Czy zalogowanie się przez byłego pracownika do systemu księgowego firmy i pobranie faktury może być traktowane jako przestępstwo? Czy użycie do zalogowania się dawnego (nadal aktywnego) loginu i hasła może być traktowane jako przełamanie zabezpieczenia celem dostępu do informacji? I, wcale nie na marginesie: czy — zakładając, że dane do logowania ex-pracownika są nadal czynne — można mówić o uzyskaniu dostępu do systemu informatycznego bez uprawnienia? (wyrok Sądu Okręgowego Warszawa-Praga z 9 października 2023 r., VI Ka 285/23).
Orzeczenie dotyczyło ex-pracownicy spółki, która — kilka dni po dyscyplinarnym zwolnieniu z pracy — zalogowała się na konto pracodawcy w serwisie do fakturowania i pobrała stamtąd jeden dokument. Sąd I instancji stwierdził, iż fakt, że były pracownik zna (bo pamięta) dane do logowania do systemu, nie czyni go osobą uprawnioną do dostępu do chronionych informacji i uznał kobietę winną przestępstwa z art. 267 par. 1 kk.
W apelacji od tego wyroku obrońca oskarżonej podkreślił, że kobieta była w sporze z ex-pracodawcą na tle jakości jej pracy, a firma domagał się zapłaty 40 tys. zł tytułem kar umownych za rzekome nieprawidłowości. Uzyskanie faktury było niezbędne jako dowód potwierdzający nieprawdziwość zarzutów i bezpodstawność roszczeń, ale też zamierzała ją przedstawić w postępowaniu przed sądem pracy — nie wyrządziła w ten sposób pracodawcy żadnej szkody.
art. 267 par. 1-2 kodeksu karnego
§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
Zdaniem sądu odwoławczego zaprezentowana argumentacja była logiczna i bardzo prawdopodobna: raz, że nie miało miejsce ominięcie lub przełamanie jakiegokolwiek zabezpieczenia, albowiem kobieta zalogowała się do systemu księgowego przy pomocy znanego jej loginu i hasła, którego nikt nie wyłączył. Pracodawca pozwalał także na wykorzystywanie prywatnego sprzętu pracowników do wykonywania obowiązków pracowniczych (a to z oszczędności), zatem więc godził się i na to, że dane do logowania mogą być zapisane w przeglądarce. Nie da się też ukryć, że oskarżona nie zapoznała się z żadną tajemnicą firmy, ponieważ na tych danych wcześniej pracowała, a więc lista kontrahentów była jej generalne znana, podobnie jak treść tej konkretnej faktury. Nie da się też ukryć, że konflikt pracodawcy i pracownika związany z rzekomym wyrządzeniem szkody wskutek niewłaściwego wykonywania obowiązków, a także sprawa zawisła przed sądem pracy, mogły skłonić oskarżoną do ściągnięcia dokumentu potwierdzającego jej wersję. Fakt, że oskarżona pobrała fakturę 3 dni po otrzymaniu wezwania do zapłaty na kwotę 40 tys. zł potwierdza, że jej działanie było impulsywne i niezaplanowane…
…co jednak nie zmienia faktu, iż czyn zabroniony określony w art. 267 par. 2 kk nie polega na przełamaniu zabezpieczenia, gdyż uzyskanie dostępu do systemu informatycznego może nastąpić przy posłużeniu się prawidłowymi (niewykradzionymi) danymi do logowania, lecz bez wiedzy lub zgody osoby uprawnionej do udzielenia tego dostępu — przeto zalogowanie się do systemu informatycznego przez byłego pracownika, którego uprawnienia wygasły, jest przestępstwem.
Biorąc jednak pod uwagę wszystkie okoliczności sprawy, w tym stopień winy i społecznej szkodliwości czynu, sąd — uznając oskarżoną winną przestępstwa z art. 267 par. 2 kk — zdecydował także o warunkowym umorzeniu postępowania na 2 lata, a także uchylił orzeczoną nawiązkę. (I już tylko sygnalizacyjnie mogę powiedzieć, że chociaż apelacja na korzyść została w znacznym stopniu uwzględniona, to jednak oskarżona zwraca spółce (jako oskarżycielce posiłkowej) wydatki poniesione na pełnomocnika.)