Hubert Skrzypulec

19.11.2008r.

ZiIP 3.2 Zabrze

POLITECHNIKA ŚLĄSKA W GLIWICACH

WYDZIAŁ ORGANIZACJI I ZARZĄDZANIA

Katedra Administracji i Prawa

Prawo

Przestępstwa komputerowe w świetle

Kodeksu Karnego z dnia 6 czerwca 1997 r.

Strona 2 z 10

Wstęp

Rozwój informatyki i Internetu wprowadził wiele wygód i ułatwień. Dzięki niemu już nie

musimy stać w kolejkach na poczcie, żeby zapłacić rachunki; zamiast biegać do marketu po

telewizor możemy go zamówić nie wychodząc z domu (nie rzadko dużo taniej); większość z

nas już nie pamięta jak wygląda znaczek pocztowy, a na pytanie jaki sport najbardziej lubisz

część bez zastanowienia odpowiada e-sport.

Niestety jak to w życiu bywa każdy kij ma dwa końce. Samochody, gdy zostały

wymyślone miały służyć przemieszczaniu się ludzi, a nie uciekaniu przed policją. Podobnie

jest z Internetem i technologią komputerową. Dla pewnej grupy osób stały się one świetnym

miejscem do poprawiania swojej sytuacji finansowej. Dzięki Internetowi nie musimy chodzić

na pocztę z rachunkami, ale też nie musimy tam iść, żeby ją obrabować. Stąd tak jak i jazda

samochodem został obwarowana przepisami tak też i przestrzeń komputerowa musiała

uzyskać regulacje prawne. Do polskiego kodeksu karnego wprowadzono cały rozdział XXXIII –

„Przestępstwa przeciwko ochronie informacji”, w którym szczegółowo zostały one opisane.

Niniejszy referat poświęcam właśnie przestępstwom komputerowym.

HACKING

Zgodnie z art. 267 Kodeksu Karnego:

§ 1 Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając

zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub

przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Opisane wyżej zachowanie znane jest jako hacking. Hacker ponosi odpowiedzialność

karną za zapoznanie się z treścią przechowywanej w systemie komputerowym informacji,

pod warunkiem że uzyska do niej dostęp na skutek przełamania zabezpieczeń. Nie ma przy

tym znaczenia, czy tę informację w jakikolwiek sposób wykorzysta, zniszczy, usunie, czy też

ujawni innym osobom. Należy tutaj podkreślić, że za hacking może nie odpowiadać osoba,

która wykorzystuje lukę w konfiguracji lub systemie operacyjnym i dzięki niej uzyskuje

informację znajdującą się w danym systemie informatycznym. Będzie tak po spełnieniu

dwóch warunków: wykorzystanie owej „luki” nie wymaga ingerencji w zapis znajdujący się

Strona 3 z 10

na komputerowym nośniku informacji ani korzystania ze specjalnego oprogramowania.

Ponadto można sobie wyobrazić sytuację, w której hacker nie uzyskuje dostępu do

określonego systemu informatycznego w celu uzyskania jakichkolwiek informacji, ale np. aby

wykazać, że ów system ma właśnie błędy umożliwiające taki dostęp i dodatkowo sprawdzić

swoje umiejętności. Jeżeli w wyniku takiego działania nie zapozna się z żadnymi danymi

znajdującymi się w tym systemie, to trudno postawić mu zarzut z tego artykułu.

SNIFFING

Artykuł 267 § 2 Kodeksu karnego mówi:

Tej samej karze (grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2)

podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub

posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.

Urządzeniem, o którym tu mowa, jest np. komputer wyposażony w specjalny program

umożliwiający uzyskanie zastrzeżonej informacji. Takimi programami są popularne sniffery -

programy monitorujące ruch w sieci i umożliwiające przechwytywanie przesyłanych w niej

danych (w tym haseł i identyfikatorów użytkowników). Posługiwanie się takimi programami

jest więc co do zasady karalne. Zarzut naruszenia tego artykułu można również postawić

osobom posługującymi się różnego typu mikrofonami i innymi urządzeniami podsłuchowymi,

a także mikrokamerami, nawet jeżeli w żaden sposób nie wykorzystują oni bezprawnie

uzyskanych informacji.

HIJACKING

Session hijacking polega na uzyskiwania nieuprawnionego dostępu do systemów

komputerowych na skutek przechwycenia sesji legalnego użytkownika. Hijackerowi można

postawić zarzut z art. 267 § 2 Kodeksu karnego, który zakazuje posługiwania się

komputerami wyposażonymi w specjalne oprogramowanie w celu uzyskiwania

zastrzeżonych informacji. Uzyskanie nieuprawnionego dostępu z reguły wiąże się bowiem z

dostępem do zastrzeżonych informacji.

Strona 4 z 10

SPOOFING

To z kolei popularne określenie "podszywania się" pod innego użytkownika sieci, przez

fałszowanie pakietów zawierających adres uprawnionego nadawcy. Takie działanie

przeważnie również stanowi naruszenie art. 267 Kodeksu karnego.

CRACKING

Zgodnie z art. 268 Kodeksu karnego:

§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis

istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej

zapoznanie się z nią,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych,

sprawca podlega karze pozbawienia wolności do lat 3.

To przestępstwo jest popełniane przez internetowych "włamywaczy", bezprawnie

ingerujących w zawartość stron WWW innych podmiotów.

Szczególnie niebezpieczne jest niszczenie lub zmienianie informacji umieszczonych na

serwerach rządowych, samorządowych lub innych, mających szczególne znaczenie dla

bezpieczeństwa lub obronności Polski. Zgodnie bowiem z art. 269 Kodeksu karnego:

§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym

znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji

rządowej, innego organu państwowego lub instytucji państwowej albo samorządu

terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub

przekazywanie takich danych,

podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo

wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące

do

automatycznego

przetwarzania,

gromadzenia

lub

przekazywania

danych

informatycznych.

Strona 5 z 10

W Kodeksie Karnym możemy przeczytać również o innych przestępstwach

komputerowych:

Art. 165. § 1. Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo

dla mienia w wielkich rozmiarach:

1) powodując zagrożenie epidemiologiczne lub szerzenie się choroby zakaźnej albo

zarazy zwierzęcej lub roślinnej,

2) wyrabiając lub wprowadzając do obrotu szkodliwe dla zdrowia substancje, środki

spożywcze lub inne artykuły powszechnego użytku lub też środki farmaceutyczne nie

odpowiadające obowiązującym warunkom jakości,

3) powodując uszkodzenie lub unieruchomienie urządzenia użyteczności publicznej, w

szczególności urządzenia dostarczającego wodę, światło, ciepło, gaz, energię albo urządzenia

zabezpieczającego przed nastąpieniem niebezpieczeństwa powszechnego lub służącego do

jego uchylenia,

4) zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne

przetwarzanie, gromadzenie lub przekazywanie danych informatycznych,

5) działając w inny sposób w okolicznościach szczególnie niebezpiecznych,

podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

Na powyższym przykładzie widzimy z jaką powagą ustawodawca odnosi się do

możliwych szkód wyrządzonych poprzez zakłócenie lub uniemożliwienie przetwarzania

informacji. W § 2 powyższego artykułu możemy przeczytać iż działalność nieumyślna jest

zagrożona pozbawieniem wolności do lat 3.

Art. 269.

§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym

znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji

rządowej, innego organu państwowego lub instytucji państwowej albo samorządu

terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub

przekazywanie takich danych,

podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo

wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące

Strona 6 z 10

do

automatycznego

przetwarzania,

gromadzenia

lub

przekazywania

danych

informatycznych.

Art. 269a.

Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie,

uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu

komputerowego lub sieci teleinformatycznej,

podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 269b.

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub

programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165

§ 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a

także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji

przechowywanych w systemie komputerowym lub sieci teleinformatycznej,

podlega karze pozbawienia wolności do lat 3.

§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek

określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności

sprawcy.

Jak widzimy powyższe przestępstwa są sankcjonowane na równi z Art. 135 Kodeksu

Karnego.

§ 1. Kto dopuszcza się czynnej napaści na Prezydenta Rzeczypospolitej Polskiej, podlega

karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 2. Kto publicznie znieważa Prezydenta Rzeczypospolitej Polskiej, podlega karze

pozbawienia wolności do lat 3.

Jak również z Art. 199.

§ 1. Kto, przez nadużycie stosunku zależności lub wykorzystanie krytycznego położenia,

doprowadza inną osobę do obcowania płciowego lub do poddania się innej czynności

seksualnej albo do wykonania takiej czynności,

podlega karze pozbawienia wolności do lat 3.

§ 2. Jeżeli czyn określony w § 1 został popełniony na szkodę małoletniego, sprawca

podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Strona 7 z 10

Możemy stąd wywnioskować, że według ustawodawcy przestępstwa komputerowe

mają dużą szkodliwość społeczną.

Trzeba oczywiście również wspomnieć o Przestępstwach przeciwko mieniu, które z

powodzeniem można za pomocą komputera i Internetu popełniać siedząc wygodnie w

fotelu. Wspomniane wcześniej przepisy traktowały o ochronie informacji i bezpieczeństwa

publicznego. Przytoczone poniżej artykuły Kodeksu Karnego mówią o nielegalnym

pozyskiwaniu programów komputerowych i osiąganiu dzięki temu korzyści majątkowych.

Art. 278.

§ 1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze

pozbawienia wolności od 3 miesięcy do lat 5.

§ 2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program

komputerowy w celu osiągnięcia korzyści majątkowej.

Pod ten artykuł z pewnością podpadają straganowi sprzedawcy oprogramowania po

promocyjnych cenach. Niestety również nabywcy, świadomi nielegalnego źródła

nabywanego w takich miejscach oprogramowania łamią prawo:

Art. 292.

§ 1. Kto rzecz, o której na podstawie towarzyszących okoliczności powinien i może

przypuszczać, że została uzyskana za pomocą czynu zabronionego, nabywa lub pomaga do

jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Z tego wynika, że dla naszego dobra powinniśmy zaopatrywać się w oprogramowanie

jedynie w licencjonowanych punktach sprzedaży. Podczas zakupu koniecznie sprawdzić

obecność hologramów i innych oznaczeń, które świadczą o legalności zakupywanego przez

nas programu.

Z tego krótkiego zestawienia przepisów wynika, że Internet i komputery to nie tylko

szanse. Również w wirtualnym świecie czyha na nas wiele zagrożeń. Począwszy od

wścibskich znajomych, którzy się nam włamują do gadu-gadu, przez fałszywe witryny

bankowe po sabotaż i działalność na rzecz obcych wywiadów. Na zakończenie referatu

przedstawię jeszcze jeden bardzo ciekawy przypadek, które łączy się z omawianą tematyką.

Strona 8 z 10

Artykuł opublikowany w serwisie prawo.vagla.pl

Jutro, tj. 28 października, mężczyzna z Cieszyna stanie przed sądem w związku z

pozycjonowaniem strony prezydent.pl. O akcie oskarżenia w tej sprawie pisałem w tekście Za

SEO i znieważenie Prezydenta RP akt oskarżenia (wrzesień 2007). Proces będzie się toczył

przed Sądem Okręgowym w Bielsku-Białej. Być może będzie to krótki proces, gdyż 24-letni

mężczyzna przyznał się do przygotowania (tajemniczego dla mnie) programu do

pozycjonowania stron. Przy okazji można by spróbować odpowiedzieć na szereg innych

pytań, np. co to znaczy "oficjalna" witryna internetowa Prezydenta RP? Mężczyzna wniósł o

dobrowolne poddanie się karze...

Rok temu akt oskarżenia przeciwko Markowi W. miał trafić do Sądu Rejonowego w

Cieszynie, teraz mowa o bielskim Sądzie Okręgowym. Pisze o tym - za PAP - Gazeta.pl, w

tekście Internauta, oskarżony o obrazę prezydenta, stanie przed sądem. Notatka PAP jest

krótka i nie ma tam nowych informacji o dyskusji na temat czynu przypisywanego

oskarżonemu. Mamy niedawne doniesienie dotyczące wpisu w blogu posła Palikota (por. O

zniewadze i pytaniach opublikowanych w blogu), gdzie również chodziło o potencjalne

znieważenie Prezydenta RP. Wówczas sędzia Sądu Okręgowego wyjaśniał, że "zniewaga to

takie zachowanie, które według powszechnie przyjętych ocen stanowi wyraz pogardy dla

drugiego człowieka". Sąd uznał, że wpis w blogu wraz z pytaniem: "Czy prezydent Lech

Kaczyński nadużywa alkoholu?" nie był zniewagą prezydenta. Mamy też doniesienie Akt

oskarżenia za wykorzystanie stron policyjnych do pozycjonowania, a tam, w skierowanym do

Sądu Rejonowego dla Krakowa Śródmieścia akcie oskarżenia, zarzucano funkcjonariuszowi,

"że jako funkcjonariusz policji i administrator policyjnej strony internetowej przekroczył z

chęci zysku uprawnienia, umieszczając na stronie "ukryte linki - odsyłacze do stron

cywilnych"". Tu nie chodziło o znieważenie prezydenta, ale chodziło o SEO (search engine

optimization), a nawet nie o samo SEO, a wparcie przy budowie "zaplecza" SEO i

przekroczenie uprawnień. Nie wiem, jak się zakończył ten proces (o ile się zakończył).

Zgodnie z art. 135. § 2. kodeksu karnego: "Kto publicznie znieważa Prezydenta

Rzeczypospolitej Polskiej, podlega karze pozbawienia wolności do lat 3". Mamy

rozstrzygnięcie Sądu Apelacyjnego z dnia 30 stycznia 2002 r. (II AKa 577/01) i glosę prof.

Stanisława Hoca, w której to glosie można przeczytać tezę: "przepis art. 135 § 2 k.k. nie

obejmuje przypadków zniesławienia, dlatego też w przypadku zniesławienia Prezydenta RP

mają zastosowanie przepisy art. 216 k.k".

Strona 9 z 10

W sprawie zaś związanej z wykorzystaniem mechanizmów wyszukiwania Google (por.

dział wyszukiwanie), by wypozycjonować "oficjalną stronę Prezydenta RP" tak, by po

wpisaniu w wyszukiwarce określonego (obraźliwego?) hasła na pierwszym miejscu wyników

wyszukiwania pojawiła się właśnie strona Prezydenta, można postawić kilka pytań: Czy

ktokolwiek zwrócił się do usługodawcy (w tym przypadku - być może - spółki Google; por.

Pytania prejudycjalne na temat działania internetowych wyszukiwarek) w trybie art. 14

ustawy o świadczeniu usług drogą elektroniczną, tj. notice and takedown? Czy osoby

zatrudniane w takich spółkach jak Google mogą również ponosić odpowiedzialność za

publiczne znieważenie Prezydenta RP w związku z mechanizmem działania wyszukiwarki

(por. Depozycjonowanie: prowokuję do dyskusji). Jaka jest relacja między znieważeniem

osoby Prezydenta, a pozycjonowaniem witryny internetowej na temat Prezydenta?

Wcześniej należałoby odpowiedzieć na pytanie: na jakiej zasadzie funkcjonuje witryna

internetowa Prezydenta RP (por. Czy "własne" serwisy internetowe administracji publicznej

działają legalnie?, o witrynę Prezydenta pytałem również w tekście Gruzja: Wojna

elektroniczna - potwierdzono atak na infrastrukturę teleinformatyczną, w kontekście zasad,

na jakich na witrynie Prezydenta RP pojawiają się notatki gruzińskiego MSZ). Być może

kolejne rozstrzygnięcia sądowe mogłyby pozwolić na formułowanie wniosku, że

potencjalnym znieważeniem Prezydenta RP byłoby również pozycjonowanie innych witryn "o

Prezydencie RP", niekoniecznie tych "oficjalnych" (np. wypozycjonowanie "neutralnej"

witryny na temat publicznej działalności Prezydenta RP, którą to witrynę prowadziłaby np.

jakaś organizacja pozarządowa; warto pamiętać, że np. abonentem domeny

prezydent.com.pl jest osoba prywatna).

Oczywiście znieważenie Prezydenta i zasady, na których działa "oficjalny serwis

Prezydenta" to dwie sprawy, które należy analizować oddzielnie, ale może wyrok Sądu

Okręgowego, który zapadłby w sprawie 24-latka z Cieszyna, mógłby odpowiedzieć na pytanie

w sprawie podstaw prawnych funkcjonowania witryny dostępnej pod domeną prezydent.pl

(kiedy jakaś witryna administracji publicznej staje się "oficjalną" witryną?; witryna i domena

to również dwie sprawy). Warto przy tym pamiętać, że dopiero tuż przed ukończeniem

drugiej kadencji Prezydenta Kwaśniewskiego domena prezydent.pl, zarejestrowana

wcześniej na prywatną osobę została przerejestrowana na Kancelarię Prezydenta RP (kto

podjął decyzję? Czy wcześniej również była tam "oficjalna strona prezydenta"?).

Strona 10 z 10

Warto też pamiętać o doniesieniach sprzed wejścia Polski do Unii Europejskiej, gdy w

Internecie przekazywano sobie spreparowany link (wykorzystujący Cross site scripting, XSS),

który prowadził do serwisu prezydent.pl i - dzięki błędom konstrukcji witryny dostępnej pod

tą domeną - prezentował odwiedzającemu komunikat, przekazywany w tym linku, czyli:

Wszyscy obywatele będący kibicami Lecha Poznań zostaną wydaleni z kraju w ciągu

najbliższych trzech dni. Jest to kolejny krok w stronę dostosowania praw obowiązujących w

Unii Europejskiej, do której Polska wchodzi już 1 maja 2004

Oczywiście wyżej pokazałem jedynie przykład, bo mechanizm XSS pozwalał na

zaprezentowanie na witrynie dostępnej wówczas pod domeną prezydent.pl dowolnego

komunikatu, dowolnej grafiki (por. Nareszcie ktoś zauważył i nagłośnił..., A serwis prezydenta

nadal dziurawy...). Czy sposób, w jaki wykonana została witryna Prezydenta RP (gdy już

ustalimy mechanizm, dzięki któremu można powiedzieć, że jakaś witryna jest właśnie

witryną "oficjalną"), sam w sobie może być uznany za znieważenie Prezydenta i - w związku z

tym - podlegać karze pozbawienia wolności do lat trzech? Czy pracownicy Kancelarii

Prezydenta RP, którzy "opiekują się" witryną, również mogą być uznani winnymi publicznego

znieważenia Prezydenta, jeśli wiedząc o błędach ich nie poprawiają (por. Uwagi do serwisu

prezydent.pl)?

Źródła:

1. http://lpstudent.lexpolonica.pl/

2. http://prawo.vagla.pl/

3. http://www.digit.pl/artykuly/44743/Prawo.a.Internet.html