Jak można przeczytać w przygotowanej przez rząd ocenie skutków regulacji, potrzeba nowelizacji kodeksu karnego podyktowana jest koniecznością pełnej transpozycji dyrektywy Parlamentu Europejskiego i Rady 2013/40/UE z 12 sierpnia 2013 r. dotyczącej ataków na systemy informatyczne. 

Bezprawny dostęp do systemu informatycznego to przestępstwo

Zgodnie z art. 3 tej dyrektywy państwa członkowskie zobligowane są podjąć środki niezbędne do zagwarantowania, by umyślne i bezprawne uzyskiwanie dostępu do całości lub jakiejkolwiek części systemu informatycznego, było karalne jako przestępstwo w przypadku, gdy zostało ono popełnione z naruszeniem środków bezpieczeństwa, co najmniej w przypadkach, które nie są przypadkami mniejszej wagi. Natomiast art. 6 dyrektywy stanowi, iż państwa członkowskie zobowiązane są podjąć środki niezbędne do zagwarantowania, by umyślne i bezprawne przechwytywanie środkami technicznymi niepublicznych przekazów danych komputerowych do, z lub w ramach systemu informatycznego, w tym emisji elektromagnetycznych z systemu informatycznego zawierającego takie dane komputerowe, było karalne jako przestępstwo, co najmniej w przypadkach, które nie są przypadkami mniejszej wagi.

Czytaj: Rząd wzmacnia krajowe systemy cyberbezpieczeństwa>>
 

Polska upomniana za niepełne wdrożenie

Polski rząd został zmobilizowany do działania, ponieważ w listopadzie ubiegłego roku Komisja Europejska wezwała w piątek Polskę oraz dwa inne państwa członkowskie, Estonię i Węgry, do poprawnego wdrożenia przepisów dyrektywy dotyczącej ataków na systemy informatyczne. Komisja wezwała Węgry do usunięcia uchybienia, a wobec Polski i Estonii wystosowała tzw. uzasadnioną opinię. To kolejny krok w ramach unijnego postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego. Jeśli Polska i Estonia nie odpowiedzą KE w ciągu dwóch miesięcy, kolejnym krokiem może być postawienie ich przez Trybunałem Sprawiedliwości UE.

Kary za programy i hasła do przełamywania

Autorzy zamieszczonego na stronie Rządowego Centrum Legislacji projektu, który jest obecnie przedmiotem konsultacji przyznają, że Polska nie dokonała pełnej transpozycji artykułu 7 dyrektywy 2013/40/UE, co świadczy o braku penalizacji przestępstw, o których mowa w wyżej omówionych art. 3 i 6 dyrektywy 2013/40. I wskazują, że zgodnie z dyrektywą karalne jako przestępstwo powinno być umyślne wytwarzanie, sprzedaż, dostarczanie w celu użycia, przywóz, rozpowszechnianie lub udostępnianie w inny sposób jednego z następujących narzędzi było, jeżeli zostało dokonane bezprawnie i umyślnie w celu popełnienia któregokolwiek z przestępstw:

• programu komputerowego, zaprojektowanego lub przystosowanego głównie do celu popełniania przestępstw, o których mowa w art. 3-6; 
• hasła komputerowego, kodu dostępu lub podobnych danych umożliwiających dostęp do całości lub części systemu informatycznego.

Obecnie – zawarty w art. 269b k.k. – przepis dotyczący bezprawnego wykorzystania programów i danych obejmuje swoją dyspozycją m.in. czyn karalny określony w art. 267 par. 3 k.k., czyli niezgodne z prawem zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. Natomiast zgodnie z art. 267 par. 2 k.k. karany może być niezgodny z prawem dostęp do systemów informatycznych oraz na podstawie art. 267 par. 1 k.k. – niezgodne z prawem przechwytywanie.

Czytaj również: Firmowe i urzędowe systemy IT lepiej chronione przed cyberatakami >>
 

Przedsprzedaż

-25%

Przedsprzedaż

Kodeks karny. Komentarz [PRZEDSPRZEDAŻ]

Marek Mozgawa

Sprawdź  

- Projektowana zmiana, polegająca na rozszerzeniu odesłania w art. 269b par. 1 k.k. również na art. 267 par. 1 i 2 k.k., jest uzasadniana przez projektodawcę koniecznością pełnej transpozycji art. 7 dyrektywy 2013/40/UE dotyczącej ataków na systemy informatyczne. Z perspektywy formalnej ta argumentacja jest spójna: dyrektywa obejmuje bowiem penalizację obrotu narzędziami służącymi zarówno do nielegalnego dostępu do systemów informatycznych, jak i do nielegalnego przechwytywania danych, podczas gdy dotychczasowe brzmienie art. 269b par. 1 k.k. odwoływało się wyłącznie do art. 267 par. 3 k.k. – tłumaczy adwokat Małgorzata Durlej-Piotrowska, prowadząca w Warszawie kancelarię specjalizującą się w tej problematyce. Jednak zadaje pytanie, czy zmiana ta jest rzeczywiście konieczna z punktu widzenia funkcjonowania krajowego systemu prawa karnego. - W mojej ocenie obecnie obowiązujące przepisy kodeksu karnego już zapewniają szeroką ochronę przed zachowaniami, które projektodawca wskazuje jako problematyczne. Dotyczy to nie tylko art. 267 par. 1–3 k.k.., ale również innych przepisów rozdziału XXXIII, penalizujących ingerencję w dane informatyczne czy zakłócanie pracy systemów teleinformatycznych. W praktyce wiele czynów, które miałyby zostać objęte nowelizacją, mogło być ściganych na gruncie obowiązujących regulacji – powiedziała Prawo.pl.

Dodatkowe czyny objęte dyspozycją

Jednak Ministerstwo Sprawiedliwości w projektowanej ustawie proponuje zmianę odnośnika nr 1 do tytułu ustawy – Kodeks karny poprzez dodanie pkt 4, który będzie wskazywał regulację unijną wdrożoną do krajowego systemu porządku prawnego. Zmodyfikowana ma być też treść art. 269b par. 1 k.k., dotyczącego bezprawnego wykorzystania programów i danych, poprzez umieszczenie w tej regulacji dodatkowego odesłania do art. 267 par. 2 k.k. – w zakresie przestępstwa, o którym mowa w art. 3 dyrektywy 2013/40 – niezgodny z prawem dostęp do systemów informatycznych – oraz do art. 267 par. 1 k.k. – w zakresie przestępstwa, o którym mowa w art. 6 ww. dyrektywy – niezgodne z prawem przechwytywanie, obok już istniejącego odesłania do par. 3 tego przepisu. Zdaniem autorów projektu proponowane rozwiązania legislacyjne poszerzą zakres zastosowania art. 269b k.k. poprzez objęcie jego dyspozycją dodatkowych czynów karalnych.

Nowelizacja dla usunięcia wątpliwości

Mec. Małgorzata Durlej-Piotrowska projektowaną zmianę postrzega raczej jako działanie o charakterze porządkującym i doprecyzowującym, mające na celu usunięcie potencjalnych wątpliwości co do zakresu implementacji prawa unijnego, niż jako odpowiedź na realną lukę penalną w polskim prawie karnym. Ale zwraca też uwagę na potencjalne ryzyka związane z rozszerzeniem zakresu art. 269b par. 1 k.k. - Przepis ten dotyczy bowiem wytwarzania, posiadania czy udostępniania narzędzi informatycznych „w celu popełnienia przestępstwa”, a ustalenie takiego celu w praktyce bywa trudne. Bez ostrożnej wykładni może to prowadzić do nadmiernej kryminalizacji działań podejmowanych w ramach legalnej działalności z zakresu cyberbezpieczeństwa, testów penetracyjnych czy badań nad bezpieczeństwem systemów informatycznych. Kluczowe znaczenie będzie więc miało ścisłe interpretowanie strony podmiotowej czynu oraz stosowanie zasady proporcjonalności - podkreśliła.