Nielegalne pozyskiwanie danych z systemów bankowych - jakie zarzuty i jak się bronić?
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Nielegalne pozyskiwanie danych z systemów bankowych to jedno z najszybciej rosnących pól przestępczości komputerowej. W praktyce pod tym hasłem kryje się kilka różnych czynów: nieuprawniony dostęp do systemu (hacking), przechwycenie danych logowania (phishing, smishing), skimming kart płatniczych, wykorzystanie cudzych danych do wyprowadzenia środków, a także wytwarzanie i udostępnianie narzędzi służących do takich ataków. Każde z tych zachowań ma odrębną kwalifikację karną w polskim Kodeksie karnym i odrębną logikę obrony. Z perspektywy oskarżonego najważniejsze jest precyzyjne ustalenie, jaki konkretnie przepis mu się zarzuca - bo od tego zależy zarówno zagrożenie karą, jak i dostępne argumenty obronne. Ten artykuł omawia realne podstawy prawne i strategie obrony, a nie ogólne porady o cyberbezpieczeństwie.
Nieuprawniony dostęp do systemu - art. 267 Kodeksu karnego
Podstawowym przepisem jest art. 267 KK. Karze podlega ten, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, m.in. przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie (art. 267 par. 1 KK). Karalne jest też uzyskanie dostępu do całości lub części systemu informatycznego (par. 2) oraz zakładanie lub posługiwanie się urządzeniem podsłuchowym, np. w celu przechwycenia transmisji danych (par. 3). Przestępstwo to jest zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Ściganie następuje na wniosek pokrzywdzonego (np. banku lub klienta), co ma istotne znaczenie procesowe - bez wniosku postępowania nie da się prowadzić. To często pierwszy punkt linii obrony: sprawdzenie, czy wniosek złożono prawidłowo i w terminie.
Oszustwo komputerowe i nadużycie danych - art. 287 KK
Jeśli sprawca nie tylko pozyskał dane, ale wykorzystał je do osiągnięcia korzyści majątkowej lub wyrządzenia szkody - np. wyprowadził pieniądze z konta - wchodzi w grę art. 287 KK (oszustwo komputerowe). Karze podlega ten, kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych albo zmienia, usuwa lub wprowadza nowy zapis danych. Czyn jest zagrożony karą pozbawienia wolności od 3 miesięcy do 5 lat. W wypadku mniejszej wagi grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. Często ten zarzut łączony jest z art. 267 KK (najpierw nielegalny dostęp, potem wykorzystanie danych) oraz z przepisami o praniu pieniędzy, gdy środki są dalej transferowane.
Narzędzia hakerskie i dane dostępowe - art. 269b KK
Odrębnie karane jest samo wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów komputerowych przystosowanych do popełnienia przestępstw komputerowych, a także haseł, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji (art. 269b KK). Zagrożenie karą wynosi od 3 miesięcy do 5 lat pozbawienia wolności. Przepis ten bywa stosowany wobec osób, które handlują wykradzionymi loginami i hasłami do bankowości elektronicznej albo udostępniają tzw. zestawy phishingowe. W obronie istotne jest rozróżnienie narzędzi o podwójnym zastosowaniu (np. legalne oprogramowanie do testów bezpieczeństwa) od narzędzi przystosowanych wyłącznie do przestępstwa, a także wykazanie, że dana osoba nie miała świadomości przestępnego przeznaczenia posiadanych danych.
Niszczenie i zakłócanie danych - art. 268, 268a i 269a KK
Sprawy o ataki na systemy bankowe obejmują też przepisy chroniące integralność i dostępność danych. Art. 268 KK penalizuje udaremnianie lub utrudnianie osobie uprawnionej zapoznania się z informacją (zwłaszcza na nośniku informatycznym - par. 2). Art. 268a KK chroni dane informatyczne przed niszczeniem, uszkadzaniem, usuwaniem, zmienianiem lub utrudnianiem dostępu. Art. 269a KK dotyczy istotnego zakłócania pracy systemu informatycznego lub sieci (np. ataki DoS/DDoS na infrastrukturę banku) i przewiduje karę pozbawienia wolności od 3 miesięcy do 5 lat. W praktyce prokuratura często stawia kilka zarzutów łącznie, dlatego obrona musi analizować każdy przepis osobno - znamiona, zamiar i rzeczywisty skutek techniczny stwierdzony przez biegłego informatyka.
Dowody cyfrowe - serce obrony w sprawach o cyberprzestępstwa
W sprawach o nielegalny dostęp do systemów bankowych dowody są niemal wyłącznie cyfrowe: logi serwerów, adresy IP, dane geolokalizacyjne, zawartość nośników, korespondencja, dane bilingowe. Skuteczna obrona zaczyna się od weryfikacji, czy materiał dowodowy zebrano legalnie. Kluczowe pytania: czy przeszukanie i zatrzymanie sprzętu odbyło się na podstawie postanowienia (art. 219 i nast. KPK) lub zostało zatwierdzone przez sąd, czy zachowano ciągłość zabezpieczenia dowodu (tzw. łańcuch dowodowy), czy adres IP jednoznacznie identyfikuje konkretną osobę (sam IP wskazuje urządzenie/łącze, a nie sprawcę), oraz czy dane z banków i operatorów pozyskano zgodnie z procedurą i tajemnicą bankową (art. 105 Prawa bankowego). Powołanie własnego biegłego informatyka pozwala często podważyć jednoznaczność opinii sporządzonej na zlecenie organów.
Linie obrony - od braku zamiaru po nieprawidłowości proceduralne
Najczęstsze skuteczne argumenty obronne to: brak zamiaru bezpośredniego (przestępstwa z art. 267 i 287 KK wymagają umyślności, a art. 287 dodatkowo celu osiągnięcia korzyści lub wyrządzenia szkody), brak przełamania zabezpieczeń (jeśli dostęp uzyskano do danych jawnych lub niezabezpieczonych, znamię z art. 267 par. 1 KK może nie być spełnione), błędna identyfikacja sprawcy (zwłaszcza przy współdzielonych łączach, sieciach publicznych, zainfekowanych urządzeniach botnet), oraz nieskuteczny wniosek o ściganie przy art. 267 KK. Do tego dochodzą instytucje łagodzące: dobrowolne poddanie się odpowiedzialności (art. 387 KPK), warunkowe umorzenie postępowania (art. 66 KK) przy niekaralności i niskiej szkodliwości, a także naprawienie szkody i pojednanie z pokrzywdzonym, co sąd uwzględnia przy wymiarze kary.
Co robić, gdy postawiono zarzuty - praktyczne kroki
Po pierwsze, nie składaj wyjaśnień bez obecności obrońcy - masz prawo do milczenia (art. 175 KPK) i nie musisz dostarczać dowodów przeciwko sobie. Po drugie, zabezpiecz własne dowody: korespondencję, logi, dane potwierdzające legalność Twojego działania lub alibi techniczne. Po trzecie, jak najszybciej zaangażuj adwokata znającego sprawy z zakresu cyberprzestępczości - kwalifikacja prawna decyduje o całej strategii. Po czwarte, jeśli zarzut dotyczy szkody majątkowej, rozważ wczesne naprawienie szkody, co realnie wpływa na wymiar kary i możliwość warunkowego umorzenia. Po piąte, kontroluj kwestie aresztu - przy zarzutach z art. 287 czy 269a KK prokuratura bywa skłonna wnioskować o tymczasowe aresztowanie, dlatego trzeba być gotowym na argumentację przeciw jego stosowaniu (art. 257-259 KPK, środki nieizolacyjne).
Najczęstsze pytania
Jaka kara grozi za włamanie do systemu bankowego (hacking)?
Sam nieuprawniony dostęp do systemu lub do nieprzeznaczonej informacji z przełamaniem zabezpieczeń (art. 267 KK) jest zagrożony grzywną, ograniczeniem wolności albo pozbawieniem wolności do lat 2. Jeśli sprawca wykorzystał dane do wyprowadzenia środków, dochodzi oszustwo komputerowe z art. 287 KK, zagrożone karą od 3 miesięcy do 5 lat pozbawienia wolności. Łączenie kilku zarzutów podwyższa realne zagrożenie karą.
Czy phishing jest osobnym przestępstwem?
Phishing nie ma w Kodeksie karnym własnej nazwy, ale jest karalny przez pryzmat kilku przepisów. Wyłudzenie danych logowania może wyczerpywać znamiona art. 267 KK (nieuprawnione uzyskanie informacji), a samo posiadanie i handel wykradzionymi hasłami - art. 269b KK. Jeśli sprawca następnie wyprowadzi pieniądze, dochodzi art. 287 KK (oszustwo komputerowe) lub art. 286 KK (oszustwo). Kwalifikacja zależy od konkretnych czynności sprawcy.
Czy adres IP wystarczy, żeby skazać za cyberprzestępstwo?
Sam adres IP zazwyczaj nie wystarcza. Adres IP identyfikuje urządzenie lub łącze, a nie konkretną osobę, która z niego korzystała - zwłaszcza przy sieciach współdzielonych, publicznych hotspotach, serwerach proxy czy urządzeniach przejętych przez botnet. To jedna z najczęstszych linii obrony. Sąd powinien dysponować dodatkowymi dowodami wiążącymi oskarżonego z czynem, a obrona może powołać własnego biegłego informatyka, by podważyć jednoznaczność ustaleń.
Czy mogę odmówić składania wyjaśnień w sprawie o przestępstwo komputerowe?
Tak. Zgodnie z art. 175 KPK oskarżony ma prawo do milczenia i nie musi dostarczać dowodów na swoją niekorzyść. Odmowa składania wyjaśnień nie może być poczytana na niekorzyść. W sprawach o cyberprzestępstwa, gdzie kwalifikacja prawna bywa złożona, najlepiej skorzystać z prawa do milczenia do czasu konsultacji z obrońcą i zapoznania się z materiałem dowodowym.
Czy naprawienie szkody pomaga w sprawie o oszustwo komputerowe?
Tak, i to znacząco. Naprawienie szkody oraz pojednanie z pokrzywdzonym są okolicznościami łagodzącymi przy wymiarze kary i mogą otworzyć drogę do warunkowego umorzenia postępowania (art. 66 KK) przy niekaralności i niskiej szkodliwości czynu lub do dobrowolnego poddania się odpowiedzialności (art. 387 KPK). Wczesne naprawienie szkody bywa jednym z najskuteczniejszych elementów strategii obrony.
Jakie dowody zbiera prokuratura w sprawach o dostęp do systemów bankowych?
Najczęściej są to dowody cyfrowe: logi serwerów banku, adresy IP, dane bilingowe i geolokalizacyjne od operatorów, zawartość zabezpieczonych nośników, korespondencja oraz opinie biegłych informatyków. Dane objęte tajemnicą bankową muszą być pozyskane zgodnie z art. 105 Prawa bankowego. Obrona analizuje legalność każdego dowodu - podstawę przeszukania (art. 219 i nast. KPK), ciągłość zabezpieczenia i wartość dowodową opinii biegłego.
Powiązane poradniki
- Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
- Sabotaż systemów informatycznych administracji - przepisy karne i obrona
- Kradzież tożsamości - co grozi sprawcy (art. 190a § 2 k.k.) i jak się chronić
- Adwokat w sprawach o cyberprzestępczość – jakie przepisy, kary i obrona
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 267, 268, 268a, 269a, 269b, 287)
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (art. 175, 219, 257-259, 387)
- Ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (art. 105 - tajemnica bankowa)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę