Nowy kontratyp: szukanie luk w systemach informatycznych (art. 269b par. 1a kk oraz art. 269c kk)

Wchodząca wkrótce w życie nowelizacja kodeksu karnego to nie tylko karkołomna konfiskata rozszerzona mienia (por. „Przepadek rozszerzony i wyłączenie bezpiecznika z art. 4 par. 1 kk”), to także oceniane jako kontrowersyjne zaostrzenie sankcji za przestępstwo zakłócenia funkcjonowania systemów teleinformatycznych (art. 269a kk) oraz wytwarzanie lub sprzedaż sprzętu i oprogramowania hakerskiego (art. 269b par. 1 kk) — ale i nowe kontratypy wyłączające bezprawność czynów, które mogłyby być zakwalifikowane jako przestępstwa przeciwko bezpieczeństwu informatycznemu.


nowy kontratyp art. 269b kk art. 269c kk

W kodeksie karnym pojawia się kontratyp działania w celu wykrycia błędów w zabezpieczeniach systemów informatycznych (art. 269b par. 1 kk oraz art. 269c kk)


Rozchodzi się o dwa nowe przepisy — art. 269b par. 1 kk oraz art. 269c kk — zgodnie z którymi nie stanowią przestępstwa:

  • wytwarzanie, pozyskiwanie, zbywanie urządzeń lub oprogramowania służącego m.in. do przestępstw podsłuchu (art. 267 par. 3 kk), niszczenia, usuwania danych informatycznych lub zakłócania ich przetwarzania (art. 268a kk, art. 269 par. 2 kk), nieuprawnione zakłócanie pracy systemu informatycznego lub sieci teleinformatycznej (znowelizowany art. 269a kk) — jeśli sprawca skądinąd nieuprawnionej ingerencji w systemy działa wyłącznie w celu zabezpieczenia systemu przed popełnieniem jednego z tych przestępstw lub w celu opracowania metody takiego zabezpieczenia (art. 269b par. 1a kk);
  • nieuprawnione uzyskanie dostępu do części lub całości systemu informatycznego (art. 267 par. 2 kk) oraz nieuprawnione zakłócenie pracy systemu (ten sam art. 269a kk) — jeśli sprawca dopuścił się czynu w celu wskazanym powyżej — ale pod dodatkowym warunkiem, że jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody, a sprawca niezwłocznie powiadomił właściciela o wykrytych lukach i błędach w systemie lub sieci (art. 269c kk).

art. 269b § 1a kk
Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.
art. 269c kk
Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

Dla jasności (chociaż temat pewnie będzie wracał nie raz):

  • nowy kontratyp nie obejmuje wszystkich działań wymierzonych w bezpieczeństwo systemów: pod pozorem rozpracowywania luk w systemach nadal nie będzie można m.in. podsłuchiwać i ujawniać podsłuchanych informacji (art. 267 par. 4 kk), niszczyć zapisów istotnych danych (art. 268 kk);
  • „niezamówione pentesty” nie dotyczą danych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji i funkcjonowania organów państwa (art. 269 par. 1 kk);
  • zawsze warunkiem kwalifikacji czynu pod kątem kontratypu jest wyłączne działanie w celu wykrycia błędów w systemie i zapewnienia im bezpieczeństwa — warto też zwrócić uwagę, że kontratyp z art. 269c kk obwarowany jest dodatkowymi warunkami, z których podkreślić należy „przejrzystość” działań — które nie tylko nie mogą powodować szkody w systemach, ale i sprawca powinien powiadomić osoby uprawnione (nie ujawniając informacji ogółowi) o wykrytych lukach;
  • dla przypomnienia: zgoda uprawnionego — czyli przeprowadzenie testów na zlecenie administratora systemu — wyłącza karalność zawsze. Jeśli gdzieś przeczytacie, że dotąd szukanie luk w systemach było przestępstwem — to nieprawda.

Dla przypomnienia: nowelizacja kodeksu karnego (Dz.U. z 2017 r. poz. 768) wchodzi w życie po upływie 14 dni od promulgacji, czyli 27 kwietnia 2017 r.