Co grozi za tworzenie i rozpowszechnianie złośliwego oprogramowania w Polsce
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Tworzenie, udostępnianie i wykorzystywanie złośliwego oprogramowania (malware) – wirusów, koni trojańskich, ransomware, keyloggerów czy narzędzi do ataków DDoS – to w Polsce nie tylko kwestia etyki czy bezpieczeństwa IT, lecz przede wszystkim odpowiedzialność karna. Kodeks karny w Rozdziale XXXIII „Przestępstwa przeciwko ochronie informacji” (art. 267–269b KK) penalizuje cały łańcuch takich działań: od samego wytwarzania narzędzi hakerskich, przez włamania i podsłuch danych, po niszczenie informacji i sabotaż systemów. Ten artykuł wyjaśnia, jakie konkretnie czyny są karalne, jakie grożą za nie kary pozbawienia wolności, kiedy sprawa toczy się z urzędu, a kiedy na wniosek pokrzywdzonego, oraz jaką dodatkową odpowiedzialność cywilną i administracyjną może ponieść sprawca.
Jakie przepisy regulują złośliwe oprogramowanie
Podstawą odpowiedzialności są przepisy Rozdziału XXXIII Kodeksu karnego. Najważniejszy z punktu widzenia malware jest art. 269b KK, który penalizuje wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów komputerowych przystosowanych do popełnienia przestępstw z art. 267 § 3, art. 268a, art. 269 i art. 269a KK, a także haseł, kodów dostępu lub innych danych umożliwiających dostęp do informacji. Innymi słowy: samo stworzenie lub rozprowadzanie wirusa, ransomware czy zestawu exploitów jest przestępstwem, nawet zanim ktokolwiek zostanie nim zaatakowany. Polska implementowała w tym zakresie wymogi Konwencji Rady Europy o cyberprzestępczości (Konwencja budapesztańska z 2001 r.), ratyfikowanej przez Polskę. Obok prawa karnego zastosowanie mają też przepisy o ochronie danych osobowych (RODO i ustawa z 10 maja 2018 r.) oraz przepisy cywilne o naprawieniu szkody.
Wytwarzanie i udostępnianie narzędzi hakerskich – art. 269b KK
Artykuł 269b KK to przepis najczęściej dotyczący twórców malware. Karze podlega ten, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstw komputerowych, jak również hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym. Zagrożenie to kara pozbawienia wolności od 3 miesięcy do lat 5. Co istotne, przestępstwo jest dokonane już w momencie wytworzenia lub udostępnienia takiego narzędzia – nie trzeba, by faktycznie posłużyło do ataku. Sąd może orzec przepadek narzędzi (np. komputera, nośników, kodu źródłowego) wykorzystanych do popełnienia czynu. Wyjątek dotyczy działań legalnych – np. badań nad bezpieczeństwem prowadzonych w celu ochrony systemów.
Włamania, podsłuch i kradzież danych – art. 267 KK
Gdy malware służy do uzyskania dostępu do cudzych informacji, w grę wchodzi art. 267 KK. Karze podlega ten, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej – m.in. przełamując albo omijając zabezpieczenia (np. logowanie, szyfrowanie). Ten sam przepis penalizuje zakładanie lub posługiwanie się oprogramowaniem podsłuchowym (np. keyloggerem) w celu pozyskania informacji oraz ich nieuprawnione ujawnienie. Zagrożenie to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Ważne praktycznie: ściganie czynów z art. 267 KK następuje na wniosek pokrzywdzonego (art. 267 § 5 KK). Oznacza to, że poszkodowany musi sam złożyć wniosek o ściganie – bez tego organy zwykle nie wszczną sprawy, ale po jego złożeniu postępowanie toczy się z urzędu.
Niszczenie danych i sabotaż systemów – art. 268a, 269 i 269a KK
Najpoważniejsze skutki działania malware obejmują niszczenie danych i paraliż systemów. Art. 268a KK penalizuje niszczenie, uszkadzanie, usuwanie, zmianę lub utrudnianie dostępu do danych informatycznych albo zakłócanie ich automatycznego przetwarzania – zagrożenie do 3 lat pozbawienia wolności (klasyczny przypadek ransomware szyfrującego pliki). Art. 269a KK dotyczy istotnego zakłócania pracy systemu informatycznego lub sieci przez transmisję, zniszczenie lub zmianę danych – obejmuje m.in. ataki DDoS – i jest zagrożony karą od 3 miesięcy do lat 5. Najsurowiej traktowany jest art. 269 KK – sabotaż komputerowy wymierzony w dane o szczególnym znaczeniu dla obronności, bezpieczeństwa państwa lub funkcjonowania administracji – zagrożony karą od 6 miesięcy do 8 lat pozbawienia wolności.
Gdy malware służy oszustwu lub wymuszeniu – art. 287 i 286 KK
Złośliwe oprogramowanie bywa narzędziem przestępstw majątkowych, które są karane surowiej. Jeżeli sprawca, w celu osiągnięcia korzyści majątkowej, wpływa na automatyczne przetwarzanie danych (np. przelewa pieniądze przez podmieniony numer konta), popełnia oszustwo komputerowe z art. 287 KK – zagrożone karą od 3 miesięcy do lat 5. Klasyczne oszustwo z art. 286 KK (np. wyłudzenie przez phishing) zagrożone jest karą od 6 miesięcy do lat 8. Ransomware z żądaniem okupu może wyczerpywać znamiona wymuszenia rozbójniczego z art. 282 KK (od roku do 10 lat). W praktyce jedno zdarzenie często kwalifikuje się jednocześnie z kilku przepisów (zbieg), a sąd wymierza karę za czyn najsurowiej zagrożony, uwzględniając całość bezprawia.
Ściganie z urzędu czy na wniosek – co musi zrobić poszkodowany
Tryb ścigania zależy od kwalifikacji czynu. Czyny z art. 267 KK (nieuprawniony dostęp, podsłuch) oraz art. 268a KK ściga się co do zasady na wniosek pokrzywdzonego. Sabotaż komputerowy (art. 269 KK), zakłócanie pracy systemu (art. 269a KK) i wytwarzanie narzędzi (art. 269b KK) ściga się z urzędu. Krok praktyczny dla ofiary ataku: 1) natychmiast zabezpiecz dowody – zrzuty ekranu, logi, wiadomości e-mail z malware, kopię żądania okupu; 2) nie usuwaj zainfekowanych plików ani urządzeń; 3) złóż zawiadomienie o przestępstwie, a przy czynach wnioskowych dołącz wyraźny wniosek o ściganie, na policji lub w prokuraturze; 4) przy wycieku danych osobowych powiadom Prezesa UODO. Im szybciej zabezpieczysz ślady cyfrowe, tym większa szansa na ustalenie sprawcy.
Odpowiedzialność cywilna i administracyjna sprawcy
Odpowiedzialność karna to nie wszystko. Poszkodowany może dochodzić od sprawcy odszkodowania na drodze cywilnej za szkodę wyrządzoną czynem niedozwolonym (art. 415 Kodeksu cywilnego) – obejmuje to koszty odzyskania danych, przestoju, naprawy systemów, a przy naruszeniu dóbr osobistych także zadośćuczynienie (art. 23 i 24 KC). Roszczenie można też zgłosić w samym procesie karnym, składając wniosek o naprawienie szkody na podstawie art. 46 KK. Odrębną płaszczyzną jest RODO: jeśli atak doprowadził do wycieku danych osobowych, administrator danych ma obowiązek zgłosić naruszenie Prezesowi UODO w ciągu 72 godzin (art. 33 RODO), a za zaniedbania w zabezpieczeniu danych grożą administracyjne kary pieniężne (art. 83 RODO). To trzy odrębne reżimy, które mogą działać równolegle wobec jednego zdarzenia.
Najczęstsze pytania
Czy samo napisanie wirusa, bez użycia go, jest karalne?
Tak. Art. 269b Kodeksu karnego penalizuje już samo wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów przystosowanych do popełniania przestępstw komputerowych, a także haseł i kodów dostępu. Przestępstwo jest dokonane w momencie stworzenia lub udostępnienia takiego narzędzia, niezależnie od tego, czy ktokolwiek został zaatakowany. Grozi za to do 5 lat pozbawienia wolności.
Jaka kara grozi za atak ransomware?
Szyfrowanie cudzych danych może wyczerpywać znamiona art. 268a KK (niszczenie/zmiana danych, do 3 lat) lub art. 269a KK (zakłócanie pracy systemu, do 5 lat). Żądanie okupu może dodatkowo stanowić wymuszenie rozbójnicze z art. 282 KK, zagrożone karą od roku do 10 lat pozbawienia wolności. Często dochodzi do zbiegu kilku przepisów.
Czy te przestępstwa są ścigane z urzędu?
To zależy od czynu. Nieuprawniony dostęp i podsłuch (art. 267 KK) oraz niszczenie danych (art. 268a KK) ściga się na wniosek pokrzywdzonego. Natomiast sabotaż komputerowy (art. 269 KK), zakłócanie pracy systemu (art. 269a KK) i wytwarzanie narzędzi hakerskich (art. 269b KK) ściga się z urzędu, niezależnie od wniosku.
Czy ofiara malware może domagać się odszkodowania?
Tak. Poszkodowany może dochodzić odszkodowania na drodze cywilnej za czyn niedozwolony (art. 415 KC), obejmującego np. koszty odzyskania danych i przestoju, a przy naruszeniu dóbr osobistych także zadośćuczynienia (art. 24 KC). Może też złożyć wniosek o naprawienie szkody w procesie karnym (art. 46 KK).
Co zrobić, gdy padłem ofiarą ataku złośliwym oprogramowaniem?
Zabezpiecz dowody (zrzuty ekranu, logi, e-maile, żądanie okupu), nie usuwaj zainfekowanych plików, złóż zawiadomienie o przestępstwie wraz z wnioskiem o ściganie na policji lub w prokuraturze, a przy wycieku danych osobowych powiadom Prezesa UODO. Im szybciej zabezpieczysz ślady cyfrowe, tym łatwiej ustalić sprawcę.
Czy testowanie zabezpieczeń (pentesting) też jest karalne?
Nie, jeśli odbywa się legalnie. Kluczowe jest znamię działania 'bez uprawnienia'. Testy bezpieczeństwa prowadzone na podstawie umowy i za zgodą właściciela systemu nie są przestępstwem. Problemem jest wykroczenie poza zakres zgody – wtedy działanie może zostać zakwalifikowane jako nieuprawniony dostęp z art. 267 KK.
Powiązane poradniki
- Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
- Co grozi za atak hakerski? Kary z art. 267-269b Kodeksu karnego
- Przestępstwa przeciwko bezpieczeństwu informacji – kary, obrona i rola adwokata
- Rola obrońcy w sprawach o nielegalne wykorzystanie cudzych materiałów technicznych
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (Rozdział XXXIII: art. 267–269b – przestępstwa przeciwko ochronie informacji; art. 282, 286, 287)
- Konwencja Rady Europy o cyberprzestępczości, sporządzona w Budapeszcie dnia 23 listopada 2001 r.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – art. 33 i 83
- Ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny (art. 415, 23–24 – odpowiedzialność za czyn niedozwolony i ochrona dóbr osobistych)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę