Pan Adolf Hitler stał się niedawno szczęśliwym posiadaczem polskiego i francuskiego certyfikatu covidowego, co - gdyby żył - znacznie ułatwiłoby mu podróżowanie po Europie, choć może nie tak swobodne jak w czasach, gdy był u szczytu swojej potęgi. Donoszące o tym portale technologiczne spekulowały, że doszło do włamania do systemu lub do wykradnięcia kluczy niezbędnych do wygenerowania kodu.

Szczepienia przeciwko Covid-19 bez rejestracji>>

To nie błąd w systemie

Niechęć do szczepień wciąż jest na tyle duża, że wraz z kolejnymi obostrzeniami, rośnie popyt na fałszywe UCC. Nie tylko w Polsce - francuskie służby badają sprawę nastolatka, który posługiwał się unijnym certyfikatem covidowym wystawionym na Emmanuela Macrona. Zarówno ten kod, jak i należący do wodza III Rzeszy, były przez aplikacje służące do weryfikacji paszportów odczytywane jako prawidłowe. Sprawę - w odpowiedzi na interpelację poselską Marcina Kierwińskiego (KO), próbuje wyjaśnić resort zdrowia. Okazuje się, że włamania nie było, osoba wystawiająca certyfikat najprawdopodobniej miała stosowne uprawnienia.

Czytaj w LEX:  Maruszkin Radosław, Unijne cyfrowe zaświadczenia COVID >

- W opisywanym przypadku zgodnie z procedurami przeprowadzona została wewnętrzna weryfikacja zgłoszenia, a także powiadomiono odpowiednie instytucje odpowiadające za reagowanie na incydenty cyberbezpieczeństwa. Należy zauważyć, że omawiany incydent z wygenerowaniem kodu QR na fikcyjną osobę miał miejsce równocześnie w Polsce i we Francji, a domniemany sprawca wykorzystał w obu przypadkach oficjalne kanały generowania certyfikatów. W związku z tym w obu tych przypadkach doszło do nieuprawnionego dostępu do systemu generowania poświadczeń, wskutek czego wygenerowano legalne dokumenty, wykorzystując właściwy kanał dystrybucji w systemie UCC - wyjaśnia Ministerstwo Zdrowia.

Dwuskładnikowe logowanie

Resort znalazł już lekarstwo na tego typu wycieki - chce wprowadzić dwustopniowy proces logowania do systemu generowania UCC dla uprawnionych użytkowników. Czyli rozwiązanie, które w wielu firmach jest standardem nawet przy logowaniu się do komunikatora lub maila. Zalecane jest też do zabezpieczenia Facebooka lub Allegro. Już wkrótce - jak wynika z odpowiedzi na interpelację poselską w tej sprawie - będzie także standardem w systemie wykorzystywanym do generowania UCC. Czyli kodu koniecznego do wykazania choćby zwolnienia z kwarantanny, a w wielu krajach także do korzystania z podstawowych usług.

A posługiwanie fałszywym kodem jest karalne, choć i tu polityka rządu, który nie pali się do wprowadzenia konkretnych przepisów dotyczących może utrudnić pracę organom ścigania.

Dokument musi mieć znaczenie prawne

Według art. 270 Kodeksu karnego osoba, która w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5.  - Moim zdaniem posługiwanie się fałszywym "paszportem covidowym" wypełnia znamiona tego przestępstwa - wyjaśnia dr Witold Zontek z Katedry Prawa Karnego UJ. - Tu należy sięgnąć do definicji dokumentu, którą zawiera art. 115 par. 14, według której dokumentem jest każdy przedmiot lub inny zapisany nośnik informacji, z którym jest związane określone prawo, albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne. Osoba, która okazuje taki certyfikat na lotnisku lub urzędnikom Sanepidu, by dowieść, że nie podlega kwarantannie, dopuszcza się użycia dokumentu, który nie jest autentyczny - tłumaczy.

Dodaje, że bardziej problematyczna może być sytuacja, gdy dokumentu wymaga się np. do skorzystania z jakiejś usługi, bo w tym wypadku jasnego wymogu, wynikającego z przepisów nie ma. - Tu w grę wchodzą stosunki cywilne, więc można by się zastanawiać, czy okazanie przerobionego dokumentu wypełniałoby znamiona przestępstwa. Tym bardziej, że nadal przedsiębiorcy nie mają podstaw prawnych do sprawdzania "paszportów covidowych". Myślę jednak, że należałoby do tego podejść tak, że rozporządzenie określa limity, do których nie wlicza się osób zaszczepionych. Dla celów kontroli tych limitów można uznać, że z posiadaniem UCC również w tej sytuacji wiąże się prawo, o którym mowa w art. 270 k.k. - tłumaczy dr Zontek.

Kodeks karny. Część ogólna. Komentarz

Jacek Giezek

Sprawdź