Przestępstwa przeciwko infrastrukturze administracji publicznej – co grozi i jak się bronić
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Pod pojęciem przestępstw przeciwko bezpieczeństwu infrastruktury administracji publicznej kryją się dwa różne, choć powiązane obszary. Pierwszy to ataki na systemy teleinformatyczne i dane urzędów, czyli włamania, sabotaż komputerowy, niszczenie i zakłócanie danych przetwarzanych przez instytucje państwowe i samorządowe. Drugi to czyny godzące w samą działalność instytucji publicznych od wewnątrz, jak nadużycie uprawnień przez funkcjonariusza, łapownictwo czy fałszowanie dokumentów urzędowych. Polski Kodeks karny reguluje oba te obszary precyzyjnie, w Rozdziale XXXIII (przestępstwa przeciwko ochronie informacji, art. 265-269b k.k.) oraz w Rozdziale XXIX (przestępstwa przeciwko działalności instytucji państwowych i samorządu terytorialnego, art. 222-231 k.k.). Poniżej wyjaśniamy, jakie konkretnie czyny tu wchodzą, jakie grożą kary i jak wygląda realna obrona oraz dochodzenie roszczeń przez pokrzywdzony urząd.
Ataki na systemy informatyczne urzędów – kluczowe przepisy
Gdy mowa o bezpieczeństwie cyfrowej infrastruktury administracji, sercem regulacji jest Rozdział XXXIII Kodeksu karnego. Nielegalne uzyskanie dostępu do systemu lub informacji (tzw. hacking) penalizuje art. 267 k.k. – grozi za nie grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat. Niszczenie, uszkadzanie, usuwanie lub zmiana danych informatycznych to art. 268 i 268a k.k.; jeżeli czyn dotyczy danych o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji rządowej, sankcja jest surowsza. Najpoważniejszy jest sabotaż komputerowy z art. 269 k.k. – zakłócenie lub paraliż systemu danych o szczególnym znaczeniu dla bezpieczeństwa państwa albo administracji publicznej zagrożone jest karą od 6 miesięcy do 8 lat pozbawienia wolności. Art. 269a k.k. karze zakłócanie pracy systemu (np. atak typu DDoS), a art. 269b k.k. – wytwarzanie i udostępnianie tzw. narzędzi hakerskich oraz haseł dostępowych. Dla infrastruktury urzędów to właśnie te przepisy, a nie ogólnikowe pojęcie korupcji, są podstawą odpowiedzialności.
Nadużycia od wewnątrz – funkcjonariusz publiczny i jego odpowiedzialność
Drugi obszar dotyczy osób działających w samej administracji. Najważniejszy jest art. 231 k.k. – przekroczenie uprawnień lub niedopełnienie obowiązków przez funkcjonariusza publicznego na szkodę interesu publicznego lub prywatnego. Typ podstawowy (art. 231 § 1 k.k.) zagrożony jest karą do 3 lat pozbawienia wolności, a gdy funkcjonariusz działał w celu osiągnięcia korzyści majątkowej lub osobistej (art. 231 § 2 k.k.) – karą od roku do 10 lat. Łapownictwo bierne, czyli przyjęcie korzyści przez funkcjonariusza, reguluje art. 228 k.k., a łapownictwo czynne (wręczenie) – art. 229 k.k.; w typach kwalifikowanych grozi do 12 lat. Płatną protekcję opisuje art. 230 k.k. Fałszowanie dokumentów urzędowych to art. 270 k.k. (fałsz materialny) oraz art. 271 k.k. (poświadczenie nieprawdy przez funkcjonariusza). To realny katalog przepisów chroniących prawidłowe działanie instytucji, a nie abstrakcyjna kategoria z prawa obcego.
Krytyczna infrastruktura i obowiązki podmiotów publicznych
Poza odpowiedzialnością karną istnieje warstwa administracyjna. Ustawa z 26 kwietnia 2007 r. o zarządzaniu kryzysowym definiuje infrastrukturę krytyczną – systemy i obiekty kluczowe dla bezpieczeństwa państwa, w tym systemy łączności, sieci teleinformatyczne i administracji publicznej (art. 3 pkt 2 tej ustawy). Z kolei ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa nakłada na podmioty publiczne obowiązki w zakresie zarządzania incydentami, ich zgłaszania do właściwego CSIRT oraz wdrażania środków technicznych. Naruszenie tych obowiązków może skutkować karami administracyjnymi nakładanymi w drodze decyzji. W praktyce sprawa dotycząca ataku na urząd biegnie więc dwutorowo: postępowanie karne wobec sprawcy oraz wewnętrzne i administracyjne rozliczenie tego, czy zaatakowany podmiot dochował wymaganych standardów ochrony.
Jak przebiega postępowanie karne w takiej sprawie
Sprawy o ataki na systemy urzędów prowadzi prokuratura, często we współpracy z wyspecjalizowanymi jednostkami Policji do walki z cyberprzestępczością, a przy zagrożeniu bezpieczeństwa państwa – z ABW. Postępowanie przygotowawcze obejmuje zabezpieczenie nośników danych, analizę logów systemowych, ustalenie adresów IP i powołanie biegłego z zakresu informatyki śledczej. Dowód cyfrowy bywa kruchy: liczy się prawidłowe, niemodyfikujące zabezpieczenie danych (tzw. obraz dysku, suma kontrolna) oraz nieprzerwany łańcuch dowodowy. Po zebraniu materiału prokurator przedstawia zarzuty (art. 313 k.p.k.), przesłuchuje podejrzanego, a następnie kieruje akt oskarżenia do sądu rejonowego lub okręgowego – zależnie od kwalifikacji. Przy art. 269 k.k. (sabotaż systemu o szczególnym znaczeniu) sprawą może zająć się sąd okręgowy.
Rola obrońcy – co realnie robi adwokat
Obrońca powinien włączyć się jeszcze przed pierwszym przesłuchaniem. Konkretne zadania to: doradztwo co do prawa do odmowy wyjaśnień (art. 175 k.p.k.); kontrola, czy zabezpieczenie dowodów cyfrowych przebiegło prawidłowo i czy nie doszło do ich modyfikacji; weryfikacja opinii biegłego informatyka i – gdy jest wadliwa – wniosek o opinię uzupełniającą lub nowego biegłego (art. 201 k.p.k.); kwestionowanie przypisania sprawstwa, gdy dowodem jest sam adres IP, który nie identyfikuje jednoznacznie osoby; oraz badanie strony podmiotowej, bo większość tych czynów wymaga umyślności. W sprawach mniejszej wagi obrona dąży do zastosowania art. 267 § 4 k.k. (ściganie na wniosek pokrzywdzonego) czy do warunkowego umorzenia postępowania (art. 66 k.k.). Tam, gdzie szkoda została naprawiona, a sprawca przyznaje czyn, obrońca negocjuje dobrowolne poddanie się karze (art. 335 k.p.k.).
Pozycja pokrzywdzonego urzędu i roszczenia cywilne
Instytucja publiczna dotknięta atakiem ma status pokrzywdzonego. Może złożyć zawiadomienie o przestępstwie, działać w procesie jako oskarżyciel posiłkowy (art. 53-54 k.p.k.) oraz dochodzić naprawienia szkody. W postępowaniu karnym służy temu wniosek o obowiązek naprawienia szkody (art. 46 k.k.), a niezależnie – droga cywilna na podstawie art. 415 Kodeksu cywilnego (odpowiedzialność za czyn niedozwolony). Szkoda obejmuje nie tylko koszt odtworzenia danych i systemów, lecz także straty wynikłe z przestoju usług publicznych. Gdy sprawcą jest funkcjonariusz, a poszkodowany jest obywatel, w grę wchodzi też odpowiedzialność Skarbu Państwa za niezgodne z prawem działanie władzy publicznej (art. 417 k.c.), co wynika wprost z art. 77 ust. 1 Konstytucji RP.
Kary, przedawnienie i skutki uboczne skazania
Zagrożenie karą zależy od kwalifikacji: od grzywny lub ograniczenia wolności (drobny hacking z art. 267 k.k.) po 8 lat więzienia (sabotaż z art. 269 k.k.) czy 10-12 lat przy kwalifikowanym łapownictwie i nadużyciu uprawnień dla korzyści. Sąd może orzec środki karne: zakaz zajmowania określonych stanowisk (art. 41 k.k.), przepadek korzyści (art. 45 k.k.) czy podanie wyroku do publicznej wiadomości. Terminy przedawnienia karalności reguluje art. 101 k.k. i zależą od górnej granicy zagrożenia – dla czynów do 3 lat zwykle 5 lat, dla zagrożonych karą powyżej 5 lat – 15 lat (wydłużane po wszczęciu postępowania). Skazanie oznacza wpis do Krajowego Rejestru Karnego, a dla funkcjonariusza – często utratę pracy i prawa wykonywania zawodu zaufania publicznego. Dlatego nawet przy łagodniejszej karze warto walczyć o uniewinnienie lub umorzenie.
Najczęstsze pytania
Czy samo zalogowanie się do cudzego systemu urzędu jest już przestępstwem?
Tak. Uzyskanie dostępu do systemu lub informacji bez uprawnienia, np. przez przełamanie albo ominięcie zabezpieczeń, wypełnia znamiona art. 267 k.k. (kara do 2 lat). Nie trzeba niczego skopiować ani zniszczyć – karalne jest samo nieuprawnione wejście. Jeśli dodatkowo doszło do zniszczenia lub zakłócenia danych, zastosowanie mają surowsze art. 268-269a k.k.
Czy adres IP wystarczy, żeby mnie skazać za atak na system?
Nie. Adres IP wskazuje urządzenie lub łącze, a nie konkretną osobę przy klawiaturze. Z jednego łącza może korzystać wiele osób, IP bywa współdzielone, podszyte lub przepuszczone przez serwer pośredniczący. Obrona często skutecznie podnosi, że oskarżenie nie udowodniło, kto faktycznie wykonał czynność. Potrzebne są dalsze dowody: logowania, korelacja czasowa, ślady na nośnikach.
Co grozi urzędnikowi za przekroczenie uprawnień?
Funkcjonariusz publiczny, który przekracza uprawnienia lub nie dopełnia obowiązków i działa na szkodę interesu publicznego lub prywatnego, odpowiada z art. 231 § 1 k.k. (kara do 3 lat). Jeżeli robił to w celu korzyści majątkowej lub osobistej, grozi mu kara od roku do 10 lat (art. 231 § 2 k.k.). Konieczne jest jednak wykazanie umyślności i konkretnej szkody – sama formalna nieprawidłowość to za mało.
Czy urząd może żądać odszkodowania od osoby, która zaatakowała jego system?
Tak. Pokrzywdzona instytucja może złożyć w procesie karnym wniosek o obowiązek naprawienia szkody (art. 46 k.k.) albo pozwać sprawcę cywilnie na podstawie art. 415 k.c. Odszkodowanie obejmuje koszt odtworzenia danych i systemów oraz straty z przerwy w świadczeniu usług. Urząd może też działać w sprawie karnej jako oskarżyciel posiłkowy.
Czy w takiej sprawie można liczyć na warunkowe umorzenie?
Przy czynach mniejszej wagi i niekaralności sprawcy jest to realne. Warunkowe umorzenie postępowania (art. 66 k.k.) jest możliwe, gdy wina i społeczna szkodliwość nie są znaczne, a czyn zagrożony jest karą nieprzekraczającą co do zasady 5 lat. Pomaga naprawienie szkody i pojednanie z pokrzywdzonym. Decyzję podejmuje sąd, dlatego warto, by wniosek przygotował obrońca.
Powiązane poradniki
- Cyberterroryzm i cyberprzestępczość - jaką pomoc prawną można uzyskać?
- Oszustwo komputerowe (art. 287 k.k.) - znamiona, kary i linie obrony
- Nielegalne pozyskiwanie danych z systemów zarządzania koleją – kary i obrona (art. 267–269a KK)
- Przestępstwa przeciwko infrastrukturze telekomunikacyjnej — odpowiedzialność karna
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę