Nielegalne pozyskiwanie danych z systemów zarządzania koleją – kary i obrona (art. 267–269a KK)
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Systemy zarządzania siecią kolejową – sterowanie ruchem, sygnalizacja, rozkłady, dane techniczne infrastruktury – należą do tzw. infrastruktury krytycznej państwa. Nieuprawnione uzyskanie dostępu do takich systemów i pozyskiwanie z nich danych nie jest „incydentem informatycznym”, lecz przestępstwem ściganym przez polskie prawo karne. Podstaw odpowiedzialności należy szukać przede wszystkim w Rozdziale XXXIII Kodeksu karnego „Przestępstwa przeciwko ochronie informacji” (art. 267–269b KK), a przy poważnych skutkach dla bezpieczeństwa transportu – także w przepisach o sprowadzeniu niebezpieczeństwa w komunikacji (art. 173–174 KK). Poniżej wyjaśniamy, jakie czyny są karalne, jakie grożą kary, kiedy sprawę ściga się z urzędu, a kiedy na wniosek, oraz na czym polega skuteczna obrona w takiej sprawie. To artykuł informacyjny – nie zastępuje porady prawnej w konkretnej sprawie.
Jakie przepisy chronią systemy kolejowe przed nielegalnym dostępem
Kluczowy jest art. 267 KK – nieuprawniony dostęp do informacji. Karze podlega ten, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, a także ten, kto uzyskuje dostęp do całości lub części systemu informatycznego. Karalne jest również zakładanie podsłuchu lub posługiwanie się oprogramowaniem czy urządzeniem w celu przechwycenia informacji (art. 267 § 3 KK) oraz ujawnienie innej osobie informacji uzyskanej w ten sposób (art. 267 § 4 KK). Jeżeli sprawca dane z systemu kolejowego nie tylko pozyskuje, ale też niszczy, zmienia lub utrudnia do nich dostęp, wchodzą w grę art. 268a KK (niszczenie danych informatycznych) oraz art. 269a KK (zakłócanie pracy systemu lub sieci). Dane o szczególnym znaczeniu dla bezpieczeństwa lub funkcjonowania administracji i infrastruktury chroni dodatkowo art. 269 KK (sabotaż komputerowy).
Kiedy w grę wchodzi sabotaż komputerowy (art. 269 KK)
Nie każde włamanie do systemu kolejowego to zwykły „nieuprawniony dostęp”. Jeżeli atak godzi w dane informatyczne o szczególnym znaczeniu dla obronności, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej lub samorządu albo zakłóca lub paraliżuje funkcjonowanie takich systemów, czyn kwalifikuje się jako sabotaż komputerowy z art. 269 KK, zagrożony znacznie surowiej (od 6 miesięcy do 8 lat pozbawienia wolności). Systemy sterowania ruchem kolejowym, jako element bezpieczeństwa w komunikacji, mogą się w tej kategorii mieścić. Dla obrony oznacza to, że kwalifikacja prawna czynu bywa kluczowa: linia między art. 267 KK (do 2 lat) a art. 269 KK (do 8 lat) zależy od tego, jakie dane i jakie funkcje systemu zostały dotknięte – a to wymaga precyzyjnej analizy materiału dowodowego i opinii biegłych.
Jakie kary grożą za nielegalne pozyskiwanie danych
Sankcje zależą od kwalifikacji czynu. Za nieuprawniony dostęp do informacji lub systemu (art. 267 KK) grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Za niszczenie, uszkadzanie lub utrudnianie dostępu do danych informatycznych (art. 268a KK) – do 3 lat pozbawienia wolności. Za zakłócanie pracy systemu lub sieci, np. przez atak typu DoS/DDoS (art. 269a KK) – do 5 lat. Najsurowiej traktowany jest sabotaż komputerowy (art. 269 KK) – od 6 miesięcy do 8 lat. Karalne jest też wytwarzanie i udostępnianie tzw. narzędzi hakerskich – programów, haseł i kodów dostępu służących do popełnienia tych czynów (art. 269b KK). Jeżeli skutkiem ataku byłoby sprowadzenie bezpośredniego niebezpieczeństwa katastrofy w komunikacji, sprawca może odpowiadać dodatkowo z art. 173 lub 174 KK, gdzie kary sięgają wielu lat pozbawienia wolności.
Ściganie z urzędu czy na wniosek pokrzywdzonego
To istotne praktycznie. Czyny z art. 267 i art. 268a KK są co do zasady ścigane na wniosek pokrzywdzonego (art. 267 § 5 i odpowiednie odesłania KK). Oznacza to, że bez wniosku zarządcy systemu organy zwykle nie wszczynają postępowania, ale po jego złożeniu sprawa toczy się z urzędu. Inaczej jest przy sabotażu komputerowym (art. 269 KK) i zakłócaniu pracy systemu (art. 269a KK) – te ściga się z urzędu, bo chronią interes publiczny, a nie tylko prywatny. Krok praktyczny dla zarządcy infrastruktury: po wykryciu włamania należy natychmiast zabezpieczyć logi, kopie zapasowe i dowody cyfrowe, zgłosić incydent właściwemu zespołowi CSIRT zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, a następnie złożyć zawiadomienie o przestępstwie. Zwłoka utrudnia odtworzenie śladów cyfrowych.
Na czym polega obrona oskarżonego
Obrona w sprawach „informatycznych” opiera się na precyzyjnej analizie dowodów cyfrowych, bo to one rozstrzygają o winie. Adwokat bada, czy dostęp był rzeczywiście „nieuprawniony” i czy doszło do przełamania lub ominięcia zabezpieczenia (to znamię czynu z art. 267 § 1 KK), czy dowody pozyskano legalnie i zachowano łańcuch dowodowy, oraz czy opinia biegłego z informatyki śledczej jest rzetelna i powtarzalna. Typowe linie obrony to: brak zamiaru (czyny te są umyślne – nieumyślne uzyskanie dostępu nie wypełnia znamion), błędne przypisanie czynu konkretnej osobie wyłącznie na podstawie adresu IP, działanie w granicach uprawnień (administrator, pentester z umową i zakresem testów), a także znikoma społeczna szkodliwość czynu (art. 1 § 2 KK). Obrońca może też kwestionować surowszą kwalifikację z art. 269 KK i wykazywać, że dane nie miały „szczególnego znaczenia”. Krok praktyczny dla oskarżonego: nie usuwaj danych z urządzeń po postawieniu zarzutów i nie składaj wyjaśnień bez konsultacji z obrońcą.
Dowody cyfrowe i rola biegłych
W tych sprawach materiał dowodowy ma niemal wyłącznie postać cyfrową: logi dostępu, zapisy systemów wykrywania włamań (IDS/IPS), korespondencja, metadane, obrazy dysków. Powodzenie zarówno oskarżenia, jak i obrony zależy od tego, czy dowody te zabezpieczono i przeanalizowano prawidłowo. Obrońca sprawdza, czy zabezpieczenie nośników odbyło się z zachowaniem integralności danych (sumy kontrolne, kopie binarne), czy biegły dysponował właściwą metodyką i czy jego wnioski nie są nadmiernie kategoryczne. Sam adres IP wskazuje urządzenie lub łącze, a nie konkretnego człowieka – w sieci współdzielonej, przy użyciu VPN czy zainfekowanego komputera-pośrednika identyfikacja sprawcy bywa zawodna. To częsty i skuteczny punkt obrony. Z kolei pełnomocnik pokrzywdzonego dba, by dowody nie zostały zakwestionowane z powodu uchybień proceduralnych przy ich gromadzeniu.
Cyberbezpieczeństwo a RODO i obowiązki zarządcy
Trzeba odróżnić odpowiedzialność karną sprawcy od obowiązków i odpowiedzialności samego operatora systemu. Jeśli pozyskane dane obejmują dane osobowe (np. pracowników, pasażerów), zdarzenie uruchamia także reżim RODO: administrator ma obowiązek zgłosić naruszenie ochrony danych Prezesowi UODO w ciągu 72 godzin (art. 33 RODO), a w razie wysokiego ryzyka – zawiadomić osoby, których dane dotyczą (art. 34 RODO). Operatorzy usług kluczowych w transporcie podlegają ponadto ustawie z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która nakłada obowiązki w zakresie zarządzania ryzykiem i zgłaszania incydentów do właściwego CSIRT. To dwa odrębne reżimy niż prawo karne: jedno zdarzenie – włamanie do systemu kolejowego z wyciekiem danych – może rodzić jednocześnie odpowiedzialność karną włamywacza (art. 267–269 KK) i odpowiedzialność administracyjną operatora za niewystarczające zabezpieczenia.
Jak długo trwa postępowanie i jak się przygotować
Czas trwania zależy od złożoności sprawy i konieczności powołania biegłych informatyków, których opinie bywają czasochłonne. Postępowanie przygotowawcze (śledztwo lub dochodzenie) może trwać od kilku tygodni do wielu miesięcy, a postępowanie sądowe – wraz z ewentualną apelacją – nawet ponad rok. Krok praktyczny zarówno dla oskarżonego, jak i pokrzywdzonego: gromadź dokumentację (umowy, regulaminy, polityki bezpieczeństwa, zakresy uprawnień, logi), nie kontaktuj się z drugą stroną na własną rękę i jak najszybciej skonsultuj sprawę z prawnikiem znającym specyfikę dowodów cyfrowych. Wczesne zaangażowanie obrońcy lub pełnomocnika pozwala zabezpieczyć dowody i ukształtować strategię, zanim utrwalą się niekorzystne ustalenia.
Najczęstsze pytania
Jaka kara grozi za włamanie do systemu zarządzania siecią kolejową?
Za nieuprawniony dostęp do informacji lub systemu (art. 267 Kodeksu karnego) grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Jeśli atak dotyczy danych o szczególnym znaczeniu dla bezpieczeństwa w komunikacji i kwalifikuje się jako sabotaż komputerowy (art. 269 KK), kara wynosi od 6 miesięcy do 8 lat pozbawienia wolności.
Czy samo pozyskanie danych, bez ich niszczenia, jest karalne?
Tak. Już samo nieuprawnione uzyskanie dostępu do informacji lub do systemu informatycznego wypełnia znamiona art. 267 KK – niezależnie od tego, czy sprawca dane zniszczył. Niszczenie, zmiana lub utrudnianie dostępu do danych to dodatkowy czyn z art. 268a KK, a zakłócanie pracy systemu – z art. 269a KK.
Czy te przestępstwa są ścigane z urzędu?
Nieuprawniony dostęp do informacji (art. 267 KK) i niszczenie danych (art. 268a KK) są co do zasady ścigane na wniosek pokrzywdzonego, po którym sprawa toczy się z urzędu. Sabotaż komputerowy (art. 269 KK) i zakłócanie pracy systemu (art. 269a KK) ściga się z urzędu, bo chronią interes publiczny.
Czy sam adres IP wystarczy, by mnie skazać?
Adres IP wskazuje urządzenie lub łącze, a nie konkretną osobę. W sieci współdzielonej, przy użyciu VPN czy zainfekowanego komputera identyfikacja bywa zawodna. Sam adres IP zwykle nie wystarcza do przypisania winy – konieczne są dodatkowe dowody. To częsty i skuteczny punkt obrony budowanej przez adwokata.
Czy pentester lub administrator może odpowiadać karnie?
Nie, jeśli działa w granicach uprawnień – na podstawie umowy, w ustalonym zakresie i czasie testów. Karalny jest dostęp „nieuprawniony”. Dlatego tak ważne są pisemne zgody i precyzyjnie określony zakres testów penetracyjnych. Przekroczenie tego zakresu może już rodzić odpowiedzialność z art. 267 KK.
Co zrobić, gdy doszło do włamania do systemu firmy lub instytucji?
Niezwłocznie zabezpiecz dowody cyfrowe (logi, kopie binarne nośników, korespondencję), zgłoś incydent właściwemu zespołowi CSIRT zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, a przy wycieku danych osobowych zgłoś naruszenie Prezesowi UODO w 72 godziny (art. 33 RODO). Następnie złóż zawiadomienie o przestępstwie wraz z wnioskiem o ściganie.
Powiązane poradniki
- Nielegalne pozyskiwanie danych (art. 267 KK): odpowiedzialność, obrona i RODO
- Nielegalne pozyskiwanie danych z systemów zarządzania energią – jakie kary i jak się bronić
- Cyberterroryzm i cyberprzestępczość - jaką pomoc prawną można uzyskać?
- Obrona w sprawach o ataki hakerskie na banki - art. 267-269b KK w praktyce
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (Rozdział XXXIII: Przestępstwa przeciwko ochronie informacji, art. 267–269b; art. 173–174)
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – w szczególności art. 33 i 34
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę