Przestępstwa przeciwko bezpieczeństwu informacji w systemach IT – kary z art. 267–269b KK i obrona
Prawo karne · 6 min czytania · Redakcja zaufanyprawnik.pl
Przestępstwa przeciwko bezpieczeństwu informacji w systemach IT to czyny godzące w trzy podstawowe wartości: poufność, integralność i dostępność danych. W praktyce chodzi o nieuprawniony dostęp do systemu (hacking), przechwytywanie i podsłuchiwanie informacji, niszczenie lub zmianę danych, zakłócanie pracy systemów (np. ataki DDoS) oraz wytwarzanie i udostępnianie tzw. narzędzi hakerskich. W polskim prawie reguluje je przede wszystkim Rozdział XXXIII Kodeksu karnego "Przestępstwa przeciwko ochronie informacji" (art. 265–269b KK). Odrębną, choć powiązaną kategorią jest ochrona informacji niejawnych, opisana w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych oraz w art. 265–266 KK. Trzecim, niezależnym reżimem jest ochrona danych osobowych (RODO i ustawa z 10 maja 2018 r.). Poniżej wyjaśniamy, jakie czyny są karalne, jakie grożą kary, kiedy postępowanie toczy się z urzędu, a kiedy na wniosek pokrzywdzonego, oraz jaką rolę odgrywa wyspecjalizowana kancelaria – po stronie zarówno oskarżonego, jak i pokrzywdzonej firmy.
Jakie czyny są karalne – katalog z Rozdziału XXXIII KK
Najważniejsze typy czynów to: art. 267 KK – nieuprawniony dostęp do informacji (uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy, m.in. przez przełamanie lub ominięcie zabezpieczeń elektronicznych, podłączenie się do sieci albo założenie urządzenia podsłuchowego lub oprogramowania szpiegującego); art. 268 KK – naruszenie integralności zapisu istotnej informacji (niszczenie, uszkadzanie, usuwanie, zmiana zapisu albo udaremnienie zapoznania się z informacją); art. 268a KK – niszczenie, uszkadzanie lub utrudnianie dostępu do danych informatycznych oraz zakłócanie ich przetwarzania; art. 269 KK – sabotaż komputerowy wymierzony w dane o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji rządowej; art. 269a KK – zakłócanie pracy systemu informatycznego lub sieci (typowo ataki DDoS); art. 269b KK – wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów, haseł i kodów dostępu przystosowanych do popełnienia powyższych czynów. Wszystkie te czyny są przestępstwami umyślnymi – samo nieostrożne działanie zwykle nie wystarczy do skazania.
Jakie kary grożą za przestępstwa informatyczne
Sankcje różnią się w zależności od typu czynu. Za nieuprawniony dostęp do informacji (art. 267 KK) grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Za naruszenie integralności zapisu informacji (art. 268 § 1 KK) – do 2 lat, a gdy czyn dotyczy zapisu na informatycznym nośniku danych (art. 268 § 2 KK) – do 3 lat pozbawienia wolności. Za niszczenie danych informatycznych (art. 268a KK) – do 3 lat. Najsurowiej traktowany jest sabotaż komputerowy: art. 269 KK przewiduje od 6 miesięcy do 8 lat pozbawienia wolności, właśnie ze względu na zagrożenie dla obronności i bezpieczeństwa państwa. Za zakłócanie pracy systemu (art. 269a KK) oraz za narzędzia hakerskie (art. 269b KK) grozi z reguły kara do 5 lat pozbawienia wolności. Wymierzając karę, sąd uwzględnia m.in. rozmiar wyrządzonej szkody, motywację sprawcy, sposób działania i dotychczasową niekaralność (art. 53 KK).
Informacje niejawne – odrębny, surowszy reżim ochrony
Tam, gdzie chodzi o tajemnice państwowe i służbowe, wkracza ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Definiuje ona klauzule tajności ("ściśle tajne", "tajne", "poufne", "zastrzeżone") i obowiązki osób mających dostęp do takich informacji. Kodeks karny chroni te informacje odrębnie: art. 265 KK penalizuje ujawnienie lub wykorzystanie informacji niejawnej o klauzuli "tajne" lub "ściśle tajne" (kara od 3 miesięcy do 5 lat, a w razie ujawnienia jej osobie działającej w imieniu obcego wywiadu – nawet do 8 lat), natomiast art. 266 KK dotyczy ujawnienia tajemnicy zawodowej lub informacji o klauzuli "poufne"/"zastrzeżone" przez funkcjonariusza publicznego (kara do 3 lat). To ważne rozróżnienie: nie każdy wyciek danych to "sabotaż" czy "hacking" – jeżeli sprawcą jest urzędnik ujawniający tajemnicę, właściwe są art. 265–266 KK, a nie przepisy o przestępstwach komputerowych.
Ściganie z urzędu czy na wniosek – kto inicjuje sprawę
To kluczowa informacja praktyczna dla pokrzywdzonej firmy. Część czynów z Rozdziału XXXIII, w tym z art. 267 i art. 268 KK, ścigana jest na wniosek pokrzywdzonego (art. 267 § 5 KK i przepisy odpowiednie dla pozostałych typów). Oznacza to, że bez złożenia wniosku o ściganie organy co do zasady nie wszczną postępowania, lecz po jego złożeniu postępowanie toczy się już z urzędu. Najpoważniejszy sabotaż komputerowy (art. 269 KK) oraz zakłócanie pracy systemu (art. 269a KK) ścigane są z urzędu. Krok praktyczny: jeżeli doszło do włamania na konto, wycieku bazy klientów lub usunięcia danych, niezwłocznie zabezpiecz dowody cyfrowe (logi serwera, zrzuty ekranu, kopie korespondencji, nagłówki wiadomości) i złóż zawiadomienie wraz z wnioskiem o ściganie na policji lub w prokuraturze. Zwłoka utrudnia odtworzenie ulotnych śladów cyfrowych, a niektóre logi operatorów są przechowywane tylko przez ograniczony czas.
RODO a odpowiedzialność karna – trzy odrębne płaszczyzny
Jedno zdarzenie często rodzi odpowiedzialność na kilku płaszczyznach jednocześnie. RODO (rozporządzenie UE 2016/679) i ustawa z 10 maja 2018 r. o ochronie danych osobowych regulują odpowiedzialność administracyjną i cywilną administratora danych – m.in. administracyjne kary pieniężne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (art. 83 RODO) oraz obowiązek zgłoszenia naruszenia ochrony danych w ciągu 72 godzin (art. 33 RODO). To inny reżim niż przestępstwa komputerowe z Rozdziału XXXIII KK, które dotyczą odpowiedzialności karnej konkretnego sprawcy. Przykład: po włamaniu do systemu i wycieku danych klientów może powstać jednocześnie (1) odpowiedzialność karna włamywacza (art. 267 i 268a KK), (2) odpowiedzialność administracyjna firmy-administratora za niewystarczające zabezpieczenia (kara z art. 83 RODO) oraz (3) odpowiedzialność cywilna wobec poszkodowanych klientów (art. 82 RODO i art. 415 Kodeksu cywilnego).
Rola kancelarii po stronie oskarżonego
Obrona w sprawach informatycznych opiera się na precyzyjnej analizie dowodów cyfrowych. Adwokat sprawdza, czy dostęp był rzeczywiście "nieuprawniony" i czy doszło do przełamania zabezpieczeń (znamię wielu czynów z art. 267 KK), czy dowody pozyskano legalnie, czy zachowano łańcuch dowodowy oraz czy opinia biegłego z informatyki śledczej jest rzetelna i powtarzalna. Częste linie obrony to: brak zamiaru (czyny te są umyślne), błędne przypisanie czynu konkretnej osobie wyłącznie na podstawie adresu IP, działanie w granicach uprawnień (administrator systemu, pentester z umową i zgodą zleceniodawcy) oraz znikoma społeczna szkodliwość czynu (art. 1 § 2 KK). Obrońca może też kwestionować wysokość szacowanej szkody, co bywa decydujące dla kwalifikacji i wymiaru kary. Krok praktyczny: po postawieniu zarzutów nie usuwaj danych z urządzeń ani nie "porządkuj" kont, nie kontaktuj się z pokrzywdzonym na własną rękę i nie składaj wyjaśnień bez wcześniejszej konsultacji z obrońcą.
Rola kancelarii po stronie pokrzywdzonej firmy
Pełnomocnik pokrzywdzonego pomaga prawidłowo sformułować zawiadomienie i wniosek o ściganie, dba o właściwe zabezpieczenie dowodów cyfrowych oraz reprezentuje pokrzywdzonego w postępowaniu – także jako oskarżyciel posiłkowy działający obok prokuratora. Obok ścieżki karnej często równolegle dochodzi się roszczeń cywilnych: odszkodowania za szkodę majątkową (art. 415 KC) oraz zadośćuczynienia za naruszenie dóbr osobistych, np. tajemnicy korespondencji (art. 23 i 24 KC). W samej sprawie karnej pokrzywdzony może złożyć wniosek o naprawienie szkody lub zadośćuczynienie (art. 46 KK). Krok praktyczny: jeśli wyciekły dane osobowe, rozważ równoległe zgłoszenie naruszenia do Prezesa UODO – ścieżka karna i administracyjna mogą się wzajemnie uzupełniać, a zgłoszenie w terminie 72 godzin zmniejsza ryzyko własnej odpowiedzialności firmy.
Profilaktyka i zgodność – jak ograniczyć ryzyko prawne
Najskuteczniejsza obrona to działania podjęte zanim dojdzie do incydentu. Z perspektywy prawnej kluczowe są: wdrożenie polityki bezpieczeństwa informacji i analizy ryzyka zgodnej z RODO, umowy powierzenia przetwarzania danych z dostawcami IT (art. 28 RODO), regulaminy określające zakres uprawnień administratorów systemów oraz plan reakcji na incydent (kto zgłasza naruszenie i w jakim terminie). Regularne audyty bezpieczeństwa i szkolenia personelu (rozpoznawanie phishingu i socjotechniki) ograniczają zarówno ryzyko ataku, jak i odpowiedzialności administratora za niedochowanie należytej staranności. Krok praktyczny: zachowaj dokumentację wdrożonych zabezpieczeń i przeprowadzonych szkoleń – w razie kontroli UODO lub sporu sądowego to ona pozwala wykazać, że firma działała z należytą starannością, co bezpośrednio wpływa na wysokość ewentualnych kar.
Najczęstsze pytania
Jaka kara grozi za włamanie do systemu komputerowego (hacking)?
Za nieuprawniony dostęp do informacji z art. 267 Kodeksu karnego grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Przy poważniejszych czynach, jak niszczenie danych informatycznych (art. 268a KK), kara sięga 3 lat, a za sabotaż komputerowy danych o znaczeniu dla obronności lub administracji (art. 269 KK) – od 6 miesięcy do 8 lat pozbawienia wolności.
Czy te przestępstwa są ścigane z urzędu, czy na wniosek?
Część czynów, m.in. nieuprawniony dostęp do informacji (art. 267 KK) i naruszenie integralności zapisu (art. 268 KK), ścigana jest na wniosek pokrzywdzonego. Po jego złożeniu postępowanie toczy się z urzędu. Sabotaż komputerowy (art. 269 KK) i zakłócanie pracy systemu (art. 269a KK) ścigane są z urzędu niezależnie od wniosku.
Czy sam adres IP wystarczy do skazania?
Nie. Adres IP wskazuje urządzenie lub łącze, a nie konkretną osobę. Z jednego adresu mogło korzystać wiele osób, mógł też zostać sfałszowany lub posłużyć jako serwer pośredniczący. Do przypisania winy potrzebne są dodatkowe dowody łączące oskarżonego z czynem. To częsty i skuteczny punkt obrony budowanej przez adwokata.
Czym różni się odpowiedzialność karna od kar z RODO?
To dwa odrębne reżimy. RODO i ustawa o ochronie danych osobowych przewidują głównie odpowiedzialność administracyjną (kary pieniężne Prezesa UODO z art. 83 RODO) i cywilną administratora danych (art. 82 RODO). Przestępstwa z Rozdziału XXXIII KK to odpowiedzialność karna konkretnego sprawcy. Jedno zdarzenie, np. wyciek danych po włamaniu, może uruchomić obie ścieżki jednocześnie.
Pracownik wyniósł dane firmy – jaka kwalifikacja?
Zależy od charakteru danych i sposobu działania. Jeśli pracownik miał uprawniony dostęp, ale ujawnił tajemnicę przedsiębiorstwa, w grę wchodzi art. 23 ustawy o zwalczaniu nieuczciwej konkurencji. Jeśli przełamał zabezpieczenia albo skopiował dane, do których nie miał dostępu – art. 267 KK. Gdy zniszczył lub zmodyfikował dane informatyczne – art. 268a KK. Warto skonsultować ze specjalistą właściwą kwalifikację przed złożeniem zawiadomienia.
Co zrobić zaraz po wykryciu włamania lub wycieku w firmie?
Niezwłocznie zabezpiecz dowody cyfrowe (logi, zrzuty ekranu, korespondencję), ogranicz dalsze szkody (np. zmiana haseł, odcięcie dostępu), a przy wycieku danych osobowych zgłoś naruszenie Prezesowi UODO w ciągu 72 godzin (art. 33 RODO). Następnie złóż zawiadomienie o przestępstwie wraz z wnioskiem o ściganie. Im szybciej, tym większa szansa na odtworzenie ulotnych śladów cyfrowych.
Powiązane poradniki
- Przestępstwa przeciwko ochronie informacji (rozdz. XXXIII KK) – adwokat i obrona
- Przestępstwa przeciwko bezpieczeństwu informacji – kary, obrona i rola adwokata
- Atak DDoS i cyberprzestępczość — jaka jest odpowiedzialność karna w Polsce?
- Nielegalne pozyskanie danych z systemu bezpieczeństwa chemicznego — odpowiedzialność z art. 267-269b KK i obrona
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (Rozdział XXXIII: Przestępstwa przeciwko ochronie informacji, art. 265–269b)
- Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – w szczególności art. 33, 82 i 83
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę