Nielegalne pozyskiwanie informacji bankowych - co grozi i jak się bronić
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Nielegalne pozyskiwanie informacji bankowych obejmuje wiele zachowań: od phishingu i wyłudzenia danych logowania, przez włamanie do systemu bankowego (hacking), po nieuprawnione przeglądanie cudzego konta przez osobę mającą do niego techniczny dostęp. W polskim prawie czyny te kwalifikuje się najczęściej z art. 267 Kodeksu karnego (nieuprawniony dostęp do informacji), a w zależności od dalszych działań sprawcy także z art. 287 KK (oszustwo komputerowe), art. 286 KK (oszustwo) czy przepisów o naruszeniu tajemnicy bankowej z ustawy Prawo bankowe. Równolegle wchodzą w grę przepisy o ochronie danych osobowych (RODO oraz ustawa o ochronie danych osobowych). Ten artykuł wyjaśnia, jakie przepisy mają zastosowanie, jakie kary realnie grożą i jak wygląda obrona oskarżonego.
Podstawa prawna - art. 267 Kodeksu karnego
Trzonem odpowiedzialności jest art. 267 KK. § 1 penalizuje uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy przez otwarcie zamkniętego pisma, podłączenie się do sieci telekomunikacyjnej lub przełamanie albo ominięcie elektronicznego, magnetycznego, informatycznego lub innego szczególnego zabezpieczenia - zagrożenie: grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat. § 2 obejmuje uzyskanie dostępu do systemu informatycznego (samo włamanie, niezależnie od pobrania danych). § 3 dotyczy nielegalnego podsłuchu i posługiwania się urządzeniem podsłuchowym. § 4 karze ujawnienie innej osobie informacji uzyskanej w sposób z § 1-3. Co bardzo istotne, § 5 stanowi, że ściganie tych czynów następuje na wniosek pokrzywdzonego - bez wniosku banku lub posiadacza rachunku organy nie wszczynają postępowania z urzędu.
Naruszenie tajemnicy bankowej
Informacje o rachunkach i operacjach objęte są tajemnicą bankową (art. 104-105 ustawy z 29 sierpnia 1997 r. Prawo bankowe). Jej naruszenie przez osobę zobowiązaną do zachowania tajemnicy (np. pracownika banku) rodzi odpowiedzialność karną z art. 171 ust. 5 Prawa bankowego - kara grzywny do 1 000 000 zł oraz pozbawienia wolności do 3 lat. To istotne uzupełnienie art. 267 KK: o ile art. 267 trafia w osoby z zewnątrz, które przełamują zabezpieczenia, o tyle przepisy Prawa bankowego sięgają osób, które dostęp do danych mają legalnie, lecz wykorzystują go bezprawnie. Kwalifikacja prawna zależy więc od tego, kim jest sprawca i jak wszedł w posiadanie informacji.
Gdy pozyskanie danych prowadzi do oszustwa
Pozyskanie danych bankowych bardzo często jest etapem do dalszego przestępstwa - kradzieży środków z konta. Jeśli sprawca, posługując się wyłudzonymi danymi, dokonuje przelewu lub zmienia dane informatyczne, odpowiada dodatkowo z art. 287 KK (oszustwo komputerowe) - kara od 3 miesięcy do 5 lat pozbawienia wolności. Gdy do wyłudzenia środków doprowadzono poprzez wprowadzenie ofiary w błąd (klasyczny phishing nakłaniający do dobrowolnego podania kodu), w grę wchodzi art. 286 KK (oszustwo) z analogicznym zagrożeniem, a przy mieniu znacznej wartości - do 10 lat. W praktyce prokuratura często stawia kilka zarzutów łącznie (kumulatywna kwalifikacja), co realnie podnosi wymiar kary.
Rola pokrzywdzonego - wniosek o ściganie
Z uwagi na wnioskowy tryb ścigania (art. 267 § 5 KK) rola pokrzywdzonego jest kluczowa. Bank lub posiadacz rachunku musi złożyć wniosek o ściganie - dopiero wtedy postępowanie toczy się z urzędu. W praktyce oznacza to, że ofiara phishingu powinna jak najszybciej zgłosić sprawę na policję lub do prokuratury, a także powiadomić bank, który ma własne procedury (chargeback, blokada środków, zgłoszenie do systemów antyfraudowych). Zwłoka działa na niekorzyść ofiary: utrudnia odzyskanie pieniędzy i zatarcie śladów cyfrowych. Z perspektywy obrony brak prawidłowo złożonego wniosku może być natomiast podstawą umorzenia postępowania.
Dopuszczalność dowodów uzyskanych bezprawnie
Kwestia tzw. owoców zatrutego drzewa wygląda w polskim procesie karnym inaczej niż w systemie amerykańskim. Po nowelizacji z 2016 r. art. 168a KPK stanowi, że dowodu nie można uznać za niedopuszczalny wyłącznie z tego powodu, że został uzyskany z naruszeniem przepisów postępowania lub za pomocą czynu zabronionego - z zastrzeżeniem dowodów uzyskanych w związku z pełnieniem funkcji przez funkcjonariusza publicznego w wyniku zabójstwa, umyślnego uszczerbku na zdrowiu lub pozbawienia wolności. Oznacza to, że polski sąd nie odrzuca automatycznie dowodu zdobytego nielegalnie - jest to istotna różnica w stosunku do twierdzeń często powielanych w internecie. Każdorazowo sąd ocenia dowód, a sama osoba, która go pozyskała bezprawnie, może odpowiadać karnie z art. 267 KK.
Linia obrony oskarżonego
Obrona w sprawie z art. 267 KK koncentruje się zwykle na kilku elementach. Po pierwsze - na braku znamienia przełamania lub ominięcia zabezpieczenia: jeśli dane były dostępne bez żadnej bariery (np. niezabezpieczone, jawne), czyn może nie wyczerpywać znamion. Po drugie - na braku winy umyślnej i wiedzy, że informacja nie była przeznaczona dla sprawcy. Po trzecie - na wadliwości wniosku o ściganie lub jego braku. Po czwarte - na zakwestionowaniu wartości dowodowej zabezpieczonego materiału informatycznego (łańcuch dostępu do dowodu, opinia biegłego). Możliwe są też rozwiązania kończące sprawę łagodniej: warunkowe umorzenie (art. 66 KK) wobec sprawcy niekaranego przy niskiej szkodliwości oraz dobrowolne poddanie się karze (art. 387 KPK), zwłaszcza po naprawieniu szkody pokrzywdzonemu.
Tajemnica obrończa i ochrona komunikacji z klientem
Niezależnie od strony procesu, komunikacja oskarżonego z obrońcą jest chroniona tajemnicą obrończą (art. 178 pkt 1 KPK) - obrońcy nie wolno przesłuchiwać co do faktów, o których dowiedział się prowadząc obronę, a tajemnica ta jest bezwzględna. To gwarantuje, że klient może otwarcie przedstawić obrońcy okoliczności sprawy bez ryzyka, że posłużą one oskarżeniu. Dla osoby podejrzewanej o nielegalne pozyskanie danych bankowych oznacza to praktyczną radę: szczerze opisać prawnikowi przebieg zdarzeń, korzystając jednocześnie z prawa do odmowy składania wyjaśnień wobec organów (art. 175 KPK). To pozwala zbudować spójną linię obrony bez pochopnych oświadczeń, które mogłyby zaszkodzić.
Najczęstsze pytania
Co grozi za włamanie na cudze konto bankowe?
Sam nieuprawniony dostęp do systemu lub danych przez przełamanie zabezpieczeń to przestępstwo z art. 267 KK - grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat. Jeśli sprawca dodatkowo przelał lub ukradł środki, dochodzi art. 287 KK (oszustwo komputerowe) zagrożony karą od 3 miesięcy do 5 lat, a przy mieniu znacznej wartości - nawet do 10 lat.
Czy ściganie za nieuprawniony dostęp następuje z urzędu?
Nie. Zgodnie z art. 267 § 5 KK przestępstwa z art. 267 § 1-4 ścigane są na wniosek pokrzywdzonego. Bez wniosku banku lub posiadacza rachunku prokuratura nie prowadzi sprawy. Dlatego ofiara phishingu powinna jak najszybciej zgłosić sprawę organom ścigania i powiadomić bank.
Czy dowody zdobyte nielegalnie można wykorzystać w sądzie?
W polskim procesie karnym - co do zasady tak. Art. 168a KPK stanowi, że dowodu nie można uznać za niedopuszczalny wyłącznie z powodu jego bezprawnego pozyskania, poza wyjątkami dotyczącymi najcięższych czynów funkcjonariuszy. To różni polskie prawo od amerykańskiej doktryny 'owoców zatrutego drzewa'. Osoba, która zdobyła dowód bezprawnie, może jednak sama odpowiadać karnie.
Pracownik banku przejrzał moje konto bez powodu - co mu grozi?
Pracownik ma legalny dostęp, więc art. 267 KK (zakładający przełamanie zabezpieczeń) zwykle nie ma zastosowania, ale narusza tajemnicę bankową. Odpowiada z art. 171 ust. 5 Prawa bankowego (grzywna do 1 000 000 zł, pozbawienie wolności do 3 lat), a także może ponieść konsekwencje na gruncie RODO i odpowiedzialność cywilną oraz dyscyplinarną.
Padłem ofiarą phishingu - jak się bronić i odzyskać pieniądze?
Natychmiast zgłoś sprawę bankowi (blokada, reklamacja, chargeband), złóż zawiadomienie i wniosek o ściganie na policji lub w prokuraturze (art. 267 § 5 KK), zmień dane logowania i zabezpiecz dowody (zrzuty ekranu, wiadomości). Jeśli bank odmówi zwrotu środków, można dochodzić roszczeń, powołując się m.in. na przepisy ustawy o usługach płatniczych dotyczące nieautoryzowanych transakcji.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę