Omawiane przestępstwo zostało ujęte w artykule 267, paragraf 1, ustawy Kodeks karny z 6 czerwca 1997 roku (Dz. U. nr 88, poz. 553 z późniejszymi zmianami). Czytamy tam: “Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. Choć zapisy te brzmią groźnie, to nie są najtrafniejsze. Zwracano zresztą na to uwagę jeszcze w czasie prac nad przygotowywaniem tej ustawy.
Chronimy informację, nie komputer
Na początek warto zatrzymać się przy sformułowaniu, że do zakwalifikowania działania jako przestępczego konieczne jest przełamanie przez sprawcę zabezpieczeń. Tym samym poza sferą karalności pozostaną te zachowania, które opierają się na obejściu zabezpieczenia. Nietrudno sobie wyobrazić przedsiębiorstwo, w którym osoby sprawujące pieczę nad komputerami z powodu braku wiedzy lub niedbałości nie zainstalowały odpowiednich mechanizmów ochrony. W takiej sytuacji działanie włamywacza, który rozpozna zastosowane na serwerze oprogramowanie i wykorzysta backdoora, może pozostać bezkarne.
Wątpliwości można mieć także do zdefiniowanego przez ustawodawcę przedmiotu ochrony. Jego ujęcie akcentuje poufność informacji, nie zaś integralność i dostępność systemu informatycznego. W efekcie ścigać można sprawcę włamania pod warunkiem, że uda się udowodnić, iż zapoznał się on z przechowywanymi informacjami. Jeśli haker “jedynie” uniemożliwił na pewien czas działanie komputera, wówczas nie da się wykorzystać omawianych przepisów do ukarania go. Można jednak wykorzystać wówczas przepisy, wskazane w dalszej części artykułu.
Bezpieczniejsze aukcje? |
Poczta Polska wprowadziła od początku tego roku usługę polegającą na możliwości sprawdzenia zawartości paczki pobraniowej przed uiszczeniem opłaty. Spisywany jest wówczas i potwierdzany przez listonosza opis przedmiotów znajdujących się w pudełku. Jeśli przesyłka nie zawiera tego, co powinna, odbiorca ma możliwość odmówienia jej przyjęcia. Nie musi wówczas płacić za paczkę. Mogłoby to w znacznej mierze rozwiązać problem oszustów sprzedających na aukcjach internetowych cegłę zamiast telefonu komórkowego czy dysku twardego. Niestety, jest tu pewne “ale” – by zawartość można było sprawdzić przy listonoszu i ewentualnie odmówić jej przyjęcia, opłatę za tę usługę w wysokości 5 zł musi uiścić… nadawca. Można się spodziewać, że oszuści będą notorycznie “zapominać” o zapłaceniu za możliwość sprawdzenia paczki, nawet mimo wcześniejszego umówienia się z kupującym. Oczywiście brak możliwości sprawdzenia zawartości przez nabywcę będzie sygnałem ostrzegawczym, że możemy mieć do czynienia z próbą wyłudzenia. Znacznie prościej byłoby jednak, gdyby Poczta Polska pozwoliła odbiorcy przesyłki zadecydować, czy chce sprawdzić jej zawartość przed zapłaceniem. |
Kluczowa informacja
Kolejną pułapką jest sformułowanie “uzyskanie informacji” jako warunku uznania czynu za przestępstwo. Od razu powstaje pytanie, jak należy kwalifikować te zachowania, gdzie sprawca co prawda pozyskał określone dane z cudzego systemu komputerowego, jednakże postać ich zapisu była lub jest dla niego niezrozumiała. Przykładem mogą tu być pliki zaszyfrowane przez użytkownika – ponieważ nie ma pewności, czy włamywacz potrafi je zdekodować i odczytać ich zawartość, oskarżenie go z artykułu 267, paragraf 1, może się okazać problematyczne.
Warto zwrócić uwagę, że omawiane przepisy prawdopodobnie nie dadzą się zastosować do działań związanych z włamaniem, a mianowicie przygotowań mających na celu sprawdzenie zabezpieczeń cudzego systemu komputerowego czy ataków typu DoS.
Administratorzy systemów i właściciele firm mogą się poczuć bezradni także w tych sytuacjach, gdy sprawca działa na zlecenie innego podmiotu. Chodzi tu o scenariusz, w którym przedsiębiorca wynajmuje fachowca mającego skopiować dane klientów z serwera konkurencyjnej firmy. Sprawca włamania nie zapoznaje się wówczas z pozyskanymi informacjami, a tylko je przekazuje. Nie znaczy to jednak, że w ogóle nie poniesienie odpowiedzialności. W takich sytuacjach możliwe byłoby postawienie zarzutów usiłowania lub pomocnictwa we włamaniu lub wręcz wykorzystali innych regulacji prawnych dla objęcia karą zachowania sprawcy. Chodzi tu np. o czyny opisane w poniższych przepisach kodeksu karnego:
Przezorny zawsze zabezpieczony
Jakie działania włamywacza pozwalają więc, na mocy prawa, pociągnąć go do odpowiedzialności? Zgodnie z treścią wskazanego na wstępie przepisu musiałby on zastosować jakąś formę przełamania elektronicznego, magnetycznego albo innego zabezpieczenia. Dodatkowo w pewnych przypadkach można uzupełnić oskarżenia o zapisy z artykułu 267, paragraf 2, kodeksu karnego, w którym mowa jest o “zakładaniu lub posługiwaniu się urządzeniem podsłuchowym, wizualnym albo innym”. Często da się skorzystać też z przepisów wskazanych wyżej.
Owo ustawowe “przełamanie zabezpieczeń” także mnoży wątpliwości. Nie tylko nie uwzględnia ono sytuacji, w której włamywacz obejdzie systemy antywłamaniowe, ale przede wszystkim nie bierze pod uwagę nieuprawnionego dostępu do komputerów lub informacji niezabezpieczonych. W efekcie jeśli użytkownik nie chronił swoich danych najprostszym choćby hasłem, to nie będzie mógł odwoływać się do artykułu 267 kodeksu karnego. Sprawa jest kontrowersyjna, bo nieistnienie zabezpieczenia nie powinno powodować zniesienia ochrony prawnokarnej – grozi to sytuacją, gdy właściciel komputera będzie musiał udowodnić, że był on zabezpieczony, zanim wystąpi z oskarżeniem włamywacza.