Czy obowiązujące przepisy dają organom ścigania odpowiednie narzędzia umożliwiające ściganie cyberprzestępców, a sądom orzekanie o odpowiedzialności karnej? Czy na tle obowiązujących przepisów subsumcja zachowań cyberprzestępców pod przepisy ustawy karnej jest oczywista?

Przestępczość komputerowa ewoluowała. Wirusy komputerowe, których celem było dokonywanie drobnych aktów komputerowego wandalizmu oraz przysporzenie rozgłosu ich twórcom zastąpił wyrafinowany malware, mający na celu paraliżowanie działania systemów określonych organizacji, instytucji i przedsiębiorstw oraz pozyskiwanie informacji chronionych. Działających w pojedynkę hackerów zastąpiły zorganizowane na wzór korporacji przedsiębiorstwa cyberprzestępcze. W głębokiej sieci przestępczość wszelkiego rodzaju kwitnie, a serwisy takie jak Silk Road i jego kolejne klony tworzą wyśmienite warunki do rozwijania karier przestępczych. Różnego rodzaju oszuści przenieśli się do cyberświata, a ich celem stały się dane osobowe i wszelkiego rodzaju informacje o internautach oraz ich pieniądze.  

Czy prawo nadąża za zmieniającą się rzeczywistością cyberprzestępczości? Przede wszystkim wskazać należy, że polski ustawodawca unika w ogóle tego pojęcia. Co zatem należy rozumieć pod pojęciem przestępczości komputerowej?

W literaturze przedmiotu znajdziemy definicje, zgodnie z którymi cyberprzestępczość to wszelka aktywność, w której komputer lub sieć komputerowa stanowi narzędzie, przedmiot albo środowisko działalności przestępczej. Spotkać się można również z podziałem na cyberprzestępstwa w wąskim sensie  (przestępstwa komputerowe) rozumiane jako zamachy przeciwko bezpieczeństwu systemów komputerowych i elektronicznie przetwarzanych przez nie danych, popełnione przy użyciu operacji elektronicznych, oraz cyberprzestępstwa w szerokim sensie (przestępstwa dotyczące komputerów) obejmujące czyny popełnione przy użyciu lub skierowane przeciwko systemowi komputerowemu lub sieci komputerowej, takie jak nielegalne posiadanie i udostępnianie lub rozpowszechnianie informacji za pomocą komputera lub sieci. Na poziomie ustawodawstwa europejskiego cyberprzestępstwa rozumie się jako czyny przestępcze dokonane przy użyciu sieci łączności elektronicznej i systemów informatycznych lub skierowane przeciwko takim sieciom i systemom, wyróżniając przy tym trzy typy tych czynów:

  • „tradycyjne” formy przestępstw, takie jak oszustwo, czy fałszerstwo popełnione przy użyciu elektronicznych sieci i systemów informatycznych,
  • publikacje nielegalnych treści w mediach elektronicznych,
  • przestępstwa „typowe” – ataki przeciwko systemom informatycznym, ataki typu DoS, sabotaż informatyczny.

Polski ustawodawca nie zdecydował się zebrać przepisów dotyczących przestępstw komputerowych w jednym miejscu. Regulacje dotyczące tej materii znajdziemy w kodeksie karnym, jak i w ramach przepisów karnych innych ustaw. Czy wśród tych przepisów znajdziemy opisy wszelkich bezprawnych działań, jakie możemy zaobserwować? Obowiązujące w Polsce przepisy opisujące przestępstwa komputerowe możemy podzielić na trzy podstawowe grupy.

Pierwszą grupą są przestępstwa popełniane przeciwko bezpieczeństwu elektronicznie przetwarzanej informacji, tj.: nielegalny dostęp do systemu (hacking/cracking) – art. 267 § 1 i 2 k.k, naruszenie tajemnicy komunikacji (sniffing) – art. 267 § 3 k.k., naruszenie integralności danych (wirusy, robaki, trojany) – art. 268 k.k. oraz art. 268a k.k., naruszenie integralności systemu (ataki DDos, Ping flod itp.) – art. 269 k.k. oraz wytwarzanie „narzędzi hakreskich” – art. 269a k.k oraz art. 269b k.k..

Koleją grupą są przestępstwa związane z treścią informacji, tj.: przestępstwa seksualne na szkodę małoletniego (grooming itp.) – art. 200a k.k., art. 202 k.k. oraz przestępstwa przeciwko czci (zniewaga, zniesławienie) – art. 212 k.k. oraz art. 216 k.k.

Do ostatniej grupy zaliczyć można natomiast przestępstwa związane z instrumentalnym wykorzystaniem sieci i systemów teleinformatycznych skierowane przeciwko mieniu (np. oszustwo, naruszenie praw własności intelektualnej, w tym praw autorskich) oraz inne, tj.: cyberstalking, kradzież tożsamości, fałszerstwo komputerowe. W tej grupie kwalifikacja prawna zależy od rodzaju „tradycyjnego” przestępstwa popełnionego z wykorzystaniem cyberprzestrzeni.

Dodatkowo wspomnieć należy o art. 130 § 3 k.k., zgodnie z którym przestępstwo „cyberszpiegostwa” zagrożone jest karą pozbawienia wolności od 6 miesięcy do lat 8.

Biorąc pod uwagę szerokie spektrum obowiązujących w Polsce przepisów, w dużej mierze będących odbiciem regulacji unijnych i międzynarodowych, wydawać by się mogło, iż dla każdego niepożądanego zachowania zaistniałego w cyberrzeczywistości „znajdzie się paragraf”. W praktyce jednak stosowanie przedmiotowych przepisów, w szczególności należących do pierwszej z wymienionych grup, sprawia spore trudności, tak organom ścigania, jak i sądom, a ocena zebranego materiału dowodowego i rozstrzygnięcie o odpowiedzialności niejednokrotnie wymaga powołania biegłego z zakresu informatyki, którego wiedza z zakresu technologii informatycznych umożliwia dopiero zrozumienie sprawy.

***

artykuł pojawił się na łamach Magazynu Informatyki Śledczej