Prawnokarne aspekty zjawiska cyberprzestępczości

Monika Zbrojewska, Sebastian Biedroń, Taras Pański, Katarzyna Bajon-Stolarek
e.Palestra, 2016, poz. 34/A
A+ A-
 

e.Palestra, 2016, poz. 34/A

[data publikacji: 22.12.2016]

 

Monika Zbrojewska, Sebastian Biedroń, Taras Pański, Katarzyna Bajon-Stolarek

 

Prawnokarne aspekty zjawiska cyberprzestępczości

 

Wprowadzenie

 

Sieci komputerowe oraz oferowane przez nie usługi stały się najprężniej rozwijającą się dziedziną nauki w XXI wieku. Ich możliwości nie tylko pozwoliły na łatwiejszy kontakt między użytkownikami z całego świata, ale również wpłynęły na rozwój innych gałęzi nauki oraz technologii, ułatwiając codzienne życie. Wynalazek, który powstał do celów wojskowych w jednym z najbardziej mrocznych okresów ludzkiej cywilizacji[1], stał się największym odkryciem XX wieku, łącząc miliony ludzi w jedną wielką społeczność. Obecnie każdy może skonstruować swoją własną sieć bądź dołączyć do największej z nich – Internetu – za pośrednictwem lokalnego dostawcy. Niestety, Internet to nie tylko nieograniczone źródło informacji, rozrywki, komunikacji oraz pracy. Obok swoich pozytywnych aspektów i udogodnień niesie ze sobą też liczne zagrożenia, których nieświadomy użytkownik może stać się ofiarą. Niniejsze opracowanie ma na celu przybliżenie aspektów prawnokarnych związanych z szeroko rozumianym zjawiskiem cyberprzestępczości.

Kluczową częścią kodeksu karnego regulującą odpowiedzialność prawnokarną z tytułu cyberprzestępczości jest rozdział XXXIII. Jego analiza wskazuje na to, że ustawodawca dokonuje sukcesywnej penalizacji zachowań niebezpiecznych i zasługujących na penalizację z punktu widzenia prawa karnego. Wskazać możemy dwa powody takiego postępowania naszego prawodawcy. Pierwszym jest niewątpliwie konieczność wdrożenia do prawa polskiego regulacji międzynarodowych. Drugim powodem jest dynamiczny rozwój zjawiska cyberprzestępczości, który obejmuje coraz to nowe sposoby, jak i metody jego działania.

 

1. Definicja i zakres użycia pojęcia „cyberprzestępczość”

 

Pod pojęciem cyberprzestępczości należy rozumieć wszystkie rodzaje przestępstw, do których popełnienia użyto Internetu lub innych sieci komputerowych. Komputery i sieci komputerowe mogą służyć do popełniania przestępstw na kilka sposobów. Po pierwsze, komputer lub sieć mogą być narzędziem przestępstwa, czyli mogą być użyte do popełnienia przestępstwa (computer as tool), jak na przykład oszustwo i fałszerstwo komputerowe. Po drugie, komputer lub sieć mogą być celem ataku, czyli mogą być „ofiarą” przestępstwa. Można je nazwać przestępstwami przeciwko poufności, integralności i dostępności danych informatycznych i systemów (computer as target). Po trzecie, komputer lub sieć mogą być użyte do zadań dodatkowych, które to zadania związane są z popełnieniem przestępstwa. Można także wyróżnić czyny, w których komputer służy jako narzędzie do przechowywania nielegalnych danych (computer as storage device), jak na przykład pornografia dziecięca, oraz czyny związane z naruszeniem praw autorskich i praw pokrewnych. W literaturze przedmiotu wskazuje się, że przestępstwa związane z komputerami stanowią wyjątkowo transnarodową formę przestępczości, o dużym stopniu skomplikowania i różnorodności.

Jako pierwszą definicję przestępczości informatycznej przyjęto tę zaproponowaną w 1973 r. przez Rainera von Zur-Mühlena. Określa ona jako przestępcze działanie te czyny, w których komputer stanowi albo narzędzie, albo przedmiot zamachu (all jenes deliktische Handeln, bei dem der Computer Werkzeug oder Ziel der Tat ist)[2].

Kolejnym bardzo znaczącym i popularnym pojęciem, będącym zarazem synonimem przestępstwa komputerowego, jest „cyberprzestępstwo”. Samo słowo „cyberprzestrzeń” zostało użyte przez Williama Gibsona podczas konwencji science-fiction w 1981 roku, gdzie autor prezentował swoją książkę. Pojęcie to określało wirtualną rzeczywistość, w której W. Gibson umieścił swoich bohaterów. Znaczenie tego słowa uległo od tego czasu drobnej zmianie. W dzisiejszych czasach rozumiemy je jako przestrzeń otwartego komunikowania się za pośrednictwem połączonych urządzeń końcowych i serwerów pełniących określone funkcje. Taka definicja została zaproponowana przez Pierre Delvy w tekście „Drugi Potop”, napisanym na zlecenie Komisji Kultury Rady Europy w 1996 r.[3]

Analogicznie do przestępstw w świecie rzeczywistym, w cyberprzestrzeni pojawiło się cyberprzestępstwo. Jest to dosyć nowe zjawisko, które rozwija się w zastraszającym tempie w krajach wysoko rozwiniętych i silnie zinformatyzowanych. Zagrożenie to stanowi bardzo poważny problem ze względu na:

  • transgraniczność – przestępstwa można dokonać z dowolnego miejsca na Ziemi, często na ofierze oddalonej o setki kilometrów, znajdującej się w innym państwie czy na innym kontynencie. Taki stan rzeczy utrudnia określenie systemu prawnego, na podstawie którego miałoby nastąpić ściganie takiego przestępstwa, oraz podmiotów odpowiedzialnych za zapobieganie mu oraz bezpieczeństwo[4],
  • ogólnodostępność – wystarczy posiadać podstawową wiedzę oraz urządzenie końcowe, takie jak np. komputer, podłączone do Internetu, aby dokonać przestępstwa. W wielu przypadkach złamanie prawa następuje nieświadomie, gdy osoba ściąga dany utwór czy film za pomocą programów PvP (peer to peer), które jednocześnie udostępniają innym użytkownikom to, co zostało pobrane (kwestia nieświadomego rozpowszechniania),
  • anonimowość – zachowanie anonimowości w świecie wirtualnym jest dużo łatwiejsze niż w świecie realnym. Wykrycie przestępcy w sieci nie jest niemożliwe, jednak wymaga bardzo dużego nakładu pracy, żmudnych poszukiwań[5] oraz współpracy kilku instytucji, często wywodzących się z różnych krajów. Dosyć dużym utrudnieniem jest również łatwy dostęp do Internetu. Obecnie wiele centrów handlowych, restauracji, cafeterii oferuje bezprzewodowy darmowy dostęp dla swoich klientów, nie oczekując od nich jakiejkolwiek autentykacji czy innych danych, na podstawie których można byłoby stwierdzić tożsamość danej osoby,
  • niematerialny charakter – dane w sieci mają charakter niematerialny, znajdują się w „cyberprzestrzeni”, do której jedyny możliwy dostęp jest przez urządzenia do tego przeznaczone, jak np. komputer. Jeżeli dane nie posiadają odpowiednich zabezpieczeń, można je bez ograniczeń kopiować i przechowywać w Internecie lub na nośnikach fizycznych,
  • brak scentralizowanego ośrodka kontroli – pomimo że przestępstwa mają przeważnie postać transgraniczną, każde państwo posiada swój własny ośrodek kontroli nad Internetem oraz dział zajmujący się przestępczością komputerową. Od tej międzynarodowej współpracy zależy, czy przestępcy komputerowi zostaną wykryci. Często na tym etapie na przeszkodzie staje zróżnicowanie w zaawansowaniu technologicznym ośrodków, biurokracja, poziom kompetencji kadry oraz, nierzadko, bariera językowa.

 

Należy pamiętać, że w naszym systemie prawnym nie ma jasno sformułowanej definicji cyberprzestępczości. Z tego powodu powinno się posiłkować organizacjami, które stworzyły już swoje standardy i określiły, co powinno się zaliczać do przestępczości komputerowej.

Do takich organizacji zaliczamy Interpol, UE, Radę Europy czy ONZ. Wszystkie one stworzyły definicje nieznacznie tylko różniące się od siebie.

Rada Europy za cyberprzestępstwo uznaje fałszerstwo komputerowe, oszustwo komputerowe, naruszenie praw autorskich i praw pokrewnych oraz przestępstwa związane z treściami dotyczącymi pedofilii.

Interpol ukazuje cyberprzestępczość na dwóch płaszczyznach. Jedną definiuje jako rodzaj przestępstw, które mogą wystąpić tylko w Internecie. Drugą natomiast – jako przestępstwa wykorzystujące technikę elektroniczną.

Opracowana przez Unię Europejską definicja, która została ujęta w komunikacie Komisji do Parlamentu Europejskiego, Rady oraz Komitetu Regionów z 2007 r., pt. „W kierunku ogólnej strategii zwalczania cyberprzestępczości”, za cyberprzestępstwo uznaje działanie, które wymierzone jest przeciwko poufności, integralności danych, sabotaż komputerowy, szpiegostwo komputerowe, a także nielegalny podsłuch. Do tych działań zalicza się tzw. przestępstwa „contentowe” i „klasyczne” oraz te związane z naruszeniem praw autorskich.

Organizacja Narodów Zjednoczonych na X Kongresie w Sprawie Zapobieżenia Przestępczości i Traktowania Przestępców opracowała definicję cyberprzestępczości, którą należy rozpatrywać dwojako: w sensie wąskim i szerokim. W wąskim sensie rozumiana jest jako nielegalne działanie, dokonywane w postaci operacji elektronicznych, wymierzone przeciw bezpieczeństwu systemów komputerowych lub procesowanych przez te systemy danych. W sensie szerokim traktujemy cyberprzestępczość jako nielegalne działania dotyczące urządzeń teleinformatycznych lub popełnione za ich pomocą. Zaliczamy do nich między innymi nielegalne posiadanie i rozpowszechnianie informacji przy wykorzystaniu fizycznych nośników lub Internetu[6].

Zawsze należy pamiętać, że wymienione definicje nie są definicjami w pełni określającymi cyberprzestępstwo. Każdego roku powstają nowe technologie, które umożliwiają rozwój nowych narzędzi oraz metod, za pomocą których można dopuścić się działań bezprawnych.

 

2. Ustalenia prawne wobec przestępstw komputerowych

 

Właściwie wszystkie przestępstwa ujęte w rozdziale XXXIII k.k. mogą być popełnione przy użyciu komputera. Staną się one wówczas przestępstwami komputerowymi. W niektórych przypadkach użycie komputera stanowi okoliczność zaostrzającą odpowiedzialność karną, np. art. 268 § 2 i 3 k.k., natomiast w innych sytuacjach sprawca, popełniając przestępstwo z wykorzystaniem komputera, będzie traktowany tak samo, jak sprawca działający w inny sposób – np. art. 265 k.k., art. 266 k.k.

Aktualnie w ramach wspomnianego rozdziału Kodeksu karnego ustawodawca spenalizował takie zachowania, jak: nielegalne uzyskanie dostępu do informacji lub systemu informatycznego i związane z nimi (art. 267 k.k.) czyny, polegające na niszczeniu, uszkadzaniu, usuwaniu, zamienianiu istotnej informacji lub czynnościach zbliżonych (art. 268 k.k.), czyny polegające na niszczeniu, uszkadzaniu, usuwaniu zmienianiu lub utrudnianiu dostępu do danych informatycznych albo w istotnym stopniu zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania takich danych (art. 268a k.k.), czyny polegające na tzw. sabotażu informatycznym (art. 269 k.k.), zwanym też dywersją informatyczną, czyny polegające na zakłócaniu w istotnym stopniu pracy systemu komputerowego lub sieci teleinformatycznej (art. 269a k.k.) oraz czyny polegające na bezprawnym wytwarzaniu (lub czynnościach zbliżonych) urządzeń lub programów komputerowych przystosowanych do popełnienia określonych przestępstw, haseł komputerowych, kodów dostępu lub innych danych (art. 269b k.k.). Poza wymienionym rozdziałem ustawodawca odrębnie unormował przestępstwo oszustwa komputerowego (art. 287 k.k.), kradzież programu komputerowego (art. 278 § 2 k.k.) oraz paserstwo programu komputerowego (art. 293 k.k.). Wszystkie przestępstwa zawarte w rozdziale XXXIII należą do kategorii przestępstw powszechnych i – z wyjątkiem art. 269 k.k., art. 269a k.k. i art. 269b k.k. – mają charakter wnioskowy. Rozwiązania przyjęte w rozdziale XXXIII k.k. są następstwem podpisania przez Polskę dnia 23 listopada 2001 r. Konwencji Rady Europy nr 185 o cyberprzestępczości oraz decyzji ramowej Rady 2005/222/WSiSW w sprawie ataków na systemy informatyczne[7].   

Artykuł 267 k.k. stanowi prawnokarną ochronę prywatności użytkowników Internetu. Paragraf 1 tego artykułu penalizuje działania mające na celu uzyskanie nielegalnego dostępu do informacji nieprzeznaczonej dla sprawcy. Z punktu widzenia karalności zachowania sprawcy pozostaje bez znaczenia, gdzie przechowywana jest informacja – czy na dysku twardym, czy na serwerze zewnętrznym – w sieci. Oznacza to, że przepis ten chroni szeroko rozumiane prawo podmiotowe do dysponowania informacją[8]. Postępowanie sprawcy przestępstwa z art. 267 § 1 k.k. może polegać na otwarciu zamkniętego pisma, podłączeniu się do sieci telekomunikacyjnej lub przełamaniu albo ominięciu elektronicznego, magnetycznego, informatycznego lub innego szczególnego jej zabezpieczenia. Treść przepisu wskazuje, iż ustawodawca penalizuje czynności wskazane w części dyspozytywnej bez względu na to, czy sprawca zapoznał się z treścią informacji. Oznacza to, że znamiona przestępstwa z art. 267 k.k. wypełni także osoba, która uzyska dostęp do informacji dla niej nieprzeznaczonej nawet w sytuacji, gdy nie miała zamiaru zapoznać się z jej treścią.

Prywatność użytkowników Internetu może zostać naruszona również poprzez przełamanie lub ominięcie istniejących zabezpieczeń i tym samym włamanie się do komputera ofiary. Szerokie określenie w § 1 art. 267 k.k. rodzajów zabezpieczeń, których przełamanie czy ominięcie jest karalne, powoduje, że zabezpieczenie pliku hasłem będzie spełniało warunki informacji zabezpieczonej.

Działania sprawcy mające na celu uzyskanie dostępu do całości lub części systemu informatycznego stanowią przestępstwo z art. 267 § 2 k.k.

Odnosząc się do strony przedmiotowej czynu, zwrócić należy uwagę na użyte przez ustawodawcę pojęcie „sieć telekomunikacyjna”, które nie zostało w Kodeksie karnym zdefiniowane. Konieczne wydaje się więc odwołanie do art. 2 pkt 35 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne[9], który określa sieć telekomunikacyjną jako systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju. Analiza powyższej definicji wskazuje, że siecią telekomunikacyjną może być zarówno istniejąca infrastruktura kablowa, jak i sieć bezprzewodowa[10].

Pojęcie systemu informatycznego nie zostało zdefiniowane w Kodeksie karnym, jego definicja znajduje się w art. 7 pkt 2a ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych[11]: „system informatyczny jest to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych”. Termin ten występuje także w art. 1 lit a decyzji ramowej Rady nr 2005/222/WSiSW z dnia 24.02.2005 r., który precyzuje, że system informatyczny to każde urządzenie lub grupa połączonych lub powiązanych urządzeń, z których co najmniej jedno dokonuje zgodnie z oprogramowaniem automatycznego przetwarzania danych komputerowych, jak również danych przechowywanych, przetwarzanych, odzyskanych lub przekazanych przez nie w celach ich eksploatacji, użycia, ochrony lub utrzymania. Kolejna definicja systemu informatycznego zawarta jest w Konwencji Rady Europy nr 185 o cyberprzestępczości. W myśl art. 1 lit. a Konwencji systemem informatycznym jest każde urządzenie lub grupa wzajemnie połączonych lub związanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, wykonuje automatyczne przetwarzanie danych. Z uwagi na to, że pojęcie systemu informatycznego odgrywa istotną rolę w ustalaniu odpowiedzialności za cyberprzestępstwo, w literaturze określa się system informatyczny jako zespół współpracujących elementów sprzętowych i programowych, które służą do wprowadzania, przetwarzania i odczytywania informacji. System informatyczny nie obejmuje zatem urządzeń służących do przekazywania danych[12]. Na uwagę zasługuje fakt, że ustawodawca w § 2 nie określił sposobu działania sprawcy, a jedynie jego skutek. Powyższe nakazuje uznać, że penalizowane jest każde zachowanie polegające na nieuprawnionym dostępie do systemu informatycznego bez względu na to, czy doszło do złamania jakiegokolwiek zabezpieczenia komputera czy systemu[13].

W § 3 ustawodawca sankcjonuje kolejny czyn zabroniony, polegający na zakładaniu lub posługiwaniu się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której nie jest uprawniony. Warunkiem ponoszenia odpowiedzialności z tego przepisu nie jest uzyskanie informacji, wystarczające jest podjęcie przez sprawcę określonych działań. Działania te muszą być jednak podjęte w określonym celu, tj. w celu uzyskania informacji, do której sprawca nie jest uprawniony. Paragraf 4 art. 267 k.k. penalizuje ujawnienie innej osobie informacji uzyskanych w sposób określony w § 1–3.

Ustawodawca w art. 268 k.k. sankcjonuje zachowania sprawcy nakierowane na naruszenie integralności danych informatycznych. Naruszenie to, jak wynika z treści przepisu, może przybrać postać niszczenia, uszkadzania, usuwania lub zmiany zapisu istotnej informacji. W § 2 wspomnianego artykułu ustawodawca ochroną prawną objął sytuację, gdy czyn sprawcy dotyczy zapisu na informatycznym nośniku danych, np. dysku twardym czy płycie CD. Warto w tym miejscu zaznaczyć, że przedmiotem ochrony art. 268 k.k. jest dostępność informacji, a celem działania sprawcy jest udaremnienie lub znaczne utrudnienie osobie uprawnionej zapoznania się z istotną informacją. Konieczność wystąpienia skutku w postaci udaremnienia lub znacznego utrudnienia dostępu do informacji powoduje, że przestępstwo polegające na niszczeniu, uszkadzaniu, usuwaniu, zamienianiu istotnej informacji lub czynnościach zbliżonych należy zakwalifikować do kategorii przestępstw skutkowych. Taka kwalifikacja jest zgodna z ugruntowanym poglądem literatury[14]. Ustawodawca w art. 268 k.k. posługuje się pojęciem „istotna informacja”, nie wskazując przy tym cech, jakie musi posiadać informacja, żeby była istotna w rozumieniu tego przepisu. Dlatego też ocena charakteru danej informacji musi zostać dokonana na gruncie konkretnej sprawy na podstawie zarówno kryteriów obiektywnych, jak i subiektywnych.

Przedmiot ochrony art. 268a k.k., w odróżnieniu od art. 268 k.k., ujęty został szeroko i jest nim bezpieczeństwo i dostępność danych informatycznych, które to dane nie muszą spełniać cech istotności. Znamionami przestępstwa z art. 268a k.k. są niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych. Penalizowane w art. 268a k.k. zachowanie może polegać także na zakłócaniu w istotnym stopniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Drugi zbiór zabronionych zachowań musi charakteryzować się cechą istotności, którą to cechę należy odnosić do stopnia zakłócania lub uniemożliwiania automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, nie zaś do stopnia modyfikowanych przez sprawcę danych[15]. O istotności podejmowanych przez sprawcę działań mówimy wtedy, gdy działania te cechują się odpowiednio wysokim stopniem intensywności[16]. Przedmiotem ochrony art. 268a k.k. jest bezpieczeństwo informacji przechowywanych, przesyłanych i przetwarzanych w systemach funkcjonujących w oparciu o dane informatyczne[17]. Polski ustawodawca nie definiuje pojęcia „dane informatyczne”, a odgrywa ono ważną rolę. Konieczne jest więc sięgnięcie do prawa międzynarodowego – zgodnie z treścią art. 1 lit b. Konwencji Rady Europy nr 185 o cyberprzestępczości termin ten oznacza „dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny”. Definicję danych informatycznych zawiera również art. 1 lit b decyzji ramowej Rady 2005/222/WSiSW z 24.02.2005 r. w sprawie ataków na systemy informatyczne i oznacza „wszelkie przedstawienie faktów, informacji lub koncepcji w formie odpowiedniej do przetwarzania w systemie informatycznym, włącznie z programem odpowiednim do spowodowania wykonywania funkcji przez system”[18]. Przedstawione definicje wskazują, że danymi informatycznymi są wszelkie dane będące nośnikiem informacji, a także programy komputerowe używane zarówno przez indywidualnie określone osoby, jak i wykorzystywane w sieciach teleinformatycznych przez bliżej nieokreśloną liczbę osób[19].

W art. 269 k.k. ustawodawca spenalizował zachowania polegające na tzw. sabotażu informatycznym. Istotą tego przestępstwa jest niszczenie, uszkadzanie, usuwanie lub zmienianie danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego, zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych. W § 2 ustawodawca wskazał, iż przestępstwo sabotażu może polegać na niszczeniu albo wymianie informatycznego nośnika danych lub niszczeniu albo uszkodzeniu urządzenia służącego do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Jak wynika z treści omawianego przepisu, przedmiotem ochrony są dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej oraz system automatycznego przetwarzania, gromadzenia lub przekazywania takich informacji. Sabotaż informatyczny uważa się za typ kwalifikowany w stosunku do przestępstw z art. 268 § 2 k.k., art. 268a k.k. i 269a k.k. Znamieniem kwalifikującym jest tu rodzaj chronionych danych, tj. danych mających szczególne znaczenie dla wymienionych w art. 269 k.k. wartości[20]. Penalizowane zachowania sprawcy ustawodawca podzielił na dwie grupy. Pierwszą z nich stanowią działania mające na celu niszczenie, uszkadzanie, usuwanie lub zmienianie danych informatycznych o szczególnym znaczeniu dla wartości chronionych przepisem. Przedmiotem ochrony tej części przepisu jest integralność danych należących do szczególnej kategorii[21].

Drugą grupę znamion stanowią czynności polegające na zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego. Tutaj przedmiotem ochrony jest dostępność danych wyszczególnionych we wskazanym przepisie.

W § 2 art. 269 k.k. ustawodawca, chroniąc dobra określone w § 1, usankcjonował działania sprawcy polegające na niszczeniu albo wymianie informatycznego nośnika danych lub niszczeniu albo uszkadzaniu urządzeń służących do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Działania te mogą polegać na fizycznym zniszczeniu, uszkodzeniu, wymianie np. dysków twardych, jak i utrudnianiu lub uniemożliwianiu ich przetwarzania poprzez np. uszkodzenie urządzeń sieciowych[22]. Z uwagi na materialny charakter przestępstwa sabotażu informatycznego, dla przypisania sprawcy czynu z art. 269 k.k. konieczne jest wystąpienie określonego skutku w postaci unicestwienia lub uszkodzenia wyszczególnionych danych informatycznych albo zakłócenia lub uniemożliwienia automatycznego ich przetwarzania lub przekazywania.       

Kolejnym przepisem regulującym odpowiedzialność prawnokarną cyberprzestępczości jest art. 269a k.k. Istotą tego przepisu jest ochrona bezpieczeństwa pracy systemu komputerowego lub sieci teleinformatycznej. Pojęcie systemu komputerowego identyfikuje się w literaturze z pojęciem systemu informatycznego[23]. Odpowiedzialności karnej z przedmiotowego przepisu będzie podlegała osoba, która bez uprawnienia, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej poprzez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych. Penalizowane przez ustawę sposoby działania zostały w przepisie enumeratywnie wyliczone i co do zasady nie powinny budzić wątpliwości interpretacyjnych. Wyjątek stanowi pojęcie „transmisja”, które nie zostało zdefiniowane przez ustawodawcę. W literaturze wskazuje się, że pojęcie to oznacza przesyłanie, przekazywanie informacji z jednego miejsca w systemie komputerowym do innego, np. z pamięci operacyjnej na dysk, z dysku na drukarkę, z jednego komputera działającego w sieci do drugiego komputera sieciowego[24]. Sankcjonowane przekazywanie danych informatycznych na odległość ma odbywać się w postaci zakodowanej, a nie na nośnikach zewnętrznych takich jak płyta CD[25].

Artykuł 269b k.k. sankcjonuje wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym osobom urządzeń lub programów komputerowych przystosowanych do popełnienia enumeratywnie wymienionych przestępstw. Na uwagę zasługuje fakt, iż znamiona tego przestępstwa obejmują szereg czynności przygotowawczych, które mogą być związane z popełnieniem przestępstw wskazanych w części dyspozytywnej przepisu. Penalizacją zostały objęte działania polegające na tworzeniu i dostosowywaniu urządzeń lub programów do popełniania przestępstw z art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, ich udostępnianiu i pozyskiwaniu, a także łamanie haseł komputerowych, kodów dostępu lub innych danych umożliwiających dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej. Przedmiotem ochrony jest bezpieczeństwo informacji przetwarzanych elektronicznie we wszystkich aspektach, tj. poufność, integralność i dostępność danych informatycznych i systemów[26]. Mimo iż ustawodawca posługuje się liczbą mnogą co do sankcjonowanych czynności, karalnością objęte zostanie już pojedyncze zachowanie, polegające na przykład na zbyciu tylko jednego programu. Taki pogląd jest utrwalony zarówno w doktrynie, jak i w orzecznictwie.  

W art. 287 k.k. ustawodawca unormował przestępstwo oszustwa komputerowego. Przestępstwo to zostało zawarte w rozdziale XXXV zatytułowanym „Przestępstwa przeciwko mieniu”. Przedmiotem ochrony wskazanego artykułu są dane informatyczne wraz z zawartymi w nich informacjami. Dane te mogą być zapisane zarówno w pamięci komputera, jak i na płycie CD czy serwerze. Penalizowane zachowanie sprawcy polega na wpływaniu bez upoważnienia na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji albo zmianie, usuwaniu lub wprowadzeniu nowego zapisu na danych informatycznych. Opisane zachowanie sprawcy musi mieć na celu chęć osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody. W literaturze wskazuje się, że działanie sprawcy mające na celu wpływanie na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji przybiera postać bezprawnej ingerencji podmiotu zewnętrznego w przebieg automatycznych procesów, która powoduje, że po zakończeniu oddziaływania sprawcy jego przebieg, a w szczególności przetwarzanie, gromadzenie lub przesyłanie, będzie inny niż w wypadku, gdyby czynność sprawcy nie została dokonana[27].

Oszustwo komputerowe jest przestępstwem skutkowym. Oznacza to, że przestępstwo z art. 287 § 1 k.k. dokonane jest już z chwilą wprowadzenia zmian lub innej opisanej w tym przepisie ingerencji w urządzenie lub system do gromadzenia, przetwarzania lub przesyłania informacji za pomocą techniki komputerowej. Konieczność powstania szkody nie należy zaś do jego znamion[28].

W § 2 ustawodawca określił typ uprzywilejowany z uwagi na wypadek mniejszej wagi. Przestępstwo z art. 287 k.k. co do zasady ma charakter publicznoskargowy. W przypadku jednak, gdy zostało popełnione na szkodę osoby najbliższej, powoduje, zgodnie z regulacją § 3, zmianę trybu ścigania na wnioskowy.

Dokonana powyżej analiza przepisów regulujących odpowiedzialność prawnokarną z tytułu cyberprzestępstw wskazuje, iż zasadniczym przedmiotem ochrony penalizacji przestępstw komputerowych jest tradycyjna wolność i prywatność jednostek, choć ujmowana z perspektywy komputerowej. Ochronie podlegają jednak także dane zgromadzone w systemach, jak również same systemy i ich integralność, której naruszenie może mieć nierzadko bardzo poważne następstwa społeczne[29]. Jednocześnie należy nadmienić, że prawnokarna regulacja cyberprzestępczości napotka na dwa zasadnicze problemy. Pierwszy związany jest z zasadą jurysdykcji. Przestępstwa komputerowe popełniane w Internecie bardzo często mają charakter transgraniczny, a czasami wręcz aterytorialny w tym sensie, że często są popełniane w oderwaniu od terytorium danej jurysdykcji. Drugim problemem jest bardzo szybki rozwój nowych postaci cyberprzestępczości, za którym ustawodawcy z reguły nie nadążają.

Spotykając się po raz pierwszy z pojęciem przestępstwa komputerowego, możemy zauważyć, że istnieje wiele definicji tego zjawiska, które polega na naruszeniu za pomocą urządzeń informatycznych dóbr prawnych chronionych przez prawo. W różnych publikacjach oraz artykułach możemy spotkać się z określeniem „przestępstwo komputerowe”, „cyberprzestępstwo”, „przestępstwa IT” czy „przestępstwa z wykorzystaniem komputera”. Przyczyną braku ścisłości w nazewnictwie i klasyfikacji opisywanego problemu jest przede wszystkim rozległość zakresu technologii umożliwiających manipulowanie i przesyłanie informacji, różnorodność przestępstw informatycznych oraz często niewystarczający stan wiedzy technicznej osób zajmujących się opisywaną problematyką od strony prawnej.

Przy uwzględnieniu przedstawionych aspektów prawnokarnych nie może budzić wątpliwości powaga zagrożenia, jakie niesie za sobą cyberprzestępczość, i konieczność właściwej reakcji na nią, w szczególności poprzez unormowania w dziedzinie prawa karnego.

 

 

Summary

Penal and technical aspect of cybercrime

Penal and technical aspect of cybercrime have been presented in this publication.  A thorough analysis of cybercrime problem has been made and a way of defining by organizations such as Interpol, EU, Council of Europe or the UN has been shown. Particular attention was paid to cross-border nature of cybercrime. A reason of lack of accuracy in terminology and classification of the problem in the Polish criminal law has been shown, and thus has been specified how the legislature is trying to deal with this new problem. In the second part of the article the fundamentals of the most known tools used to commit crimes in cyberspace have been presented.

Key words: cybercrime, polish criminal law, cross-border

Pojęcia  kluczowe: cyberprzestępstwo, polskie prawo karne, transgraniczność

 

 

[PRZYPISY:]

 

[1] Rozwój sieci komputerowych jest związany z badaniami nad rozległą siecią ARPANET w latach sześćdziesiątych ubiegłego wieku. Dotyczyły one stworzenia niezawodnego medium komunikacyjnego pomiędzy centrum dowodzenia a wojskiem w warunkach wojny nuklearnej.

[2] M. Siwicki, Podział i definicja cyberprzestępstw, Prok. i Pr. 2012, nr 7–8, s. 242.

[3] M. Nowak, Cybernetyczne przestępstwa – definicje i przepisy prawne, „Biuletyn EBIB” [Dokument elektroniczny], red. naczelny Bożena Bednarek-Michalska, 2010, Nr 4 (113).

[4] I. Oleksiewicz, Ochrona praw jednostki a problem cyberterroryzmu HSS, vol. XIX, 21 (1/2014), pp. 113–129.

[5] Tamże.

[6] http://lexblog.pl/definicja-cyberprzestepstwa/ Lexblog.pl

[7] Dz. Urz. UE L z 2005 r., 69/67. Zob. szerzej: F. Radoniewicz, Postanowienia decyzji ramowej Rady w sprawie ataków na systemy informatyczne a ujęcie cyberprzestępstw w kodeksie karnym, „Ius Novum” 2009, nr 1, s. 48.

[8] M. Domagała, Prawnokarna ochrona prywatności użytkowników Internetu, PiP 2010, Nr 3, z. 75–86, s. 76.

[9] Dz.U. Nr 171, poz. 1800 ze zm.

[10] M. Domagała, Prawnokarna ochrona, s. 76.

[11] Tekst jedn. Dz.U. 2002, Nr 101, poz. 926 ze zm.

[12] J.J. Wójcik, Przestępstwa komputerowe. Część I. Fenomen cywilizacji, Warszawa 1999, s. 24.

[13] J. Piórkowska-Flegier, Kodeks karny art. 267 Komentarz, red. T. Bojarski, wyd. VI, LexisNexis 2013.

[14] A. Adamski, Prawo karne komputerowe, Warszawa 2000, s. 66.

[15] W. Wróbel, Kodeks karny. Komentarz, red. A. Zoll, t. II, Warszawa 2008, s. 1305.

[16] J. Piórkowska-Flegier, Kodeks karny art. 268a Komentarz, red. T. Bojarski, wyd.VI, LexisNexis 2013.

[17] M. Siwicki, Ochrona przed niepożądaną informacją elektroniczną (aspekty prawnokarne), PiP 2010, z. 1, s. 73–81, szczególnie s. 76

[18] Decyzja Ramowa Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne.

[19] M. Domagała, Prawnokarna ochrona prywatności użytkowników Internetu, PiP 2010, z. 3, s. 76.

[20] F. Radoniewicz, Odpowiedzialność za przestępstwo hackingu, „Prawo w Działaniu”  2013, nr 13, s. 129.

[21] Tamże.

[22] Tamże, s. 31.

[23] J. Piórkowska-Flegier, Komentarz do art. 269a kodeksu karnego, red. T. Bojarski, wyd. VI, LexisNexis 2013.

[24] Tamże.

[25] F. Radoniewicz, Odpowiedzialność za przestępstwo hackingu, s. 131.

[26] Tamże.

[27] M. Szwarczyk, Komentarz do art. 287 kodeksu karnego, red. T. Bojarski, wyd. VI, LexisNexis 2013.

[28] Wyrok SA w Szczecinie z dnia 14 października 2008 r., sygn. akt II AKa 120/08, LEX nr 508308.

[29] Kodeks karny. Część szczególna. Komentarz do artykułów 222–316, pod red. A. Wąska, R. Zawłockiego, Warszawa 2010, t. II, s. 576–579.



 

Copyrights © 2016 - PALESTRA