The crime of destroying electronic documents is regulated under Article 276 of the Penal Code.
Who Can Commit the Crime of Destroying Electronic Documents?
Any person may be the perpetrator of this crime, except those who have the exclusive right to dispose of the document. The perpetrator:
destroys (both physical destruction of a paper document and deletion of a computer record),
damages,
renders useless,
hides,
removes a document that they do not have the exclusive right to dispose of.
A document, as defined in Article 115 § 14 of the Penal Code, is understood as „any object or other recorded medium of information to which a specific right is attached or which, due to its content, constitutes evidence of a right, a legal relationship, or a legally significant circumstance.”
If the perpetrator takes actions against multiple documents, it may be considered a single prohibited act, provided the conditions specified in Article 12 of the Penal Code are met.
This crime requires the occurrence of a result and is characterized by intentionality.
What Penalty Can Be Imposed for Committing the Crime of Destroying an Electronic Document?
This crime is punishable by a fine, restriction of liberty, or imprisonment for up to 2 years. It is prosecuted ex officio.
Examples from Polish Court Rulings on the Destruction of Electronic Documents:
The District Court, in a judgment dated February 24, 2011, found M. K. and Ł. S. guilty of acting together and in concert during the night of May 6–7, 2009, in L., threatening A. R. with physical violence and then using force against him by pressing him against a couch with their bodies and strangling him. They took possession of property, including a laptop, USB drive, knife, wallet, cash amounting to 260 PLN, a bank card, and a driver’s license, causing a total loss of 1,500 PLN to the victim. Ł. S. committed this act within five years of serving over six months of imprisonment for a similar intentional crime. The court found that this act fulfilled the elements of Article 280 § 1 of the Penal Code in conjunction with Article 278 § 5 of the Penal Code, in relation to Article 278 § 1 of the Penal Code, in conjunction with Article 276 of the Penal Code, in relation to Article 11 § 2 of the Penal Code.
The Supreme Court ruling of December 3, 2012 (III KK 45/12) regarding the above-mentioned case stated that:
„The theft of a payment card constitutes an offense under Article 278 § 5 of the Penal Code, regardless of the nature of the card, as long as it allows cash withdrawals, and regardless of the amount that can be withdrawn using it at an ATM. Article 278 § 5 of the Penal Code is lex specialis in relation to Article 278 § 1 of the Penal Code, as it covers the theft of any card mentioned therein; it also excludes the application of Article 119 § 1 of the Code of Petty Offenses, as the amount withdrawable with the stolen card is irrelevant.”
O wytwarzaniu programów komputerowych (narzędzi hackerskich)
Art. 269b § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2, art. 269a, art. 270 § 1 albo art. 270a § 1, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
W artykule 269b Kodeksu karnego uregulowano przestępstwo wytwarzania narzędzi hackerskich. Przepis ten realizuje postanowienia art. 6 Konwencji o cyberprzestępczości. Zastosowanie artykułu 269b K.K. skutkuje karalnością podejmowania czynności przygotowawczych.
Kto może być sprawcą przestępstwa wytwarzania narzędzi hackerskich i jakich zachowań dotyczy przepis art. 269b K.K.?
Sprawcą przestępstwa wytwarzania narzędzi hackerskich może być każda osoba, która wytwarza urządzenia lub programy komputerowe przystosowane do popełniania przestępstw. Przepis odnosi się wyłącznie do takich narzędzi, które zostały celowo zaprojektowane i przygotowane w celu popełnienia przestępstwa.
Nowelizacja z marca 2017 roku wyłączyła odpowiedzialność karną w przypadku działalności prowadzonej w ramach white hacking (czyli etycznego hackingu).
Omawiane przestępstwo charakteryzuje się umyślnością.
Jaka kara grozi za popełnienie przestępstwa wytwarzania narzędzi hackerskich?
Za popełnienie przestępstwa wytwarzania narzędzi hackerskich grozi kara pozbawienia wolności od 3 miesięcy do 5 lat.
W § 2 przepisu art. 269b K.K. przewidziano obligatoryjny przepadek narzędzi hackerskich. Przepadek jest fakultatywny tylko w przypadku, gdy narzędzia te nie należą do sprawcy lub nie ustalono ich właściciela. Przestępstwo to jest ścigane z oskarżenia publicznego.
Przykłady z orzecznictwa polskich sądów w sprawach dotyczących wytwarzania narzędzi hackerskich:
A. P. (P.) w nieustalonym dniu i w nieustalony sposób oraz bez uprawnienia pozyskał hasło komputerowe umożliwiające dostęp do serwisu internetowego (…) do konta M. B. i D. P., a następnie w dniu 18 września 2018 r. w M., ul. (…) o godz. 09:19, za pomocą tego hasła i bez uprawnienia uzyskał dostęp do systemu informatycznego (…) przy użyciu numeru klienta M. B. i D. P., skąd pobrał informacje przechowywane w systemie, które nie były przeznaczone dla niego, dotyczące historii przelewów tego rachunku. Te informacje następnie wykorzystał jako dowód przed Sądem Okręgowym w Katowicach w sprawie z jego powództwa o sygnaturze akt: XVII C 78/18. Czyn ten stanowił naruszenie art. 267 § 1 K.K. oraz art. 269b § 1 K.K. w związku z art. 11 § 2 K.K. (Wyrok Sądu Rejonowego w Mikołowie z dnia 30.03.2021 r., sygn. akt II K 1/21).
M. P. został oskarżony o to, że w okresie od nieustalonego dnia, nie później niż do 6 czerwca 2013 roku, w (…) Banku (…) przy ul. (…) w T., w zamiarze umożliwienia nieznanej osobie pozyskania haseł do konta internetowego prowadzonego przez (…) S.A., a następnie dokonania zmiany bez upoważnienia istniejących numerów kont zdefiniowanych odbiorców na rachunku bankowym należącym do firmy (…) S.C. z/s w P., udostępnił jej swój rachunek bankowy o numerze (…) prowadzony przez bank (…) w celu przelania środków pieniężnych i osiągnięcia korzyści majątkowej w kwocie 24 244,78 zł na szkodę firmy (…) S.C. z/s w P. Tym samym pomógł w dokonaniu czynu zabronionego. Czyn ten stanowił naruszenie art. 18 § 3 K.K. w związku z art. 287 § 1 K.K. w zbiorze z art. 269b § 1 K.K. w związku z art. 11 § 2 K.K. (Wyrok Sądu Okręgowego w Toruniu z dnia 8 stycznia 2015 r., sygn. akt IX Ka 579/14).
On the creation of computer programs (hacker tools)
Article 269b § 1. Whoever creates, acquires, sells, or provides to others devices or computer programs adapted for the commission of a crime specified in Article 165 § 1 point 4, Article 267 § 3, Article 268a § 1 or § 2 in connection with § 1, Article 269 § 1 or 2, Article 269a, Article 270 § 1, or Article 270a § 1, as well as computer passwords, access codes, or other data enabling unauthorized access to information stored in an information system, telecommunication system, or telecommunication network, shall be subject to imprisonment for a period of 3 months to 5 years. § 1a. A person shall not be guilty of the offense specified in § 1 if they act solely to secure an information system, telecommunication system, or telecommunication network against the commission of a crime referred to in this provision or to develop a method for such security. § 2. In the case of a conviction for the offense specified in § 1, the court shall order the confiscation of the items referred to therein, and may order their confiscation even if they were not the property of the perpetrator.
Article 269b of the Penal Code regulates the crime of creating hacker tools. This provision implements Article 6 of the Convention on Cybercrime. The application of Article 269b of the Penal Code makes preparatory actions punishable.
Who can be the perpetrator of the crime of creating hacker tools, and what behaviors does Article 269b of the Penal Code refer to?
The perpetrator of the crime of creating hacker tools can be anyone who creates devices or computer programs designed to commit crimes. This provision applies only to tools that have been intentionally designed and adapted to commit a crime.
The amendment from March 2017 excluded criminal liability in cases of activities carried out within the framework of white hacking (also known as ethical hacking).
The discussed crime is characterized by intent.
What penalty is imposed for the crime of creating hacker tools?
The crime of creating hacker tools is punishable by imprisonment from 3 months to 5 years.
Section 2 of Article 269b of the Penal Code provides for the mandatory forfeiture of hacker tools. However, forfeiture is optional if these tools do not belong to the perpetrator or if their owner has not been identified. This crime is prosecuted upon public accusation.
Examples from the case law of Polish courts in cases involving the creation of hacker tools:
A. P. (P.), on an unspecified day and in an unspecified manner and without authorization, obtained a computer password allowing access to the website service (…) to the account of M. B. and D. P., and then on September 18, 2018, in M., ul. (…) at 9:19 AM, using this password and without authorization, gained access to the IT system (…) by using the client number of M. B. and D. P., from which he downloaded information stored in the system that was not intended for him, regarding the transaction history of that account. He then used this information as evidence before the District Court in Katowice in the case with his claim, case number XVII C 78/18. This act constituted an offense under Article 267 § 1 of the Penal Code and Article 269b § 1 of the Penal Code in conjunction with Article 11 § 2 of the Penal Code (Judgment of the District Court in Mikołów of March 30, 2021, case file No. II K 1/21).
M. P. was accused of, in the period from an unspecified day, but no later than June 6, 2013, at (…) Bank (…) at ul. (…) in T., with the intention of enabling an unknown person to obtain passwords for an internet account held by (…) S.A., and subsequently making unauthorized changes to the existing recipient account numbers on the bank account of the company (…) S.C. based in P., he provided his own bank account number (…) held by bank (…) in order to transfer money and gain a financial benefit of PLN 24,244.78 to the detriment of the company (…) S.C. in P. He thus assisted in committing the prohibited act. This act constituted an offense under Article 18 § 3 of the Penal Code in conjunction with Article 287 § 1 of the Penal Code in conjunction with Article 269b § 1 of the Penal Code in conjunction with Article 11 § 2 of the Penal Code (Judgment of the District Court in Toruń of January 8, 2015, case file No. IX Ka 579/14).
Sabotaż komputerowy w polskim prawie – co warto wiedzieć? (art. 269a k.k.)
Sabotaż komputerowy z perspektywy prawa
Przestępstwo sabotażu komputerowego zostało uregulowane w artykule 269a Kodeksu karnego. Przepis ten ma na celu ochronę integralności systemów informatycznych, sieci telekomunikacyjnych oraz zapewnienie bezpieczeństwa danych, które są kluczowe dla funkcjonowania firm i instytucji.
Kim jest sprawca przestępstwa sabotażu komputerowego?
Warto podkreślić, że sprawcą tego przestępstwa może być każda osoba, która umyślnie zakłóca pracę systemów komputerowych. Sabotaż komputerowy może być popełniony zarówno przez aktywne działanie (np. złośliwe oprogramowanie, manipulacja danymi), jak i przez zaniechanie, które skutkuje poważnymi konsekwencjami w funkcjonowaniu systemów informatycznych.
Co obejmuje przestępstwo sabotażu komputerowego?
Zgodnie z art. 269a k.k., oprócz czynów takich jak zniszczenie, usunięcie, uszkodzenie lub zmiana danych informatycznych (wskazanych w art. 268a k.k.), przestępstwo to obejmuje także zakłócanie pracy systemów komputerowych oraz sieci telekomunikacyjnych. Oznacza to, że każde działanie, które może poważnie zakłócić funkcjonowanie takiej infrastruktury, może zostać uznane za sabotaż komputerowy. Przykłady to rozprzestrzenianie wirusów, ataki DDoS czy nieautoryzowana modyfikacja danych.
Jaka kara grozi za sabotaż komputerowy?
Za popełnienie przestępstwa sabotażu komputerowego grozi kara pozbawienia wolności od 3 miesięcy do 5 lat. Ważne jest, że sprawa jest ścigana z oskarżenia publicznego, co oznacza, że prokuratura prowadzi postępowanie z urzędu. Jeśli prowadzisz firmę lub zarządzasz systemem informatycznym, zapobieganie tego rodzaju przestępstwom jest kluczowe, a w razie wątpliwości warto skorzystać z porady prawnej.
Sabotaż komputerowy a niszczenie baz danych – czym się różnią?
Warto także zwrócić uwagę na różnice między przestępstwem sabotażu komputerowego (art. 269a k.k.) a przestępstwem niszczenia baz danych (art. 268a k.k.). Choć oba przestępstwa wiążą się z nielegalnym działaniem na systemach komputerowych, różnią się zakresem kar oraz trybem ścigania. Istnieje również dyskusja prawna dotycząca usunięcia przepisów art. 268a k.k. z Kodeksu karnego, ze względu na powielanie normatywnych treści w art. 269a k.k.
Jeśli masz wątpliwości dotyczące tego przepisu, warto skonsultować się ze specjalistą. Tego typu sprawy wymagają dokładnej analizy i precyzyjnego stosowania przepisów.
Przykłady z orzecznictwa – jak wygląda praktyka sądowa?
Oto kilka przykładów z orzecznictwa polskich sądów, które pokazują, jak sądy podchodzą do kwestii sabotażu komputerowego:
Wyrok Sądu Okręgowego w Świdnicy z dnia 9.01.2018 r., sygn. akt IV K 720/17: W okresie od października 2013 r. do kwietnia 2014 r. w J. i K. (woj. (…)), nie będąc do tego uprawnionym, poprzez składanie fałszywych zamówień oraz transmisję danych informatycznych utrudnił dostęp do systemu komputerowego obsługującego sklep internetowy na stronie (…), istotnie zakłócając jego pracę, działając na szkodę A. L. K., co stanowiło czyn z art. 269a k.k. w zw. z art. 12 k.k.
Wyrok Sądu Okręgowego w Bydgoszczy z dnia 13 maja 2015 r., sygn. akt IV Ka 141/15: W dniu 10 października 2012 r., o godz. 18:17, nie będąc do tego uprawnionym, po uprzednim zalogowaniu się do serwisu internetowego (…), do którego podłączony jest Zespół Szkół Ogólnokształcących Nr (…) w B., dokonał zmian w systemie, usuwając konto użytkownika przypisanego do jednego z nauczycieli, P. D., co stanowiło czyn z art. 269a k.k.
Wyrok Sądu Okręgowego w Elblągu z dnia 12.02.2015 r., sygn. akt IV Ka 11/15: W dniu 31 maja 2013 r., w miejscowości Z., nie będąc do tego uprawnionym, przy pomocy karty (…) oraz oprogramowania znajdującego się na dysku laptopa wysyłał pakiety SYN, blokując pracę systemu komputerowego oraz strony internetowej, co poważnie zakłóciło pracę systemu, działając na szkodę M. Ż., czyn z art. 269a k.k.
Zabezpiecz się przed sabotażem komputerowym!
Jeśli zarządzasz systemem informatycznym, stroną internetową lub bazą danych, ochrona bezpieczeństwa jest Twoją odpowiedzialnością. Incydenty związane z sabotażem komputerowym mogą prowadzić do poważnych strat finansowych i wizerunkowych.
Computer Sabotage in Polish Law – What is Important to Know? (Article 269a of the Penal Code)
Computer Sabotage from a Legal Perspective
The crime of computer sabotage is regulated in Article 269a of the Penal Code. This provision aims to protect the integrity of IT systems, telecommunications networks, and ensure the security of data, which are crucial for the functioning of businesses and institutions.
Who is the perpetrator of the computer sabotage crime?
It is important to emphasize that the perpetrator of this crime can be anyone who intentionally disrupts the operation of computer systems. Computer sabotage can be committed both through active actions (e.g., malicious software, data manipulation) and through omissions that result in serious consequences for the functioning of IT systems.
What does the crime of computer sabotage cover?
According to Article 269a of the Penal Code, in addition to acts such as the destruction, deletion, damage, or alteration of computer data (as specified in Article 268a of the Penal Code), this crime also includes disrupting the operation of computer systems and telecommunications networks. This means that any action that can seriously disrupt the functioning of such infrastructure can be considered computer sabotage. Examples include spreading viruses, DDoS attacks, and unauthorized data modification.
What penalty does computer sabotage carry?
The penalty for committing the crime of computer sabotage is imprisonment for a term ranging from 3 months to 5 years. It is important to note that this offense is prosecuted ex officio, meaning the prosecutor conducts the proceedings on their own initiative. If you run a business or manage an IT system, preventing such crimes is crucial, and if in doubt, seeking legal advice is advisable.
Computer Sabotage vs. Destruction of Databases – What’s the Difference?
It is also worth noting the differences between the crime of computer sabotage (Article 269a of the Penal Code) and the crime of destruction of databases (Article 268a of the Penal Code). Although both crimes involve illegal actions against computer systems, they differ in terms of penalties and the prosecution process. There is also a legal discussion about the removal of Article 268a from the Penal Code due to the overlap of normative content with Article 269a.
If you have doubts about this provision, it is worth consulting with a specialist. Such cases require thorough analysis and precise application of the law.
Case Examples – How Does Case Law Approach the Issue?
Here are a few examples from the case law of Polish courts, illustrating how courts approach the issue of computer sabotage:
Judgment of the District Court in Świdnica of January 9, 2018, case file IV K 720/17: Between October 2013 and April 2014, in J. and K. (voivodeship (…)), without authorization, by placing false orders and transmitting computer data, the defendant hindered access to the computer system servicing an online store on the website (…), significantly disrupting its operation, to the detriment of A. L. K., which constituted an offense under Article 269a of the Penal Code in conjunction with Article 12 of the Penal Code.
Judgment of the District Court in Bydgoszcz of May 13, 2015, case file IV Ka 141/15: On October 10, 2012, at 18:17, without authorization, after logging into the online service (…), to which the General Secondary School No. (…) in B. is connected, the defendant made changes to the system by deleting the user account assigned to one of the teachers, P. D., which constituted an offense under Article 269a of the Penal Code.
Judgment of the District Court in Elbląg of February 12, 2015, case file IV Ka 11/15: On May 31, 2013, in the town of Z., without authorization, using the card (…) and software on a laptop’s hard drive, the defendant sent SYN packets, blocking the operation of the computer system and the website, seriously disrupting the system’s operation, to the detriment of M. Ż., constituting an offense under Article 269a of the Penal Code.
Protect Yourself from Computer Sabotage!
If you manage an IT system, website, or database, ensuring security is your responsibility. Incidents related to computer sabotage can lead to significant financial and reputational losses.
On the Destruction of Databases from a Legal Perspective
The crime defined in Article 268a of the Penal Code is referred to as the crime of destroying databases. It concerns the protection of the security of information, which includes its confidentiality, integrity, and availability.
Article 268a § 1. Whoever, without authorization, destroys, damages, deletes, modifies, or obstructs access to computer data, or significantly disrupts or prevents the automatic processing, collection, or transmission of such data, shall be subject to a penalty of imprisonment for up to 3 years.
§ 2. Whoever, committing the act specified in § 1, causes significant financial damage, shall be subject to a penalty of imprisonment from 3 months to 5 years.
§ 3. Prosecution for the crime specified in § 1 or 2 shall be initiated at the request of the injured party.
Article 268 of the Penal Code protects the recording of information, while Article 268a refers to computer data. According to the definition in the Convention on Cybercrime, „computer data is any representation of facts, information, or concepts in a form suitable for processing in a computer system, including the relevant program causing the execution of functions by the computer system.”
Only computer data stored in electronic form is protected.
Who is the perpetrator of the crime of destroying databases, and how do they behave?
The destruction of databases occurs through action and can be committed by anyone, whereas by omission, only by a person responsible for the security of the database.
The crime involves destroying, damaging, deleting, modifying, or obstructing access to computer data, disturbing or preventing automatic processing, collection, or transmission of computer data, as a result of the perpetrator’s action, regardless of the act or omission itself.
No crime is committed if the data was supplemented in a way that did not affect its meaning, e.g., adding insignificant content to the source code. Merely gaining access to a system without damaging the data cannot lead to the assignment of this crime. In such cases, the crime under Article 267 § 2 of the Penal Code may be applied.
When determining the attribution of the act, it should be considered whether the perpetrator’s actions had any effect on the processes occurring in computer systems, i.e., whether the degree of social harm of the act is greater than negligible.
What penalty is imposed for the destruction of databases?
For the destruction of databases under § 1, the penalty is imprisonment from 1 month to 3 years. For § 2, the penalty is from 3 months to 5 years in prison.
This crime is prosecuted at the request of the injured party.
When does the crime under Article 268a occur, and when under Article 268 of the Penal Code?
In many cases, it will be necessary to decide whether to apply Article 268a or Article 268. If the perpetrator’s behavior concerns computer data that has the characteristics of information, Article 268 of the Penal Code should be applied, while for computer data, Article 268a of the Penal Code will be appropriate (lex specialis).
When can significant financial damage occur as specified in § 2 of Article 268a of the Penal Code?
The crime described in Article 268a § 2 of the Penal Code is characterized by the consequence of causing significant financial damage. The value of such damage exceeds PLN 200,000 (Article 115 § 5 of the Penal Code).
Examples of case law regarding the crime of destroying databases:
„On September 25, 2019, at an undisclosed location in the L. region, using the email address (…) and the password assigned during employment at the Centrum (…) company, based in W. at (…) St., owned by G. P., and no longer employed there, accessed, without authorization, the internet profile in the (…) service named „. (…).PL” owned by the aforementioned company, and subsequently deleted the profile along with the computer data contained therein, thereby acting to the detriment of G. P. and Centrum (…) based in W. at (…) St., owned by G. (…), pursuant to Article 268a § 1 of the Penal Code” (Judgment of the District Court in Legionowo, October 6, 2020, case No. II K 1222/19).
„From September 2013 to February 3, 2015, conducting business under the name (…) providing the implementation of the accounting and payroll system C. (…) for the company Przedsiębiorstwo Handlowo Produkcyjno-Usługowe (…), despite the termination of cooperation and a request to return the passwords, refused to provide access data to the administrator function of the C. (…) system, limiting the user’s rights to the legally purchased program, which significantly disrupted automatic data processing, preventing the company Przedsiębiorstwo Handlowo-Produkcyjno-Usługowe (…) from fully using the program, thus acting to the detriment of the company and causing a loss of no less than PLN 50,000, pursuant to Article 268a § 1 of the Penal Code in connection with Article 12 of the Penal Code” (Judgment of the District Court in Kalisz, August 31, 2020, case No. II K 357/18).
What does the Supreme Court say about the destruction of databases?
In a ruling dated September 30, 2015 (II K 115/15), the Supreme Court stated:
„Article 268a of the Penal Code penalizes two types of prohibited behavior of the perpetrator. The first is the destruction, damage, deletion, modification, and obstruction of access to computer data. The second type of behavior harms the process of proper automatic processing, collection, and transmission of computer data to a significant degree. This behavior may involve disrupting or preventing the operation of the process. The concept of disrupting automatic processing, transmission, or collection of computer data encompasses any actions that affect these processes, resulting in their improper course, delay, as well as distortion or modification of the processed, transmitted, or collected data. Prevention, on the other hand, means stopping these processes or making it impossible to initiate them.
The computer data referred to in Article 268a of the Penal Code is a record of a specific piece of information stored on a computer disk or another computer data storage medium.”
Przestępstwo z art. 268a Kodeksu karnego jest nazywane przestępstwem niszczenia baz danych. Ochronie podlega bezpieczeństwo danych informatycznych, które obejmuje ich poufność, integralność i dostępność.
Art. 268a § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych, albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art. 268 Kodeksu karnego chroni zapis informacji, natomiast art. 268a Kodeksu karnego odnosi się do danych informatycznych. Zgodnie z definicją zawartą w Konwencji o cyberprzestępczości „dane informatyczne to dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny”.
Ochronie podlegają jedynie dane informatyczne zapisane w formie elektronicznej.
Kim jest sprawca przestępstwa niszczenia baz danych i jak się zachowuje?
Niszczenie baz danych odbywa się poprzez działanie i może zostać dokonane przez każdego, natomiast przez zaniechanie jedynie przez osobę odpowiedzialną za bezpieczeństwo bazy danych.
Przestępstwo polega na zniszczeniu, uszkodzeniu, usunięciu, zmianie i utrudnieniu dostępu do danych informatycznych, zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, będących następstwem działania sprawcy, niezależnie od samego działania lub zaniechania.
Nie dochodzi do popełnienia przestępstwa, jeśli doszło do uzupełnienia danych, które nie wpłynęły na ich sens, np. dopisanie nieistotnej treści do kodu źródłowego. Samo uzyskanie dostępu do systemu bez uszkodzenia danych nie może skutkować przypisaniem omawianego przestępstwa. W takim przypadku przypisać można przestępstwo z art. 267 § 2 Kodeksu karnego.
Rozstrzygając o przypisaniu sprawstwa, należy wziąć pod uwagę, czy działanie sprawcy wpłynęło w jakikolwiek sposób na procesy zachodzące w systemach informatycznych, czyli należy ocenić, czy stopień społecznej szkodliwości czynu jest wyższy niż znikomy.
Jaka kara grozi za niszczenie baz danych?
Za niszczenie baz danych z § 1 grozi kara pozbawienia wolności od 1 miesiąca do 3 lat. W przypadku § 2 przewiduje się karę od 3 miesięcy do 5 lat pozbawienia wolności.
Przestępstwo to jest ścigane na wniosek pokrzywdzonego.
Kiedy dochodzi do popełnienia przestępstwa z art. 268a, a kiedy z art. 268 Kodeksu karnego?
W wielu przypadkach trzeba będzie wybrać, czy zastosować art. 268a, czy art. 268. Jeśli zachowanie sprawcy dotyczy danych informatycznych, które mają cechy informacji, należy zastosować art. 268 Kodeksu karnego, a w przypadku danych informatycznych właściwy będzie art. 268a Kodeksu karnego (lex specialis).
Kiedy może dojść do wyrządzenia znacznej szkody majątkowej wskazanej w § 2 art. 268a Kodeksu karnego?
Przestępstwo określone w art. 268a § 2 Kodeksu karnego charakteryzuje się skutkiem w postaci powstania znacznej szkody majątkowej. Wartość takiej szkody przekracza 200 000 zł (art. 115 § 5 Kodeksu karnego).
„W dniu 25 września 2019 r. w miejscu dotychczas nieustalonym, a ujawnionym w L. woj. (…), poprzez wykorzystanie adresu e-mail (…), nadanego mu w trakcie zatrudnienia w firmie Centrum (…) z siedzibą w W. na ul. (…) z G. (…), należącej do G. P., nie będąc już w niej zatrudnionym, uzyskał bez uprawnień dostęp do internetowego profilu w serwisie (…) o nazwie „. (…).PL”, należącego do wymienionej firmy, a następnie usunął ww. profil wraz z znajdującymi się tam danymi informatycznymi, czym działał na szkodę G. P., Centrum (…) z siedzibą w W., na ul. (…) z G. (…), tj. czyn z art. 268a § 1 Kodeksu karnego (wyrok Sądu Rejonowego w Legionowie z dnia 6.10.2020 r., sygn. akt II K 1222/19);”
„W okresie od września 2013 r. do 3 lutego 2015 r., prowadząc działalność gospodarczą pod nazwą (…) świadcząc usługi wdrożenia systemu księgowo-kadrowego C. (…) na rzecz firmy Przedsiębiorstwa Handlowo-Produkcyjno-Usługowego (…), pomimo zerwania współpracy i wezwania do zwrotu haseł, odmówił przekazania danych dostępowych do funkcji administratora systemu C. (…), ograniczając prawa użytkownika do legalnie zakupionego programu, co w istotnym stopniu zakłóciło automatyczne przetwarzanie danych, uniemożliwiając firmie Przedsiębiorstwa Handlowo-Produkcyjno-Usługowego (…) pełne korzystanie z programu, tym samym działając na szkodę tej firmy i powodując straty w wysokości nie mniejszej niż 50 000 zł, tj. czyn z art. 268a § 1 Kodeksu karnego w związku z art. 12 Kodeksu karnego” (wyrok Sądu Rejonowego w Kaliszu z dnia 31.08.2020 r., sygn. akt II K 357/18).
Co o niszczeniu baz danych mówi Sąd Najwyższy?
W wyroku z dnia 30 września 2015 r. (II K 115/15) Sąd Najwyższy uznał, że:
„Przepis art. 268a Kodeksu karnego penalizuje dwa rodzaje zakazanego zachowania sprawcy. Pierwszym z nich jest niszczenie, uszkadzanie, usuwanie, zmiana oraz utrudnianie dostępu do danych informatycznych. Drugi rodzaj zachowania godzi w proces prawidłowego automatycznego przetwarzania, gromadzenia i przekazywania danych informatycznych w stopniu istotnym. Zachowanie to może polegać na zakłócaniu lub uniemożliwianiu działania procesu. Pojęcie zakłócenia automatycznego przetwarzania, przekazywania lub gromadzenia danych informatycznych obejmuje wszelkie czynności oddziałujące na te procesy, których skutkiem jest ich nieprawidłowy przebieg, spowolnienie, a także zniekształcenie czy modyfikacja przetwarzanych, przekazywanych lub gromadzonych danych. Uniemożliwienie natomiast oznacza zatrzymanie tych procesów lub niemożność ich podjęcia.
Dane informatyczne, o których mowa w przepisie art. 268a Kodeksu karnego, to zapis określonej informacji przechowywanej na dysku komputera lub na innym komputerowym nośniku informacji”.
Relacja z konferencji „Przestępczość Teleinformatyczna XXI 2021” Gdynia #ptxxi
W dniach 21-23 września 2021 roku brałam udział w konferencji naukowej „Przestępczość Teleinformatyczna XXI 2021”, która organizowana jest obecnie przez Akademię Marynarki Wojennej w Gdyni (dawniej znana wszystkim z branży jako TAPT w Szczytnie).
Moje wystąpienie dotyczyło problematyki współpracy międzynarodowej organów ścigania w zwalczaniu przestępczości kryptowalutowej.
Każdy z biorących udział w dyskusjach przedstawicieli różnych służb, rządu, świata akademickiego i sektora prywatnego podkreślał i postulował konieczną, szeroką i powszechną edukację społeczeństwa w zakresie walki z cyberprzestępczością. Tutaj nie ma co się ścigać o wyniki, nie ma wygranych, a wygrać możemy tylko współpracując. Skala i skuteczność działania oszustów w sieci budzi przerażenie. Codziennie dzwonią klienci, którzy stali się ofiarami fraudu inwestycyjnego lub innego podobnego. Pamiętajmy, że ofiarami stosowanych metod socjotechnicznych sprawców może się stać każdy bez względu na wiek, płeć czy wykształcenie.
Przed podjęciem decyzji o inwestycji sprawdźcie przynajmniej:
– dane rejestrowe danego podmiotu np. platformy inwestycyjnej
– czy nie wydano żadnego komunikatu prasowego o prowadzonych postępowaniach lub ostrzeżeniach wydanych przez Komisję Nadzoru Finansowego albo czy w raportach Rzecznika Finansowego nie znajduje się wzmianka o tym podmiocie
– treść strony internetowej tego podmiotu i umieszczone na niej informacje (treść często zawiera błędy językowe)
Pamiętajcie również, że:
– kryptowaluty nie są regulowane przepisami prawa
– nie są pieniędzmi – inwestycje w kryptowaluty nie są chronione przez Bankowy Fundusz Gwarancyjny
Bezprawny podsłuch i naruszenie tajemnicy komunikacji, tzw. sniffing, art. 267 § 3 k.k.
Podstawy prawne
Art. 267 § 1 k.k. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Art. 267 § 2 k.k. Tej samej karze podlega ten, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
Art. 267 § 3 k.k. Tej samej karze podlega ten, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
Na czym polega przestępstwo bezprawnego posługiwania się urządzeniem podsłuchowym?
Przepis art. 267 § 3 k.k. chroni poufność przekazu informacji. Karalne podsłuchiwanie polega na przechwytywaniu treści informacji podczas procesu komunikacji lub na wykorzystywaniu urządzeń podsłuchowych, wizualnych bądź innych narzędzi technicznych lub programów komputerowych do zdobycia informacji.
Aby można było przypisać sprawstwo osobie podsłuchującej, kluczowym warunkiem jest brak jej uprawnień do określonej informacji. Poufny charakter informacji ocenia się na podstawie woli osób biorących udział w rozmowie, a nie wyłącznie treści przekazu (SN z 27.02.2016 r., OSNKW 2016, Nr 8, poz. 540).
Formy popełnienia przestępstwa
Przestępstwo może być popełnione poprzez:
Zakładanie urządzeń podsłuchowych – obejmuje wszelkie czynności polegające na instalowaniu urządzeń umożliwiających przechwycenie informacji (W. Wróbel, Kodeks Karny, t. II, 2007, s. 1293).
Posługiwanie się urządzeniem podsłuchowym, wizualnym lub innym urządzeniem lub oprogramowaniem – polega na wykorzystywaniu takich narzędzi do zdobywania informacji.Przykłady urządzeń używanych do tego celu:
aparat fotograficzny,
magnetofon,
dyktafon,
mikrofon,
kamera,
telefon komórkowy,
komputer.
Posługiwanie się oprogramowaniem szpiegującym, np.:
Koń trojański (trojan) – pozornie nieszkodliwy program, który umożliwia hakerowi wykonywanie działań wbrew intencji użytkownika.
Spyware – program przesyłający dane osobowe użytkownika, hasła lub numery kart płatniczych do osoby korzystającej z niego.
Backdoor – oprogramowanie pozwalające hakerowi ominąć zabezpieczenia i uzyskać dostęp do systemu operacyjnego.
Keylogger – narzędzie rejestrujące naciśnięcia klawiszy w celu przechwycenia haseł i innych poufnych danych.
Odpowiedzialność karna
Przestępstwo to zagrożone jest:
karą grzywny,
karą ograniczenia wolności,
karą pozbawienia wolności do lat 2.
Jest to przestępstwo ścigane na wniosek pokrzywdzonego.
Przykłady czynów polegających na bezprawnym podsłuchu
Zakładanie podsłuchu w miejscach publicznych lub prywatnych, np.:
przy stoliku w restauracji,
w samochodzie,
w pokoju hotelowym,
w sali narad.
Bezprawne monitorowanie lokalizacji osoby
Zainstalowanie w cudzym pojeździe urządzenia rejestrującego trasę jazdy i miejsce pobytu danej osoby jest czynem zabronionym na podstawie art. 267 § 3 k.k.
Podsłuch a rozwód – przykład sprawy sądowej
Oskarżona, od końca maja 2019 r. przez około dwa tygodnie w B., w celu uzyskania informacji, do której nie była uprawniona, posłużyła się aplikacją szpiegującą zainstalowaną na służbowym telefonie męża Z.F. Miała to na celu wykrycie zdrady małżeńskiej oraz zdobycie dowodów na potrzeby postępowania rozwodowego. W efekcie uzyskała bez uprawnienia dostęp do informacji dla niej nieprzeznaczonej, czym działała na szkodę Z.F. (SR Bełchatów, sygn. akt II K 169/21)
Problemy prawne
1. Kiedy posługiwanie się urządzeniem podsłuchowym nie jest przestępstwem?
Nie popełnia przestępstwa ten, kto korzysta z urządzenia podsłuchowego w celu uzyskania informacji, do której jest uprawniony.
2. Czy detektyw może stosować podsłuch?
Detektyw, który stosuje podsłuch bez odpowiednich uprawnień, ponosi taką samą odpowiedzialność karną jak każda inna osoba.
Zgodnie z art. 45 ustawy o usługach detektywistycznych, podczas świadczenia usług detektywistycznych zakazane jest wykonywanie czynności zastrzeżonych dla organów państwowych. Detektyw ma obowiązek działać zgodnie z etyką, lojalnością wobec klienta oraz z zachowaniem praw człowieka (art. 6 ustawy o usługach detektywistycznych).
Ponadto, zgodnie z art. 7 ww. ustawy, detektyw nie może stosować środków technicznych oraz metod operacyjno-rozpoznawczych, które są zastrzeżone dla organów ścigania.
3. Znieważenie w prywatnej rozmowie a ochrona dóbr osobistych
Prywatna, poufna rozmowa nie może prowadzić do naruszenia godności osoby trzeciej, jeśli ta osoba nie brała w niej udziału. Wobec tego nie ma ona uprawnienia do jej nagrywania.
Dokonanie nagrania w takiej sytuacji jest nielegalne i narusza prawo zarówno w aspekcie karnym, jak i cywilnym. (P. Księżak, MOP, Niepubliczne naruszenie czci a dopuszczalność i skutki nagrywania i filmowania sytuacji prywatnych – glosa – V CSK 361/13)
Nieuprawniony dostęp do całości lub części systemu informatycznego – art. 267 § 2 k.k.
Podstawy prawne
Art. 267 § 1 k.k. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Art. 267 § 2 k.k. Tej samej karze podlega ten, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
Na czym polega przestępstwo nielegalnego dostępu do systemu informatycznego?
W sytuacji, gdy sprawca nie przełamuje zabezpieczeń, ale uzyskuje dostęp do całości lub części systemu informatycznego, jego czyn może zostać zakwalifikowany jako przestępstwo z art. 267 § 2 k.k.
Definicja systemu informatycznego znajduje się w innych aktach prawnych poza kodeksem karnym. Zgodnie z art. 1 lit. a ustawy o Krajowym Systemie Cyberbezpieczeństwa, system informatyczny oznacza „każde urządzenie lub grupę wzajemnie połączonych lub związanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, wykonuje automatyczne przetwarzanie danych.”
Uzyskanie dostępu do całości lub części systemu informatycznego może skutkować dostępem do chronionych danych lub jedynie do jego konfiguracji (J. Wasilewski, Przestępczość, s. 172).
Przestępstwo to podlega karze grzywny, karze ograniczenia wolności albo karze pozbawienia wolności. Jest ścigane wyłącznie na wniosek pokrzywdzonego.
Przykłady nielegalnego dostępu do systemu informatycznego
Przykład 1
R.K. został oskarżony o to, że w okresie od 1 do 14 lutego 2015 r. w nieustalonym miejscu, bez uprawnienia, uzyskał dostęp do systemu informatycznego zapisanego w pamięci telefonu komórkowego Samsung G., użytkowanego wyłącznie przez I.K. Sprawca 1 lutego 2015 r. w S. wyrwał telefon z ręki pokrzywdzonej i zabrał go, a następnie, nie później niż 3 lutego 2015 r., uzyskał dostęp do przechowywanych na nim zdjęć i wiadomości tekstowych. (SO Poznań, sygn. akt IV Ka 5/18)
Przykład 2
A.Ś. został oskarżony o to, że w okresie od października 2013 r. do kwietnia 2014 r., w J. i K., posługując się oprogramowaniem do transferu plików, bez uprawnienia uzyskał dostęp do bazy danych programu komputerowego zawierającej nazwy użytkowników i odpowiadające im hasła dostępu, działając na szkodę A.L.K. (SO Świdnica, sygn. akt IV Ka 720/17)
Przykład 3
M.W. został oskarżony o to, że 29 kwietnia 2014 r. w W., bez uprawnienia, uzyskał dostęp do konta pocztowego, logując się na nie z komputera służbowego. Następnie, po skopiowaniu korespondencji, ujawnił zdobyte wiadomości przed Sądem Okręgowym w postępowaniu rozwodowym. (SO Warszawa-Praga, sygn. akt VI Ka 1461/16)
Problemy prawne
Czy włamanie do systemu informatycznego dla żartu jest karalne?
Tak. Nie ma znaczenia motywacja sprawcy – nawet jeśli uzyskał dostęp do systemu informatycznego „dla zabawy”, może zostać pociągnięty do odpowiedzialności karnej. (J. Kosiński, Paradygmaty, s. 51)
Czy testy penetracyjne są karalne?
W przypadku działań pentesterów (tzw. etycznych hakerów), zastosowanie może znaleźć art. 269c k.k., który przewiduje brak karalności dla działań mających na celu zabezpieczenie systemu informatycznego. Więcej na ten temat w kolejnych wpisach.
Cyberlaw by Judyta 