Czy samo włamanie do cudzego konta jest przestępstwem, jeśli nic nie ukradłem?

Tak. Już samo bezprawne uzyskanie dostępu do informacji przez przełamanie lub ominięcie zabezpieczeń jest karalne na podstawie art. 267 k.k., niezależnie od tego, czy doszło do dalszej szkody. Czyn ten jest co do zasady ścigany na wniosek pokrzywdzonego.

Czy mogę zostać ukarany za posiadanie 'narzędzi hakerskich'?

Art. 269b k.k. penalizuje wytwarzanie, pozyskiwanie i udostępnianie programów oraz danych przystosowanych do popełniania przestępstw komputerowych. Przepisy wyłączają jednak odpowiedzialność, gdy działanie służy wyłącznie zabezpieczeniu systemu lub opracowaniu metod ochrony – kluczowy jest cel i kontekst posiadania narzędzia.

Czy badacz bezpieczeństwa, który znajdzie lukę, odpowiada karnie?

Art. 269c k.k. chroni osobę, która działa wyłącznie w celu zabezpieczenia systemu i niezwłocznie powiadamia jego dysponenta o ujawnionej podatności. To podstawa legalnego, odpowiedzialnego ujawniania luk – warto jednak działać w ramach zgody właściciela systemu (np. programu bug bounty), by uniknąć sporów.

Cyberprzestępstwa w Kodeksie karnym – co grozi za atak na systemy IT?

Prawo karne · 2 min czytania · Redakcja zaufanyprawnik.pl

Przestępstwa skierowane przeciwko bezpieczeństwu informacji i systemów komputerowych są w polskim prawie skupione w Rozdziale XXXIII Kodeksu karnego „Przestępstwa przeciwko ochronie informacji" (art. 265-269c). Obejmują nieuprawniony dostęp do danych, naruszenie integralności i dostępności informacji oraz sabotaż komputerowy. Definicje są spójne z prawem UE – w szczególności z dyrektywą 2013/40/UE w sprawie ataków na systemy informatyczne, która ujednolica pojęcia i minimalne sankcje w państwach członkowskich.

Najważniejsze typy czynów

Art. 267 k.k. penalizuje bezprawne uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy (m.in. przełamanie zabezpieczeń, tzw. hacking) oraz nielegalny podsłuch. Art. 268 k.k. dotyczy bezprawnego niszczenia, uszkadzania, usuwania lub zmiany istotnej informacji, a art. 268a – analogicznych czynów wobec danych informatycznych (w tym ich udaremnienia lub utrudnienia dostępu). Art. 269 k.k. opisuje sabotaż komputerowy wymierzony w dane o szczególnym znaczeniu dla obronności, bezpieczeństwa lub administracji. Art. 269a penalizuje zakłócanie pracy systemu lub sieci (np. ataki DDoS), a art. 269b – wytwarzanie i udostępnianie tzw. narzędzi hakerskich oraz haseł i kodów dostępu.

Czyny przygotowawcze i wyłączenia odpowiedzialności

Art. 269b § 1 k.k. kryminalizuje samo wytwarzanie, pozyskiwanie czy udostępnianie programów i danych przystosowanych do popełnienia przestępstw komputerowych – odpowiedzialność może powstać, zanim dojdzie do właściwego ataku. Ustawodawca przewidział jednak istotne wyłączenia: przepisy nie obejmują działań podejmowanych wyłącznie w celu zabezpieczenia systemu informatycznego lub opracowania metod takiego zabezpieczenia. Co więcej, art. 269c k.k. wprowadza klauzulę chroniącą badaczy bezpieczeństwa – nie podlega karze ten, kto działa wyłącznie w celu zabezpieczenia systemu i niezwłocznie powiadamia dysponenta o wykrytych podatnościach. To istotne dla legalnego pentestingu i odpowiedzialnego ujawniania luk.

Tryb ścigania i obowiązki zgłoszeniowe

Część czynów z tego rozdziału ścigana jest na wniosek pokrzywdzonego (np. niektóre postacie z art. 267 i 268 k.k.), co oznacza, że organy podejmują działania dopiero po złożeniu wniosku. Niezależnie od prawa karnego organizacje – zwłaszcza operatorzy usług kluczowych i podmioty objęte ustawą o krajowym systemie cyberbezpieczeństwa – mają obowiązki w zakresie zgłaszania incydentów. Naruszenie danych osobowych podlega odrębnie zgłoszeniu do Prezesa UODO na podstawie RODO (art. 33). Warto rozdzielać te reżimy: karny, administracyjny (cyberbezpieczeństwo) i ochrony danych.

Najczęstsze pytania

Czy samo włamanie do cudzego konta jest przestępstwem, jeśli nic nie ukradłem?
Tak. Już samo bezprawne uzyskanie dostępu do informacji przez przełamanie lub ominięcie zabezpieczeń jest karalne na podstawie art. 267 k.k., niezależnie od tego, czy doszło do dalszej szkody. Czyn ten jest co do zasady ścigany na wniosek pokrzywdzonego.
Czy mogę zostać ukarany za posiadanie 'narzędzi hakerskich'?
Art. 269b k.k. penalizuje wytwarzanie, pozyskiwanie i udostępnianie programów oraz danych przystosowanych do popełniania przestępstw komputerowych. Przepisy wyłączają jednak odpowiedzialność, gdy działanie służy wyłącznie zabezpieczeniu systemu lub opracowaniu metod ochrony – kluczowy jest cel i kontekst posiadania narzędzia.
Czy badacz bezpieczeństwa, który znajdzie lukę, odpowiada karnie?
Art. 269c k.k. chroni osobę, która działa wyłącznie w celu zabezpieczenia systemu i niezwłocznie powiadamia jego dysponenta o ujawnionej podatności. To podstawa legalnego, odpowiedzialnego ujawniania luk – warto jednak działać w ramach zgody właściciela systemu (np. programu bug bounty), by uniknąć sporów.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę