Przestępstwa przeciwko bezpieczeństwu telekomunikacyjnemu - art. 267-269b k.k.: kary i obrona

Sieci telekomunikacyjne i systemy informatyczne stały się szkieletem życia gospodarczego i prywatnego, a wraz z tym - atrakcyjnym celem nadużyć. Nieuprawniony dostęp do cudzej skrzynki, podłączenie się do sieci, instalacja złośliwego oprogramowania, zakłócanie pracy systemu czy nielegalne pozyskiwanie danych telekomunikacyjnych to czyny, które polski Kodeks karny opisuje w rozdziale XXXIII, w przepisach od art. 267 do art. 269b. Wbrew obiegowym opinii nie ma w Polsce jednej ustawy o cyberprzestępstwach - odpowiedzialność wynika z konkretnych typów czynów zabronionych w Kodeksie karnym, uzupełnionych Prawem telekomunikacyjnym i przepisami o ochronie danych. Ten artykuł porządkuje te podstawy, wyjaśnia grożące sankcje, rolę dowodu cyfrowego oraz linie obrony - wyłącznie na gruncie prawa polskiego, bez odwołań do regulacji zagranicznych.

Jakie czyny penalizuje Kodeks karny - art. 267-269b k.k.

Rdzeniem ochrony są przepisy rozdziału XXXIII k.k. o przestępstwach przeciwko ochronie informacji. Art. 267 k.k. karze nieuprawniony dostęp do informacji nieprzeznaczonej dla sprawcy (m.in. przez przełamanie zabezpieczeń, podłączenie do sieci telekomunikacyjnej, par. 1), nieuprawniony dostęp do systemu informatycznego (par. 2) oraz zakładanie i posługiwanie się urządzeniem podsłuchowym, wizualnym albo oprogramowaniem (par. 3) - grozi za to grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Art. 268 k.k. penalizuje nieuprawnione niszczenie, uszkadzanie lub zmianę zapisu istotnej informacji (do 2 lat, a gdy dotyczy danych informatycznych - do 3 lat). Art. 268a k.k. chroni dane informatyczne przed niszczeniem i utrudnianiem dostępu (do 3 lat). Art. 269 k.k. dotyczy sabotażu danych o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji (od 6 miesięcy do 8 lat). Art. 269a k.k. karze zakłócanie pracy systemu lub sieci (do 5 lat), a art. 269b k.k. - wytwarzanie, pozyskiwanie i udostępnianie programów oraz haseł służących do popełniania tych przestępstw (do 5 lat).

Oszustwa telekomunikacyjne, phishing i kradzież tożsamości

Praktyka cyberprzestępczości rzadko mieści się w jednym przepisie. Phishing i wyłudzanie danych do logowania prowadzące do zaboru pieniędzy z konta to najczęściej oszustwo z art. 286 k.k. (do 8 lat) lub - przy bezpośredniej ingerencji w dane informatyczne wpływającej na automatyczne przetwarzanie - oszustwo komputerowe z art. 287 k.k. (od 3 miesięcy do 5 lat). Podszywanie się pod inną osobę i wykorzystanie jej danych w celu wyrządzenia szkody majątkowej lub osobistej to przestępstwo kradzieży tożsamości z art. 190a par. 2 k.k. (do 8 lat). Bezprawne uzyskanie i przetwarzanie cudzych danych osobowych może dodatkowo skutkować odpowiedzialnością karną z art. 107 ustawy o ochronie danych osobowych. Telefoniczne oszustwa metodą "na wnuczka" czy spoofing numeru łączą się zwykle z art. 286 k.k. To kwalifikacja kumulatywna sprawia, że ocena prawna konkretnego stanu faktycznego wymaga doświadczenia.

Obowiązki operatorów i odpowiedzialność na gruncie Prawa telekomunikacyjnego

Po stronie przedsiębiorców telekomunikacyjnych równolegle do prawa karnego obowiązuje ustawa Prawo telekomunikacyjne. Nakłada ona obowiązki w zakresie tajemnicy telekomunikacyjnej (zakaz zapoznawania się i ujawniania treści oraz danych o przekazach), bezpieczeństwa i integralności sieci oraz retencji danych. Naruszenie tajemnicy telekomunikacyjnej przez osobę zobowiązaną do jej zachowania może wyczerpywać znamiona przestępstwa z art. 267 k.k., a także rodzić odpowiedzialność administracyjną - Prezes UKE może nakładać kary pieniężne sięgające 3% przychodu przedsiębiorcy z poprzedniego roku. Operatorzy są też adresatami obowiązków z ustawy o krajowym systemie cyberbezpieczeństwa. Dla firmy oznacza to dwa równoległe ryzyka: karne (dla osób fizycznych działających w jej imieniu) oraz administracyjne (kary nakładane na podmiot). Audyt zgodności i wewnętrzne procedury bezpieczeństwa ograniczają oba.

Dowód cyfrowy w polskim procesie karnym

W polskiej procedurze karnej nie obowiązuje zamknięty katalog dowodów - dowodem może być wszystko, co służy ustaleniu prawdy, w tym logi serwerów, korespondencja e-mail, dane z mediów społecznościowych, billingi i kopie nośników. Zabezpieczenie danych następuje najczęściej przez zatrzymanie rzeczy i przeszukanie (art. 217 i nast. k.p.k.) oraz oględziny nośnika z udziałem biegłego informatyka. Kluczowa jest integralność materiału: prawidłowe wykonanie kopii binarnej, udokumentowanie ciągłości dysponowania dowodem i suma kontrolna, bo każda luka w tym łańcuchu osłabia wartość dowodową. Art. 168a k.p.k. stanowi, że dowodu nie można uznać za niedopuszczalny wyłącznie dlatego, że uzyskano go z naruszeniem przepisów postępowania lub za pomocą czynu zabronionego - co poszerza dopuszczalność, ale nie zwalnia z krytycznej oceny wiarygodności. Opinia biegłego z zakresu informatyki śledczej często rozstrzyga o losach sprawy.

Linie obrony w sprawach o cyberprzestępstwa

Obrona zaczyna się od znamion czynu. Przy art. 267 k.k. bada się, czy informacja rzeczywiście była "nieprzeznaczona" dla oskarżonego i czy doszło do realnego przełamania lub obejścia zabezpieczenia - dostęp do systemu bez zabezpieczeń albo w granicach posiadanego uprawnienia może wyłączać odpowiedzialność. Większość tych przestępstw wymaga zamiaru (działania umyślnego), więc wykazanie braku świadomości albo działania przypadkowego podważa stronę podmiotową. Istotna jest kontrola legalności czynności dowodowych: wadliwe przeszukanie, brak postanowienia, przerwanie łańcucha dowodowego czy błędy w zabezpieczeniu nośnika mogą prowadzić do zakwestionowania opinii biegłego. Skuteczne bywa też powołanie się na znikomą społeczną szkodliwość czynu (art. 1 par. 2 k.k.). Niektóre czyny (art. 267, 268, 268a, 269a, 269b k.k.) ścigane są na wniosek pokrzywdzonego - brak lub cofnięcie wniosku blokuje postępowanie.

Co robi adwokat - po stronie oskarżonego i pokrzywdzonego

Po stronie obrony adwokat analizuje kwalifikację prawną (czy czyn nie został zawyżony przez kumulację przepisów), kontroluje sposób zabezpieczenia dowodów cyfrowych, wnioskuje o powołanie biegłego i kwestionuje jego ustalenia, a także negocjuje z prokuraturą dobrowolne poddanie się karze (art. 387 k.p.k.) lub warunkowe umorzenie postępowania, gdy sprawca nie był karany, a wina i społeczna szkodliwość nie są znaczne (art. 66 k.k.). Po stronie pokrzywdzonego - osoby lub firmy, której dane wykradziono lub której system zaatakowano - adwokat pomaga prawidłowo złożyć zawiadomienie i wniosek o ściganie, reprezentuje jako pełnomocnik oskarżyciela posiłkowego oraz dochodzi naprawienia szkody w procesie karnym (art. 46 k.k.) lub cywilnym. Doradza też przedsiębiorcom w spełnianiu obowiązków bezpieczeństwa, by ograniczyć ryzyko kar administracyjnych.

Jak zareagować na incydent - praktyczne kroki

Niezależnie od tego, czy jesteś podejrzanym, czy pokrzywdzonym, działaj według schematu. Po pierwsze zabezpiecz dowody: nie kasuj logów, e-maili ani danych, wykonaj kopie, zanotuj daty i godziny zdarzeń, zachowaj zrzuty ekranu i raporty systemów bezpieczeństwa. Po drugie, jako pokrzywdzony złóż zawiadomienie o przestępstwie na policji lub w prokuraturze, a przy czynach wnioskowych pamiętaj o wniosku o ściganie; jeśli doszło do naruszenia ochrony danych w firmie - rozważ zgłoszenie do Prezesa UODO w terminie 72 godzin. Po trzecie, jeśli usłyszałeś zarzut lub spodziewasz się przeszukania - skorzystaj z prawa do milczenia i niezwłocznie skontaktuj się z obrońcą, zanim złożysz jakiekolwiek wyjaśnienia. Po czwarte, w sprawie z elementem majątkowym zgłoś zdarzenie bankowi (reklamacja transakcji) i CSIRT. Wczesna reakcja przesądza o zabezpieczeniu materiału dowodowego i sile sprawy.