Sabotaż systemów informatycznych administracji publicznej - co grozi i jak wygląda obrona?
Prawo karne · 2 min czytania · Redakcja zaufanyprawnik.pl
Ataki na systemy teleinformatyczne urzędów - od ransomware po celowe usuwanie danych - mogą paraliżować usługi publiczne i naruszać prywatność obywateli. Polskie prawo karne traktuje takie czyny poważnie, zwłaszcza gdy dotyczą danych istotnych dla funkcjonowania administracji rządowej. Poniżej wyjaśniamy, jakie przepisy mają tu zastosowanie, jakie kary grożą i na czym polega obrona w takich sprawach.
Sabotaż komputerowy w Kodeksie karnym
Najważniejszym przepisem jest art. 269 Kodeksu karnego (sabotaż komputerowy). Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej lub innego organu państwowego, albo zakłóca lub uniemożliwia automatyczne przetwarzanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do 8 lat. Obok niego stosuje się art. 268a KK (utrudnianie dostępu do danych, do 3 lat), art. 269a KK (zakłócanie pracy systemu teleinformatycznego, od 3 miesięcy do 5 lat) oraz art. 269b KK (bezprawne posługiwanie się narzędziami hakerskimi).
Tło regulacyjne - obowiązki podmiotów publicznych
Niezależnie od odpowiedzialności karnej sprawcy, administracja publiczna ma własne obowiązki w zakresie cyberbezpieczeństwa. Wynikają one m.in. z ustawy o krajowym systemie cyberbezpieczeństwa oraz z RODO w zakresie ochrony danych osobowych. Na poziomie unijnym dyrektywa NIS2 rozszerza obowiązki podmiotów kluczowych i ważnych - wymaga wdrożenia środków zarządzania ryzykiem, zgłaszania incydentów i audytów. Część rozwiązań NIS2 jest wdrażana do prawa krajowego nowelizacją ustawy o KSC; szczegółowe terminy i zakres obowiązków poszczególnych jednostek mogą się różnić, dlatego należy je weryfikować z aktualnym brzmieniem przepisów.
Obrona w sprawie o sabotaż systemu
Obrona w sprawach komputerowych w dużej mierze opiera się na dowodach cyfrowych. Kluczowe jest ustalenie, czy zabezpieczenie i analiza danych (logi, kopie, ślady sieciowe) przebiegły prawidłowo i czy nie doszło do naruszenia procedur, które podważałoby wartość dowodu. Obrońca bada, czy oskarżonemu można przypisać działanie umyślne, czy dane rzeczywiście miały 'szczególne znaczenie' w rozumieniu art. 269 KK oraz czy nie zachodzi kontratyp z art. 269c KK, który wyłącza karalność działań podjętych w celu wykrycia luk w zabezpieczeniach i niezwłocznie zgłoszonych uprawnionemu podmiotowi. Każda z tych okoliczności może istotnie wpłynąć na kwalifikację i wymiar kary.
Najczęstsze pytania
Jaka kara grozi za sabotaż systemu informatycznego administracji?
Za niszczenie, usuwanie lub zmianę danych informatycznych o szczególnym znaczeniu dla funkcjonowania administracji rządowej lub innego organu państwowego grozi kara pozbawienia wolności od 6 miesięcy do 8 lat (art. 269 §1 KK). Zakłócanie pracy systemu teleinformatycznego (art. 269a KK) jest zagrożone karą od 3 miesięcy do 5 lat.
Czy testowanie zabezpieczeń (pentest) jest karalne?
Działanie wyłącznie w celu zabezpieczenia systemu lub wykrycia podatności, jeśli sprawca niezwłocznie powiadomił uprawniony podmiot i nie spowodował szkody, nie podlega karze na podstawie art. 269c KK. Bez zgody i bez zgłoszenia takie działania mogą jednak wyczerpywać znamiona przestępstw komputerowych.
Czym różni się sabotaż danych od zwykłego włamania do systemu?
Samo uzyskanie nieuprawnionego dostępu (hacking) penalizuje art. 267 KK. Art. 269 KK dotyczy ingerencji w dane o szczególnym znaczeniu, np. dla administracji państwowej, a art. 269a KK - poważnego zakłócenia pracy systemu. Czyny te mogą występować łącznie.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę