Artykuł porusza sporne kwestie wybranych przestępstw z art. 267 k.k., dotyczące nieuprawnionego uzyskania dostępu do informacji dla niego nieprzeznaczonej, w kontekście współczesnego rozwoju technologicznego. Z wykorzystaniem metody analizy dogmatycznej oraz wiedzy informatycznej omówione zostały w nim między innymi aspekty bezprawnego podłączania się do niezabezpieczonej sieci Wi-Fi i jego prawnokarnej kwalifikacji. Analizie poddano pojęcie „system informatyczny”, konkludując, że jego rozumienie musi ewoluować wraz z rozwojem technologicznym. Autor dowodzi, że znamię to jest pojęciem szerokim i na licznych przykładach ilustruje, jakie zachowania mogą współcześnie stanowić podstawę kryminalizacji na podstawie art. 267 k.k.

A rtykuł poświęcony jest analizie wybranych typów czynu zabronionego z art. 267 Kodeksu karnego Ustawa z 6.06.1997 r. – Kodeks karny (Dz.U. z 2019 r. poz. 1950 ze zm.) – dalej k.k.i ich znamion Art. 267 § 1–5 k.k.: „§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. § 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. § 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1–3 ujawnia innej osobie. § 5. Ściganie przestępstwa określonego w § 1–4 następuje na wniosek pokrzywdzonego”., tj. „bezprawnemu uzyskaniu informacji”, na które ze względu na dynamicznie postępujący rozwój techniczny należy spojrzeć z nowej perspektywy. Rozważania zawarte w dotychczasowej literaturze nie przystają bowiem do ukształtowanej obecnie rzeczywistości ze względu na nieuwzględnienie w piśmiennictwie aspektu rozwoju technicznego, który sprawił, że pojawiły się nowe sposoby popełniania opisanych w poniższych rozważaniach przestępstw. Zjawiska te muszą prowadzić do rewizji dotychczas dominującej wykładni tej regulacji. Nie ma ponadto ani w judykaturze, ani w piśmiennictwie stanowiska, które rozstrzygałoby w przekonywający sposób problem odpowiedzialności karnej sprawcy w przypadku podłączenia się osoby nieuprawnionej do niezabezpieczonej sieci Wi-Fi czy wyczerpująco poruszało kwestię desygnatów pojęcia „system informatyczny”, do którego odwołuje się art. 267 § 2 k.k. W rezultacie rozważań zostanie wykazane, że można pociągnąć do odpowiedzialności karnej osobę, która bezprawnie podłącza się do otwartej sieci bezprzewodowej, oraz nie ma przeszkód, żeby za system informatyczny uznana została nowoczesna lodówka.

1. Znamię „podłączenia się do sieci telekomunikacyjnej”

Analizując pierwszy z zarysowanych problemów, należy rozpocząć od pojęcia „podłączenia się do sieci telekomunikacyjnej”, o którym stanowi art. 267 § 1 k.k., oraz jego rozumienia na gruncie tego przepisu, które nie może zostać uznane za trafne. Włodzimierz Wróbel w prezentowanym w poprzednich wydaniach komentarza do części szczególnej Kodeksu karnego poglądzie wskazuje bowiem, że „użyty w art. 267 § 1 czasownik: «podłączyć się» wskazuje na sieć w znaczeniu materialnym, jako zespół urządzeń i przewodów (kabli) służących do przekazywania informacji. W przypadku uzyskania bezprawnego dostępu do sieci bezprzewodowych używa się terminu «połączenie logiczne» (por. Prawo telekomunikacyjne). Co prawda użyte w Prawie telekomunikacyjnym określenie «połączenie» obejmuje także fizyczne połączenie urządzeń, ale definicja zawarta w art. 2 pkt 24a Prawa telekomunikacyjnego ma charakter definicji projektującej. Gdyby ustawodawca chciał objąć penalizacją z art. 267 § 1 także przyłączenie się do sieci bezprzewodowych, to posłużyłby się terminem «połączenie», nawiązując bezpośrednio do definicji zawartej w Prawie telekomunikacyjnym. Użycie terminu «podłączenie» sugeruje inny zakres znaczeniowy, obejmujący wyłącznie połączenie fizyczne. Rozróżnienie to ma istotne znaczenie, bowiem w przypadku podłączenia się do sieci telekomunikacyjnej nie jest konieczne przełamywanie szczególnego zabezpieczenia. Ustawodawca wychodzi bowiem z założenia, że materialnym zabezpieczeniem informacji jest właśnie przesyłanie jej poprzez sieć kablową (przewodową), która nie jest powszechnie dostępna i wymaga szczególnych urządzeń odbiorczych. Odmienna interpretacja, zakładająca, że czasownik «podłączyć się» obejmuje także sieci bezprzewodowe, oznaczałaby, że każde korzystanie z Internetu za pomocą otwartych sieci bezprzewodowych Wi-Fi stanowiłoby realizację znamion typu czynu zabronionego z art. 267, jeżeli wiązałoby się z uzyskaniem nieuprawnionego dostępu do informacji (choćby informacja ta nie była zabezpieczona). Tymczasem informacja przekazywana za pośrednictwem urządzeń połączonych w sieci przewodowej z reguły nie ma charakteru powszechnie dostępnej”W. Wróbel (w:) Kodeks karny. Część szczególna, t. 2, Komentarz do art. 117–277, red. A. Zoll, LEX/el. 2013, art. 267..

Nie sposób zgodzić się z poglądem powołanego autora, ograniczającym zakres zastosowania normy jedynie do połączeń kablowych, a wyłączającym spod ochrony połączenia z sieciami bezprzewodowymi. W najnowszym wydaniu komentarza ów nietrafny pogląd został zmieniony. Autor wskazuje, że „odłączenie może dotyczyć zarówno sieci przewodowej, jak i bezprzewodowej (znajduje to potwierdzenie w tekście uzasadnienia projektu ustawy nowelizującej art. 267 – por. VI kadencja, druk sejm. nr 458; B. Kunicka-Michalska, Przestępstwa..., s. 925)”.

Tak radykalna zmiana wymaga jednak pogłębionej analizy i szczegółowego uzasadnienia. Po pierwsze, nietrafny wydawał się argument, zgodnie z którym „gdyby ustawodawca chciał objąć penalizacją z art. 267 § 1 k.k. także przyłączenie się do sieci bezprzewodowych, to posłużyłby się terminem «połączenie», nawiązując bezpośrednio do definicji zawartej w Prawie telekomunikacyjnym”. Intencja ustawodawcy w czasie uchwalania rzeczonych przepisów była dokładnie odwrotna. Znalazło to wyraz w dyskusji sejmowej nad projektem ustawy o zmianie ustawy – Kodeks karny oraz niektórych innych ustawUstawa z 24.10.2008 r. o zmianie ustawy – Kodeks karny oraz niektórych innych ustaw (Dz.U. poz. 1344). , w czasie szesnastego posiedzenia Sejmu VI kadencji 29.05.2008 r., w wypowiedzi podsekretarza stanu w Ministerstwie Sprawiedliwości (projekt ustawy był projektem rządowym) Łukasza Rędziniaka, który stwierdził, że projekt przewiduje również zastąpienie dotychczasowego znamienia strony przedmiotowej czynu, wyrażonego sformułowaniem: podłączając się do przewodu służącego do przekazywania informacji, znamieniem wyrażonym sformułowaniem: podłączając się do sieci telekomunikacyjnej. Umożliwia to poszerzenie ochrony prawnej wynikającej z dyspozycji tego przepisu także na sieci bezprzewodowe”Zob. http://orka2.sejm.gov.pl/StenoInter6.nsf/0/D3E3D14097A98452C1257458007DFB79/$file/16_b_ksiazka.pdf (dostęp: 20.01.2020 r.)..

Podobna interpretacja zawarta jest w wypowiedzi posła Witolda Pohla z 4.09.2008 r., który stwierdził podczas drugiego czytania projektu owej ustawy, że „wprowadzamy również możliwość karalności poprzez ustalenie, iż tego rodzaju przestępstwo może też nastąpić, nie tak jak to było w poprzedniej regulacji, poprzez ingerencję w systemy sieci bezprzewodowej”Zob. http://orka2.sejm.gov.pl/StenoInter6.nsf/0/11D4AC6DBDD93C83C12574BA007E2B60/$file/21_c_ksiazka_kopia.pdf (dostęp: 20.01.2020 r.)..

Po drugie, definicja zawarta w art. 2 pkt 24a Prawa telekomunikacyjnegoUstawa z 16.07.2004 r. – Prawo telekomunikacyjne (Dz.U. z 2016 r. poz. 1489). została dodana niemal rok po nowelizacji Kodeksu karnego wprowadzającej obecne brzmienie art. 267 k.k. Ustawodawca nie mógł więc odwołać się do nieistniejącej jeszcze definicji. Także sama – dodana niemal rok później – definicja, jak zauważa W. Wróbel, bynajmniej nie ogranicza połączenia wyłącznie do połączenia „fizycznego”. Za nieprzekonywające w tym kontekście należy uznać twierdzenie, że jest to definicja projektująca, co uzasadniać by miało wyłączenie połączeń bezprzewodowych spod jej zakresu, zwłaszcza że Autor trafnie przywołuje art. 2 pkt 35 Prawa telekomunikacyjnego jako źródło normatywnej definicji sieci telekomunikacyjnej użytej w art. 267 § 1 k.k., gdzie definiowana jest ona jako „systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju”.

Definicja sieci przedstawiona w tej ustawie nie zawęża zatem pojęcia sieci telekomunikacyjnej wyłącznie do połączeń przewodowych, traktując połączenia bezprzewodowe czy optyczne jako równoważne, korespondując w tym zakresie z dodanym później art. 2 pkt 24a Prawa telekomunikacyjnego.

Należy też zwrócić uwagę, że z informatycznego punktu widzenia łączeniu podlegają sieci. Podłączyć można urządzenie i bez znaczenia jest tu, czy podłączenie następuje w formie przewodowej, bezprzewodowej, czy optycznej. Trudno też znaleźć racjonalny argument, dlaczego podłączenie się do niezabezpieczonej sieci Wi-Fi miałoby pozostawać poza zakresem regulacji tego przepisu, gdy jednocześnie penalizowane jest na gruncie art. 267 § 2 k.k. podłączenie się kablem do tego samego routera, który propaguje sygnał sieci bezprzewodowej.

Oczywiście można postawić takiemu stanowisku zarzut nadmiernej, a nawet absurdalnej punitywności, polegający na tym, że przejście przez miasto z telefonem komórkowym, który automatycznie łączy się z otwartymi sieciami bezprzewodowymi, oznaczać będzie realizację znamion art. 267 § 1 k.k., i to zapewne w czynie ciągłym. Mieć jednak należy na względzie kilka okoliczności.

Po pierwsze, od kilku lat wszystkie sprzedawane routery (czy to kupowane przez użytkowników samodzielnie, czy dostarczane przez internetowych dostawców) mają domyślnie włączone zabezpieczenia sieci bezprzewodowej w standardzie min. WPA2Więcej zob. V. Ramachandran, BackTrack 5. Testy penetracyjne sieci Wi-Fi, Gliwice 2013. . Z tego powodu nie występują w zasadzie sieci, które byłyby pozbawione zabezpieczeń wbrew woli ich dysponentów.

Po wtóre, aby dezaktywować zabezpieczenia, trzeba uczynić to świadomie, mając choćby podstawy wiedzy informatycznej. Nie da się tego zrobić przypadkowo, naciskając przycisk na urządzeniu. Oczywiście występuje mnóstwo otwartych sieci bezprzewodowych – na dworcach, w hotelach czy restauracjach – ale wynika to z chęci zapewnienia dostępu do Internetu klientom czy podróżnym. Jest to celowe działanie osób udostępniających ten sygnał, trudno zatem w tym przypadku mówić o korzystaniu z takiej sieci „bez uprawnienia”. Z drugiej strony jest bardzo niewiele otwartych sieci spoza powyższej grupyZob. statystyki: https://www.wigle.net (dostęp: 20.01.2020 r.). Według szacunków w 2002 r. niezabezpieczonych było ok 65% sieci. Dziś liczba ta nie przekracza 8%, a wliczone są w nią również otwarte przez dysponentów hotspoty. . Można twierdzić, że osoba dezaktywująca zabezpieczenia w swojej sieci musi liczyć się z tym, że osoby będą z niej korzystać nawet nieświadomie, kiedy ich telefon/tablet/komputer automatycznie połączy się z taką siecią, ale nie ekskulpuje to automatycznie, zdaniem autora niniejszego opracowania, odpowiedzialności karnej sprawcy. Nie można bowiem twierdzić, że skoro właściciel nie zamknął swojego samochodu, to wolno do niego wsiąść i w nim siedzieć, tym bardziej że obecnie trudniej argumentować, iż naruszenie to (podłączenie do niezabezpieczonej sieci) dokonane zostało przypadkiem. Należy bowiem mieć na uwadze, że obecnie domyślne ustawienia zdecydowanej większości systemów operacyjnych urządzeń mobilnych (iOS, Android czy Windows Mobile) nie nawiązują automatycznie połączeń z otwartymi sieciami bezprzewodowymi. Paradoksalnie wynika to z kwestii bezpieczeństwa ich samych. Podłączenie urządzenia (telefonu, tabletu, komputera itd.) do niezaszyfrowanej (otwartej) sieci spreparowanej przez hakera daje mu nieograniczony dostęp do danychInnymi słowy, podłączenie się do takiej sieci Wi-Fi i przesyłanie danych niezaszyfrowanym protokołem sprawia, że dane są widoczne przy odpowiedniej konfiguracji dla każdego znajdującego się w jej zasięgu., a w przypadku aplikacji wykorzystujących szyfrowanie – dostarcza mu informację o wykorzystywanych protokołach, adresach IP czy usługach, z których korzysta.

Mając powyższe rozważania na względzie, należy dokonać krytycznej analizy nowego poglądu wyrażonego w komentarzu W. WróblaKodeks karny. Część szczególna, t. 2, cz. 1, Komentarz do art. 117–211a, red. W. Wróbel, A. Zoll, LEX/el. 2017 – komentarz, stan prawny: 30.09.2017 r., teza 13. , w którym możemy przeczytać, że „należy wyróżnić przy tym [podłączeniu się do sieci – dopisek A.B.] trzy sytuacje. Po pierwsze, może zdarzyć się tak, że osoba uzyska dostęp do sieci otwartej. W tym wypadku z oczywistych względów nie dojdzie do realizacji znamion, każda osoba jest bowiem jej potencjalnym uprawnionym użytkownikiem. Po drugie, sprawca może podłączyć się do sieci w sposób nieuprawniony, w wyniku czego uzyska możliwość przesyłania i odbierania informacji, co do których jest uprawniony. Dochodzi tutaj jedynie do nieuprawnionego wykorzystania urządzenia przesyłowego. Zachowanie takie także nie stanowi czynu przestępnego – czyn sprawcy nie odnosi się bowiem w ogóle do jakiejkolwiek informacji o charakterze poufnym, pozostając poza zakresem ochrony normy. Po trzecie – podłączenie się do sieci może wiązać się z uzyskaniem dostępu do określonych danych, udostępnionych wyłącznie jej użytkownikom (np. na dysku sieciowym) i objętych ochroną art. 267. Jeśli sprawca uzyskuje do nich dostęp w wyniku podłączenia się do sieci, jego zachowanie może realizować znamiona przestępstwa. Należy przy tym podkreślić, że nawet w tym wypadku konieczne będzie wykazanie, że sprawca co najmniej godził się na uzyskanie dostępu; okoliczności tej nie można wywodzić z samego faktu przełamania zabezpieczenia”.

Odnosząc się do pierwszej ewentualności, oczywiście można stwierdzić, że każdy jest potencjalnie uprawniony, dysponent może bowiem dać każdemu prawo skorzystania z tej sieci, podobnie jak wchodząc do sklepu, jesteśmy potencjalnie uprawnieni do wzięcia towaru z półki po uzyskaniu zgody właściciela (co rzecz jasna zwyczajowo dzieje się po uiszczeniu wartości pieniężnej wynoszącej cenę produktu). Jednakowoż podobnie jak wzięcie towaru bez zgody dysponenta będziemy rozważać na gruncie znamion art. 278 k.k., tak skorzystanie z sieci bez zgody uprawnionego dysponenta będzie należało rozważać pod kątem realizacji znamion z art. 267 k.k.

Komentując drugą i trzecią ewentualność, i wskazując na ich nietrafność, odwołać się należy do szczegółowych rozważań uczynionych poniżej.

2. Znamię „uzyskania dostępu do informacji”

Samo podłączenie się bez uprawnienia do niezabezpieczonej sieci telekomunikacyjnej nie wystarcza oczywiście do realizacji znamion typu czynu zabronionego opisanego w art. 267 § 1 k.k. Konieczny jest również „dostęp do informacji” będący wynikiem takiego zachowania. Powszechnie przyjmuje się w literaturze, że „przez pojęcie to należy rozumieć (…) stworzenie sobie możliwości zapoznania się z informacją”W. Wróbel (w:) Kodeks…, red. A. Zoll, art. 267, teza 6; J. Piórkowska-Flieger (w:) Kodeks karny. Komentarz, red. T. Bojarski, LEX 2016, art. 267, teza 3. . Wykazać należałoby, że nieuprawiony dostęp do bezprzewodowej sieci łączy się choćby z możliwością jej uzyskania. W przypadku podłączenia się z siecią bezprzewodową mamy możliwość zapoznania się z informacją, ale takie informacje uzyskujemy już w momencie zestawienia samego połączenia. Pomijając szczegóły techniczne, warto nadmienić, że w momencie połączenia się z siecią karta sieciowa (a co za tym idzie – również użytkownik) otrzymuje bardzo wiele szczegółowych parametrów (będących informacjami) dotyczących jej konfiguracji, koniecznych, aby w ogóle możliwa była komunikacja. Należą do nich między innymi: przydzielony przez router (a dokładniej przez serwer DHCP zainstalowany na nim) adres IP z maską podsieci, adresy serwerów DNSDomain Name System – system rozwiązywania nazw służący, w największym skrócie, do zamiany domeny na adres IP, www.google.pl na 216.58.194.99. , czas dzierżawy adresu przydzielanego przez serwer DHCP (czyli okres, na który otrzymujemy od routera dany adres IP przy połączeniu z siecią bezprzewodową), adres MAC routera (który z kolei pozwala na sprawdzenie, jakiego producenta jest to urządzenieW sieci znajdują się serwisy, gdzie na podstawie adresu MAC można sprawdzić producenta urządzenia, np. https://macvendors.com (dostęp: 7.01.2020 r.). Wynika to z tego, że pierwsze 24 bity adresu jednoznacznie wskazują producenta karty sieciowej., co może mieć znaczenie przy próbie łamania zabezpieczeń samego routera) czy wreszcie informacja o samym dostawcy Internetu, który obsługuje połączenieJeżeli otwarcie koperty, w której znajduje się kartka: „Witamy w gronie klientów firmy X – najlepszego dostawcy Internetu”, wypełniać będzie znamiona z art. 267 § 1 k.k., nie wzbudzając u nikogo żadnych wątpliwości dotyczących konstytucyjnej zasady proporcjonalności, to nie może budzić wątpliwości, że uzyskanie tożsamej informacji (oraz wielu innych) poprzez podłączenie się do sieci również to kryterium spełni. .

Wszystkie te informacje mogą pomóc poznać strukturę sieci w danej lokalizacji. Kwalifikować je należy jako informacje, których uzyskanie powinno być poprzedzone zgodą dysponenta, a ich uzyskanie bez jego zgody (poprzez podłączenie się do sieci bezprzewodowej) niewątpliwie wypełnia znamię „uzyskania dostępu do informacji” przewidziane w § 1 omawianego przepisu.

Na marginesie powyższych rozważań dodać należy tylko, że zestaw powyższych informacji (poza czasem dzierżawy) uzyskujemy również podczas podłączenia kablowego.

3. Wyłączenie odpowiedzialności karnej

Oczywiście rozpatrując in concreto odpowiedzialność sprawcy za podłączenie się do sieci bezprzewodowej, należy mieć w orbicie zainteresowania art. 1 § 2 k.k. i dokonać wnikliwego ważenia stopnia społecznej szkodliwości takiego czynu oraz rozważyć kwestię ewentualnego usprawiedliwionego błędu sprawcy co do bezprawności. W świadomości społecznej nie jest oczywiste, że podłączenie się do czyjejś sieci bezprzewodowej wypełniać może znamiona typu czynu zabronionego i w ogóle być czynem bezprawnym; świadomości takiej nie ma zwłaszcza wśród mniej obeznanych technologicznie osób. Istotne w toku prowadzonego postępowania będzie zwłaszcza zbadanie identyfikatora sieci – SSID (Service Set Identifier), czyli nazwy propagowanej przez router w celu jej odróżnienia od pozostałych. Inaczej bowiem, mając na względzie unormowania art. 30 k.k., oceniać należy podłączenie się do niezabezpieczonej sieci „prywatna_siec_Adama”, a inaczej do tej nazwanej „otwarta_siec_Krakow”. Można przekonywająco argumentować, że podłączając się do sieci o SSID „otwarta sieć Kraków”, sprawca pozostawał w przekonaniu, iż podłączał się do owej sieci za „zgodą” dysponenta. Przyjęte jest bowiem powszechnie, że tak oznaczane są sieci udostępniane przez ich dysponentów do korzystania przez użytkowników, a dostęp do nich jest dostępem otwartym i bezpłatnym. W przypadku zatem gdy dana osoba w taki sposób nazwie swoją otwartą sieć i będzie propagować (udostępniać) sygnał Wi-Fi, twierdzenie, jakoby nie wyrażała zgody na podłączenie się do niej innych użytkowników, traktować należy z uwzględnieniem uwarunkowań kulturowych i językowych, o których mowa powyżej. Sprawca, który do takowej sieci by się podłączył (bez formalnej zgody dysponenta, ale wyłącznie poprzez analizę SSID), może skutecznie podnieść zarzut błędu co do bezprawności czynu i wyłączyć swoją odpowiedzialność za takie zachowanie.

A contrario – nazwanie sieci „prywatna sieć Adama”, z tych samych powodów, które opisano powyżej (tj. powszechnie przyjętego kulturowego i językowego znaczenia takiego nazewnictwa), przemawiać powinno za możliwością pociągnięcia takiego sprawcy do odpowiedzialności karnej.

Niewątpliwie przy ocenie takiego zachowania i ewentualnej możliwości powołania się na błąd sprawcy znaczenie będzie miała lokalizacja, w której znajdować się będzie owa sieć. Inaczej – w perspektywie oceny możliwości usprawiedliwionego błędu – traktować należy podłączenie się w centrum handlowym do otwartej sieci o nazwie np. „Kwadrat”, która nie zdradza, czy jest to sieć udostępniona np. przez restaurację o tej samej nazwie, a inaczej sytuację, w której otwarta sieć o tej nazwie będzie funkcjonować w bloku mieszkalnym nieposiadającym lokali gastronomicznych czy punktów usługowych. Tylko w pierwszym przypadku wydaje się zasadna możliwość przyjęcia instytucji art. 30 k.k. Często można też w miejscach publicznych znaleźć sieci, których nazwa wręcz sugeruje, że są to propagowane z telefonów, ograniczone w zasięgu sieci przeznaczone dla wąskiej grupy odbiorców i niebędące sieciami o publicznym dostępie, np. „Marek iPhone”Wszystkie najpopularniejsze obecnie systemy operacyjne umożliwiają stworzenie z telefonu komórkowego/tabletu/komputera hotspota – czyli ograniczonej możliwościami anteny danego urządzenia sieci bezprzewodowej działającej w analogiczny do routera sposób, udostępniającej podłączonym użytkownikom Internet. . Nie ma, według autora, powodów, aby w takim przypadku wyłączyć odpowiedzialność karną sprawcy tylko dlatego, że podłączanie dokonane zostało na terenie centrum handlowego.

Powyższemu stanowisku można przeciwstawić argument, że sieć taka propagowana jest przecież w przestrzeni publicznej, sygnał z domowego routera może bowiem docierać np. na ulicę znajdującą przy mieszkaniu, więc niejako daje to prawo osobie postronnej do podłączenia się do niej, analogicznie jak dozwolone jest siedzenie na ławce znajdującej się na ulicy. Ta argumentacja wydaje się wadliwa z dwóch powodów. Po pierwsze, nie ma prostych technicznych możliwości ograniczenia propagacji takiego sygnału poza mieszkanie. Fakt, że np. pół bloku jest w zasięgu danej sieci Wi-Fi, nie wynika zazwyczaj z tego, iż dysponent chce, aby tak było, lecz ze specyfiki działania samego sygnału Wi-Fi, który rozchodzi się we wszystkich kierunkach, „ignorując” fakt istnienia drzwi czy ścian, a tym bardziej – prawa własności sąsiada. Ponadto nikt nie miałby wątpliwości, że podłączenie się do kabla sieciowego, który biegnie nad ulicą, tj. w przestrzeni publicznej, czy na klatce w bloku, w celu podłączenia się do czyjejś sieci, realizowałoby znamiona typu czynu zabronionego opisanego w omawianym artykule. Jak wyczerpująco wykazano powyżej, na gruncie art. 267 § 1 k.k. nie ma znaczenia, czy podłączenie następuje w formie kablowej, bezprzewodowej, czy optycznej. Jest to bowiem tylko techniczny sposób realizacji takiego samego podłączenia i nie może on decydować o dopuszczalności czy bezprawności tożsamego de facto zachowania.

Sam koncept karania za podłączenie się bez uprawnienia do cudzej, otwartejW przypadku przełamania zabezpieczenia sieci odpowiedzialność karna jest oczywista. sieci Wi-Fi, jakkolwiek nie jest powszechny, to nie jest też obcy prawodawstwu światowemu. Ukształtowane jest pojęcie określające takie zachowanie – piggybacking. Zachowanie takie penalizowane jest m.in. w HongkonguZob. Hong-Kong e-legislation, Cap. 200 Crimes Ordinance – Section 161, https://www.elegislation.gov.hk/hk/cap200!en/s161 (dostęp: 7.01.2020 r.). , SingapurzeZob. Singapore Statutes Online, Computer Misuse and Cybersecurity Act, Part II: Offences, https://sso.agc.gov.sg/Act/CMCA1993?ProvIds=P1II-.#pr6- (dostęp: 7.01.2020 r.).i niektórych stanach USASzerzej na ten temat: https://en.wikipedia.org/wiki/Piggybacking_(Internet_access) (dostęp: 7.01.2020 r.). . Nie jest to zachowanie pozostające bez wpływu na dysponenta tego łącza. Pomijając wszelkie możliwe naruszenia, których można dokonać, podłączając się do tej sieci, należy stwierdzić, że najbardziej prozaicznym i widocznym efektem takiego działania może być spadek szybkości łącza, gdy sprawca zajmie większość pasma internetowego. Mając na względzie działanie NATNAT (Network Address Translation, translacja adresów sieciowych) to technika zmiany adresów IP podczas przesyłania ruchu sieciowego przez router. Więcej zob. K.R. Fall, W. Richard Stevens, TCP/IP od środka. Protokoły, Gliwice 2013, s. 329 i n. i specyfikę jego funkcjonowania, trzeba pamiętać, że każdy podłączający się do routera, otrzymując prywatny adres IP, na zewnątrz tejże sieci widoczny jest pod jednym, publicznym adresem IP. Wejście np. na stronę z pornografią dziecięcą przez takiego atakującego na zewnątrz będzie niezwykle trudne (jakkolwiek czasami nie niemożliwe) do odróżnienia od wejścia na ten sam serwis przez rzeczywistego dysponenta. Może to rodzić poważne problemy dla takiej osoby, gdy skierowane zostanie wobec niej postępowanie karne o rozpowszechnianie takich materiałówObrona przed takim zarzutem jest bardzo utrudniona. Wszystkie połączenia widoczne są z jednego numeru IP. Jedynie analiza komputera przeprowadzona przez biegłego może rozwiać wątpliwości, że takie materiały nie są na nim przechowywane, co niestety wiązać się będzie z zabraniem sprzętu na okres nawet kilku miesięcy. .

Idąc krok dalej, należy rozważyć kwalifikację prawną zachowania polegającego na zalogowaniu się do webowego panelu ustawień routera, nawet takiego, który nie ma żadnych zabezpieczeń w postaci hasła. Kluczowe staje się w tym momencie rozstrzygnięcie, czy w takim przypadku mamy do czynienia z „systemem informatycznym”, o którym stanowi § 2 komentowanego artykułu i jego znaczenie na gruncie obecnie obowiązującego stanu prawnego. Znamię to znalazło się w polskim Kodeksie karnym na skutek implementacji do naszego systemu prawnego decyzji ramowej Rady z 24.02.2005 r. w sprawie ataków na systemy informatyczneDecyzja ramowa Rady 2005/222/WSiSW z 24.02.2005 r. w sprawie ataków na systemy informatyczne (Dz.Urz. UE L 69, s. 67).. Zdefiniowano tam system informatyczny jako „wszelkie urządzenia lub grupę połączonych lub powiązanych urządzeń, z których jedno lub więcej, zgodnie z oprogramowaniem, dokonuje automatycznego przetwarzania danych komputerowych, jak również danych przechowywanych, przetwarzanych, odzyskanych lub przekazanych przez nie w celach ich eksploatacji, użycia, ochrony lub utrzymania”.

Decyzja ramowa Rady 2005/222/WSiSW została zastąpiona przez dyrektywę Parlamentu Europejskiego i Rady z 12.08.2013 r. dotyczącą ataków na systemy informatyczneDyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z 12.08.2013 r. dotycząca ataków na systemy informatyczne (Dz.Urz. UE L 218). . Z kolei art. 1 pkt  a Konwencji Rady Europy o cyberprzestępczości sporządzonej w Budapeszcie 23.11.2001 r.Dz.U. z 2015 r. poz. 728 – dalej Konwencja o cyberprzestępczości. , a ratyfikowanej przez Polskę 12.09.2014 r.Ustawa z 12.09.2014r. o ratyfikacji Konwencji Rady Europy o cyberprzestępczości, sporządzonej w Budapeszcie 23.11.2001 r. (Dz.U. poz. 1514). , definiuje system informatyczny jako „każde urządzenie lub grupę wzajemnie połączonych lub związanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, wykonuje automatyczne przetwarzanie danych”.

Definiując to pojęcie, odwołać należy się również do art. 7 ust. 2a ustawy z 29.08.1997 r. o ochronie danych osobowychDz.U. z 2015 r. poz. 2135 ze zm. (uchylona 6.02.2019 r.). , który przyjmował, że systemem takim jest „zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych”.

Na marginesie powyższych rozważań docenić należy podejmowane przez ustawodawcę próby ujednolicenia chaosu terminologicznego, z jakim mamy do czynienia w rozdz. XXXIII k.k. Niedawna nowelizacja Kodeksu karnego usunęła z art. 269a oraz 269b k.k. pojęcie systemu komputerowego, zastępując je pojęciem systemu informatycznego, ujednolicając siatkę pojęciową typów tego rozdziału i harmonizując je z dyrektywą 2013/40/UE oraz Konwencją o cyberprzestępczości. Potwierdza to również jej uzasadnienie. „Celem zmian w obydwu wskazanych artykułach jest również korekta zastosowanej w Kodeksie karnym terminologii odnoszącej się do sfery informatyki. Dotychczas stosowane, a wprowadzone przeszło 12 lat temu, pojęcie «system komputerowy» nie odpowiada współczesnej rzeczywistości informatycznej i budzi wątpliwości interpretacyjne. Z tego względu zaproponowano zastąpienie go stosowanym w naukach informatycznych pojęciami «system informatyczny» oraz «system teleinformatyczny»”Uzasadnienie ustawy z 23.03.2017 r. o zmianie ustawy – Kodeks karny oraz niektórych innych ustaw (Dz.U. poz. 768). .

Warto w tym miejscu zwrócić uwagę, że w art. 2 Konwencji o cyberprzestępczości nałożono na państwa-strony obowiązek kryminalizacji przestępstwa polegającego na bezprawnym oraz umyślnym uzyskaniu dostępu do całości lub części systemu informatycznego. W uzasadnieniu do ustawy o ratyfikacji tejże Konwencji znaleźć można informację, że „w zgodzie z art. 2 Konwencji, zobowiązującym do penalizacji nielegalnego dostępu do całości lub części systemu informatycznego, pozostają przepisy art. 267 k.k. W momencie podpisania Konwencji Polska złożyła oświadczenie, że czyn określony w art. 2 stanowi przestępstwo w prawie polskim jedynie wtedy, gdy jest popełniony w celu pozyskania danych informatycznych i przy naruszeniu zabezpieczeń. Obecne brzmienie art. 267 k.k., wynikające z nowelizacji dokonanej ustawą z 24.10.2008 r. o zmianie ustawy – Kodeks karny oraz niektórych innych ustaw, umożliwia wycofanie tego oświadczenia. Artykułowi 3 Konwencji, dotyczącemu nielegalnego przechwytywania danych, odpowiadają postanowienia zawarte w art. 267 § 2 i 3 k.k., które idą dalej niż Konwencja, obejmują bowiem zakresem penalizacji wszelkie dostępne techniki stosowania podsłuchu komputerowego.

Tak szeroko zakreślona definicja tego pojęcia oznacza jednak, że niemal każde urządzenie elektroniczne wyposażone w mikroprocesor będzie na jej gruncie kwalifikowane jako system informatyczny, ponieważ ze swej istoty działania to mikroprocesor zawiera procedury przetwarzania danych przekazywanych mu przez urządzenia (np. czujniki) zewnętrzne. Nie ma przecież wątpliwości, że mamy do czynienia z systemem informatycznym, kiedy mówimy o komputerze, gdzie naciśnięcie na klawiaturze (zewnętrze urządzenie wejściowe połączone z mikroprocesorem) klawisza x zostanie przetworzone na dane przesłane procesorowi, który je zinterpretuje i wyświetli na ekranie (zewnętrzne urządzenie wejściowe połączone z mikroprocesorem poprzez kartę graficzną wyposażoną w mikroprocesor) literę x. Struktura działania nie różni się niczym od operacji naciśnięcia na dotykowym programatorze pralki (zewnętrzne urządzenie wejściowe połączone z mikroprocesorem) programu „Pranie delikatne” i co za tym idzie – przesłaniu określonych danych do mikroprocesora, który po ich zinterpretowaniu wyśle komunikat (polecenie) służący do uruchomienia silnika pralki (zewnętrzne urządzenie wejściowe połączone z mikroprocesorem) na predefiniowanej prędkości obrotów i włączenia grzałki w celu ogrzania wody do zadanej temperatury. Następnie, po odebraniu od silnika informacji o zakończeniu pracy i przesłaniu go do mikroprocesora, prześle on instrukcję wyświetlaczowi (zewnętrzne urządzenie wejściowe połączone z mikroprocesorem), aby pokazał on komunikat „pranie zakończone”.

Na skutek tak szeroko zakreślonej definicji, ale przede wszystkim ze względu na błyskawiczny postęp technologiczny, trzeba zmienić zapatrywanie na potoczne pojęcie „komputera”. Nie jest to oczywiście znamię ustawowe, ale w przeświadczeniu wielu osób to właśnie on jest synonimem „systemu informatycznego”. Postęp sprawił, że definiując pojęcie systemu informatycznego, musimy w polu widzenia mieć nie tylko oczywiste dla każdego desygnaty tego pojęcia, tj. komputery, tablety czy telefony komórkowe, ale także urządzenia o zgoła odmiennym przeznaczeniu funkcjonalnym, jak telewizory (które mają już własne systemy operacyjne i kilkurdzeniowe procesory), lodówki (wyposażone w bardzo wydajne procesory, dotykowe ekrany, moduły Wi-Fi, a zatem również mikroprocesory, które są w stanie obsłużyć zapytania przekazywane za pośrednictwem sieci)Przykładowo, model lodówki firmy Samsung RF22M9581SR ma 21,5-calowy dotykowy monitor, trzy kamery, podłączenie bezprzewodowe do Internetu w standardzie n, łączność Bluetooth, porty USB i możliwość instalowania aplikacji na dedykowanym systemie operacyjnym. , pralki, kuchenki, zegarki, zmywarki czy odkurzacze.

Niesie to za sobą konkretne implikacje, które na pierwszy rzut oka mogą wydawać się irracjonalne. Czy prawodawca spenalizował oto bezprawne uzyskanie dostępu do lodówki czy zmywarki? I tak, i nie. Nie chodzi tu o włączenie w cudzej zmywarce programu myjącego, co oczywiście uruchomi cały znajdujący się w niej system informatyczny. Natomiast uzyskanie dostępu przez Wi-Fi do poleceń mikroprocesora z zamiarem wykorzystania go do innych celów, o których mowa poniżej, absolutnie należałoby penalizować na podstawie tego artykułu. Nie ma żadnego znaczenia, w co został „obudowany” mikroprocesor. Czy to jest komputer, pralka czy samochód – w środku może znajdować się dokładnie taki sam procesor architektury  ARMSzerzej o architekturze ARM zob. P. Borkowski, AVR i ARM7. Programowanie mikrokontrolerów dla każdego, Gliwice 2010. , który może być wykorzystany do przestępczej działalności. W przypadku tych naruszeń sprawcy nie są zainteresowani informacjami na takim urządzeniu – interesuje ich tylko moc obliczeniowa zamontowanego tam procesora, który wykonywać ma zadane przez nich instrukcje. Oczywiście kłopotliwe jest umiejscowienie tego przepisu w rozdziale dotyczącym przestępstw przeciwko informacjiTrzeba jednocześnie uczciwie stwierdzić, że nie ma obecnie w Kodeksie karnym rozdziału, który byłby bardziej odpowiedni do tych celów., co sugerować może, że chronionym przez nie dobrem jest informacja, a nie integralność systemów komputerowychFakt ten z kolei jasno wynika z dyrektywy 2013/40/UE oraz Konwencji o cyberprzestępczości.. Trzeba mieć na uwadze, że nie ma w naszym Kodeksie rozdziału poświęconego najdynamiczniej rozwijającej się gałęzi przestępczości, tj. szeroko rozumianym przestępstwom komputerowym. Na marginesie powyższych rozważań zadać należy pytanie, czy może warto byłoby, idąc z duchem czasu i za zmieniającą się strukturą przestępczości, stworzyć nowy rozdział poświęcony takim naruszeniom.

W motywach przytaczanej już dyrektywy 2013/40/UE dotyczącej ataków na systemy informatyczne zawarto uzasadnienie wprowadzonej penalizacji poszczególnych zachowań. „Istnieją dowody wskazujące na tendencję do coraz bardziej niebezpiecznych i ponawianych ataków na wielką skalę dokonywanych na systemy informatyczne, które często mają zasadnicze znaczenie dla państw członkowskich lub poszczególnych funkcji w sektorze publicznym lub prywatnym. Tendencja ta występuje wraz z opracowywaniem coraz bardziej wyrafinowanych metod takich jak tworzenie i wykorzystywanie «botnetów», co odbywa się na kilku etapach działania przestępczego, przy czym każdy z tych etapów z osobna może stanowić poważne ryzyko dla interesu publicznego. Niniejsza dyrektywa ma na celu m.in. wprowadzenie sankcji karnych za tworzenie «botnetów» – tj. działań polegających na uzyskaniu zdalnej kontroli nad znaczną liczbą komputerów przez wprowadzenie do nich złośliwego oprogramowania za pomocą ukierunkowanych cyberataków. Następnie zainfekowaną sieć komputerów stanowiącą «botnet» można uruchomić bez wiedzy użytkowników komputerów, aby rozpocząć cyberataki na wielką skalę, które zazwyczaj mogą spowodować poważne szkody, o czym mowa w niniejszej dyrektywie”Pkt 5 motywów cytowanej dyrektywy Parlamentu Europejskiego i Rady z 12.08.2013 r..

Przedstawiona interpretacja, uznająca za system informatyczny również np. urządzenia AGD czy RTV wyposażone w mikroprocesory i połączenie z Internetem (posiadanie mikroprocesora nie oznacza możliwości połączenia z siecią, ale połączenie z siecią oznacza posiadanie mikroprocesora), zbieżna jest z przedstawionymi w dyrektywie motywami, a także okazuje się doskonale pasować do otaczającej nas i dynamicznie zmieniającej się rzeczywistości. Firma Proofpoint, zajmująca się zabezpieczeniami, opublikowała w 2014 r. informacjeYour Fridge is Full of SPAM: Proof of An IoT-driven Attack, https://www.proofpoint.com/us/threat-insight/post/Your-Fridge-is-Full-of-SPAM (dostęp: 20.01.2020 r.). Jakkolwiek informacji tej zarzucano w piśmiennictwie informatycznym, że nie jest dokładnie udokumentowana i część z urządzeń mogła, jako schowane za NATem, w istocie nie należeć do grupy urządzeń szeroko rozumianego IoT (Internet of Things), to nikt nie kwestionował, iż atak został dokonany w przeważającej części właśnie przez takie urządzenia. , z których wynika, że w okresie między 23.12.2013 r. a 6.01.2015 r. grupa hakerów zaatakowała ponad 100 tys. gadżetów i przedmiotów codziennego użytku w domach na całym świecie, a następnie za pośrednictwem m.in. konsol, odtwarzaczy multimedialnych, lodówek czy telewizorów dokonała zmasowanego ataku spamerskiego. Zainstalowany w tych urządzeniach system operacyjny, oparty najczęściej na minidystrybucjach Linuksa lub Windows embedded, daje osobie, która uzyska do niego dostęp, możliwość wykonywania poleceń czy skryptów, które w zależności od zapotrzebowania mogą służyć przejmującemu do uczynienia z niego części botnetuGrupa komputerów przejęta przez przestępców w celu wykorzystania do przestępczych aktywności. Zazwyczaj poprzez otwarcie zainfekowanego załącznika lub strony www na komputerze instalowany jest program, który zajmując ułamek mocy obliczeniowej procesora (przez co jest w codziennej pracy niezauważalny przez użytkownika), daje możliwość zdalnego sterowania nim przez przestępcę. Bez wiedzy użytkownika wykonuje zadane skrypty, obliczenia czy służy do rozsyłania spamu. Największy botnet w historii to BredoLab (zlikwidowany w 2010 r.) – szacowany był na ponad 30 milionów zainfekowanych komputerów. przeprowadzającego ataki DDoSDDoS (Distributed Denial of Service, rozproszona odmowa usługi) – atak komputerowy polegający na jednoczesnym połączeniu się z hostem docelowym w celu wyczerpania jego zasobów pamięci i zablokowania jego działania poprzez wysłanie strumienia pakietów; więcej zob. Distributed Denial of Service Attacks. What Does DDOS Mean?, https://www.incapsula.com/ddos/denial-of-service.html (dostęp: 20.02.2018 r.). , rozsyłającego spam czy służącego do kopania bitcoinów.

Zbieżne jest to z zamysłem tworzenia przywołanych definicji tak, aby z jednej strony spełniały one wymóg „technologicznej neutralności”Zob. I.M. van der Haar, Technological Neutrality; What Does It Entail?, „TILEC. Discussion Paper” 2007/009, s. 1–28. , tj. nie faworyzowały żadnej z dostępnych technologiiWymóg respektowania technologicznej neutralności pojawia się w innych dokumentach Unii Europejskiej, m.in. dyrektywie Parlamentu Europejskiego i Rady 2002/21/WE z 7.03.2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) (Dz.Urz. UE L 108), pkt 18: „Nałożony na Państwa Członkowskie wymóg zagwarantowania, by krajowe organy regulacyjne brały pod uwagę dążenie do uczynienia unormowań prawnych możliwie neutralnymi pod względem technologii, tzn. by nie narzucać lub nie dyskryminować danego rodzaju technologii”; w rozporządzeniu Parlamentu Europejskiego i Rady ustanawiającym środki dotyczące europejskiego jednolitego rynku łączności elektronicznej i mającym na celu zapewnienie łączności na całym kontynencie, zmieniającym dyrektywy 2002/20/WE, 2002/21/WE i 2002/22/WE oraz rozporządzenia (WE) nr 1211/2009 i (UE) nr 531/2012: „Środki przewidziane w niniejszym rozporządzeniu są zgodne z zasadą neutralności technologicznej, tzn. nie narzucają ani nie faworyzują wykorzystywania określonego rodzaju technologii”., zapewniając jednocześnie spójność z postanowieniami Konwencji o cyberprzestępczości, w której system informatyczny definiowany jest jako „każde urządzenie lub grupa wzajemnie połączonych lub związanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, wykonuje automatyczne przetwarzanie danych”, a z drugiej strony – aby sama definicja nie podlegała szybkiej dezaktualizacji wraz z dynamicznym postępem technologicznymZob. też Explanatory Report to the Convention on Cybercrime, pkt 36, https://rm.coe.int/16800cce5b (dostęp: 20.01.2020 r.). .

Za nietrafne na gruncie powyższych rozważań uznać należy stanowisko W. Wróbla, zgodnie z którym „należy przyjąć, że art. 267 § 2 k.k. chroni wyłącznie te systemy informatyczne, które służą do przetwarzania danych informatycznych zawierających informacje rozumiane jako określony znak kulturowy przekazujący treść intelektualną. Nie chodzi więc o systemy informatyczne, w których przetwarzanie danych informatycznych ma na celu sprawne funkcjonowanie danego urządzenia (tak jak jest to w przypadku urządzeń gospodarstwa domowego). Odmienna interpretacja prowadziłaby do tak szerokiego zakreślenia pola penalizacji, które czyniłoby art. 267 § 2 sprzeczny z konstytucyjną zasadą proporcjonalności. Oznaczałoby to bowiem, że każde uzyskanie dostępu bez zgody osoby uprawnionej (właściciela, posiadacza) do jakiegokolwiek urządzenia, którego funkcjonowanie powiązane jest z przetwarzaniem danych informatycznych, miałoby charakter przestępczy”W. Wróbel (w:) Kodeks…, red. A. Zoll, art. 267. .

Pogląd ten jest nietrafny, gdyż nieadekwatnie zawęża zakres zastosowania przepisu do celów kryminalizacyjnych biorących pod uwagę już istniejące, istotne zagrożenia, mogące wynikać z ataków hakerskich wykorzystujących rozproszoną sieć urządzeń. Jednocześnie nie sposób czynić zarzutu komentatorowi, że nie przewidział takiego kierunku rozwoju technologicznego. Pralka podłączona do Internetu i dokonująca ataków DDoS była jeszcze kilka lat temu w sferze fantazji. Oczywiście rodzi się natychmiast pytanie o dostateczną określoność prawa karnego i wciąż zmieniający się zakres czynów zagrożonych sankcją karną, jakkolwiek zagadnienie to przekracza ramy niniejszego opracowania.

Uzyskanie dostępu do systemu należy rozumieć w konsekwencji jako uzyskanie dostępu do mikroprocesora nie w znaczeniu organoleptycznym (np. jako możliwość dotknięcia płytki z mikroprocesorem, wzięcia do ręki telefonu czy włączenia prania), ale jako uzyskanie dostępu do systemu informatycznego przez inny system informatycznyMoże być to paradoksalnie ten sam system – uzyskuję dostęp do komputera i instaluję na nim program pozwalający mi sterować nim zdalnie bez wiedzy użytkownika. Włączam czyjś telefon i zaczynam przeglądać dane znajdujące się na nim. Informacje te uzyskuję poprzez interakcję systemu operacyjnego tegoż samego telefonu, który przekazuje procesorowi zapytania o dostęp do pamięci, a następnie jej wyświetlenie. . Inaczej bowiem nie da się takiego „dostępu” uzyskać, gdyż przetwarza on tylko dane wejściowe w formie impulsów elektrycznych za pośrednictwem oprogramowania nim sterującego.

Na marginesie powyższych rozważań zadać można sobie pytanie, czy warunkiem kwalifikowania „rzeczy” jako systemu informatycznego jest posiadanie przez nią dostępu do sieciNie Internetu, ale sieci. Internet jest oczywiście największą istniejącą siecią, ale mogą istnieć sieci niepołączone z Internetem.. Opierając się na motywach dyrektywy 2013/40/UE, która uzasadnia wprowadzenie penalizacji takich zachowań, za przykład zagrożenia podając sieci botnetów, wydawać się może, że odpowiedź powinna być twierdząca. Z oczywistych powodów nie da się uczynić z komputera niepodłączonego do sieci elementu systemu, który ma służyć do ataku sieciowego. Można sobie jednak teoretycznie wyobrazić sytuację, kiedy sprawca uzyskuje dostęp do komputera, który nie jest podłączony do sieci, i instaluje w nim oprogramowanie, które ma np. liczyć sumy kontrolne ciągów znakowychWykorzystywane następnie w atakach brute force. bez wiedzy i zgody dysponenta. W takim przypadku oczywiście zasadne będzie kwalifikowanie takiego zachowania z art. 278 § 2 k.k. Przepis ów, podobnie jak dyrektywa 2013/40/UE czy Konwencja o cyberprzestępczości, nie wprowadza żadnych ograniczeń funkcjonalnych w tym zakresie, a egzemplifikacja tworzenia sieci botnetów nie zamyka oczywiście innych form naruszenia dyspozycji tej normy. Trzeba mieć, rzecz jasna, na uwadze, że są to absolutnie marginalne przypadki, jakkolwiek możliwe do wyobrażenia i zaistnienia.

Wracając do pytania postawionego powyżej – zachowanie polegające na uzyskaniu dostępu do webowego panelu ustawień routera (rozumianego jako zalogowanie się do niego, a nie wyłącznie wejście na stronę logowania) należy moim zdaniem kwalifikować z art. 267 § 2 k.k. Nie ulega bowiem wątpliwości, że router jest systemem informatycznym, co więcej – jako kluczowe dla działania Internetu urządzenie jest newralgicznym punktem sieci, do którego dostęp może być przedpolem do popełnienia poważniejszych przestępstw.

4. Wnioski

Wykładnia przepisów art. 267 i n. k.k. związanych z odpowiedzialnością za szeroko rozumiane zachowania podejmowane w sieci i skierowanych na bezpieczeństwo informacji nie powinna być prowadzona w oderwaniu od tak dynamicznie zmieniającej się rzeczywistości technologicznej. Wręcz przeciwnie, wymusza ona na interpretatorze konieczność poszukiwania i opisywania wciąż nowych egzemplifikacji naruszeń, które pomimo braku zmian normatywnych stają się możliwe dzięki postępowi technologicznemu i technicznemu. Jednocześnie krytykowane niejednokrotnie za zbyt szeroko zakreślony zakres penalizacji przepisy pozwalają nam na nowo interpretować pojęcia tam zawarte i obejmować kryminalizacją idącą z duchem techniki przestępczość.

W odniesieniu do tego rodzaju przestępstw prawo karne musi umożliwiać zastosowanie w pewnym stopniu elastycznej wykładni w celu zapewnienia realnego zastosowania tych przepisów do ciągle wyprzedzającej ustawodawcę technologicznej rzeczywistości, która pozwala na naruszenia prawnie chronionych dóbr, czasem w nieznany nam jeszcze sposób.