Hubert Skrzypulec
19.11.2008r.
ZiIP 3.2 Zabrze
POLITECHNIKA ŚLĄSKA W GLIWICACH
WYDZIAŁ ORGANIZACJI I ZARZĄDZANIA
Katedra Administracji i Prawa
Prawo
Przestępstwa komputerowe w świetle
Kodeksu Karnego z dnia 6 czerwca 1997 r.
Hubert Skrzypulec
19.11.2008r.
ZiIP 3.2 Zabrze
POLITECHNIKA ŚLĄSKA W GLIWICACH
WYDZIAŁ ORGANIZACJI I ZARZĄDZANIA
Katedra Administracji i Prawa
Prawo
Przestępstwa komputerowe w świetle
Kodeksu Karnego z dnia 6 czerwca 1997 r.
Strona 2 z 10
Wstęp
Rozwój informatyki i Internetu wprowadził wiele wygód i ułatwień. Dzięki niemu już nie
musimy stać w kolejkach na poczcie, żeby zapłacić rachunki; zamiast biegać do marketu po
telewizor możemy go zamówić nie wychodząc z domu (nie rzadko dużo taniej); większość z
nas już nie pamięta jak wygląda znaczek pocztowy, a na pytanie jaki sport najbardziej lubisz
część bez zastanowienia odpowiada e-sport.
Niestety jak to w życiu bywa każdy kij ma dwa końce. Samochody, gdy zostały
wymyślone miały służyć przemieszczaniu się ludzi, a nie uciekaniu przed policją. Podobnie
jest z Internetem i technologią komputerową. Dla pewnej grupy osób stały się one świetnym
miejscem do poprawiania swojej sytuacji finansowej. Dzięki Internetowi nie musimy chodzić
na pocztę z rachunkami, ale też nie musimy tam iść, żeby ją obrabować. Stąd tak jak i jazda
samochodem został obwarowana przepisami tak też i przestrzeń komputerowa musiała
uzyskać regulacje prawne. Do polskiego kodeksu karnego wprowadzono cały rozdział XXXIII –
„Przestępstwa przeciwko ochronie informacji”, w którym szczegółowo zostały one opisane.
Niniejszy referat poświęcam właśnie przestępstwom komputerowym.
HACKING
Zgodnie z art. 267 Kodeksu Karnego:
§ 1 Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając
zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub
przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Opisane wyżej zachowanie znane jest jako hacking. Hacker ponosi odpowiedzialność
karną za zapoznanie się z treścią przechowywanej w systemie komputerowym informacji,
pod warunkiem że uzyska do niej dostęp na skutek przełamania zabezpieczeń. Nie ma przy
tym znaczenia, czy tę informację w jakikolwiek sposób wykorzysta, zniszczy, usunie, czy też
ujawni innym osobom. Należy tutaj podkreślić, że za hacking może nie odpowiadać osoba,
która wykorzystuje lukę w konfiguracji lub systemie operacyjnym i dzięki niej uzyskuje
informację znajdującą się w danym systemie informatycznym. Będzie tak po spełnieniu
dwóch warunków: wykorzystanie owej „luki” nie wymaga ingerencji w zapis znajdujący się
Strona 3 z 10
na komputerowym nośniku informacji ani korzystania ze specjalnego oprogramowania.
Ponadto można sobie wyobrazić sytuację, w której hacker nie uzyskuje dostępu do
określonego systemu informatycznego w celu uzyskania jakichkolwiek informacji, ale np. aby
wykazać, że ów system ma właśnie błędy umożliwiające taki dostęp i dodatkowo sprawdzić
swoje umiejętności. Jeżeli w wyniku takiego działania nie zapozna się z żadnymi danymi
znajdującymi się w tym systemie, to trudno postawić mu zarzut z tego artykułu.
SNIFFING
Artykuł 267 § 2 Kodeksu karnego mówi:
Tej samej karze (grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2)
podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub
posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
Urządzeniem, o którym tu mowa, jest np. komputer wyposażony w specjalny program
umożliwiający uzyskanie zastrzeżonej informacji. Takimi programami są popularne sniffery -
programy monitorujące ruch w sieci i umożliwiające przechwytywanie przesyłanych w niej
danych (w tym haseł i identyfikatorów użytkowników). Posługiwanie się takimi programami
jest więc co do zasady karalne. Zarzut naruszenia tego artykułu można również postawić
osobom posługującymi się różnego typu mikrofonami i innymi urządzeniami podsłuchowymi,
a także mikrokamerami, nawet jeżeli w żaden sposób nie wykorzystują oni bezprawnie
uzyskanych informacji.
HIJACKING
Session hijacking polega na uzyskiwania nieuprawnionego dostępu do systemów
komputerowych na skutek przechwycenia sesji legalnego użytkownika. Hijackerowi można
postawić zarzut z art. 267 § 2 Kodeksu karnego, który zakazuje posługiwania się
komputerami wyposażonymi w specjalne oprogramowanie w celu uzyskiwania
zastrzeżonych informacji. Uzyskanie nieuprawnionego dostępu z reguły wiąże się bowiem z
dostępem do zastrzeżonych informacji.
Strona 4 z 10
SPOOFING
To z kolei popularne określenie "podszywania się" pod innego użytkownika sieci, przez
fałszowanie pakietów zawierających adres uprawnionego nadawcy. Takie działanie
przeważnie również stanowi naruszenie art. 267 Kodeksu karnego.
CRACKING
Zgodnie z art. 268 Kodeksu karnego:
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis
istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej
zapoznanie się z nią,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych,
sprawca podlega karze pozbawienia wolności do lat 3.
To przestępstwo jest popełniane przez internetowych "włamywaczy", bezprawnie
ingerujących w zawartość stron WWW innych podmiotów.
Szczególnie niebezpieczne jest niszczenie lub zmienianie informacji umieszczonych na
serwerach rządowych, samorządowych lub innych, mających szczególne znaczenie dla
bezpieczeństwa lub obronności Polski. Zgodnie bowiem z art. 269 Kodeksu karnego:
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym
znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji
rządowej, innego organu państwowego lub instytucji państwowej albo samorządu
terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub
przekazywanie takich danych,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo
wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące
do
automatycznego
przetwarzania,
gromadzenia
lub
przekazywania
danych
informatycznych.
Strona 5 z 10
W Kodeksie Karnym możemy przeczytać również o innych przestępstwach
komputerowych:
Art. 165. § 1. Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo
dla mienia w wielkich rozmiarach:
1) powodując zagrożenie epidemiologiczne lub szerzenie się choroby zakaźnej albo
zarazy zwierzęcej lub roślinnej,
2) wyrabiając lub wprowadzając do obrotu szkodliwe dla zdrowia substancje, środki
spożywcze lub inne artykuły powszechnego użytku lub też środki farmaceutyczne nie
odpowiadające obowiązującym warunkom jakości,
3) powodując uszkodzenie lub unieruchomienie urządzenia użyteczności publicznej, w
szczególności urządzenia dostarczającego wodę, światło, ciepło, gaz, energię albo urządzenia
zabezpieczającego przed nastąpieniem niebezpieczeństwa powszechnego lub służącego do
jego uchylenia,
4) zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne
przetwarzanie, gromadzenie lub przekazywanie danych informatycznych,
5) działając w inny sposób w okolicznościach szczególnie niebezpiecznych,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
Na powyższym przykładzie widzimy z jaką powagą ustawodawca odnosi się do
możliwych szkód wyrządzonych poprzez zakłócenie lub uniemożliwienie przetwarzania
informacji. W § 2 powyższego artykułu możemy przeczytać iż działalność nieumyślna jest
zagrożona pozbawieniem wolności do lat 3.
Art. 269.
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym
znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji
rządowej, innego organu państwowego lub instytucji państwowej albo samorządu
terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub
przekazywanie takich danych,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo
wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące
Strona 6 z 10
do
automatycznego
przetwarzania,
gromadzenia
lub
przekazywania
danych
informatycznych.
Art. 269a.
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie,
uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu
komputerowego lub sieci teleinformatycznej,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Art. 269b.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub
programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165
§ 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a
także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji
przechowywanych w systemie komputerowym lub sieci teleinformatycznej,
podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek
określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności
sprawcy.
Jak widzimy powyższe przestępstwa są sankcjonowane na równi z Art. 135 Kodeksu
Karnego.
§ 1. Kto dopuszcza się czynnej napaści na Prezydenta Rzeczypospolitej Polskiej, podlega
karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Kto publicznie znieważa Prezydenta Rzeczypospolitej Polskiej, podlega karze
pozbawienia wolności do lat 3.
Jak również z Art. 199.
§ 1. Kto, przez nadużycie stosunku zależności lub wykorzystanie krytycznego położenia,
doprowadza inną osobę do obcowania płciowego lub do poddania się innej czynności
seksualnej albo do wykonania takiej czynności,
podlega karze pozbawienia wolności do lat 3.
§ 2. Jeżeli czyn określony w § 1 został popełniony na szkodę małoletniego, sprawca
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Strona 7 z 10
Możemy stąd wywnioskować, że według ustawodawcy przestępstwa komputerowe
mają dużą szkodliwość społeczną.
Trzeba oczywiście również wspomnieć o Przestępstwach przeciwko mieniu, które z
powodzeniem można za pomocą komputera i Internetu popełniać siedząc wygodnie w
fotelu. Wspomniane wcześniej przepisy traktowały o ochronie informacji i bezpieczeństwa
publicznego. Przytoczone poniżej artykuły Kodeksu Karnego mówią o nielegalnym
pozyskiwaniu programów komputerowych i osiąganiu dzięki temu korzyści majątkowych.
Art. 278.
§ 1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze
pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program
komputerowy w celu osiągnięcia korzyści majątkowej.
Pod ten artykuł z pewnością podpadają straganowi sprzedawcy oprogramowania po
promocyjnych cenach. Niestety również nabywcy, świadomi nielegalnego źródła
nabywanego w takich miejscach oprogramowania łamią prawo:
Art. 292.
§ 1. Kto rzecz, o której na podstawie towarzyszących okoliczności powinien i może
przypuszczać, że została uzyskana za pomocą czynu zabronionego, nabywa lub pomaga do
jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Z tego wynika, że dla naszego dobra powinniśmy zaopatrywać się w oprogramowanie
jedynie w licencjonowanych punktach sprzedaży. Podczas zakupu koniecznie sprawdzić
obecność hologramów i innych oznaczeń, które świadczą o legalności zakupywanego przez
nas programu.
Z tego krótkiego zestawienia przepisów wynika, że Internet i komputery to nie tylko
szanse. Również w wirtualnym świecie czyha na nas wiele zagrożeń. Począwszy od
wścibskich znajomych, którzy się nam włamują do gadu-gadu, przez fałszywe witryny
bankowe po sabotaż i działalność na rzecz obcych wywiadów. Na zakończenie referatu
przedstawię jeszcze jeden bardzo ciekawy przypadek, które łączy się z omawianą tematyką.
Strona 8 z 10
Artykuł opublikowany w serwisie prawo.vagla.pl
Jutro, tj. 28 października, mężczyzna z Cieszyna stanie przed sądem w związku z
pozycjonowaniem strony prezydent.pl. O akcie oskarżenia w tej sprawie pisałem w tekście Za
SEO i znieważenie Prezydenta RP akt oskarżenia (wrzesień 2007). Proces będzie się toczył
przed Sądem Okręgowym w Bielsku-Białej. Być może będzie to krótki proces, gdyż 24-letni
mężczyzna przyznał się do przygotowania (tajemniczego dla mnie) programu do
pozycjonowania stron. Przy okazji można by spróbować odpowiedzieć na szereg innych
pytań, np. co to znaczy "oficjalna" witryna internetowa Prezydenta RP? Mężczyzna wniósł o
dobrowolne poddanie się karze...
Rok temu akt oskarżenia przeciwko Markowi W. miał trafić do Sądu Rejonowego w
Cieszynie, teraz mowa o bielskim Sądzie Okręgowym. Pisze o tym - za PAP - Gazeta.pl, w
tekście Internauta, oskarżony o obrazę prezydenta, stanie przed sądem. Notatka PAP jest
krótka i nie ma tam nowych informacji o dyskusji na temat czynu przypisywanego
oskarżonemu. Mamy niedawne doniesienie dotyczące wpisu w blogu posła Palikota (por. O
zniewadze i pytaniach opublikowanych w blogu), gdzie również chodziło o potencjalne
znieważenie Prezydenta RP. Wówczas sędzia Sądu Okręgowego wyjaśniał, że "zniewaga to
takie zachowanie, które według powszechnie przyjętych ocen stanowi wyraz pogardy dla
drugiego człowieka". Sąd uznał, że wpis w blogu wraz z pytaniem: "Czy prezydent Lech
Kaczyński nadużywa alkoholu?" nie był zniewagą prezydenta. Mamy też doniesienie Akt
oskarżenia za wykorzystanie stron policyjnych do pozycjonowania, a tam, w skierowanym do
Sądu Rejonowego dla Krakowa Śródmieścia akcie oskarżenia, zarzucano funkcjonariuszowi,
"że jako funkcjonariusz policji i administrator policyjnej strony internetowej przekroczył z
chęci zysku uprawnienia, umieszczając na stronie "ukryte linki - odsyłacze do stron
cywilnych"". Tu nie chodziło o znieważenie prezydenta, ale chodziło o SEO (search engine
optimization), a nawet nie o samo SEO, a wparcie przy budowie "zaplecza" SEO i
przekroczenie uprawnień. Nie wiem, jak się zakończył ten proces (o ile się zakończył).
Zgodnie z art. 135. § 2. kodeksu karnego: "Kto publicznie znieważa Prezydenta
Rzeczypospolitej Polskiej, podlega karze pozbawienia wolności do lat 3". Mamy
rozstrzygnięcie Sądu Apelacyjnego z dnia 30 stycznia 2002 r. (II AKa 577/01) i glosę prof.
Stanisława Hoca, w której to glosie można przeczytać tezę: "przepis art. 135 § 2 k.k. nie
obejmuje przypadków zniesławienia, dlatego też w przypadku zniesławienia Prezydenta RP
mają zastosowanie przepisy art. 216 k.k".
Strona 9 z 10
W sprawie zaś związanej z wykorzystaniem mechanizmów wyszukiwania Google (por.
dział wyszukiwanie), by wypozycjonować "oficjalną stronę Prezydenta RP" tak, by po
wpisaniu w wyszukiwarce określonego (obraźliwego?) hasła na pierwszym miejscu wyników
wyszukiwania pojawiła się właśnie strona Prezydenta, można postawić kilka pytań: Czy
ktokolwiek zwrócił się do usługodawcy (w tym przypadku - być może - spółki Google; por.
Pytania prejudycjalne na temat działania internetowych wyszukiwarek) w trybie art. 14
ustawy o świadczeniu usług drogą elektroniczną, tj. notice and takedown? Czy osoby
zatrudniane w takich spółkach jak Google mogą również ponosić odpowiedzialność za
publiczne znieważenie Prezydenta RP w związku z mechanizmem działania wyszukiwarki
(por. Depozycjonowanie: prowokuję do dyskusji). Jaka jest relacja między znieważeniem
osoby Prezydenta, a pozycjonowaniem witryny internetowej na temat Prezydenta?
Wcześniej należałoby odpowiedzieć na pytanie: na jakiej zasadzie funkcjonuje witryna
internetowa Prezydenta RP (por. Czy "własne" serwisy internetowe administracji publicznej
działają legalnie?, o witrynę Prezydenta pytałem również w tekście Gruzja: Wojna
elektroniczna - potwierdzono atak na infrastrukturę teleinformatyczną, w kontekście zasad,
na jakich na witrynie Prezydenta RP pojawiają się notatki gruzińskiego MSZ). Być może
kolejne rozstrzygnięcia sądowe mogłyby pozwolić na formułowanie wniosku, że
potencjalnym znieważeniem Prezydenta RP byłoby również pozycjonowanie innych witryn "o
Prezydencie RP", niekoniecznie tych "oficjalnych" (np. wypozycjonowanie "neutralnej"
witryny na temat publicznej działalności Prezydenta RP, którą to witrynę prowadziłaby np.
jakaś organizacja pozarządowa; warto pamiętać, że np. abonentem domeny
prezydent.com.pl jest osoba prywatna).
Oczywiście znieważenie Prezydenta i zasady, na których działa "oficjalny serwis
Prezydenta" to dwie sprawy, które należy analizować oddzielnie, ale może wyrok Sądu
Okręgowego, który zapadłby w sprawie 24-latka z Cieszyna, mógłby odpowiedzieć na pytanie
w sprawie podstaw prawnych funkcjonowania witryny dostępnej pod domeną prezydent.pl
(kiedy jakaś witryna administracji publicznej staje się "oficjalną" witryną?; witryna i domena
to również dwie sprawy). Warto przy tym pamiętać, że dopiero tuż przed ukończeniem
drugiej kadencji Prezydenta Kwaśniewskiego domena prezydent.pl, zarejestrowana
wcześniej na prywatną osobę została przerejestrowana na Kancelarię Prezydenta RP (kto
podjął decyzję? Czy wcześniej również była tam "oficjalna strona prezydenta"?).
Strona 10 z 10
Warto też pamiętać o doniesieniach sprzed wejścia Polski do Unii Europejskiej, gdy w
Internecie przekazywano sobie spreparowany link (wykorzystujący Cross site scripting, XSS),
który prowadził do serwisu prezydent.pl i - dzięki błędom konstrukcji witryny dostępnej pod
tą domeną - prezentował odwiedzającemu komunikat, przekazywany w tym linku, czyli:
Wszyscy obywatele będący kibicami Lecha Poznań zostaną wydaleni z kraju w ciągu
najbliższych trzech dni. Jest to kolejny krok w stronę dostosowania praw obowiązujących w
Unii Europejskiej, do której Polska wchodzi już 1 maja 2004
Oczywiście wyżej pokazałem jedynie przykład, bo mechanizm XSS pozwalał na
zaprezentowanie na witrynie dostępnej wówczas pod domeną prezydent.pl dowolnego
komunikatu, dowolnej grafiki (por. Nareszcie ktoś zauważył i nagłośnił..., A serwis prezydenta
nadal dziurawy...). Czy sposób, w jaki wykonana została witryna Prezydenta RP (gdy już
ustalimy mechanizm, dzięki któremu można powiedzieć, że jakaś witryna jest właśnie
witryną "oficjalną"), sam w sobie może być uznany za znieważenie Prezydenta i - w związku z
tym - podlegać karze pozbawienia wolności do lat trzech? Czy pracownicy Kancelarii
Prezydenta RP, którzy "opiekują się" witryną, również mogą być uznani winnymi publicznego
znieważenia Prezydenta, jeśli wiedząc o błędach ich nie poprawiają (por. Uwagi do serwisu
prezydent.pl)?
Źródła:
1. http://lpstudent.lexpolonica.pl/
2. http://prawo.vagla.pl/
3. http://www.digit.pl/artykuly/44743/Prawo.a.Internet.html