W styczniu 2024 r. ukaże się monografia pt. „Kwalifikacja prawna i opis znamion przestępstw teleinformatycznych. Studium prawno-kryminalistyczne”, której autorem jest Paweł Opitek, ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa. To ważna pozycja, także z punktu widzenia tematów i zadań, którymi zajmuje się Instytut Kościuszki. W ramach działalności Instytutu promujemy najlepsze praktyki dotyczące bezpieczeństwa w sieci, zajmowaliśmy się blockchainem, sztuczną inteligencją, dezinformacją w Internecie, a więc dziedzinami bezpośrednio powiązanymi z problemem cyberprzestępczości.
Książka pokazuje, jak nowe technologie wpływają na obraz współczesnej aktywności przestępczej, a pośrednio kształtują orzecznictwo sądowe dotyczące cyberprzestępczości. Sprawcy wykorzystują bowiem do nielegalnych działań waluty wirtualne, złośliwe oprogramowanie, narzędzia i usługi maskujące ruch sieciowy po to, aby zapewnić sobie anonimowość w Internecie. W jednej ze spraw ustalono np., że „włamanie na konto było powiązane z ustalonym adresem e-mailowym oraz adresami IP logującymi się z Europy, Ameryki Północnej i Azji, a więc można przypuszczać, że sprawca anonimizował ruch sieciowy poprzez korzystanie z sieci TOR i narzędzi typu VPN-y i proxy”. Modus operandi hakerów powiązane jest z omijaniem lub przełamywaniem zabezpieczeń informatycznych, a w najbardziej wyrafinowanej formie ataku dochodzi do „zainfekowania” systemu bazowego komputera złośliwym oprogramowaniem takim, jak trojany, backdoory, keyloggery czy spyware.
Symbolem tego, jak „tradycyjne” formy przestępczości migrują do wirtualnego świata, stała się dystrybucja narkotyków. W sieci rozwija się handel substancjami psychotropowymi i środkami odurzającymi, a ponadto oferuje się klientom research chemicals, bardziej znane jako „dopalacze”, a więc różnego rodzaju mieszaniny ziół i kannabinoidów powodujące upośledzenie funkcji mózgu. Nielegalne substancje oferowane są w darkmarketach, tj. ukrytych zasobach Internetu, ale podobne witryny działają również w otwartej sieci pod przykrywką dystrybucji dozwolonych produktów, np. środków chemicznych, czy suplementów diety. Obserwuje się funkcjonowanie na komunikatorach specjalnych forów, gdzie spotykają się sprzedawcy i osoby szukające metamfetaminy lub marihuany z tej samej miejscowości. Internetowe, nielegalne sklepy prowadzone są w profesjonalny, bezpieczny dla przestępców sposób i posiadają atrakcyjne wizualnie, łatwe w obsłudze zamówień strony internetowe, płatności uiszcza się w kryptowalutach, a ponadto działają przemyślane metody dostawy „towaru” oraz bezpieczne dla przestępców kanały komunikowania się. W sieci można przeczytać szczegółowe informacje o rodzaju oferowanych substancji: ich nazwę, skład chemiczny, opis sposobu użytkowania i działania proszków lub kryształów. Sprzedaż odbywa się w określonych godzinach, a procedura transakcyjna przewiduje nawet możliwość złożenia reklamacji. Opłatę za narkotyki uiszcza się z reguły w najpopularniejszych kryptowalutach takich, jak bitcoin, ethereum, litecoin, a ponadto funkcjonuje usługa escrow. Polega ona na tym, że w momencie zakupu cena za produkt oddawana jest w depozyt podmiotowi trzeciemu (arbitrowi), a BTC trafiają do sprzedającego dopiero w momencie, gdy kupujący potwierdzi otrzymanie narkotyków.
Opisane zjawiska i trendy sprawiają, że sędziowie i prokuratorzy, rozpatrujący sprawy karne z zakresu cyberprzestępczości, muszą posiadać chociaż podstawową wiedzę na temat fintechu, aby ustalić stan faktyczny sprawy, dopasować do niego odpowiednią normę karną i na tej podstawie wydać sprawiedliwy wyrok. Tymczasem, jak pisze Autor w monografii, „przeprowadzone badania nie tylko potwierdziły tezę, że opis i kwalifikacja prawna przestępstw teleinformatycznych sprawia kłopoty sędziom i prokuratorom, co znajduje odzwierciedlenie w błędach dotyczących wydawanych przez nich decyzji procesowych, ale udowodniły ponadto, że owych nieprawidłowości jest zbyt wiele. Nawet jeśli przyjąć, że działalność orzecznicza, jako przejaw aktywności ludzkiej, musi być obarczona jakimś błędem i stąd wynika prawo złożenia apelacji od rozstrzygnięcia pierwszoinstancyjnego, to jednak ustalony stan rzeczy przekracza dopuszczalną granicę ‘błądzenia’ organów procesowych”. Konkluzja taka nie napawa optymizmem w perspektywie stosowania prawa do nowych form przestępczości.
Zdarza się, że organy procesowe w niemalże identycznych okolicznościach faktycznych sprawy stosują posługują się różnymi przepisami. Jako przykład posłużą ataki typu ransomware; pod nazwą tą kryje się różnego rodzaju złośliwe oprogramowanie mniej lub bardziej niebezpieczne dla użytkowników sieci: szyfrujące (np. WannaCry, CryptoWall, CryptoLocker i Locky), nieszyfrujące (np. Winlocker i Reveton), oparte na blokadzie dostępu do danych zapisanych w komputerze i żądające zapłaty okupu za ich odszyfrowanie. Najbardziej znany malware o nazwie WannaCry dnia 12 maja 2017 roku „zainfekował” w ciągu kilku godzin tysiące komputerów na całym świecie. Jego cechą charakterystyczną stanowiła duża zdolność samodzielnego propagowania się i rozprzestrzeniania w Internecie z wykorzystaniem luk w systemie Windows. Cały proceder ataków ransomware wpisuje się w zjawisko crime-as-a-service: poszczególni uczestnicy nielegalnych kampanii odpowiadają za budowę i dostarczenie oprogramowania, jego hostowanie, zarządzanie kanałami dystrybucji, a ostatecznie gromadzą kryptowaluty pochodzące z okupu i przetransferowują je na bezpieczne dla przestępców adresy.
W sprawie prowadzonej przez Prokuraturę Rejonową Gliwice-Zachód w Gliwicach ustalono, że sprawca zaszyfrował dane informatyczne na serwerze Spółki i wysłał z adresu e-mail server123@scryptmail.com żądanie uiszczenia okupu w kryptowalucie w zamian za udostępnienie hasła odblokowującego zasoby serwera i po otrzymaniu 0,45 BTC dane odszyfrował. W innej sprawie, nadzorowanej przez Prokuraturę Rejonową w Tarnobrzegu, przestępca zaszyfrował dane i unieruchomił komputery firmy w taki sposób, że nie można było komunikować się „ze światem zewnętrznym”, wysyłać i odbierać wiadomości, transferować danych z zasobów chmurowych itd. Na skutek ataku zaszyfrowane zostały także dyski komputerów, nie działało oprogramowanie i sieci przesyłające, a w konsekwencji unieruchomione zostały także urządzenia „peryferyjne” np. drukarki, skanery.
Ściganie sprawców ataków ransomware jest niezwykle trudne, a badane aktowe dowiodły, że większość takich spraw kończy się umorzeniem dochodzenia lub śledztwa z powodu niewykrycia sprawców przestępstwa. Wynika to z faktu, że ich dane personalne pozostają nieustalone, a ponadto sprawcy znajdują się w różnych miejscach na świecie, nierzadko w państwach niedemokratycznych, których władze nie współpracują na arenie międzynarodowej w zwalczaniu cyberprzestępczości. Sytuację jeszcze bardzie komplikuje wojna na Ukrainie: Rosja i byłe republiki postsowieckie zawsze były dogodnym miejsce działania dla hakerów, a wobec konfliktu trudno przypuszczać, aby obecnie kraje za naszą wschodnią granicą chciały współpracować z Państwami Unii Europejskiej wypełniając zobowiązania nałożone przez Konwencję z dnia 23 listopada 2023 r. o zwalczaniu cyberprzestępczości.
Powracając do kwestii kwalifikacji prawnej i opisu znamion czynów karalnych na przykładzie ransomware’a, to prokuratorzy przyjmowali przepisy: art. 267 § 1, 2 lub 3 k.k., art. 268 § 1 lub 2 k.k., art. 268a § 1 k.k., art. 269 § 1 k.k., art. 279 § 1 k.k., art. 286 § 1 k.k., art. 287 § 1 k.k.; niekiedy różne kombinacje podanych artykułów występowały w zbiegu kumulatywnym na podstawie art. 11 § 2 k.k. Nie zawsze zastosowana kwalifikacja była prawidłowa, ale też ataki szyfrujące dane mogą mieć różny przebieg i skutek. Jednak popełniane błędy zbyt często wynikały z niewiedzy lub ignorancji organów ścigania związanej z właściwą subsumpcją normy prawnej na tle ustalonego stanu faktycznego.
Inny problem, który uwydatniły przeprowadzone badania, dotyczy oceny działań polegających na włamaniu do portfela kryptowalutowego i bezprawnym przejęciu władztwa nad kluczami kryptograficznymi statuującymi tokeny. Realizacja czynu określanego mianem „kradzieży bitcoinów” powoduje automatyczne przetwarzanie, gromadzenie i przekazywanie danych informatycznych w różnych miejscach systemu Bitcoin. Chodzi o zmianę wartości w co najmniej dwóch portfelach oraz wprowadzanie nowego zapisu takich danych w blockchain’owym protokole, tj. w ostatnim bloku cyfrowej księgi rozrachunkowej. W praktyce działanie sprawcy może powodować nieuprawnioną modyfikacje danych informatycznych w jeszcze innych miejscach, np. na serwerze giełdy kryptowalutowej, jeśli ona przechowywała klucze prywatne osoby pokrzywdzonej. Wynika z tego, że czynność sprawcza „kradzieży” kryptowaluty niesie ze sobą wiele jednostkowych modyfikacji danych informatycznych w różnych miejscach cyberprzestrzeni, ale ich szczegółowe wymienianie w opisie czynu jest niecelowe. Po pierwsze, czyniłoby to treść zarzutu zbyt obszerną, a w konsekwencji niezrozumiałą dla adresatów decyzji procesowych. Ponadto, trudno wymagać od organu procesowego (sądu lub prokuratora), aby znał w szczegółach zawiłości technologiczne każdego protokołu statuującego kryptowaluty i kazuistycznie opisywał w zarzucie kolejne skutki oszukańczej transakcji. Teoretycznie sprawca może wykonać przelew w celu „wyrządzenia innej osobie szkody” i przesłać BTC na zupełnie przypadkowy adres publiczny, ale w praktyce działa on „w celu osiągnięcia korzyści majątkowej” i opis czynu oraz kwalifikacja prawna przestępstwa „kradzieży” 0,5 BTC może stanowić, iż przestępca „działając w celu osiągnięcia korzyści majątkowej, bez upoważnienia, wpłynął na automatyczne przetwarzanie i przekazywanie danych informatycznych w ten sposób, że wywołał transakcję przesłania danych informatycznych statuujących 0,5 bitcoina z portfela należącego do /…/ do swojego portfela i w ten sposób zmienił zapis w cyfrowej księdze rozrachunkowej Bitcoin oraz portfelu pokrzywdzonego działając na szkodę /…/ w wysokości 7 280 zł, co stanowiło równowartość 0,5 bitcoina w dniu 1 stycznia 2024 r., tj. o przestępstwo z art. 287 § 1 k.k.”
Poza tym zdarzają się ataki na bankowe aplikacje mobilne, skrzynki e-mail, konta na platformach społecznościowych, giełdy i kantory sieciowe, zakłócenia prawidłowej transmisji danych, fałszerstwa komputerowe zapisu informacji stanowiącego dokument itd. W tym zakresie zastosowanie znajdą przepisy art. 267 § 1‒3 k.k., art. 268 § 2 k.k., art. 268a § 1 k.k., art. 279 § 1 k.k. i art. 287 § 1 k.k. Handel na „czarnym rynku” w Internecie programami, narzędziami i hasłami umożliwiającymi popełnianie cyberprzestępstw objęty jest penalizacją z art. 269b § 1 k.k. To tylko niektóre z licznych problemów, których nasz ekspert Paweł Opitek podjął się rozwiązania na kanwie przeprowadzonych badań.
„Wypracowanie najlepszych standardów orzeczniczych leży w interesie całego wymiaru sprawiedliwości”; to jeden z wniosków podsumowujących badania Pawła Opitka. Książka już w krótce będzie dostępna w wersji elektronicznej na stronach Instytutu Kościuszki. Zapraszamy do jej lektury!