Donos jako forma hackingu systemu (prawnego)

Jak się bawić w takich, domorosłych hackierów systemu, to właściwie dlaczego nie pełną gębą? Ciekawe co by się stało, gdyby ktoś pod wpływem lektury przepisów art. 304. kodeksu postępowania karnego i art. 269b. kodeksu karnego postanowił złożyć zawiadomienie do prokuratury lub na Policję o możliwości popełnienia przestępstwa... Ostatnio jestem przepracowany i takie nieodpowiedzialne wizje przychodzą mi do głowy. Proszę potraktować ten tekst jako felieton, bo nie chciałbym, aby ktoś uznał, że jątrzę i podpuszczam. A potem musiałbym się przemykać szybko na ulicy, by mnie jakiś przedsiębiorca nie zatłukł deską z gwoździem, bo komuś namieszałem w głowie.

W każdym razie podstawą takiego zawiadomienia mogłaby być treść art. 304 § 1. KPK. Przepis ten stwierdza, że "każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję...". Ze względu na odpowiednie stosowanie przepisu art. 191 § 3 - składający doniesienie może zastrzec dane dotyczące miejsca swego zamieszkania do wyłącznej wiadomości prokuratora lub sądu (no, ale tylko jeśli zachodzi uzasadniona obawa użycia przemocy lub groźby bezprawnej w stosunku do składającego).

Chociaż z obserwowanej praktyki społecznej wynika, że takie doniesienia składane są instrumentalnie (co i rusz jakaś organizacja składa doniesienie na tego czy tamtego, często się też składa z przyczyn politycznych - jak przypuszczam, ale nie znam się na tym), no ale system zachęca obywateli, by informowali organy ścigania o przestępstwach. Dzięki temu system może działać sprawniej. A przecież racjonalny ustawodawca przewidział w art. 269b. kodeksu karnego przestępstwa, które ścigane są z urzędu (por. Wokół artykułu 269b § 1 kodeksu karnego).

Art. 269b. Kodeksu karnego

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z §
1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.

Jeśli ktoś miałby wątpliwości co miał na myśli ustawodawca wprowadzając ten przepis, przypomnę jeszcze fragment uzasadnienie do projektu ustawy nowelizującej kodeks karny (warto też sięgnąć do tekstu U nas też nowelizacja):

(...)
Z kolei nowy przepis art. 269b K.k. penalizuje wytwarzanie, pozyskiwanie, zbywanie i udostępnianie innym osobom urządzeń lub programów komputerowych, które mogą służyć do popełnienia przestępstwa przeciwko ochronie informacji. Projektowany przepis art. 269b wskazuje na konkretne przestępstwa określone w Rozdziale XXXIII, które można popełnić przy użyciu programów i urządzeń, o których mowa w tym przepisie. Ponadto penalizuje on wytwarzanie, pozyskiwanie, zbywanie i udostępnianie innym osobom haseł komputerowych i kodów dostępu, jak również innych danych umożliwiających dostęp do informacji przechowywanych w systemie komputerowym. Ze względu na fakt, że hasła komputerowe i kody dostępu mają praktycznie tylko jedno zastosowanie (tj. uzyskanie dostępu do systemu komputerowego), zrezygnowano tu ze wskazywania przestępstw, których popełnieniu mogłyby służyć. Kody i hasła komputerowe dostępu służą bowiem jedynie ochronie informacji zawartych w systemie komputerowym i nieuprawniony obrót nimi należy uznać za społecznie szkodliwy w stopniu uzasadniającym penalizację. Dodatkowo, w art. 269b § 2 wprowadzono zapis o przepadku urządzeń lub programów komputerowych, określonych w § 1 tego przepisu, chociażby nie stanowiły własności sprawcy.
(...)

Przepis jest w miarę jasny, lektura uzasadnienia zaś musi rozwiać wszelkie wątpliwości niedowiarków (chociaż może nie, bo w uzasadnieniu posłużono się pojęciem "nieuprawniony obrót", a w przepisie się nim nie posłużono, może to i dobrze, bo byłby kłopot interpretacyjny, a tak takiego kłopotu nie ma). Podobno przepis ten jest nawet używany. Trochę mi się nie chce wierzyć, ale jednak wierzę, z racji źródła informacji o używaniu tego przepisu. Gdyby ktoś postanowił złożyć doniesienie (jak widziałem - w wielu komisariatach nie korzysta się z komputerów, więc można się czuć w miarę bezpiecznie i nie narazić się na uzasadnioną furię w przypadku, gdyby funkcjonariusz przyjmujący zawiadomienie akurat korzystał z komputera, co właśnie by mu się zgłaszało jako przestępstwo), a nie chciałby sam siebie denuncjować w związku z posiadaniem komputera i systemu operacyjnego, rozlicznych menadżerów plików (pozwalają na kasowanie danych, a więc to te przypadki z art. 268a § 1 i 269a KK), czy w związku z faktem, że zakładając w jakimś portalu konto musiał wygenerować hasło, a także je innym udostępnił logując się na to konto ostatnio... A więc gdyby nie chciał sam siebie, to jest prostszy sposób sprawdzenia jak działa ten przepis w praktyce. Wystarczy sięgnąć do rankingu TOP 200 (właśnie niedawno redakcja Computerworld przygotowała ten prestiżowy ranking firm informatycznych i telekomunikacyjnych)... To przecież nic osobistego.

Gdyby wziąć jedynie głównych graczy (zwykły komputer klasy PC jest "przystosowany" do popełnienia przestępstw, podobnie system operacyjny), a więc po kolei, nie licząc się z sympatiami, bo przecież nie o osobiste sympatie tu chodzi, a o obywatelski obowiązek: HP, Microsoft, Oracle, Sygnity, Comarch, Procom Software, IBM, Novell, a potem cała masa innych rodzimych producentów i dystrybutorów czy innych pośredników, integratorów. Wszystko to w jednym zawiadomieniu ktoś mógłby umieścić. Ale przecież nie tylko. Czy poszczególne przedsiębiorstwa zatrudniające pracowników nie udostępniają innym osobom (pracownikom chociażby) urządzeń i programów, o których tu mowa? A w urzędach nie pracuje się przy komputerze? Ktoś jest przecież za to odpowiedzialny. Nawet w Ministerstwie Sprawiedliwości projekt nowelizacji kodeksu karnego powstał na jakimś komputerze przy pomocy urządzenia i programu komputerowego przystosowanego do popełnienia przestępstwa... Urzędnicy pewnie mają też jakieś hasła do systemów, kody dostępu... Nie ma zmiłuj. Hacker systemu prawnego chcący sprawdzić jak zachowałaby się prokuratura, gdyby ktoś postanowił w trybie art. 304 kpk takie zawiadomienie złożyć, musiałby wymienić ich wszystkich. To byłoby dość długie zawiadomienie. No to chociaż jednego czy dwóch. Można by wybrać akurat tego, który wygrał ostatnio jakiś przetarg na dostawę sprzętu. A może darzyłby sympatią jakąś gazetę i ona zgodziłaby się w ten sposób na temat numeru, opisując swoje boje o uniewinnienie kadry zarządzającej (tylko proszę mnie nie denuncjować, bo ja jestem niepoczytalny - jest czwarta nad ranem, a ja przy komputerze)? Ach! Ile jest możliwości wyboru celu.

Gdyby ktoś się zdecydował, to proszę mi dać znać (wezwę lekarza), ale też proszę pamiętać, że w żadnym wypadku nikogo nie namawiam do tego rodzaju zamulania zbędną robotą urzędników i funkcjonariuszy organów ścigania. Jestem przekonany, że oni mają co robić i to nie ich wina, że ustawodawca jest racjonalny, a polska implementacja przepisu art. 6 konwencji Rady Europy z listopada 2001 r. o zwalczaniu cyberprzestępczości (gdzie mowa np. o "urządzeniach, w tym także programie komputerowym, przeznaczonych lub przystosowanych przede wszystkim dla celów popełnienia któregokolwiek z przestępstw określonych zgodnie z...") jest generalnie zgodna z czym trzeba. To "przeznaczonych lub przystosowanych przede wszystkim", które w redakcji polskiego przepisu implementacyjnego się nie pojawiło, też nie załatwiałoby sprawy. To jest dobre w konwencji, która jest dość ogólna. Przepis prawa krajowego winien chyba być bardziej precyzyjny, ale ustawodawca postanowił penalizować to, co penalizować postanowił. U nas się karze za "urządzenia lub programy komputerowe przystosowane". I to do lat 3.

Jest jeszcze inny aspekt sprawy. Polski rynek IT wzrósł podobno o 23% i dosięgnął 6,6 miliardów dolarów. Gdyby tak polecieć po Top 200 i mieć w pamięci, że w przypadku skazania sąd musi orzec przepadek określonych w przepisie przedmiotów (a może orzec tylko wtedy, gdy nie są własnością sprawcy). Jest szansa na pieniądze dla potrzebujących ich grup społecznych. Po co protestować? Po co strajkować, chodzić tam i z powrotem po przejściu dla pieszych, skoro jest lepsze rozwiązanie...

A więc gdyby ktoś się zdecydował... Ale zamiast składać takie zawiadomienie proponuję intelektualną zabawę w prześledzenie tego, co mogłoby się stać dalej, gdyby ktoś takie zawiadomienie jednak złożył. Jakich argumentów używaliby pełnomocnicy korporacji, radcowie prawni urzędów, którzy - jeśli by do tego doszło - musieli się jakoś bronić przed tym przepisem? Takie akademickie rozważania. Proszę się postarać i nie iść na łatwiznę, bo najprościej zacząć od braku winy (czy na pewno to najprostsze?), albo od społecznej szkodliwości. Czy Prokuratura wszczęłaby postępowanie sprawdzające? Na jakiej podstawie próbowałaby tego nie zrobić? Czy zapadłaby decyzja o wszczęciu śledztwa? Jakie środki zaskarżenia? Na co się powoływać? Kto tu się przygotowuje do egzaminu na aplikację adwokacką? Może w ramach ćwiczenia przed trzydziestym czerwca?

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Samodonos

Chyba powinienem złożyć samodonos.

--
Bartosz Małkowski
xmpp: bmalkow@malkowscy.net

Super felieton

A ja właśnie od kilku miesięcy (z małymi przerwami ;)) się zastanawiam dlaczego prawo w Polsce tworzone jest jak produkty M$. Najpierw wypuszcza się produkt, a potem rynek szuka w nim luk i się to łata co wtorek. U nas jest podobnie. Najpierw sie uchwala, potem przepis wchodzi w życie, a potem ktoś, komu przepis przeszkadza zgłasza się do Trybunału Konstytucyjnego, a potem się okazuje że przepisy w całości albo w części są do d.... znaczy do niczego.

Pracuje jako programista i gdybym w ten sposób wypuszczał swoje aplikacje to wyrzucono by mnie z roboty. Zawsze przecież trzeba przeprowadzać testy. Ja rozumiem ze ogrom przepisów prawnych powoduje że bardzo łatwo "zapętlić" prawo, ale czy to powód dla którego powinno się w ogóle rezygnować z testów?

A może by się pokusić o jakąś aplikację która sama sprawdzała by czy nowy przepis jest zgodny/niezgodny - cóż za wyzwanie dla programistów. (Choć wydaje mi się że lobby prawników było by przeciwne ;))

Inną kwestią jest podejście do naprawiania rzeczywistości - w końcu wystarczy przepis, uchwała, ustawa czy dekret i po problemie .... (a może by uchwalić że w Polsce jest dobrobyt?) jakoś nikt się nigdy nie zastanawia nad tym czy nie ma innej drogi, że może można by zachęcać, stwarzać możliwości, pokazywać inną drogę. Od jakiegoś czasu odnoszę wrażenie że polskie prawodawstwo powzięło misję myślenia za wszystkich obywateli (i nie chciałbym aby zostało to zrozumiane że tylko obecnie panujący tak myślą - taki trend panuje od baaaardzo dawna). Naprawdę wydaje się że wszystko trzeba "oprzepisować", bo inaczej biedny polski obywatel się zgubi i nie będzie wiedział jak żyć. Ja rozumiem że trzeba chronić, ale przecież pozwólmy ludziom popełniać błędy nie można ochronić ich przed wszystkim - przecież w ten sposób przyzwyczajamy wszystkich do tego że można robić głupie rzeczy bez konsekwencji bo potem "ONI" i tak wszystko załatwią, a jak nie to będziemy na "NICH" psioczyć przez cały rok.

Sorki chyba troszkę odbiegłem od tematu ale.. "siakoś tak wyszło"
Pozdrawiam

Obiecaj nam tu wszystkim...

... Panie Piotrze, że zaczniesz chodzić spać przed 24 no dobra góra 1.00 ;)

Acha!

VaGla's picture

Chodzi Panu o to, bym stracił argumenty na rzecz swojej niepoczytalności, tak? Nic z tego.
--
[VaGla] Vigilant Android Generated for Logical Assassinationq

Mam wrażenie Piotrze, że

Mam wrażenie Piotrze, że masz ostatnio ochotę poopalać się troszkę w kratkę ;) Czyżbyś nie maiał szansy doświadczyć studenckich patroli policyjnych albo edukacyjnych wycieczek na ul. Rakowiecką?. Jak ja studiowalam, to takie atrakcje były organizowane;)
Moje stowarzyszenie studenckie chyba nadal takie imprezy organizuje, wieć pewnie "patrol" można Ci załatwić ;) Zawsze to mniej ryzykowne:) Chociaz w sumie, to nie ma ryzyka, nie ma zabawy.... Ale ja Cie nie namawiam

J.U.S.T. Journeying Unit Skilled in Troubleshooting

Donos

Ja doniosłem, ale Rzecznikowi Praw Obywatelskich. Mam dobre doświadczenia, więc może i tym razem chwyci i się zajmą.

nóż, widelec, łyżka,

nóż, widelec, łyżka, kamień, igła, wykałaczka, gwóźdź itd. też może posłużyć do popełnienia przestępstwa, co do hasła to też wygląda mi na jakąś paranoje bo hasło to tylko ciąg znaków które mogą być opublikowane przez nieświadomego i bogu ducha winnego człowieka (chyba jakiś czas temu pisał Pan o tym). Kto tworzy takie bzdurne prawo?

Przystosowane do popełnienia przestępstwa...

Skoro już mowa o przystosowanych do popełnienia przestępstwa i na chwilę odchodząc od szczegółów cytowanej regulacji... To każdy z nas ma przystosowane do popełnienia przestępstwa.. ręce i to jakiego, przy ich pomocy można zabić, spowodować trwały uszczerbek na zdrowiu itd. W związku z tym może należałoby prewencyjnie od razu po narodzeniu pozbawiać noworodki rąk, w imię prewencji... ale zaraz nogi to też może być narzędzie przestępstwa (można zbiec z miejsca wypadku, można uciekać przed funkcjonariuszem), może nawet ciężkiego (podobno kopniakiem można zabić)... Ale co ja piszę, przecież najważniejszym narzędziem popełnienia przestępstwa jest głowa (choć można popełnić przestępstwo nieumyślnie), więc może tak prewencyjnie...

Prywata VaGli

Bardzo przewrotnie realizujesz Piotrze swoją prywatę! Jaki trzeba mieć (chory? genialny?) umysł, by wpaść na taki pomysł? Bo przecież odkryłem o co Ci chodzi: chcesz po prostu, by ktoś poznał Cię wreszcie z tą "piękną brunetką w kucykach", której cały czas na próżno szukasz. Chcesz doprowadzić do tego, by te brunetki dla Ciebie wyszukiwali inni, którzy w ten sposób sprawią byś już więcej nie pisał felietonów! To jest cena? Chyba muszę się rozejrzeć czy nie mam kandydatki dla Ciebie, bo mi dziś rano pracownicy zaczęli coś wspominać o podwyżce i że komputery mamy w firmie nielegalnie... ;-)

Mój plan został przejrzany!

VaGla's picture

Ehhh! Brunetka, kucyki, dożywotni grant na badania, z których nikt mnie nigdy nie będzie chciał rozliczyć i rządowe gwarancje na wypadek wojny, że zostanę wraz z rodziną ewakuowany w pierwszej kolejności. Takie są warunki ;)
--
[VaGla] Vigilant Android Generated for Logical Assassination

Brzmi rozsądnie

Brzmi rozsądnie. Zatem na następnym SecureConie trzeba zrobić kwestę wśród przyszłych beneficjentów tego rozwiązania, a już teraz zarządzić przegląd kadr działów marketingu i reklamy oraz PR. Gwarancje też chyba dałoby się zdobyć, chodzi przecież o kwestie bezpieczeństwa państwa i porządku publicznego. Nasz przedstawiciel się z Tobą skontaktuje ;-)

Menadżer plików

"rozlicznych menadżerów plików (pozwalają na kasowanie danych, a więc to te przypadki z art. 268a § 1 i 269a KK)"

268a odpada bo miały być tylko ścigane z urzędu ;) Natomiast menadżer plików nie jest programem, który został celowo przystosowany do popełnienia przestępstw wymienionych w przepisie art. 269a

269b jest z urzędu

VaGla's picture

269b jest ścigane z urzędu, a to wystarczy, bo o nim przecież mowa. 268a § 1 jest wymieniony w treści tego przepisu jako swoisty opis czynu polegającego na np. zbywaniu, wytwarzaniu, etc. programów komputerowych przystosowanych do... A 269a mówi o sytuacji, w których ktoś "nie będąc do tego uprawniony, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej". Za pomocą menadżera plików można (technicznie, nie normatywnie), nie będąc do tego uprawniony, przez np. usunięcie lub zmianę danych informatycznych w istotnym stopniu zakłócić pracę systemu komputerowego. Menadżer plików jest do tego przystosowany. Tak więc - hipotezą i dyspozycją (a więc czynem przestępnym) przepisu 269b (ściganego z urzędu) jest wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym m.in. menadżerów plików...

A jakby ktoś myślał, że pisząc o zawiadomieniu o możliwości popełnienia przestępstwa zaproponowałem coś zupełnie dziwnego, to zachęcam do lektury poradnika z 2007 roku sygnowanego przez Komendę Główną Policji i Ministerstwo Spraw Wewnętrznych i Administracji, który nosi tytuł Jak złożyć zawiadomienie o przestępstwie. Poradnik (PDF). Dokument to 34 strony i jest to opracowanie Biura Kryminalnego Komendy Głównej Policji. Można tam przeczytać dodatkowe wskazówki, które mogą pomóc w pracy organów ścigania. Czytamy tam m.in.:

Odrębnym problemem są włamania do serwera, ataki na integralność systemu (art. 268 k.k., 268a k.k., 269 k.k., 269a k.k., 269b k.k., 287 k.k.). W tym przypadku, składając zawiadomienie o przestępstwie, pokrzywdzony musi określić, kto miał uprawnienia do modyfikacji systemu, w jakim zakresie prowadzona jest działalność gospodarcza lub inna (np. oświatowa) z wykorzystaniem systemu informatycznego, który stał się przedmiotem nadużycia.

Ważne będą informacje, na czym polegają straty: czy obejmują wyłącznie koszty przywrócenia funkcjonowania systemu, czy też można wskazać, że chodzi o nadwątlenie dobrego wizerunku firmy lub instytucji i że przez to nie osiągnie ona spodziewanych korzyści w przyszłości.

To tylko wyimek, bo przecież zawiadomienie o możliwości popełnienia przestępstwa nie musi składać jedynie pokrzywdzony. I ciężko składać takie zawiadomienie z wymienionymi w powyższym fragmencie elementami ("musi określić"), jeśli nie ma się wiedzy na temat tych właśnie elementów...

Z tego dokumentu (oraz ze stosownych przepisów, na które się powołuje poradnik) w przystępny dla nieprawnika sposób można się dowiedzieć nieco o pewnych przydatnych uprawnieniach przysługujących składającemu zawiadomienie:

Sprowadzają się głównie do konieczności poinformowania Cię o kluczowych rozstrzygnięciach: decyzji o wszczęciu postępowania przygotowawczego, decyzji o odmowie jego wszczęcia albo o umorzeniu śledztwa. Najdalej po upływie 6 tygodni od daty złożenia zawiadomienia o przestępstwie otrzymasz pisemne powiadomienie o wszczęciu postępowania przygotowawczego w tej sprawie lub o odmowie jego wszczęcia. Jeśli w tym czasie nie uzyskasz żadnego powiadomienia, możesz złożyć zażalenie do prokuratora.

A więc ktoś o perwersyjnych skłonnościach związanych z art. 269b KK miałby dodatkowe narzędzia monitorowania tego, co się dzieje z takim zawiadomieniem...

Ale jest też przestroga - odpowiedzialność karna za zawiadomienie organów ścigania o niepopełnionym przestępstwie (art. 238 KK) odpowiedzialność karną za fałszywe oskarżenie innej osoby o popełnienie przestępstwa (art. 234 KK). Proszę o tym pamiętać.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Wątpliwości...

Jerry's picture

Ale jest też przestroga - odpowiedzialność karna za zawiadomienie organów ścigania o niepopełnionym przestępstwie (art. 238 KK)

Ale my przecież nie mówimy o popełnionym przestępstwie, tylko o potencjalnej możliwości jego popełnienia. Czy można ukarać kogoś za to, że w oparciu o swoją wiedzę obawia się, że przestępstwo może zostać popełnione?

--
Jarek Witkowski | Linux user #136162 | http://www.jerry.prv.pl
This posting is covered by PPL - http://ppl.7thGuard.net

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>