Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
Prawo karne · 6 min czytania · Redakcja zaufanyprawnik.pl
Dystrybucja złośliwego oprogramowania (tzw. malware – wirusów, trojanów, oprogramowania szpiegującego, ransomware) to w polskim prawie nie tylko problem techniczny, lecz przede wszystkim przestępstwo przeciwko ochronie informacji uregulowane w rozdziale XXXIII Kodeksu karnego. Centralnym przepisem jest art. 269b KK, który penalizuje wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów komputerowych przystosowanych do popełnienia określonych przestępstw komputerowych. W praktyce zarzut taki pada wobec twórców i sprzedawców narzędzi hakerskich, osób udostępniających ransomware w modelu 'as a service', a niekiedy także wobec administratorów, badaczy bezpieczeństwa czy zwykłych użytkowników, którzy nieświadomie przesłali dalej zainfekowany plik. Ponieważ znamiona tych czynów są nieostre, a granica między legalnym testowaniem zabezpieczeń a przestępstwem bywa cienka, dobór właściwej linii obrony ma realne znaczenie. W tym artykule wyjaśniamy, jakie przepisy wchodzą w grę, jakie kary faktycznie grożą, jak wygląda materiał dowodowy w sprawach informatycznych oraz jak działać po postawieniu zarzutu.
Podstawa prawna – art. 269b KK i pokrewne przestępstwa komputerowe
Najważniejszym przepisem jest art. 269b § 1 KK: karze on tego, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4 KK (sprowadzenie niebezpieczeństwa przez zakłócenie systemów informatycznych), art. 267 § 3 KK (nielegalne uzyskanie informacji – podsłuch, sniffer), art. 268a § 1 albo 2 KK, art. 269 § 1 lub 2 KK oraz art. 269a KK, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji. Malware najczęściej kwalifikuje się właśnie jako 'program przystosowany do popełnienia przestępstwa'. W zależności od skutku dystrybucja i użycie złośliwego oprogramowania może się też wiązać z odpowiedzialnością za niszczenie lub zmianę danych informatycznych (art. 268 i art. 268a KK), za tzw. sabotaż komputerowy, czyli niszczenie danych o szczególnym znaczeniu (art. 269 KK), za zakłócanie pracy systemu lub sieci, np. atak DDoS lub szyfrowanie ransomware (art. 269a KK), a gdy celem jest korzyść majątkowa – za oszustwo komputerowe (art. 287 KK). Sam nielegalny dostęp do systemu penalizuje art. 267 KK.
Jakie kary realnie grożą – bez przesady
Za czyn z art. 269b § 1 KK grozi kara pozbawienia wolności od 3 miesięcy do 5 lat. Za niszczenie lub utrudnianie dostępu do danych z art. 268a § 1 KK grozi kara do 3 lat pozbawienia wolności, a jeśli sprawca wyrządza znaczną szkodę majątkową (art. 268a § 2 KK) – od 3 miesięcy do 5 lat. Sabotaż komputerowy z art. 269 § 1 KK (niszczenie danych o szczególnym znaczeniu dla obronności, bezpieczeństwa, administracji) zagrożony jest karą od 6 miesięcy do 8 lat. Zakłócanie pracy systemu z art. 269a KK to kara od 3 miesięcy do 5 lat. Oszustwo komputerowe z art. 287 § 1 KK to kara od 3 miesięcy do 5 lat, a w wypadku mniejszej wagi – grzywna, ograniczenie wolności albo pozbawienie wolności do roku. Należy podkreślić, że samo zagrożenie ustawowe nie przesądza o realnym wyroku – sąd wymierza karę w granicach przewidzianych przez ustawę, kierując się dyrektywami z art. 53 KK (stopień winy, społeczna szkodliwość, motywacja, dotychczasowy tryb życia, naprawienie szkody). Przy występkach o niewielkiej szkodliwości realne bywa warunkowe umorzenie albo kara wolnościowa.
Najczęstsze pytania
Czy samo posiadanie narzędzi hakerskich jest karalne w Polsce?
Art. 269b KK karze wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów i urządzeń przystosowanych do popełnienia przestępstw komputerowych oraz haseł i kodów dostępu. Kluczowe jest jednak, by narzędzie było 'przystosowane do popełnienia przestępstwa' i by działanie było umyślne. Narzędzia o podwójnym zastosowaniu, używane legalnie do testów bezpieczeństwa za zgodą właściciela systemu, co do zasady nie wyczerpują znamion.
Jaka kara grozi za rozpowszechnianie wirusów lub ransomware?
Za czyn z art. 269b § 1 KK (udostępnianie programów przystosowanych do przestępstwa) grozi pozbawienie wolności od 3 miesięcy do 5 lat. Jeśli malware niszczy lub zmienia dane (art. 268a KK) albo zakłóca pracę systemu, np. atak DDoS lub szyfrowanie ransomware (art. 269a KK), kara sięga 5 lat, a przy danych o szczególnym znaczeniu (sabotaż – art. 269 KK) do 8 lat. Realny wymiar zależy od okoliczności i oceny sądu.
Przesłałem dalej zainfekowany plik, nie wiedząc o tym – czy popełniłem przestępstwo?
Przestępstwa z rozdziału XXXIII KK są umyślne. Jeśli nie wiedziałeś, że plik zawiera złośliwe oprogramowanie, i nie miałeś celu przestępczego, brak po Twojej stronie zamiaru, a więc co do zasady nie popełniasz przestępstwa z art. 269b KK. Każdą taką sytuację warto jednak skonsultować z obrońcą, bo ocena zależy od konkretnych okoliczności i dowodów.
Czy adres IP wystarcza do skazania za dystrybucję malware?
Sam adres IP zwykle nie wystarcza, bo nie identyfikuje jednoznacznie osoby – łącze może być współdzielone, zabezpieczone słabym hasłem, zainfekowane lub wykorzystane przez osobę trzecią (np. przez zainfekowany komputer w botnecie). Obrona często kwestionuje przypisanie sprawstwa wyłącznie na podstawie IP i domaga się dodatkowych, jednoznacznych dowodów łączących oskarżonego z czynem.
Powiązane poradniki
- Przestępstwa przeciwko wolności w Polsce — co grozi i jak chronić się jako ofiara
- Świadek w sprawie o przestępstwo seksualne - prawa, obowiązki i wiarygodność zeznań
- Zgoda jako podstawa zgwałcenia – zmiana art. 197 KK i inne nowości w prawie karnym 2025
- Jak zgłosić przestępstwo przeciwko mieniu? Zawiadomienie, dowody i prawa pokrzywdzonego
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (art. 269b – programy przystosowane do przestępstwa; art. 267 – nielegalny dostęp; art. 268 i 268a – niszczenie danych; art. 269 – sabotaż komputerowy; art. 269a – zakłócanie systemu; art. 287 – oszustwo komputerowe; dyrektywy kary – art. 53; warunkowe umorzenie – art. 66)
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (prawo do odmowy wyjaśnień – art. 175; dobrowolne poddanie się karze – art. 335 i 387; zatrzymanie rzeczy i przeszukanie – art. 217 i nast.)
- Konwencja Rady Europy o cyberprzestępczości (Budapeszt, 2001), ratyfikowana przez Polskę – ramy międzynarodowe dla przestępstw przeciwko danym i systemom informatycznym
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę