Przestępstwa przeciwko systemom informatycznym
stanowią niejednorodną i szeroką grupę czynów. Bywają określane mianem przestępstw komputerowych, ponieważ są popełniane za pomocą komputerów. Używa się też w odniesieniu do nich pojęcia hackingu, obejmując nim wszelkie działania mające na celu zakłócenie funkcjonowania sieci, a więc zachowania stanowiące przestępstwa przeciwko bezpieczeństwu informacji we wszystkich jego aspektach (integralności, poufności i dostępności). Przy czym można także wskazać pogląd, zgodnie z którym hacking stanowi szczególną postać przestępstwa komputerowego, którego znamiona zostały opisane w art. 267 § 2 k.k. Wreszcie, przestępstwa przeciwko systemom informatycznym zaliczane są do tzw. cyberprzestępczości, przy czym do cyberprzestępstw w znaczeniu wąskim zalicza się czyny wymierzone przeciwko bezpieczeństwu systemów informatycznych i przetwarzanych przez te systemy danych, w poczet cyberprzestępstw z ujęciu szerokim można zaś włączyć każde nielegalne działanie dokonane za pomocą systemów komputerowych albo sieci komputerowych lub ich dotyczące.
Definicji systemu informatycznego próżno poszukiwać w ustawie karnej. Oprócz terminu „system informatyczny” w rozdz. XXXIII Kodeksu karnego ustawodawca użył takich terminów, jak „dane informatyczne” (art. 286a k.k.); „dane informatyczne o szczególnym znaczeniu dla: obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego” (art. 289 k.k.); „system teleinformatyczny”, „sieć teleinformatyczna” (art. 269b k.k.). Należy przy tym odnotować, że ustawodawca zrezygnował z używanej wcześniej terminologii, czyli takich określeń, jak „komputerowy nośnik informacji” (od 2008 r.) czy „system komputerowy” (od 2017 r.), ponieważ budziły one wątpliwości co do ich interpretacji i relacji względem innych używanych w tym rozdziale pojęć.
Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW definiuje system informatyczny jako urządzenie lub grupę wzajemnie połączonych lub powiązanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, dokonuje automatycznego przetwarzania danych komputerowych, jak również danych komputerowych przechowywanych, przetwarzanych, odzyskanych lub przekazanych przez to urządzenie lub tę grupę urządzeń, w celach ich eksploatacji, użycia, ochrony lub utrzymania (art. 2 pkt a). Definicja ta jest bardzo zbliżona do zawartej w art. 1 pkt a budapesztańskiej konwencji o cyberprzestępczości. Dyrektywa 2013/40/UE nie zna pojęcia danych informatycznych, zamiast którego używa się terminu „dane komputerowe” rozumiane jako przedstawienie faktów, informacji lub pojęć w formie nadającej się do przetwarzania w systemie informatycznym, włącznie z programem umożliwiającym wykonanie funkcji przez system informatyczny (art. 2 pkt c). Co znamienne, konwencja budapesztańska w sposób identyczny definiuje pojęcie danych informatycznych. Można zatem stwierdzić na podstawie przeanalizowanych aktów, że pojęcia danych informatycznych i danych komputerowych są traktowane w prawie międzynarodowym niemal synonimicznie.
Należy zaznaczyć, że wskazana dyrektywa nakłada na państwa członkowskie Unii m.in. obowiązek wprowadzenia do ich wewnętrznych porządków prawnych regulacji przepisów penalizujących określone czyny wymierzone właśnie przeciwko systemom informatycznym.
Zbliżony sposób ujmowania opisywanych pojęć zastosowano także w dyrektywie Parlamentu Europejskiego i Rady (UE) z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, definiując sieci i systemy informatyczne jako: a) sieci łączności elektronicznej w rozumieniu art. 2 lit. a) dyrektywy 2002/21/WE; b) wszelkie urządzenia lub grupy wzajemnie połączonych lub powiązanych urządzeń, z których jedno lub większa ich liczba, wykonując program, dokonuje automatycznego przetwarzania danych cyfrowych; lub c) dane cyfrowe przechowywane, przetwarzane, odzyskiwane lub przekazywane przez elementy określone w lit. a) i b) w celu ich eksploatacji, użycia, ochrony i utrzymania. Cechą charakterystyczną tego ujęcia jest uznanie danych cyfrowych za część systemu, w którym są przechowywane.
Termin „przestępstwa przeciwko systemom informatycznym” można rozumieć dwojako. Po pierwsze, system informatyczny może występować jako przedmiot wykonawczy czynu zabronionego, czyli przedmiot czynności wykonawczej sprawcy. Po drugie, system informatyczny może być indywidualnym przedmiotem ochrony. Nie zawsze zachodzi tożsamość przedmiotu zamachu i przedmiotu ochrony indywidualnej. Można wskazać takie przypadki, gdy sprawca kieruje swoje zachowanie przeciwko systemowi informatycznemu, jego zachowanie ukierunkowane jest przeciwko innemu dobru chronionemu prawem. Na przykład wywołanie awarii w systemie informatycznym banku przez jego pracownika może być środkiem do dokonania przestępstwa przywłaszczenia środków finansowych klientów.
Przestępstwa przeciwko systemom informatycznym nie zostały ujęte w osobnym rozdziale Kodeksu karnego. Odniesienia do systemów informatycznych zostały zawarte w rozdz. XXXIII Kodeksu karnego, dotyczącym przestępstw przeciwko ochronie informacji, w art. 267 § 2 i § 3 k.k., 268 § 2 k.k., 269 § 2 k.k., 269a k.k., 269b k.k. oraz 269c k.k.
Analiza rozdz. XXXIII Kodeksu karnego wskazuje, że przestępstwa przeciwko systemom informatycznym stanowią podtyp przestępstw przeciwko ochronie informacji. Zachowania przestępcze, w przypadku których przedmiotem wykonawczym jest system informatyczny, wymierzone są zwykle nie tylko przeciwko bezpieczeństwu systemów informatycznych, ale przede wszystkim przeciwko bezpieczeństwu informacji (rodzajowy przedmiot ochrony). Można stwierdzić, że sprowadzenie niebezpieczeństwa dla systemu informatycznego stanowi tylko jeden z wielu możliwych sposobów popełnienia danego przestępstwa. Egzemplifikacją może być art. 267 § 1 k.k. Przełamanie lub ominięcie przez sprawcę zabezpieczenia informatycznego jest tylko jedną z wymienionych w tym przepisie metod działania sprawcy, który zmierza do uzyskania informacji dla niego nieprzeznaczonej. Przełamanie zabezpieczenia oznacza jego unicestwienie, natomiast ominięcie ma polegać na działaniu, które pozwala uzyskać dostęp bez konieczności autoryzacji. W każdym przypadków, choć nie zostało to wprost wskazane w przepisie, sprawca wykracza przeciwko bezpieczeństwu systemu informatycznego, choć nie to, a uzyskanie dostępu do informacji jest głównym celem i motywem jego działania.
Artykuł 267 § 2 k.k. dotyczy przestępstwa polegającego na uzyskaniu dostępu do całości lub części systemu informatycznego przez osobę do tego nieuprawnioną, przy czym nie ma znaczenia sposób uzyskania dostępu przez sprawcę. Sprawca może np. wykorzystać hasła dostępu podejrzane podczas wprowadzania ich przez osobę uprawnioną. Istotny jest brak upoważnienia do uzyskania dostępu do systemu informatycznego lub jego części. Sprawca nie musi także działać w celu zapoznania się z przetwarzanymi w systemie danymi ani zapoznać się z tymi danymi po uzyskaniu dostępu. Ten brak ustawowo wskazanego motywu działania sprawcy odróżnia omawiany czyn od ujętego w § 1 tego samego artykułu. Nie wyczerpuje znamion przestępstwa uzyskanie dostępu do urządzenia, które w danej chwili nie jest częścią systemu informatycznego, np. odłączonego dysku zewnętrznego.
Działania polegające na inwigilacji systemów informatycznych, często określane mianem podsłuchu komputerowego, spenalizowane zostały w art. 267 § 3 k.k. Do pociągnięcia sprawcy do odpowiedzialności wystarczy, by jedynie zainstalował on urządzenie lub program (nie musi potem z niego korzystać) lub by posługiwał się on narzędziem lub programem zainstalowanym w systemie informatycznym przez kogoś innego. Do zaistnienia omawianego przestępstwa wystarcza dokonanie jednej z wymienionych czynności. Natomiast sama okoliczność faktycznego uzyskania w ten sposób informacji nie ma znaczenia.
Przepisy art. 268 § 2 k.k. i art. 268a § 1 k.k. przewidują niemal identyczny sposób działania sprawcy, wspólne dla obu czynów znamiona czasownikowe to niszczenie, uszkodzenie, usunięcie, zmiana zapisu danych oraz utrudnienie dostępu do nich. W pierwszym ze wskazanych przepisów ujęto ponadto znamię polegające na udaremnieniu dostępu, przedmiotem wykonawczym jest zaś zapis na informatycznym nośniku danych. W drugim z wymienionych wskazano także znamiona: zakłócanie w istotnym stopniu oraz uniemożliwienie automatycznego przetwarzania, gromadzenia lub przekazywania danych, przedmiotem ochrony jest niezakłócone przetwarzanie danych informatycznych. Już pobieżna analiza porównawcza obu wskazanych norm wskazuje, że zakres ich zastosowania nie jest w pełni rozłączny. Świadczy o tym nie tylko powtórzenie przez ustawodawcę tych samych znamion. Dane informatyczne to dane przetwarzane w systemach informatycznych, a informatyczny nośnik danych może stanowić część systemu informatycznego.
Identyczne zachowania sprawcy jak opisane w art. 268a k.k., lecz wymierzone przeciwko danym informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego, zostały spenalizowane w art. 269 § 1 k.k. Przestępstwo to, określane czasami mianem sabotażu informatycznego, zgodnie z przepisem art. 269 § 2 k.k. może także polegać na niszczeniu albo wymianie informatycznego nośnika danych lub niszczeniu albo uszkadzaniu urządzenia służącego do automatycznego przetwarzania, gromadzenia lub przekazywania chronionych danych informatycznych. Sabotaż informatyczny, z uwagi na podobieństwo znamion, przy jednoczesnej różnicy w wysokości zagrożenia karą i środkami karnymi można także uznać za typ kwalifikowany zarówno występków z art. 268a k.k., jak i z art. 268 § 2 k.k.
Problematyce odpowiedzialności za zakłócenie pracy systemu komputerowego, systemu teleinformatycznego lub sieci teleinformatycznej poprzez działania logiczne, takie jak transmisja, zniszczenie, uszkodzenie lub zmiana danych informatycznych, poświęcony został art. 269a k.k.
Przepis art. 269b § 1 k.k. penalizuje szeroko pojęte czynności przygotowawcze do przestępstw wymienionych w jego dyspozycji. Z pierwszej części przepisu wynika, że kryminalizuje on wytwarzanie, pozyskiwanie, zbywanie, udostępnianie urządzeń lub programów komputerowych przystosowanych do popełnienia przestępstw określonych w:
- art. 165 § 1 pkt 4 k.k. – sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach poprzez zakłócanie, uniemożliwienie lub wywarcie w inny sposób wpływu na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych;
- art. 267 § 3 – nielegalny podsłuch i inwigilacja za pomocą urządzeń technicznych i programów komputerowych;
- art. 268a § 1 albo § 2 w związku z § 1 – naruszenie integralności danych, utrudnianie dostępu do danych oraz zakłócanie ich przetwarzania;
- art. 269 § 1 lub 2 – sabotaż komputerowy;
- art. 269a – zakłócenie pracy systemu komputerowego lub sieci teleinformatycznej.
Z drugiej części przepisu wynika, że czyn ten można także popełnić poprzez wytwarzanie, pozyskiwanie, zbywanie haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie komputerowym lub w sieci teleinformatycznej. Zasadne wydaje się więc pytanie, czy dotyczy to jedynie haseł, kodów lub innych danych, które posłużyły lub mogły posłużyć do popełnienia przestępstw enumeratywnie wyliczonych w pierwszej części przepisu, czy też do uzyskania dostępu przez osobę nieuprawnioną, niezależnie od tego, czy i jaki czyn zabroniony ona sama popełniła. Udzielenie odpowiedzi na to pytanie jest istotne, ustawodawca nie uwzględnił bowiem w wyliczeniu zawartym w treści art. 269b k.k. przepisów art. 267 § 1 i § 2 k.k., a także art. 268 § 2.
W odniesieniu do omawianego czynu powszechnie przyjmuje się, że do jego popełnienia wystarczające jest zrealizowanie jednego ze znamion czasownikowych w odniesieniu do jednego hasła lub też jednego programu. Problematyczną kwestią pozostaje natomiast, czy do wypełnienia znamion czasownikowych zbywania lub udostępniania wystarcza dokonanie tych czynności wobec jednej osoby, czy też jednorazowa czynność powinna być kwalifikowana jako pomocnictwo do przestępstwa popełnionego przez kupującego, czy też osobę, której narzędzie udostępniono.
Dwa przepisy o podobnej treści ujęto w art. 269b § 1a k.k. i 269c k.k. W myśl pierwszego z nich nie popełnia przestępstwa określonego w art. 269b § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia. Zgodnie z drugim z wymienionych nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.
Nie wszystkie przestępstwa przeciwko systemom informatycznym są ścigane z urzędu, dotyczy to czynów, o których mowa w art. 269 § 1 k.k., 269a k.k. i 269b k.k. W odniesieniu do pozostałych – art. 267 § 2 k.k., 268 § 2 k.k., 268a § 1 k.k., do ścigania i ukarania ich sprawców niezbędne jest złożenie wniosku o ścignie przez osobę uprawnioną, tj. pokrzywdzonego.
Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW, Dz.U.UE.L.2013.218.8; Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, Dz.U.UE.L.2016.194.1; Konwencja Rady Europy o cyberprzestępczości, sporządzona w Budapeszcie dnia 23 listopada 2001 r., Dz.U. 2015 poz. 728; P. Kozłowska-Kalisz, Komentarz aktualizowany do art. 269(b) Kodeksu karnego, [w:] Kodeks karny. Komentarz aktualizowany, M. Mozgawa (red.), LEX/el., 2018; A. Lach, Komentarz do art. 268–269 Kodeksu karnego, [w:] Kodeks karny. Komentarz, V. Konarska-Wrzosek (red.), Wolters Kluwer Polska, Warszawa 2018; F. Radoniewicz, Odpowiedzialność karna za hacking i inne przestępstwa przeciwko danym komputerowym i systemom informatycznym, Wolters Kluwer Polska, Warszawa 2016; Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny, tekst jednolity Dz.U.2018.1600 j.t.