Phishing nie jest już terminem znanym tylko specjalistom IT. To jedno z najczęstszych narzędzi cyberprzestępców, a zarazem obszar, w którym prawo spotyka się z psychologią. Dlaczego? Bo nawet najlepsze systemy zabezpieczeń mogą zostać przełamane w sekundę – jednym kliknięciem użytkownika.
Phishing – definicja i praktyka
Phishing to oszukańcze pozyskiwanie danych (loginów, haseł, numerów kart) poprzez podszywanie się pod zaufane podmioty: banki, operatorów płatności, firmy kurierskie czy instytucje publiczne. Najczęstsze formy:
- wiadomości e-mail z linkami do fałszywych stron logowania,
- SMS-y o rzekomej dopłacie do przesyłki,
- komunikaty o „nieopłaconej fakturze”.
Celem jest wywołanie emocji – pośpiechu, strachu, poczucia obowiązku – i skłonienie ofiary do pochopnego działania.
Socjotechnika – wykorzystanie psychologii
Phishing to technika, socjotechnika to metoda. W praktyce chodzi o manipulowanie człowiekiem tak, aby dobrowolnie ujawnił informacje lub wykonał określone działania.
Przykłady:
- „pracownik banku” telefonicznie prosi o podanie kodu SMS,
- „szef” wysyła pilną prośbę o przelew,
- deepfake głosu bliskiej osoby żąda wsparcia finansowego.
Prawo karne (cyberprawo) traktuje takie działania jako klasyczne oszustwo, ale narzędziem są emocje.
Perspektywa prawna
Phishing i socjotechnika nie są luką prawną – przepisy przewidują ich karalność i skutki cywilne:
- Kodeks karny (art. 287 k.k.) – penalizuje oszustwo komputerowe, tj. wprowadzanie do systemu nieprawdziwych danych lub uzyskiwanie do nich dostępu. Grozi kara do 5 lat pozbawienia wolności.
- Art. 190a k.k. – ściga podszywanie się i wykorzystanie tożsamości innej osoby.
- Art. 286 k.k. – klasyczne oszustwo (wyłudzenie korzyści majątkowej).
- RODO (art. 32) – nakłada na administratorów danych obowiązek stosowania środków technicznych i organizacyjnych adekwatnych do ryzyka. Brak szkoleń pracowników czy procedur antyphishingowych może zostać uznany za naruszenie.
- Dyrektywa NIS2 (obowiązująca od 2024 r.) – wprost wymaga, aby podmioty kluczowe (np. banki, operatorzy infrastruktury krytycznej) wdrażały polityki szkoleniowe z zakresu bezpieczeństwa, w tym socjotechniki.
Innymi słowy: nie tylko sprawca odpowiada, ale także instytucja może odpowiadać, jeśli zaniedbała obowiązek należytej staranności.
Prewencja – obowiązki i rekomendacje (cyberhigiena)
- Edukacja i szkolenia – pracownicy to pierwsza linia obrony. Brak szkoleń = potencjalna odpowiedzialność organizacji.
- Weryfikacja komunikacji – wdrożenie procedur weryfikacji przy „pilnych przelewach” czy zmianach konta bankowego kontrahenta.
- Polityka bezpieczeństwa – zgodnie z RODO i NIS2 musi być udokumentowana, a jej brak naraża na sankcje.
- Dwuskładnikowe uwierzytelnianie – minimalizuje skutki wyłudzenia hasła.
- Zgłaszanie incydentów – obowiązek administratorów danych (RODO) i operatorów (NIS2).
Podsumowanie
Phishing i socjotechnika to przykład, że najbardziej wyrafinowane ataki wcale nie polegają na skomplikowanym kodzie, lecz na prostych emocjach.
Prawo karne przewiduje sankcje dla sprawców, prawo ochrony danych i prawo unijne – obowiązki dla organizacji. A dla nas wszystkich pozostaje zdrowy rozsądek: nie klikaj, nie ufaj pośpiechowi, weryfikuj źródła.
W czasach Rewolucji Cyfrowej najlepszy firewall to świadomość użytkownika.
Stan prawny na dzień: 8 października 2025 roku
Cyberlaw by Judyta 