Cyberprzestępczość | Cybercrime · Prawo karne | Criminal Law

(5): Niszczenie baz danych, damage to databases (art. 268a k.k.)

O niszczeniu baz danych…

Przestępstwo z art. 268a kodeksu karnego nazywane jest przestępstwem niszczenia baz danych. Ochronie podlega bezpieczeństwo danych informatycznych, na które składa się ich poufność, integralność i dostępność.  

Art. 268a § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.

§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.

Art. 268 k.k. chroni zapis informacji. Natomiast art. 268a k.k. odnosi się do danych informatycznych. Zgodnie z definicją zawartą w Konwencji o cyberprzestępczości „dane informatyczne to dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny”. 

Przyjmuje się, że ochronie podlegają jedynie dane informatyczne zapisane w formie elektronicznej. 

Kim jest sprawca przestępstwa niszczenia baz danych i jak się zachowuje? 

Niszczenie baz danych odbywa się poprzez działanie i może zostać dokonanie przez każdego, a przez zaniechanie jedynie w przypadku osoby, która odpowiada za bezpieczeństwo bazy danych.

Przestępstwo polega na zniszczeniu, uszkodzeniu, usunięciu, zmianie i utrudnieniu dostępu do danych informatycznych, zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych będącym następstwem działania sprawcy, niezależnym od samego działania lub zaniechania.

Nie dochodzi do popełnienia przestępstwa, jeśli doszło do uzupełnienia danych, które nie wpłynęło na ich sens np. dopisanie nieistotnej treści do kodu źródłowego. Samo uzyskanie dostępu do systemu bez uszkodzenia danych nie może spowodować przypisania omawianego przestępstwa. W takim przypadku przypisać można przestępstwo z art. 267 § 2 k.k. 

Rozstrzygając o przypisaniu sprawstwa należy wziąć pod uwagę, czy działanie sprawcy wpłynęło w jakikolwiek sposób na procesy zachodzące w systemach informatycznych, czyli należy ocenić, czy stopień społecznej szkodliwości czynu jest wyższy niż znikomy. 

Jaka kara grozi za niszczenie baz danych?

Za niszczenie baz danych z § 1 grozi kara pozbawienia wolności od 1 miesiąca do 3 lat. Natomiast w przypadku § 2 przewiduje się karę od 3 miesięcy do 5 lat pozbawienia wolności. 

Przestępstwo ścigane jest na wniosek pokrzywdzonego. 

Kiedy dochodzi do popełnienia przestępstwa z art. 268a, a kiedy z art. 268 kodeksu karnego? 

W wielu przypadkach trzeba będzie wybrać, czy należy zastosować art. 268a czy art. 268. Jeśli zachowanie sprawcy dotyczyć będzie danych informatycznych, które będą miały cechy informacji należy zastosować art. 268 k.k., a w przypadku danych informatycznych właściwy będzie art. 268a k.k. (lex specialis). 

Kiedy może dojść do wyrządzenia znacznej szkody majątkowej wskazanej w § 2 art. 268a k.k.? 

Przestępstwo określone w art. 268a § 2 k.k. charakteryzuje skutek w postaci powstania znacznej szkody majątkowej. Wartość takiej szkody przekracza 200 000 zł (art. 115 § 5 k.k.). 

Przykłady orzecznictwa dotyczącego przestępstwa niszczenia baz danych:

  • „W dniu 25 września 2019 r. w miejscu dotychczas nieustalonym, a ujawnionym w L. woj. (…), poprzez wykorzystanie adresu email tj. (…) i hasła nadanego mu w trakcie zatrudnienia w firmie Centrum (…) z siedzibą w W. na ul. (…) z G. (…) należącej do G. P., nie będąc już w niej zatrudnionym, uzyskał bez uprawienia dostęp do internetowego profilu w serwisie (…) o nazwie „. (…).PL” należący do wymienionej firmy, a następnie usunął ww. profil wraz z znajdującymi sią tam danymi informatycznymi, czym działał na szkodę G. P., Centrum (…) z siedzibą w W., na ul. (…) z G. (…), tj. o czyn z art. 268a § 1 k.k. (wyrok Sądu Rejonowego w Legionowie z dn. 6.10.2020 r., sygn. akt II K 1222/19);
  • „W okresie od września 2013 r. do 3 lutego 2015 r., prowadząc działalność gospodarczą pod nazwą (…) świadcząc usługi wdrożenia systemu księgowo – kadrowego C. (…) na rzecz firmy Przedsiębiorstwa Handlowo Produkcyjno-Usługowego (…) pomimo zerwania współpracy i wezwania do zwrotu haseł odmówił przekazania danych dostępowych do funkcji administratora systemu C. (…), ograniczając prawa użytkownika do legalnie zakupionego programu, co w istotnym stopniu zakłóciło automatyczne przetwarzanie danych w ten sposób, ze firma Przedsiębiorstwa Handlowo Produkcyjno-Usługowe (…) bez posiadania haseł administratora mogła korzystać jedynie z ww. programu w zakresie użytkowym, bez możliwości dokonywania zmian konfiguracyjnych/parametrycznych, właściwego reagowania na awarie, aktualizowania systemu, wykonania kopii zapasowych baz danych czym działał na szkodę ww. firmy powodując straty w kwocie nie mniej niż 50 000 zł, tj. o czyn z art. 268a § 1 k.k. w zw. z art. 12 k.k.” (wyrok Sądu Rejonowego w Kaliszu z dn. 31.08.2020 r., sygn.. akt II K 357/18). 

Co o niszczeniu baz danych mówi Sąd Najwyższy?

W wyroku z dnia 30 września 2015 roku (II K 115/15) Sąd Najwyższy uznał, że:

„Przepis art. 268a k.k. penalizuje dwa rodzaje zakazanego zachowania się sprawcy. Pierwszym z nich jest niszczenie, uszkadzanie, usuwanie, zmiana oraz utrudnianie dostępu do wszystkich danych informatycznych. Drugi rodzaj zachowania godzi w proces prawidłowego automatycznego przetwarzania, gromadzenia i przekazywania danych informatycznych w stopniu istotnym. Zachowanie to może polegać na zakłócaniu lub uniemożliwianiu działania procesu. Pojęcie zaś zakłócenia automatycznego przetwarzania, przekazywania lub gromadzenia danych informatycznych obejmuje wszelkie czynności oddziałujące na te procesy, których skutkiem jest ich nieprawidłowy przebieg lub spowolnienie, a także zniekształcenie czy modyfikacja przetwarzanych, przekazywanych lub gromadzonych danych informacji. Uniemożliwienie natomiast oznacza zatrzymanie tych procesów lub niemożność ich podjęcia. 

Dane informatyczne, o których mowa w przepisie art. 268a k.k. to zapis określonej informacji przechowywanej na dysku komputera lub na innym komputerowym nośniku informacji”.

Stan prawny na dzień: 22.01.2022 r.

Prawo ochrony danych osobowych | Data Protection Law

Prywatność w sieci

Prywatność trudno zdefiniować, gdyż nie ma jednej definicji legalnej tego pojęcia. Ale spośród wielu definicji wskazać można chociażby następującą definicję „swoboda rozporządzania informacjami na swój temat” (J. Kohler). Wraz z rozwojem Internetu coraz istotniejsza staje się ochrona prywatności również w wirtualnej rzeczywistości. Większa świadomość społeczeństwa sprawia, że dostrzegamy znaczenie prawa do prywatności.

Prawo do prywatności jako prawo człowieka i dobro osobiste

Prawo do prywatności rozumiane może być jako prawo człowieka, jak również jako dobro osobiste. 

Zaliczone zostało do katalogu praw podstawowych i uznawane jest za prawo człowieka pierwszej generacji. Konstytucja RP z 1997 roku w art. 47 gwarantuje każdemu prawo do prywatności. Natomiast kolejne przepisy (art. 48-51) Konstytucji stanowią uzupełnienie tej regulacji. 

Jako dobro osobiste prawo do prywatności podlega ochronie na podstawie przepisów Kodeksu cywilnego, choć nie zostało wymienione w katalogu dóbr osobistych (art. 23 Kodeksu cywilnego) uznaje się, że należy do tego otwartego katalogu. 

Po raz pierwszy w 1984 roku Sąd Najwyższy uznał prywatność jako dobro osobiste (patrz: wyrok SN z 18 stycznia 1984 roku, sygn. akt I CR 400/83). 

Sama koncepcja right to privacy wywodzi się prawa anglosaskiego. Dopiero po II wojnie światowej zauważono, że prywatność powinna być chroniona. Wcześniej deprecjonowano wszelkie prawa człowieka, w tym to do prywatności. 

Prywatność nie jest objęta ochroną absolutną, co oznacza, że prawo do prywatności może zostać ograniczone, gdy jest to niezbędne w demokratycznym państwie prawnym i poddane jest ścisłym regułom przewidzianym przez zasadę proporcjonalności. 

„Prywatność ma podlegać ochronie właśnie dlatego i tylko dlatego, że przyznaje się każdej osobie prawo do wyłącznej kontroli tej sfery życia, która nie dotyczy innych, a w której wolność od ciekawości innych jest swoistą conditio sine qua non swobodnego rozwoju jednostki”. ~ M. Safjan 

Prawo do prywatności w prawie międzynarodowym

Artykuł 12 Powszechnej Deklaracji Praw Człowieka z 10 grudnia 1948 roku stwierdza: „Nikt nie będzie poddany arbitralnemu wkraczaniu w jego życie prywatne, rodzinnę, mieszkanie lub korespondencję, ani też zamachom na jego honor i reputację. Każdy jest uprawniony do ochrony prawnej przed takim wkraczaniem lub takimi zamachami”. 

Artykuł 17 Międzynarodowego Paktu Praw Obywatelskich i Politycznych mówi, że: 

1. „Nikt nie będzie poddany arbitralnej lub bezprawnej ingerencji w jego życie prywatne, rodzinne, mir domowy czy korespondencję, ani też bezprawnym zamachom na jego cześć́ i dobre imię̨. 

2. Każdy ma prawo do ochrony prawnej przed tego rodzaju ingerencją lub zamachami”. 

Artykuł 8 Europejskiej Konwencji Praw Człowieka stanowi, że: 

1. „Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 

2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę̨ i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne oraz dobrobyt gospodarczy kraju, ochronę̨ porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę̨ praw i wolności innych osób. 

Prawo do prywatności a prawo do ochrony danych osobowych

  • Odmienny charakter prawny przepisów o ochronie danych osobowych – ukierunkowanych na prewencję i zapobieganie naruszeniom, podczas, gdy mechanizmy ochrony prywatności zorientowane są na działanie post factum (M. Safjan). 
  • Ochrona prywatności jest pojęciem pomniejszym niż ochrona danych osobowych. 
  • Niektóre zachowania mogą naruszać czyjąś prywatność, ale nie muszą jednocześnie naruszać przepisów dotyczących przetwarzania danych osobowych. 

Unijny model ochrony danych osobowych

Model ochrony prywatności i danych osobowych funkcjonujący w Unii Europejskiej jest powszechnie uznawany za najbardziej kompleksowy i odzwierciedlający złożoność rynku przetwarzania informacji w erze społeczeństwa informacyjnego. 

Źródło: G. Buttarelli, The EU GDPR as a clarion call for a new global digital gold standard, International Data Privacy Law 2016, t. 6, z. 2, s. 77. 

Stan prawny na dzień: 29 listopada 2021 roku

Zdjęcie: pixabay.com

Cyberprzestępczość | Cybercrime · Prawo karne | Criminal Law · Prawo kryptowalut & Blockchain

Przestępczość teleinformatyczna XXI 2021, Gdynia – relacja z konferencji

Relacja z konferencji „Przestępczość Teleinformatyczna XXI 2021” Gdynia #ptxxi

W dniach 21-23 września 2021 roku brałam udział w konferencji naukowej „Przestępczość Teleinformatyczna XXI 2021”, która organizowana jest obecnie przez Akademię Marynarki Wojennej w Gdyni (dawniej znana wszystkim z branży jako TAPT w Szczytnie).

Moje wystąpienie dotyczyło problematyki współpracy międzynarodowej organów ścigania w zwalczaniu przestępczości kryptowalutowej.

Każdy z biorących udział w dyskusjach przedstawicieli różnych służb, rządu, świata akademickiego i sektora prywatnego podkreślał i postulował konieczną, szeroką i powszechną edukację społeczeństwa w zakresie walki z cyberprzestępczością. Tutaj nie ma co się ścigać o wyniki, nie ma wygranych, a wygrać możemy tylko współpracując. Skala i skuteczność działania oszustów w sieci budzi przerażenie. Codziennie dzwonią klienci, którzy stali się ofiarami fraudu inwestycyjnego lub innego podobnego. Pamiętajmy, że ofiarami stosowanych metod socjotechnicznych sprawców może się stać każdy bez względu na wiek, płeć czy wykształcenie.

Przed podjęciem decyzji o inwestycji sprawdźcie przynajmniej:

– dane rejestrowe danego podmiotu np. platformy inwestycyjnej

– czy nie wydano żadnego komunikatu prasowego o prowadzonych postępowaniach lub ostrzeżeniach wydanych przez Komisję Nadzoru Finansowego albo czy w raportach Rzecznika Finansowego nie znajduje się wzmianka o tym podmiocie

– treść strony internetowej tego podmiotu i umieszczone na niej informacje (treść często zawiera błędy językowe)

Pamiętajcie również, że:

– kryptowaluty nie są regulowane przepisami prawa

– nie są pieniędzmi – inwestycje w kryptowaluty nie są chronione przez Bankowy Fundusz Gwarancyjny

– inwestujecie na własne ryzyko

#PrzestępczośćTeleinformatyczna #PrzestępczośćKryptowalutowa #Kryptowaluty #AMWGdynia

https://ptxxi.amw.gdynia.pl

Bez kategorii

(4): Niszczenie informacji, destruction of information (art. 268 k.k.) | Cykl „35 cyberprzestępstw w polskim prawie karnym”


Art. 268 Kodeksu karnego

§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3.

§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego

I. Na czym polega przestępstwo niszczenia informacji?  

Przepis art. 268 Kodeksu karnego chroni istotną informację, jej integralność, dostęp do niej oraz interesy osoby nią dysponującej. Przestępstwo niszczenia informacji może popełnić każdy, o ile nie jest uprawniony do podejmowanych działań. 

Przestępstwo niszczenia informacji popełnić można poprzez przykładowo wymienione w tym przepisie:

  1. Niszczenie zapisu istotnej informacji;
  2. Uszkodzenie zapisu istotnej informacji;
  3. Usuwanie zapisu istotnej informacji;
  4. Zmienianie zapisu istotnej informacji;
  5. Inny sposób udaremnienia lub znacznego utrudnienia zapoznania się z nią; 

Istotna informacja może zostać zapisana w różnoraki sposób:

  • jako notatka,
  • na taśmie magnetofonowej,
  • na płycie,
  • na fotografii,
  • jako nagranie na kamerze. 

Jeśli taka istotna informacja zapisana została na nośniku danych zastosowanie znajdzie kwalifikacja prawna z § 2 art. 268 k.k. Zapis może zostać usunięty lub zniszczony w sposób fizyczny lub elektronicznie. Do popełnienia takiego przestępstwa dochodzi najczęściej w sytuacji, gdy sprawca wykorzystuje do usunięcia lub zniszczenia zapisu program w postaci (A. Adamski, Przestępstwa komputerowe, s. 71):

  • wirus komputerowy;
  • robaka komputerowego
  • „bomby logiczne”
  • „bomby czasowe” (rodzaj bomby logicznej)

Czyn z § 1 zagrożony jest karą grzywny, karą ograniczenia wolności albo karą pozbawienia wolności do lat 2. Natomiast surowsza kara grozi w przypadku obu postaci kwalifikowanych czynu z § 2 i 3. Przestępstwo ścigane jest wyłącznie na wniosek pokrzywdzonego. 

II. Przykłady czynów polegających na niszczeniu informacji 

Przykład nr 1: Oskarżona stanęła pod zarzutem popełnienia przestępstwa z art. 268 § 1 i 2 k.k. polegającego na tym, że w dniu 3 sierpnia 2015 roku w G. w siedzibie firmy (…) s.c. J. Ż., K. Ż., G. Ż., nie będąc osobą uprawnioną, a także działając umyślnie i wykorzystując mechanizm kosza systemowego, w ustalonym czasie pomiędzy godziną 11.39.56 i 11.42.02 usunęła z informatycznych nośników danych w postaci dwóch dysków twardych S. istotne informacje w postaci co najmniej 231 plików. (SO Gliwice, VI Ka 1076/17)

Przykład nr 2: Sąd Rejonowy (…) wyrokiem z dnia 23 czerwca 2016 r., sygn. akt VI K 727) 15, uznał oskarżone za winne tego, że w dniu 15 kwietnia 2015 r. w S. przy ul. (…), działając wspólnie i w porozumieniu, dokonały zniszczenia laptopa marki A. o wartości deklarowanej 1.000 zł na szkodę M. B. (1) w celu usunięcia zapisów na informatycznym nośniku danych, kwalifikując ten czyn z art. 268 § 2 k.k.

Problemy natury prawne

1. Osoba uprawniona

Osobą uprawnioną do działań opisanych w tym przepisie jest często osoba fizyczna wykonująca pracę lub czynności w organach państwowych, organach samorządowych oraz osoby prawne i jednostki organizacyjne niemające osobowości prawnej, które przetwarzają dane w związku z prowadzoną działalnością.

2. Istotność informacji

Pojęcie istotnej informacji jest pojęciem ocennym i dlatego dokonując analizy należy wziąć pod uwagę czynniki kulturowe i zwyczajowe, a owa istotność oceniana powinna być z punktu widzenia ogółu. 

Zdjęcie: pixabay.com

Stan prawny na dzień: 23 sierpnia 2021 roku

Cyberprzestępczość | Cybercrime · Prawo karne | Criminal Law

(3): Bezprawny podsłuch i naruszenie tajemnicy komunikacji, tzw. sniffing (art. 267 § 3 k.k.) | Cykl „35 cyberprzestępstw w polskim prawie karnym”

Art. 267 § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 

§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

Na czym polega przestępstwo bezprawnego posługiwania się urządzeniem podsłuchowym?  

Przepis § 3 art. 267 kodeksu karnego chroni poufność przekazu informacji. Karalne podsłuchiwanie polega na przechwytywaniu treści informacji podczas procesu komunikacji albo na wykorzystaniu dla uzyskania informacji urządzeń podsłuchowych, wizualnych albo innych urządzeń lub oprogramowani. Podstawowy warunek, aby można było przypisać sprawstwo podsłuchującej osobie jest brak jej uprawnień do określonej informacji. Poufny charakter informacji oceniany jest raczej z woli osób biorących udział w spotkaniu, a nie z samej treść przekazu (SN z 27.02.2016 r., OSNKW 2016, Nr 8, poz. 540). 

Czynu tego można się dopuścić poprzez:

  1. „zakładanie” urządzeń podsłuchowych, czyli wszelkie czynności polegające na instalowaniu urządzenia specjalnego w miejscu pozyskania informacji (W. Wróbel, Kodeks karny, t. II 2007, s. 1293). 
  2. posługiwanie się urządzeniem podsłuchowym, wizualnym i innym urządzeniem lub oprogramowaniem stanowi wykorzystywanie takich urządzeń podczas uzyskiwania informacji. Takim urządzeniem może być „każde urządzenie służące do utrwalania obrazu lub dźwięku, a zatem przeznaczone do tego celu urządzenie typu analogowego lub cyfrowego, np. aparat fotograficzny, dyktafon (SN z 27.02.2016 r., OSNKW 2016, Nr 8, poz. 540). Inni przedstawiciele doktryny uważają, że mowa tutaj o urządzeniach, które są przysposobione do uzyskiwania informacji (W. Wróbel, Kodeks Karny, t. 2, 2013, s. 1506-1507). 
  3. Posłużenie się oprogramowaniem, czyli posłużenie się szpiegującym programem komputerowym przechwytującym hasła, w tym:
  • koniem trojańskim (tojan), czyli z pozoru niewinny program, który umożliwiający hackerowi na dokonywanie działań wbrew intencji użytkownika;
  • spyware – program komputerowy przesyłający osobie nim posługującej się informacje o danych osobowych użytkownika, hasłach, numerach kart płatniczych; 
  • backdoor – program komputerowy umożliwiający hackerowi ominięcie zabezpieczeń i dostęp do systemu operacyjnego; 
  • keylogger – program sprawujący kontrolę nad systemem operacyjnym, który rejestruje naciśnięcia klawiatury i przechwytuje hasła. 

Przykłady urządzeń wykorzystywanych do popełnienia tego przestępstwa:

  • aparat fotograficzny,
  • magnetofon,
  • dyktafon,
  • mikrofon,
  • kamera,
  • telefon komórkowy,
  • komputer.

Czyn zagrożony jest karą grzywny, karą ograniczenia wolności albo karą pozbawienia wolności. Przestępstwo ścigane jest wyłącznie na wniosek pokrzywdzonego. 

Przykłady czynów polegających na bezprawnym podsłuchu i naruszeniu tajemnicy komunikacji:

Wśród przykładów czynów, które spełniają przesłanki wskazane w omawianym przepisie będą te polegające na założeniu podsłuchu: 

  • przy stoliku w restauracji, 
  • w samochodzie, 
  • w pokoju hotelowym,
  • w sali narad.

Zainstalowanie w cudzym pojeździe urządzenia służącego do pozyskiwania informacji o trasie jazdy. Bezprawne zainstalowanie w cudzym pojeździe urządzenia służącego do pozyskiwania informacji o trasie jazdy i tym samym o miejscu przebywania danej osoby jest niedozwolone i stanowi czyn zabroniony, o którym mowa w art. 267 § 3 k.k. 

Podsłuch a rozwód

Oskarżone od końca maja 2019r przez okres około dwóch tygodni w B., celem uzyskania informacji, do której nie była uprawniona posłużyła się urządzeniem podsłuchowym w postaci aplikacji szpiegującej w telefonie służbowym swojego męża Z. F. w celu wykrycia zdrady małżeńskiej i dla celów postępowania rozwodowego uzyskując bez uprawnienia dostęp do informacji dla niej nie przeznaczonej, czym działała na szkodę Z. F. (SR Bełchatów, sygn. akt II K 169/21). 

Problemy natury prawnej

  1. Uprawniony do informacji 

Nie popełnia przestępstwa ten, kto posługuje się urządzeniem podsłuchowym opisanym w przepisie art. 267 § 3 k.k. w celu uzyskania informacji, o ile jest do jej uzyskania uprawniony.

2. Odpowiedzialność detektywów

Stosujący podsłuch detektyw naraża się taką samą odpowiedzialność karną, jak każda inna osoba, o ile do uzyskania informacji nie jest uprawniony. Artykuł 45 ustawy o usługach detektywistycznych penalizuje zachowania polegające na wykonywaniu podczas świadczenia usług detektywistycznych czynności ustawowo zastrzeżonych dla organów i instytucji państwowych. Przy wykonywaniu zleconych czynności detektyw ma obowiązek kierować się zasadami etyki oraz lojalnością wobec zlecającego usługę, poza tym powinien działać ze szczególną starannością, aby nie naruszyć wolności i praw człowieka i obywatela (art. 6 ustawy o usługach detektywistycznych). Natomiast zgodnie z art. 7 ww. ustawy, wykonując swoje czynności detektyw nie może stosować środków technicznych oraz metod i czynności operacyjno-rozpoznawczych, zastrzeżonych dla upoważnionych organów na mocy odrębnych przepisów.

3. Znieważenie w prywatnej rozmowie i ochrona dóbr osobistych

Rozmowa prywatna, poufna nie prowadzi do naruszenia godności osoby trzeciej, która w rozmowie nie uczestniczy, wobec tego nie ma ona uprawnienia do nagrywania takiej rozmowy. Dokonując nagrania popełnia przestępstwo i oczywiście działa bezprawnie z punktu widzenia oceny cywilnoprawnej. (P. Księżak, MOP, Niepubliczne naruszenie czci a dopuszczalność i skutki nagrywania i filmowania sytuacji prywatnych – glosa – V CSK 361/13). 

Zdjęcie: pixabay.com

Stan prawny na dzień: 22 sierpnia 2021 roku

Cyberprzestępczość | Cybercrime · Prawo karne | Criminal Law

(2): Nieuprawniony dostęp do całości lub części systemu informatycznego (art. 267 § 2 k.k.) | Cykl „35 cyberprzestępstw w polskim prawie karnym”

Art. 267 § 1 k.k.  Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. (…)

Na czym polega przestępstwo nielegalnego dostępu do całości lub części systemu informatycznego? 

W sytuacji, gdy nie dochodzi do przełamania zabezpieczeń, ale sprawca uzyskuje dostęp do całości lub części systemu informatycznego zastosowanie znajdzie kwalifikacja prawna przestępstwa z art. 267 § 2 k.k. 

Definicja systemu informatycznego znajduje się poza kodeksem karnym w innych aktach prawnych. Zgodnie z art. 1 lit. a ustawy o Krajowym systemie cyberprzestępczości „system informatyczny oznacza każde urządzenie lub grupę wzajemnie połączonych lub związanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem wykonuje automatyczne przetwarzanie danych”.

Uzyskując dostęp do tylko części lub całości systemu informatycznego można uzyskać dostęp do chronionych danych lub jedynie do części konfiguracyjnej (J. Wasilewski, Przestępczość, s.172). 

Czyn zagrożony jest karą grzywny, karą ograniczenia wolności albo karą pozbawienia wolności. Przestępstwo ścigane jest wyłącznie na wniosek pokrzywdzonego. 

Przykłady czynów polegających na nielegalnym dostępie do systemu informatycznego

Przykład nr 1: R.K. został oskarżony o to, że w okresie od dnia 1 lutego 2015 r. do dnia 14 lutego 2015 r. w nieustalonym miejscu bez uprawnienia, uzyskał dostęp do systemu informatycznego zawartego w pamięci telefonu komórkowego Samsung G. nt (…)* użytkowanego wyłącznie przez I.K. w ten sposób, że w dniu 1 lutego 2015 r. w S. wbrew woli pokrzywdzonej I.K. wyrwał jej telefon z ręki i zabrał go, a następnie w nieustalonym dniu, ale nie później niż 3 lutego 2015 r., uzyskał dostęp do zapisanych w nim zdjęć i wiadomości tekstowych, tj. o przestępstwo z art. 267 § 2 k.k. (SO Poznań, sygn. akt IV Ka 5/18)

Przykład nr 2: A.Ś. został oskarżony o to, że w okresie od października 2013 roku do kwietnia 2014 roku w J. i w K., województwa (…), posługując się oprogramowaniem służącym do transferu plików bez uprawnienia uzyskał dostęp do całości systemu informatycznego to jest bazy danych programu komputerowego (…), nazw użytkowników i odpowiadających im haseł dostępu, które były zapisane w plikach konfiguracyjnych, czym działał na szkodę A.L.K., to jest popełnienia czynu wyczerpującego ustawowe znamiona występku określonego art. 267 § 2 k.k. w zw. z art. 12 k.k. i w zw. z art. 4 § 1 k.k. i za to na podstawie art. 267 § 1 k.k. w zw. z art. 267 § 2 k.k. w zw. z art. 12 k.k. i w zw. z art. 4 § 1 k.k. (SO w Świdnicy, sygn. akt IV Ka 720/17)

Przykład nr 3: M.W. został oskarżony o to, że w dniu 29 kwietnia 2014 r. w W. nie będąc do tego uprawnionym, uzyskał dostęp do konta pocztowego (…), logując się do niego z komputera służbowego o numerze IP (…), a następnie po skopiowaniu znajdującej się tam korespondencji mailowej A.W. z K. C. w dniu 11 czerwca 2014 r. uzyskane w ten sposób bezprawnie wiadomości mailowe ujawnił przed Sądem Okręgowym w W. w postępowaniu o sygn. akt III C 1/14 o rozwód pomiędzy M.W. a A. W., tj. o czyn z art. 267 § 2 k.k. w zb. z art. 267 § 4 k.k. w zw. z art. 11 § 2 k.k. (SO Warszawa-Praga w Warszawie, sygn. akt VI Ka 1461/16). 

Problemy natury prawnej

  1. Włamanie do systemu informatycznego dla żartów 

Nie ma znaczenia nieistotność celu uzyskania dostępu do systemu informatycznego. Włamanie do systemu informatycznego chociażby dla żartu powoduje, że można przypisać sprawstwo tego czynu (J. Kosiński, Paradygmaty, s. 51). 

2. Czy wykonywania testów penetracyjnych jest karalne? 

W przypadku pracy pentesterów (etycznych hackerów) zastosowanie znajdzie art. 269c k.k., który czyni bezkarnymi działania mające na celu zabezpieczenie systemu informatycznego, o czym więcej już wkrótce. 

Zdjęcie: pixabay.com

Stan prawny na dzień: 21 sierpnia 2021 roku

Prawo autorskie | Copyright Law · Prawo własności intelektualnej | Intellectual Property Law

Zgoda na rozpowszechnianie wizerunku

 Jak chroniony jest wizerunek według polskiego prawa?

Polskie prawo reguluje, w jaki sposób chroniony jest wizerunek w art 81 ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych. 

Co do zasady, rozpowszechnianie wizerunku wymaga zgody osoby na niej przedstawionej. W ustawie nie zostało określone w jakiej formie ta zgoda powinna zostać udzielona. Zgoda może zostać udzielona ustnie, e-mailem, na piśmie. Forma pisemna jest najbardziej wartościowa pod względem dowodowym i w związku z tym zalecana.

Prawo dopuszcza dwa wyjątki, kiedy taka zgoda nie jest wymagana:

  1. osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;
  2. osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

Jakie uprawnienia przysługują osobie, której wizerunek jest rozpowszechniany bez jej zgody? 

  • żądanie zaniechania
  • żądanie usunięcia skutków poprzez złożenie publicznie oświadczenia o odpowiedniej treści i formie
  • w razie zawinienia żądanie przyznania odpowiedniej sumy tytułem zadośćuczynienia lub na żądanie twórcy zobowiązać do uiszczenia sumy pieniężnej na wskazany cel społeczny (art. 78 ust. 1 ustawy)

Zgoda na rozpowszechnianie wizerunku a zapłata 

Czytaj dalej „Zgoda na rozpowszechnianie wizerunku”
Prawo cyberbezpieczeństwa | Cybersecurity Law · Prawo usług płatniczych | Payment Service Law

Nieautoryzowane transakcje i utrata środków – co zrobić?

W związku z postępem technologicznym oraz wzmożoną aktywnością społeczeństwa w Internecie w czasie epidemii wzrasta liczba zgłaszanych nieautoryzowanych transakcji. Coraz częściej dochodzi do oszustw za pośrednictwem portali sprzedażowych i komunikatorów internetowych.

Kiedy transakcja jest nieautoryzowana? 

Regulacje dotyczące transakcji płatniczych nie zawierają definicji transakcji nieautoryzowanej. Znaleźć w nich można jedynie wyjaśnienie, kiedy transakcję można uznać za autoryzowaną. Transakcję uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych (art. 40 ustawy o usługach płatniczych). 

W związku z tym, za nieautoryzowaną transakcję uznaje się transakcję wykonaną bez zgody płatnika niezależnie, czy była dokonana z użyciem lub bez użycia instrumentu płatniczego. Co ma istotne znaczenie w sytuacjach, w których dochodzi do kradzieży, oszustw i innych przestępstw. 

Jakie obowiązki ma korzystający z instrumentu płatniczego?

Korzystający z instrumentu płatniczego powinien korzystać z instrumentu płatniczego zgodnie z postanowieniami zawartej umowy, w szczególności odpowiednio go przechowywać i nie udostępniać osobom trzecim. Natomiast w przypadku jego utraty niezwłocznie dokonać zgłoszenia (zastrzeżenia karty). 

Zastrzeżenia można dokonać telefonując na infolinię banku lub infolinię Zintegrowanego Systemu Zastrzegania Kart Płatniczych (usługa dostępna dla klientów niektórych banków). 

Prawo do zwrotu środków (chargeback)

W razie wystąpienia transakcji nieautoryzowanej płatnik powinien niezwłocznie poinformować o tym dostawcę. Termin na dokonanie zgłoszenia takiej transakcji wynosi 13 miesięcy od dnia wykonania takiej transakcji lub obciążenia rachunku. Po tym terminie roszczeni wygasają. 

Odpowiedzialność płatnika za nieautoryzowaną transakcję jest ograniczona do kwoty 50 euro po przeliczeniu jej według średniego kursu ogłoszonego przez NBP obowiązującego w dniu dokonania transakcji (art.46 ust. 2 ustawy o usługach płatniczych). Jedynie w dwóch przypadkach płatnik ponosi odpowiedzialność za dokonaną transakcję:

Czytaj dalej „Nieautoryzowane transakcje i utrata środków – co zrobić?”
Cyberprzestępczość | Cybercrime

Kampania „16 dni Akcji Przeciwko Przemocy Wobec Kobiet”; cyberprzemoc


Dzisiaj rusza kampania „16 dni akcji przeciwko przemocy wobec kobiet”. 

Przy tej okazji warto zwrócić uwagę na to, że kobiety doświadczają przemocy również w sieci. #PrzemocOnline #OnlineViolance#Cyberprzemoc

Jak podaje Amnesty International, aż ¼ młodych użytkowniczek Internetu (18-34) w Polsce doświadczyła cyberprzemocy przynajmniej raz. Zwykle były to seksistowskie czy przemocowe komentarze wobec nich. Przeważająca większość respondentek (78%) czuła bezradność i osamotnienie w obliczu cyberprzemocy. Większość doświadczyła też obniżenia samoceny i pewności siebie oraz poczucia izolacji. Zaskakujący może być wynik dotyczący sprawców: prawie połowa kobiet powiedziała, że była to osoba w jakiś stopniu jej znana. Natomiast 9% wskazała jako sprawcę byłego lub obecnego partnera. Więcej: https://amnesty.org.pl/cyberprzemoc-wobec-kobiet-powszechn…/

Bez kategorii

(1) Przestępstwo hackingu w polskim prawie karnym | Cykl „35 cyberprzestępstw w polskim prawie karnym”

HACKING W UJĘCIU Z ART. 267 § 1 Kodeksu karnego

CZYM JEST HACKING?

Myśląc zwykle o hackingu na myśl przychodzi zachowanie hackera, który wykorzystując swoje umiejętności techniczne bez uprawnienia przełamuje zabezpieczenie i uzyskuje dostęp do systemu lub informacji. Hackera charakteryzuje różnoraka motywacja, ale zwykle nie jest to uzyskanie korzyści majątkowej albo nie stanowi to jego głównego celu. 

JAK PRAWO CHRONI PRZED HACKINGIEM?

Polskie prawo karne nie przewiduje jednej kwalifikacji prawnej, która odnosiłaby się do przestępstwa hackingu. 

Najczęściej czynom dokonywanym przez hackerów odpowiada art. 267 Kodeksu karnego i zgodnie z jego § 1 „kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej (…), przełamując albo omijając elektroniczne, informatyczne jej zabezpieczenie (…)”. Uznać można, że hacking stanowi współczesne przestępstwo naruszenia tajemnicy korespondencji. 

Przypuszcza się, że skala tego przestępstwa nie znajduje odzwierciedlenia w oficjalnych statystykach. 

PRZESŁANKI POPEŁNIENIA PRZESTĘPSTWA HACKINGU

Aby móc przyjąć, że doszło do popełnienia „klasycznego” przestępstwa hackingu z art. 267 § 1 k.k. muszą zostać spełnione następujące przesłanki:

  • brak upoważnienia do uzyskania dostępu do tych informacji;
  • samo uzyskanie dostępu wystarczy;
  • informacje nie są przeznaczone dla osoby, która uzyskała do nich dostęp;
  • uprzednie ustanowienie zabezpieczeń
  • działanie poprzez przełamanie lub ominięcie zabezpieczeń.

JAK DZIAŁA SPRAWCA HACKINGU? 

W dużym uproszczeniu przepis art. 267 § 1 Kodeksu karnego odnosi się do ochrony tajemnicy korespondencji, czyli nieprzeznaczonej dla sprawcy informacji, z którą, aby popełnić przestępstwo wcale nie musi się zapoznać czy też jej zrozumieć. Wystarczy, że sprawca uzyska do niej dostęp i to już naraża go na odpowiedzialność.

Hacker może działać:

  • przełamując,
  • omijając,

– elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenia informacji.

W tym kontekście zabezpieczenie rozumiane jest jako wszelka forma utrudniania dostępu do informacji, których usunięcie wymaga wiedzy specjalnej lub posiadania szczególnego urządzenia lub kodu czy np. szyfrowania danych, zapory ogniowe i programy antywirusowe.

JAKA KARA GROZI ZA HACKING?

Czytaj dalej „(1) Przestępstwo hackingu w polskim prawie karnym | Cykl „35 cyberprzestępstw w polskim prawie karnym””