Atak DDoS i cyberprzestępczość — jaka jest odpowiedzialność karna w Polsce?
Prawo karne · 6 min czytania · Redakcja zaufanyprawnik.pl
Atak DDoS (Distributed Denial of Service) polega na sztucznym przeciążeniu serwera, sieci lub usługi bardzo dużą liczbą żądań — często z wielu przejętych urządzeń (botnetu) — tak aby system przestał odpowiadać uprawnionym użytkownikom. Wiele dostępnych w sieci poradników poświęca się głównie ochronie technicznej (firewall, filtrowanie ruchu, redundancja infrastruktury). Z punktu widzenia prawa polskiego kluczowe jest jednak inne pytanie: jaka jest odpowiedzialność karna osoby przeprowadzającej taki atak oraz jak wygląda sytuacja prawna kogoś, komu postawiono zarzut. Polskie prawo nie posługuje się amerykańskim pojęciem ustawy CFAA — kwalifikacji prawnej szukamy w Kodeksie karnym, przede wszystkim w rozdziale XXXIII, dotyczącym przestępstw przeciwko ochronie informacji. Poniższy tekst ma charakter ogólnoinformacyjny i nie stanowi porady prawnej; ocena konkretnej sprawy zawsze zależy od jej okoliczności.
Jak polskie prawo karne kwalifikuje atak DDoS
Podstawową kwalifikacją bywa art. 269a Kodeksu karnego. Przepis ten penalizuje zachowanie osoby, która, nie będąc do tego uprawnioną, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych w istotnym stopniu zakłóca pracę systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej. Typowy atak DDoS, polegający na zalewaniu serwera żądaniami i doprowadzeniu do niedostępności usługi, mieści się właśnie w tym opisie. Warto zwrócić uwagę na znamię „w istotnym stopniu" — nie każde, krótkotrwałe czy nieznaczne zakłócenie musi wyczerpywać znamiona tego czynu; ocena ta należy do organów procesowych i sądu. W zależności od stanu faktycznego znaczenie mogą mieć też inne przepisy. Art. 268a KK dotyczy m.in. utrudniania dostępu do danych informatycznych oraz istotnego zakłócania lub uniemożliwiania ich automatycznego przetwarzania, gromadzenia lub przekazywania. Art. 287 KK (oszustwo komputerowe) wchodzi w grę, gdy działanie zmierza do osiągnięcia korzyści majątkowej lub wyrządzenia szkody przez bezprawne wpływanie na przetwarzanie danych. Art. 269b KK penalizuje natomiast bezprawne wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów, urządzeń, haseł i kodów dostępu przystosowanych do popełniania przestępstw komputerowych — co bywa istotne przy ocenie roli osób dostarczających narzędzia ataku. Jeżeli atak jest wymierzony w dane o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji czy funkcjonowania administracji rządowej, w grę może wchodzić surowiej zagrożony art. 269 KK (sabotaż komputerowy).
Jakie kary grożą za atak DDoS
Czyn z art. 269a KK zagrożony jest karą pozbawienia wolności od 3 miesięcy do lat 5. Dla porównania pozostałych powiązanych przepisów: - Art. 268a § 1 KK — kara pozbawienia wolności do lat 3; w typie kwalifikowanym z § 2 (wyrządzenie znacznej szkody majątkowej) — od 3 miesięcy do lat 5. Ściganie czynu z art. 268a następuje na wniosek pokrzywdzonego. - Art. 287 § 1 KK (oszustwo komputerowe) — kara pozbawienia wolności od 3 miesięcy do lat 5; w wypadku mniejszej wagi przewidziana jest łagodniejsza odpowiedzialność. - Art. 269b § 1 KK (narzędzia służące do popełniania przestępstw komputerowych) — kara pozbawienia wolności od 3 miesięcy do lat 5. - Art. 269 KK (sabotaż komputerowy) — kara pozbawienia wolności od 6 miesięcy do lat 8; tej samej karze podlega także sprawca, który dopuszcza się czynu, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do przetwarzania danych. Odpowiedzialność karna może obejmować nie tylko bezpośredniego wykonawcę ataku, ale — na zasadach ogólnych Kodeksu karnego (m.in. współsprawstwo, podżeganie, pomocnictwo) — także osoby zlecające atak czy świadomie udostępniające narzędzia lub infrastrukturę. Niezależnie od postępowania karnego poszkodowany może dochodzić naprawienia szkody na drodze cywilnej, w szczególności na podstawie przepisów o czynach niedozwolonych (art. 415 Kodeksu cywilnego). Podane wyżej zagrożenia to ustawowe granice kary — wymiar kary w konkretnej sprawie zależy od jej okoliczności i nie da się go z góry przewidzieć.
Linie obrony w sprawie o atak DDoS
Przestępstwa z rozdziału XXXIII Kodeksu karnego są co do zasady umyślne, dlatego obrona często koncentruje się na kwestii zamiaru i świadomości — na przykład w sytuacji, gdy urządzenie oskarżonego zostało przejęte i bez jego wiedzy włączone do botnetu wykorzystanego do ataku. Brak zamiaru po stronie właściciela takiego urządzenia może wyłączać jego odpowiedzialność karną, choć okoliczność tę trzeba wykazać w postępowaniu dowodowym. W praktyce istotne bywa też rzetelne badanie dowodów: prawidłowości zabezpieczenia logów, ciągłości i integralności materiału dowodowego oraz wiarygodności przypisania konkretnego adresu IP określonej osobie. Sam adres IP wskazuje co najwyżej na łącze lub urządzenie, a nie automatycznie na sprawcę. Każda sprawa wymaga indywidualnej analizy stanu faktycznego i materiału dowodowego. Z tego względu niniejszy materiał ma charakter wyłącznie informacyjny i nie zastępuje porady adwokata lub radcy prawnego — dobór konkretnej linii obrony powinien nastąpić po zapoznaniu się z aktami danej sprawy.
Najczęstsze pytania
Czy przeprowadzenie ataku DDoS jest w Polsce przestępstwem?
Co do zasady tak. Istotne zakłócenie pracy systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej jest karalne na podstawie art. 269a Kodeksu karnego i zagrożone karą pozbawienia wolności od 3 miesięcy do lat 5. W zależności od okoliczności zastosowanie mogą mieć też m.in. art. 268a, 269b lub art. 269 KK. Ostateczna kwalifikacja zależy od ustalonego stanu faktycznego.
Czy mogę odpowiadać karnie, jeśli mój komputer został wykorzystany w ataku bez mojej wiedzy?
Przestępstwa komputerowe z rozdziału XXXIII Kodeksu karnego są co do zasady umyślne. Jeżeli urządzenie zostało przejęte i włączone do botnetu bez wiedzy właściciela, brak zamiaru może wyłączać jego odpowiedzialność karną. Kluczowe jest jednak wykazanie tej okoliczności w postępowaniu dowodowym, dlatego warto skonsultować sprawę z prawnikiem.
Czy odpowiada tylko ten, kto bezpośrednio przeprowadził atak?
Niekoniecznie. Na zasadach ogólnych Kodeksu karnego odpowiedzialność może dotyczyć także współsprawców, osób zlecających atak (podżeganie) oraz tych, którzy świadomie pomagają — np. udostępniając narzędzia czy infrastrukturę. Odrębnie art. 269b KK penalizuje bezprawne wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów i urządzeń przystosowanych do popełniania przestępstw komputerowych.
Czy poszkodowana firma może żądać odszkodowania za atak DDoS?
Tak. Niezależnie od postępowania karnego przedsiębiorca, który poniósł szkodę (np. utracone przychody czy koszty przywrócenia usług), może dochodzić jej naprawienia na drodze cywilnej, w szczególności na podstawie przepisów o czynach niedozwolonych — art. 415 Kodeksu cywilnego. Wysokość ewentualnego odszkodowania zależy od wykazanej szkody i okoliczności sprawy.
Powiązane poradniki
- Przestępstwa przeciwko bezpieczeństwu infrastruktury bankowej - kwestie prawne
- Obrona w sprawach o ataki hakerskie na banki - art. 267-269b KK w praktyce
- Art. 267 KK: nielegalne pozyskanie informacji - jak się bronić?
- Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę