Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
Prawo karne · 6 min czytania · Redakcja zaufanyprawnik.pl
Dystrybucja złośliwego oprogramowania (tzw. malware – wirusów, trojanów, oprogramowania szpiegującego, ransomware) to w polskim prawie nie tylko problem techniczny, lecz przede wszystkim przestępstwo przeciwko ochronie informacji uregulowane w rozdziale XXXIII Kodeksu karnego. Centralnym przepisem jest art. 269b KK, który penalizuje wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów komputerowych przystosowanych do popełnienia określonych przestępstw komputerowych. W praktyce zarzut taki pada wobec twórców i sprzedawców narzędzi hakerskich, osób udostępniających ransomware w modelu 'as a service', a niekiedy także wobec administratorów, badaczy bezpieczeństwa czy zwykłych użytkowników, którzy nieświadomie przesłali dalej zainfekowany plik. Ponieważ znamiona tych czynów są nieostre, a granica między legalnym testowaniem zabezpieczeń a przestępstwem bywa cienka, dobór właściwej linii obrony ma realne znaczenie. W tym artykule wyjaśniamy, jakie przepisy wchodzą w grę, jakie kary faktycznie grożą, jak wygląda materiał dowodowy w sprawach informatycznych oraz jak działać po postawieniu zarzutu.
Podstawa prawna – art. 269b KK i pokrewne przestępstwa komputerowe
Najważniejszym przepisem jest art. 269b § 1 KK: karze on tego, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4 KK (sprowadzenie niebezpieczeństwa przez zakłócenie systemów informatycznych), art. 267 § 3 KK (nielegalne uzyskanie informacji – podsłuch, sniffer), art. 268a § 1 albo 2 KK, art. 269 § 1 lub 2 KK oraz art. 269a KK, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji. Malware najczęściej kwalifikuje się właśnie jako 'program przystosowany do popełnienia przestępstwa'. W zależności od skutku dystrybucja i użycie złośliwego oprogramowania może się też wiązać z odpowiedzialnością za niszczenie lub zmianę danych informatycznych (art. 268 i art. 268a KK), za tzw. sabotaż komputerowy, czyli niszczenie danych o szczególnym znaczeniu (art. 269 KK), za zakłócanie pracy systemu lub sieci, np. atak DDoS lub szyfrowanie ransomware (art. 269a KK), a gdy celem jest korzyść majątkowa – za oszustwo komputerowe (art. 287 KK). Sam nielegalny dostęp do systemu penalizuje art. 267 KK.
Jakie kary realnie grożą – bez przesady
Za czyn z art. 269b § 1 KK grozi kara pozbawienia wolności od 3 miesięcy do 5 lat. Za niszczenie lub utrudnianie dostępu do danych z art. 268a § 1 KK grozi kara do 3 lat pozbawienia wolności, a jeśli sprawca wyrządza znaczną szkodę majątkową (art. 268a § 2 KK) – od 3 miesięcy do 5 lat. Sabotaż komputerowy z art. 269 § 1 KK (niszczenie danych o szczególnym znaczeniu dla obronności, bezpieczeństwa, administracji) zagrożony jest karą od 6 miesięcy do 8 lat. Zakłócanie pracy systemu z art. 269a KK to kara od 3 miesięcy do 5 lat. Oszustwo komputerowe z art. 287 § 1 KK to kara od 3 miesięcy do 5 lat, a w wypadku mniejszej wagi – grzywna, ograniczenie wolności albo pozbawienie wolności do roku. Należy podkreślić, że samo zagrożenie ustawowe nie przesądza o realnym wyroku – sąd wymierza karę w granicach przewidzianych przez ustawę, kierując się dyrektywami z art. 53 KK (stopień winy, społeczna szkodliwość, motywacja, dotychczasowy tryb życia, naprawienie szkody). Przy występkach o niewielkiej szkodliwości realne bywa warunkowe umorzenie albo kara wolnościowa.
Kiedy zachowanie nie jest jeszcze przestępstwem – znaczenie zamiaru
Przestępstwa z rozdziału XXXIII KK są umyślne, a art. 269b KK wymaga, by program lub urządzenie było 'przystosowane do popełnienia przestępstwa'. To kluczowy punkt zaczepienia dla obrony. Wiele narzędzi ma podwójne zastosowanie (dual-use): skaner sieci, narzędzie do testów penetracyjnych, debugger czy framework typu Metasploit są legalnie używane przez specjalistów bezpieczeństwa, a stają się 'przystosowane do przestępstwa' dopiero w kontekście celu i sposobu użycia. Sama posiadanie czy napisanie kodu o właściwościach dwojakiego rodzaju nie wyczerpuje znamion, jeśli brak zamiaru wykorzystania go do przestępstwa. Istotne jest też, że karze podlega działanie umyślne – kto nieświadomie przekazał dalej zainfekowany plik (np. przesłał załącznik, nie wiedząc, że zawiera trojana), nie popełnia przestępstwa z art. 269b KK, bo brak po jego stronie zamiaru. Obrona często koncentruje się właśnie na wykazaniu braku świadomości złośliwego charakteru oprogramowania lub braku celu przestępczego, a także na rozgraniczeniu czynu od legalnych badań nad bezpieczeństwem prowadzonych za zgodą właściciela systemu.
Materiał dowodowy w sprawach o malware
Sprawy o dystrybucję złośliwego oprogramowania opierają się przede wszystkim na dowodach cyfrowych, których prawidłowe zabezpieczenie i analiza decydują o wyniku procesu. Typowo są to: zabezpieczone nośniki i kopie binarne dysków (obrazy forensic), logi serwerów i urządzeń sieciowych, analiza próbki malware przez biegłego informatyka, dane od dostawców usług (adresy IP, logi logowania), zawartość kont pocztowych, komunikatorów i portfeli kryptowalut w sprawach ransomware. Dla obrony kluczowe jest sprawdzenie, czy materiał cyfrowy zabezpieczono prawidłowo i czy zachowano tzw. łańcuch dowodowy (chain of custody) – każda przerwa w udokumentowaniu, kto i kiedy miał dostęp do danych, może podważyć ich wiarygodność. Istotne bywa też zbadanie, czy przypisanie czynu konkretnej osobie nie opiera się wyłącznie na adresie IP (który nie identyfikuje jednoznacznie sprawcy – łącze może być współdzielone, zainfekowane lub wykorzystane przez osobę trzecią). Obrońca może wnioskować o powołanie własnego biegłego lub o uzupełnienie opinii, a także kwestionować metodykę badania próbki.
Linie obrony w sprawach o dystrybucję złośliwego oprogramowania
Strategia obrony zależy od dowodów, ale najczęściej buduje się ją wokół kilku osi. Po pierwsze – kwestionowanie znamion: czy dany program rzeczywiście był 'przystosowany do popełnienia przestępstwa', czy ma legalne, podwójne zastosowanie. Po drugie – brak zamiaru i świadomości: wykazanie, że oskarżony nie wiedział o złośliwym charakterze pliku albo nie miał celu przestępczego (np. udostępnił kod w ramach badań naukowych, edukacji lub testów za zgodą właściciela). Po trzecie – podważanie sprawstwa: ustalenie, że przypisanie czynu opiera się na poszlakach (sam adres IP, współdzielone konto), które nie wykluczają działania innej osoby. Po czwarte – zarzuty proceduralne: nieprawidłowe zabezpieczenie dowodów cyfrowych, naruszenie procedury przeszukania i zatrzymania rzeczy, wadliwa opinia biegłego. Po piąte – okoliczności łagodzące i instytucje korzystne dla sprawcy: dążenie do warunkowego umorzenia (art. 66 KK), dobrowolnego poddania się karze (art. 335 i 387 KPK), wykazanie naprawienia szkody i współpracy z organami. Dobór konkretnej linii należy ustalić z obrońcą po analizie akt.
Granica między badaniem bezpieczeństwa a przestępstwem
Polskie prawo nie zawiera ogólnej klauzuli legalizującej 'etyczny hacking'. Oznacza to, że nawet badacz bezpieczeństwa działający w dobrych intencjach może narazić się na zarzut, jeśli uzyskał nieuprawniony dostęp do systemu (art. 267 KK) albo wytworzył lub udostępnił narzędzie objęte art. 269b KK bez właściwej podstawy. Bezpieczne ramy daje wyłącznie pisemna zgoda właściciela systemu na testy penetracyjne (umowa, akceptacja regulaminu programu bug bounty, zakres i metody testów). Działanie w granicach takiej zgody co do zasady wyłącza bezprawność – brak nieuprawnionego dostępu i brak celu przestępczego. Dlatego specjalistom rekomenduje się: dokumentowanie zgody i zakresu testów na piśmie, niewykraczanie poza uzgodniony zakres, zgłaszanie luk odpowiedzialnie (responsible disclosure) i nieudostępnianie publicznie działających exploitów. Jeżeli zarzut już padł, obrona może wykazywać, że działanie mieściło się w granicach zgody i nie miało charakteru przestępczego.
Co zrobić po postawieniu zarzutu lub zatrzymaniu sprzętu
Najważniejsza zasada: nie składaj wyjaśnień przed rozmową z obrońcą. Masz prawo odmówić składania wyjaśnień i odpowiedzi na pytania (art. 175 KPK), a skorzystanie z tego prawa nie może być poczytane na Twoją niekorzyść. Po drugie – nie usuwaj, nie modyfikuj i nie szyfruj danych ani nie 'czyść' urządzeń związanych ze sprawą; takie działanie może zostać uznane za zacieranie śladów i pogorszyć Twoją sytuację. Po trzecie – jeśli organy zabezpieczają sprzęt, zażądaj protokołu zatrzymania rzeczy i sprawdź jego zgodność z rzeczywistym stanem. Po czwarte – zabezpiecz materiały świadczące na Twoją korzyść: umowy o testy bezpieczeństwa, korespondencję, dokumentację projektu, dowody zgody właściciela systemu. Po piąte – jak najszybciej skonsultuj się z adwokatem lub radcą prawnym specjalizującym się w sprawach z zakresu cyberprzestępczości i ustal strategię na każdym etapie postępowania. Im wcześniej obrońca włączy się do sprawy, tym więcej realnych możliwości działania, łącznie z wnioskami dowodowymi i negocjacjami z prokuratorem.
Najczęstsze pytania
Czy samo posiadanie narzędzi hakerskich jest karalne w Polsce?
Art. 269b KK karze wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów i urządzeń przystosowanych do popełnienia przestępstw komputerowych oraz haseł i kodów dostępu. Kluczowe jest jednak, by narzędzie było 'przystosowane do popełnienia przestępstwa' i by działanie było umyślne. Narzędzia o podwójnym zastosowaniu, używane legalnie do testów bezpieczeństwa za zgodą właściciela systemu, co do zasady nie wyczerpują znamion.
Jaka kara grozi za rozpowszechnianie wirusów lub ransomware?
Za czyn z art. 269b § 1 KK (udostępnianie programów przystosowanych do przestępstwa) grozi pozbawienie wolności od 3 miesięcy do 5 lat. Jeśli malware niszczy lub zmienia dane (art. 268a KK) albo zakłóca pracę systemu, np. atak DDoS lub szyfrowanie ransomware (art. 269a KK), kara sięga 5 lat, a przy danych o szczególnym znaczeniu (sabotaż – art. 269 KK) do 8 lat. Realny wymiar zależy od okoliczności i oceny sądu.
Przesłałem dalej zainfekowany plik, nie wiedząc o tym – czy popełniłem przestępstwo?
Przestępstwa z rozdziału XXXIII KK są umyślne. Jeśli nie wiedziałeś, że plik zawiera złośliwe oprogramowanie, i nie miałeś celu przestępczego, brak po Twojej stronie zamiaru, a więc co do zasady nie popełniasz przestępstwa z art. 269b KK. Każdą taką sytuację warto jednak skonsultować z obrońcą, bo ocena zależy od konkretnych okoliczności i dowodów.
Czy adres IP wystarcza do skazania za dystrybucję malware?
Sam adres IP zwykle nie wystarcza, bo nie identyfikuje jednoznacznie osoby – łącze może być współdzielone, zabezpieczone słabym hasłem, zainfekowane lub wykorzystane przez osobę trzecią (np. przez zainfekowany komputer w botnecie). Obrona często kwestionuje przypisanie sprawstwa wyłącznie na podstawie IP i domaga się dodatkowych, jednoznacznych dowodów łączących oskarżonego z czynem.
Czy testy penetracyjne i bug bounty są legalne?
Tak, o ile odbywają się za zgodą właściciela systemu i w jej granicach. Polskie prawo nie ma ogólnej klauzuli legalizującej 'etyczny hacking', dlatego podstawą jest pisemna zgoda (umowa, regulamin programu bug bounty) określająca zakres i metody testów. Wyjście poza uzgodniony zakres albo nieuprawniony dostęp do systemu może wyczerpać znamiona z art. 267 lub 269b KK.
Co zabezpieczyć i zrobić, gdy policja zatrzyma mój sprzęt?
Zażądaj protokołu zatrzymania rzeczy i sprawdź jego zgodność ze stanem faktycznym. Nie usuwaj ani nie modyfikuj danych. Zabezpiecz dowody na swoją korzyść (umowy o testy, korespondencję, dokumentację projektu, zgody właściciela systemu) i jak najszybciej skontaktuj się z adwokatem lub radcą prawnym. Pamiętaj o prawie do odmowy składania wyjaśnień (art. 175 KPK) – skorzystanie z niego nie może być poczytane na Twoją niekorzyść.
Powiązane poradniki
- Przestępstwa przeciwko komunikacji elektronicznej — kary i obrona (art. 267–269b k.k.)
- Cyberataki na infrastrukturę krytyczną — odpowiedzialność karna i obrona
- Atak DDoS i cyberprzestępczość — jaka jest odpowiedzialność karna w Polsce?
- Co grozi za tworzenie i rozpowszechnianie złośliwego oprogramowania w Polsce
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (art. 269b – programy przystosowane do przestępstwa; art. 267 – nielegalny dostęp; art. 268 i 268a – niszczenie danych; art. 269 – sabotaż komputerowy; art. 269a – zakłócanie systemu; art. 287 – oszustwo komputerowe; dyrektywy kary – art. 53; warunkowe umorzenie – art. 66)
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (prawo do odmowy wyjaśnień – art. 175; dobrowolne poddanie się karze – art. 335 i 387; zatrzymanie rzeczy i przeszukanie – art. 217 i nast.)
- Konwencja Rady Europy o cyberprzestępczości (Budapeszt, 2001), ratyfikowana przez Polskę – ramy międzynarodowe dla przestępstw przeciwko danym i systemom informatycznym
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę