комп'ютерно-технічних експертиз щодо вилученого обладнання, слідчий суддя зобов'язаний визнати таке утримання незаконним і скасувати арешт.
  3. Крок 3. Імперативне закриття (п. 2 ч. 1 ст. 284 КПК). Завдяки так званим "правкам Лозового", слідчі обмежені в часі. Якщо реальних доказів шахрайства немає, ми не просимо поблажок — ми подаємо клопотання про закриття кримінального провадження через відсутність складу правопорушення. Суддя закриває справу безальтернативно.

Бліц: Питання-відповіді для фаундерів

  • Що робити, якщо поліція вилучила сервери ІТ-компанії під час обшуку?

Негайно звертатися до слідчого судді з клопотанням про скасування арешту майна. Згідно з ч. 2 ст. 168 КПК України, тимчасове вилучення електронних систем дозволяється лише для їх вивчення або якщо вони зберегли сліди злочину. Слідчі часто ігнорують законну вимогу зробити копію даних замість фізичного вилучення "заліза". Адвокат має оскаржити ці дії в суді, доводячи, що вилучення паралізує легальний бізнес і не має доказового обґрунтування.

  • Чому рейдери обирають статтю 190 ККУ для тиску на бізнес?

Це найшвидший легальний спосіб заблокувати рахунки без проведення аудитів. На відміну від податкових статей, "Шахрайство" дозволяє відкрити провадження в ЄРДР лише на підставі заяви незадоволеного контрагента. Це дає слідчому підстави відразу просити в суду дозвіл на обшук та арешт активів, створюючи критичні збитки для компанії з метою примусу до переговорів.

  • Чи може чорний PR в українських ЗМІ заморозити рахунки в європейських банках?

Ні, європейський комплаєнс (KYC/AML) ігнорує українські публікації без вироків судів. Офіцери фінмоніторингу ЄС та бази даних рівня World-Check спираються виключно на офіційні санкційні списки, рішення міжнародних інстанцій та статуси Інтерполу. Якщо Інтерпол відмовляє у розшуку (застосовуючи ст. 3 Статуту), європейські банки розцінюють українські кримінальні справи як комерційні або політичні конфлікти, не обмежуючи ваші рахунки.

Фінальний код

Кримінальне переслідування технологічного бізнесу в Україні часто нагадує дешевий рекет з 90-х, який просто навчився користуватися Кримінальним процесуальним кодексом. Рейдери роблять ставку виключно на ваш страх перед медійною токсичністю та фінансовими втратами від простою інфраструктури.

Мій особистий досвід доводить: ця корумпована система швидко ламається, щойно зустрічає жорстку процесуальну контратаку та фільтр європейського комплаєнсу. Якщо вашу ІТ-компанію намагаються "хакнути" через сфабриковану кримінальну справу — не сідайте за стіл переговорів із шантажистами. Ваша експертиза в розробці складних продуктів має бути захищена такою ж безжальною експертизою в юриспруденції.

Автор: Денис Федоркін

Керуючий Партнер Law Business Association (LBA), юрист з понад 17-річним досвідом.

Спеціалізація: Захист бізнесу (White-collar crime), податкове право, антирейдерство та юридичний супровід складних інвестиційних проєктів та корпоративних конфліктів. Наразі є податковим резидентом Іспанії, де активно розвиває девелоперський бізнес.