Pojęcie „nadużycia komputerowego” - Cyberprzestrzeń oraz przestępczość w cyberprzestrzeni

Cyberprzestrzeń oraz przestępczość w cyberprzestrzeni - zagadnienia definicyjne

1. Pojęcie „nadużycia komputerowego”

W ujęciu historycznym, proces formułowania nowych, specyficznych pojęć odnoszących się do przestępczości komputerowej rozpoczął się jeszcze w połowie lat siedemdziesiątych ubiegłego stulecia. Czasy te były świadkiem pierwszych głośnych, medialnych doniesień o atakach hackerskich, które uświadomiły nie tylko szerszej opinii publicznej, ale także przedstawicielom władz rządowych, fakt pojawienia się nowych cyber zagrożeń. Warto dodać - zagrożeń, które mogą powodować, jak najbardziej realne straty finansowe. W latach siedemdziesiątych spopularyzowało się także określenie hacker, które swoją negatywną konotację otrzymało jednak dopiero w połowie następnego dziesięciolecia177

Jednym z pierwszych, szeroko rozpoznawanych opracowań, poświęconych zagadnieniom zwalczania nowoczesnych form przestępczości, stała się wydana w 1976 r. książka autorstwa D. Parkera, zatytułowana „Przestępstwo z wykorzystaniem komputera”

178 . Pomimo swojego tytułu, książka skupiała się jednak wokół pojęcia „nadużycia komputerowego”¹⁷⁹

„[...] każdy incydent polegający na zamierzonym zachowaniu, którego ofiara poniosła , które definiowane było przez jej autora jako:

176 Trudnościom w budowaniu odnośnych definicji poświęcona była nawet odrębna część Zalecenia Nr R(89)9 Komitetu Ministrów Rady Europy z 1989 r. w sprawie przestępczości komputerowej.

177 Słowo hacker oznaczało pierwotnie (pozytywnie) osobę o wysokich kwalifikacjach komputerowych, potrafiącą w szerokim zakresie wykorzystywać możliwości nowych technologii informatycznych.

178 D. B. Parker, Crime by Computer, Scribner, Nowy Jork, 1976. Tłumaczenie tytułu własne.

179

lub mogła ponieść szkodę, zaś sprawca odniósł lub mógł odnieść zysk, wiążący się z komputerami.”¹⁸⁰

Uzupełniająco, opracowanie wskazywało także cztery role, w jakich występować może komputer w tak określonym nadużyciu:

1) komputer lub zgromadzone na nim dane, jako przedmiot ataku;

2) komputer, jako narzędzie wytwarzające specyficzne środowisko lub nowe formy dóbr prawnych podlegających ochronie;

3) komputer, jako środek lub narzędzie służące do popełnienia nadużycia; oraz, 4) komputer, jako symbol użyty dla zastraszenia lub oszustwa181

Choć wskazane role częściowo przeplatały się zakresowo, każda z nich odnosiła się do specyficznego aspektu dokonywania nadużyć komputerowych. Pierwsza, nawiązywała do ochrony samych systemów teleinformatycznych oraz przechowywanych na nich danych w postaci elektronicznej, które mogą stać się celem działania przestępnego. Druga, choć zdecydowanie wyprzedzająca swoje czasy, nawiązywała do nowego sposobu postrzegania dóbr prawnie chronionych, które wraz z rozwojem cyberprzestrzeni mogą wyrażać się w zupełnie nowych, nieznanych dotąd formach, wykraczając poza postać typowych praw, ruchomości, nieruchomości oraz dóbr osobistych. Trzecią z ról odnieść można do kategorii nadużyć komputerowych sensu stricte, gdzie komputer staje się niezbędnym narzędziem do popełnienia przestępstwa (które może być skierowane także przeciwko nowym dobrom prawnym, na które wskazywano w punkcie 2), zaś czwarta, odwoływała się de facto do tych czynów, dla których komputer staje się wyłącznie środkiem komunikacyjnym, zaś samo zachowanie kwalifikować można jako przejaw klasycznych form czynów bezprawnych, jak np. oszustwo, czy zniesławienie.

Pomimo tak szerokiego ujęcia, żadna z wymienionych ról nie odnosiła się jednak bezpośrednio do wykorzystywania komputerów, jako samodzielnego źródła dowodowego, które dostarczać może dowodów także w sprawach nie zaliczających się ściśle do kategorii nadużyć komputerowych. Z uwagi na czasy, w których definicja była budowana - poprzedzające jeszcze powstanie Internetu, żaden z ujętych aspektów nie odwoływał się także specyficznie do kwestii wykorzystania komputera do przeprowadzania ataków za pośrednictwem sieci.

180 A. Reyes, Cyber Crime Investigations, Elsevier, USA, 2007, s. 25. W oryginale „any incident involving an

intentional act where a victim suffered or could have suffered a loss, and a perpetrator made or could have made a gain and is associated with computers”. Tłumaczenie własne.

181

Przytoczona wyżej definicja proponowała, aby dwiema głównymi cechami nadużycia komputerowego były jego umyślność oraz skorelowane (mogące zaistnieć choćby potencjalnie) strata oraz korzyść majątkowa, powstające na wskutek przestępstwa odpowiednio po stronie ofiary oraz napastnika. Innymi słowy, na gruncie definicji, nadużyciem komputerowym nie mógł stać się ani czyn niezamierzony - jak np. nieumyślne uszkodzenie zasobów chronionych, ani taki, który w ogóle nie zakładał możliwości odniesienia korzyści przez jego sprawcę - jak akt wandalizmu polegający na skasowaniu lub podmianie plików strony internetowej. Oba wskazane wymogi, stanowiące przejaw utożsamiania nadużyć komputerowych z przestępczością nastawioną na określone korzyści majątkowe, wiązać należy z dawnym rozumieniem przestępczości komputerowej, jako przestępczości wysoce specjalistycznej, wymagającej świadomego podejmowania skomplikowanych operacji.

Pojęciem „nadużycia komputerowego” posługiwał się następnie, nieco późniejszy -wydany w 1986 r., raport Organizacji Rozwoju i Współpracy Gospodarczej (OECD), zatytułowany „Przestępstwa związane z komputerem: analiza polityki legislacyjnej”182

„Każde zachowanie niezgodne z prawem, nieetyczne lub nieuprawnione, odnoszące się do automatycznego przetwarzania oraz przekazywania danych”

. Na łamach raportu, czyn „nadużycia komputerowego” zdefiniowany został roboczo, jako:

183

Przytoczoną definicję podzielić można na dwie części. Pierwszą - charakteryzującą samo pojęcie nadużycia, oraz drugą - wyznaczającą specyficzny obszar przedmiotowy, w którym popełnione nadużycie, staje się właśnie nadużyciem komputerowym. W zakresie pierwszego elementu, definicja wskazywała trzy następujące kategorie zachowań:

1) działania niezgodne z prawem, a więc wyraźnie zakazane przez przepisy odrębne (w stosunku do administracji publicznej kategorię tę należałoby rozszerzyć także o działania podjęte bez wyraźnej podstawy prawnej);

2) działania nieuprawnione (nieautoryzowane) - które rozumieć należy, jako wykonywane bez stosownej zgody osoby uprawnionej do zarządzania systemem, informacją, czy danymi. Działania takie mogą (ale nie muszą) być penalizowane, powodując częściowe krzyżowanie się zakresów kategorii pierwszej oraz drugiej; oraz 3) działania nieetyczne - a więc działania niełamiące żadnych formalnie obowiązujących zasad, lecz sprzeciwiające się szeroko rozumianym zasadom współżycia społecznego.

182 Computer-related crime: Analysis of legal policy, OECD, Paryż 1986.

183 W oryginale: „Computer abuse is considered as any illegal, unethical or unauthorized behavior relating to

Wprowadzenie do definicji nadużycia komputerowego kategorii działań nieuprawnionych oraz działań nieetycznych, spowodowało, że pojęcie to - na gruncie raportu OECD, utraciło swoją wyłącznie karnistyczną konotację. Jednocześnie, nabrało cech wyrażenia uniwersalnego, które tak jak pojęcia błędu, czy groźby, mogło być stosowane zarówno w kontekście spraw karnych, jak i tych należących do innych gałęzi prawa. Pomimo przyjętej konstrukcji definicji, raport nie odnosił się jednak w przedstawionym dalej katalogu nadużyć komputerowych do czynów innych, niż należące do kategorii działań niezgodnych z prawem. Szerokiej krytyce poddane zostało natomiast definiowanie nadużycia komputerowego poprzez kategorię działań nieetycznych, która z natury rzeczy pozostaje wysoce nieostra oraz niesformalizowana.

Nie posiada także w całości wymiaru ogólnoświatowego, co ma szczególne znaczenie w dzisiejszych czasach globalnych sieci. Ostatecznie, dodać należy także, że pojęcie działań etycznych w przypadku poruszania się po sieciach komputerowych może miejscami nabierać specyficznego znaczenia z uwagi na zautomatyzowany, elektroniczny charakter wykonywanych operacji - np. nie jest działaniem nieetycznym wywoływanie serwerów podłączonych do sieci, lecz staje się ono wręcz przestępstwem o ile wykonywane jest wielokrotnie w krótkim czasie powodując zawieszenie poprawnego działania usługi (tzw. atak odmowy dostępu - opisany szczegółowo w dalszej części pracy). Podobnie, dyskusyjna może być kwestia oceny etyczności zachowania polegającego na skanowaniu zabezpieczeń stosowanych na stronach internetowych - co z jednej strony może stanowić przygotowanie do ataku, czy szantażu, a z drugiej - służyć oferowaniu usług polegających na poprawie bezpieczeństwa systemów sieciowych. Kwestie tego typu pozostają wciąż nierozstrzygnięte pomimo wieloletniej obecności na forum społeczeństwa internetowego.

W ramach drugiego wyróżnionego elementu - czyli obszaru, w którym popełniane są nadużycia komputerowe, definicja wskazywała na domenę „automatycznego przetwarzania oraz przekazywania danych”. Wyrażenie to, odnosząc się wprost nie tyle do samych danych, co procesów ich przetwarzania (a w tym przekazywania), w istocie obejmowało także ukryte pod tymi procesami systemy teleinformatyczne oraz elementy infrastruktury sieciowej, które choć nie zostały wymienione w definicji wprost - uznać należy za element niezbędny dla ukonstytuowania procesu automatycznego przetwarzania danych. Wyraźne wprowadzenie do definicji elementu przekazywania danych odczytywać należy na tle niezwykle dynamicznego w latach osiemdziesiątych rozwoju sieci, w szczególności zaś Internetu - jako wyraz świadomości, że konieczne jest podejmowanie działań nakierowanych na walkę z zupełnie nowymi zagrożeniami dla danych komputerowych. Tym samym, inaczej niż w przypadku

definicji analizowanego pojęcia, przyjętej na gruncie amerykańskiego opracowania z 1976 r., nadużycie komputerowe wyraźnie odniesiono także do działań wykonywanych za pośrednictwem nowoczesnych sieci teleinformatycznych.

Obok przytoczonej wyżej definicji nadużycia komputerowego, raport OECD określał także enumeratywnie pięć kategorii nadużyć komputerowych, które powinny być penalizowane we wszystkich porządkach prawnych. Zaliczono do nich: oszustwo komputerowe (nastawione na uzyskiwanie korzyści majątkowych), fałszerstwo komputerowe, zakłócenie poprawnego funkcjonowania systemu (sabotaż), nielegalne kopiowanie programów komputerowych oraz nielegalny dostęp do systemu komputerowego uzyskany poprzez naruszenie zabezpieczeń lub w celu wyrządzenia szkody184

Katalog typowych nadużyć komputerowych przedstawiony został zatem wyłącznie w kontekście czynów, które powinny podlegać kwalifikacji karnej - w odróżnieniu od podejścia, które zaprezentowano w ramach budowy definicji nadużycia komputerowego. Jednocześnie, przygotowany katalog łączył kategorie ściśle karnistyczne (fałszerstwo, włamanie) z ochroną praw autorskich, nazywając nadużyciem komputerowym także kopiowanie programów (dziś zwane potocznie piractwem komputerowym), które może być dokonywane w ogóle z pominięciem komputerów. Na marginesie, warto zaznaczyć, że obok analizowanego tu pojęcia, raport OECD posługiwał się również kategorią przestępstwa

związanego z komputerem, które choć pełniło tu rolę drugorzędną, pojawiało się - dosyć

niekonsekwentnie, w samym tytule dokumentu.

Równolegle do wydania raportu OECD, rok 1986 stał się świadkiem także innego doniosłego zastosowania pojęcia „nadużycie komputerowe”, związanego z wydaniem obszernej, amerykańskiej kodyfikacji prawa nastawionej na kompleksowe zwalczanie zagrożeń komputerowych. Wskazana kodyfikacja przybrała formę ustawy zatytułowanej w oryginale Computer Fraud and Abuse Act¹⁸⁵

Co istotne, pomimo historycznej już daty wprowadzenia ustawy, pozostaje ona aktem wciąż obowiązującym, co nadaje prowadzonym w tym miejscu rozważaniom waloru aktualności. Od chwili wejścia w życie, ustawa była oczywiście wielokrotnie nowelizowana, m. in. w latach 1989, 1994, 1996, 2001 (wydaną po zamachu na WTC ustawą PATRIOT , której przepisy stały się podstawowym narzędziem amerykańskiego wymiaru sprawiedliwości w walce z szeregiem przestępstw popełnianych z wykorzystaniem komputera.

184 A. Adamski, Prawo karne..., op. cit., s. 6.

185 W tłumaczeniu: Ustawa o komputerowym oszustwie oraz nadużyciu. Tłumaczenie własne. Tekst ustawy dostępny na stronie internetowej pod adresem: http://www.law.cornell.edu/uscode/text/18/1030.

Act¹⁸⁶) oraz 2008 (ustawą Identity Theft Enforcement and Restitution Act187

)¹⁸⁸. Przepisy wprowadzone przywoływaną ustawą z 1986 r. uzupełniły także stworzoną w 1984 r. sekcję 1030, 47. rozdziału, 18. tytułu amerykańskiego United States Code189

, w której to sekcji pierwotnie uregulowana była pokrótce penalizacja szczególnych przypadków uzyskania bezprawnego dostępu do informacji rządowych - przede wszystkim informacji niejawnych oraz informacji finansowych, w sytuacji, gdy informacje te przetwarzane były w komputerach należących do agend rządowych190

. Sama sekcja 1030 zatytułowana została „Oszustwo oraz podobna działalność w powiązaniu z komputerami”191

Ustawą Computer Fraud and Abuse Act wprowadzono penalizację szeregu stypizowanych czynów, które - zgodnie z samą nazwą aktu normatywnego, określone zostały łącznie mianem „nadużyć oraz oszustw komputerowych”. W odniesieniu do zastosowanej tu nazwy zbiorczej, już na pierwszy rzut oka uwagę zwraca wyraźne wydzielenie oszustwa komputerowego od pozostałych nadużyć komputerowych, co z jednej strony podkreślać może szczególny charakter tego czynu (obejmujący połączenie działań komputerowych z elementami socjotechniki oraz nastawienie na uzyskanie korzyści majątkowej), z drugiej zaś - czyni zasadnym pytanie, czy w tej sytuacji „oszustwo komputerowe” należy na gruncie analizowanego aktu zaliczać do ogólnej kategorii „nadużyć komputerowych”? Wyraźne usytuowanie „oszustw” obok „nadużyć” sugerować mogłoby intencjonalne oddzielenie obu kategorii, przesądzające, że oszustwo nie należy do katalogu nadużyć komputerowych, choć brak jest możliwości potwierdzenia takiej tezy na gruncie samych przepisów. Z uwagi na fakt pozostawienia w treści ustawy wskazanych wyrażeń bez jakichkolwiek definicji, także rekonstrukcja ich znaczenia możliwa jest wyłącznie poprzez prezentację typologii przestępstw ujętych w przepisach aktu. Z uwagi na normatywny charakter analizowanego dokumentu,

186 Pisana wielkimi literami nazwa ustawy “PATRIOT Act” stanowi skrót od wyrazów: Uniting and

Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act.

W tłumaczeniu: Jednocząc oraz wzmacniając Amerykę poprzez dostarczenie stosownych narzędzi wymaganych do wykrywania oraz zapobiegania terroryzmowi. Tłumaczenie własne.

187 W tłumaczeniu: Ustawa o ściganiu przestępstwa kradzieży tożsamości oraz jej restytucji. Tłumaczenie własne.

188 C. Doyle, Cybercrime: An Overview of the Federal Computer Fraud and Abuse Statute and Related Federal

Criminal Laws, Congressional Research Service, s. 1. Tekst pełnego opracowania dostępny na stronie internetowej pod adresem: http://www.fas.org/sgp/crs/misc/97-1025.pdf.

189

United States Code (U.S.C.) stanowi swoisty odpowiednik Dziennika Ustaw, który obejmujące skodyfikowane prawo federalne USA. Więcej na temat U.S.C. na stronie internetowej pod adresem: http://en.wikipedia.org/

wiki/United_States_Code.

190

H. M. Jarrett, M. W. Bailie, E. Hagen, S. Eltringham, Prosecuting Computer Crimes, Office of Legal

Education Executive Office for United States Attorneys - wydawnictwo Ministerstwa Sprawiedliwości USA (Department of Justice),Washington DC 2010, s. 1. Opracowanie dostępne na stronie internetowej pod adresem: http://www.justice.gov/criminal/cybercrime/docs/ccmanual.pdf.

191

forma w jakiej określone zostały kolejne przestępstwa przyjęła typowo kodeksową budowę (np. „kto uzyskuje bezprawny dostęp...”). W efekcie, w przepisach pominięte zostały jakiekolwiek dodatkowe określenia, które miałyby stać się nazwami dla poszczególnych przestępstw. Stosowane w dalszej części analizy, pomocniczo, nazwy rodzajowe, nie pochodzą zatem z samej ustawy, zaś z oficjalnego opracowania Kongresu USA, przynależąc tym samym do sfery języka prawniczego - to jest języka II stopnia.

Amerykańska ustawa „o nadużyciach oraz oszustwach komputerowych” określiła siedem następujących kategorii czynów zabronionych:

1) świadome uzyskanie dostępu do komputera bez uprawnienia lub z przekroczeniem posiadanych uprawnień oraz uzyskanie w ten sposób informacji prawnie chronionych, w tym informacji obronnych lub dotyczących stosunków międzynarodowych, w sytuacji, gdy z okoliczności wynika iż informacje te mogłyby zostać użyte na szkodę USA, a także przekazywanie takich informacji na korzyść jakiegokolwiek państwa obcego;

2) umyślne uzyskanie nieuprawnionego dostępu do komputera bez uprawnienia lub z przekroczeniem posiadanych uprawnień oraz uzyskanie informacji bankowych lub finansowych, informacji przetwarzanych przez organy administracji publicznej lub informacji pochodzących z chronionych komputerów;

3) umyślne uzyskanie nieuprawnionego dostępu do niedostępnego publicznie komputera administracji, który przeznaczony jest do użytku wyłącznie na rzecz rządu USA lub jest używany przez rząd USA, zaś działanie sprawcy wpływa na ten użytek;

4) świadome oraz z zamiarem dokonania oszustwa uzyskanie dostępu do chronionego komputera bez uprawnienia lub z przekroczeniem uprawnień oraz uzyskanie w ten sposób jakiejkolwiek korzyści majątkowej, chyba, że przedmiotem oszustwa oraz jedyną uzyskaną korzyścią jest samo użycie komputera, zaś wartość tego użycia nie przekracza 5.000 dolarów w okresie jednego roku;

5) umyślne spowodowanie szkód w chronionym komputerze poprzez świadome spowodowanie transmisji programu, informacji, kodu lub polecenia, a także uzyskanie dostępu bez uprawnienia;

6) świadoma oraz z zamiarem dokonania oszustwa, nielegalna sprzedaż haseł lub podobnych informacji mogących służyć do uzyskania dostępu do komputera bez uprawnień, pod warunkiem, że takie działanie może wpłynąć na obrót międzystanowy lub zagraniczny, lub dany komputer wykorzystywany jest przez lub na rzecz rządu USA;

7) transmitowanie w ramach obrotu międzystanowego lub zagranicznego jakichkolwiek komunikatów zawierających groźby spowodowania uszkodzeń chronionego komputera, groźby nieuprawnionego uzyskania informacji pochodzących z chronionego komputera lub ich uszkodzenia, a także żądania pieniędzy lub innych korzyści majątkowych w związku z uszkodzeniem chronionego komputera - celem bezprawnego uzyskania korzyści majątkowych od jakiejkolwiek osoby192

Uzupełniająco, występujący w przytoczonych hipotezach „chroniony komputer” został zdefiniowany w ustawie federalnej, jako komputer:

„(A) przeznaczony do wyłącznego użytku przez instytucję finansową lub rząd USA, lub w przypadku komputera nie przeznaczonego do takiego wyłącznego użytku, komputer faktycznie używany przez lub dla instytucji finansowej lub rządu USA, którego użytkowanie jest dotykane przez czyn bezprawny; lub

”(B) który jest użytkowany w lub wpływa na międzystanowy lub zagraniczny obrót lub komunikację, włączając komputery zlokalizowane poza terytorium USA, które są użytkowane w sposób wpływający na międzystanowy lub zagraniczny obrót lub komunikację USA;” 193

Zgodnie z przywołanym wcześniej opracowaniem ustawy sporządzonym na potrzeby Kongresu USA, wyliczone w pkt 1 - 7 przestępstwa można skonstatować rodzajowo, jako odpowiednio: 1) szpiegostwo komputerowe; 2) bezprawne wtargnięcie komputerowe do określonych zasobów rządowych, bankowych, finansowych lub innych przechowywanych na komputerze; 3) bezprawne wtargnięcie komputerowe do zasobów komputera rządowego; 4) oszustwo, którego integralną częścią jest uzyskanie nieuprawnionego dostępu do komputera chronionego, przetwarzającego dane wrażliwe - rządowe, bankowe, lub inne, istotne dla obrotu gospodarczego; 5) uszkadzanie zasobów komputerów chronionych; 6) nielegalny handel hasłami dostępu; oraz 7) groźba uszkodzenia zasobów komputerów chronionych

194

Zawarty w ustawie katalog „nadużyć oraz oszustw komputerowych” pozwala także na wyróżnienie czterech podstawowych metod działań właściwych dla regulowanych form przestępczości:

. Na tle skróconego ujęcia wyraźnie rysuje się zasadniczy cel wydania amerykańskiej ustawy - wzmocnienie ochrony systemów rządowych oraz tych wykorzystywanych na potrzeby lub w interesie USA.

192 Ustawa federalna Computer fraud and abuse act (18 U.S.C. 1030), lit. a, pkt 1 - 7. Tłumaczenie własne.

193 Ustawa federalna Computer fraud and abuse act (18 U.S.C. 1030), lit. e, pkt 2. Tłumaczenie własne.

194

− w pkt 1 - 4 jest to bezprawne uzyskanie dostępu do komputera, funkcjonalnie połączone z możliwością odczytania przetwarzanych na komputerze danych, zaburzeniem pracy systemu lub bezprawnym wprowadzeniem zmian w danych - zwane w tym ostatnim przypadku oszustwem komputerowym (pkt 4),

− w pkt 5 - wywołanie transmisji danych chronionych prawem (inaczej kradzież danych lub ich bezprawne przesłanie dalej),

− w pkt 6 - sprzedaż haseł oraz innych narzędzi mogących służyć popełnianiu nowoczesnych form przestępczości (bez względu na źródło ich pochodzenia), oraz − w pkt 7 - grożenie możliwością przeprowadzenia ataku w cyberprzestrzeni.

Warto podkreślić, że żadna z określonych w ustawie kategorii nie odnosi się bezpośrednio do oszustwa komputerowego, jako samodzielnego narzędzia dla uzyskania dostępu do systemu, np. w sytuacji wyłudzenia hasła, które może zostać przeprowadzone nawet poza cyberprzestrzenią (jak choćby telefonicznie, po podszyciu się pod reprezentanta pionu wsparcia teleinformatycznego). Tym samym, na gruncie analizowanych przepisów, dla dokonania oszustwa komputerowego niezbędne jest bezpośrednie działanie sprawcy w cyberprzestrzeni, które nakierowane jest na sfałszowanie przetwarzanych danych w sposób zapewniający uzyskanie określonych korzyści majątkowych.

W dokumencie Cyberprzestępczość – wybrane aspekty prawnokarne oraz kryminalistyczne (Stron 77-85)