Ataki hakerskie na instytucje finansowe: odpowiedzialność karna i obrona
Prawo karne · 2 min czytania · Redakcja zaufanyprawnik.pl
Ataki na systemy informatyczne instytucji finansowych to złożone sprawy, w których spotykają się prawo karne, przepisy o ochronie danych osobowych oraz regulacje sektorowe. Z perspektywy prawnej kluczowe jest, jakie czyny są karalne, jakie obowiązki ciążą na zaatakowanej instytucji oraz jak wygląda obrona osoby, której postawiono zarzuty cyberprzestępczości. Ten artykuł porządkuje te zagadnienia na gruncie prawa polskiego; nie jest natomiast poradnikiem technicznym z zakresu cyberbezpieczeństwa.
Jakie przepisy karne dotyczą cyberprzestępczości
Polski Kodeks karny przewiduje szereg przestępstw przeciwko ochronie informacji (rozdział XXXIII). Nieuprawnione uzyskanie dostępu do systemu lub informacji (tzw. hacking) penalizuje art. 267 KK. Niszczenie, uszkadzanie lub zmiana danych informatycznych obejmuje art. 268 i 268a KK, a zakłócanie pracy systemu — art. 269a KK. Wytwarzanie i udostępnianie tzw. narzędzi hakerskich (np. złośliwego oprogramowania, haseł dostępowych) jest karalne na podstawie art. 269b KK. W zależności od czynu i skutku kary sięgają od grzywny do kilku lat pozbawienia wolności; w razie wyrządzenia znacznej szkody majątkowej możliwe są surowsze sankcje. Jeżeli celem było bezprawne uzyskanie korzyści majątkowej, w grę wchodzą również przepisy o oszustwie komputerowym (art. 287 KK).
Obowiązki instytucji po naruszeniu danych
Po incydencie naruszenia ochrony danych osobowych administrator ma obowiązek zgłosić je organowi nadzorczemu (Prezesowi UODO) bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności osób, których dane dotyczą, należy je także zawiadomić (art. 34 RODO). Instytucje finansowe podlegają ponadto regulacjom sektorowym dotyczącym bezpieczeństwa systemów, w tym przepisom o krajowym systemie cyberbezpieczeństwa oraz wymogom nadzorczym KNF. Brak należytych zabezpieczeń może rodzić odpowiedzialność administracyjną i cywilną wobec poszkodowanych klientów.
Rola obrońcy w sprawie cyberprzestępczości
Obrońca w sprawie o atak hakerski musi łączyć znajomość prawa karnego z umiejętnością krytycznej oceny dowodów cyfrowych. Istotne jest sprawdzenie, czy materiał dowodowy (logi, ślady sieciowe, dane z urządzeń) został zabezpieczony i pozyskany zgodnie z procedurą, czy nie doszło do błędnej atrybucji sprawstwa oraz czy oskarżonemu można przypisać umyślność. W praktyce często korzysta się z opinii biegłych z zakresu informatyki śledczej. Wskazane jest, aby zarówno osoby podejrzane, jak i poszkodowane instytucje korzystały z pomocy prawnika doświadczonego w sprawach cyberprzestępczości.
Najczęstsze pytania
Czy włamanie do systemu informatycznego jest przestępstwem?
Tak. Nieuprawnione uzyskanie dostępu do systemu lub informacji jest karalne na podstawie art. 267 Kodeksu karnego. Odrębne przepisy (art. 268-269b KK) penalizują niszczenie danych, zakłócanie pracy systemu i tworzenie narzędzi hakerskich.
Ile czasu ma instytucja na zgłoszenie naruszenia danych?
Administrator powinien zgłosić naruszenie ochrony danych osobowych Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO).
Co grozi za cyberatak połączony z kradzieżą środków?
Oprócz przestępstw przeciwko ochronie informacji w grę wchodzi oszustwo komputerowe z art. 287 KK. Łączna kwalifikacja i wysokość kary zależą od konkretnych czynów oraz od rozmiaru wyrządzonej szkody.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę