Co grozi za rozsyłanie wirusów komputerowych w Polsce?
Prawo karne · 2 min czytania · Redakcja zaufanyprawnik.pl
Rozsyłanie wirusów i innego złośliwego oprogramowania nie jest w Polsce kwestią wyłącznie etyczną - to czyn zabroniony, za który grozi odpowiedzialność karna. Inaczej niż sugerują liczne tłumaczone poradniki, podstawą nie jest tu prawo amerykańskie (FBI IC3) ani brytyjskie (Action Fraud), lecz konkretne przepisy polskiego Kodeksu karnego. Poniżej wyjaśniamy, co dokładnie jest karalne i jak reagować, gdy padło się ofiarą ataku.
Podstawowy przepis: art. 269b KK
Wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym osobom programów komputerowych przystosowanych do popełnienia przestępstwa (np. wirusów, narzędzi hakerskich), a także haseł, kodów dostępu czy innych danych umożliwiających nieuprawniony dostęp do informacji, jest przestępstwem z art. 269b Kodeksu karnego, zagrożonym karą pozbawienia wolności od 3 miesięcy do 5 lat. Co istotne, przepis zawiera wyłączenie: nie popełnia przestępstwa ten, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego (co chroni m.in. legalnych badaczy bezpieczeństwa).
Inne przepisy: sabotaż i niszczenie danych
Skutki działania wirusa mogą wyczerpywać znamiona kolejnych przestępstw. Niszczenie, uszkadzanie, usuwanie lub zmiana cudzych danych informatycznych (art. 268a KK) oraz zakłócanie pracy systemu lub sieci (sabotaż komputerowy, art. 269a KK) są karane samodzielnie. Jeśli atak godzi w dane o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji, w grę wchodzi art. 269 KK. Z kolei nieuprawniony dostęp do informacji przez przełamanie zabezpieczeń to art. 267 KK.
Odpowiedzialność cywilna i kwestia zamiaru
Niezależnie od kary, poszkodowany może dochodzić naprawienia szkody na zasadach odpowiedzialności za czyn niedozwolony (art. 415 i nast. KC). Dla odpowiedzialności karnej kluczowy jest zamiar - przestępstwa z rozdziału XXXIII KK są co do zasady umyślne. Osoba, której komputer został nieświadomie wykorzystany jako element botnetu do dalszego rozsyłania, zwykle nie ponosi odpowiedzialności karnej, jeśli wykaże brak zamiaru i zachowanie należytej staranności.
Gdzie zgłosić incydent w Polsce
Podejrzenie przestępstwa komputerowego należy zgłosić na Policję lub do prokuratury. Incydenty bezpieczeństwa można też zgłaszać do zespołu CERT Polska (działającego w ramach NASK) oraz, w przypadku materiałów nielegalnych, przez serwis Dyżurnet.pl. Warto zachować dowody: logi, nagłówki wiadomości, zrzuty ekranu i daty zdarzeń - ułatwią one ustalenie sprawcy.
Najczęstsze pytania
Czy samo napisanie wirusa, bez jego użycia, jest karalne?
Tak. Art. 269b KK penalizuje już samo wytwarzanie i udostępnianie programów przystosowanych do popełnienia przestępstwa. Wyjątkiem jest działanie wyłącznie w celu zabezpieczenia systemu informatycznego.
Jaka kara grozi za rozsyłanie złośliwego oprogramowania?
Za czyn z art. 269b KK grozi kara pozbawienia wolności od 3 miesięcy do 5 lat. Jeśli atak spowodował zniszczenie danych lub zakłócenie pracy systemu, sprawca może odpowiadać dodatkowo z art. 268a lub 269a KK.
Czy odpowiadam, jeśli mój komputer nieświadomie rozsyłał wirusa?
Co do zasady nie, jeśli działanie było nieumyślne. Przestępstwa komputerowe z KK są umyślne - brak zamiaru i dochowanie należytej staranności (aktualny antywirus, aktualizacje) przemawiają na korzyść użytkownika.
Gdzie zgłosić cyberprzestępstwo w Polsce?
Na Policję lub do prokuratury, a incydenty bezpieczeństwa dodatkowo do CERT Polska (NASK). Nie są to instytucje amerykańskie ani brytyjskie - polskie zgłoszenie kierujemy do krajowych organów.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę