Przestępstwa komputerowe i hacking w polskim prawie - art. 267-269b KK, kary i obrona
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Hacking, czyli nieuprawniony dostęp do informacji lub systemu komputerowego, jest w Polsce przestępstwem opisanym przede wszystkim w rozdziale XXXIII Kodeksu karnego (przestępstwa przeciwko ochronie informacji), w artykułach od 267 do 269b. Wbrew potocznemu obrazowi nie każde wejście do cudzego systemu jest tak samo karane - prawo rozróżnia samo uzyskanie dostępu, niszczenie danych, zakłócanie pracy systemu oraz wytwarzanie narzędzi hakerskich. Osobny status ma tzw. etyczny hacking, prowadzony za zgodą właściciela systemu. W tym artykule, opierając się na obowiązujących przepisach, wyjaśniamy, co dokładnie jest karalne, jakie kary grożą, jak ofiara może dochodzić odszkodowania i jakie linie obrony są realne.
Nieautoryzowany dostęp do informacji - art. 267 KK
Podstawowy przepis to art. 267 par. 1 KK: kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Par. 2 obejmuje uzyskanie dostępu do całości lub części systemu informatycznego bez uprawnienia. Par. 3 karze podsłuch i bezprawne pozyskiwanie informacji za pomocą urządzeń, a par. 4 - ujawnienie takiej informacji innej osobie. Co istotne, art. 267 jest ścigany na wniosek pokrzywdzonego (par. 5) - bez wniosku prokuratura nie wszczyna postępowania. Sam fakt przełamania zabezpieczenia wystarcza do bytu przestępstwa; nie trzeba wykazywać szkody.
Niszczenie i utrudnianie dostępu do danych - art. 268 i 268a KK
Art. 268 KK chroni integralność i dostępność zapisanych informacji: kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub utrudnia osobie uprawnionej zapoznanie się z nią, podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2; gdy czyn dotyczy zapisu na informatycznym nośniku danych - do lat 3. Art. 268a KK dotyczy danych informatycznych: niszczenia, uszkadzania, usuwania, zmieniania lub utrudniania dostępu do danych albo zakłócania ich automatycznego przetwarzania - tu również grozi pozbawienie wolności do lat 3, a w typie z wyrządzeniem znacznej szkody majątkowej od 3 miesięcy do lat 5. To częsta podstawa zarzutów przy atakach polegających na kasowaniu baz danych czy szyfrowaniu plików.
Sabotaż komputerowy i ataki na infrastrukturę - art. 269, 269a, 269b KK
Najsurowiej karany jest sabotaż komputerowy. Art. 269 KK: kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej lub innego organu państwowego albo zakłóca pracę takich systemów, podlega karze pozbawienia wolności od 6 miesięcy do 8 lat. Art. 269a KK penalizuje zakłócanie pracy systemu lub sieci teleinformatycznej (np. atak DDoS) - kara od 3 miesięcy do 5 lat. Art. 269b KK dotyczy narzędzi: wytwarzania, pozyskiwania, sprzedaży lub udostępniania programów komputerowych przystosowanych do popełniania tych przestępstw, a także haseł i kodów dostępu - również zagrożone karą od 3 miesięcy do 5 lat. To właśnie art. 269b bywa stosowany wobec twórców i dystrybutorów złośliwego oprogramowania.
Etyczny hacking i kontratyp z art. 269c KK
Polskie prawo wprost dopuszcza testy bezpieczeństwa. Art. 269c KK stanowi, że nie podlega karze, kto działając wyłącznie w celu zabezpieczenia systemu lub opracowania metody takiego zabezpieczenia, uzyskuje dostęp do systemu lub danych (czyny z art. 267 par. 2 albo 269a), niezwłocznie powiadamia dysponenta systemu o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego ani prywatnego i nie wyrządziło szkody. To kontratyp chroniący badaczy bezpieczeństwa i pentesterów, ale tylko przy spełnieniu wszystkich przesłanek łącznie. W praktyce bezpieczniej jest działać na podstawie pisemnej umowy z zakresem testu (scope), bo brak zgody właściciela albo wyjście poza uzgodniony zakres przekreśla ochronę i naraża na odpowiedzialność z art. 267 lub 269a KK.
Odpowiedzialność cywilna - jak ofiara odzyskuje straty
Odpowiedzialność karna nie wyklucza cywilnej. Podstawą roszczenia odszkodowawczego jest art. 415 Kodeksu cywilnego (kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia) - na tej podstawie ofiara dochodzi naprawienia szkody majątkowej: kosztów odtworzenia danych, przestoju, utraconych korzyści. W postępowaniu karnym pokrzywdzony może też żądać naprawienia szkody bezpośrednio od sprawcy: art. 46 par. 1 KK pozwala sądowi orzec obowiązek naprawienia szkody lub zadośćuczynienia za krzywdę. Jeśli atak wiązał się z naruszeniem danych osobowych, dochodzą roszczenia z RODO (art. 82 - odszkodowanie za szkodę z naruszenia przepisów o ochronie danych). Skuteczne dochodzenie roszczeń zależy od dokumentacji: logów, zrzutów ekranu, raportów technicznych i zawiadomienia organów ścigania.
Linie obrony osoby oskarżonej o hacking
Obrona w sprawach komputerowych jest mocno techniczna. Po pierwsze, kwestionuje się znamię braku uprawnienia - jeśli oskarżony miał dostęp służbowy lub zgodę, czyn nie wypełnia znamion art. 267. Po drugie, w przypadku art. 267 par. 1 bada się, czy w ogóle istniało i czy zostało przełamane zabezpieczenie - bez tego elementu zarzut bywa nietrafny. Po trzecie, kluczowa jest atrybucja: powiązanie adresu IP z konkretną osobą jest poszlaką, a nie dowodem sprawstwa, zwłaszcza przy współdzielonych sieciach i VPN. Po czwarte, sprawdza się legalność pozyskania dowodów cyfrowych i zachowanie łańcucha dowodowego (chain of custody) przy zabezpieczaniu nośników. Możliwa jest też obrona przez kontratyp z art. 269c KK przy testach bezpieczeństwa oraz - przy czynach mniejszej wagi i niekaralności - wniosek o warunkowe umorzenie z art. 66 KK.
Wymiar międzynarodowy i zgłaszanie incydentów
Cyberprzestępczość jest transgraniczna. Polska jest stroną Konwencji Rady Europy o cyberprzestępczości z Budapesztu (2001), która harmonizuje definicje przestępstw komputerowych i ułatwia współpracę między państwami, m.in. szybkie zabezpieczanie danych. To ona w dużej mierze ukształtowała brzmienie art. 267-269b KK. Ofiara incydentu powinna: zabezpieczyć dowody (logi, znaczniki czasu, korespondencję), złożyć zawiadomienie o przestępstwie na policji lub w prokuraturze (przy art. 267 - wniosek o ściganie), a w razie naruszenia danych osobowych zgłosić je do Prezesa UODO w ciągu 72 godzin. Poważne incydenty w podmiotach objętych ustawą o krajowym systemie cyberbezpieczeństwa zgłasza się do właściwego CSIRT. Im szybciej zabezpieczone są dowody, tym większa szansa na ustalenie sprawcy.
Najczęstsze pytania
Czy samo wejście do cudzego systemu bez wyrządzenia szkody jest karalne?
Tak. Art. 267 par. 2 KK karze już samo uzyskanie bez uprawnienia dostępu do całości lub części systemu informatycznego - kara to grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Nie trzeba wykazywać szkody; wystarczy nieuprawniony dostęp. Przestępstwo to ścigane jest jednak na wniosek pokrzywdzonego.
Jaka kara grozi za atak DDoS?
Zakłócanie pracy systemu lub sieci teleinformatycznej, czyli typowy atak DDoS, kwalifikuje się z art. 269a KK i zagrożone jest karą pozbawienia wolności od 3 miesięcy do 5 lat. Jeśli atak dotknął systemy o szczególnym znaczeniu dla państwa, może wchodzić w grę surowszy art. 269 KK (od 6 miesięcy do 8 lat).
Czy etyczny hacker (pentester) może odpowiadać karnie?
Może, jeśli działa bez zgody właściciela systemu lub wykracza poza uzgodniony zakres testu. Art. 269c KK chroni przed karą tego, kto działa wyłącznie w celu zabezpieczenia systemu, niezwłocznie informuje dysponenta o lukach i nie wyrządza szkody. Aby korzystać z tej ochrony, należy działać na podstawie pisemnej umowy określającej zakres testów.
Jak ofiara hackingu może odzyskać poniesione straty?
Można żądać odszkodowania na podstawie art. 415 Kodeksu cywilnego (szkoda z winy sprawcy) albo wnosić w postępowaniu karnym o obowiązek naprawienia szkody z art. 46 par. 1 KK. Przy naruszeniu danych osobowych dochodzi roszczenie z art. 82 RODO. Kluczowe jest zabezpieczenie dowodów: logów, raportów technicznych i dokumentacji strat.
Czy posiadanie programów hakerskich jest legalne?
Art. 269b KK karze wytwarzanie, pozyskiwanie, sprzedaż lub udostępnianie programów komputerowych przystosowanych do popełniania przestępstw komputerowych, a także haseł i kodów dostępu, jeśli służą popełnieniu takich czynów. Narzędzia używane legalnie do testów bezpieczeństwa za zgodą właściciela co do zasady nie wypełniają znamion tego przestępstwa, liczy się cel i kontekst.
Gdzie zgłosić incydent hakerski?
Zawiadomienie o przestępstwie składa się na policji lub w prokuraturze (przy art. 267 KK z wnioskiem o ściganie). Naruszenie danych osobowych zgłasza się do Prezesa UODO w ciągu 72 godzin. Poważne incydenty w podmiotach objętych ustawą o krajowym systemie cyberbezpieczeństwa raportuje się do właściwego CSIRT. Wcześniej zabezpiecz logi i zrzuty ekranu.
Powiązane poradniki
- Przestępstwa przeciwko bezpieczeństwu danych i sieci - art. 267-269c Kodeksu karnego i odpowiedzialność
- Nielegalne pozyskanie danych z systemu bezpieczeństwa chemicznego — odpowiedzialność z art. 267-269b KK i obrona
- Nielegalne pozyskanie danych z systemów służb ratowniczych – jaka kara i jak się bronić
- Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę