Przestępstwa przeciwko bezpieczeństwu infrastruktury bankowej - kwestie prawne
Prawo karne · 6 min czytania · Redakcja zaufanyprawnik.pl
Sektor bankowy należy do najczęstszych celów cyberataków, a naruszenia bezpieczeństwa systemów finansowych mogą pociągać za sobą odpowiedzialność na kilku płaszczyznach: karnej (po stronie sprawcy ataku), administracyjnej (po stronie instytucji, np. za naruszenie obowiązków ochrony danych lub cyberbezpieczeństwa) oraz cywilnej (wobec poszkodowanych klientów). Poniżej przedstawiamy ogólny zarys polskich i unijnych ram prawnych. Materiał ma charakter wyłącznie informacyjny i nie stanowi porady prawnej - konkretna kwalifikacja prawna zależy od okoliczności faktycznych i wymaga indywidualnej analizy.
Odpowiedzialność karna sprawcy w prawie polskim
Atak na infrastrukturę bankową może wyczerpywać znamiona kilku przestępstw stypizowanych w Kodeksie karnym, w rozdziale XXXIII (Przestępstwa przeciwko ochronie informacji) oraz w przepisach o przestępstwach przeciwko mieniu. Bezprawne uzyskanie dostępu do informacji lub do systemu informatycznego (tzw. hacking) penalizuje art. 267 k.k. Przepis ten obejmuje m.in. uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy przez przełamanie albo ominięcie elektronicznego, magnetycznego, informatycznego lub innego szczególnego zabezpieczenia, a także - w odrębnej jednostce redakcyjnej - uzyskanie bez uprawnienia dostępu do całości lub części systemu informatycznego, niezależnie od użytej metody. Niszczenie, uszkadzanie, usuwanie lub zmianę zapisu istotnej informacji albo udaremnianie czy utrudnianie dostępu do niej osobie uprawnionej penalizuje art. 268 k.k.; jego kwalifikowaną odmianą odnoszącą się do danych informatycznych jest art. 268a k.k. (zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania danych). Istotne zakłócenie pracy systemu informatycznego, teleinformatycznego lub sieci teleinformatycznej (np. w wyniku ataku typu DDoS) opisuje art. 269a k.k. Wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie urządzeń, programów komputerowych, a także haseł i kodów dostępu przystosowanych do popełniania powyższych czynów penalizuje art. 269b k.k. Gdy celem działania jest osiągnięcie korzyści majątkowej lub wyrządzenie szkody przez bezprawny wpływ na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych (np. nieuprawnione transakcje), w grę wchodzi tzw. oszustwo komputerowe z art. 287 k.k. Wybór właściwej kwalifikacji prawnej zależy od mechanizmu ataku i jego skutku; jeden czyn może realizować znamiona kilku przepisów (zbieg). Warto pamiętać, że ściganie niektórych z tych przestępstw (m.in. art. 267 i art. 268a k.k.) następuje na wniosek pokrzywdzonego.
Obowiązki banków: ochrona danych osobowych i RODO
Banki przetwarzają dane osobowe na dużą skalę, dlatego podlegają ogólnemu rozporządzeniu o ochronie danych - RODO (rozporządzenie (UE) 2016/679). W razie naruszenia ochrony danych osobowych administrator ma obowiązek zgłosić je organowi nadzorczemu (w Polsce - Prezesowi Urzędu Ochrony Danych Osobowych) bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia; jeżeli zgłoszenie nastąpiło później, należy do niego dołączyć wyjaśnienie przyczyn opóźnienia (art. 33 RODO). Gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia również osoby, których dane dotyczą (art. 34 RODO). Za naruszenia RODO grożą administracyjne kary pieniężne. W najpoważniejszych przypadkach (np. naruszenie podstawowych zasad przetwarzania lub praw osób, których dane dotyczą) kara może sięgać do 20 mln euro, a w przypadku przedsiębiorstwa - do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 RODO). Niezależnie od kar administracyjnych osobie poszkodowanej przysługuje prawo do odszkodowania (art. 82 RODO).
Cyberbezpieczeństwo sektora finansowego: DORA, NIS2 i ustawa o KSC
Wymogi w zakresie odporności cyfrowej i bezpieczeństwa systemów finansowych regulują przede wszystkim akty unijne. Rozporządzenie DORA (Digital Operational Resilience Act - rozporządzenie (UE) 2022/2554) nakłada na podmioty finansowe obowiązki w zakresie zarządzania ryzykiem ICT, zgłaszania poważnych incydentów związanych z ICT, testowania operacyjnej odporności cyfrowej oraz nadzoru nad zewnętrznymi dostawcami usług ICT. DORA jest stosowane od 17 stycznia 2025 r. i obejmuje m.in. instytucje kredytowe, instytucje płatnicze i pieniądza elektronicznego oraz dostawców usług ICT obsługujących sektor finansowy. Równolegle dyrektywa NIS2 (dyrektywa (UE) 2022/2555) podnosi standardy cyberbezpieczeństwa podmiotów kluczowych i ważnych, do których zalicza się m.in. sektor bankowości i infrastruktury rynków finansowych. W Polsce dyrektywę tę wdraża nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (ustawa o KSC). Stan prawny w tym obszarze należy weryfikować na bieżąco, ponieważ przepisy wdrażające NIS2 były finalizowane w 2026 r. - przed powołaniem się na konkretne obowiązki warto sprawdzić aktualną treść i datę wejścia w życie ustawy. Nadzór nad sektorem bankowym sprawuje Komisja Nadzoru Finansowego (KNF), a obsługą incydentów - właściwe zespoły CSIRT.
Skutki naruszeń i znaczenie reagowania na incydenty
Naruszenie bezpieczeństwa może oznaczać dla banku administracyjne kary pieniężne, roszczenia odszkodowawcze klientów, sankcje i środki nadzorcze ze strony KNF oraz utratę reputacji. Odpowiedzialność może w określonych sytuacjach obejmować także zewnętrznych dostawców, jeżeli incydent wynikał z powierzonych im usług ICT. Kluczowe znaczenie ma przygotowany plan reagowania na incydenty oraz terminowe zgłoszenia do właściwych organów - w zależności od charakteru zdarzenia mogą to być Prezes UODO (naruszenie danych osobowych), KNF i właściwy CSIRT (incydenty cyberbezpieczeństwa) oraz, w razie podejrzenia przestępstwa, organy ścigania. Samo opóźnienie lub zaniechanie wymaganego zgłoszenia może stanowić odrębną podstawę odpowiedzialności. Ze względu na złożoność kwalifikacji prawnej i wielość reżimów (karny, administracyjny, cywilny) rekomendowane jest skonsultowanie konkretnego stanu faktycznego z prawnikiem specjalizującym się w prawie karnym gospodarczym i ochronie danych.
Najczęstsze pytania
Jakie przepisy Kodeksu karnego dotyczą ataków na systemy bankowe?
W grę wchodzą m.in. art. 267 k.k. (nieuprawniony dostęp do informacji lub systemu informatycznego - hacking), art. 268 i 268a k.k. (niszczenie, zmiana danych oraz zakłócanie ich automatycznego przetwarzania), art. 269a k.k. (istotne zakłócenie pracy systemu lub sieci, np. atak DDoS), art. 269b k.k. (wytwarzanie i udostępnianie narzędzi, haseł i kodów dostępu) oraz art. 287 k.k. (oszustwo komputerowe). Ostateczna kwalifikacja zależy od stanu faktycznego.
W jakim terminie bank musi zgłosić naruszenie ochrony danych osobowych?
Zgodnie z art. 33 RODO administrator zgłasza naruszenie organowi nadzorczemu (w Polsce Prezesowi UODO) bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od jego stwierdzenia; przy późniejszym zgłoszeniu należy podać przyczyny opóźnienia. Jeżeli naruszenie może powodować wysokie ryzyko dla praw lub wolności osób, bank zawiadamia również osoby, których dane dotyczą (art. 34 RODO).
Czym jest DORA i od kiedy obowiązuje?
DORA to unijne rozporządzenie (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego. Nakłada obowiązki w zakresie zarządzania ryzykiem ICT, zgłaszania poważnych incydentów, testowania odporności oraz nadzoru nad zewnętrznymi dostawcami usług ICT. Jest stosowane od 17 stycznia 2025 r.
Jakie kary grożą bankowi za naruszenie RODO?
Za najpoważniejsze naruszenia RODO grożą administracyjne kary pieniężne do 20 mln euro, a w przypadku przedsiębiorstwa - do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosuje się kwotę wyższą (art. 83 ust. 5 RODO). Niezależnie od kary administracyjnej poszkodowanym może przysługiwać odszkodowanie (art. 82 RODO).
Czy ściganie sprawcy ataku zawsze następuje z urzędu?
Nie zawsze. Ściganie niektórych przestępstw przeciwko ochronie informacji, m.in. z art. 267 i art. 268a k.k., następuje na wniosek pokrzywdzonego. Oznacza to, że dla wszczęcia postępowania zwykle konieczne jest złożenie odpowiedniego wniosku przez podmiot pokrzywdzony, np. bank.
Powiązane poradniki
- Atak DDoS i cyberprzestępczość — jaka jest odpowiedzialność karna w Polsce?
- Cyberterroryzm i cyberprzestępczość - jaką pomoc prawną można uzyskać?
- Nielegalne pozyskiwanie danych z kart płatniczych - kwalifikacja prawna i obrona
- Przestępstwa przeciwko komunikacji elektronicznej — kary i obrona (art. 267–269b k.k.)
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (rozdz. XXXIII, art. 267-269b oraz art. 287)
- Rozporządzenie (UE) 2016/679 (RODO) - art. 33, 34, 82 i 83
- Rozporządzenie (UE) 2022/2554 (DORA) - operacyjna odporność cyfrowa sektora finansowego
- Dyrektywa (UE) 2022/2555 (NIS2) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa
- Komisja Nadzoru Finansowego - informacje o rozporządzeniu DORA
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę