Cybercrime, Cyberprzestępczość

35 najczęściej popełnianych cyberprzestępstw w polskim prawie karnym

Rozpoczynam cykl „35 najczęściej popełnianych cyberprzestępstw w polskim prawie karnym”.

Przestępczość komputerowa i cyberprzestępczość trudna jest do jednoznacznego zdefiniowania. Przyjmuje się, że ciągły postęp techniczny nie sprzyja przyjęciu stałej definicji przestępstwa komputerowego (A. Adamski).

W polskim prawie karnym nie znajdziemy definicji ani przestępstwa komputerowego ani cyberprzestępstwa. Taka definicja znajduje się jedynie w przyjętej w 2013 roku Polityce Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej:

„Cyberprzestępstwo stanowi czyn zabroniony popełniony w obszarze cyberprzestrzeni, czyli przestrzeni przetwarzania i wymiany informacji tworzonej przez systemy teleinformatyczne , określone w art. 3 pkt. 3 ustawy z dnia 17.02.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570, z późniejszymi zmianami) wraz z powiązaniami między nimi oraz relacjami z użytkownikami”.

Na świecie przyjmuje się różnorakie definicje tych pojęć. Najszerzej przestępczość komputerowa rozumiana jest jako „wszelkie zachowania przestępne związane z funkcjonowaniem elektronicznego, jak i godzące bezpośrednio w przetwarzaną informację, jej nośnik i obieg w komputerze oraz cały system połączeń komputerowych, a także sam komputer” (K.J. Jakubski).

Według Interpolu przestępczość komputerowa obejmuje czyny skierowane przeciwko systemowi komputerowemu (ujęcie wertykalne) i czyny dokonane przy użyciu komputera jako narzędzia (ujęcie horyzontalne).

Powyższe czyni pożądaną próbę usystematyzowania najczęściej popełnianych cyberprzestępstw z prawnego punktu widzenia.

Oto plan publikacji poszczególnych wpisów na blogu z cyklu 35 najczęściej popełnianych cyberprzestępstw w polskim prawie karnym”:

  1. Nielegalny dostęp do systemu (hacking) – art. 267 § 1 k.k.
  2. Nieuprawniony dostęp do całości lub części systemu informatycznego – art. 267 § 2 k.k.
  3. Naruszenie tajemnicy komunikacji (sniffing) – art. 267 § 3 k.k
  4. Naruszenie integralności danych (wirusy, robaki, trojany) – art. 268 k.k. i art. 268a k.k.
  5. Naruszenie integralności systemu (spamming, ataki DDos, Ping flod itp.) – art. 269 k.k.
  6. Sabotaż komputerowy (zakłócanie systemu komputerowego) – art. 269a k.k.
  7. Wytwarzanie narzędzi hackerskich – art. 269b k.k.
  8. Zniszczenie lub pozbawienie mocy dowodowej dokumentu elektronicznego – art. 276 
  9. Nielegalne uzyskanie programu komputerowego – art. 278 k.k.
  10. Kradzież impulsów telefonicznych – art. 285 k.k.
  11. Oszustwo (popełnione przy wykorzystaniu komputera) – art. 286 k.k.
  12. Oszustwo komputerowe – art. 287 k.k. 
  13. Przestępstwa seksualne na szkodę małoletniego (grooming itp.) – art. 200a k.k., art. 202 k.k.
  14. Przestępstwa przeciwko czci, czyli zniewaga i zniesławienie – art. 212 k.k., 216 k.k
  15. Publiczne propagowanie faszystowskiego lub innego totalitarnego ustroju – art. 256 k.k.
  16. Cyberstalking – art. 190a k.k.
  17. Kradzież tożsamości – art. 190a § 2 k.k.
  18. Paserstwo umyślne lub nieumyślne (słupy z phishingu) – art. 291 k.k. i art. 292 k.k.
  19. Cyberszpiegostwo – art. 130 k.k.
  20. Naruszenie praw własności intelektualnej – art. 115 – 123 ustawy o prawie autorskim i prawach pokrewnych.
  21. Handel kosztami – art. 271 k.k., art. 62 kodeksu karnego skarbowego (k.k.s.).
  22. Obrażanie uczuć religijnych w cyberprzestrzeni – art. 196 k.k.
  23. Zbywanie własnego lub cudzego dokumentu stwierdzającego tożsamość w cyberprzestrzeni – art. 274 k.k.
  24. Rozpowszechnianie lub publiczne prezentowanie treści mogących ułatwić popełnienie przestępstwa o charakterze terrorystycznym w zamiarze, aby przestępstwo takie zostało popełnione – art. 255a k.k.
  25. Ujawnienie informacji niejawnych o klauzuli „tajne” lub „ściśle tajne” – art. 265 k.k.
  26. Nielegalne ujawnienie informacji uzyskanej w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową – art. 266 § 1 k.k.
  27. Ujawnienie informacji niejawnej o klauzuli „zastrzeżone” lub „poufne” przez funkcjonariusza publicznego – art. 266 § 2 k.k.
  28. Bezprawne rozpowszechnianie filmów, muzyki, gier komputerowych i oprogramowania.
  29. Handel ludźmi i narządami ludzkimi w cyberprzestrzeni.
  30. Handel towarami licencjonowanymi bez posiadania odpowiednich dokumentów, w tym obrót dobrami nielegalnymi (narkotyki i prekursory do ich produkcji, broń, materiały wybuchowe i odczynniki chemiczne, chronione gatunki zwierząt).
  31. Nielegalny handel towarami akcyzowymi, w tym wyrobami tytoniowymi.
  32. Handel przedmiotami pochodzącymi z przestępstw i nielegalny obrót dobrami dziedzictwa narodowego.
  33. Wymuszenia i kierowanie gróźb karalnych przez zorganizowane grupy przestępcze.
  34. Nielegalny hazard w cyberprzestrzeni.
  35. Inne.

Już jutro pierwszy wpis o hackingu. Zapraszam!

Stan na dzień: 13 października 2020 roku

Photo credit: http://www.pixabay.com

ZADAJ PYTANIE

Cybercrime, Cyberprzestępczość

Ślepym pozwem w hejterów internetowych

avia_law

Zjawisko szerzenia się kłamliwych informacji (fake newsów) stanowi coraz większy problem. Nadal  brak skutecznych rozwiązań w walce z hejtem internetowym.

Hejterzy posługujący się w sieci kłamliwymi informacjami, które zagrażają społeczeństwu, pozostają bezkarni. W wielu sprawach, gdzie istnieje możliwość wystąpienia o ochronę dóbr osobistych osób pomówionych przez hejterów internetowych tak się nie dzieje ze względu na brak możliwości ustalenia niezbędnych danych pomawiającego w sieci hejtera. Przypomnijmy, że w świetle obowiązujących przepisów, aby skierować pozew do sądu należy wskazać w nim osobę pozwanego i podać jego adres (art. 126 § 1 k.p.c.).

Hejter posługując się kłamliwą informacją działa zwykle pod pseudonimem i dzięki temu pozostaje anonimowy. Bardzo czasochłonne jest ustalanie przez ofiarę hejtera jego danych, a podmioty, które przetwarzają te dane często odmawiają ich podania. Problem pozostaje nierozwiązany i walka z hejtem internetowym ciągle jest nierówna.

Pomysł na „ślepy pozew” powrócił

Podczas jednej z ostatnio przeprowadzonych debat prawniczych po raz kolejny pojawił się pomysł na wprowadzenie do polskiego porządku prawnego tzw. „ślepego pozwu” a to właśnie w imię walki z bezkarnością hejterów internetowych.

Pomysł wprowadzenia „ślepego pozwu” nie jest pomysłem nowym. W 2016 roku koncepcja została przedstawiona przez Rzecznika Praw Obywatelskich. Z kolei w 2017 roku pojawił się w polskim Sejmie projekt zmiany ustawy kodeks postępowania cywilnego (druk nr 1715). Projekt dotyczył zgodnie z jego uzasadnieniem – wzmocnienia ochrony prawnej obywateli w zakresie ochrony dóbr osobistych, a w szczególności ułatwienie obywatelom dochodzenia roszczeń na drodze cywilnej w przypadkach naruszeń dóbr osobistych, do których dochodzi za pośrednictwem internetu. W kodeksie postępowania cywilnego miało się pojawić nowe postępowanie odrębne „Postępowanie w sprawach o ochronę dóbr osobistych przeciwko osobom o nieustalonej tożsamości” (art. 50540-50545 k.p.c.), ale ostatecznie odrzucono projekt w pierwszym czytaniu.

Zgodnie z założeniami projektu to obowiązkiem sądu miało być ustalenie tożsamość osoby nieznanej z nazwiska (N.N.). Powód miałby obowiązek przytoczenia treść wypowiedzi naruszających jego dobra osobiste wraz z podaniem adresu URL, na którym te wypowiedzi zostały umieszczone, daty i godziny publikacji, nazwy profilu lub loginu użytkownika. W takim pozwie miało znaleźć się również oświadczenie, że podjęto próbę zawiadomienia hejtera o zamiarze wytoczenia powództwa oraz oświadczenie, że sam powód nie dokonał naruszenia dóbr osobistych hejtera.

Odrzucając ten projekt zmiany ustawy wskazano na następujące problemy:

  • na gruncie obowiązujących przepisów niedopuszczalnym jest nakładanie na sąd obowiązku wskazywania stron postępowania;
  • brak przewidzianych rozwiązań w sytuacji, gdy nie dojdzie do uzyskania danych od operatora publicznego sieci telekomunikacyjnej, co do osoby pozwanego lub gdy w razie ustalenia tożsamości osoby będzie ona ustalona wadliwie;
  • dane uzyskane od operatora publicznej sieci telekomunikacyjnej lub dostawcy publicznie dostępnych usług telekomunikacyjnych nie będą wskazywać z całą pewnością na konkretną osobę korzystającą z danego miejsca dostępu do sieci;
  • problem dotyczący zbierania dowodów przez sam sąd i dalsze prowadzenie przez ten sam sąd postępowania.

Podkreślono wtedy, że idea jest słuszna, ale projekt wymaga dopracowania.

Podobne rozwiązania w innych krajach

Ślepy pozew jest typowym rozwiązaniem w krajach anglosaskich. W Stanach Zjednoczonych funkcjonuje jako „John Doe lawsuit”. Taki pozew wszczyna postępowanie, w którym jedna lub więcej stron jest nieznanych lub niezidentyfikowanych w momencie złożenia pozwu, a zamiast wskazania nazwiska pozwanego używa się „John” lub „Jane” Doe. Takie rozwiązanie stosuje się przykładowo w sytuacjach, gdy zbliża się termin przedawnienia roszczenia.

W Wielkiej Brytanii funkcjonuje „injuction John Doe” i nakaz John Doe (zamiennie z John Bloggs i John Smith). Jeśli nieznana osoba w nieuprawniony sposób uzyska dostęp do danych osobowych i grozi ich ujawnieniem można wystąpić o nakaz sądowy przeciwko takiej osobie oznaczając ją jako John Doe. Po raz pierwszy skorzystano z tej możliwości w 2005 roku, kiedy reprezentujący JK Rowling prawnicy wystąpili do sądu o wydanie postanowienia o udzieleniu zabezpieczenia przeciwko niezidentyfikowanej osobie, która oferowała sprzedaż rozdziałów skradzionej kopii nieopublikowanej jeszcze przez nią książki o Harrym Potterze.

Podsumowanie

Pomijając kwestię tego, czy przy już teraz dużym obłożeniu sprawami, polski system wymiaru sprawiedliwości poradziłby sobie z tymi dodatkowymi, nowymi obowiązkami, które przy instytucji ślepego pozwu się pojawią, to zdecydowanie pomysł zasługuje na uwagę.

Liczyć możemy na to, że w wyniku prowadzonych obecnie w Unii Europejskiej prac nad Digital Services Act pojawią się nowe rozwiązania w tym względzie, ale nad nowymi narzędziami w walce z hejtem internetowym należy pracować już teraz.

Stan prawny na dzień: 8 maja 2020 roku

Cybercrime, Cyberprzestępczość, Prawo karne

Zatrzymanie komputera przez policję: Czy muszę podać do niego hasło?

spyware-2319403_1280

W sytuacji, gdy policja wkracza do domu, dokonuje przeszukania i na podstawie art. 217 oraz art. 236a Kodeksu postępowania karnego zatrzymuje komputer, właściciel zatrzymanego komputera zwykle stawia sobie pytanie – czy ma obowiązek podać do niego hasło? Natomiast przy zaszyfrowanych dyskach pojawia się pytanie, czy musi podawać hasło konieczne do ich odszyfrowania.

Jakie prawa i obowiązki ma właściciel zatrzymanego komputera? 

Po pierwsze, na czynność procesową polegającą na zatrzymaniu rzeczy, w tym komputera, przysługuje zażalenie i takie zażalenie rozpoznawane jest przez sąd rejonowy, w okręgu którego prowadzone jest postępowanie (art. 236 k.p.k.).

Po drugie, w razie zatrzymania komputera z naruszeniem przepisów, właściciel komputera ma prawo wnosić o odszkodowanie od Skarbu Państwa na podstawie art. 417 § 1 Kodeksu cywilnego w sytuacji, gdy doszło do niezgodnego z prawem działania lub zaniechania przy wykonywaniu władzy publicznej.

Na jak długo organ prowadzący postępowanie może zatrzymać komputer? 

Nie zostało to określone w przepisach. Uznaje się, że zatrzymanie następuje na czas, w którym komputer jest potrzebny w sprawie.

Czy właściciel zatrzymanego komputera musi podać hasło dostępowe do komputera?

W trakcie przeszukania, jak i podczas przesłuchania, prowadzący postępowanie mogą zadawać pytania o hasła dostępowe do komputera, dysków, kont, profili czy innego zatrzymanego sprzętu. Przed przystąpieniem do przesłuchania, przesłuchiwany powinien zostać pouczony o przysługujących mu prawach.

Świadek

Podczas przesłuchiwania w charakterze świadka, właścicielowi komputera przysługuje prawo do uchylenia się od odpowiedzi na pytanie, jeżeli udzielenie odpowiedzi mogłoby narazić przesłuchiwanego lub osobę dla niego najbliższą na odpowiedzialność za przestępstwo lub przestępstwo skarbowe.

Podejrzany/oskarżony 

Natomiast podczas przesłuchania w charakterze podejrzanego lub przed sądem w roli oskarżonego, Czytaj dalej „Zatrzymanie komputera przez policję: Czy muszę podać do niego hasło?”

Cybercrime, Cyberprzestępczość

Skandaliczna aplikacja #DeepNude w ujęciu prawnym

deepnude

Wspominając skandaliczną aplikację #DeepNude na myśl wysuwają się dwa podstawowe problemy natury prawnej z nią związaną:

  1. Czy jest legana czy nielegalna? – określenie czy jej wykorzystanie powinno być uznane za nielegalne i jeśli tak to jaka będzie prawidłowa kwalifikacja prawna takiego czynu. Problem przypomina ten z tzw. pornografią zemsty #revengeporn, czyli czynem zabronionym, określonym w art. 191a kodeksu karnego.
  2. Dyskryminacja kobiet i pozytywna dyskryminacja mężczyzn – algorytm został tak napisany, że potrafi działać dokonując obróbki jedynie zdjęć kobiecych, co stanowi przejaw pozytywnej dyskryminacji.

O co właściwie chodzi z aplikacją Deep Nude?

Zgodnie z komunikatem opublikowanym na Twitterze, aplikacja została udostępniona 23 czerwca 2019 roku, ale po kilku dniach została wycofana z użycia ze względu na zbyt duże zainteresowanie. Następnie po fali krytyki, autorzy zdecydowali o jej definitywnym wycofaniu.

Aplikacja działała w ten sposób, że użytkownik ściągając ją mógł załadować zdjęcie kobiety z twarzą zwróconą na wprost, która została następnie „rozebrana”, ale w rzeczywistości algorytm tylko umiejętnie dodał pasujące do zdjęcia nagie ciało znajdujące się w jego bazie danych. Zdjęcie było w pełni widoczne i gotowe do pobrania dla użytkownika dopiero po opłaceniu opcji Premium.

Nowa forma pornografiii

Mogą pojawić się głosy, że wykorzystanie aplikacji typu #DeepNude może zostać uznane jedynie za niemoralne, ale niestanowiące czynu zabronionego. Przyjęcie takiego stanowiska wydaje się niebezpieczne i ten, kto jest podobnego zdania tylko powierzchownie podchodzi do problemu.

Co prawda, od 2010 roku polski kodeks karny przewiduje w art. 191a Kodeksu karnego, że: Czytaj dalej „Skandaliczna aplikacja #DeepNude w ujęciu prawnym”

Cybercrime, Cyberprzestępczość

Virtual property, czyli wirtualne przedmioty z gier komputerowych i odpowiedzialność karna za ich kradzież

computer-627220_1280.jpg

Dzisiaj mowa będzie o przedmiotach pochodzących z gier komputerowych (in-game items) i odpowiedzialności za ich kradzież. W związku z  rozwojem w branży gamingowej w Polsce, coraz częściej dochodzi do kradzieży wirtualnych przemiotów np. mieczy, tarcz czy nawet całych postaci.

Czym są wirtualne przedmioty?

Po pierwsze, należy ustalić czym są wirtualne przedmioty. W świetle prawa wirtualne przedmioty nie są rzeczami, gdyż zgodnie z kodeksem cywilnym – rzeczami są tylko przedmioty materialne. W związku z tym, ze względu na brak materialnego charakteru, wirtualny przedmiot nie jest rzeczą ruchomą.

Podobnie wirtualne przedmioty nie kwalifikują się do kategorii „rzeczy ruchomych lub przedmiotów” z art. 115 kodeksu karnego.

Jak chronione są wirtualne przedmioty?

Generalnie, wirtualne przedmioty chronione są w oparciu o koncepcję kontraktową, co powoduje, że  gracza z producentem gry łączy umowa licencyjna. Umowa powinna określać, czy gracz posiada prawo udzielania sublicencji, czyli obrotu wirtualnymi przedmiotami będącymi elementami gry. Inne koncepcje odmiennie podchodzą do tego zagadnienia i traktują umowę łączącą gracza z producentem gry jako umowę depozytu, albo jeszcze inne kreślą własnościową koncepcję ujęcie praw gracza.

Niektórzy eksperci próbują uzasadniać tezę o braku możliwości legalnej sprzedaży wirtualnych przedmiotów, ze względu na to, że gracze nie mają do tego prawa.

Bez względu na powyższe argumenty, w obszarze obrotu wirtualnymi przedmiotami rynek gamingowy również się rozwija.

Czy można ukraść wirtualne przedmioty? Czytaj dalej „Virtual property, czyli wirtualne przedmioty z gier komputerowych i odpowiedzialność karna za ich kradzież”