Система «1С:Предприятие» широко используется в экономике России и ближнего зарубежья (СНГ и в частности ЕАЭС), поэтому она всё чаще выступает источником доказательств по делам об экономических преступлениях. В условиях глобализации экономической преступности, анализ цифровых следов в таких учётных системах становится важным не только на национальном, но и на международном уровне [1]. Это требует выработки единых подходов к их исследованию.

Традиционный подход, основанный на судебной компьютерно‑технической экспертизе, рассматривает базу данных (в т. ч. «1С») как статичный объект. Однако такой подход не позволяет полноценно реконструировать механизм совершения преступления. Необходимо перейти от парадигмы экспертного исследования к парадигме криминалистического познания. В этом случае система воспринимается не как пассивное хранилище информации, а как динамичная среда совершения противоправного деяния, которая закономерно порождает цифровые следы. Эти следы сочетают материальные изменения на носителе и отражение волевых актов пользователя [2].

В научный оборот вводится понятие информационно-технологической обстановки преступления. Данное понятие охватывает совокупность условий, средств и способов обработки учётных данных: тип развёртывания базы (файловый или серверный), используемую СУБД, конфигурацию, настройки доступа и журналирования, политику резервного копирования. Установление данных элементов помогает достоверно реконструировать событие преступления.

Информационные базы «1С» обладают рядом криминалистически значимых свойств. Прежде всего, они отличаются высокой структурированностью, основанной на внутренней метамодели «1С», что позволяет точно локализовать источник искажения. Кроме того, операции в системе имеют хронологическую детерминированность, а механизмы контроля ссылочной целостности помогают выявить признаки вмешательства — их нарушение служит индикатором несанкционированных действий. Ещё одна важная особенность заключается в том, что следы сохраняются даже после видимого удаления данных: они могут оставаться в индексах, теневых копиях и журналах транзакций.

Преступное воздействие на учётные данные можно разделить на три группы. Первая группа включает искажение фактографических данных без изменения кода — например, внесение фиктивных документов «задним числом» или редактирование с нарушением хронологии. Подобные действия оставляют следы в журнале регистрации и полях служебных таблиц, недоступных обычному пользователю. Вторая группа связана с модификацией прикладной логики: изменением модулей или созданием внешних обработок. Этот способ отличается высокой латентностью, поскольку искажение возникает на этапе записи в регистры. Третья группа охватывает вмешательство в инфраструктурный уровень, такое как изменение системных дат, отключение аудита или манипуляции с резервными копиями. Каждая из этих групп требует особых методов обнаружения и процессуального закрепления.

Разработаны критерии, которые помогают отличить технический сбой от криминального вмешательства. К ним относятся повторяемость аномалии и её связь с действиями конкретного пользователя, наличие следов использования режима разработки, корреляция момента изменения данных с иными событиями расследуемого деяния, а также сохранность резервных копий, фиксирующих первоначальное состояние учёта. Эти критерии позволяют следователю объективно оценивать доводы участников процесса и обоснованно назначать экспертизу.

Анализ судебной практики 2024–2025 гг. [4], [5], [6] показал устойчивую связь между способами преступного поведения и цифровыми следами в «1С». В делах о преднамеренном банкротстве криминалистически значимой оказывается не отдельная операция, а их хронологическая плотность в период перед подачей заявления о банкротстве. Это подтверждает кумулятивный характер следов. При хищении путём оформления фиктивных актов ключевым доказательством становится темпоральный паттерн: высокая скорость генерации документов в едином сеансе, нетипичная для обычного документооборота. Если речь идёт об использовании нелицензионного ПО, важно фиксировать при осмотре не только содержимое жёсткого диска, но и сведения о типе платформы, наличии ключей защиты и способе активации. Такие данные могут указывать как на осведомлённость пользователя о противоправном характере действий, так и на отсутствие умысла.

Практическая значимость подтверждается случаями, когда отказ в возбуждении уголовного дела был связан с нарушениями при изъятии оборудования и поверхностным осмотром без фиксации состояния активных сеансов. Это подчёркивает необходимость участия специалиста уже на этапе доследственной проверки и разработки тактических рекомендаций по проведению следственных действий с объектами, содержащими учётную систему «1С» [3]. В теоретическом плане работа развивает учение о цифровых следах. Она показывает, что традиционное деление на материальные и идеальные следы становится менее чётким в условиях сложных программно‑информационных комплексов.

Таким образом, формируется самостоятельное направление криминалистического знания, предметом которого является механизм следообразования в строго формализованных учётных средах. Система «1С:Предприятие» приобретает статус криминалистического феномена, требующего интеграции знаний информатики, бухгалтерского учёта, судебной бухгалтерии и криминалистики. Перспективы дальнейших исследований связаны с созданием частных методик для отдельных составов преступлений и использованием методов искусственного интеллекта для выявления аномалий в учётных массивах.

Литература:

1. Bilevičienė T., Bilevičiūtė E., Drakšas R. Development of forensic science information system in the context of international environment // Russian journal of criminology (Байкальский государственный университет). — 2016. — № 3. — c. 579–589.
2. Старичков М. В., Лантух Н. В. О предмете компьютерной криминалистики // Криминалистика: вчера, сегодня, завтра. — 2023. — № 3 (27). — С. 198–205.
3. Себякин А. Г. Использование знаний в области компьютерной техники при расследовании отдельных видов преступлений, подследственных следователям СК России: Практическое пособие / Под ред. д.ю.н., доцента О. Ю. Антонова. — М.: Московская академия СК РФ, 2021. — 71 с.
4. Приговор Зареченского районного суда г. Тулы № 1-189/2024 1-20/2025 от 20 апреля 2025 г. по делу № 1-189/2024
5. Приговор Канавинского районного суда г. Нижний Новгород № 1-19/2025 1-342/2024 от 15 апреля 2025 г. по делу № 1-19/2025
6. Решение Прохладненского районного суда Кабардино-Балкарской Республики № 2-465/2025 2-465/2025~М295/2025 М-295/2025 от 16 апреля 2025 г. по делу № 2-465/2025