Nielegalne pozyskiwanie danych z kart płatniczych - kwalifikacja prawna i obrona

Bezprawne pozyskanie danych z cudzej karty płatniczej - przez skimming na bankomacie, podstawioną stronę phishingową, złośliwe oprogramowanie czy przejęcie danych z bazy sklepu internetowego - jest w Polsce przestępstwem. W zależności od sposobu działania i tego, co sprawca zrobił z danymi, czyn może być zakwalifikowany na kilka różnych sposobów w Kodeksie karnym, a grożące kary znacząco się różnią. Dla osoby, której postawiono zarzuty, kluczowe jest zrozumienie, na jakiej podstawie prawnej została oskarżona oraz jakie realne linie obrony wchodzą w grę. Dla pokrzywdzonego ważne jest, jakie kroki podjąć, by ograniczyć szkodę i wesprzeć postępowanie. Ten artykuł porządkuje kwalifikacje prawne i wyjaśnia, jak wygląda obrona w takich sprawach na gruncie prawa polskiego. Nie jest to porada w konkretnej sprawie - przy zarzutach karnych zawsze należy skonsultować się z adwokatem.

Jakie przestępstwo popełnia ten, kto pozyskuje dane z karty

Polskie prawo nie zna jednego przepisu o nazwie kradzież danych z karty. Czyn rozkłada się na kilka możliwych kwalifikacji. Najczęściej w grę wchodzi art. 267 par. 1 Kodeksu karnego - bezprawne uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy, w tym przez przełamanie zabezpieczeń lub podłączenie się do sieci; zagrożenie to grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Jeżeli sprawca instalował urządzenia podsłuchowe lub skimmery, zastosowanie znajdzie art. 267 par. 3 k.k. Gdy danymi karty posłużono się do nieautoryzowanej transakcji, czyn często kwalifikuje się jako oszustwo komputerowe z art. 287 par. 1 k.k. (wpływanie na automatyczne przetwarzanie danych w celu osiągnięcia korzyści majątkowej) - zagrożone karą pozbawienia wolności od 3 miesięcy do lat 5. Kluczowa jest właściwa, indywidualna ocena prawna, bo od niej zależy wymiar kary.

Kiedy w grę wchodzi surowy art. 310 Kodeksu karnego

Szczególnie istotny jest art. 310 Kodeksu karnego, który chroni między innymi karty uprawniające do podjęcia pieniędzy. Podrobienie lub przerobienie takiej karty (na przykład zapisanie skradzionych danych na pustym nośniku, tzw. white plastic) jest zagrożone surowo - karą pozbawienia wolności na czas nie krótszy od lat 5 albo karą 25 lat pozbawienia wolności (art. 310 par. 1 k.k.). Puszczanie w obieg takiej podrobionej karty lub posługiwanie się nią podlega karze pozbawienia wolności od roku do lat 10 (art. 310 par. 2 k.k.). Sąd Najwyższy w swoim orzecznictwie potwierdzał, że karty płatnicze mieszczą się w pojęciu środków płatniczych chronionych tym przepisem. To dlatego sprawy o klonowanie kart bywają znacznie poważniejsze niż samo nieuprawnione logowanie do konta. W wypadku mniejszej wagi (art. 310 par. 3 k.k.) sąd może zastosować nadzwyczajne złagodzenie kary, co bywa istotnym elementem strategii obrony.

Phishing i wyłudzenie - kiedy to oszustwo

Jeśli dane karty pozyskano przez podszywanie się pod bank, operatora płatności lub sklep i nakłonienie ofiary do ich podania (phishing), a następnie wykorzystano je do wyłudzenia pieniędzy, zachowanie może wypełniać znamiona oszustwa z art. 286 par. 1 Kodeksu karnego - doprowadzenie innej osoby do niekorzystnego rozporządzenia mieniem za pomocą wprowadzenia w błąd, zagrożone karą pozbawienia wolności od 6 miesięcy do lat 8. Często mamy do czynienia ze zbiegiem przepisów - jeden czyn może wyczerpywać znamiona kilku typów (np. art. 267 i art. 287 albo art. 286 i art. 310), co sąd ocenia w kumulatywnej kwalifikacji na podstawie art. 11 k.k. Dodatkowo bezprawne przetwarzanie danych osobowych może rodzić odpowiedzialność na gruncie przepisów o ochronie danych osobowych (RODO oraz ustawy z 10 maja 2018 r.). Wielość możliwych kwalifikacji sprawia, że precyzyjna analiza akt jest fundamentem każdej obrony.

Jakie kary realnie grożą i od czego zależą

Wymiar kary zależy przede wszystkim od kwalifikacji prawnej i okoliczności. Samo bezprawne uzyskanie dostępu do danych (art. 267 k.k.) zagrożone jest najłagodniej - do 2 lat pozbawienia wolności, a w praktyce przy niewielkiej szkodzie i niekaralności sprawcy sąd często orzeka karę nieizolacyjną lub warunkowo zawiesza wykonanie kary. Oszustwo (art. 286 k.k.) i oszustwo komputerowe (art. 287 k.k.) są poważniejsze, a ich wymiar rośnie wraz z wysokością szkody. Najsurowsza jest kwalifikacja z art. 310 k.k. Na łagodniejszy wymiar wpływają: niska wartość szkody, naprawienie szkody przed wyrokiem, dobrowolne poddanie się karze, przyznanie się i współpraca, a także przypisanie roli jedynie pomocnika zamiast sprawcy. Sąd bierze pod uwagę dyrektywy z art. 53 k.k. - stopień winy, społeczną szkodliwość czynu oraz cele kary. Naprawienie szkody na rzecz pokrzywdzonego (art. 46 k.k.) bywa kluczowym argumentem łagodzącym.

Linie obrony w sprawach o dane z kart

Skuteczna obrona zaczyna się od analizy materiału dowodowego. W tych sprawach dowody są w dużej mierze cyfrowe: logi serwerów, adresy IP, dane z bankowych systemów antyfraudowych, nagrania z bankomatów, zabezpieczone nośniki i urządzenia. Linie obrony często dotyczą: tożsamości sprawcy (adres IP nie identyfikuje jednoznacznie konkretnej osoby, urządzenie mogło być używane przez kilka osób), legalności i prawidłowości zabezpieczenia dowodów elektronicznych, braku zamiaru kierunkowego (przy oszustwie konieczny jest zamiar bezpośredni i cel korzyści majątkowej), a także prawidłowości kwalifikacji prawnej - obrona może wykazywać, że czyn nie wypełnia znamion surowszego art. 310 k.k., lecz łagodniejszego przepisu. Istotna jest też ocena, czy oskarżony był sprawcą, czy jedynie pomocnikiem (art. 18 k.k.). Każdą z tych kwestii należy przeanalizować na podstawie konkretnych akt - dlatego obrońcę warto zaangażować jak najwcześniej, najlepiej już na etapie pierwszego przesłuchania.

Co zrobić, gdy padłeś ofiarą - ochrona pokrzywdzonego

Jeżeli to Ty jesteś pokrzywdzonym, liczy się szybkość reakcji. Po pierwsze, niezwłocznie zastrzeż kartę i zgłoś bankowi nieautoryzowane transakcje - zgodnie z ustawą z 19 sierpnia 2011 r. o usługach płatniczych odpowiedzialność posiadacza karty za nieautoryzowane transakcje jest co do zasady ograniczona (do równowartości 50 euro do chwili zgłoszenia), o ile nie doszło do rażącego niedbalstwa lub umyślności po Twojej stronie. Po drugie, złóż reklamację - bank ma ustawowe terminy na jej rozpatrzenie. Po trzecie, złóż zawiadomienie o możliwości popełnienia przestępstwa na Policji lub w prokuraturze, dołączając wydruki transakcji i korespondencję. Po czwarte, zabezpiecz dowody phishingu (wiadomości, linki, adresy nadawcy). Pokrzywdzony może w postępowaniu karnym żądać naprawienia szkody i działać jako oskarżyciel posiłkowy. Warto monitorować raporty kredytowe pod kątem dalszego nadużycia tożsamości.

Zatarcie skazania i konsekwencje poza wyrokiem

Skazanie za przestępstwo przeciwko mieniu lub przeciwko obrotowi pieniędzmi i papierami wartościowymi ma konsekwencje wykraczające poza samą karę. Wpis w Krajowym Rejestrze Karnym może utrudnić wykonywanie zawodów wymagających niekaralności i pracę w sektorze finansowym. Skazanie ulega jednak zatarciu po upływie okresów wskazanych w art. 106 i nast. Kodeksu karnego - po zatarciu uważa się je za niebyłe. Dlatego, oprócz dążenia do uniewinnienia lub łagodnego wyroku, w strategii obrony uwzględnia się też skutki długofalowe: możliwość warunkowego umorzenia postępowania (art. 66 k.k.) przy mniej poważnych czynach i niekaralności sprawcy, które nie skutkuje wpisem skazania, czy dobrowolne poddanie się karze połączone z naprawieniem szkody. Wybór najlepszej drogi zależy od indywidualnej oceny sprawy przez adwokata.