opis sprawy

Odpowiedź na interpelację w sprawie procederu wyłudzania poufnych danych osobowych w sieci internetowej

Odpowiedź podsekretarza stanu w Ministerstwie Sprawiedliwości - z upoważnienia ministra -

na interpelację nr 3697

w sprawie procederu wyłudzania poufnych danych osobowych w sieci internetowej

   Szanowny Panie Marszałku! W odpowiedzi na interpelację posła Krzysztofa Brejzy oraz grupy posłów w sprawie procederu wyłudzania poufnych danych osobowych w sieci internetowej, znak: SPS-023-3697/12, uprzejmie przedstawiam, co następuje.

   Problem, na którym koncentruje się interpelacja, czyli zjawisko tzw. oszustw internetowych, stanowi fragment szerszego zjawiska, polegającego co do zasady na aktywności przestępczej z wykorzystaniem sieci Internet. Tytułem przykładu należy wymienić cyberbullying, polegający na znieważaniu, kierowaniu gróźb, ośmieszaniu, upokarzaniu, szantażowaniu, zamieszczaniu w sieci zdjęć lub filmów wbrew woli zainteresowanych osób, a także podszywaniu się pod inne osoby z wykorzystaniem technologii telekomunikacyjnych i takich narzędzi, jak fora internetowe, portale społecznościowe, komunikatory internetowe itp.

   Podobnie nowym zjawiskiem jest grooming, polegający na nawiązaniu, za pośrednictwem systemu teleinformatycznego lub sieci telekomunikacyjnej, kontaktu z małoletnim poniżej lat 15, w celu popełnienia przestępstwa określonego w art. 197 § 3 pkt 2 K.k. (zgwałcenie pedofilskie) lub art. 200 K.k. (obcowanie płciowe z małoletnim poniżej 15 lat) i wprowadzeniu w błąd małoletniego, wyzyskaniu błędu lub niezdolności należytego pojmowania sytuacji albo przy użyciu groźby bezprawnej, w zamiarze spotkania się z nim (art. 200a § 1 K.k.), względnie złożeniu, za pośrednictwem systemu teleinformatycznego lub sieci telekomunikacyjnej, małoletniemu poniżej lat 15 propozycji obcowania płciowego, poddania się lub wykonania innej czynności seksualnej lub udziału w produkowaniu lub utrwalaniu treści pornograficznych, z zamiarem jej realizacji (art. 200a § 2 K.k.).

   Zjawiskiem ściśle związanym z aktywnością w Internecie jest również stalking (art. 190a K.k., dodany przez ustawę z dnia 25 lutego 2011 r. o zmianie ustawy Kodeks karny (Dz. U. Nr 72, poz. 381); zgodnie z § 1 tego przepisu, kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia lub istotnie narusza jej prywatność, podlega karze pozbawienia wolności do lat 3; z kolei nowy art. 190a § 2 K.k. kryminalizuje tzw. kradzież tożsamości, czyli zachowanie polegające na podszywaniu się pod inną osobę i wykorzystaniu jej wizerunku lub innych danych osobowych w celu wyrządzenia jej szkody majątkowej lub osobistej).

   Przestępne zachowania, określane w języku prawniczym pojęciem przestępstw komputerowych, uregulowane są przede wszystkim w rozdziale XXXIII Kodeksu karnego, zatytułowanym Przestępstwa przeciwko ochronie informacji. Znajdujący się w tym rozdziale przepis art. 267 § 1 K.k. penalizuje zjawisko tzw. hackingu, polegającego na uzyskaniu bez uprawnienia dostępu do informacji, przez otwieranie zamkniętego pisma, podłączanie się do sieci telekomunikacyjnej lub przełamywanie albo omijanie elektronicznych, magnetycznych, informatycznych lub innych szczególnych zabezpieczeń. Przepis art. 267 § 2 K.k. penalizuje z kolei czyn polegający na uzyskaniu bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia zainstalowanego w komputerze użytkownika lub zabezpieczenia systemowego. Czyn taki może polegać np. na wprowadzeniu do systemu informatycznego oprogramowania, które umożliwia sprawcy przejęcie zdalnej kontroli nad komputerem, w celu wykonania z jego wykorzystaniem zmasowanych ataków na określone strony internetowe. Sprawca w takim przypadku nie działa w celu uzyskania informacji znajdującej się w zasobach przejętego systemu lub dostępu do niej, lecz w celu przejęcia kontroli nad systemem jako narzędziem do bezprawnego wykorzystywania.

   Przepis penalizujący przestępstwo tzw. sniffingu, skutkujące naruszeniem tajemnicy komunikacji, znajduje się w § 3 art. 267 K.k. Zgodnie z tym przepisem odpowiedzialność karną ponosi ten, kto zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której nie jest uprawniony. Karze podlega również ujawnienie innej osobie informacji uzyskanej w sposób opisany w § 1-3 tego artykułu. Za opisane wyżej przestępstwa przewiduje się grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 2.

   Aktualne brzmienie powołanych wyżej przepisów art. 267 K.k. ukształtowane zostało ustawą z dnia 24 października 2008 r. o zmianie ustawy Kodeks karny oraz niektórych innych ustaw (Dz. U. Nr 214, poz. 1344). Podkreślić przy tym należy, że powołaną nowelizacją implementowano do polskiego porządku prawnego decyzję ramową Rady z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne (Dz.U.UE.L.05.69.67), która ustanowiła cały szereg prawnokarnych mechanizmów zmierzających do podniesienia skuteczności działań mających na celu zwalczanie ataków na systemy informatyczne. Zmiany te zgodne są także z podpisaną przez Polskę w dniu 23 listopada 2001 r. Konwencją Rady Europy o cyberprzestępczości.

   Zgodnie z przepisem art. 287 § 1 K.k. odpowiedzialność karnością ponosi osoba, która w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych. Opisany w tym przepisie typ przestępstwa zwyczajowo określa się jako oszustwo internetowe, jakkolwiek należy pamiętać, że sprawca nie posługuje się typowym dla oszustwa wprowadzeniem pokrzywdzonego w błąd ani nie wykorzystuje czyjegoś błędu, natomiast dokonuje ingerencji w cudze urządzenie lub system przeznaczony do gromadzenia lub przetwarzania informacji (urządzenie komputerowe) albo do ich przesyłania (poczta e-mail, Internet).

   Wzrost dostępu społeczeństwa do nowych technologii sprawia, że Internet staje się również wygodnym narzędziem dla sprawców innych przestępstw, zwłaszcza w zakresie obrotu gospodarczego, w tym w szczególności przestępstwa oszustwa.

   Przestępstwo oszustwa zostało określone w art. 286 K.k., który penalizuje zachowania polegające na doprowadzeniu, w celu osiągnięcia korzyści majątkowej, innej osoby do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, przy czym ustawodawca nie wprowadził ograniczeń w zakresie sposobu zachowania sprawcy, które wyczerpuje znamiona oszustwa. Przestępstwo to może być zatem również popełnione przy użyciu Internetu. W przeważającej liczbie przypadków przepisy tego artykułu będą zatem stanowić podstawę odpowiedzialności sprawcy tzw. oszustwa internetowego, bez względu na jego postać, tzn. niezależnie od tego, czy będzie to np. fałszywy sklep internetowy, nieuczciwy kontrahent internetowego serwisu aukcyjnego lub ogłoszeniowego, nieuczciwa interaktywna agencja reklamowa, promocyjna, pracy lub domenowa, opisywany w interpelacji tzw. phishing lub pharming, oszustwo loteryjne czy usługa internetowa płatna SMS o wysokim ukrytym koszcie.

   Typ podstawowy oszustwa jest zagrożony karą pozbawienia wolności od 6 miesięcy do 8 lat (art. 286 § 1 K.k.), natomiast typ uprzywilejowany - w postaci wypadku mniejszej wagi - karami grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 286 §3 K.k.). Warto odnotować, iż odpowiedzialność karna za oszustwo w aktualnie obowiązującym Kodeksie karnym, jako jeden z niewielu takich wypadków, została zaostrzona w stosunku do sankcji przewidzianych w Kodeksie karnym z 1969 r. Kodeks karny przewiduje również typ kwalifikowany oszustwa, z ustawową sankcją karną od roku do lat 10 (art. 294 § 1 w zw. z art. 286 § 1 K.k.)

   W aktualnym stanie prawnym orzekający sąd może zatem wymierzyć za przestępstwo oszustwa karę grzywny, ograniczenia wolności albo karę pozbawienia wolności do lat 10. W sytuacji, gdy sprawca został skazany za kilka oszustw pozostających w zbiegu realnym lub popełnionych w warunkach ciągu przestępstw, można mu łącznie wymierzyć karę do 15 lat pozbawienia wolności (art. 37, art. 86 § 1, art. 91 § 1 i 2 K.k.).

   Zgodnie z przepisami art. 33 § 1, 2 i 3 K.k. sąd może sprawcy tego typu czynu wymierzyć grzywnę także obok kary pozbawienia wolności, jeżeli dopuścił się czynu w celu osiągnięcia korzyści majątkowej lub gdy korzyść majątkową osiągnął, w wysokości od 10 do 540 stawek dziennych, przy czym stawka dzienna nie może być niższa od 10 zł ani też przekraczać 2000 zł.

   Odpowiadając na pytanie dotyczące działań Ministerstwa Sprawiedliwości, polegających na zwalczaniu cyberprzestępczości, uprzejmie informuję, że rolą ministra sprawiedliwości jest tworzenie skutecznych mechanizmów, pozwalających na przeciwdziałanie przestępczości, w tym również nowym jej formom związanym z rozwojem technologii. Wydaje się, że opisane wyżej regulacje zawarte w Kodeksie karnym są narzędziem pozwalającym na skuteczne ściganie sprawców przestępstw internetowych.

   Odnośnie danych obrazujących skalę analizowanego zjawiska pragnę poinformować, iż z uwagi na krótki okres, jaki upłynął od wejścia w życie ustaw wprowadzających kryminalizację czynów opisanych w art. 190a i art. 200a K.k., brak jest danych statystycznych dotyczących skazań za te przestępstwa. W większości pozostałych przypadków, z uwagi na zróżnicowany sposób działania sprawców, nie jest możliwe wskazanie, jaki jest udział przestępstw popełnionych przy użyciu Internetu w stosunku do innych przestępstw danego typu.

   W poniższej tabeli przedstawiam informację o skazaniach za przestępstwa przewidziane w art. 287 § 1 i 287 § 2 K.k. w latach 2006-2010:

Rodzaje
przestępstw
z K.k.		 Osądzeni
ogółem		 Skazani         Warunkowe
umorzenie		 Odstąpienie
od wymierzenia
kary
    ogółem
skazani		 grzywna
samoistna		 ograniczenie
wolności		 pozbawienie
wolności		 środki
karne
samoistne		    
2006
ogółem 487 885 462 937 88 407 57 918 315 074 1410 23 044 1731
w tym:
Art. 287 § 1 55 53 3 1 48 1 2  
Art. 287 § 2 8 5   2 3   2 1
2007
ogółem 449 103 426 377 82 988 47 091 294 826 1393 20 915 1695
w tym:
Art. 287 § 1 55 49 3 4 42   6  
Art. 287 § 2 3 2     1 1 1  
2008
ogółem 445 204 420 729 89 011 40 643 289 269 1686 22 587 1661
w tym:
Art. 287 § 1 57 54 4 6 43 1 3  
Art. 287 § 2 8 8 3 1 3 1    
Art. 287 § 3 4 2   1 1     2
2009
ogółem 438 218 415 272 88 236 43 524 281 887 1 508 21 384 1327
w tym:
Art. 287 § 1 52 45 4 3 38   7  
Art. 287 § 2 4 4 2 2        
Art. 287 § 3 2 2 1 1        
2010
ogółem 459 102 432 891 92 329 49 692 290 669 77 25 485 276
w tym:
Art. 287 § 1 45 43 7 1 35   2  
Art. 287 § 2 5 3 1 1 1   2  
Art. 287 § 3 1 1     1      

   Zgodnie z wiedzą, którą dysponuje minister sprawiedliwości, w ramach struktur policyjnych tworzone są wyspecjalizowane jednostki organizacyjne, które zatrudniają specjalistów w dziedzinie informatyki, dysponują nowoczesnymi środkami technicznymi i na bieżąco monitorują zjawiska objęte interpelacją oraz ich rozwój. Bliższymi informacjami w tym zakresie dysponuje minister spraw wewnętrznych.

   Jednocześnie pragnę poinformować, że na forum Unii Europejskiej toczą się obecnie prace nad dyrektywą Parlamentu Europejskiego i Rady w sprawie ataków na systemy informatyczne, zastępującej decyzję ramową 2005/222/JHA. Obecnie odbywa się tzw. trilog z Parlamentem Europejskim w ramach zwykłej procedury ustawodawczej.

   Z wyrazami poważania

   Podsekretarz stanu

   Michał Królikowski

   Warszawa, dnia 2 maja 2012 r.