Obrona w sprawach o ataki hakerskie na banki - art. 267-269b KK w praktyce
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Sprawy o ataki hakerskie na instytucje finansowe należą do najtrudniejszych w polskim procesie karnym. Łączą skomplikowaną materię dowodową (logi, metadane, analiza powłamaniowa) z surowymi przepisami rozdziału XXXIII Kodeksu karnego - przestępstwa przeciwko ochronie informacji. Skuteczna obrona wymaga obrońcy, który rozumie nie tylko procedurę karną, ale też podstawy cyberbezpieczeństwa, potrafi czytać opinie biegłych z informatyki śledczej i kwestionować sposób zabezpieczenia dowodu cyfrowego. Ten artykuł wyjaśnia, jakie czyny grożą oskarżonemu, jak wygląda realna linia obrony i jakich kompetencji szukać u obrońcy - w całości na gruncie prawa polskiego.
Jakie przepisy grożą za atak hakerski na bank
Podstawowe znaczenie ma rozdział XXXIII Kodeksu karnego. Art. 267 KK karze nieuprawnione uzyskanie dostępu do informacji (m.in. przełamanie lub ominięcie zabezpieczenia, podłączenie się do sieci, użycie oprogramowania podsłuchowego) - grzywną, ograniczeniem wolności albo pozbawieniem wolności do lat 2. Art. 268 i 268a KK dotyczą niszczenia, uszkadzania, usuwania lub zmiany zapisu istotnej informacji oraz zakłócania przetwarzania danych. Art. 269 KK (sabotaż komputerowy danych o szczególnym znaczeniu) i art. 269a KK (zakłócanie pracy systemu lub sieci, np. atak DDoS) przewidują karę od 3 miesięcy do 5 lat. Art. 269b KK karze wytwarzanie i udostępnianie tzw. narzędzi hakerskich oraz haseł dostępu. Gdy celem była korzyść majątkowa - np. nieuprawnione transfery z rachunków - w grę wchodzi art. 287 KK (oszustwo komputerowe, do 5 lat), a w typie kwalifikowanym dotyczącym mienia znacznej wartości nawet do 10 lat (art. 294 KK). Często stosuje się też art. 286 KK (oszustwo) przy phishingu.
Dlaczego dowód cyfrowy jest sercem obrony
W tych sprawach niemal wszystko opiera się na dowodzie elektronicznym: logach serwerów, adresach IP, metadanych, obrazach dysków, analizie ruchu sieciowego. Sam adres IP nie identyfikuje człowieka, lecz urządzenie lub łącze - to luka, którą obrona wykorzystuje najczęściej. Kluczowe pytania: czy zabezpieczenie nośnika było prawidłowe i czy zachowano integralność danych (hasze kontrolne)? Czy oględziny i kopiowanie przeprowadzono zgodnie z procedurą (art. 143 i nast. KPK - protokół czynności)? Czy nie doszło do modyfikacji danych po ich zajęciu? Czy biegły z informatyki śledczej działał na kopii, a nie na oryginale? Każda nieprawidłowość w łańcuchu zabezpieczenia (chain of custody) podważa wartość dowodową materiału i buduje uzasadnioną wątpliwość rozstrzyganą na korzyść oskarżonego (art. 5 § 2 KPK).
Typowe linie obrony w sprawach hakerskich
W praktyce obrona koncentruje się na kilku osiach. (1) Brak sprawstwa - wykazanie, że oskarżony nie był osobą faktycznie obsługującą urządzenie (współdzielone Wi-Fi, przejęcie konta, działanie złośliwego oprogramowania na komputerze oskarżonego, który sam padł ofiarą). (2) Brak znamion czynu - np. dostęp był uprawniony albo nie przełamano zabezpieczenia (art. 267 KK wymaga konkretnego sposobu działania). (3) Brak umyślności - większość czynów z rozdziału XXXIII wymaga zamiaru; przypadkowe wejście do systemu bez przełamania zabezpieczeń nie wypełnia znamion. (4) Kwestionowanie opinii biegłego - wniosek o opinię uzupełniającą lub powołanie innego biegłego (art. 201 KPK), gdy opinia jest niepełna, niejasna lub wewnętrznie sprzeczna. (5) Wskazanie alternatywnych sprawców i podważenie wartości pojedynczego dowodu poszlakowego.
Phishing, kradzież danych i pranie pieniędzy - sprawy powiązane
Ataki na instytucje finansowe rzadko występują w czystej postaci. Z phishingiem łączy się oszustwo z art. 286 KK lub oszustwo komputerowe z art. 287 KK, a także podszywanie się pod osobę lub instytucję (art. 190a § 2 KK). Wyciek danych klientów banku to wątek RODO oraz ewentualnie przetwarzanie danych bez podstawy (art. 107 ustawy o ochronie danych osobowych). Gdy pozyskane środki są dalej przekazywane, pojawia się zarzut prania pieniędzy (art. 299 KK) - dotyczy to także tzw. słupów, czyli osób udostępniających konta ("money mules"), które bywają oskarżane, choć same nie atakowały systemu. Dla obrony istotne jest rozdzielenie roli klienta: inną pozycję ma domniemany sprawca włamania, a inną nieświadomy pośrednik. Każdy z tych zarzutów ma własne znamiona i własną linię obrony.
Obowiązki banku i powiadomienia o naruszeniu - kontekst sprawy
Obrońca musi rozumieć, jak działa zaatakowana instytucja, bo to wpływa na materiał dowodowy. Banki podlegają RODO, które przy naruszeniu ochrony danych nakłada obowiązek zgłoszenia do Prezesa UODO co do zasady w ciągu 72 godzin (art. 33 RODO) oraz zawiadomienia osób, których dane naruszono (art. 34 RODO). Instytucje uznane za operatorów usług kluczowych podlegają też ustawie z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa i zgłaszają poważne incydenty do właściwego CSIRT. Te dokumenty (zgłoszenia, raporty powłamaniowe, korespondencja z UODO) trafiają do akt i mogą zawierać informacje korzystne dla obrony - np. wykazujące inny wektor ataku lub własne zaniedbania banku w zabezpieczeniach. Dostęp do akt zapewnia art. 156 KPK.
Jakich kompetencji wymagać od obrońcy
Dobry obrońca w takiej sprawie łączy trzy obszary. Po pierwsze, biegłość w procedurze karnej - znajomość zasad zabezpieczania i kwestionowania dowodów, terminów, środków zaskarżenia. Po drugie, praktyczne rozumienie technologii - potrafi przeczytać opinię z informatyki śledczej, zadać biegłemu trafne pytania o hasze, metadane i metodykę, rozpoznać, gdzie wnioskować o ekspertyzę prywatną na poparcie obrony. Po trzecie, umiejętność komunikacji - tłumaczenia sądowi skomplikowanych kwestii technicznych prostym językiem oraz negocjacji procesowych (np. dobrowolne poddanie się karze - art. 387 KPK - gdy jest to w interesie klienta). Warto, by kancelaria miała doświadczenie we współpracy z biegłymi z zakresu informatyki i bezpieczeństwa IT, bo to często przesądza o wyniku sprawy.
Co robić, gdy otrzymasz zarzut lub wezwanie
Praktyczne kroki: (1) Nie kasuj, nie formatuj i nie "czyść" żadnych urządzeń - to może zostać uznane za zacieranie śladów (art. 239 KK) i tylko pogarsza sytuację. (2) Skorzystaj z prawa do milczenia (art. 175 KPK) do czasu konsultacji z obrońcą. (3) Zachowaj dowody własnej niewinności: logi własnego sprzętu, korespondencję, dowody, że Twoje urządzenie było zainfekowane lub że konto przejęto. (4) Ustal precyzyjnie, jakie czyny są Ci zarzucane (kwalifikacja prawna) - od tego zależy zagrożenie karą i strategia. (5) Reaguj szybko - im wcześniej obrońca włączy się do postępowania przygotowawczego, tym większy wpływ na zakres opinii biegłych i czynności dowodowych.
Najczęstsze pytania
Jaka kara grozi za atak hakerski na bank w Polsce?
Zależy od czynu. Nieuprawniony dostęp do informacji (art. 267 KK) zagrożony jest karą do 2 lat, sabotaż komputerowy i zakłócanie systemu (art. 269 i 269a KK) - od 3 miesięcy do 5 lat, oszustwo komputerowe (art. 287 KK) - do 5 lat, a przy mieniu znacznej wartości (art. 294 KK) nawet do 10 lat. Często stawia się kilka zarzutów łącznie.
Czy sam adres IP wystarczy, żeby mnie skazać?
Nie. Adres IP identyfikuje urządzenie lub łącze, a nie konkretną osobę. Z tego samego łącza może korzystać wiele osób, urządzenie może być przejęte lub zainfekowane. To pojedyncza poszlaka, którą obrona kwestionuje - sąd ocenia całość dowodów swobodnie i zgodnie z zasadami logiki (art. 7 KPK), a niedające się usunąć wątpliwości rozstrzyga na korzyść oskarżonego (art. 5 § 2 KPK).
Co zrobić zaraz po otrzymaniu zarzutów o przestępstwo komputerowe?
Nie usuwaj ani nie modyfikuj danych na swoich urządzeniach - grozi to zarzutem zacierania śladów (art. 239 KK). Skorzystaj z prawa do milczenia (art. 175 KPK), niezwłocznie ustanów obrońcę, ustal dokładną kwalifikację prawną zarzutów i zabezpiecz dowody świadczące na Twoją korzyść, np. logi wskazujące na infekcję lub przejęcie konta.
Czy mogę odpowiadać, jeśli tylko udostępniłem swoje konto bankowe (tzw. słup)?
Tak, to realne ryzyko. Osobom udostępniającym konta do przyjmowania i dalszego przekazywania środków często stawia się zarzut prania pieniędzy (art. 299 KK), nawet jeśli nie brały udziału w samym ataku. Kluczowe dla obrony jest wykazanie braku wiedzy o przestępczym pochodzeniu środków i braku zamiaru - dlatego okoliczności udostępnienia konta trzeba dokładnie udokumentować.
Jaką rolę w sprawie odgrywa opinia biegłego z informatyki śledczej?
Centralną. To biegły analizuje nośniki, logi i ślady ataku. Jeśli opinia jest niepełna, niejasna lub wewnętrznie sprzeczna, obrona może żądać opinii uzupełniającej albo powołania innego biegłego (art. 201 KPK). Można też przedstawić prywatną ekspertyzę wspierającą linię obrony. Kwestionowanie metodyki badania i integralności zabezpieczonych danych bywa decydujące.
Czy bank miał obowiązek zgłosić atak i czy ma to znaczenie dla mojej sprawy?
Tak. Przy naruszeniu ochrony danych bank co do zasady zgłasza je Prezesowi UODO w ciągu 72 godzin (art. 33 RODO) i zawiadamia poszkodowanych (art. 34 RODO), a jako operator usługi kluczowej raportuje incydenty do CSIRT na podstawie ustawy o krajowym systemie cyberbezpieczeństwa. Dokumenty te trafiają do akt i mogą zawierać informacje przydatne dla obrony, np. o innym wektorze ataku lub zaniedbaniach po stronie banku.
Powiązane poradniki
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 267-269b, 286, 287, 294, 299)
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (art. 5, 7, 156, 175, 201, 387)
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) - art. 33, 34
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę