Obrona konieczna w cyberprzestrzeni

W takiej sytuacji trzeba więc zwrócić uwagę na inne instrumenty prawa karnego. Sięgnąć warto po instytucję obrony koniecznej, klasyczny instrument prawa karnego, odnoszący się faktycznie do wszelkich kategorii czynów zabronionych. Zgodnie z art. 25 § 1 Kodeksu karnego, nie popełnia przestępstwa, kto w obronie koniecznej odpiera bezpośredni, bezprawny zamach na jakiekolwiek dobro chronione prawem. Ponadto w razie przekroczenia granic obrony koniecznej, w szczególności, gdy sprawca zastosował sposób obrony niewspółmierny do niebezpieczeństwa zamachu, sąd może zastosować nadzwyczajne złagodzenie kary, a nawet odstąpić od jej wymierzenia. Wspomniany w przepisie zamach musi być następstwem działania człowieka.

Co prawda o obronie koniecznej dyskutuje się zazwyczaj na tle bulwersujących opinię publiczną czynów godzących w życie i zdrowie ludzkie, lecz art. 25 nie zawiera takiego ograniczenia przedmiotowego. Można więc stosować go w odniesieniu do cyberprzestrzeni. Nie ma mowy o zastosowaniu tej instytucji, gdy atak hackerski jeszcze nie nastąpił bądź już ustał. Gdyby za punkt wyjścia przyjąć nieudaną ingerencję w system - z powodu mankamentów technicznych czy niedostatecznych umiejętności włamywacza, czy też efektywnego zadziałania zabezpieczeń systemu - to atak zwrotny w późniejszym terminie nie będzie mieścił się w granicach instytucji obrony koniecznej.

Więcej trudności może sprawiać określenie, kiedy mamy do czynienia z bezpośrednim zamachem. W rozumieniu art. 25 kk chodzi o taką aktywność, która stwarza niebezpieczeństwo natychmiastowego godzenia w prawidłowość elektronicznie przetwarzanych informacji. Na tym nie kończą się jednak wątpliwości. Łatwo wyobrazić sobie bardziej powikłaną sytuację. Szczególne problemy pojawiają się, gdy system jest wykorzystywany jako bot-net, przy "dosowaniu systemu". W takim przypadku ofiarą działań związanych z hack-back paść może system, który został jedynie wykorzystany jako pośrednik przez sprawcę ataku. W konsekwencji zachowanie takie rodzić będzie odpowiedzialność odszkodowawczą, nie mówiąc już o mankamentach połączonych z kwestiami prawa karnego. Dochodzi do tego odsiewanie fałszywych alarmów od rzeczywistych włamań do sytemu informatycznego.

Nie warto więc brać we własne ręce wymierzania sprawiedliwości, nawet gdy chodzi o cyberprzestrzeń. Przede wszystkich należy skupić się na zapobieganiu incydentom naruszającym bezpieczeństwo elektronicznie przetwarzanych informacji. Samo powoływanie się na brak możliwości efektywnego zakończenia postępowania przez organa ścigania nie może stanowić wyłącznego uzasadnienia dopuszczalności ataków zwrotnych przeciwko systemom informatycznym.