Sabotaż systemów informatycznych administracji - przepisy karne i obrona
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Zarzut sabotowania systemów informatycznych administracji publicznej należy do najpoważniejszych spraw z zakresu cyberprzestępczości. Może dotyczyć ataku hakerskiego na rejestry państwowe, zakłócenia działania systemów urzędu, usunięcia lub zmodyfikowania danych w bazach administracji, a w skrajnych przypadkach - działań na szkodę bezpieczeństwa państwa. Polskie prawo karne reguluje te czyny przede wszystkim w rozdziale XXXIII Kodeksu karnego (przestępstwa przeciwko ochronie informacji), a przy działaniach na rzecz obcego wywiadu - także w rozdziale XVII. W tym artykule wyjaśniamy, jakie konkretnie przepisy wchodzą w grę, jakie kary grożą i jak wygląda obrona oskarżonego. Materiał ma charakter informacyjny i nie zastępuje indywidualnej porady adwokata.
Jakie czyny obejmuje pojęcie sabotażu systemów informatycznych
W języku potocznym sabotaż systemu IT to każde celowe działanie zmierzające do unieruchomienia, uszkodzenia lub zakłócenia pracy systemu komputerowego. W prawie karnym nie istnieje jeden przepis o nazwie sabotaż informatyczny - zachowania te są kwalifikowane z kilku przepisów w zależności od tego, co dokładnie zrobił sprawca: czy zniszczył lub zmienił dane, czy zakłócił przetwarzanie informacji, czy zablokował dostęp do systemu, czy też uzyskał do niego nieuprawniony dostęp. Gdy ofiarą jest organ administracji publicznej, znaczenie ma dodatkowo to, że celem ataku są systemy o szczególnym znaczeniu dla funkcjonowania państwa lub samorządu, co może wpływać na surowszą ocenę czynu i wybór kwalifikacji.
Naruszenie integralności danych - art. 268 i 268a KK
Art. 268 § 1 KK karze tego, kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią - grozi za to grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Jeżeli czyn dotyczy zapisu na informatycznym nośniku danych, zgodnie z art. 268 § 2 KK kara sięga do 3 lat pozbawienia wolności. Z kolei art. 268a § 1 KK chroni dane informatyczne: kto, nie będąc uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. Jeżeli sprawca wyrządza znaczną szkodę majątkową, kara wynosi od 3 miesięcy do 5 lat (art. 268a § 2 KK).
Sabotaż komputerowy o szczególnym znaczeniu - art. 269 KK
Najpoważniejszą podstawą jest art. 269 KK, który wprost dotyczy danych i systemów o znaczeniu dla bezpieczeństwa państwa i administracji. Zgodnie z art. 269 § 1 KK, kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego, albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. Tę samą karę przewiduje art. 269 § 2 KK dla tego, kto dopuszcza się powyższego czynu, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych. To właśnie ten przepis najczęściej znajduje zastosowanie przy realnym sabotażu systemów urzędowych.
Zakłócanie pracy systemu (atak DDoS) - art. 269a KK i narzędzia hakerskie - art. 269b KK
Ataki typu denial-of-service, blokujące dostęp do serwisów i systemów urzędu, kwalifikuje się z art. 269a KK: kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych w istotnym stopniu zakłóca pracę systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Z kolei art. 269b § 1 KK penalizuje przygotowanie narzędzi: wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów komputerowych przystosowanych do popełnienia takich przestępstw, a także haseł, kodów dostępu i innych danych umożliwiających nieuprawniony dostęp do informacji - grozi za to kara pozbawienia wolności od 3 miesięcy do lat 5. Często z sabotażem łączy się też art. 267 KK (nieuprawniony dostęp do informacji, hacking).
Działanie na rzecz obcego wywiadu - kiedy w grę wchodzi art. 130 KK
Jeżeli atak na systemy informatyczne administracji jest elementem działalności na rzecz obcego wywiadu lub godzi w bezpieczeństwo Rzeczypospolitej Polskiej, sprawa może zostać zakwalifikowana znacznie surowiej - z przepisów rozdziału XVII Kodeksu karnego o przestępstwach przeciwko państwu. Art. 130 KK (szpiegostwo) w aktualnym brzmieniu, po nowelizacji z 2023 roku, przewiduje za udział w działalności obcego wywiadu lub działanie na jego rzecz kary wieloletniego pozbawienia wolności, a za szczególnie groźne formy - nawet do dożywocia. Przy cyberatakach o charakterze sabotażu na infrastrukturę krytyczną może też znaleźć zastosowanie art. 140 KK (zamach na obiekty lub urządzenia o znaczeniu obronnym). Ocena, czy czyn ma wymiar pospolitej cyberprzestępczości, czy zagrożenia dla państwa, jest kluczowa dla całej linii obrony.
Strategie obrony w sprawie o sabotaż systemów IT
Obrona zaczyna się od analizy materiału dowodowego, który w sprawach informatycznych ma charakter techniczny. Kluczowe linie obrony to: po pierwsze, kwestionowanie sprawstwa - ustalenie, czy ślady cyfrowe (adres IP, logi, urządzenia) rzeczywiście wskazują na oskarżonego, czy mogły zostać sfałszowane lub należą do innej osoby korzystającej z tej samej sieci. Po drugie, podważanie strony podmiotowej - większość tych przestępstw jest umyślna, więc wykazanie braku zamiaru (np. przypadkowe uszkodzenie danych, działanie w ramach uprawnień, błąd administratora) może wykluczyć odpowiedzialność. Po trzecie, badanie legalności pozyskania dowodów cyfrowych i prawidłowości oględzin nośników. Po czwarte, kwestionowanie kwalifikacji - przesunięcie z surowego art. 269 KK na łagodniejszy art. 268a KK, jeżeli dane nie miały szczególnego znaczenia. Niezbędna bywa opinia biegłego z zakresu informatyki śledczej.
Cyberbezpieczeństwo administracji - obowiązki, które mają znaczenie dowodowe
Choć sabotaż jest przestępstwem sprawcy, otoczenie regulacyjne ma znaczenie również w procesie. Administracja publiczna podlega ustawie z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa oraz Krajowym Ramom Interoperacyjności, a po wdrożeniu dyrektywy UE NIS2 - rozszerzonym obowiązkom w zakresie zarządzania ryzykiem, audytów i zgłaszania incydentów. Dla obrony oraz oceny szkody istotne są zapisy systemowe: logi, kopie zapasowe, dokumentacja polityki bezpieczeństwa i raporty z incydentów. Pozwalają one ustalić rzeczywisty przebieg zdarzenia, rozmiar szkody i to, czy do zakłócenia doszło na skutek działania oskarżonego, czy też wcześniejszych zaniedbań po stronie instytucji. W praktyce poprawnie prowadzona dokumentacja incydentu bywa zarówno dowodem obciążającym, jak i odciążającym, dlatego jej analiza jest częścią każdej rzetelnej obrony.
Najczęstsze pytania
Z jakich przepisów kwalifikuje się sabotaż systemów informatycznych administracji?
W zależności od czynu: art. 268 i 268a KK (niszczenie i zmiana danych), art. 269 KK (sabotaż danych i systemów o szczególnym znaczeniu dla państwa i administracji, do 8 lat), art. 269a KK (zakłócenie pracy systemu, np. atak DDoS), art. 269b KK (narzędzia hakerskie) oraz art. 267 KK (nieuprawniony dostęp). Przy działaniu na rzecz obcego wywiadu - art. 130 KK.
Jaka kara grozi za atak na systemy informatyczne urzędu?
Za naruszenie danych z art. 268a KK grozi do 3 lat (a przy znacznej szkodzie majątkowej do 5 lat). Za sabotaż danych lub systemów o szczególnym znaczeniu dla administracji i bezpieczeństwa państwa z art. 269 KK grozi od 6 miesięcy do 8 lat pozbawienia wolności. Za zakłócenie pracy systemu z art. 269a KK - od 3 miesięcy do 5 lat. Surowiej karany jest sabotaż powiązany ze szpiegostwem (art. 130 KK).
Czy atak DDoS na stronę urzędu jest przestępstwem?
Tak. Jeśli przez transmisję lub manipulację danymi w istotnym stopniu zakłóca pracę systemu lub sieci teleinformatycznej, wyczerpuje to znamiona art. 269a KK i jest zagrożone karą od 3 miesięcy do 5 lat pozbawienia wolności. Jeżeli atak unieruchamia system o szczególnym znaczeniu dla administracji, może zostać surowiej zakwalifikowany z art. 269 KK.
Czy przypadkowe usunięcie danych przez pracownika urzędu to przestępstwo?
Przestępstwa z rozdziału XXXIII KK są zasadniczo umyślne. Jeśli pracownik działał w ramach swoich uprawnień albo dane zostały usunięte na skutek błędu lub awarii, bez zamiaru zniszczenia czy zakłócenia systemu, brakuje znamienia umyślności i odpowiedzialność karna co do zasady nie powstaje. Mogą jednak wystąpić konsekwencje pracownicze lub dyscyplinarne. Każdy przypadek wymaga indywidualnej oceny.
Jakie dowody są typowe w sprawach o cybersabotaż?
Dowody są głównie cyfrowe: logi systemowe i sieciowe, adresy IP, dane z urządzeń oskarżonego, zabezpieczone nośniki, kopie zapasowe oraz opinie biegłych z zakresu informatyki śledczej. Istotne są też dokumentacja incydentu i polityka bezpieczeństwa instytucji. Obrona często koncentruje się na prawidłowości zabezpieczenia tych dowodów i na tym, czy faktycznie wskazują na oskarżonego.
Czy oskarżony o atak na systemy administracji powinien mieć adwokata?
Zdecydowanie tak. Są to sprawy techniczne, o wysokim zagrożeniu karnym, w których kwalifikacja prawna (np. art. 268a vs art. 269 KK) decyduje o wymiarze kary. Adwokat oceni materiał dowodowy, zweryfikuje legalność oględzin nośników, w razie potrzeby zaangażuje biegłego informatyka i poprowadzi obronę od pierwszego przesłuchania, na którym warto skorzystać z prawa do odmowy wyjaśnień przed konsultacją.
Powiązane poradniki
- Co grozi za rozsyłanie wirusów komputerowych? Odpowiedzialność karna w Polsce
- Przestępstwa przeciwko ochronie informacji (rozdz. XXXIII KK) – adwokat i obrona
- Nielegalne pozyskanie danych z systemu informatycznego — jakie są linie obrony?
- Przestępstwa przeciwko infrastrukturze telekomunikacyjnej w polskim prawie karnym
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę