W 2020 r. minie 18 lat od przyjęcia ustawy o świadczeniu usług drogą elektroniczną. A czas nie stoi w miejscu – w obszarze nowych technologii minęła cała epoka. Dlatego niezbędne wydają się nowe regulacje, dostosowujące prawo do nowej rzeczywistości cyfrowej.

Weźmy np. artykuł 267 Kodeksu karnego, „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie…”. Zapis, utożsamiany z hackingiem, odnosi się również do otwarcia prywatnej korespondencji, odczytania SMS czy użycia hasła do poczty elektronicznej.

Bardziej precyzyjny jest art. 287 kk., mówiący o nieupoważnionym wpływie na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmianie, usuwaniu albo wprowadzaniu nowego zapisu tych danych. Z tego artykułu prowadzone są sprawy o oszustwa komputerowe.

Definicji, których nie znajdziemy w polskim Kodeksie karnym, dostarczają inne dokumenty i regulacje, np. konwencja Rady Europy o cyberprzestępczości oraz ustawa o Krajowym Systemie Cyberbezpieczeństwa. Konwencja rozróżnia m.in. cyberprzestępstwa przeciwko poufności, integralności i dostępności danych informatycznych i systemów oraz przestępstwa komputerowe. W pierwszej grupie mieszczą się: nielegalny dostęp do danych, nielegalne przechwytywanie danych, naruszenie integralności danych, naruszenie integralności systemu i niewłaściwe użycie urządzeń, w drugiej – fałszerstwa i oszustwa. Z kolei ustawa o KSC wprowadza definicję cyberbezpieczeństwa.

„Na tej podstawie możemy wyodrębnić stały trzon tego, co możemy uznać za cyberprzestępstwo, choć konwencja wskazuje tylko ten minimalny zakres regulacji, czyli te czyny, jakie powinny być penalizowane w krajach, które ją ratyfikowały” – wskazywała dr Agnieszka Gryszczyńska w trakcie wystąpienia na zorganizowanej przez „Computerworld” konferencji „SEMAFOR”. Jej zdaniem większość cyberprzestępczości ukrywa się w oszustwie i oszustwie komputerowym. „Te dwie kwalifikacje są wskazywane jako podstawowe, co uniemożliwia racjonalne podejmowanie decyzji, jeżeli chodzi o środki i nakłady na zwalczanie cyberprzestępczości, bo w zasadzie wszystko mieści się w przestępczości gospodarczej”.

Na marginesie, zdaniem prok. Agnieszki Gryszczyńskiej przydałaby się też ustawa, która nakładałaby na podmioty świadczące usługi drogą elektroniczną obowiązek przechowywania logów oraz regulowałaby standard i okres ich przechowywania.

Cyberoszustwa – zmora naszych czasów

Oprócz braku klarownych – i aktualnych – definicji problemem jest brak miarodajnego narzędzia pomiaru, które pokazywałoby, czy cyberprzestępczość rośnie, czy maleje. Można posiłkować się statystykami policji lub danymi dostarczanymi przez jednostki badawcze takie jak CERT, ale ogólnie w Polsce nie mierzy się skali cyberprzestępczości. Rzecz jasna, odnotowywane są incydenty bezpieczeństwa, jednak jak zauważa prok. Agnieszka Gryszczyńska, incydent nie jest równoznaczny z przestępstwem.

Główne cyberprzestępstwa, z którymi spotykają się użytkownicy w Polsce, to przestępstwa przeciwko integralności i dostępności informacji, a także oszustwa internetowe. „Tu celem działania sprawcy jest osiągnięcie korzyści majątkowej lub wyrządzenie szkody. Sprawca nie wpływa na proces motywacyjny ofiary, ale bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych, zmienia, usuwa lub wprowadza nowe zapisy” – wyjaśnia prok. Agnieszka Gryszczyńska. To przestępstwo przeciwko mieniu, zagrożone karą pięciu lat więzienia. Jeżeli szkoda jest wyższa niż 200 tys. zł, sankcja rośnie do 10 lat.

Jak wynika z danych statystycznych policji za 2016 r., liczba stwierdzonych oszustw wyniosła 97 388, a liczba postępowań z art. 286 kk., mówiącego o oszustwie, niespełna 80 tys. W tym samym roku liczba stwierdzonych przestępstw podpadających pod art. 287 kk. wyniosła tylko 4207.

Zwraca jednak uwagę trend: przez 10 lat, od 2006 do 2016 r., liczba tych ostatnich wzrosła prawie o 850%.

Paradoksalnie, może się wydawać, że liczba przestępstw komputerowych jest niedoszacowana. Zamiast wymyślać zarzuty z nieużywanego wcześniej artykułu, policjanci mogą wszczynać postępowanie na podstawie przepisow dobrze znanych i „sprawdzonych”. I tak, sprawa zamiast być prowadzona z artykułu o oszustwie komputerowym (lub innego, bardziej odpowiedniego), będzie się toczyć z artykułu o oszustwie klasycznym.

Zdaniem dr Agnieszki Gryszczyńskiej obecnie największą zmorą użytkowników internetu są podszycia pod bramki agentów rozliczeniowych, np. PayU, DotPay. Domen, które zostały do tego wykorzystane, jest już kilkaset. „Internauci są nakłaniani do wejścia na stronę podszywającą się pod stronę banku, np. przez fałszywy sklep internetowy, jakiego jedynym motywem jest wysłanie użytkownikowi, który dokonał tam zakupu, linka do strony z fałszywym agentem rozliczeniowym” – przedstawicielka Prokuratury Regionalnej w Warszawie wyjaśnia wektor ataku.

Fałszywe strony są obsługiwane „na żywo”. Jeżeli użytkownik na takiej stronie wpisuje login i hasło, w tym samym czasie widzi je również cyberprzestępca, który następnie wprowadza je na prawdziwej stronie banku. Jeżeli do użytkownika przychodzi SMS z informacją o zalogowaniu, utwierdza go to tylko w przekonaniu, że wszystko przebiega prawidłowo.

Jak skutecznie ścigać sprawców

Problemem w sprawnym ściganiu sprawców jest transgraniczność. Elementy infrastruktury wykorzystywanej przez przestępców mogą być zlokalizowane – i często są – poza Polską, co utrudnia do nich dostęp.

Bez współpracy międzynarodowej i bez przepisów, które tę współpracę usprawnią, organa ścigania nie są w stanie zatrzymać sprawcy, uzyskać materiału dowodowego, ani pociągnąć sprawcy do odpowiedzialności karnej.

Dobrą ilustracją jest tu przypadek jednego z bardziej sławnych polskich cyberprzestępców, szerzej znanego pod pseudonimem Thomas. Został zatrzymany w Polsce w marcu 2018 r., gdy polscy śledczy mieli już przygotowane dokumenty niezbędne do uzyskania Europejskiego Nakazu Aresztowania. Czynności w Polsce były skoordynowane z czynnościami w Belgii, gdzie Thomas na stałe przebywał i skąd prowadził swoją działalność. Przesłanie materiału dowodowego, m.in. używanego przez Thomasa sprzętu, do Polski zajęło belgijskim organom ścigania… 11 miesięcy.

Ponadto w cyberprzestępstwach mamy do czynienia z klasyczną rekrutacją „słupów”, zwykle osób bezdomnych. Jednych wykorzystuje się do zakładania rachunków w bankach, innych do obsługi transferów pieniężnych. „Polega to na przyjmowaniu na swój rachunek środków wpłacanych przez innych użytkowników, a następnie generowanie kodów BLIK lub SkyCash, które umożliwiają wypłatę bez karty w dowolnym bankomacie w Polsce” – opisuje prok. Agnieszka Gryszczyńska.

Tak wypłacone pieniądze jeszcze ktoś inny zanosi na pocztę i wpłaca na określony rachunek bankowy. Przelew pocztowy ma przerwać elektroniczny ciąg obiegu środków i uniemożliwić śledzenie operacji. „Aby ustalić, gdzie trafił przelew, trzeba znaleźć ‘słupa’ od bankomatu, bo tylko taka osoba zna numer rachunku. To znacznie utrudnia śledzenie transakcji, czyli standardowego w prowadzeniu postępowań z zakresu cyberprzestępczości ‘follow the money” – dodaje.

A co zrobić, by skutecznie zgłosić przestępstwo komputerowe? Trzeba przede wszystkim poinformować organa ścigania o istotnych okolicznościach, np. podać adres strony wyłudzającej pieniądze i przekazać e-mail od oszusta (rozszerzony nagłówek) oraz numer rachunku, na który przelano środki. Pokrzywdzonemu przysługuje inicjatywa dowodowa, co znaczy, że można zapoznać się z materiałem dowodowym i zaproponować zwrócenie się do innych podmiotów lub uwzględnienie dodatkowych okoliczności.

To właśnie fakt, że poszkodowani w wyniku przestępstw internetowych nie składają w swoich sprawach zawiadomień, sprawia, że cyberprzestępczości statystycznie nie widać.