Przestępstwa przeciwko bezpieczeństwu informacji - art. 267-269c KK
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Przestępstwa przeciwko bezpieczeństwu infrastruktury informatycznej, nazywane potocznie cyberprzestępstwami komputerowymi, uregulowane są w polskim prawie w Rozdziale XXXIII Kodeksu karnego, zatytułowanym 'Przestępstwa przeciwko ochronie informacji'. Obejmują one nieuprawniony dostęp do systemów (hacking), podsłuch i przechwytywanie danych, niszczenie i zmianę informacji, zakłócanie pracy systemów oraz sabotaż komputerowy wymierzony w bezpieczeństwo państwa. Kodeks karny penalizuje nie tylko same czyny, ale też przygotowania do nich, jednocześnie chroniąc legalne testowanie zabezpieczeń. W tym artykule omawiamy poszczególne typy przestępstw, grożące kary, tryb ścigania oraz okoliczności, które wyłączają odpowiedzialność karną.
Nieuprawniony dostęp do informacji i podsłuch (art. 267 KK)
Art. 267 § 1 Kodeksu karnego penalizuje uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy przez otwarcie zamkniętego pisma, podłączenie się do sieci telekomunikacyjnej lub przełamanie albo ominięcie elektronicznego, magnetycznego, informatycznego lub innego szczególnego zabezpieczenia. To podstawowy przepis dotyczący tzw. hackingu - przełamania hasła czy zabezpieczeń systemu w celu uzyskania nieuprawnionego dostępu. Czyn ten jest zagrożony grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 267 § 2 obejmuje uzyskanie bez uprawnienia dostępu do całości lub części systemu informatycznego. Z kolei art. 267 § 3 penalizuje nielegalny podsłuch i inwigilację, czyli zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której sprawca nie jest uprawniony. Ściganie tych czynów następuje na wniosek pokrzywdzonego (art. 267 § 5).
Niszczenie i zmiana danych informatycznych (art. 268 i 268a KK)
Art. 268 Kodeksu karnego chroni integralność i dostępność informacji. Karze podlega ten, kto nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią. Jeżeli czyn dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3 (art. 268 § 2). Odrębny przepis, art. 268a, dotyczy danych informatycznych jako takich: kto nie będąc uprawnionym niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. Te przepisy obejmują m.in. ataki polegające na kasowaniu baz danych, zaszyfrowaniu plików (ransomware) czy podmianie treści. Czyny z art. 268 i 268a ścigane są na wniosek pokrzywdzonego.
Sabotaż komputerowy i zakłócanie systemów (art. 269 i 269a KK)
Najpoważniejszą kategorią jest sabotaż komputerowy z art. 269 Kodeksu karnego. Karze pozbawienia wolności od 6 miesięcy do lat 8 podlega ten, kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego, albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych. Tę samą karę stosuje się, gdy sprawca dopuszcza się czynu, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Art. 269a penalizuje zakłócanie pracy systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych - czyn ten jest zagrożony karą pozbawienia wolności od 3 miesięcy do lat 5 i obejmuje m.in. ataki typu DDoS.
Karalność przygotowań - narzędzia hakerskie (art. 269b KK)
Polskie prawo penalizuje także samo przygotowanie do cyberprzestępstwa. Art. 269b § 1 Kodeksu karnego stanowi, że kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa z art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Oznacza to, że odpowiedzialność może ponieść osoba dystrybuująca złośliwe oprogramowanie lub bazy skradzionych haseł, nawet jeśli sama nie dokonała włamania. Sąd może orzec przepadek takich urządzeń, programów i danych.
Kiedy działanie jest legalne - wyłączenie odpowiedzialności (art. 269c KK)
Kodeks karny chroni legalne testowanie zabezpieczeń i odpowiedzialne ujawnianie luk. Art. 269c stanowi, że nie podlega karze za przestępstwo z art. 267 § 2 lub art. 269a ten, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego ani prywatnego i nie wyrządziło szkody. To podstawa prawna dla legalnych testów penetracyjnych oraz programów bug bounty. Kluczowe jest jednak, aby działać za zgodą dysponenta systemu lub w ramach jasno określonej procedury - samowolne 'sprawdzanie' cudzych zabezpieczeń bez upoważnienia nie korzysta z tej ochrony i pozostaje przestępstwem. W praktyce zakres umowy z administratorem systemu (np. umowy o test penetracyjny) decyduje o tym, czy działanie pozostaje bezkarne.
Tryb ścigania i odpowiedzialność cywilna
Tryb ścigania zależy od konkretnego przepisu. Przestępstwa z art. 267 (hacking, podsłuch) oraz art. 268 i 268a (niszczenie danych) ścigane są zasadniczo na wniosek pokrzywdzonego, co oznacza, że bez jego inicjatywy postępowanie nie zostanie wszczęte. Natomiast najpoważniejsze czyny, jak sabotaż komputerowy z art. 269 oraz zakłócanie systemów z art. 269a, ścigane są z urzędu, ponieważ godzą w interes publiczny. Poza odpowiedzialnością karną sprawca może ponieść odpowiedzialność cywilną - poszkodowany przedsiębiorca lub instytucja może żądać naprawienia szkody majątkowej (np. kosztów odtworzenia danych, przestoju, utraconych korzyści) na podstawie przepisów Kodeksu cywilnego o czynach niedozwolonych. Jeśli atak wiązał się z naruszeniem danych osobowych, na administratorze danych mogą ciążyć dodatkowe obowiązki zgłoszeniowe wynikające z RODO, w tym zawiadomienie Prezesa UODO o naruszeniu w ciągu 72 godzin.
Najczęstsze pytania
Jaka kara grozi za hacking w Polsce?
Za uzyskanie nieuprawnionego dostępu do informacji lub systemu przez przełamanie zabezpieczeń (art. 267 § 1 i § 2 KK) grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Czyn ten jest co do zasady ścigany na wniosek pokrzywdzonego.
Co grozi za skasowanie lub zaszyfrowanie cudzych danych?
Niszczenie, usuwanie lub zmiana danych informatycznych albo utrudnianie dostępu do nich, w tym ataki ransomware, podlega karze pozbawienia wolności do lat 3 (art. 268 § 2 i art. 268a KK). Jeśli dane mają szczególne znaczenie dla obronności lub funkcjonowania państwa, kara wzrasta od 6 miesięcy do 8 lat (art. 269 KK).
Czy tworzenie i sprzedaż narzędzi hakerskich jest karalne?
Tak. Art. 269b KK penalizuje wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów i urządzeń przystosowanych do popełnienia cyberprzestępstwa, a także haseł i kodów dostępu. Grozi za to kara pozbawienia wolności od 3 miesięcy do lat 5, niezależnie od tego, czy doszło do faktycznego włamania.
Czy test penetracyjny lub szukanie luk jest legalne?
Może być legalne. Art. 269c KK wyłącza karalność, jeśli działanie służy wyłącznie zabezpieczeniu systemu, sprawca niezwłocznie powiadomił dysponenta o zagrożeniu, nie naruszył niczyjego interesu i nie wyrządził szkody. W praktyce niezbędna jest zgoda właściciela systemu lub jasna procedura (np. program bug bounty); samowolne testy bez upoważnienia pozostają przestępstwem.
Jak zgłosić atak na system informatyczny?
Atak należy zgłosić policji lub prokuraturze, a w przypadku czynów ściganych na wniosek (art. 267, 268, 268a) złożyć formalny wniosek o ściganie. Incydenty cyberbezpieczeństwa można też zgłaszać do CSIRT (np. CSIRT NASK). Jeśli doszło do naruszenia danych osobowych, administrator ma obowiązek zawiadomić Prezesa UODO w ciągu 72 godzin.
Powiązane poradniki
- Atak DDoS i cyberprzestępczość — jaka jest odpowiedzialność karna w Polsce?
- Obrona w sprawach o ataki hakerskie na banki - art. 267-269b KK w praktyce
- Przestępstwa przeciwko komunikacji elektronicznej — kary i obrona (art. 267–269b k.k.)
- Naruszenie integralności danych elektronicznych - przestępstwa z art. 267-269b k.k. i rola adwokata
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę