Hacking na tle przepisów prawa

Definicja hackingu

W polskim porządku prawnym nie występuje legalna definicja „hackingu”. Oznacza to, że żaden akt prawny nie wskazuje wprost, co właściwie należy rozumieć przez „hacking”, ani jakie zachowania zakwalifikować do
„hackingu”. Przy ustaleniu co wchodzi w zakres tego zjawiska można posiłkować się definicjami zaproponowanymi przez komentatorów. W doktrynie „hacking” jest określany jako zachowanie polegające na przełamaniu, omijaniu elektronicznego, magnetycznego, informatycznego zabezpieczenia. Hacking polega na przełamaniu zabezpieczeń uniemożliwiających dostęp do informacji zgromadzonych w systemie (na taką definicję powołuje się P. Kozłowska-Kalisz [w:] Kodeks karny. Komentarz aktualizowany, red. M. Mozgawa, LEX/el. 2022, art. 267). Ze względu na coraz częstsze przestępstwa komputerowe, hackerzy zazwyczaj utożsamiani są z cyberprzestępcami. Tymczasem istotne znaczenie dla oceny działania i poprawnej kwalifikacji ma motywacja hackera. Niektórzy wyszukują luk w zabezpieczeniach „dla zabawy” lub uzyskania nagrody przyrzeczonej przez producenta oprogramowania („bug bounty”). Inni wykorzystują wykryte przez siebie podatności do wyrządzenia szkody, czy uzyskaniu korzyści, np. w ramach wymuszonego okupu lub sprzedaży wykradzionych informacji w darknecie. Wiele osób zdaje sobie sprawę, że hackerzy to również osoby, które posiadają dużą wiedzę i umiejętności, ale nie działają w celu popełnienia przestępstwa. Natomiast odnośnie do osób łamiących zabezpieczenia w złych intencjach (np. kradzieży danych) używa się często określenia „cracker”, pochodzącego od angielskiego czasownika „to crack” (łamać). Z kolei do jeszcze innej kategorii zaliczani są tzw. „scripts kiddies”, którzy również działają w złych intencjach, ale w przeciwieństwie do crackerów nie mają dużej wiedzy i posługują się gotowymi rozwiązaniami. Warto także wspomnieć o osobach zaliczanych do kategorii „phreaker”, którzy specjalizują się w łamaniu zabezpieczenia sieci telefonicznych w celu uzyskania darmowych połączeń. Oczywiście są to pojęcia o trudnych do jednoznacznego wyznaczenia granicach merytorycznych, w wielu sytuacjach wzajemnie się przenikających.

Różnice pomiędzy białym a czarnym hackingiem.

Osoby zajmujące się hackingiem są również dzielone na tzw. „białe kapelusze” (ang. white hat) oraz tzw. „czarne kapelusze” (ang. black hat). Białe kapelusze to osoby, które zazwyczaj zawodowo wyszukują luk w
zabezpieczeniach. Przy czym działają na zlecenie weryfikowanych przez nich firm i instytucji, np. jako pracownicy, pentestrzey. Białe kapelusze mogą także działać w celu uzyskania nagrody przyrzeczonej w ramach aktualnie popularnych programów bug bounty. Kluczową cechą charakteryzującą białe kapelusze jest informowanie pracodawcy, zleceniodawcy, innego podmiotu (np. właściciela strony internetowej) o wykrytych nieprawidłowościach. Czarne kapelusze z kolei działają w celu popełnienia czynu zabronionego. Wiedzę o wykrytych błędach wykorzystują dla osiągniecia własnych interesów, np. kradzież i sprzedaż danych. Działalnością charakterystyczną dla czarnych kapeluszy jest także tworzenie i udostępnianie narzędzi służących do popełnienia przestępstwa.
Moralna cena działań hackera w praktyce okazuje się trudna. Istotne jest kto staje się stroną ataków i w jakim celu prowadzone są ataki. Jako przykład można wskazać osoby działające w ramach grupy posługującej się kryptonimem „Anonymous”. Członkowie tego kolektywu dotychczas przeprowadzili ataki na min. Bank of America, Stolicę Apostolską, jak również polskie instytucje (ZUS, czy NFZ). Z drugiej strony „haktywiści” (termin powstał od połączenia słów hacking i activism i oznacza użycie komputerów i sieci do promowania celów społecznych i politycznych) od rozpoczęcia wojny na Ukrainie aktywnie atakują instytucje rosyjskie. Ich działania mają stanowić odwet za ataki strony rosyjskiej wymierzone w instytucje ukraińskie, jak również próbę wsparcia Ukrainy w obliczu rosyjskiej agresji.

Dopuszczalność hackingu w polskim prawie

Czynu zabronionego, który można określić hackingiem, dopuszcza się przede wszystkim osoba, która działa bez posiadania odpowiednich uprawnień dotyczących systemu informatycznego albo danych. Oznacza to, że karze nie będzie podlegała osoba, która została uprawniona do dostępu do systemu informatycznego, danych, czy wręcz do przełamania zabezpieczeń. Za osobę uprawnioną należy uznać np. pracownika działu IT, który w ramach czynności służbowych przeprowadza testy systemu informatycznego, czy zewnętrznego pentestera działającego na podstawie i w granicach zlecenia.
Dodatkowo polskie przepisy przewidują tzw. kontratyp. W określonej sytuacji osoba nie będzie podlegała karze, mimo działania bez upoważnienia. Zgodnie z treścią art. 269c Kodeks karnego (w skrócie: „Kk”) osoba, która bez uprawnienia uzyskała dostęp do całości lub części systemu informatycznego nie będzie podlegała karze pod warunkiem, że działała wyłącznie w celu zabezpieczenia systemu informatycznego i niezwłocznie powiadomiła dysponenta tego systemu o ujawnionych zagrożeniach. Dodatkowo, działanie nie może naruszyć interesu publicznego lub prywatnego i nie może wyrządzić szkody.

Przestępstwo hackingu

Na gruncie polskiego prawa karalne są pewne zachowania, które mieszczą się w zakresie potocznego rozumienia „hackingu”. Ukaraniu podlega nieuprawnione uzyskanie dostępu do informacji w wyniku przełamania lub ominięcia zabezpieczeń, w tym informatycznych (art. 267 § 1 Kk), jak również dostęp do systemu informatycznego (art. 267 § 2 Kk), przy czym przestępstwo to wymaga wykazania, że sprawca działał umyślnie, w zamiarze bezpośrednim.

Warto ponownie podkreślić, że karalność czynu jest uzależniona od tego, czy sprawca uzyskał bez uprawnienia dostęp do systemu informatycznego lub jego części. W tym przypadku nie musi dojść do złamania jakiegokolwiek zabezpieczenia, wystarczy sam nieuprawniony dostęp, a nawet przekroczenie uprawnień. W art. od 267 do 269c Kk zostały zidentyfikowane inne czyny, które mogą być związane z hackingiem albo stanowić jego konsekwencję. Penalizacji podlega np. nieuprawnione niszczenie danych informatycznych (art. 268a § 1 Kk), czy zakłócenie działania systemu komputerowego (art. 269a Kk). Oba te czyny mogą zostać popełnione wyłącznie umyślne oraz nastawione są na osiągniecie przez sprawcę określonego skutku (np. zniszczenia danych, zakłócenia działania systemu). Podobnie, karalne jest wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym osobom urządzeń lub programów komputerowych przystosowanych do popełnienia wspomnianych przestępstw (art. 269b § 1 Kk).

Odpowiedzialność karna i cywilna za hacking

Nieuprawnione uzyskanie dostępu do informacji w wyniku przełamania lub obejścia zabezpieczeń, jak również
nieuprawnione uzyskanie dostępu do całości lub części systemu podlega karze. Sprawca może zostać skazany na grzywnę, karę ograniczenia wolności albo na karę pozbawienia wolności. Wymagane jest złożenie przez pokrzywdzonego wniosku o ściganie (art. 267 § 5 Kk). Odpowiedzialność karna to jednak nie wszystko, gdyż sprawca może również zostać pociągnięty do odpowiedzialności cywilnej. Warto zaznaczyć, że pokrzywdzony działaniem hackera może dochodzić roszczeń również w ramach postępowania karnego. Na podstawie art. 46 § 1 Kk w przypadku skazania sąd na wniosek pokrzywdzonego orzeka obowiązek naprawienia w całości lub w części wyrządzonej szkody lub zadośćuczynienie za doznaną krzywdę.

Zgodnie z treścią art. 415 Kodeksu cywilnego (w skrócie: „Kc”) osoba, która ze swojej winy wyrządziła szkodę jest obowiązana do jej naprawienia. Warto także wspomnieć, że również haking wykonany w ramach legalnego zlecenia może skutkować powstaniem odpowiedzialności odszkodowawczej. Taka sytuacja będzie miała miejsce w przypadku, gdy do szkody dojdzie w wyniku niewykonania lub nienależytego wykonania umowy (art. 471 Kc). Jako przykłady można wskazać działania takie jak nieuprawnione i nieobjęte umową usunięcie danych z systemów

Katarzyna Gorzkowska, mec. Artur Piechocki | Kancelaria APLAW Artur Piechocki