Adwokat od przestępstw przeciwko bezpieczeństwu informacji elektronicznej - kary, obrona, art. 267-269b k.k.
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Przestępstwa przeciwko bezpieczeństwu informacji elektronicznej - potocznie zwane cyberprzestępstwami komputerowymi - to czyny wymierzone w poufność, integralność i dostępność danych oraz systemów teleinformatycznych. W polskim prawie reguluje je przede wszystkim rozdział XXXIII Kodeksu karnego, zatytułowany 'Przestępstwa przeciwko ochronie informacji' (art. 265-269b k.k.). Adwokat specjalizujący się w tej dziedzinie działa w dwóch rolach: jako obrońca osoby oskarżonej o włamanie, podsłuch, niszczenie danych czy zakłócanie systemu, oraz jako pełnomocnik pokrzywdzonego, którego dane lub infrastrukturę zaatakowano. Ten artykuł wyjaśnia, na czym polega praca takiego prawnika, jakie kary realnie grożą według polskich przepisów oraz jakie linie obrony są skuteczne. Materiał ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej.
Rola adwokata w sprawach o cyberprzestępstwa - obrona i reprezentacja pokrzywdzonego
Adwokat zajmujący się przestępstwami przeciwko bezpieczeństwu informacji łączy znajomość prawa karnego z rozumieniem technologii i dowodów cyfrowych. Po stronie obrony reprezentuje podejrzanego lub oskarżonego już od pierwszego przesłuchania - czuwa nad prawidłowością czynności procesowych, składa wnioski dowodowe, kwestionuje opinie biegłych informatyków i dba o prawa procesowe klienta. Po stronie pokrzywdzonego pomaga złożyć zawiadomienie o przestępstwie, formułuje wniosek o ściganie (gdy czyn jest wnioskowy), wspiera w dochodzeniu naprawienia szkody w procesie karnym (art. 46 k.k.) oraz może prowadzić równoległą sprawę cywilną. Doradza też przedsiębiorstwom prewencyjnie - jak zbudować zgodność z RODO i przepisami o cyberbezpieczeństwie, by ograniczyć ryzyko zarówno odpowiedzialności karnej pracowników, jak i administracyjnych kar UODO.
Ramy prawne: rozdział XXXIII Kodeksu karnego
Polski Kodeks karny chroni informacje i systemy w rozdziale XXXIII. Najważniejsze przepisy to: art. 267 k.k. - nielegalne uzyskanie informacji (tzw. hacking - przełamanie albo ominięcie zabezpieczenia, podsłuch, użycie urządzenia podsłuchowego, podgląd) - zagrożony grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2; art. 268 k.k. - niszczenie, uszkadzanie, usuwanie lub zmiana zapisu istotnej informacji (do lat 2, a gdy czyn dotyczy danych informatycznych - art. 268a - do lat 3); art. 269 k.k. - sabotaż komputerowy wymierzony w dane o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji (od 6 miesięcy do lat 8); art. 269a k.k. - zakłócanie pracy systemu lub sieci teleinformatycznej (od 3 miesięcy do lat 5); art. 269b k.k. - bezprawne wytwarzanie lub udostępnianie tzw. narzędzi hakerskich, haseł i kodów dostępu (do lat 5). Część tych czynów (m.in. art. 267 i 268) ściga się na wniosek pokrzywdzonego - bez wniosku postępowanie nie może się toczyć, co ma istotne znaczenie procesowe.
Rodzaje cyberprzestępstw i ich konsekwencje
Czyny przeciwko bezpieczeństwu informacji można podzielić na kilka kategorii. Pierwsza to nieautoryzowany dostęp - włamanie do konta, skrzynki e-mail czy systemu firmowego przez przełamanie hasła lub wykorzystanie luki (art. 267 k.k.). Druga to ingerencja w integralność danych - kasowanie, modyfikowanie lub szyfrowanie cudzych danych, w tym ataki ransomware (art. 268, 268a k.k.). Trzecia to zakłócanie dostępności - ataki typu DDoS i inne działania paraliżujące pracę systemu lub sieci (art. 269a k.k.). Czwarta to dostarczanie narzędzi przestępczych - tworzenie i sprzedaż złośliwego oprogramowania, zestawów exploitów czy baz wykradzionych haseł (art. 269b k.k.). Każda z tych kategorii niesie odrębne zagrożenie karą, a sąd przy jej wymiarze bierze pod uwagę m.in. skalę naruszenia, motywację sprawcy oraz wysokość wyrządzonej szkody. Wiele czynów może też zbiegać się z innymi przestępstwami - np. oszustwem komputerowym (art. 287 k.k.) czy paserstwem danych.
Strategie obrony oskarżonego o cyberprzestępstwo
Skuteczna obrona koncentruje się na znamionach czynu i jakości dowodów. Typowe linie to: 1) Brak przełamania lub ominięcia zabezpieczenia - art. 267 k.k. wymaga nielegalnego uzyskania dostępu; jeśli dane były ogólnodostępne albo dostęp mieścił się w uprawnieniach sprawcy (np. ważny login służbowy), znamię nie zostaje spełnione. 2) Brak umyślności - przestępstwa z rozdziału XXXIII są co do zasady umyślne; przypadkowe wejście do systemu lub działanie w dobrej wierze może wyłączać odpowiedzialność. 3) Zgoda dysponenta - zlecony test bezpieczeństwa (pentest), audyt czy badanie na podstawie umowy wyłącza bezprawność czynu. 4) Wadliwość zabezpieczenia dowodów cyfrowych - badanie łańcucha dowodowego, integralności kopii binarnych i prawidłowości opinii biegłego; nielegalnie pozyskany dowód może być zakwestionowany. 5) Wątpliwości nieusuwalne rozstrzyga się na korzyść oskarżonego (art. 5 § 2 k.p.k.). W czynach wnioskowych obrona sprawdza też, czy wniosek o ściganie został skutecznie złożony i nie został cofnięty.
Pomoc pokrzywdzonym - zawiadomienie, naprawienie szkody, odszkodowanie
Pokrzywdzony cyberprzestępstwem nie jest bezradny. Adwokat pomaga przede wszystkim złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa do prokuratury lub Policji oraz - gdy czyn jest wnioskowy - wniosek o ściganie. W toku postępowania karnego pokrzywdzony może żądać naprawienia szkody na podstawie art. 46 k.k. (sąd, skazując sprawcę, może orzec obowiązek naprawienia szkody lub zadośćuczynienia). Niezależnie od procesu karnego przysługuje droga cywilna - powództwo o odszkodowanie za szkodę majątkową i o zadośćuczynienie za szkodę niemajątkową (art. 415 i nast. oraz art. 448 k.c.). Jeśli atak wiązał się z naruszeniem danych osobowych, dodatkowo można złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych i dochodzić odszkodowania na podstawie art. 82 RODO. Kluczowe jest szybkie zabezpieczenie dowodów: zrzutów ekranu, logów, korespondencji i nośników.
Zgodność z RODO i przepisami o cyberbezpieczeństwie - prewencja dla firm
Najskuteczniejszą ochroną przedsiębiorstwa jest udokumentowana zgodność. RODO (rozporządzenie 2016/679) wymaga m.in. wdrożenia odpowiednich środków technicznych i organizacyjnych adekwatnych do ryzyka (art. 32 - szyfrowanie, kontrola dostępu, kopie zapasowe), prowadzenia rejestru czynności przetwarzania (art. 30) oraz zgłoszenia naruszenia ochrony danych Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia (art. 33). Przy wysokim ryzyku należy zawiadomić również osoby, których dane dotyczą (art. 34). Niezależnie od RODO podmioty należące do tzw. operatorów usług kluczowych i dostawców usług cyfrowych podlegają obowiązkom z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (m.in. zgłaszanie incydentów do właściwego CSIRT). Udokumentowanie tych działań nie tylko zmniejsza ryzyko incydentu, ale przy wymiarze ewentualnej kary administracyjnej jest traktowane jako okoliczność łagodząca (art. 83 ust. 2 RODO).
Znaczenie wiedzy technicznej i jak wybrać prawnika
W sprawach o cyberprzestępstwa wynik często zależy od dowodów cyfrowych: logów, metadanych, opinii biegłych z zakresu informatyki śledczej. Dlatego adwokat prowadzący taką sprawę powinien rozumieć, jak zabezpiecza się i interpretuje dowód elektroniczny, oraz potrafić współpracować z biegłym i kwestionować jego ustalenia. Wybierając pełnomocnika, warto szukać osoby łączącej praktykę procesową w sprawach karnych z realną znajomością prawa ochrony danych i technologii. Należy też zachować ostrożność wobec obietnic - rzetelny adwokat nie gwarantuje wyniku, lecz przedstawia realne scenariusze, ryzyka i koszty. W Polsce wynagrodzenie ustala się indywidualnie (stawka godzinowa lub ryczałt za prowadzenie sprawy); w sprawach karnych obowiązują też minimalne stawki z rozporządzenia w sprawie opłat za czynności adwokackie, a osobom, których nie stać na obrońcę, może zostać wyznaczony obrońca z urzędu.
Najczęstsze pytania
Co grozi za włamanie do cudzego konta lub systemu (hacking)?
Nielegalne uzyskanie dostępu do informacji przez przełamanie albo ominięcie zabezpieczenia (art. 267 k.k.) jest zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Czyn ten ściga się co do zasady na wniosek pokrzywdzonego. Surowsze sankcje dotyczą sabotażu komputerowego (art. 269 k.k. - do 8 lat) oraz zakłócania pracy systemu lub sieci (art. 269a k.k. - do 5 lat).
Czy mogę bronić się sam w sprawie o cyberprzestępstwo?
Formalnie tak, ale rzadko jest to rozsądne. Sprawy te opierają się na skomplikowanych dowodach cyfrowych i opiniach biegłych, których ocena wymaga wiedzy prawnej i technicznej. Błąd na etapie postępowania przygotowawczego (np. niezakwestionowanie wadliwego dowodu) bywa nieodwracalny. Jeśli nie stać Cię na obrońcę, możesz wnioskować o obrońcę z urzędu.
Czy pentest lub audyt bezpieczeństwa może być przestępstwem?
Nie, jeżeli odbywa się za zgodą dysponenta systemu, najlepiej na podstawie pisemnej umowy określającej zakres i granice testu. Zgoda uprawnionego wyłącza bezprawność czynu. Problem powstaje, gdy tester wykroczy poza uzgodniony zakres albo działa bez zgody - wtedy może wypełnić znamiona art. 267 lub art. 269a k.k. Dlatego umowa i precyzyjny zakres testu są kluczowe.
Co zrobić, jeśli zostałem oskarżony o cyberprzestępstwo?
Skontaktuj się z adwokatem przed pierwszym przesłuchaniem i nie składaj wyjaśnień bez konsultacji - masz prawo do odmowy składania wyjaśnień i odmowy odpowiedzi na pytania. Zabezpiecz wszelkie dowody i korespondencję, które mogą świadczyć na Twoją korzyść (np. zgodę na dostęp, zakres uprawnień, brak zamiaru). Adwokat oceni znamiona zarzucanego czynu i zaplanuje linię obrony.
Jak długo trwa sprawa o cyberprzestępstwo?
Nie ma sztywnego terminu. Sprawy prostsze mogą zakończyć się w kilka miesięcy, a złożone - z koniecznością powoływania biegłych z informatyki śledczej i pozyskiwania dowodów od dostawców usług - ciągną się rok lub dłużej. Na czas wpływa zakres materiału dowodowego, liczba pokrzywdzonych oraz to, czy konieczna jest pomoc prawna z zagranicy.
Co grozi po skazaniu za przestępstwo komputerowe?
W zależności od czynu może to być grzywna, kara ograniczenia wolności albo pozbawienia wolności (od 2 do nawet 8 lat przy sabotażu z art. 269 k.k.). Sąd może też orzec obowiązek naprawienia szkody na rzecz pokrzywdzonego (art. 46 k.k.). Skazanie skutkuje wpisem do Krajowego Rejestru Karnego, co może utrudnić wykonywanie niektórych zawodów.
Powiązane poradniki
- Przestępstwa przeciwko ochronie informacji (rozdz. XXXIII KK) – adwokat i obrona
- Nielegalne pozyskiwanie danych z systemów zarządzania koleją – kary i obrona (art. 267–269a KK)
- Nielegalne pozyskiwanie danych z systemów zarządzania energią – jakie kary i jak się bronić
- Nielegalne pozyskiwanie danych z systemów kontroli ruchu lotniczego – jaka odpowiedzialność karna i jak się bronić
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (rozdział XXXIII, art. 265-269b)
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (art. 5 § 2, prawa pokrzywdzonego)
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) - art. 30, 32-34, 82, 83
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę