Cyberlaw by Judyta

O wytwarzaniu programów komputerowych (narzędzi hackerskich)

Art. 269b § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2, art. 269a, art. 270 § 1 albo art. 270a § 1, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.

§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.

W artykule 269b Kodeksu karnego uregulowano przestępstwo wytwarzania narzędzi hackerskich. Przepis ten realizuje postanowienia art. 6 Konwencji o cyberprzestępczości. Zastosowanie artykułu 269b K.K. skutkuje karalnością podejmowania czynności przygotowawczych.

Kto może być sprawcą przestępstwa wytwarzania narzędzi hackerskich i jakich zachowań dotyczy przepis art. 269b K.K.?

Sprawcą przestępstwa wytwarzania narzędzi hackerskich może być każda osoba, która wytwarza urządzenia lub programy komputerowe przystosowane do popełniania przestępstw. Przepis odnosi się wyłącznie do takich narzędzi, które zostały celowo zaprojektowane i przygotowane w celu popełnienia przestępstwa.

Nowelizacja z marca 2017 roku wyłączyła odpowiedzialność karną w przypadku działalności prowadzonej w ramach white hacking (czyli etycznego hackingu).

Omawiane przestępstwo charakteryzuje się umyślnością.

Jaka kara grozi za popełnienie przestępstwa wytwarzania narzędzi hackerskich?

Za popełnienie przestępstwa wytwarzania narzędzi hackerskich grozi kara pozbawienia wolności od 3 miesięcy do 5 lat.

W § 2 przepisu art. 269b K.K. przewidziano obligatoryjny przepadek narzędzi hackerskich. Przepadek jest fakultatywny tylko w przypadku, gdy narzędzia te nie należą do sprawcy lub nie ustalono ich właściciela. Przestępstwo to jest ścigane z oskarżenia publicznego.

Przykłady z orzecznictwa polskich sądów w sprawach dotyczących wytwarzania narzędzi hackerskich:

A. P. (P.) w nieustalonym dniu i w nieustalony sposób oraz bez uprawnienia pozyskał hasło komputerowe umożliwiające dostęp do serwisu internetowego (…) do konta M. B. i D. P., a następnie w dniu 18 września 2018 r. w M., ul. (…) o godz. 09:19, za pomocą tego hasła i bez uprawnienia uzyskał dostęp do systemu informatycznego (…) przy użyciu numeru klienta M. B. i D. P., skąd pobrał informacje przechowywane w systemie, które nie były przeznaczone dla niego, dotyczące historii przelewów tego rachunku. Te informacje następnie wykorzystał jako dowód przed Sądem Okręgowym w Katowicach w sprawie z jego powództwa o sygnaturze akt: XVII C 78/18. Czyn ten stanowił naruszenie art. 267 § 1 K.K. oraz art. 269b § 1 K.K. w związku z art. 11 § 2 K.K. (Wyrok Sądu Rejonowego w Mikołowie z dnia 30.03.2021 r., sygn. akt II K 1/21).

M. P. został oskarżony o to, że w okresie od nieustalonego dnia, nie później niż do 6 czerwca 2013 roku, w (…) Banku (…) przy ul. (…) w T., w zamiarze umożliwienia nieznanej osobie pozyskania haseł do konta internetowego prowadzonego przez (…) S.A., a następnie dokonania zmiany bez upoważnienia istniejących numerów kont zdefiniowanych odbiorców na rachunku bankowym należącym do firmy (…) S.C. z/s w P., udostępnił jej swój rachunek bankowy o numerze (…) prowadzony przez bank (…) w celu przelania środków pieniężnych i osiągnięcia korzyści majątkowej w kwocie 24 244,78 zł na szkodę firmy (…) S.C. z/s w P. Tym samym pomógł w dokonaniu czynu zabronionego. Czyn ten stanowił naruszenie art. 18 § 3 K.K. w związku z art. 287 § 1 K.K. w zbiorze z art. 269b § 1 K.K. w związku z art. 11 § 2 K.K. (Wyrok Sądu Okręgowego w Toruniu z dnia 8 stycznia 2015 r., sygn. akt IX Ka 579/14).

Stan prawny na dzień: 3 lutego 2022 roku.

On the creation of computer programs (hacker tools)

Article 269b § 1. Whoever creates, acquires, sells, or provides to others devices or computer programs adapted for the commission of a crime specified in Article 165 § 1 point 4, Article 267 § 3, Article 268a § 1 or § 2 in connection with § 1, Article 269 § 1 or 2, Article 269a, Article 270 § 1, or Article 270a § 1, as well as computer passwords, access codes, or other data enabling unauthorized access to information stored in an information system, telecommunication system, or telecommunication network, shall be subject to imprisonment for a period of 3 months to 5 years.
§ 1a. A person shall not be guilty of the offense specified in § 1 if they act solely to secure an information system, telecommunication system, or telecommunication network against the commission of a crime referred to in this provision or to develop a method for such security.
§ 2. In the case of a conviction for the offense specified in § 1, the court shall order the confiscation of the items referred to therein, and may order their confiscation even if they were not the property of the perpetrator.

Article 269b of the Penal Code regulates the crime of creating hacker tools. This provision implements Article 6 of the Convention on Cybercrime. The application of Article 269b of the Penal Code makes preparatory actions punishable.

Who can be the perpetrator of the crime of creating hacker tools, and what behaviors does Article 269b of the Penal Code refer to?

The perpetrator of the crime of creating hacker tools can be anyone who creates devices or computer programs designed to commit crimes. This provision applies only to tools that have been intentionally designed and adapted to commit a crime.

The amendment from March 2017 excluded criminal liability in cases of activities carried out within the framework of white hacking (also known as ethical hacking).

The discussed crime is characterized by intent.

What penalty is imposed for the crime of creating hacker tools?

The crime of creating hacker tools is punishable by imprisonment from 3 months to 5 years.

Section 2 of Article 269b of the Penal Code provides for the mandatory forfeiture of hacker tools. However, forfeiture is optional if these tools do not belong to the perpetrator or if their owner has not been identified. This crime is prosecuted upon public accusation.

Examples from the case law of Polish courts in cases involving the creation of hacker tools:

A. P. (P.), on an unspecified day and in an unspecified manner and without authorization, obtained a computer password allowing access to the website service (…) to the account of M. B. and D. P., and then on September 18, 2018, in M., ul. (…) at 9:19 AM, using this password and without authorization, gained access to the IT system (…) by using the client number of M. B. and D. P., from which he downloaded information stored in the system that was not intended for him, regarding the transaction history of that account. He then used this information as evidence before the District Court in Katowice in the case with his claim, case number XVII C 78/18. This act constituted an offense under Article 267 § 1 of the Penal Code and Article 269b § 1 of the Penal Code in conjunction with Article 11 § 2 of the Penal Code (Judgment of the District Court in Mikołów of March 30, 2021, case file No. II K 1/21).

M. P. was accused of, in the period from an unspecified day, but no later than June 6, 2013, at (…) Bank (…) at ul. (…) in T., with the intention of enabling an unknown person to obtain passwords for an internet account held by (…) S.A., and subsequently making unauthorized changes to the existing recipient account numbers on the bank account of the company (…) S.C. based in P., he provided his own bank account number (…) held by bank (…) in order to transfer money and gain a financial benefit of PLN 24,244.78 to the detriment of the company (…) S.C. in P. He thus assisted in committing the prohibited act. This act constituted an offense under Article 18 § 3 of the Penal Code in conjunction with Article 287 § 1 of the Penal Code in conjunction with Article 269b § 1 of the Penal Code in conjunction with Article 11 § 2 of the Penal Code (Judgment of the District Court in Toruń of January 8, 2015, case file No. IX Ka 579/14).

Legal status as of: February 3, 2022.

O niszczeniu baz danych z perspektywy prawnej

Przestępstwo z art. 268a Kodeksu karnego jest nazywane przestępstwem niszczenia baz danych. Ochronie podlega bezpieczeństwo danych informatycznych, które obejmuje ich poufność, integralność i dostępność.

Art. 268a § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych, albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.

§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.

Art. 268 Kodeksu karnego chroni zapis informacji, natomiast art. 268a Kodeksu karnego odnosi się do danych informatycznych. Zgodnie z definicją zawartą w Konwencji o cyberprzestępczości „dane informatyczne to dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny”.

Ochronie podlegają jedynie dane informatyczne zapisane w formie elektronicznej.

Kim jest sprawca przestępstwa niszczenia baz danych i jak się zachowuje?

Niszczenie baz danych odbywa się poprzez działanie i może zostać dokonane przez każdego, natomiast przez zaniechanie jedynie przez osobę odpowiedzialną za bezpieczeństwo bazy danych.

Przestępstwo polega na zniszczeniu, uszkodzeniu, usunięciu, zmianie i utrudnieniu dostępu do danych informatycznych, zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, będących następstwem działania sprawcy, niezależnie od samego działania lub zaniechania.

Nie dochodzi do popełnienia przestępstwa, jeśli doszło do uzupełnienia danych, które nie wpłynęły na ich sens, np. dopisanie nieistotnej treści do kodu źródłowego. Samo uzyskanie dostępu do systemu bez uszkodzenia danych nie może skutkować przypisaniem omawianego przestępstwa. W takim przypadku przypisać można przestępstwo z art. 267 § 2 Kodeksu karnego.

Rozstrzygając o przypisaniu sprawstwa, należy wziąć pod uwagę, czy działanie sprawcy wpłynęło w jakikolwiek sposób na procesy zachodzące w systemach informatycznych, czyli należy ocenić, czy stopień społecznej szkodliwości czynu jest wyższy niż znikomy.

Jaka kara grozi za niszczenie baz danych?

Za niszczenie baz danych z § 1 grozi kara pozbawienia wolności od 1 miesiąca do 3 lat. W przypadku § 2 przewiduje się karę od 3 miesięcy do 5 lat pozbawienia wolności.

Przestępstwo to jest ścigane na wniosek pokrzywdzonego.

Kiedy dochodzi do popełnienia przestępstwa z art. 268a, a kiedy z art. 268 Kodeksu karnego?

W wielu przypadkach trzeba będzie wybrać, czy zastosować art. 268a, czy art. 268. Jeśli zachowanie sprawcy dotyczy danych informatycznych, które mają cechy informacji, należy zastosować art. 268 Kodeksu karnego, a w przypadku danych informatycznych właściwy będzie art. 268a Kodeksu karnego (lex specialis).

Kiedy może dojść do wyrządzenia znacznej szkody majątkowej wskazanej w § 2 art. 268a Kodeksu karnego?

Przestępstwo określone w art. 268a § 2 Kodeksu karnego charakteryzuje się skutkiem w postaci powstania znacznej szkody majątkowej. Wartość takiej szkody przekracza 200 000 zł (art. 115 § 5 Kodeksu karnego).

Przykłady orzecznictwa dotyczącego przestępstwa niszczenia baz danych:

„W dniu 25 września 2019 r. w miejscu dotychczas nieustalonym, a ujawnionym w L. woj. (…), poprzez wykorzystanie adresu e-mail (…), nadanego mu w trakcie zatrudnienia w firmie Centrum (…) z siedzibą w W. na ul. (…) z G. (…), należącej do G. P., nie będąc już w niej zatrudnionym, uzyskał bez uprawnień dostęp do internetowego profilu w serwisie (…) o nazwie „. (…).PL”, należącego do wymienionej firmy, a następnie usunął ww. profil wraz z znajdującymi się tam danymi informatycznymi, czym działał na szkodę G. P., Centrum (…) z siedzibą w W., na ul. (…) z G. (…), tj. czyn z art. 268a § 1 Kodeksu karnego (wyrok Sądu Rejonowego w Legionowie z dnia 6.10.2020 r., sygn. akt II K 1222/19);”

„W okresie od września 2013 r. do 3 lutego 2015 r., prowadząc działalność gospodarczą pod nazwą (…) świadcząc usługi wdrożenia systemu księgowo-kadrowego C. (…) na rzecz firmy Przedsiębiorstwa Handlowo-Produkcyjno-Usługowego (…), pomimo zerwania współpracy i wezwania do zwrotu haseł, odmówił przekazania danych dostępowych do funkcji administratora systemu C. (…), ograniczając prawa użytkownika do legalnie zakupionego programu, co w istotnym stopniu zakłóciło automatyczne przetwarzanie danych, uniemożliwiając firmie Przedsiębiorstwa Handlowo-Produkcyjno-Usługowego (…) pełne korzystanie z programu, tym samym działając na szkodę tej firmy i powodując straty w wysokości nie mniejszej niż 50 000 zł, tj. czyn z art. 268a § 1 Kodeksu karnego w związku z art. 12 Kodeksu karnego” (wyrok Sądu Rejonowego w Kaliszu z dnia 31.08.2020 r., sygn. akt II K 357/18).

Co o niszczeniu baz danych mówi Sąd Najwyższy?

W wyroku z dnia 30 września 2015 r. (II K 115/15) Sąd Najwyższy uznał, że:

„Przepis art. 268a Kodeksu karnego penalizuje dwa rodzaje zakazanego zachowania sprawcy. Pierwszym z nich jest niszczenie, uszkadzanie, usuwanie, zmiana oraz utrudnianie dostępu do danych informatycznych. Drugi rodzaj zachowania godzi w proces prawidłowego automatycznego przetwarzania, gromadzenia i przekazywania danych informatycznych w stopniu istotnym. Zachowanie to może polegać na zakłócaniu lub uniemożliwianiu działania procesu. Pojęcie zakłócenia automatycznego przetwarzania, przekazywania lub gromadzenia danych informatycznych obejmuje wszelkie czynności oddziałujące na te procesy, których skutkiem jest ich nieprawidłowy przebieg, spowolnienie, a także zniekształcenie czy modyfikacja przetwarzanych, przekazywanych lub gromadzonych danych. Uniemożliwienie natomiast oznacza zatrzymanie tych procesów lub niemożność ich podjęcia.

Dane informatyczne, o których mowa w przepisie art. 268a Kodeksu karnego, to zapis określonej informacji przechowywanej na dysku komputera lub na innym komputerowym nośniku informacji”.

Stan prawny na dzień: 22 stycznia 2022 roku