Co grozi za atak hakerski? Kary z art. 267-269b Kodeksu karnego
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Pytanie "co grozi za atak hakerski" ma w polskim prawie dwa wymiary. Pierwszy to odpowiedzialność karna sprawcy - hakera, który uzyskuje nieuprawniony dostęp do systemu, podsłuchuje dane lub niszczy informacje. Drugi to obowiązki i ryzyka po stronie zaatakowanej organizacji, która przetwarzała dane osobowe - tu kluczowe jest RODO. Te dwa porządki łatwo pomylić, bo dotyczą tego samego zdarzenia, ale rządzą się zupełnie innymi przepisami i karami. W tym artykule rozdzielamy je wyraźnie: najpierw wyjaśniamy, jakie kary z Kodeksu karnego grożą sprawcy włamania (art. 267-269b k.k.), następnie odpowiedzialność cywilną za wyrządzone szkody, a na końcu - co musi zrobić firma, której dane wyciekły, by sama nie naraziła się na karę administracyjną. Opieramy się wyłącznie na prawie polskim i unijnym obowiązującym w Polsce.
Nieuprawniony dostęp i podsłuch - art. 267 k.k.
Podstawowy przepis penalizujący "klasyczne" włamanie do systemu to art. 267 k.k. Zgodnie z § 1, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Ten sam przepis (§ 2) obejmuje uzyskanie dostępu do całości lub części systemu informatycznego, a § 3 - zakładanie i posługiwanie się urządzeniem podsłuchowym lub oprogramowaniem w celu pozyskania cudzej informacji. Karze podlega też ten, kto tak uzyskaną informację ujawnia innej osobie (§ 4). Co istotne procesowo: ściganie czynów z art. 267 k.k. następuje na wniosek pokrzywdzonego, a nie z urzędu. Dla zaistnienia przestępstwa wystarczy samo przełamanie zabezpieczenia, bez konieczności wyrządzenia dalszej szkody.
Niszczenie danych, sabotaż komputerowy i narzędzia hakerskie - art. 268-269b k.k.
Kodeks karny chroni nie tylko poufność, ale i integralność oraz dostępność danych. Art. 268 k.k. karze udaremnianie lub utrudnianie dostępu do informacji osobie uprawnionej (niszczenie, uszkadzanie, usuwanie lub zmianę zapisu) - do 2 lat, a jeżeli dotyczy to danych informatycznych - do 3 lat (art. 268 § 2 k.k.). Art. 268a k.k. dotyczy niszczenia, uszkadzania, usuwania, zmiany lub utrudniania dostępu do danych informatycznych - do 3 lat. Najpoważniejszy jest art. 269 k.k. (sabotaż komputerowy): niszczenie danych o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji państwowej zagrożone jest karą od 6 miesięcy do 8 lat pozbawienia wolności. Art. 269a k.k. penalizuje zakłócanie pracy systemu lub sieci (np. ataki DDoS) - od 3 miesięcy do 5 lat. Wreszcie art. 269b k.k. karze samo wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów i narzędzi (w tym haseł i kodów dostępu) przystosowanych do popełnienia tych przestępstw - karą od 3 miesięcy do 5 lat. Oznacza to, że karalne bywa nie tylko włamanie, ale już samo posiadanie i rozpowszechnianie narzędzi hakerskich w określonym celu.
Najczęstsze pytania
Ile lat więzienia grozi za włamanie do systemu komputerowego?
Za nieuprawniony dostęp do systemu lub informacji (art. 267 k.k.) grozi grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat. Zakłócanie pracy systemu, np. atak DDoS (art. 269a k.k.), zagrożone jest karą od 3 miesięcy do 5 lat, a sabotaż komputerowy wymierzony w dane o znaczeniu dla obronności lub administracji państwowej (art. 269 k.k.) - od 6 miesięcy do 8 lat.
Czy samo posiadanie programów hakerskich jest karalne?
Tak, jeśli wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów, haseł albo kodów dostępu następuje w celu popełnienia przestępstwa komputerowego (art. 269b k.k.) - grozi za to kara od 3 miesięcy do 5 lat. Karalne jest więc nie tylko samo włamanie, ale i obrót narzędziami przystosowanymi do takich ataków w określonym celu.
Czy firma, którą zhakowano, też może zostać ukarana?
Tak, ale nie za sam fakt ataku, lecz za własne zaniedbania - brak odpowiednich zabezpieczeń danych (art. 32 RODO) lub niezgłoszenie naruszenia w ciągu 72 godzin (art. 33 RODO). Prezes UODO może nałożyć administracyjną karę pieniężną do 10 mln euro / 2% obrotu, a za naruszenie podstawowych zasad nawet do 20 mln euro / 4% rocznego światowego obrotu (art. 83 RODO).
Czy ofiara ataku może żądać odszkodowania od hakera?
Tak. Niezależnie od odpowiedzialności karnej sprawca odpowiada cywilnie za czyn niedozwolony (art. 415 k.c.) i musi naprawić szkodę - rzeczywistą stratę oraz utracone korzyści (art. 361 k.c.). Za naruszenie dóbr osobistych można żądać zadośćuczynienia (art. 24 i 448 k.c.), a przy wzbogaceniu się na skradzionych danych - zwrotu korzyści (art. 405 k.c.).
Czy pracownik może odpowiadać za to, że dał się nabrać na phishing?
Powiązane poradniki
- Przestępstwa przeciwko bezpieczeństwu danych (art. 267-269b KK)
- Przestępstwa przeciwko bezpieczeństwu teleinformatycznemu (art. 267-269b KK) - jak działa adwokat?
- Co grozi za tworzenie i rozpowszechnianie złośliwego oprogramowania w Polsce
- Co grozi za rozsyłanie wirusów komputerowych? Odpowiedzialność karna w Polsce
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 267-269b, 287, 190a § 2, 11 § 2)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 - RODO (art. 32, 33, 34, 83)
- Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny (art. 361, 405, 415, 24, 448)
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę