Przestępstwa przeciwko komunikacji elektronicznej — kary i obrona (art. 267–269b k.k.)
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Przestępstwa przeciwko komunikacji elektronicznej i bezpieczeństwu informacji to dziś jedna z najszybciej rosnących kategorii spraw karnych. W polskim prawie nie ma jednego „prawa o cyberprzestępczości” — odpowiedzialność wynika przede wszystkim z rozdziałów XXXIII i XXXV Kodeksu karnego (przestępstwa przeciwko ochronie informacji oraz przeciwko mieniu), uzupełnionych przez przepisy o ochronie danych osobowych (RODO i ustawa o ochronie danych osobowych). Ten artykuł wyjaśnia, jakie czyny są karalne, jakie realnie grożą kary w Polsce oraz co może zrobić adwokat — zarówno broniąc osoby oskarżonej, jak i reprezentując pokrzywdzonego.
Jakie czyny są karalne — mapa polskich przepisów
Najważniejsze podstawy to: art. 267 k.k. — bezprawne uzyskanie dostępu do informacji (hacking) oraz podsłuch i nielegalne pozyskanie danych; art. 268 k.k. — niszczenie, uszkadzanie lub utrudnianie dostępu do zapisu istotnej informacji; art. 268a k.k. — niszczenie i zakłócanie danych informatycznych; art. 269 k.k. — sabotaż komputerowy uderzający w dane o szczególnym znaczeniu (np. dla obronności, bezpieczeństwa, administracji); art. 269a k.k. — zakłócanie pracy systemu informatycznego lub sieci (np. ataki DDoS); art. 269b k.k. — wytwarzanie, pozyskiwanie i udostępnianie tzw. narzędzi hakerskich, w tym haseł i kodów dostępu. Do tego dochodzi oszustwo komputerowe z art. 287 k.k. (manipulacja danymi w celu osiągnięcia korzyści majątkowej). Każdy z tych przepisów ma odrębne znamiona — punkt wyjścia obrony to precyzyjne ustalenie, który czyn faktycznie zarzucono.
Hacking i podsłuch — art. 267 k.k.
Art. 267 § 1 k.k. penalizuje uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy przez przełamanie lub ominięcie zabezpieczeń elektronicznych, magnetycznych, informatycznych albo innych szczególnych. Art. 267 § 2 k.k. obejmuje uzyskanie dostępu do całości lub części systemu informatycznego, a § 3 — zakładanie i posługiwanie się urządzeniami podsłuchowymi lub oprogramowaniem w celu bezprawnego pozyskania informacji. Czyny te zagrożone są karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. To przestępstwa ścigane na wniosek pokrzywdzonego (art. 267 § 5 k.k.) — bez wniosku organy nie wszczynają postępowania, co bywa kluczowe zarówno dla ofiary, jak i dla obrony.
Sabotaż komputerowy i ataki na systemy — art. 268a, 269, 269a, 269b k.k.
Niszczenie i zakłócanie danych informatycznych (art. 268a k.k.) zagrożone jest karą pozbawienia wolności do lat 3. Najpoważniejszy jest sabotaż komputerowy z art. 269 k.k. — uderzenie w dane o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji publicznej — zagrożony karą pozbawienia wolności od 6 miesięcy do 8 lat. Zakłócanie pracy systemu lub sieci, np. przez ataki typu DDoS (art. 269a k.k.), grozi karą pozbawienia wolności od 3 miesięcy do 5 lat. Z kolei tworzenie i udostępnianie narzędzi hakerskich, haseł i kodów dostępu (art. 269b k.k.) jest karane pozbawieniem wolności od 3 miesięcy do 5 lat. To są zarzuty, gdzie szybko rośnie ryzyko tymczasowego aresztowania i zabezpieczenia sprzętu.
Oszustwo komputerowe i kradzież tożsamości — art. 287 i 190a § 2 k.k.
Oszustwo komputerowe (art. 287 k.k.) polega na wpływaniu — bez upoważnienia — na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych albo na zmianie zapisu, w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody. Grozi za nie kara pozbawienia wolności od 3 miesięcy do 5 lat; w wypadku mniejszej wagi — łagodniej. Tzw. kradzież tożsamości, czyli podszywanie się pod inną osobę i wykorzystanie jej wizerunku lub danych w celu wyrządzenia szkody majątkowej lub osobistej, to art. 190a § 2 k.k. (stalking w odmianie podszywania się), zagrożony karą do 8 lat pozbawienia wolności. Często czyny te zbiegają się z oszustwem „klasycznym” z art. 286 k.k.
Obrona osoby oskarżonej — jak to wygląda w praktyce
Skuteczna obrona zaczyna się od weryfikacji dowodów cyfrowych: legalności i poprawności zabezpieczenia nośników, łańcucha posiadania dowodu (czy nie naruszono integralności danych), prawidłowości opinii biegłego z zakresu informatyki śledczej. Częste linie obrony to: brak znamienia „przełamania lub ominięcia zabezpieczeń”, brak zamiaru, korzystanie z własnego konta lub upoważnienia, błędne przypisanie adresu IP (IP nie jest dowodem na konkretną osobę), a przy art. 267 — brak wymaganego wniosku pokrzywdzonego. Praktyczna rada: nie kasować danych ani nie „naprawiać” sprzętu po wezwaniu, bo grozi to zarzutem niszczenia dowodów; każdą czynność uzgadniać z obrońcą i korzystać z prawa do odmowy wyjaśnień (art. 175 k.p.k.).
Pomoc pokrzywdzonemu i ochrona danych (RODO)
Jeśli padłeś ofiarą, kluczowe są pierwsze godziny: zabezpiecz dowody (zrzuty ekranu z datą, logi, korespondencję, nagłówki e-mail), nie usuwaj wiadomości i złóż zawiadomienie o przestępstwie. Przy czynach z art. 267 k.k. potrzebny jest wniosek o ściganie. Równolegle, gdy doszło do naruszenia danych osobowych, administrator ma obowiązek zgłoszenia naruszenia do Prezesa UODO co do zasady w ciągu 72 godzin (art. 33 RODO), a w razie wysokiego ryzyka — zawiadomienia osób, których dane dotyczą (art. 34 RODO). Za naruszenia RODO grożą administracyjne kary pieniężne do 20 mln euro lub 4% rocznego światowego obrotu (art. 83 RODO). Pokrzywdzony może też dochodzić odszkodowania i zadośćuczynienia na drodze cywilnej (art. 82 RODO oraz art. 23 i 24 i 448 Kodeksu cywilnego).
Po co adwokat wyspecjalizowany w sprawach cyfrowych
Sprawy te wymagają połączenia prawa karnego z rozumieniem technologii. Dobry obrońca lub pełnomocnik potrafi: zlecić i krytycznie ocenić opinię biegłego informatyka, kwestionować dopuszczalność dowodów pozyskanych niezgodnie z procedurą, prawidłowo zakwalifikować czyn (różnica między art. 267, 268a, 269a a 287 k.k. przekłada się na lata kary), zadbać o wniosek o ściganie albo jego brak oraz prowadzić równolegle wątek RODO i roszczeń cywilnych. W sprawach gospodarczych istotna jest też odpowiedzialność członków zarządu i organizacji — dlatego warto wdrożyć politykę bezpieczeństwa i procedury na wypadek incydentu, zanim do niego dojdzie.
Najczęstsze pytania
Jaka kara grozi za hacking w Polsce?
Bezprawne uzyskanie dostępu do informacji lub systemu (art. 267 § 1–2 k.k.) jest zagrożone grzywną, ograniczeniem wolności albo pozbawieniem wolności do lat 2. To przestępstwo ścigane na wniosek pokrzywdzonego. Surowsze kary dotyczą sabotażu i ataków na systemy (art. 269, 269a, 269b k.k.).
Czy samo posiadanie narzędzi hakerskich jest karalne?
Tak. Art. 269b k.k. penalizuje wytwarzanie, pozyskiwanie, zbywanie i udostępnianie programów komputerowych przystosowanych do popełnienia przestępstw z art. 267–269a oraz haseł i kodów dostępu, jeżeli służą one popełnieniu takiego czynu. Grozi za to kara pozbawienia wolności od 3 miesięcy do 5 lat.
Czy adres IP wystarczy, żeby mnie skazać?
Nie. Adres IP wskazuje co najwyżej łącze lub urządzenie, a nie konkretną osobę. Obrona często wykazuje, że dostęp do sieci miało wiele osób, że IP było dynamiczne lub że doszło do przejęcia urządzenia. Konieczne są dodatkowe dowody łączące oskarżonego z czynem.
Padłem ofiarą włamania na konto — od czego zacząć?
Zabezpiecz dowody (zrzuty ekranu z datą, logi, nagłówki e-mail), zmień hasła i włącz uwierzytelnianie dwuetapowe, a następnie złóż zawiadomienie o przestępstwie. Przy czynach z art. 267 k.k. dołącz wniosek o ściganie. Jeśli wyciekły dane osobowe, sprawdź obowiązki administratora wobec UODO (art. 33–34 RODO).
Czy mogę żądać odszkodowania za naruszenie moich danych?
Tak. Art. 82 RODO przyznaje prawo do odszkodowania za szkodę majątkową i niemajątkową powstałą wskutek naruszenia przepisów o ochronie danych. Niezależnie można dochodzić ochrony dóbr osobistych i zadośćuczynienia na podstawie art. 23, 24 i 448 Kodeksu cywilnego.
Czym jest kradzież tożsamości w polskim prawie?
To podszywanie się pod inną osobę przez wykorzystanie jej wizerunku, danych osobowych lub innych danych w celu wyrządzenia jej szkody majątkowej lub osobistej — czyn z art. 190a § 2 k.k., zagrożony karą pozbawienia wolności do lat 8. Często zbiega się z oszustwem z art. 286 lub 287 k.k.
Powiązane poradniki
- Przestępstwa przeciwko ochronie informacji (rozdz. XXXIII KK) – adwokat i obrona
- Naruszenie integralności danych elektronicznych - przestępstwa z art. 267-269b k.k. i rola adwokata
- Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
- Adwokat w sprawach o cyberprzestępczość – jakie przepisy, kary i obrona
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. — Kodeks karny (art. 267, 268, 268a, 269, 269a, 269b, 287, 190a)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) — art. 33, 34, 82, 83
- Ustawa z dnia 23 kwietnia 1964 r. — Kodeks cywilny (art. 23, 24, 448)
- Urząd Ochrony Danych Osobowych — zgłaszanie naruszeń ochrony danych
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę