Odpowiedzialność za atak hakerski została oczywiście przewidziana w polskim prawie. Sprawcę cyberprzestępstwa można surowo ukarać, ale trzeba pamiętać, że źródeł odpowiedzialności jest wiele. Nie chodzi jedynie o karną.
Odpowiedzialność za atak hakerski
W tym wpisie skupię się na odpowiedzialności samego hakera. Zawężę zakres do odpowiedzialności karnej, ale trzeba zaznaczyć, że atak hakerski może przecież wyrządzić szkodę w rozumieniu prawa cywilnego. Czym innym jest także płaszczyzna związana z odpowiedzialnością za wyciek danych.
Pojęcie ataku hakerskiego jest bardzo szerokie – co do potencjalnych skutków rodzących konsekwencje prawne.
Można sobie przecież wyobrazić, że działalność hakera może skutkować nawet odpowiedzialnością na gruncie prawa międzynarodowego – na przykład w wypadku dokonania wskutek ataku hakerskiego zbrodni przeciwko ludzkości. Fakt, że wiele infrastruktur o znaczeniu krytycznym opiera się na technologiach cyfrowych, nakazuje raczej dopuszczać jak najszerszy katalog możliwości.
Zakładając jednak, że mowa jest o pospolitym ataku hakerskim i odpowiedzialności karnej za jego dokonanie, warto odnieść się do polskiej ustawy karnej, czyli Kodeksu karnego. Przestępstwa komputerowe uregulowane są art. 267–269b k.k..
Chodzi tutaj o przestępstwa:
- bezprawnego uzyskania informacji
- utrudniania zapoznania się z informacją
- uszkadzania albo niszczenia danych informatycznych
- zakłócania systemów komputerowych
- wytwarzania określonych programów komputerowych
Jak ustawa rozumie poszczególne czyny i jakie kary można orzec względem hakera?
Kara za hacking
Art. 267 par. 1 i 2 k.k. stanowią, że odpowiedzialności karnej w postaci grzywny, kary ograniczenia wolności albo kary pozbawienia wolności do lat dwóch podlega ten, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając informatyczne zabezpieczenie. Tej samej karze podlega ten, kto bez uprawnienia uzyskuje dostęp (do całości lub części) systemu informatycznego.
Art. 268 par. 1, 2 i 3 typizują przestępstwo nieuprawnionego zniszczenia, uszkodzenia, usunięcia lub zmiany istotnej informacji (grzywna, ograniczenie wolności, pozbawienie wolności do 2 lat) także na informatycznym nośniku danych (pozbawienie wolności do 3 lat).
W sytuacji wyrządzenia znacznej szkody majątkowej (ponad 200 tys. zł) kara wynosić może aż do 5 lat pozbawienia wolności.
Powyższe przestępstwa ścigane są na wniosek pokrzywdzonego. Są jednak pewne czyny w zakresie hakingu, wobec których postępowanie karne wszcząć można z urzędu. Chodzi o art. 269, 269a, 269b i 269c.
Przestępstwa typowo komputerowe
Artykuł 269 k.k. odnosi się do niszczenia, uszkadzania, usuwania lub zmieniania danych informatycznych lub uniemożliwienia automatycznego przetwarzania lub przekazywania danych o szczególnym znaczeniu dla:
- obronności kraju
- bezpieczeństwa w komunikacji
- funkcjonowania administracji rządowej lub innego organu państwowego
Takie przestępstwo zagrożone jest karą od 6 miesięcy do lat. Tej samej karze podlega ten, kto w warunkach wskazanych powyżej niszczy lub wymienia informatyczny nośnik danych niszcząc albo uszkadzając urządzenie służące do automatycznego gromadzenia, przetwarzania lub przekazywania danych informatycznych.
Podobne przestępstwo, jednakże odnoszące się już do wszystkich potencjalnych pokrzywdzonych, określa art. 269a k.k. Przepis stanowi, że karze pozbawienia wolności od 3 miesięcy do lat 5 podlega ten, kto – jako osoba nieuprawniona – zakłóca w istotnym stopniu pracę systemu informatycznego poprzez transmisję, zniszczenie, usunięcie, uszkodzenie utrudnienie dostępu lub zmianę danych informatycznych.
Karane na mocy art. 269b k.k. (pozbawienie wolności od 3 miesięcy do lat 5) jest wytwarzanie, pozyskiwanie, zbywanie i udostępnianie urządzeń lub programów komputerowych przystosowanych do popełniania ww. przestępstw, a także haseł i kodów dostępu ułatwiających uzyskanie nieuprawnionego dostępu do informacji.
Kodeks karny zawiera także kontratyp działania w celu wykrycia błędów, toteż nie zgodnie z art. 268b §1a k.k. nie popełnia w.w. przestępstwa ten, kto działa wyłącznie w celu zabezpieczenia systemu. Art. 269c ponadto także stanowi, że nie podlega karze za czyny z art 267 §2 i art. 269a ten, kto działa wyłącznie w celu zabezpieczenia systemu albo opracowania metody zabezpieczenia, jednakże tylko wtedy, gdy powiadomi dysponenta systemu o ujawnionych zagrożeniach niezwłocznie i jednocześnie nie naruszy interesu publicznego lub prywatnego, nie wyrządzając także żadnej szkody.