„Warto się spierać w prawie i przedstawiać różne punkty widzenia” – takie założenie przyświeca prawnikom, gdyż pokazuje ono, że „prawo”, to materia żywa i każdy dokonując wykładni przepisów, może wnieść coś nowego do spojrzenia na normę prawną. Gorzej, jeśli owa „polifonia głosów” prowadzi do odmiennych wniosków i takie same stany faktyczne podlegają diametralnie różnym subsumpcjom. Mamy wtedy do czynienia nie tyle z twórczym dyskursem prawniczym, ale z anarchią wykładniczą, która może prowadzić raz do uniewinnienia, a innym razem do skazania osoby na podstawie niemalże identycznych okoliczności faktycznych sprawy. 

Problematyczne przestępstwa teleinformatyczne

Badania przeprowadzone w zakresie kwalifikacji prawnej i opisu znamion przestępstw teleinformatycznych pokazały niepokojący stan rzeczy. Dotyczyły one kwerendy kilkuset akt spraw karnych rozpoznanych w latach 2010/2021 przez sądy orzekające w wydziałach karnych okręgu krakowskiego oraz innych wyroków sądów powszechnych zamieszczonych w ogólnodostępnych bazach danych. Kolejna ścieżka badawcza skupiła się na prokuratorskich aktach postępowania przygotowawczego obejmujących lata 2016-2019 i dotyczących tokenów cyfrowych. Tak podstała, wydana w grudniu 2023 r. przez Krajową Szkołę Sądownictwa i Prokuratury, monografia pt. „Kwalifikacja prawna i opis znamion przestępstw teleinformatycznych. Studium prawno-kryminalistyczne”. Link do monografii >

Przyczyn odnotowanych nieprawidłowości jest kilka, a jedna z nich dotyczy wykładni znamion: „informacje” i „dane informatyczne”. „Dane” reprezentują nieustrukturyzowane dla człowieka znaki i symbole, surowe fakty dotyczące zjawisk i obiektów, które dopiero po odpowiednim przekształceniu mogą stać się informacją. Dane informatyczne transmitowane są w sieciach informatycznych oraz teleinformatycznych i zapisywane na dyskach, a następnie za pomocą algorytmów komputerowych przetwarzane na informacje. Wynika z tego, że „informacje” powstają z wyselekcjonowania danych, ich podsumowania i prezentacji w taki sposób, aby stały się użyteczne dla odbiorcy, a z ich treści wynikało określone znaczenie dla człowieka. Owa rozgraniczenie pomiędzy dwoma przedmiotami czynności wykonawczej nie było jasne ma to podstawowe znaczenie dla wykładni art. 267 k.k., gdzie przedmiotem czynności wykonawczej są informacje (par. 1) lub dane informatyczne (par. 2). Wynika z tego, że działanie polegające na uzyskaniu bez uprawnienia, poprzez ominięcie lub przełamanie informatycznego zabezpieczenia, dostępu do treści zapisanych na koncie (np. tekstu rozmów umieszczonych na wewnętrznym komunikatorze) wypełnia znamiona art. 267 par. 1 k.k., a nie – jak niekiedy przyjmowały sądy - art. 267 par. 2 k.k. lub art. 267 par. 1 i 2 k.k. Nie zmienia tego fakt, że cyfrowe dane po przetworzeniu przez algorytm komputerowy stają się informacjami w postaci treści wyświetlanych na ekranie komputera, a po zamknięciu matrycy owe treści znowu przybierają postać niezrozumiałych znaków. Skoro ustawodawca zdecydował się na wprowadzenie do kodeksu karnego odrębnych typów przestępstw, to domniemywać należy, że regulują one różne zachowania. Znamiona czynów zabronionych opisanych w art. 267 k.k. par. 1 lub par. 2 stanowią bowiem dwa odrębne typy przestępstw i nie należy mylić danych informatycznych z informacjami.

Czytaj też w LEX: Lewulis Piotr, O rozgraniczeniu definicyjnym pomiędzy przestępczością "cyber" i "komputerową" dla celów praktycznych i badawczych > 

Dane informatyczne to też źródło wiedzy

Analiza akt spraw karnych, ale także doświadczenie życiowe, pokazują, że przestępstwa popełniane przez podsądnych najczęściej wyczerpują znamiona „tylko” art. 267 par. 1 k.k., bowiem dla „przeciętnego” człowieka wartość posiadają informacje dostarczające określonej wiedzy, a nie dane informatyczne. Bezprawne uzyskanie dostępu do systemu informatycznego stosunkowo rzadko pojawiało się w badanych sprawach, gdyż działanie takie charakteryzuje profesjonalnych hakerów, potrafiących zrobić użytek z dostępu do danych (np. zainstalować w systemie informatycznym program szpiegujący). Wyjątek stanowią stosunkowo częste przestępstwa określane mianem „ransomware”, których sprawcy ukierunkowują niezgodne z prawem działanie na dane informatyczne, nie zapoznając się z informacjami zgromadzonymi na komputerze ofiary ataku.

W analizie kwalifikacji prawnej przestępstw „ransomware”, podobnie jak miało to miejsce w przypadku ataków DDoS, pojawił się problem współistnienia w zbiegu kumulatywnym art. 287 par. 1 k.k. i art. 269a k.k. I chociaż w doktrynie wyrażany jest pogląd, że czyn nazywany „oszustwem komputerowym” (art. 287 par. 1 k.k.) nie pozostaje w realnym zbiegu z art. 269a k.k., gdyż pierwszy stanowi lex specialis  w stosunku do art. 269a k.k., to trudno zgodzić się z tak kategorycznym twierdzenie odnośnie wszystkich możliwych stanów faktycznych. W przypadku poważnych ataków, polegających na szyfrowaniu danych i żądaniu okupu, dochodzi do „czegoś więcej” , aniżeli tylko skutku opisanego w art. 287 par. 1 k.k. Przykładowo, w jednej ze spraw przestępca zaszyfrował dane w komputerach obsługujących pracę spółki w taki sposób, że pracownicy nie mogli komunikować się zdalnie ze światem zewnętrznym , wysyłać i odbierać wiadomości, transferować danych z zasobów chmurowych itd. Firma na pewien czas przestała po prostu funkcjonować i generować zyski.

Nie sposób zaakceptować stanowiska, jakoby kradzież pieniędzy zapisanych na rachunku bankowym, poprzedzona przełamaniem zabezpieczenia aplikacji mobilnej, kwalifikować z art. 267 par. 1 k.k. i art. 279 par. 1 k.k. i art. 287 par. 1 k.k. w zw. z art. 11 par. 2 k.k. Konstrukcja art. 279 par. 1 k.k. określa dwie czynności sprawcze: pierwsza polega na przełamaniu zabezpieczenia rzeczy ruchomej zamykającego dostęp do środków zgromadzonych na rachunku; drugie działanie sprowadza się do zaboru pieniędzy poprzez zainicjowanie automatycznego przetwarzania i przekazywania danych informatycznych, statuujących pieniądz bezgotówkowy. Dominująca w prawie karnym koncepcja jednorodności czynu nie pozwala przypisywać sprawcy wypełnienia jego zachowaniem znamion wielu przestępstw, skoro przypisanie mu naruszenia jednej normy sankcjonowanej w sposób określony w jednym typie czynu zabronionego w pełni oddaje jego zachowanie.

Nowość

Nowość

Cyberbezpieczeństwo. Zarys wykładu

Cezary Banasiński

Sprawdź  

W badanych sprawach pojawił się także problem przeciwny, tj. braku zamieszczenia w wyroku wszystkich znamion czynu zabronionego. Sądy, skazując sprawcę z art. 268 par. 1 lub 2 k.k., art. 268a par. 1 k.k. lub art. 269a par. 1 k.k. zapominały niekiedy, że treść tych przepisów nie zawiera działania określanego mianem „hakingu”, a niszczenie danych informatycznych, czy nieuprawnione manipulowanie danymi poprzedzone było przełamaniem zabezpieczeń informatycznych po to, aby uzyskać dostęp do zamkniętych zasobów cyfrowych.  

Zobacz również: Plaga cyberprzestepstw. Trudna droga do ustalenia sprawcy

Problemem nie tylko niedoskonałość przepisów

Analiza spraw dotyczących przestępczości teleinformatycznej prowadzi do kilku zasadniczych wniosków opisanych w podsumowaniu Monografii. Jeden z nich, to konieczność ponownego przeanalizowania przez ustawodawcę treści przepisów rozdziału XXXIII k.k., gdyż ich konstrukcja wywołuje zastrzeżenia. Wykładnia niektórych znamion przestępstw teleinformatycznych, jak chociażby art. 269b par. 1 k.k., zmusza do „wygibasów” logicznych po to, aby odczytać sens przepisu i zaproponować racjonalne jego stosowanie. Zdaniem autora, implementacja do polskiej ustawy karnej postanowień Konwencji o cyberprzestępczości mogła zostać wykonana lepiej. Jednak ów problem „niedoskonałości” przepisów wykracza poza rozdziału XXXIII ustawy karnej i obejmuje m.in. szczególną ochronę przyznaną w art. 278 par. 1a k.k. „karcie uprawniającej do podjęcia pieniędzy z automatu bankowego”. Przepis ten generuje problemy wykładnicze związane z przedmiotem czynności wykonawczej, a sytuację konwalidowałby usunięcie z Kodeksu karnego indywidualnej penalizacji kradzieży karty bankomatowej. 

Przede wszystkim jednak to sędziowie i prokuratorzy muszą chcieć doskonalić swój warsztat pracy w zakresie znajomości przestępczości teleinformatycznej i dociekliwego podejścia do rozpoznawanych spraw karnych. Oprócz zmierzenia się ze wspomnianymi „ustawowymi niejasnościami” niektórych znamion czynów zabronionych, procedowanie na omawianym polu wymaga dysponowania wiedzą z zakresy informatyki śledczej, statusu prawnego kryptoaktywów oraz rozumienia działania nowych technologii.

Czytaj też w LEX: Cyberbezpieczeństwo kancelarii prawnych >

dr Paweł Opitek, prokurator Prokuratury Regionalnej w Krakowie delegowany do Prokuratury Krajowej, adiunkt w Zakładzie Kryminologii Stosowanej Wydziału Administracji i Bezpieczeństwa Narodowego Akademii im. Jakuba z Paradyża w Gorzowie Wielkopolskim, ekspert Instytutu Kościuszki ds. Cyberbezpieczeństwa.