Nieuprawnione logowania a „owoce zatrutego drzewa” w postępowaniu karnym
W polskiej procedurze karnej od pierwszego lipca 2015 r. pojawił się bardzo istotny przepis art. 168a Kodeksu postępowania karnego z punktu widzenia postępowania dowodowego.
Wyżej wymieniona regulacja jest wyrazem zasady tzw. owoców zatrutego drzewa i stanowi, że niedopuszczalne jest przeprowadzenie i wykorzystanie dowodu uzyskanego do celów postępowania karnego za pomocą czynu zabronionego, o którym mowa w art. 1 § 1 Kodeksu karnego.
W tym kontekście pojawia się pytanie czy informacje pozyskane przez osobę trzecią w wyniku udostępnienie danych do logowanie przez inną osobę do tego nieuprawnioną mogą stanowić dowód w rozumieniu przepisów KPK.
Wyżej opisane działanie stanowi czyn zabroniony stypizowany w art. 267 KK i w efekcie dane pozyskanie w takowy sposób nie mogą być później wykorzystywane jako dowód.
Przepis niniejszego artykułu stanowi, iż każdy kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Kryminalizacją objęte są zatem wszystkie czyny polegające na uzyskaniu dostępu do systemu komputerowego przez osoby nieuprawnione, w wyniku przełamania jego zabezpieczeń. W szczególności uzyskanie nieuprawnionego dostępu do informacji przechowywanej w zabezpieczonym na przykład za pomocą hasła, firewalla, programu antywirusowego itp., systemie. Przy czym sprawca musi umyślnie te zabezpieczenia pokonać.
Wskazać należy, że pojęcie przełamania zabezpieczenia należy interpretować szeroko. Nie chodzi tu tylko o sytuację, w której to „haker” poprzez działania o charakterze informatycznym, technicznym zdobywa interesujące go dane. W moje ocenie sprawca czynu pokonuje zabezpieczenia również w momencie pozyskania haseł do logowania od osoby nieuprawnionej używając podstępu, manipulacji, szantażu. W tym przypadku ewentualnie można również mówić, że sprawca omija zabezpieczenie z uwagi na nieuprawnione pozyskanie hasła. Taki sprawca ponosi odpowiedzialność karną za uzyskanie bez uprawnienia dostępu do systemu komputerowego, co nie musi łączyć się z koniecznością naruszenia przez sprawcę zabezpieczeń.
Informacją mogą być dane zapisane cyfrowo lub program komputerowy, w który sprawca ingeruje. Natomiast uzyskanie dostępu może polegać zarówno na możliwości przeglądania, kopiowania, blokowania czy niszczenia, albo też wykorzystywania jej w inny sposób, niezależnie od celu wejścia do danego systemu.
Radosław Cieciorko, aplikant radcowski
Rafał Malujda – Kancelaria Radcy Prawnego