Co grozi za włamanie do komputera? Hacking w świetle art. 267-269b Kodeksu karnego
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Potoczne 'włamanie do komputera' to w języku prawnym cały zespół przestępstw przeciwko ochronie informacji, uregulowanych w rozdziale XXXIII Kodeksu karnego (art. 265-269c). Polskie prawo karze nie tylko klasycznego hakera przełamującego zabezpieczenia serwera, ale także osobę, która zalogowała się na cudze konto e-mail czy profil w mediach społecznościowych, podejrzała czyjąś korespondencję albo skopiowała dane bez zgody. W tym artykule wyjaśniamy, jakie konkretne czyny są karalne, jakie kary za nie grożą, kiedy hacking może być legalny oraz co robić, gdy padliśmy ofiarą włamania lub gdy sami usłyszeliśmy zarzuty.
Nielegalny dostęp do informacji - art. 267 § 1 i 2 KK
Sercem regulacji jest art. 267 KK. Zgodnie z § 1 kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Paragraf 2 rozszerza odpowiedzialność na każdego, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego - czyli także na samo nieuprawnione zalogowanie się do cudzego systemu, nawet bez 'łamania' haseł. W praktyce oznacza to, że wpisanie cudzego loginu i hasła do skrzynki e-mail, do konta bankowego czy do profilu na portalu społecznościowym, bez zgody właściciela, to już przestępstwo - niezależnie od tego, czy sprawca cokolwiek zmienił.
Podsłuch, sniffing i ujawnienie cudzych informacji - art. 267 § 3-5 KK
Art. 267 § 3 KK penalizuje zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której sprawca nie jest uprawniony - obejmuje to m.in. instalowanie keyloggerów czy programów szpiegujących oraz przechwytywanie ruchu sieciowego (sniffing). Czyn ten zagrożony jest karą jak w § 1, czyli do 2 lat pozbawienia wolności. Z kolei § 4 karze tego, kto bezprawnie uzyskaną w ten sposób informację ujawnia innej osobie. Istotne jest, że przestępstwa z art. 267 KK ścigane są na wniosek pokrzywdzonego (§ 5) - postępowanie ruszy więc dopiero wtedy, gdy ofiara złoży wniosek o ściganie, choć po jego złożeniu postępowanie toczy się już z urzędu.
Niszczenie i zmiana danych - art. 268, 268a i 269 KK
Gdy sprawca nie tylko ogląda dane, ale je niszczy lub modyfikuje, w grę wchodzą kolejne przepisy. Art. 268 KK karze udaremnianie lub utrudnianie osobie uprawnionej zapoznania się z informacją (do 2 lat, a jeśli dotyczy zapisu na informatycznym nośniku danych - do 3 lat). Art. 268a KK dotyczy niszczenia, uszkadzania, usuwania, zmiany lub utrudniania dostępu do danych informatycznych albo zakłócania ich przetwarzania - zagrożenie do 3 lat pozbawienia wolności. Najsurowszy jest art. 269 KK, chroniący dane o szczególnym znaczeniu dla obronności, bezpieczeństwa państwa lub administracji rządowej: za ich niszczenie czy zakłócanie pracy systemu grozi kara od 6 miesięcy do 8 lat pozbawienia wolności.
Sabotaż komputerowy i narzędzia hakerskie - art. 269a i 269b KK
Art. 269a KK penalizuje istotne zakłócenie pracy systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej poprzez transmisję, niszczenie, usuwanie, uszkadzanie, utrudnianie dostępu lub zmianę danych - przewiduje karę od 3 miesięcy do 5 lat pozbawienia wolności. To pod ten przepis kwalifikuje się m.in. atak typu DDoS czy działanie złośliwego oprogramowania paraliżującego serwery. Z kolei art. 269b KK karze wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów komputerowych przystosowanych do popełniania powyższych przestępstw, a także haseł, kodów dostępu i innych danych umożliwiających dostęp do informacji - zagrożenie wynosi tu do 5 lat pozbawienia wolności (z możliwością orzeczenia przepadku takich narzędzi). Innymi słowy, karalne jest już samo handlowanie narzędziami hakerskimi i wykradzionymi bazami loginów.
Kiedy hacking jest legalny - testy bezpieczeństwa i zgłaszanie luk
Nie każde testowanie zabezpieczeń jest przestępstwem. Art. 269b § 1a KK wyłącza karalność działania osoby uprawnionej do prowadzenia czynności mających na celu zabezpieczenie systemu przed popełnieniem przestępstwa lub opracowanie metody takiego zabezpieczenia - czyli legalnego pentestera działającego na zlecenie i w granicach umowy. Dodatkowo art. 269c KK przewiduje, że nie podlega karze ten, kto działa wyłącznie w celu zabezpieczenia systemu albo ujawnienia jego podatności i niezwłocznie powiadamia o tym dysponenta systemu, nie wyrządzając przy tym szkody. Granica jest jednak cienka: kluczowe są zgoda dysponenta (najlepiej pisemna umowa z określonym zakresem), brak działania w celu osiągnięcia korzyści oraz natychmiastowe zgłoszenie wykrytych luk. Przekroczenie tych ram zamienia 'etyczny hacking' w przestępstwo z art. 267 KK.
Co zrobić, gdy ktoś włamał się na Twoje konto - i jak się bronić przy zarzutach
Jeśli padłeś ofiarą włamania: natychmiast zmień hasła (z innego, zaufanego urządzenia), włącz uwierzytelnianie dwuskładnikowe, zabezpiecz dowody (zrzuty ekranu, logi logowań, nagłówki wiadomości) i złóż na Policji lub w prokuraturze zawiadomienie wraz z wnioskiem o ściganie z art. 267 KK. Jeśli włamanie posłużyło do kradzieży pieniędzy z konta, dochodzi zwykle kwalifikacja oszustwa komputerowego z art. 287 KK. Jeśli natomiast to Ty usłyszałeś zarzuty: nie kasuj danych ani urządzeń (to grozi dodatkowym zarzutem zacierania dowodów), skorzystaj z prawa do odmowy składania wyjaśnień (art. 175 KPK) i jak najszybciej ustanów obrońcę. Obrona często koncentruje się na wykazaniu braku uprawnienia po stronie pokrzywdzonego do złożenia wniosku, kwestii braku zabezpieczeń, których nie trzeba było 'przełamywać', albo działania w granicach udzielonej zgody.
Najczęstsze pytania
Czy zalogowanie się na konto e-mail partnera jest przestępstwem?
Tak. Uzyskanie bez uprawnienia dostępu do cudzej skrzynki e-mail, nawet jeśli znamy hasło, wypełnia znamiona art. 267 § 1 lub § 2 KK i jest zagrożone karą do 2 lat pozbawienia wolności. Brak zgody właściciela konta jest decydujący - relacja rodzinna ani małżeńska nie daje prawa do czytania cudzej korespondencji. Przestępstwo ścigane jest na wniosek pokrzywdzonego.
Czy grozi kara za samo przeglądanie cudzych plików, jeśli nic nie usunąłem?
Tak. Art. 267 KK karze już samo uzyskanie nieuprawnionego dostępu do informacji lub systemu, niezależnie od tego, czy doszło do zmiany lub zniszczenia danych. Usunięcie lub modyfikacja danych to dodatkowy czyn z art. 268a KK i zwiększa odpowiedzialność, ale nie jest warunkiem karalności samego włamania.
Jaka kara grozi za atak DDoS lub paraliż systemu firmy?
Istotne zakłócenie pracy systemu lub sieci teleinformatycznej (np. atak DDoS, szyfrowanie danych ransomware) kwalifikuje się jako sabotaż komputerowy z art. 269a KK, zagrożony karą od 3 miesięcy do 5 lat pozbawienia wolności. Jeśli atak dotyczy systemów o znaczeniu dla bezpieczeństwa państwa, zastosowanie znajdzie surowszy art. 269 KK (do 8 lat).
Czy testowanie cudzych zabezpieczeń bez zgody to przestępstwo?
Tak, jeśli brakuje zgody dysponenta systemu. Legalny pentest chroni art. 269b § 1a KK, ale tylko gdy działanie ma na celu zabezpieczenie systemu i odbywa się w granicach uprawnienia (umowy). Art. 269c KK wyłącza karę także dla osoby, która działa wyłącznie w celu ujawnienia podatności, niezwłocznie zawiadamia dysponenta i nie wyrządza szkody. Bez zgody i bez zgłoszenia jest to czyn z art. 267 KK.
Co zrobić, jeśli ktoś włamał się na moje konto bankowe?
Niezwłocznie zgłoś sprawę bankowi i zastrzeż dostęp, zmień dane logowania z bezpiecznego urządzenia, zabezpiecz dowody (potwierdzenia transakcji, logi) i złóż zawiadomienie o przestępstwie. Nieuprawniona ingerencja w dane w celu osiągnięcia korzyści majątkowej to oszustwo komputerowe z art. 287 KK, a samo włamanie - czyn z art. 267 KK. Bank ma obowiązek zwrotu środków za nieautoryzowane transakcje, jeśli nie przyczyniłeś się do nich rażącym niedbalstwem.
Powiązane poradniki
- Nielegalny dostęp do danych w polskim prawie: art. 267 k.k. i kontrola na granicy
- Nielegalne pozyskanie danych z systemu informatycznego — jakie są linie obrony?
- Nielegalne podsłuchiwanie - kiedy jest przestępstwem i jak się bronić?
- Jaka odpowiedzialność prawna grozi za zamach na infrastrukturę przesyłu gazu?
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę