Nielegalne pozyskiwanie danych z systemów bankowych – jak wygląda obrona?
Prawo karne · 1 min czytania · Redakcja zaufanyprawnik.pl
Bezprawne uzyskanie dostępu do danych przechowywanych w systemach bankowych jest w Polsce przestępstwem. Sprawa może dotyczyć zarówno osoby oskarżonej o włamanie do systemu (hacking), jak i banku, który odpowiada za bezpieczeństwo danych klientów. W obu sytuacjach kluczowe jest ustalenie, jakie przepisy karne i regulacyjne wchodzą w grę oraz jak zbudować obronę lub wykazać należytą staranność.
Podstawy odpowiedzialności karnej
Najczęściej zastosowanie ma art. 267 Kodeksu karnego, który penalizuje bezprawne uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy, w tym przełamanie lub ominięcie zabezpieczeń elektronicznych. Powiązane przepisy to m.in. art. 268 i 268a KK (niszczenie i utrudnianie dostępu do danych), art. 269a KK (zakłócanie pracy systemu) oraz art. 287 KK (tzw. oszustwo komputerowe, np. nieuprawniona zmiana danych w celu osiągnięcia korzyści majątkowej). Jeżeli pozyskane dane posłużyły do kradzieży środków, dochodzi też odpowiedzialność za przestępstwa przeciwko mieniu.
Linia obrony w sprawie karnej
Obrona zwykle koncentruje się na elementach znamion czynu: czy oskarżony faktycznie przełamał zabezpieczenia, czy działał umyślnie i w celu uzyskania danych, oraz czy dowody (logi, dane z urządzeń, opinie biegłych z zakresu informatyki śledczej) zostały zgromadzone legalnie. Istotne bywa wykazanie braku zamiaru, błędu co do uprawnień (np. testy bezpieczeństwa na zlecenie) albo wadliwości materiału dowodowego. W sprawach informatycznych opinia biegłego ma często decydujące znaczenie.
Obowiązki banku: RODO, PSD2 i nadzór KNF
Po stronie instytucji finansowej naruszenie ochrony danych rodzi obowiązki wynikające z RODO – m.in. zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych co do zasady w ciągu 72 godzin oraz, w razie wysokiego ryzyka, zawiadomienie osób, których dane dotyczą. Dyrektywa PSD2 (wdrożona m.in. w ustawie o usługach płatniczych) wymaga silnego uwierzytelniania klienta przy płatnościach elektronicznych. Działalność banków podlega też nadzorowi Komisji Nadzoru Finansowego. Wykazanie wdrożenia odpowiednich zabezpieczeń ma znaczenie dla oceny odpowiedzialności administratora danych.
Najczęstsze pytania
Jaki przepis karze za włamanie do systemu bankowego?
Podstawowym przepisem jest art. 267 Kodeksu karnego, który penalizuje bezprawne uzyskanie dostępu do informacji poprzez przełamanie lub ominięcie elektronicznych zabezpieczeń. W zależności od stanu faktycznego mogą mieć zastosowanie także art. 268, 268a, 269a oraz art. 287 KK (oszustwo komputerowe), a w razie zaboru środków – przepisy o przestępstwach przeciwko mieniu.
Czy bank ma obowiązek poinformować mnie o wycieku moich danych?
Tak, jeżeli naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób. RODO nakłada wówczas obowiązek zawiadomienia osób, których dane dotyczą, bez zbędnej zwłoki, a samo naruszenie należy co do zasady zgłosić Prezesowi UODO w ciągu 72 godzin od jego stwierdzenia.
Czy testowanie zabezpieczeń banku jest legalne?
Tylko za zgodą i na zlecenie uprawnionego podmiotu (np. w ramach umowy o testy penetracyjne). Działanie bez takiego upoważnienia, nawet bez chęci szkody, może wyczerpywać znamiona przestępstwa z art. 267 KK. Zakres i forma zgody powinny być potwierdzone na piśmie, aby uniknąć odpowiedzialności karnej.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę