CyberSec Update #22 – Nowelizacja Kodeksu karnego
Nowelizacja Kodeksu karnego: uderzenie w narzędzia cyberprzestępców
Rządowy projekt ustawy o zmianie Kodeksu karnego (druk nr 2398, projekt UC128) zmierza do domknięcia przepisów dotyczących walki z cyberprzestępczością. Celem projektowanych zmian jest skuteczniejsze „wytrącenie broni z ręki” sprawców ataków na systemy informatyczne – niemal w dosłownym znaczeniu tego sformułowania.
Dlaczego nowelizacja była konieczna?
Głównym celem zmian jest usunięcie luk w transpozycji art. 7 dyrektywy Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotyczącej ataków na systemy informatyczne. Dotychczasowe polskie regulacje zostały uznane za niewystarczające w zakresie penalizacji wytwarzania, pozyskiwania oraz udostępniania narzędzi (takich jak programy komputerowe, hasła czy kody dostępu) służących do popełniania określonych cyberprzestępstw.
W szczególności brakowało pełnego wdrożenia przepisów odnoszących się do czynów wskazanych w art. 3 dyrektywy (nielegalny dostęp do systemów informatycznych) oraz art. 6 dyrektywy (nielegalne przechwytywanie danych). W konsekwencji Komisja Europejska wszczęła wobec Polski postępowanie naruszeniowe INFR(2021)2053, prowadzone na podstawie art. 258 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).
Cel i znaczenie dyrektywy 2013/40/UE
Dyrektywa 2013/40/UE ma na celu zbliżenie regulacji prawa karnego państw członkowskich w obszarze ataków na systemy informatyczne oraz usprawnienie współpracy organów ścigania w całej Unii. Ustawodawca unijny podkreśla, że systemy IT stanowią fundament funkcjonowania nowoczesnego społeczeństwa, a skala i złożoność zagrożeń stale rośnie.
Dokument zwraca uwagę m.in. na zagrożenia związane z botnetami oraz atakami na infrastrukturę krytyczną, wskazując na konieczność ustanowienia spójnych, minimalnych standardów w zakresie definicji przestępstw oraz sankcji.
Istota zmiany: rozszerzenie katalogu zakazanych narzędzi
Kluczowa zmiana dotyczy art. 269b § 1 Kodeksu karnego, który penalizuje wytwarzanie, pozyskiwanie, zbywanie oraz udostępnianie narzędzi służących do popełniania cyberprzestępstw. Dotychczas przepis ten odsyłał wyłącznie do art. 267 § 3 k.k., obejmującego urządzenia podsłuchowe oraz inwigilację.
Projektowana nowelizacja rozszerza to odesłanie na cały zakres art. 267 (§ 1–3) k.k., co istotnie poszerza katalog zabronionych narzędzi, programów i danych dostępowych.
Nieuprawniony dostęp do informacji (art. 267 § 1 k.k.)
Po zmianach karalne będzie również udostępnianie narzędzi umożliwiających przełamywanie lub omijanie szczególnych zabezpieczeń informatycznych bądź elektronicznych w celu uzyskania nieuprawnionego dostępu do informacji.
Nieuprawniony dostęp do systemu informatycznego (art. 267 § 2 k.k.)
Penalizacja obejmie także narzędzia, hasła oraz kody dostępu, które umożliwiają nieuprawniony dostęp do całości lub części systemu informatycznego.
Doprecyzowanie tych przepisów ma fundamentalne znaczenie w kontekście zwalczania przygotowań do ataków typu ransomware oraz przeciwdziałania tworzeniu botnetów, czyli sieci zainfekowanych systemów (malware) pozostających pod zdalną kontrolą cyberprzestępców.
Bezpieczne ramy dla legalnej działalności IT
Projektowana nowelizacja nie zmienia podstaw odpowiedzialności karnej za cyberprzestępstwa, ale daje większe możliwości skutecznego ich ścigania. Z perspektywy branży cybersecurity kluczowe jest, że wprowadzone zmiany w żaden sposób nie naruszają ani nie ograniczają zakresu wyłączenia odpowiedzialności karnej przewidzianego w art. 269b § 1a k.k. Ten szczególny kontratyp ustawowy pozostaje w mocy, co gwarantuje, że działania podejmowane wyłącznie w celu zabezpieczenia systemu informatycznego lub opracowania metod jego ochrony – w tym legalna działalność pentesterów oraz badaczy bezpieczeństwa nadal nie stanowią przestępstwa.
Wejście w życie zmian
Projekt ustawy został pozytywnie zaopiniowany przez Komisję Sprawiedliwości i Praw Człowieka. Zgodnie z założeniami, nowelizacja ma wejść w życie po upływie 14 dni od dnia ogłoszenia.
