Od wejścia w życie nowelizacji kodeksu karnego nakładającej kary na sprawców przestępstw komputerowych minęło już pięć lat. W tym czasie nie wzrosły istotnie ani wykrywalność sprawców, ani też odsetek skutecznie skazanych. Być może nie tędy droga?

W 1998 r., zaraz po wejściu w życie nowego kodeksu karnego, a wraz z nim przepisów konstytuujących odpowiedzialność karną za naruszanie bezpieczeństwa danych i systemów informatycznych, wyraziłem na łamach Computerworld przekonanie o doniosłości tego wydarzenia dla użytkowników komputerów i administratorów sieci. Opierając się na ówczesnej literaturze i doświadczeniach innych państw, głównie na badaniach i statystykach amerykańskich, sformułowałem wtedy prognozę dotyczącą funkcjonowania tych przepisów w rodzimej rzeczywistości społecznej i praktyce polskiego wymiaru sprawiedliwości.

Pięć lat i nic

Minęło pięć lat i, z tego co widać, raczej się nie pomyliłem. Środki prawne jako takie okazały się słabym zabezpieczeniem społeczności przed incydentami sieciowymi. Głównie dlatego że generalnie rzecz biorąc, nie tylko zresztą w Polsce, gotowość pokrzywdzonych do meldowania o takich zdarzeniach policji jest raczej rzadkością. Jak pięć lat temu, tak i dziś faktem jest brak przygotowania funkcjonariuszy aparatu ścigania i wymiaru sprawiedliwości do prowadzenia postępowań wyjaśniających i karnych w sprawach o włamania sieciowe, nie wspominając już o bardziej technicznie wyrafinowanych rodzajach nadużyć.

Z przeprowadzonych w ub.r. ogólnopolskich badań praktyki prokuratorskiej w sprawach przestępstw internetowych wynika, że unormowania kodeksowe stanowiące podstawę karalności włamań sieciowych (art. 267 par. 1), podsłuchu komputerowego (art. 267 par. 2), naruszenia integralności danych (art. 268 par. 2) i sabotażu komputerowego (art. 269 par. 1 i 2) to przepisy w zasadzie martwe, stosowane przez prokuratorów i sądy w pojedynczych przypadkach. Oczywiście, nie jest tak bynajmniej dlatego że w polskiej domenie Internetu zjawiska te są marginalne. Wręcz odwrotnie - przejawów komputerowej przestępczości nie dość, że nie brakuje, to z roku na rok przybywa.

Międzynarodowe statystki i porównania są dość zaskakujące. Na przykład z opublikowanego w lutym 2003 r. raportu Symanteca wynika, że aktywność hakerska polskich internautów jest ponadprzeciętna i daje Polsce wysoką (drugą po Korei Płd.) pozycję na liście krajów, z których pochodzi najwięcej ataków na komputery podłączone do Internetu w stosunku do liczby przypadających na nie użytkowników.

Najlepszym z dostępnych w Polsce źródeł informacji o rzeczywistej skali zjawiska sieciowych nadużyć jest Zespół Abuse Telekomunikacji Polskiej. Według jego statystyk wśród blisko 60 tys. zgłoszeń o nadużyciach innych niż wysyłanie spamu popełnionych w 2002 r. przez polskich użytkowników Internetu niemal połowę (47,8%) stanowiły incydenty naruszające bezpieczeństwo sieciowe, m.in. skanowanie portów, próby uzyskania nieautoryzowanego dostępu, włamanie do systemu, skasowanie/modyfikacja danych, pobranie plików z hasłami, zniszczenie zapisu informacji.

Gdyby te dane przyjąć za wskaźnik rozpowszechnienia zjawiska skryminalizowanego przez przepisy kodeksu karnego, liczbę ujawnionych przypadków naruszeń bezpieczeństwa danych i systemów komputerowych można by (ostrożnie) szacować na ok. 30 tys. rocznie. Trzeba jednak uwzględnić, że większość zgłoszeń (60%) pochodzi z zagranicy, co czyni wszczęcie postępowania przez polskie organy mało prawdopodobne. Pozostaje więc ok. 10-12 tys. incydentów sieciowych o cechach przestępstw popełnianych na szkodę podmiotów krajowych.

Teoretycznie nic nie stoi na przeszkodzie, aby pokrzywdzone nimi osoby, przedsiębiorstwa lub instytucje o włamaniach lub próbach włamań do ich systemów komputerowych powiadamiały nie tylko Zespół Abuse TP, lecz także policję. Większość pokrzywdzonych jednak tego nie robi z przyczyn, których można się tylko domyślać.

Statystyki i życie

Jak pokazują statystyki policyjne, do oficjalnej reakcji społecznej na zamachy wymierzone w bezpieczeństwo danych i systemów komputerowych dochodzi stosunkowo rzadko. W 2002 r. policja stwierdziła ok. 400 przestępstw przeciwko ochronie informacji, wśród których bliżej nieokreśloną część stanowiły przestępstwa komputerowe (tabela nr 1).

Skala problemu maleje jeszcze bardziej, gdy weźmiemy pod uwagę liczbę postępowań karnych w sprawach o tego typu przestępstwa. Z badań praktyki prokuratorskiej wynika, że w latach 2001-2002 prowadzono 23 postępowania karne w sprawach skierowanych przeciwko bezpieczeństwu danych i systemów komputerowych. Większość tych spraw nie osiągnęła etapu postępowania sądowego, została bowiem umorzona z powodu niewykrycia sprawców. Z tego samego powodu umorzeniem zakończyło się 290 (44,1%) z 658 spraw o przestępstwa popełnione z wykorzystaniem Internetu, którymi zajmowali się prokuratorzy w latach 2001-2002. Zdecydowanie przeważały wśród nich przestępstwa przeciwko mieniu, w szczególności oszustwa (art. 286 par 1 k.k.) związane na ogół z aukcjami internetowymi (tabela nr 2).