VPN (Virtual Private Network) to narzędzie, które szyfruje połączenie internetowe i ukrywa adres IP użytkownika. W większości krajów VPN jest legalny, ale jego użycie może podlegać pewnym ograniczeniom.
Czy korzystanie z VPN jest legalne?
W większości krajów (np. UE, USA, Polska) VPN jest legalny, jeśli nie służy do nielegalnych działań. W niektórych krajach VPN jest zakazany lub kontrolowany, np.:
Chiny – dostępne są tylko rządowe VPN-y.
Rosja – blokada niezatwierdzonych VPN-ów.
Iran, Korea Północna – korzystanie z VPN może grozić karą.
ZEA, Oman – VPN nielegalny dla osób prywatnych, firmy mogą używać zatwierdzonych usług.
Kiedy używanie VPN może być nielegalne?
Jeśli VPN służy do łamania prawa, np.:
Omijania blokad regionalnych w serwisach VOD (np. Netflix, BBC iPlayer),
Działalności cyberprzestępczej (hacking, oszustwa),
Handlu narkotykami, nielegalnym streamingiem, dark web.
Podsumowanie: VPN to legalne narzędzie ochrony prywatności, ale jego nielegalne użycie podlega karze, podobnie jak inne technologie (np. samochód może służyć do legalnej jazdy lub do ucieczki z miejsca przestępstwa).
VPN a RODO (w Unii Europejskiej)
W UE VPN jest zgodny z RODO, jeśli chroni dane użytkownika i nie narusza praw innych osób. Firmy oferujące VPN muszą informować o przetwarzaniu danych użytkowników.
Uwaga! Niektóre bezpłatne VPN-y mogą gromadzić i sprzedawać dane użytkowników, dlatego wybieraj zweryfikowane usługi.
Czy VPN chroni przed ściganiem prawnym?
Nie daje pełnej anonimowości – dostawcy VPN mogą przechowywać logi i współpracować z organami ścigania.
Prawo krajowe nadal obowiązuje – jeśli złamiesz prawo, VPN nie uchroni cię przed konsekwencjami.
Podsumowanie
VPN jest legalny w większości krajów, ale może być blokowany w autorytarnych państwach.
Nielegalne działania z użyciem VPN nadal podlegają karze.
W UE VPN działa zgodnie z RODO, ale warto wybierać zaufanych dostawców.
Nie zapewnia pełnej anonimowości, jeśli serwer VPN przechowuje logi.
Najlepsze zastosowanie VPN? Ochrona prywatności, bezpieczne korzystanie z Wi-Fi, omijanie cenzury.
Czy deepfake jest nielegalny zależy od celu i kontekstu jego użycia. Deepfake’i mogą być legalne, jeśli są wykorzystywane np. do sztuki, filmów lub rozrywki (z odpowiednimi zgodami). Jednak nielegalne jest ich użycie do:
Oszustw i wyłudzeń – np. podszywanie się pod kogoś w celu uzyskania korzyści finansowych.
Fałszowania tożsamości – np. tworzenie deepfake’ów dokumentów lub głosów.
Dezinformacji i manipulacji politycznej – np. generowanie fałszywych wypowiedzi polityków.
Zemsty lub szantażu – np. deepfake’i pornograficzne bez zgody ofiary.
USA: Niektóre stany (np. Kalifornia, Teksas) już wprowadziły kary za deepfake’i wykorzystywane do dezinformacji lub pornografii bez zgody. UE: RODO może być stosowane do ochrony osób, których wizerunek został sfałszowany, a niektóre kraje (np. Niemcy, Francja) mają surowsze przepisy. Chiny: Wymagają oznaczania deepfake’ów, a ich nielegalne użycie może skutkować wysokimi karami.
Tworzenie deepfake’ów samo w sobie nie jest automatycznie nielegalne, ale ich wykorzystanie do oszustwa, dezinformacji czy zniesławienia może prowadzić do poważnych konsekwencji prawnych.
Jakie są kary za wykorzystanie AI do fałszowania dokumentów lub głosu?
Jeśli ktoś używa AI do fałszowania dokumentów, podpisów lub głosu, może to być uznane za:
Oszustwo (fraud) – fałszowanie danych w celu uzyskania korzyści finansowych.
Podszywanie się pod inną osobę (identity theft) – np. deepfake głosowy użyty do kradzieży tożsamości.
Fałszowanie dokumentów (forgery) – np. generowanie sfałszowanych paszportów, umów czy faktur.
Możliwe kary: USA: Od kilku miesięcy do kilkunastu lat pozbawienia wolności w zależności od oszustwa. UE: W większości krajów fałszowanie dokumentów to przestępstwo karane grzywną lub karą pozbawienia wolności. Polska: Fałszowanie dokumentów (art. 270 Kodeksu karnego) zagrożone jest karą do 5 lat pozbawienia wolności.
Przykład: W 2023 r. oszuści użyli deepfake’owego głosu dyrektora firmy, aby wyłudzić 35 milionów dolarów od pracownika banku w Hongkongu.
Czy AI może zostać wykorzystana do oszustw finansowych lub phishingu?
Tak, AI już teraz jest używana do:
Phishingu nowej generacji – AI generuje realistyczne e-maile, SMS-y czy wiadomości głosowe, podszywając się pod banki lub urzędy.
Deepfake’ów głosowych i wideo – oszuści mogą udawać np. dyrektora firmy i wydawać polecenia przelewów.
Automatyzacji oszustw na dużą skalę – AI może generować setki realistycznych wiadomości phishingowych dziennie.
Kradzieży tożsamości – AI może generować fałszywe dowody osobiste, paszporty czy podpisy cyfrowe.
Przykład:
W 2020 roku cyberprzestępcy użyli AI do naśladowania głosu prezesa brytyjskiej firmy i oszukali jej pracowników, wyłudzając 220 000 dolarów.
W 2023 roku pojawiły się deepfake’owe telefony „od wnuczka” wyłudzające pieniądze od starszych osób.
Jak się chronić przed deepfake’ami i AI-oszustwami?
Weryfikuj źródła – nie ufaj bezkrytycznie nagraniom i wiadomościom.
Zwracaj uwagę na nienaturalne ruchy i mimikę w deepfake’ach.
Nie klikaj podejrzanych linków w e-mailach i SMS-ach – mogą to być ataki phishingowe generowane przez AI.
Sprawdzaj głosy i nagrania – jeśli rozmowa wydaje się dziwna, oddzwoń i zweryfikuj tożsamość rozmówcy.
Włącz dwuetapowe uwierzytelnianie (2FA) – ograniczy to ryzyko przejęcia Twojego konta przez oszustów.
Podsumowanie
Deepfake’i mogą być legalne, ale ich użycie do oszustw, szantażu lub dezinformacji jest przestępstwem.
Fałszowanie dokumentów i głosu przez AI może skutkować karą pozbawienia wolności.
AI już teraz jest wykorzystywane do oszustw finansowych i phishingu, a ich skala będzie rosła.
Aby się chronić, warto weryfikować źródła informacji i stosować techniki cyberbezpieczeństwa.
Świadomość zagrożeń to najlepsza obrona przed nową generacją oszustw!
Zasady ustalania jurysdykcji w przypadku usług chmurowych są szczególnie złożone ze względu na globalny charakter chmury i przechowywanie danych na serwerach znajdujących się w różnych lokalizacjach. Oto kluczowe aspekty i zasady:
Lokalizacja fizyczna danych
Jednym z podstawowych kryteriów jurysdykcji jest lokalizacja serwerów, na których przechowywane są dane. Chociaż użytkownik może znajdować się w jednym kraju, jego dane mogą być przechowywane w kilku różnych państwach, co generuje pytania o właściwość prawa.
Jurysdykcja dostawcy chmurowego
Jurysdykcja kraju, w którym zarejestrowany jest dostawca usług chmurowych (np. Amazon Web Services, Google Cloud, Microsoft Azure), często ma wpływ na zasady przetwarzania i ochrony danych. Przykład:
Firma z siedzibą w Stanach Zjednoczonych może być zobowiązana do udostępnienia danych na podstawie amerykańskiego Cloud Act, nawet jeśli dane są przechowywane w innym kraju.
Prawo właściwe wynikające z umowy
W umowach na świadczenie usług chmurowych (SLA – Service Level Agreement) zwykle określane jest prawo właściwe. Często dostawcy zastrzegają, że w przypadku sporu obowiązywać będą przepisy kraju, w którym mają siedzibę.
Eksterytorialność przepisów
Niektóre przepisy mają charakter eksterytorialny i mogą być stosowane poza granicami danego kraju:
RODO (UE): Ma zastosowanie do podmiotów spoza UE, jeśli przetwarzają dane osobowe obywateli Unii.
Cloud Act (USA): Umożliwia amerykańskim organom dostępu do danych przechowywanych przez amerykańskie firmy, nawet jeśli znajdują się na serwerach poza granicami USA.
Lokalne regulacje dotyczące przechowywania danych
Wiele państw wprowadza przepisy wymagające przechowywania danych w granicach kraju. Nazywa się to data localization. Przykłady:
Rosja: Dane osobowe obywateli muszą być przechowywane na lokalnych serwerach.
Chiny: Silne wymagania dotyczące przechowywania i kontroli nad danymi.
Indie: Coraz bardziej restrykcyjne podejście do lokalizacji danych.
Zasada podwójnej jurysdykcji
W przypadku konfliktu praw krajowych i międzynarodowych może dochodzić do sytuacji, w której dane podlegają jednocześnie przepisom różnych krajów. Firmy chmurowe często muszą balansować między sprzecznymi wymaganiami prawnymi.
Międzynarodowe porozumienia
Aby ułatwić ustalanie jurysdykcji i współpracę prawną, niektóre kraje zawierają porozumienia, np.:
Tarcza Prywatności UE-USA (obecnie już nieobowiązująca),
Inicjatywy bilateralne dotyczące wymiany danych.
Podsumowanie
Ustalanie jurysdykcji w chmurze opiera się na kombinacji lokalizacji danych, siedziby dostawcy usług, zapisów umownych i eksterytorialnych przepisów prawnych. Dla organizacji korzystających z chmury kluczowe jest zrozumienie, jakie przepisy mają zastosowanie do ich danych i jakie ryzyko ze sobą niosą. .
Współpraca różnych państw w zakresie cyberprzestępczości przynosi liczne korzyści, ale nie jest pozbawiona wyzwań i problemów, które mogą wpływać na jej efektywność. Oto główne problemy, które można dostrzec na przykładzie Polski i Stanów Zjednoczonych:
Różnice w regulacjach prawnych
Ochrona danych osobowych (RODO vs. CLOUD Act)
Problem: Polska jako państwo członkowskie UE, musi przestrzegać RODO, które nakłada ścisłe zasady dotyczące ochrony danych osobowych. Jednocześnie USA korzysta z CLOUD Act, który umożliwia dostęp do danych przechowywanych przez amerykańskie firmy IT, nawet jeśli dane te znajdują się w UE.
Konflikt: RODO wymaga zgody użytkownika lub krajowych organów na przekazywanie danych poza UE, co może być sprzeczne z amerykańskimi żądaniami dostępu do danych.
Efekt: Opóźnienia w dostępie do dowodów cyfrowych lub ryzyko naruszenia przepisów UE.
Różne podejście do prywatności
USA ma bardziej liberalne podejście do monitorowania danych w imię bezpieczeństwa narodowego, co budzi obawy w krajach UE, w tym w Polsce, o nadmierne ingerencje w prywatność obywateli.
Trudności proceduralne
Czasochłonność procedur MLAT
Problem: Procedury wzajemnej pomocy prawnej (MLAT) są biurokratyczne i czasochłonne, co jest nieefektywne w dynamicznych sytuacjach, takich jak ataki ransomware czy włamania do systemów IT.
Efekt: Cyberprzestępcy mogą ukrywać swoją działalność, zanim dowody zostaną zebrane, a ich działania mogą eskalować.
Brak jednolitych procedur
Polska i USA, mimo współpracy, wciąż nie mają zharmonizowanych procedur, które umożliwiałyby szybką wymianę informacji lub dowodów w postępowaniach karnych. Brakuje również uproszczonych mechanizmów dla przypadków nagłych.
Jurysdykcja nad danymi
Geograficzne rozproszenie danych
W epoce chmury obliczeniowej dane często są przechowywane w różnych lokalizacjach, co prowadzi do problemów z ustaleniem, które przepisy prawne mają zastosowanie.
Efekt: Opóźnienia w śledztwach i trudności w uzyskaniu dostępu do kluczowych danych.
Konflikty kompetencji
Gdy Polska prowadzi śledztwo, a dane znajdują się na serwerach w USA (lub odwrotnie), może dochodzić do sporów o to, który kraj ma prawo do dostępu do tych danych i ich wykorzystania.
Braki techniczne i zasobowe
Niedobory w Polsce
Polska, mimo utworzenia CBZC, wciąż ma ograniczone zasoby ludzkie i technologiczne w porównaniu do USA.
Efekt: Trudności w równorzędnej współpracy w skomplikowanych śledztwach wymagających zaawansowanej analizy danych lub szybkiej reakcji na incydenty.
Nierówności w dostępnych narzędziach
Amerykańskie służby mają dostęp do bardziej zaawansowanych technologii analitycznych, sztucznej inteligencji i systemów monitorowania, co może prowadzić do asymetrii w działaniach.
Ataki z terytoriów państw trzecich
Cyberprzestępcy z Rosji, Chin i innych państw
Wielu cyberprzestępców, którzy atakują Polskę i USA, działa z krajów, które nie współpracują w zwalczaniu cyberprzestępczości (np. Rosja, Korea Północna, Chiny).
Problem: Brak możliwości skutecznego ścigania sprawców z tych terytoriów, mimo współpracy polsko-amerykańskiej.
Wykorzystywanie państw „przechowalni” danych
Cyberprzestępcy często wykorzystują serwery w państwach, które są mniej zaawansowane technologicznie i nie mają silnych systemów współpracy prawnej.
Koordynacja międzynarodowa
Złożoność operacji wielostronnych: Operacje przeciwko globalnym grupom cyberprzestępczym, takim jak REvil czy Emotet, wymagają współpracy wielu państw jednocześnie. Problemy z koordynacją działań, np. z synchronizacją czasu ataków na infrastrukturę przestępców czy z podziałem odpowiedzialności za dalsze śledztwa.
Wyzwania językowe i kulturowe: Różnice językowe, proceduralne i kulturowe między służbami Polski i USA mogą prowadzić do nieporozumień lub opóźnień w komunikacji.
Wzrost zagrożeń związanych z AI i technologiami przyszłości
Narzędzia cyberprzestępców: Cyberprzestępcy coraz częściej wykorzystują sztuczną inteligencję i zaawansowane technologie (np. deepfake) do oszustw, co utrudnia śledztwa. Polska może nie mieć takich samych możliwości jak USA w przeciwdziałaniu takim zagrożeniom.
Rozwój technologii szyfrujących: Przestępcy korzystają z zaawansowanych systemów szyfrujących, co utrudnia dostęp do ich komunikacji lub danych nawet w przypadku międzynarodowej współpracy.
Współpraca z sektorem prywatnym
Brak wystarczającej koordynacji: Firmy technologiczne w USA, takie jak Google, Meta czy Amazon, mają kluczowe znaczenie dla śledztw, ale współpraca z nimi bywa trudna. Problemem są różnice w przepisach i wewnętrznych politykach korporacji mogą opóźniać przekazywanie danych.
Zaufanie firm do organów ścigania: W Polsce firmy mogą mieć obawy co do przekazywania danych ze względu na obostrzenia RODO, a w USA niektóre korporacje stawiają własne interesy nad współpracą z rządami.
Podsumowanie
Główne problemy we współpracy Polski i USA w zakresie cyberprzestępczości wynikają z różnic w przepisach prawnych, trudności proceduralnych, wyzwań technicznych oraz dynamicznego rozwoju zagrożeń cybernetycznych. Chociaż współpraca przynosi pozytywne efekty, dalszy jej rozwój wymaga:
Uproszczenia procedur prawnych (np. MLAT).
Harmonizacji przepisów dotyczących ochrony danych.
Rozwoju zasobów technologicznych i ludzkich w Polsce.
Zacieśnienia współpracy z sektorem prywatnym oraz w ramach organizacji wielostronnych, takich jak NATO i UE.
Współpraca między Polską a Stanami Zjednoczonymi w zakresie zwalczania cyberprzestępczości odbywa się w ramach dwustronnych umów, międzynarodowych konwencji oraz współpracy instytucji zajmujących się cyberbezpieczeństwem. Wynika ona z rosnącej skali cyberzagrożeń, takich jak ataki ransomware, hacking, oszustwa internetowe, czy działalność w darknecie, która wymaga szybkiej wymiany informacji i wspólnych działań.
Podstawy prawne współpracy Polska-USA
a) Konwencja Budapeszteńska o cyberprzestępczości (2001)
Zarówno Polska, jak i USA są stronami Konwencji Budapeszteńskiej, która jest podstawą międzynarodowej współpracy w walce z cyberprzestępczością. Dzięki Konwencji doszło do:
ustalenia zasad wymiany informacji w celu zabezpieczania dowodów elektronicznych;
uzgodnienia zasad wzajemnej pomocy w dochodzeniach, takich jak identyfikacja sprawców czy neutralizacja infrastruktur wykorzystywanych w atakach.
b) Dwustronne umowy o pomocy prawnej (MLAT)
Polska i USA współpracują na podstawie umowy o wzajemnej pomocy prawnej (Mutual Legal Assistance Treaty). MLAT reguluje wymianę dowodów w postępowaniach karnych, w tym danych cyfrowych przechowywanych na zagranicznych serwerach. Dzięki MLAT Polska może uzyskać dostęp do danych przechowywanych przez amerykańskie firmy IT, takie jak Google, Microsoft czy Meta (Facebook), co jest kluczowe w wielu sprawach.
c) CLOUD Act (Clarifying Lawful Overseas Use of Data)
CLOUD Act umożliwia amerykańskim władzom przekazywanie danych przechowywanych przez amerykańskich dostawców usług chmurowych na potrzeby śledztw prowadzonych przez Polskę.
Współpraca na podstawie CLOUD Act jest szczególnie ważna w sprawach związanych z danymi przechowywanymi w chmurze.
Główne instytucje współpracujące
W Polsce:
a) Polska Policja (Centralne Biuro Zwalczania Cyberprzestępczości – CBZC)
CBZC, utworzone w 2022 roku, odpowiada za zwalczanie cyberprzestępczości na poziomie krajowym i międzynarodowym. CBZC ściśle współpracuje z amerykańskimi służbami, np. FBI, w sprawach takich jak ataki ransomware czy przestępstwa w darknecie.
b) CERT POLSKA
CERT Polska jest kluczowym ośrodkiem w wymianie informacji o zagrożeniach cybernetycznych i współpracy z międzynarodowymi partnerami, w tym amerykańskimi CERT-ami.
W USA:
Federal Bureau of Investigation (FBI): FBI prowadzi współpracę z Polską w ramach globalnych operacji przeciwko cyberprzestępcom, m.in. poprzez swój Cyber Division.
U.S. Secret Service (USSS): USSS, oprócz ochrony kluczowych osób w państwie, zajmuje się cyberprzestępstwami finansowymi i wspiera polskie organy ścigania w wykrywaniu oszustw.
CISA (Cybersecurity and Infrastructure Security Agency): CISA współpracuje z Polską w zakresie analizy zagrożeń cybernetycznych i ochrony infrastruktury krytycznej.
Formy współpracy Polska-USA w walce z cyberprzestępczością
a) Wymiana informacji
Polska i USA korzystają z mechanizmów takich jak 24/7 Network, koordynowanego przez Interpol, który pozwala na szybkie przekazywanie informacji o zagrożeniach i przestępstwach w cyberprzestrzeni.
b) Wspólne operacje międzynarodowe
Polska i USA uczestniczyły we wspólnych operacjach przeciwko grupom ransomware i dark web:
Emotet (2021): Polska odegrała kluczową rolę w likwidacji jednej z największych sieci botnetów, współpracując z Europolem, FBI i innymi krajami.
Hydra Market: Polska współpracowała z USA przy zamknięciu jednego z największych rynków w darknecie.
Zabezpieczanie dowodów elektronicznych
Współpraca w zakresie dostępu do danych przechowywanych na serwerach amerykańskich firm, np. Google, Amazon czy Facebook. Polska policja korzysta z procedur MLAT oraz CLOUD Act, by skutecznie uzyskać dane niezbędne do śledztw.
d) Szkolenia i wymiana doświadczeń
Polskie służby, takie jak CBZC, uczestniczą w szkoleniach organizowanych przez FBI i inne amerykańskie agencje. Wymiana doświadczeń obejmuje techniki śledcze, analizy zagrożeń cybernetycznych oraz strategie zwalczania ransomware i phishingu.
Przykłady współpracy Polska-USA
a) Ataki ransomware na polskie firmy
W 2021 roku Polska i USA wspólnie badały sprawy ataków ransomware, takich jak atak na polskie instytucje medyczne i samorządowe, gdzie zaangażowane były grupy cyberprzestępcze z Rosji. FBI dostarczyło dane techniczne dotyczące infrastruktury wykorzystywanej do ataków, co pomogło w ich neutralizacji.
b) Operacje przeciwko grupom hackingowym
Polska i USA współpracowały w zwalczaniu grup hakerskich takich jak REvil, które prowadziły ataki na międzynarodowe korporacje i instytucje publiczne.
Wyzwania w współpracy Polska-USA
a) Różnice w przepisach prawnych
Polska musi przestrzegać przepisów RODO, co czasem utrudnia szybkie przekazywanie danych do USA. CLOUD Act w USA budzi kontrowersje w Europie, ponieważ umożliwia dostęp do danych bez zgody kraju, w którym są one przechowywane.
b) Jurysdykcja nad danymi: Współpraca bywa trudna, gdy dane są przechowywane w chmurze w wielu lokalizacjach, co komplikuje ustalenie, które prawo ma zastosowanie.
c) Brak jednolitych procedur: Procedury MLAT są czasochłonne, co opóźnia działania w dynamicznych sytuacjach, takich jak ataki ransomware.
Perspektywy rozwoju współpracy Polska-USA
a) Usprawnienie procedur prawnych: Polska i USA pracują nad uproszczeniem procedur wymiany danych i dowodów w sprawach cyberprzestępczości.
b) Większe zaangażowanie w NATO: W ramach NATO Polska i USA rozwijają współpracę w zakresie cyberobrony, co obejmuje wspólne ćwiczenia i wymianę informacji o zagrożeniach.
c) Rozwój technologii i narzędzi analitycznych: Wspólne inwestycje w technologie do analizy zagrożeń, takich jak systemy SI (sztucznej inteligencji), które wspierają identyfikację zagrożeń i śledzenie przestępców.
Podsumowanie
Współpraca między Polską a USA w zakresie cyberprzestępczości jest kluczowa dla skutecznego zwalczania globalnych zagrożeń. Opiera się na solidnych fundamentach prawnych, takich jak Konwencja Budapeszteńska i CLOUD Act, oraz na ścisłej koordynacji instytucji, takich jak CBZC i FBI. Pomimo wyzwań, takich jak różnice w regulacjach, współpraca ta przynosi wymierne efekty i jest stale rozwijana.
Współpraca międzynarodowa między Unią Europejską (UE) a Stanami Zjednoczonymi (USA) w zakresie zwalczania cyberprzestępczości opiera się na różnych instrumentach prawnych wspierających wymianę informacji i wspólne działania. Efektywna współpraca jest kluczowa, ponieważ cyberprzestępcy często działają w różnych jurysdykcjach, wykorzystując różnice w przepisach.
Podstawy prawne współpracy między UE a USA
a)Konwencja Budapeszteńska o cyberprzestępczości (2001)
Zarówno USA, jak i wiele krajów UE (które są sygnatariuszami Konwencji) opierają swoje działania na wspólnych standardach prawnych, określonych w tej umowie. Dzięki Konwencji zharmonizowano definicje cyberprzestępstw, takich jak hacking, ransomware czy oszustwa internetowe; ułatwiono wymianę dowodów cyfrowych i informacji między krajami; przewidziano współpracę przy dochodzeniach transgranicznych.
b) Umowy o wzajemnej pomocy prawnej (Mutual Legal Assistants Treaties, MLAT)
Umowa MLAT między USA a UE reguluje formalne procedury wymiany dowodów, takich jak logi serwerowe, dane użytkowników czy korespondencja e-mail. MLAT pozwala na uzyskanie dostępu do dowodów znajdujących się na serwerach w innym kraju, ale procedura ta może być czasochłonna.
c) CLOUD Act (USA, 2018)
Ustawa CLOUD Act umożliwia organom ścigania w USA dostęp do danych przechowywanych przez amerykańskich dostawców usług IT, nawet jeśli serwery znajdują się poza granicami USA. UE i USA współpracują w oparciu o CLOUD Act w przypadkach, gdy dane są potrzebne w dochodzeniach dotyczących cyberprzestępstw.
d) Umowa między UE a USA w sprawie danych pasażerów (PNR)
Umowa dotycząca wymiany danych pasażerów samolotów pomaga w identyfikowaniu potencjalnych cyberprzestępców lub ich powiązań z innymi grupami przestępczymi.
Główne instytucje i platformy współpracy
a) Europol i FBI
Europol, poprzez Europejskie Centrum ds. Cyberprzestępczości (EC3), współpracuje z FBI i innymi agencjami USA w sprawach związanych z cyberprzestępczością. Wspólne działania obejmują operacje przeciwko grupom zajmującym się ransomware, takim jak REvil czy DarkSide; likwidacja nielegalnych rynków w darknecie (np. Hydra, Silk Road); koordynacja przy zwalczaniu botnetów.
b) Interpol i Departament Sprawiedliwości USA
Interpol działa jako pośrednik między Europą i USA, umożliwiając szybką wymianę informacji o przestępstwach, takich jak ataki DDoS, phishing czy oszustwa finansowe.
c) Programy wymiany danych między CERT/CSIRT
Computer Emergency Response Teams (CERT) z UE i USA współpracują w zakresie wymiany informacji o nowych zagrożeniach, złośliwym oprogramowaniu czy podatnościach w systemach IT.
Współpraca CERT-ów jest szczególnie intensywna w przypadku krytycznych incydentów, takich jak globalne ataki ransomware (np. WannaCry).
d) Joint Cybercrime Action Taskforce (J-CAT)
Europol powołał J-CAT jako stały zespół do zwalczania cyberprzestępczości, w skład którego wchodzą przedstawiciele USA, FBI oraz innych krajów partnerskich.
Celem J-CAT jest koordynacja śledztw wielonarodowych w sprawach cyberprzestępstw.
Przykłady współpracy w praktyce
a) Operacje przeciw ransomware
REvil: USA i UE współpracowały w celu rozbicia grupy REvil, która atakowała firmy na całym świecie, żądając okupu za odszyfrowanie danych. Dzięki koordynacji FBI, Europolu i międzynarodowych CERT-ów udało się zneutralizować część infrastruktury grupy.
b) Likwidacja botnetów
Emotet: Europol, FBI i inne agencje wspólnie przeprowadziły operację zniszczenia jednego z największych botnetów, używanych do rozprzestrzeniania złośliwego oprogramowania.
c) Zwalczanie cyberprzestępczości w darknecie
Zamknięcie Silk Road i Hydra Market to przykłady operacji, w których Europol, FBI i inne agencje współpracowały w celu wyeliminowania platform handlu narkotykami, bronią i danymi w darknecie.
Wyzwania we współpracy UE-USA
a) Różnice w przepisach prawnych: UE ma bardziej restrykcyjne przepisy dotyczące ochrony danych (np. RODO), co czasem utrudnia szybkie przekazywanie informacji do USA. Przepisy takie jak CLOUD Act budzą kontrowersje w Europie ze względu na potencjalne konflikty z RODO.
b) Jurysdykcja nad danymi w chmurze: Spory dotyczące dostępu do danych przechowywanych na serwerach w różnych lokalizacjach (np. przypadek Microsoft vs. USA).
c) Czasochłonność procedur formalnych: MLAT i inne tradycyjne mechanizmy pomocy prawnej są czasochłonne, co jest problemem w szybko zmieniającym się środowisku cyberprzestępczym.
Zapraszam do lektury artykułu “Jak nas okradają w sieci. Czyściciele kont”, s. 28., który ukazał się w najnowszym wydaniu Newsweek Polska, nr 4/2025, 20-26.01.2025 r. W artykule udzieliłam wywiadu na temat mojej codziennej pracy jako prawnika specjalizującego się w cyberprawie i cyberprzestępczości.
„Kradzież impulsów telefonicznych” – Co kryje się za tym przestępstwem?
Czy kiedykolwiek zastanawiałeś się, co oznacza „kradzież impulsów telefonicznych”? Choć brzmi to jak klasyczna kradzież, w rzeczywistości chodzi o zupełnie inne przestępstwo, które reguluje art. 285 Kodeksu karnego. Czym jest i jakie konsekwencje niesie za sobą bezprawne korzystanie z cudzych usług telekomunikacyjnych? Oto kilka kluczowych informacji!
Kto może być sprawcą tego przestępstwa?
Sprawcą kradzieży impulsów telefonicznych może być niemal każdy. Jak to działa? Osoba, która bez zgody właściciela, włącza się do urządzenia telekomunikacyjnego i uruchamia na cudzy rachunek impulsy telefoniczne, dokonuje tego przestępstwa. Brzmi prosto? Chociaż termin „kradzież impulsów” może kojarzyć się z zaborem rzeczy, chodzi tu o coś zupełnie innego – bezprawne wykorzystanie cudzych praw.
Jakie urządzenia wchodzą w grę?
Zgodnie z prawem, urządzenie telekomunikacyjne to każde urządzenie elektroniczne lub elektryczne, które służy do zapewnienia łączności. Mowa tu o telefonach, smartfonach, komputerach czy tabletach. Przestępstwo dotyczy więc wszelkich urządzeń, za pośrednictwem których możemy łączyć się z siecią telekomunikacyjną.
Co to są impulsy telefoniczne?
Impulsy telefoniczne to nic innego jak energia elektromagnetyczna, która jest wykorzystywana do naliczania opłat za połączenia telefoniczne. Każde połączenie jest mierzone przez impulsy, a odpowiednie naliczenie odbywa się na podstawie tego, ile takich impulsów zostało wysłanych.
Jaka kara grozi za kradzież impulsów telefonicznych?
Za to przestępstwo grozi kara pozbawienia wolności do 3 lat. Co ciekawe, przestępstwo jest ścigane z urzędu, ale jeśli pokrzywdzonym jest osoba bliska sprawcy, sprawa może zostać wszczęta tylko na jej wniosek.
Czy korzystanie ze służbowego telefonu wbrew zasadom to również kradzież impulsów?
Nie do końca! Jeśli ktoś korzysta ze służbowego telefonu w sposób niezgodny z ustaleniami, to nie popełnia przestępstwa „kradzieży impulsów telefonicznych”. To, że sprawca ma prawo korzystać z urządzenia, nie oznacza automatycznie popełnienia przestępstwa, jeśli narusza jedynie zasady użytkowania.
A co z telefonowaniem ze skradzionego telefonu?
To nie jest przestępstwo kradzieży impulsów! Jeśli sprawca używa skradzionego telefonu, nie uruchamia impulsów w sposób opisany w art. 285 k.k. – będzie to wymagało innej kwalifikacji prawnej.
Jeśli chcesz dowiedzieć się więcej o cyberprzestępstwach, nie przegap kolejnych wpisów na blogu!
W art. 278 Kodeksu karnego uregulowano przestępstwo kradzieży, w tym w § 2 tego przepisu kradzieży programu komputerowego i w § 5 przywłaszczenia karty uprawniającej do podjęcia pieniędzy z automatu bankowego.
Jak zachowuje się sprawca kradzieży programu komputerowego?
Sprawcą kradzieży może być każdy, kto dokonuje przywłaszczenia rzeczy ruchomej o wartości ekonomicznej, która jest czyjąś własnością i w czyimś posiadaniu.
W przypadku kradzieży programu komputerowego istotne jest to, że do kradzieży programu komputerowego dochodzi nie poprzez kradzież nośnika (art. 278 §1 k.k.), na którym program został zapisany, ale poprzez uzyskanie programu, który wcale nie musi oznaczać, że jego właściciel został pozbawiony władztwa nad nim. Program komputerowy korzysta z ochrony zarówno wynikającej z kodeksu karnego, jak i art. 115 ust. 3 ustawy o prawie autorskim i prawach pokrewnych. Nie ma definicji legalnej programu komputerowego.
W przypadku karty uprawniającej do podjęcia pieniędzy z automatu do przestępstwa kradzieży dochodzi, gdy sprawca pozbawia właściciela władztwa nad kartą, ale sprawca nie musi karty wykorzystać.
Przestępstwo kradzieży jest ścigane z urzędu, ale w przypadku, gdy sprawca jest osobą bliską dla pokrzywdzonego ściganie odbywa się na wniosek.
Jaka kara grozi za kradzież programu komputerowego?
Zarówno za kradzież programu komputerowego, jak i za kradzież karty uprawniającej do podjęcia pieniędzy z automatu bankowego grozi kara pozbawienia wolności od 3 miesięcy do 5 lat.
Kodeks karny dopuszcza w wypadku mniejszej wagi, czyli w sytuacji, gdy istnieją okoliczności łagodzące sąd może skazać sprawcę na karę grzywny, karę ograniczenia wolności lub karę pozbawienia wolności do roku.
Czy wobec kradzieży programu komputerowego stosuje się rozróżnienie na przestępstwo i wykroczenie (tzw. czyn przepołowiony)?
Aby sprawcy przypisać kwalifikację – przestępstwa kradzieży sprawca musi dokonać kradzieży rzeczy ruchomej, której wartość przekracza 500 zł, w innym wypadku zastosowanie będą miały przepisy kodeku wykroczeń art. 119 k.w.
Jednakże takiego rozróżnienia nie stosuje się ani wobec przestępstwa kradzieży karty bankomatowej ani wobec programu komputerowego, co oznacza, że kradzież obu tych rzeczy stanowi przestępstwo, a nie wykroczenie.
Przykłady z orzecznictwa polskich sądów:
1) „J. S. (1) został oskarżony o to, że w dniu 14 października 2010 r. przy ul. (…) w Z., pow. (…), woj. (…) działając w celu osiągnięcia korzyści majątkowej oraz w celu rozpowszechniania oprogramowania komputerowego, bez zgody przedstawiciela spółki (…) sp. z o.o. jako osoby uprawnionej, uzyskał cudze programy komputerowe w ten sposób, że po uprzednim podłączeniu swojego komputera do serwera spółki (…) sp. z o.o. bez uprawnienia zwielokrotnił programy komputerowe zawarte na tym serwerze poprzez skopiowanie na dysk swojego komputera plików, dokumentacji, sterowników i kodów źródłowych programów, które znajdowały się na folderach o następujących nazwach – przytoczonych w zarzucie – stanowiących mienie znacznej wartości, na łączną sumę strat 1.396.000 zł na szkodę (…) sp. z o.o. z/s przy ul. (…) w Z., tj. o czyn z art. 278 § 2 k.k. w zw. z art. 294 § 1 k.k. w zb. z art. 117 ust. 1 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych w zw. z art. 11 § 2 k.k.” (Wyrok Sądu Apelacyjnego w Warszawie z dnia 7 kwietnia 2014 r., II AKa 75/14)
2) „T. O. oskarżony o to, że w nieustalonym czasie, nie później niż 17 października 2012 r. w B., bez zgody podmiotu uprawnionego (…) Sp. z o.o. uzyskał cudze programy komputerowe do serwisu wózków widłowych marki J. w postaci (…) o wartości około 705.544,-zł i (…) o wartości 993.914,60 zł, a następnie w celu osiągnięcia korzyści majątkowej dokonał instalacji powyższego oprogramowania na dysku twardym jednostki komputera (…) stanowiącego jego własność, z którego korzystał jako serwisant wózków widłowych na terenie Przedsiębiorstwa (…) z siedzibą w B., przy ul (…) działając tym samym na szkodę (…) Sp. z o.o., tj. o przestępstwo z art. 278 § 2 k.k. w zw. z art. 294 § 1 k.k.” (Wyrok Sądu Apelacyjnego w Gdańsku z dnia 1 września 2016 r., II AKa 220/16).
3) „W okresie od czerwca 2008 r. do marca 2009 r. w X. w woj. (…), bez zgody osoby uprawnionej uzyskał cudze programy komputerowe, a to: T. (…), W. (…), N. (…), H. o łącznej wartości 805 zł zapisane na dysku twardym nr 1 swojego komputera oraz programy W. (…) i M. (…) o łącznej wartości 2.520 zł zapisane na dysku twardym nr 2 swojego komputera, działając na szkodę producentów i dystrybutorów tych programów, a to N. (…) Sp.J. z/s w W., S. sp. z o.o. z/s w W., M. sp. z o.o. z/s w W. oraz (…) P. przy czym czyn ten stanowi wypadek mniejszej wagi tj. o czyn z art. 278 § 2 i 3 k.k.” (Wyrok Sądu Najwyższego z dnia 10 lipca 2019 r., IV KK 224/18).
O przestępstwie niszczenia dokumentów elektronicznych
Przestępstwo niszczenia dokumentów elektronicznych zostało uregulowane w art. 276 Kodeksu karnego.
Kto może być sprawcą przestępstwa niszczenia dokumentów elektronicznych?
Sprawcą przestępstwa może być każda osoba, z wyjątkiem tych, które mają prawo wyłącznej dyspozycji dokumentem. Sprawca:
niszczy (zarówno niszczenie kartki papieru, jak i zapisu komputerowego),
uszkadza,
czyni bezużytecznym,
ukrywa,
usuwa dokument, którym nie ma prawa wyłącznie rozporządzać.
Dokument, zgodnie z art. 115 § 14 k.k., rozumiany jest jako „każdy przedmiot lub inny zapisany nośnik informacji, z którym jest związane określone prawo, albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne.”
Jeśli sprawca podejmuje czynności wobec różnych dokumentów, można uznać, że doszło do dokonania jednego czynu zabronionego, pod warunkiem spełnienia przesłanek określonych w art. 12 k.k.
Omawiane przestępstwo wymaga powstania skutku i charakteryzuje się umyślnością.
Jaka kara grozi za popełnienie przestępstwa zniszczenia dokumentu elektronicznego?
Przestępstwo to zagrożone jest karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Przestępstwo jest ścigane z oskarżenia publicznego.
Przykłady z orzecznictwa polskich sądów w sprawach dotyczących niszczenia dokumentów elektronicznych:
Sąd Rejonowy wyrokiem z dnia 24 lutego 2011 r. uznał M. K. i Ł. S. za winnych tego, że w nocy z 6 na 7 maja 2009 r. w L., działając wspólnie i w porozumieniu, grożąc A. R. pobiciem, a następnie używając wobec niego przemocy w postaci przyciskania go swoim ciałem do kanapy oraz dusząc go, zabrali w celu przywłaszczenia mienie w postaci laptopa, pendriva, noża, portfela, pieniędzy w kwocie 260 zł, karty bankomatowej oraz prawa jazdy, powodując w ten sposób straty na szkodę ww. pokrzywdzonego w łącznej kwocie 1.500 zł, przy czym Ł. S. czynu tego dopuścił się przed upływem 5 lat od odbycia ponad 6 miesięcy kary pozbawienia wolności orzeczonej za umyślne przestępstwo podobne. Sąd przyjął, że czyn ten wyczerpuje dyspozycję art. 280 § 1 k.k. w zb. z art. 278 § 5 k.k. w zw. z art. 278 § 1 k.k. w zb. z art. 276 k.k. w zw. z art. 11 § 2 k.k.
Wyrok Sądu Najwyższego z dnia 3 grudnia 2012 roku, III KK 45/12, odnoszący się do powyżej opisanej sprawy, w którym Sąd Najwyższy uznał, że:
„Kradzież karty płatniczej stanowi przestępstwo z art. 278 § 5 k.k. niezależnie od tego, jaki charakter ma ta karta, gdy umożliwia dokonanie wypłaty oraz niezależnie od kwoty, jaką można przy jej użyciu pobrać w automacie bankowym. Przepis art. 278 § 5 k.k. jest lex specialis wobec § 1 art. 278 k.k., jako obejmujący kradzież każdej karty, o jakiej w nim mowa; wyłącza on też stosowanie art. 119 § 1 k.w., bo nie ma znaczenia, jaką kwotę można pobrać skradzioną kartą.”
Cyberlaw by Judyta 