Przestępstwa komputerowe i hacking - co mówi polskie prawo?
Prawo karne · 2 min czytania · Redakcja zaufanyprawnik.pl
Hacking, czyli nieuprawniony dostęp do informacji lub systemu informatycznego, jest w Polsce przestępstwem. Przepisy dotyczące przestępstw przeciwko ochronie informacji zawarte są przede wszystkim w art. 267-269b Kodeksu karnego. Prawo odróżnia działania złośliwe od testów bezpieczeństwa prowadzonych za zgodą - tym ostatnim poświęcony jest osobny przepis.
Nieuprawniony dostęp - art. 267 KK
Zgodnie z art. 267 § 1 KK, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Karalne jest również m.in. uzyskanie dostępu do całości lub części systemu informatycznego, zakładanie podsłuchu czy ujawnienie innej osobie informacji uzyskanej w taki sposób. Ściganie tych czynów następuje na wniosek pokrzywdzonego - to ofiara inicjuje postępowanie.
Niszczenie danych i sabotaż komputerowy
Kolejne przepisy chronią integralność i dostępność danych. Art. 268 i 268a KK penalizują nieuprawnione niszczenie, uszkadzanie, usuwanie lub zmianę danych oraz istotne zakłócanie ich przetwarzania. Art. 269 KK dotyczy sabotażu komputerowego, czyli niszczenia lub zakłócania danych o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji - jest zagrożony surowiej (kara pozbawienia wolności od 6 miesięcy do 8 lat). Art. 269a KK obejmuje zakłócanie pracy systemu lub sieci, a art. 269b KK - wytwarzanie i udostępnianie tzw. narzędzi hakerskich (programów, haseł, kodów dostępu).
Legalne testy bezpieczeństwa - art. 269c KK
Polskie prawo wprost uznaje wartość etycznego testowania zabezpieczeń. Art. 269c KK przewiduje, że nie podlega karze osoba, która działa wyłącznie w celu zabezpieczenia systemu lub opracowania metody ochrony, jeżeli niezwłocznie powiadomi dysponenta systemu o ujawnionych zagrożeniach, a jej działanie nie naruszyło istotnego interesu publicznego lub prywatnego ani nie wyrządziło szkody. W praktyce oznacza to, że legalny pentest wymaga wyraźnej zgody dysponenta systemu i działania w uzgodnionych granicach.
Odpowiedzialność cywilna i naprawienie szkody
Najczęstsze pytania
Czy samo uzyskanie dostępu bez wyrządzenia szkody jest karalne?
Tak. Art. 267 KK penalizuje sam nieuprawniony dostęp do informacji lub systemu, jeżeli sprawca przełamał albo ominął zabezpieczenie. Nie jest konieczne wyrządzenie szkody ani skopiowanie danych - liczy się fakt uzyskania nieuprawnionego dostępu.
Czy etyczny haker (pentester) może odpowiadać karnie?
Co do zasady nie, jeśli działa zgodnie z art. 269c KK: wyłącznie w celu zabezpieczenia systemu, za zgodą dysponenta, niezwłocznie zgłasza wykryte luki i nie wyrządza szkody. Działanie bez zgody właściciela systemu pozbawia tej ochrony i może stanowić przestępstwo.
Jak ofiara hackingu powinna zgłosić incydent?
Ponieważ czyny z art. 267 KK ścigane są na wniosek, ofiara powinna złożyć zawiadomienie i wniosek o ściganie na policji lub w prokuraturze. Warto wcześniej zabezpieczyć dowody (logi, zrzuty ekranu, korespondencję) oraz, w razie potrzeby, zgłosić incydent do CERT Polska.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę