Hacking i włamanie do systemu (art. 267 k.k.) - linie obrony, kary i rola adwokata
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Sprawy o tak zwany hacking, czyli nieuprawniony dostęp do systemu lub danych informatycznych, należą do najbardziej technicznych postępowań karnych. Wbrew obiegowej nazwie polskie prawo nie posługuje się pojęciem 'włamania do systemu komputerowego' w rozumieniu art. 279 k.k. (kradzież z włamaniem dotyczy rzeczy ruchomych). Czyny związane z bezprawnym dostępem do informacji i systemów są stypizowane przede wszystkim w art. 267-269b Kodeksu karnego, a gdy w grę wchodzi korzyść majątkowa - także w art. 287 k.k. (oszustwo komputerowe). Skuteczna obrona nie polega na 'znajdowaniu luk', lecz na precyzyjnym wykazaniu, że nie zostały spełnione wszystkie ustawowe znamiona czynu, albo że dowody cyfrowe zgromadzono i zabezpieczono w sposób wadliwy. Poniżej omawiamy realne linie obrony osadzone w polskim prawie karnym i procedurze. Artykuł ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej.
Jakie przepisy regulują hacking w polskim prawie karnym
Podstawowym przepisem jest art. 267 § 1 k.k.: kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 267 § 2 k.k. penalizuje uzyskanie dostępu do całości lub części systemu informatycznego bez uprawnienia. Art. 267 § 3 k.k. dotyczy nielegalnego podsłuchu i pozyskiwania informacji za pomocą urządzeń (np. sniffer, keylogger, podsłuch transmisji). Z kolei art. 268 i 268a k.k. chronią integralność i dostępność danych (niszczenie, usuwanie, zmiana lub utrudnianie dostępu do danych), art. 269 k.k. dotyczy sabotażu danych o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji, a art. 269a k.k. - zakłócania pracy systemu (np. ataki DDoS). Art. 269b k.k. penalizuje wytwarzanie i udostępnianie tzw. narzędzi hakerskich oraz haseł i kodów dostępu. Gdy sprawca działa w celu osiągnięcia korzyści majątkowej, manipulując danymi lub programem, w grę wchodzi art. 287 k.k. (oszustwo komputerowe). Prawidłowa kwalifikacja czynu jest pierwszym polem walki obrony, bo od niej zależy zagrożenie karą i tryb ścigania.
Linia obrony: brak przełamania zabezpieczenia i brak zabezpieczenia
Znamieniem art. 267 § 1 k.k. jest przełamanie albo ominięcie szczególnego zabezpieczenia informacji. Jeśli informacja nie była w ogóle zabezpieczona - była publicznie dostępna, leżała w otwartym katalogu sieciowym bez logowania albo zabezpieczenie było czysto symboliczne - znamię to nie zostaje spełnione. Obrona analizuje, czy w systemie istniało realne zabezpieczenie (hasło, szyfrowanie, kontrola dostępu) oraz czy zostało faktycznie przełamane lub obejście, a nie np. udostępnione dobrowolnie. Trzeba odróżnić art. 267 § 1 k.k. (dostęp do informacji przez przełamanie zabezpieczenia) od art. 267 § 2 k.k. (dostęp do systemu jako takiego). Materiał dowodowy stanowią tu opinie biegłych z zakresu informatyki śledczej, logi serwera, konfiguracja uprawnień oraz dokumentacja polityki bezpieczeństwa. Wykazanie braku zabezpieczenia może prowadzić do umorzenia postępowania lub uniewinnienia.
Linia obrony: posiadanie uprawnienia i zgoda dysponenta
Wszystkie typy z art. 267 k.k. wymagają działania 'bez uprawnienia'. Jeżeli oskarżony dysponował legalnym dostępem - był pracownikiem z nadanymi uprawnieniami, działał na zlecenie administratora, miał zgodę dysponenta systemu albo prowadził autoryzowany test bezpieczeństwa (tzw. pentest na podstawie umowy) - znamię bezprawności nie zostaje spełnione. Kluczowe jest tu udokumentowanie zakresu zgody: umowa o świadczenie usług testów penetracyjnych, regulamin korzystania z systemu, upoważnienie służbowe, korespondencja. Należy jednak pamiętać o granicach: przekroczenie zakresu udzielonego uprawnienia (np. pracownik, który ma dostęp do swojej skrzynki, loguje się na konto innego pracownika) może nadal wyczerpać znamiona art. 267 k.k. Obrona musi precyzyjnie wykazać, że działanie mieściło się w granicach legalnego dostępu. Dowodami są umowy, regulaminy, logi nadanych ról i zeznania osób zarządzających systemem.
Linia obrony: brak zamiaru i błąd co do faktu (art. 28 k.k.)
Przestępstwa z art. 267 k.k. są umyślne. Oskarżyciel musi udowodnić, że sprawca obejmował świadomością i wolą zarówno bezprawność dostępu, jak i fakt przełamania zabezpieczenia. Obrona może wykazywać, że oskarżony pozostawał w błędzie co do okoliczności stanowiącej znamię czynu zabronionego (art. 28 § 1 k.k.) - na przykład był przekonany, że dane są publiczne, że ma do nich dostęp albo że zabezpieczenie nie istnieje. Błąd co do faktu wyłącza umyślność, a tym samym odpowiedzialność za przestępstwo umyślne. Typowe sytuacje to: przypadkowe uzyskanie dostępu wskutek błędu konfiguracji po stronie usługodawcy, automatyczne zapamiętanie hasła, korzystanie z udostępnionego linku. Jeśli zamiaru nie da się udowodnić ponad uzasadnioną wątpliwość, sąd ma obowiązek rozstrzygnąć ją na korzyść oskarżonego zgodnie z art. 5 § 2 k.p.k.
Kwestionowanie wiarygodności i legalności dowodów cyfrowych
W sprawach o hacking dowodem są niemal wyłącznie dane cyfrowe: logi, obrazy dysków, adresy IP, metadane. To materiał wyjątkowo podatny na manipulację i błędy zabezpieczenia. Obrona bada przede wszystkim łańcuch zabezpieczenia śladów (chain of custody): czy nośniki zostały prawidłowo zatrzymane na podstawie postanowienia (art. 217 i 219 k.p.k.), czy sporządzono kopie binarne z sumami kontrolnymi, czy oryginał nie był modyfikowany po zabezpieczeniu. Sam adres IP nie identyfikuje sprawcy - wskazuje urządzenie lub łącze, z którego mogło korzystać wiele osób (współdzielone Wi-Fi, NAT, VPN, zainfekowany komputer wykorzystany jako proxy). Obrona błędnej tożsamości jest tu realna. Materiał uzyskany z rażącym naruszeniem przepisów postępowania może zostać skutecznie zakwestionowany, a opinia biegłego informatyka po stronie obrony często ujawnia nieścisłości w analizie oskarżenia. Domniemanie niewinności (art. 5 § 1 k.p.k.) i ciężar dowodu po stronie oskarżyciela mają tu pełne zastosowanie.
Tryb ścigania, negocjacje i rola obrońcy
Istotną cechą spraw z art. 267 i 268 k.k. jest tryb ścigania: ściganie następuje na wniosek pokrzywdzonego (art. 267 § 5 k.k., art. 268 § 4 k.k.). Brak lub cofnięcie wniosku stanowi przeszkodę procesową i prowadzi do umorzenia postępowania - to często niedoceniane, a bardzo skuteczne pole obrony, zwłaszcza gdy możliwe jest porozumienie i naprawienie szkody. Za nieuprawniony dostęp z art. 267 k.k. grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2; surowiej zagrożone są sabotaż danych o szczególnym znaczeniu (art. 269 k.k. - do 5 lat lub więcej) oraz oszustwo komputerowe (art. 287 k.k. - od 3 miesięcy do 5 lat). Rola obrońcy polega na: weryfikacji kwalifikacji i znamion, badaniu czy złożono skuteczny wniosek o ściganie, kwestionowaniu dowodów cyfrowych z udziałem biegłego, rozważeniu dobrowolnego poddania się karze (art. 387 k.p.k.) lub skazania bez rozprawy (art. 335 k.p.k.) na korzystnych warunkach, a także dbaniu o prawa procesowe na każdym etapie. Wczesne włączenie adwokata, jeszcze w postępowaniu przygotowawczym, daje największe szanse na umorzenie lub łagodny wynik.
Najczęstsze pytania
Jaka kara grozi za hacking, czyli nieuprawniony dostęp do systemu?
Za nieuprawniony dostęp do informacji lub systemu z art. 267 k.k. grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Surowsze kary przewidziano za inne, pokrewne czyny: zakłócanie pracy systemu (art. 269a k.k.) oraz sabotaż danych o szczególnym znaczeniu dla obronności czy administracji (art. 269 k.k.) zagrożone są karą do kilku lat, a oszustwo komputerowe (art. 287 k.k.) karą od 3 miesięcy do 5 lat. Wymiar kary zależy od rodzaju czynu, szkody i okoliczności łagodzących, takich jak niekaralność i naprawienie szkody.
Czy w polskim prawie istnieje 'włamanie do systemu komputerowego'?
Nie w rozumieniu kradzieży z włamaniem z art. 279 k.k., która dotyczy rzeczy ruchomych. Czyny potocznie nazywane włamaniem do systemu są stypizowane w art. 267-269b Kodeksu karnego jako nieuprawniony dostęp do informacji lub systemu, naruszenie integralności danych, zakłócanie pracy systemu czy wytwarzanie narzędzi hakerskich. Prawidłowa kwalifikacja jest kluczowa, bo decyduje o zagrożeniu karą i o trybie ścigania.
Czy sam adres IP wystarczy, by skazać za hacking?
Nie. Adres IP wskazuje urządzenie lub łącze, a nie konkretną osobę. Z jednego adresu może korzystać wiele osób (współdzielone Wi-Fi, sieci NAT, VPN), a komputer może zostać przejęty i wykorzystany jako pośrednik bez wiedzy właściciela. Sam adres IP to poszlaka, którą trzeba powiązać z osobą sprawcy innymi dowodami. Obrona oparta na braku jednoznacznej identyfikacji oraz na błędnej tożsamości jest w takich sprawach w pełni realna.
Czy testy bezpieczeństwa (pentest) są legalne?
Tak, pod warunkiem że są prowadzone na podstawie zgody dysponenta systemu, zwykle umowy określającej zakres i cel testu. Działanie w granicach takiej autoryzacji nie jest działaniem 'bez uprawnienia', więc nie wyczerpuje znamion art. 267 k.k. Ryzyko pojawia się przy przekroczeniu zakresu zgody albo prowadzeniu testów bez umowy. Dlatego kluczowe jest dokładne udokumentowanie upoważnienia, jego zakresu i czasu obowiązywania.
Czy postępowanie o hacking można umorzyć bez procesu?
Tak, w wielu sytuacjach. Ściganie czynów z art. 267 i 268 k.k. następuje na wniosek pokrzywdzonego. Jeżeli pokrzywdzony nie złożył wniosku lub go cofnął, postępowanie podlega umorzeniu. Możliwe jest też porozumienie i naprawienie szkody, które skłania pokrzywdzonego do rezygnacji ze ścigania, a także dobrowolne poddanie się karze na łagodnych warunkach. Każdą taką możliwość warto przeanalizować z adwokatem na wczesnym etapie sprawy.
Kiedy skontaktować się z adwokatem w sprawie o cyberprzestępstwo?
Jak najwcześniej, najlepiej zanim dojdzie do pierwszego przesłuchania lub przeszukania. Wczesny kontakt pozwala obrać właściwą linię obrony, zadbać o prawidłowe zabezpieczenie dowodów cyfrowych, zlecić niezależną opinię biegłego informatyka oraz uniknąć błędów w wyjaśnieniach. W sprawach technicznych szybkie zaangażowanie obrońcy często decyduje o tym, czy uda się zakwestionować materiał dowodowy oskarżenia, zanim utrwali się niekorzystna wersja zdarzeń.
Powiązane poradniki
- Adwokat w sprawach o cyberprzestępczość – jakie przepisy, kary i obrona
- Przestępstwa przeciwko bezpieczeństwu teleinformatycznemu (art. 267-269b KK) - jak działa adwokat?
- Co robić w przypadku oszustwa? Praktyczny poradnik krok po kroku
- Przestępstwa komputerowe i cyberbezpieczeństwo - czym zajmuje się prawnik?
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę