Polska wdraża unijne przepisy o hakerach z 2013 roku. Żurek: „dostosowujemy prawo do nowych form przestępczości"

Ale dobra, lepiej późno niż wcale. Zobaczmy, co faktycznie się zmienia.

Co jest teraz i dlaczego jest źle

Zanim przejdziemy do nowości, trzeba zrozumieć, z czym mamy do czynienia na starcie. Polska penalizuje narzędzia hakerskie od 2004 roku poprzez art. 269b § 1 Kodeksu karnego, który zakazuje wytwarzania, pozyskiwania, zbywania i udostępniania programów komputerowych "przystosowanych do popełnienia przestępstwa" przeciwko bezpieczeństwu informacji. Brzmi sensownie do momentu, gdy zaczniesz myśleć o tym dłużej niż przez trzydzieści sekund.

Problem polega na tym, że sam § 1 nie zawiera klauzuli celowościowej, czyli nie wymaga, żebyś działał w celu popełnienia przestępstwa. Wystarczy, że masz program, który mógłby posłużyć do włamania. W teorii dosłowna wykładnia tego przepisu pozwala ścigać specjalistę od bezpieczeństwa za posiadanie Kali Linux, administratora za skaner portów, kogokolwiek za odsprzedaż używanego laptopa z preinstalowanymi narzędziami. W literaturze od lat wskazywano, że taka konstrukcja prowadzi do kryminalizacji szerszej niż jakikolwiek rozsądny ustawodawca by zamierzał.

W 2017 roku ten problem dostrzeżono i częściowo naprawiono bo do art. 269b dodano § 1a, który wyłącza odpowiedzialność osoby działającej wyłącznie w celu zabezpieczenia systemu lub opracowania metody ochrony. Pentesterzy i badacze bezpieczeństwa dostali formalną tarczę. Ale tylko częściową bo ta sama ustawa z 2017 roku wprawdzie implementowała dyrektywę 2013/40/UE, jak przyznało samo Ministerstwo Sprawiedliwości, tylko częściowo. Reszta czekała na swoją kolej.

I czekała tak kolejne dziewięć lat.

Co nowego przynosi ten projekt?

Po pierwsze, rozszerza katalog przestępstw objętych art. 269b § 1 o wytwarzanie i udostępnianie narzędzi przystosowanych do nielegalnego przechwytywania danych. To luka, której nowelizacja z 2017 roku nie zamknęła - dyrektywa 2013/40/UE wymagała penalizacji narzędzi służących do przechwytywania transmisji sieciowych, polska ustawa dotychczas tego wprost nie obejmowała.

Po drugie, projekt uzupełnia odesłania wewnątrzkodeksowe, tak by przepis jednoznacznie obejmował wszystkie formy cyberprzestępczości wymagane przez unijne prawo. To może brzmieć technicznie i nudno - ale właśnie takie "techniczne luki" są w praktyce tym, co pozwala sprawcom kwalifikować swoje działania jako coś innego niż przestępstwo.

Jak to wygląda w praktyce? Weźmy konkretny przykład. Ktoś tworzy i sprzedaje gotowy zestaw do przeprowadzenia ataku typu "evil twin" - fałszywego punktu Wi-Fi, który przechwytuje ruch sieciowy nieświadomych użytkowników w hotelu czy na lotnisku. Program sam w sobie to znane oprogramowanie sieciowe, dostępne legalnie. Ale sprzedawany w formie gotowego pakietu, z instrukcją, z targetowaniem konkretnych środowisk to właśnie coś, co nowe przepisy mają objąć. Karalność zależy przy tym od zamiaru i komunikat rządowy precyzuje, że chodzi o narzędzia udostępniane w celu popełnienia przestępstwa. Element kierunkowy pozostaje, co jest ważne dla branży security bo legalny pentesting nie staje się przestępstwem.

Warto dodać, że dyrektywa 2013/40/UE reguluje szerzej niż tylko narzędzia bo harmonizuje cały katalog przestępstw: nielegalny dostęp do systemów, ingerencję w ich działanie (ataki DDoS, sabotaż infrastruktury), niszczenie danych, przechwytywanie transmisji. Nowelizacja 2026 to domknięcie ostatnich brakujących elementów tej układanki, nie rewolucja.

Kiedy to wejdzie w życie?

Projekt jest po etapie Rady Ministrów, więc czeka go teraz pierwsze i drugie czytanie w Sejmie, ewentualne poprawki w komisjach, Senat i podpis Prezydenta. Komunikat rządowy wskazuje, że nowe przepisy mają wejść w życie po 14 dniach od ogłoszenia w Dzienniku Ustaw - ekspresowe vacatio legis, co przy nowelizacji dotyczącej przepisów karnych jest przynajmniej dyskusyjne. Realistycznie można spodziewać się wejścia w życie gdzieś w okolicach jesieni 2026 roku, choć to szacunek, nie prognoza.

Jeden cytat, który mówi wszystko

Minister Sprawiedliwości Waldemar Żurek, prezentując projekt, stwierdził:

Dostosowujemy przepisy Kodeksu karnego do nowych form przestępczości związanych z rozwojem technologii, po to, żeby skuteczniej ścigać przestępstwa i zwiększyć bezpieczeństwo obywateli 

Nowe formy przestępczości. Dyrektywa, którą właśnie implementują, powstała w reakcji na zagrożenia, które były nowe w 2013 roku. Ataki DDoS przy użyciu botnetów, złośliwe oprogramowanie do kradzieży danych bankowych, narzędzia do przechwytywania ruchu sieciowego. Wszystko to było znane i opisane zanim część dzisiejszych pierwszorocznych studentów prawa zdążyła pójść do pierwszej klasy szkoły podstawowej.

Co to mówi o polskim prawie?

Jedenastoletnie opóźnienie pełnej implementacji dyrektywy to nie jest jednorazowy wypadek przy pracy. To symptom. Polska przez dekadę poruszała się w obszarze częściowej transpozycji, nowelizacja z 2017 roku zrobiła część roboty, ale nie całą. Unia Europejska monitoruje transpozycje i wszczyna postępowania naruszeniowe wobec państw, które implementują prawo z opóźnieniem lub fragmentarycznie - choć szczegółów ewentualnego postępowania wobec Polski w tym konkretnym przypadku nie sposób zweryfikować bez dostępu do dokumentacji Komisji.

Tymczasem cyberprzestępczość nie czekała. Polska CERT odnotowuje co roku wzrost liczby incydentów. Grupy ransomware atakują szpitale, urzędy, firmy. Rynek narzędzi hakerskich (tych, których dystrybucję w określonym celu mają teraz penalizować uzupełnione przepisy) funkcjonuje sprawnie od ponad dekady.

Nowelizacja robi to, co zrobić powinna i domyka lukę, która przez lata była powodem akademickiej krytyki prawa i praktycznych kłopotów z ściganiem. Tylko że dzieje się to w 2026 roku. Kiedy branża security zdążyła przez ten czas wielokrotnie obejść problem, który prawo właśnie postanowiło oficjalnie zauważyć.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj