Masowe składanie fałszywych zamówień w e-sklepie może być traktowane jako przestępstwo z art. 269a kk

A teraz coś z nieco innej beczki: czy masowe składanie fałszywych zamówień w sklepie internetowym — kilkumiesięczna operacja mająca na celu „zamęczenie” systemu i ludzi sprawdzaniem wielu różnych transakcji — może być traktowane jako przestępstwo zakłócania systemu komputerowego (art. 269a kk)? Zwłaszcza wówczas, gdy każda sprzedaż musi być zatwierdzona przez personel sklepu, który ma dzięki temu możliwość wstrzymania niepotwierdzonej transakcji? (wyrok Sądu Okręgowego w Świdnicy z 9 stycznia 2018 r., sygn. akt IV Ka 720/17).


Masowe składanie fałszywych zamówień

Masowe składanie fałszywych zamówień w sklepie internetowym może być traktowane jako przestępstwo z art. 269a kk (fot. Olgierd Rudak, CC-BY-SA 3.0)


Sprawa dotyczyła informatyka oskarżonego o składanie (przez kilka miesięcy) fałszywych zamówień w sklepie internetowym, których celem było zakłócenie funkcjonowania jego systemu poprzez wyczerpanie jego asortymentu (art. 269a kk) oraz o uzyskanie bez uprawnienia dostępu do bazy danych sklepu, co pozwoliło na wykradzenie nazw użytkowników i ich haseł, a także zniszczenie bazy kół łowieckich (art. 267 par. 2 kk; był to zdaje się jakiś sklep dla myśliwych).
Działanie to było najprawdopodobniej rodzajem zemsty: informatyk uważał się za współwłaściciela oprogramowania służącego do zarządzania sklepem, a przy tym czuł pokrzywdzony rzekomo bezprawną transakcją jego sprzedaży, a na pewno znał metody dostępu od zaplecza.

Uznając sprawę winnym zarzucanych czynów sąd I instancji wymierzył mu łączną karę 14 miesięcy pozbawienia wolności w zawieszeniu na 3 lata — ale odmówił nakazania obowiązku naprawienia szkody w wysokości 58,5 tys. złotych, za czas poświęcony na odtworzenie bazy danych e-sklepu (wyliczonych jako równowartość 580 godzin własnej pracy po stawce 100 złotych za godzinę).

art. 269a kk
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

W apelacji od wyroku oskarżony wskazał m.in., iż składanie wielu zamówień na towary, aż do wyprzedania całego towaru i uniemożliwienia innym klientom dokonania zakupu nie może być kwalifikowane jako przestępstwo z art. 269a kk — bo przedstawione dowody wskazują, że towar jest „blokowany” dopiero po potwierdzeniu zamówienia przez obsługę sklepu, zatem jeśli ktokolwiek coś blokował, to robiła to sama właścicielka sklepu.
Pokrzywdzona (działająca jako oskarżycielka posiłkowa) domagała się uwzględnienia żądania wypłacenia odszkodowania — bo skoro programista wziąłby za taką pracę od 150 do tysiąca złotych, to zaś zniszczenie 26 baz danych kół łowieckich i klientów wymagało takich nakładów pracy, to sprawca powinien za to zapłacić.

Sąd II instancji odmówił uwzględnienia takich argumentów: gdyby oskarżony miał po prostu zamiar złożyć zamówienie, a nie zakłócić funkcjonowanie e-sklepu, nie korzystałby z bramek dla ukrycia adresu IP, z którego korzystał — zaś złożone zamówienia nie dotyczyłyby różnych (wymyślonych) osób i adresów. Natomiast w kontekście „blokowania” sklepu  oskarżonemu zarzucono doprowadzenie do „utrudnienia pracy czy też dezorganizacji” systemu e-sklepu, co stanowi istotne zakłócenie jego funkcjonowania — nie chodziło o jako takie zablokowanie jego funkcjonowania. Z tego względu nie ma znaczenia czy transakcja wymagała akceptacji przez pracownika sklepu, istotna jest okoliczność, że złożone fałszywe zamówienie wymagało weryfikacji, co stanowi zakłócenie jego pracy (zaś zważywszy na liczbę zamówień, można mówić o działaniu wielokrotnym).

Masowe składanie fałszywych zamówień w sklepie internetowym atakuje funkcje użytkowe e-sklepu, właśnie poprzez to, że dane są wprowadzane do systemu informatycznego — kluczowa jest nie tylko ilość towaru, ale też sama ilość zamówień, a także konieczność tłumaczenia niektórych znaków (oskarżony wymyślał także dane zapisane w innych alfabetach). Skutkiem tych działań był nieprawidłowy przebieg i spowolnienie przetwarzania danych, co oznacza, że można mówić o istotnym zakłóceniu systemu komputerowego obsługującego jego pracę.
Nie ma też znaczenia ewentualny spór o prawa autorskie do oprogramowania, zwłaszcza, że ujawniona korespondencja prowadzona z osobą trzecią wskazywała, że sprawca umożliwił jej dostęp do systemu e-sklepu od zaplecza (motywem były negocjacje dotyczące możliwości stworzenia podobnego programu).

Sąd nie uwzględnił także powództwa adhezyjnego pokrzywdzonej (o zapłatę odszkodowania): właścicielka sklepu nie wykazała poniesienia takiej szkody — z zeznań świadków (pracowników firmy hostingowej) wynika bowiem, że dane zostały przywrócone z automatycznie z kopii bezpieczeństwa, po zalogowaniu do panelu, co nie wiązało się z dodatkowymi kosztami. W takim przypadku nie ma możliwości obciążania oskarżonego ani obowiązkiem naprawienia szkody (art. 46 par. 1 kk), ani nawiązką (art. 46 par. 2 kk).

Reasumując: niezależnie od tego czy spór jest rzeczywisty czy wydumany, zawsze lepiej podejmować zgodne z prawem kroki zmierzające do wyegzekwowania swoich roszczeń — natomiast wykorzystywanie celowo pozostawionych back-doorów lub zalewanie e-sklepu fałszywymi zamówieniami może skończyć się sankcją karną.

10 comments for “Masowe składanie fałszywych zamówień w e-sklepie może być traktowane jako przestępstwo z art. 269a kk

  1. Radosław Kotowicz
    16 października 2018 at 20:09

    „Skutkiem tych działań był nieprawidłowy przebieg i spowolnienie przetwarzania danych, co oznacza, że można mówić o istotnym zakłóceniu systemu komputerowego obsługującego jego pracę”

    System komputerowy z założenia przetwarza różne rodzaje danych (nawet te zapisane w innych alfabetach :) ) za pomocą tego samego algorytmu a więc i z tą samą prędkością.

    W tym kontekście wydaje mi się, że trudno mówić o zakłóceniu pracy systemu informatycznego (art. 269a kk) poprzez fakt składania zamówień, do czego przecież dany system jest przecież przeznaczony.

    • kjonca
      17 października 2018 at 09:06

      „System komputerowy z założenia przetwarza różne rodzaje danych (nawet te zapisane w innych alfabetach :) ) za pomocą tego samego algorytmu a więc i z tą samą prędkością.”

      Eeee, na pewno chciałeś to napisać?

      Ten sam algorytm NIE implikuje przetwarzania danych z tą samą prędkością.
      Ot, taki quicksort
      średnio ma czas O(n log n), ale pesymistycznie ma czas O(n^2) (np. dla danych posortowanych „odwrotnie”)

      Tak samo heurystyki dla problemów NP. Sporo z nich ma czasy wielomianowe, ale jak się trafią złe dane to lądujemy z czasem wykładniczym

      • Rx
        17 października 2018 at 10:35

        Bądźmy poważni, piszemy o dodawaniu zamówień do sklepu internetowego a nie o problemach NP.

        • kjonca
          17 października 2018 at 13:29

          Nie. Piszemy o zdaniu: „System komputerowy […] przetwarza różne rodzaje danych […] za pomocą tego samego algorytmu a więc i z tą samą prędkością.”

          Które jest bzdurne.
          NP czy quicksort były tu tylko (uwaga: trudne słowo) przykładami.

          I spokojnie mogę sobie wyobrazić, że odpowiednio spreparowane dane mogą spowolnić działanie sklepu. Zarówno technicznie, jak i (a może zwłaszcza) organizacyjnie.

          • Rx
            17 października 2018 at 14:24

            Bzdurne jest pisanie o „odpowiednio spreparowanych danych” o których słowa nie ma w komentowanym artykule. Gratuluję bogatej wyobraźni.

            • kjonca
              17 października 2018 at 14:51

              „[…] a także konieczność tłumaczenia niektórych znaków (oskarżony wymyślał także dane zapisane w innych alfabetach). Skutkiem tych działań był nieprawidłowy przebieg i spowolnienie przetwarzania danych,”

              To tyle o tym , że nie było mowy o odpowiednio spreparowanych danych.
              A jeśli chodzi o wyobraźnię, to może wynika ona z tego, że czytałem o jakichś sql-injection; o Meltdown i Spectre (w kontekście szybkości przetwarzania różnych danych); czy o łamaniu biosu Toshiby (znowu: chip chroniący bios odpdpowiadał z różnym opóźnieniem dla różnych danych)

              Z mojej strony EOT.

              • Rx
                17 października 2018 at 20:15

                „To tyle o tym , że nie było mowy o odpowiednio spreparowanych danych.”

                O odpowiednio spreparowanych danych, mających realny wpływ na system komputerowy dodający zamówienia do bazy danych sklepu internetowego, o który to wpływ możnaby oprzeć zarzuty sprawcy przestępstwa.

                Bo o tym właśnie był artykuł i w kontekście art. 269a kk pisanie danych w różnych alfabetach ma zerowy wpływ na system komputerowy sklepu internetowego.

                „…jakichś sql-injection; o Meltdown i Spectre … łamaniu biosu Toshiby…”

                Właśnie, bogata wyobraźnia. Po prostu gdzie Rzym a gdzie Krym?

  2. Rx
    16 października 2018 at 20:10

    „Skutkiem tych działań był nieprawidłowy przebieg i spowolnienie przetwarzania danych, co oznacza, że można mówić o istotnym zakłóceniu systemu komputerowego obsługującego jego pracę”

    System komputerowy z założenia przetwarza różne rodzaje danych (nawet te zapisane w innych alfabetach :) ) za pomocą tego samego algorytmu a więc i z tą samą prędkością.

    W tym kontekście wydaje mi się, że trudno mówić o zakłóceniu pracy systemu informatycznego (art. 269a kk) poprzez fakt składania zamówień, do czego przecież dany system jest przecież przeznaczony.

    • Magic
      17 października 2018 at 09:22

      System komputerowy to nie tylko software i herdware ale też procedury i ludzie. W tym wypadku ludzie musieli wykonywać czynności związane z pozornymi zakupami – i nie mieli czasu na zajęcie się zakupami prawdziwymi.

      A powód powinien wyliczyć o ile więcej musiał pracować, żeby obsłużyć te pozorne zamówienia.
      Nawet jeśli to w sumie był tylko dzień pracy – to odszkodowanie się należy.

      • Rx
        17 października 2018 at 10:31

        „System komputerowy to nie tylko software i herdware ale też procedury i ludzie”

        I tu się nie zgodzę:

        „Pomimo ujednoliceniaterminologii informatycznej i wprowadzenia do ustaw terminu „system teleinforma-tyczny” ustawodawca posłużył się innym określeniem, nie zdefiniowanym ustawowo.Definicję „system informatyczny” można natomiast znaleźć w art. 1 Konwencjio cyberprzestępczości. Zgodnie z nią jest to każde urządzenie lub grupa wzajemniepołączonych lub związanych ze sobą urządzeń, z których jedno lub więcej, zgodniez programem, wykonuje automatyczne przetwarzanie danych.”

        Właśnie o to chodzi mi chodzi, że pojęcie system komputerowy nie uwzględnia procedur i pracy ludzi i z tego wynika moje zastrzeżenie dotyczące takiej kwalifikacji zdarzenia.

        Dodatkowo art. 269a kk znajduje się w rozdziale XXXIII Przestępstwa przeciwko ochronie informacji, nie ma tu przestępstw związanych z dodatkową pracą osób obsługujących systemy informatyczne.

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.