Co grozi za tworzenie i rozpowszechnianie złośliwego oprogramowania?
Prawo karne · 1 min czytania · Redakcja zaufanyprawnik.pl
Pisanie wirusów, trojanów czy programów typu ransomware nie jest w Polsce jedynie kwestią etyki - to czyn zabroniony, za który Kodeks karny przewiduje karę pozbawienia wolności. Odpowiedzialność dotyczy nie tylko samego ataku, ale też wcześniejszych etapów: wytworzenia, pozyskania i udostępnienia narzędzi przeznaczonych do popełnienia przestępstw komputerowych. Obok sankcji karnej sprawca naraża się na roszczenia cywilne poszkodowanych oraz - jeśli doszło do wycieku danych osobowych - na konsekwencje wynikające z RODO.
Przepisy karne o przestępstwach komputerowych
Polski Kodeks karny chroni informację w rozdziale XXXIII. Najistotniejsze przepisy to: art. 267 (bezprawne uzyskanie dostępu do informacji, nielegalny podsłuch), art. 268 i 268a (niszczenie, utrudnianie dostępu do danych), art. 269 (sabotaż komputerowy wobec danych o znaczeniu dla obronności, bezpieczeństwa, administracji), art. 269a (zakłócanie pracy systemu, np. atak DDoS) oraz art. 269b - który wprost penalizuje wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów komputerowych przystosowanych do popełnienia tych przestępstw, a także haseł i kodów dostępu. To właśnie art. 269b jest podstawą odpowiedzialności twórcy malware.
Jakie kary grożą sprawcy
Za udostępnianie złośliwego oprogramowania z art. 269b KK grozi kara pozbawienia wolności (w typie podstawowym do kilku lat). Surowość zależy od skutku i kwalifikacji - sabotaż komputerowy z art. 269 KK jest zagrożony karą od 6 miesięcy do 8 lat. Sąd bierze pod uwagę rozmiar szkody, liczbę poszkodowanych i działanie w zorganizowanej grupie. Warto pamiętać, że przygotowywanie narzędzi jest karalne nawet wtedy, gdy do faktycznego ataku jeszcze nie doszło.
Odpowiedzialność cywilna i ochrona danych
Niezależnie od procesu karnego, ofiary ataku mogą dochodzić odszkodowania na zasadach ogólnych Kodeksu cywilnego (art. 415 i nast.) za szkodę wyrządzoną czynem niedozwolonym - obejmuje to koszty przestojów, odzyskiwania danych i naprawy systemów. Gdy atak doprowadził do naruszenia ochrony danych osobowych, administrator ma obowiązki zgłoszeniowe wobec Prezesa UODO, a sprawca może odpowiadać dodatkowo. Współpraca międzynarodowa organów ścigania, oparta m.in. na konwencji budapeszteńskiej Rady Europy o cyberprzestępczości, zwiększa realne ryzyko wykrycia.
Najczęstsze pytania
Czy samo napisanie wirusa, bez ataku, jest karalne?
Tak. Art. 269b Kodeksu karnego penalizuje już wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów przystosowanych do popełnienia przestępstw komputerowych, a także haseł i kodów dostępu. Skutek w postaci udanego ataku nie jest konieczny do pociągnięcia do odpowiedzialności.
Czy ofiara ataku ransomware może żądać odszkodowania?
Tak. Poszkodowany może dochodzić naprawienia szkody na podstawie przepisów o czynach niedozwolonych (art. 415 Kodeksu cywilnego), obejmujących m.in. koszty przestoju i odtworzenia danych, niezależnie od toczącego się postępowania karnego.
Jakie przepisy chronią przed cyberprzestępczością w Polsce?
Przede wszystkim art. 267-269b Kodeksu karnego (rozdział o przestępstwach przeciwko ochronie informacji). Uzupełnieniem są przepisy o ochronie danych osobowych (RODO i ustawa z 2018 r.) oraz międzynarodowa konwencja Rady Europy o cyberprzestępczości.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę