ISSN: 1896-382X | www.wnus.edu.pl/pl/epu/ DOI: 10.18276/epu.2016.123-19 | strony: 203-211
0$5,86=&=<ĩ$.
8U]ąG.RPXQLNDFML(OHNWURQLF]QHM
&<%(535=(67Ċ3&=2Ğü%$1.2:$,Ğ52'.,-(-ZWALCZANIA
Streszczenie
&\EHUSU]HVWĊSF]RĞü EDQNRZD WR MHGQD ] QDMJURĨQLHMV]\FK IRUP ZVSyáF]HVQHM SU]HVWĊSF]RĞFL 1DOHĪą GR QLHM PLQ WDNLH G]LDáDQLD SU]HVWĊSF]H MDN SKLVKLQJ VNLm-PLQJ KDFNLQJ VSRRILQJ F]\ VQLIILQJ =DSRELHJDQLX L ]ZDOF]DQLX F\EHUSU]HVWĊSVWZ EDQNRZ\FK VáXĪą UR]ZLą]DQLD RUJDQL]DF\MQR-techniczne stosowane przez banki oraz regulacje prawnokarne skierowane przeciwko ich sprawcom.
6áRZDNOXF]RZH F\EHUSU]HVWĊSF]RĞüEDQNRZRĞüHOHNWURQLF]QD.
Wprowadzenie
-HGQą ] QDMJURĨQLHMV]\FK IRUP ZVSyáF]HVQHM SU]HVWĊSF]RĞFL XZDUXQNRZDQą ĞURGRZLVNLHPG]LDáDQLDSU]HVWĊSFyZ i rodzajem stosowanej przez nich technologii, MHVW F\EHUSU]HVWĊSF]RĞü 3RG SRMĊFLHP W\P NU\Mą VLĊ Z QDMSURVWV]\P WHJR VáRZD ]QDF]HQLXF]\Q\]DEURQLRQHNWyUHSRSHáQLDQHVąZF\EHUSU]HVWU]HQLL]MHMZ\No-U]\VWDQLHP &]\P MHVW MHGQDNĪH VDPD F\EHUSU]HVWU]HĔ": GRNXPHQFLH Ä5]ąGRZ\ program ochrony cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011–2016” RNUHĞOD VLĊ Mą MDNR ÄF\IURZą SU]HVWU]HĔ SU]HWZDU]DQLD L Z\PLDQ\ LQIRUPDFML WZo-U]RQąSU]H]V\VWHP\LVLHFLWHOHLQIRUPDW\F]QHZUD]]SRZLą]DQLDPLSRPLĊG]\QLPL oraz relaFMDPL ] XĪ\WNRZQLNDPL´ 5]ąGRZ\ SURJUDP V1LH VWDQRZL RQD MHGQDNĪH MHG\QLH ]ELRUX WDNLFK IL]\F]Q\FK VNáDGQLNyZ MDN V\VWHP\ VLHFL RSUo-JUDPRZDQLH RUD] SU]HWZDU]DQH Z QLFK LQIRUPDFMH FKRFLDĪ ZVND]\ZDá\E\ QD WR niektóre jej definicje, w tym ta SU]\ZRáDQD SRZ\ĪHM 1LH MHVW WR WDNĪH Z\áąF]QLH VXPD WUDQVDNFML GRNRQ\ZDQ\FK SU]H] XĪ\WNRZQLNyZ ,QWHUQHWX MDNNROZLHN VDP ,QWHUQHW VWDQRZL MHM QDMLVWRWQLHMV]\ HOHPHQW VNáDGRZ\ &\EHUSU]HVWU]HĔ WR UyZQLHĪ NRQFHSFMDXWZRU]HQLDUyZQROHJáHJRĞURGRZLVNDEĊGąFHJo nowym wymiarem ludz-NLHMDNW\ZQRĞFL
:DVLOHZVNLV–:VSyáF]HĞQLHĞURGRZLVNRWRZy-korzystywane jest powszechnie do dokonywania operacji finansowych, przede ZV]\VWNLP EDQNRZ\FK VWDQRZLąF SU]\ W\P QLH W\ONR QRZą VIHUĊ REURWX JRVSo-darczego, alHLREV]DUZ\VWĊSRZDQLDQRZ\FK]MDZLVNSDWRORJLF]Q\FKZW\PF\EHr-SU]HVWĊSF]RĞFL : GDOV]\FK UR]ZDĪDQLDFK SU]HGVWDZLRQH ]RVWDQą Z\EUDQH W\S\ F\EHUSU]HVWĊSVWZWRZDU]\V]ąF\FKEDQNRZRĞFLHOHNWURQLF]QHMRUD]ĞURGNLich zwal-czania.
1. 3RMĊFLHEDQNRZRĞFLHOHNWronicznej
3RGSRMĊFLHPEDQNRZRĞFLHOHNWURQLF]QHMNU\MHVLĊÄIRUPDXVáXJĞZLDGF]RQ\FK SU]H] EDQNL QD U]HF] NOLHQWyZ SROHJDMąFD QD XPRĪOLZLHQLX GRVWĊSX GR UDFKXQNX EDQNRZHJR QD RGOHJáRĞü ]D SRPRFą XU]ąG]HĔ GR HOHNWURQLF]QHJR SU]HWZDU]DQLD i przechowywania danych, takich jak komputer, telefon, bankomat, terminal, od-biorniki telewizji cyfrowej” (*yUQLVLHZLF]2EF]\ĔVNL i 3VWUXĞV WyróĪ QLüPRĪQDWU]\ podstawowe rodzaje XVáXJEDQNRZRĞFLHOHNWURQLF]QHM– EDQNRZRĞü WHUPLQDORZą EDQNRZRĞü LQWHUQHWRZą L EDQNRZRĞü WHOHIRQLF]Qą .ZDĞQLHZVNL /HĪRĔ, Szwajkowski i :RĨQLF]ND 2010, s. 6). %DQNRZRĞü WHUPLQDORZD LQDF]HM ]ZDQD UyZQLHĪ VDPRREVáXJRZą (ang. selfbanking), RSLHUD VLĊ QD Z\NRU]\VWDQLX XU]ąG]HĔ]QDMGXMąF\FKVLĊQD]HZQąWU]EDQNX, jak np. bankomaty i terminale POS (ang. point of sale ]ORNDOL]RZDQH JáyZQLH Z SXQNWDFK KDQGORZ\FK 'RVWĊS GR EDQNRZRĞFLLQWHUQHWRZHM PRĪOLZ\MHVWQDWRPLDVW]DSRĞUHGQLFWZHPVWDQGDUGRZ\FK XU]ąG]HĔLRSURJUDPRZDQLDLRSLHUDVLĊQDNRPXQLNDFML]DSRĞUHGQLFWZHPportalu LQWHUQHWRZHJRZáDĞFLZHJREDQNX']LĊNLQLHMSRVLDGDF]UDFKXQNXEDQNRZHJRNo-U]\VWD]WDNLFKIXQNFMLMDNXGRVWĊSQLHQLHSU]H]EDQNLQIRUPDFMLRUDFKXQNXF]\WHĪ SU]HND]DQLHEDQNRZLSROHFHĔUR]OLF]HQLRZ\FK,ZDĔVNLVDo cech ban-NRZRĞFL LQWHUQHWRZHM QDOHĪą ] NROHL EUDN NRQLHF]QRĞFL EH]SRĞUHGQLHJR NRQWDNWX NOLHQWD ] EDQNLHP Z\VRNL SR]LRP IXQNFMRQDOQRĞFL VHUZLVyZ EDQNRZ\FK Z W\P GRVWĊSQRĞü ZV]\VWNLFK VWDQGDUGRZ\FK XVáXJ RIHURZDQ\FK Z SODFyZFH EDQNX FDáRGRERZ\GRVWĊSGRXVáXJEDQNRZ\FKPRĪOLZRĞüMHGQRF]HVQHMLDXWRPDW\F]QHM REVáXJL]QDF]QHMOLF]E\NOLHQWyZZF]DVLHU]HF]\ZLVW\PQDOHĪ\W\SR]LRPEH]SLe-F]HĔVWZD WUDQVDNFML L ĞURGNyZ NOLHQWD SU]\ ]DFKRZDQLX SU]H] QLHJR Z\PDJDQ\FK ]DVDG EH]SLHF]HĔVWZD EUDN RJUDQLF]HĔ WHU\WRULDOQ\FK Z ]DNUHVLH GRVWĊSX GR Ua- FKXQNXEDQNRZHJRRUD]QLĪV]HNRV]W\UHDOL]DFMLWUDQVDNFMLLREVáXJLNOLHQWD.Za-ĞQLHZVNL /HĪRĔ, Szwajkowski i :RĨQLF]ND 2010, s. 24–25). %DQNRZRĞü WHOHIo-QLF]QD SROHJD QDWRPLDVW QD Z\NRU]\VWDQLX WHOHIRQX GR NRPXQLNDFML NOLHQWD XVáXJ bankowych ] EDQNLHP %DQNRZRĞü WHOHIRQLF]QD VWDFMRQDUQD REHMPXMH PRĪOLZRĞü VNRU]\VWDQLD ] XVáXJ FDOO FHQWHU GZXVWURQQD NRPXQLNDFMD JáRVRZD ] RSHUDWRUHP EDQNX RUD] XVáXJ ,QWHUDFWLYH 9RLFH 5HVSRQVH DXWRPDW\F]Q\ VHUZLV WHOHIRQLF]Q\ EDQNXSR]ZDODMąF\QDGRNRQ\ZDQLHWUDQVDNFMLEDQNRZ\FK]DSRPRFąGRERUXRNUe-ĞORQHMVHNZHQFML]QDNyZQDNODZLDWXU]HWHOHIRQXNOLHQWDZUHDNFMLQDNRPXQLNDW\
JáRVRZHJHQHURZDQHSU]H]VHUZLV:UDPDFKEDQNRZRĞFLPRELOQHMNOLHQFLXVáXJ EDQNRZ\FKNRU]\VWDü PRJą]NROHL]XVáXJW\SX606%DQNLQg (wykorzystywanie NUyWNLFK LQIRUPDFML WHNVWRZ\FK GR RWU]\P\ZDQLD ZLDGRPRĞFL ] EDQNX L ]OHFDQLD RNUHĞORQ\FK RSHUDFML EDQNRZ\FK :$3 :LUHOHVV $SSOLFDWLRQ 3URWRFRO – korzy-VWDQLH]EDQNRZRĞFLLQWHUQHWRZHM]DSRPRFąZ\ĞZLHWODF]DWHOHIRQXLLQQ\FKXU]ą G]HĔSU]HQRĞQ\FKRUD]6,07RRONLW6XEVFULEHU,GHQWLW\0RGXOH$SSOLFDWLRQ7o-olkit – Z\NRQ\ZDQLHRSHUDFMLEDQNRZ\FK]DSRPRFą]DLQVWDORZDQHMQDVWDQGDUGo-ZHMNDUFLH6,0DSOLNDFMLEDQNRZHMSU]HV\áDQHMGURJąHOHNWURQLF]Qą.ZDĞQLHZVNL /HĪRĔ, Szwajkowski i :RĨQLF]Na 2010, s. 38–42). &\EHUSU]HVWĊSVWZDEDQNRZH &]ĊĞüVSRĞUyG]DFKRZDĔSU]HVWĊSF]\FKWRZDU]\V]ąF\FKEDQNRZRĞFLHOHNWUo-QLF]QHM SRZLą]DQD MHVW ] EH]SLHF]HĔVWZHP WUDQVDNFML GRNRQ\ZDQ\FK ]D SRPRFą NDUWSáDWQLF]\FK-HGQ\P]QLFKMHVWVNLPPLQJ, który polega na bezprawnym sko-SLRZDQLX ]DZDUWRĞFL SDVND PDJQHW\F]QHJR NDUW\ EDQNRZHM QS SáDWQLF]HM EąGĨ NUHG\WRZHM VáXĪąF\P Z\WZRU]HQLX GXSOLNDWX NDUW\ Z SRVWDFL W]Z ÄELDáHM NDUW\´ OXERU\JLQDOQHMNDUW\X]\VNDQHMZEDQNXZGURG]HSU]HVWĊSVWZD. Kopia karty wyko- rzysW\ZDQDMHVWDQDORJLF]QLHMDNNDUWDRU\JLQDOQDLREFLąĪDUDFKXQHNEDQNRZ\Záa-ĞFLFLHODWHMRVWDWQLHM.DUW\SRGOHJDMąNRSLRZDQLXZSXQNWDFKZNWyU\FKGRNRQDü PRĪQD WUDQVDNFML GURJą HOHNWURQLF]Qą ] Z\NRU]\VWDQLHP NDUW\ EDQNRZHM .DUW\ NRSLRZDQH Vą ]Z\NOH SU]H] VSHFMDOQH F]\WQLNL XPLHV]F]DQH Z VDPRREVáXJRZ\FK WHUPLQDODFK SáDWQLF]\FK OXE EDQNRPDWDFK ]DĞ QXPHU\ 3,1 SR]\VNLZDQH Vą SU]H] SU]HVWĊSFyZ]DSRPRFą]QDMGXMąF\FKVLĊQDW\FKXU]ąG]HQLDFKNDPHUEąGĨVSHFMDl-Q\FK QDNáDGHN QD NODZLDWXUĊ 0LNRáDMF]\N V 104 i n.). :VSRPQLHü QDOHĪ\ Z W\P PLHMVFX UyZQLHĪ R ]DJURĪHQLDFK ]ZLą]DQ\FK ] XWUDWą NDUW EH]VW\NRZ\FK NWyU\FKXĪ\FLHSROHJDQD]EOLĪHQLXNDUW\GRWHUPLQDODEH]RERZLą]NXSRWZLHUG]DQLD WUDQVDNFMLGRNRQ\ZDQHM]DSRPRFąNDUW\SRGSLVHPOXENRGHP3,1=ZLą]DQHRQH VąERZLHPQLHW\ONR]PRĪOLZ\PGRNRQ\ZDQLHPWUDQVDNFMLRZDUWRĞFLQLHSU]HNUa-F]DMąFHMNZRW\]áSU]H]RVRE\NWyUHQLHOHJDOQLHVWDá\VLĊSRVLDGDF]DPLNDUW\DOH ] Z\NRU]\VWDQLHP SU]H] SU]HVWĊSFyZ SU]HQRĞQ\FK F]\WQLNyZ SR]ZDODMąF\FK QD nielegDOQH SR]\VNLZDQLH GDQ\FK ] NDUW ]EOLĪHQLRZ\FK .ZDĞQLHZVNL /HĪRĔ Szwajkowski i :RĨQLF]NDV i n).
Phishing jest kolejnym G]LDáDQLHP SU]HVWĊSF]\P SROHJDMąF\P QD ]GDOQ\P Z\áXG]HQLXLQIRUPDFMLVáXĪąF\FKDXWRU\]DFML3U]\ELHUDüRQRPRĪHSRVWDüH-maila Z\V\áDQHJR U]HNRPR w LPLHQLX EDQNX ]DZLHUDMąFHJR SURĞEĊ R SRGDQLH ORJLQX LKDVHáGRVWĊSXSU]HNVHURZDQLDNOLHQWDXVáXJEDQNRZ\FKGRILNF\MQHMVWURQ\ZZZ LPLWXMąFHM JUDILF]QLH VWURQĊ EDQNX L NRQWURORZDQHM SU]H] SU]HVWĊSFĊ MDN UyZQLHĪ telefonu do klLHQWDEDQNX]IDáV]\ZąLQIRUPDFMąSRFKRG]ąFąU]HNRPRRGSUDFRZQi-ND EDQNX ] SURĞEą R SRGDQLH ORJLQX L KDVáD .ZDĞQLHZVNL /HĪRĔ 6]ZDMNRZVNL
i :RĨQLF]NDV1LHPRĪQD]DSRPLQDüUyZQLHĪRSRZLą]DQ\P]KDFNLn-giem, V]NRGOLZ\P RSURJUDPRZDQLX RNUHĞODQym mianem crimeware, które jest LQVWDORZDQHSRWDMHPQLHQDNRPSXWHU]HNOLHQWDXVáXJEDQNRZ\FKL]Z\NOHVWDQRZL MHGQą ] ZLHOX RGPLDQ WURMDQD 1LHNWyUH VSRĞUyG QLFK VáXĪą UHMHVWURZDQLX XGHU]HĔ NODZLV]\ W]Z NH\ORJJHU\ LQQH ] NROHL Z\NRQXMą ]U]XW HNUDQX JG\ XĪ\WNRZQLN NRU]\VWD]VHUZLVXEDQNRZHJREąGĨWHĪSR]ZDODMąKDNHURPX]\VNDü]GDOQ\GRVWĊS GRNRPSXWHUDRVRE\EĊGąFHMNOLHQWHPXVáXJEDQNRZ\FKĞZLDGF]RQ\FK]DSRPRFą HOHNWURQLF]QHJRNDQDáXGRVWĊSX:V]\VWNLHRQHVáXĪąMHGQDNZU]HF]\ZLVWRĞFLSo-zyskiwaniu SU]H] F\EHUSU]HVWĊSFyZ SRXIQ\FK LQIRUPDFML PLQ KDVHá L QXPHUyZ 3,1 Z FHOX QLHOHJDOQHJR SR]\VNLZDQLD ĞURGNyZ ILQDQVRZ\FK ]JURPDG]RQ\FK QD rachunkach bankowych (Crimeware, www.pandasecurity.com 2015).
:VSRPQLHü QDOHĪ\ UyZQLHĪ R LQQ\FK W\SDFK G]LDáDĔ SU]HVWĊSF]\FK WRZDU]y-V]ąF\FKNRU]\VWDQLX]HOHNWURQLF]QHJRNDQDáXGRVWĊSXGRXVáXJEDQNRZ\FKWDNLFK jak np. tzw. sniffing, czy spoofing. Ten pierwszy to przechwytywanie przez nie-XSUDZQLRQHRVRE\GDQ\FKSU]HV\áDQ\FKZVLHFLDFKORNDOQ\FKRUD]ZVLHFLDFK:L)L 3U]HVWĊSF\ Z\NRU]\VWXMą Z W\P SU]\SDGNX GHG\NRZDQH SURJUDP\ NRPSXWHURZH (tzw. sniffery), których zadaniem jest odbiór i analiza danych pozyskiwanych ]VLHFLĝOHG]ąFGDQHGRW\F]ąFHWUDQVDNFMLILQDQVRZ\FK GRNRQ\ZDQ\FK]DSRĞUHd-QLFWZHP ,QWHUQHWX X]\VNDü PRJą PLQ GDQH GRVWĊSRZH GR NRQW LQWHUQHWRZ\FK DQDVWĊSQLHXĪ\üLFKGRUR]SRU]ąG]DQLDĞURGNDPLILQDQVRZ\PL]JURPDG]RQ\PLQD RNUHĞORQ\PUDFKXQNXEDQNRZ\P7HQGUXJLR]QDF]D]DĞSRGV]\ZDQLHVLĊSRGLQQ\ element systemu informatycznego (np. komputer innego uĪ\WNRZQLND V\VWHPX FHOHP Z\NRU]\VWDQLD JR MDNR QDU]ĊG]LD GR przeprowadzenia DWDNX QD RNUHĞORQą VWURQĊLQWHUQHWRZą*yUQLV]HZVNL2EF]\ĔVNL i 3VWUXĞV–36).
3. ZZDOF]DQLHF\EHUSU]HVWĊSF]RĞFLEDQNRZHM
3RSRELHĪQ\PSU]HGVWDZLHQLXZ\EUDQ\FKIRUPF\EHUSU]HVWĊSF]RĞFLEDQNRZHM SRĞZLĊFLü Z\SDGD ZUHV]FLH QLHFR PLHMVFD ]DJDGQLHQLX ]ZDOF]DQLD F\EHUSU]HVWĊp-F]RĞFLEDQNRZHM]DUyZQRRFKDUDNWHU]HSUHZHQF\MQ\PMDNLUHSUHV\MQ\P=MHGQHM VWURQ\ ]DWHP LQVWUXPHQWRP VáXĪąF\P MHM ]DSRELHJDQLX ] GUXJLHM ]DĞ W\P które VWDQRZLąUHDNFMĊSDĔVWZDQD]MDZLVNDSDWRORJLF]QHWHJRURG]DMX:W\PSLHUZV]\P SU]\SDGNX RGQLHĞü VLĊ QDOHĪ\ SU]HGH ZV]\VWNLP GR UR]ZLą]DĔ RUJDQL]DF\MQR--WHFKQLF]Q\FK VWRVRZDQ\FK SU]H] EDQNL Z W\P GUXJLP RGZRáDü VLĊ Z\SDGD QDWo-miast do regulacji o charakterze prawnokarnym, na gruncie których poddano pena-OL]DFMLV]F]HJyOQLHJURĨQH]DFKRZDQLDJRG]ąFHZEDQNRZRĞüHOHNWURQLF]Qą
:DUWRZW\PPLHMVFXZREHFWHJR]ZUyFLüXZDJĊQDDNW\ZQRĞü.RPLVML1Dd-]RUX)LQDQVRZHJRGDOHM.1)ZREV]DU]HEH]SLHF]HĔVWZDsystemów teleinforma- W\F]Q\FKZ\NRU]\VW\ZDQ\FKZEDQNRZRĞFL=JRGQLH]DUWXVWDZ\]VLHUp-nia 1997 r. 3UDZREDQNRZH7HNVWMHGQROLW\']8]USR]]H]PPRĪH
ona ÄZ\GDZDü UHNRPHQGDFMH GRW\F]ąFH GREU\FK SUDNW\N RVWURĪQHJR L VWDELOQHJR zaU]ąG]DQLD EDQNDPL´ 5HNRPHQGDFMD Ä'´ .1) GRW\F]\ ]DU]ąG]DQLD REV]DUDPL WHFKQRORJLL LQIRUPDF\MQHM L EH]SLHF]HĔVWZD ĞURGRZLVND WHOHLQIRUPDW\F]QHJR ZEDQNDFK=DZDUWDZQLHMV]F]HJyáRZDUHNRPHQGDFMDQURGQRVLVLĊGRREV]DUX Ä=DU]ąG]DQLH HOHNWURQLF]Q\PL NDQDáDPL GRVWĊSX´ : P\ĞO MHM SRVWDQRZLHĔ„Bank ĞZLDGF]ąF\ XVáXJL ] Z\NRU]\VWDQLHP HOHNWURQLF]Q\FK NDQDáyZ GRVWĊSX SRZLQLHQ SRVLDGDüVNXWHF]QHUR]ZLą]DQLDWHFKQLF]QHLRUJDQL]DF\MQH]DSHZQLDMąFHZHU\ILNa-cjĊ WRĪVDPRĞFL L EH]SLHF]HĔVWZD GDQ\FK RUD] ĞURGNyZ NOLHQWyZ MDN UyZQLHĪ HGu-NRZDüNOLHQWyZZ]DNUHVLH]DVDGEH]SLHF]QHJRNRU]\VWDQLD]W\FKNDQDáyZ´. Wy- EyUVWRVRZDQHMSU]H]EDQNPHWRGRORJLLSRWZLHUG]DQLDWRĪVDPRĞFLNOLHQWyZNRU]y-VWDMąF\FK ] HOHNWURQLF]Q\FK NDQDáyZ GRVWĊSX SRSU]HG]RQ\ SRZLQLHQ ]RVWDü V\VWe-matyF]QąDQDOL]ąU\]\NDWRZDU]\V]ąFHJRXĪ\ZDQLXWHJRURG]DMXNDQDáyZ3RZLQQD RQD REHMPRZDü RERN PRĪOLZRĞFL WUDQVDNF\MQ\FK RIHURZDQ\FK SU]H] RNUHĞORQ\ NDQDá L áDWZRĞü NRU]\VWDQLD SU]H] NOLHQWD ] SRV]F]HJyOQ\FK PHWRG SRWZLHUG]DQLD WRĪVDPRĞFLUyZQLHĪUR]SR]QDQHWHFKQLNLDWDNyZ%DQN]REOLJRZDQ\MHVWXGRVWĊp-QLDü VZRLP NOLHQWRP NDQDá NRPXQLNDF\MQ\ QS WHOHIRQLF]Q\ EąGĨ HOHNWURQLF]Q\ ]DSRPRFąNWyUHJRPRJOLE\RQLLQIRUPRZDüEDQNR]LGHQW\ILNRZDQ\FK]GDU]HQLDFK ]ZLą]DQ\FK ] EH]SLHF]HĔVWZHP HOHNWURQLF]Q\FK NDQDáyZ GRVWĊSX Z W\P PLQ R DWDNDFK SU]\ELHUDMąF\FK SRVWDü SKLVKLQJX 1LH]Z\NOH LVWRWQ\P DVSHNWHP SU]e-FLZG]LDáDQLD F\EHUSU]HVWĊSF]RĞFL EDQNRZHM MHVW UyZQLHĪ HGXNDFMD NOLHQWyZ EDn-NyZNWyUDSR]ZROLáDE\QD]UR]XPLHQLHSU]H]QLFKLVWRW\]DJURĪHĔWRZDU]\V]ąF\FK NRU]\VWDQLX ] HOHNWURQLF]Q\FK NDQDáyZ GRVWĊSX2GE\ZD VLĊ RQD Z V]F]HJyOQRĞFL ]D SRĞUHGQLFWZHP NRPXQLNDWyZ XPLHV]F]DQ\FK QD VWURQDFK EDQNRZRĞFL HOHNWUo-QLF]QHM XORWHN LQIRUPDF\MQ\FK F]\ WHĪ SU]HV\áDQ\FK GR NOLHQWyZ ZLDGRPRĞFL e-mail (Komisja Nadzoru Finansowego 2013, s. 48–50). Przed atakiem phishingo-Z\P XFKURQLü PRĪH NOLHQWD XVáXJ EDQNRZ\FK ĞZLDGF]RQ\FK GURJą HOHNWURQLF]Qą SU]HVWU]HJDQLHNLONXSRGVWDZRZ\FK]DVDGZV]F]HJyOQRĞFL]DĞRVWURĪQHWUDNWRZa-QLH SU]HVáDQ\FK GURJą H-PDLORZą ZLDGRPRĞFL ĪąGDMąF\FK podania osobistych in-IRUPDFML SRZVWU]\PDQLH VLĊ RG Z\SHáQLDQLD IRUPXODU]\ SU]HVáDQ\FK GURJą e-PDLORZąĪąGDMąF\FKSRGDQLDWHJRURG]DMXGDQ\FKLZSURZDG]DQLHWDNLFKGDQ\FK Z\áąF]QLH ]D SRĞUHGQLFWZHP EH]SLHF]QHM VWURQ\ LQWHUQHWRZHM NDĪGRUD]RZH LQIRr-mowanie EDQNXRSRGHMU]DQ\FKLQF\GHQWDFKWRZDU]\V]ąF\FKNRU]\VWDQLX]EDQNo-ZRĞFLHOHNWURQLF]QHM ]DQLHFKDQLHRWZLHUDQLDVWURQLQWHUQHWRZ\FKSU]\XĪ\FLXRGVy-áDF]\ ]DZDUW\FK Z ZLDGRPRĞFLDFK H-mail, regularne sprawdzanie stanu kont ban-NRZ\FK F]\ WHĪ XĪ\ZDQLH QDMQRZV]\FK ZHUVML SU]HJOąGDUHN LQWHUQHWRZ\FK (www.kaspersky.pl).
.ROHMQ\P]DVáXJXMąF\PQDSU]\ZRáDQLHV]F]HJyáRZ\P]DOHFHQLHP]DZDUW\P Z5HNRPHQGDFMLÄ'´.1)RNWyUHMQDOHĪ\ZVSRPQLHüMHVWZVND]yZNDGRW\F]ąFD obszaru Ä=DU]ąG]DQLD LQF\GHQWDPL QDUXV]HQLD EH]SLHF]HĔVWZD ĞURGRZLVND WHOHLn-formatycznego”. Wymaga ona bowiem od banku posiadania sformalizowanych
]DVDG]DU]ąG]DQLDLQF\GHQWDPLQDUXV]HQLDEH]SLHF]HĔVWZDĞURGRZLVNDWHOHLQIRUPa-W\F]QHJR REHMPXMąF\FK LFK ÄLGHQW\ILNDFMĊ UHMHVWURZDQLH DQDOL]Ċ SULRU\WHW\]DFMĊ Z\V]XNLZDQLHSRZLą]DĔSRGHMPRZDQLHG]LDáDĔQDSUDZF]\FKRUD]XVXZDQLHSU]y-czyn”=DVDG\SRVWĊSRZDQLD]LQF\GHQWDPLQDUXV]HQLDEH]SLHF]HĔVWZDĞURGRZLVND WHOHLQIRUPDW\F]QHJRRNUHĞODüSRZLQQ\PLQPHWRG\L]DNUHV]ELHUDQLDLQIRUPDFML o incydentach, sposyE SU]HSURZDG]DQLD DQDOL] LFK ZSá\ZX QD ĞURGRZLVNR WHOHLn-formatyczne, zasady kategoryzacji i priorytetyzacji incydentów oraz wykrywania ]DOHĪQRĞFLSRPLĊG]\QLPLNWyUHSR]ZROąZNRQVHNZHQFML]LGHQW\ILNRZDüOXEXVu-QąüSU]\F]\Q\ LQF\GHQWyZ SRZLą]DQ\FK]HVREąVSRVyEJURPDG]HQLDL]DEH]SLe-F]DQLD GRZRGyZ ]ZLą]DQ\FK ] LQF\GHQWDPL NWyUH PRJá\E\ E\ü Z\NRU]\VWDQH Z SRWHQFMDOQ\FK SRVWĊSRZDQLDFK VąGRZ\FK LWS .RPLVMD 1DG]RUX )LQDQVRZHJR 2013, s. 57).
=DFKRZDQLD F\EHUSU]HVWĊSFyZ WRZDU]\V]ąFH EDQNRZRĞFL HOHNWURQLcznej pod-OHJDMą SHQDOL]DFML QD JUXQFLH SU]HSLVyZ XVWDZ\ ] GQLD F]HUZFD U .RGHNV karny (dalej: kkZ\SHáQLDMąFZJáyZQHMPLHU]H]QDPLRQDSU]HVWĊSVWZSU]HFLZNR ZROQRĞFLDUW § 2 kk), informacji (art. 267 kk, art. 268 kk i art. 268a kk), czy teĪSU]HFLZNRPLHQLXDUWNNLDUWNN3U]\ZRáDüZW\PPLHMVFX QDOHĪ\WUHĞüW\FKĪHSU]HSLVyZI tak na gruncie art. 267 kk grzywnie, karze ograni-F]HQLDZROQRĞFLDOERSR]EDZLHQLDZROQRĞFLGRODW podlega m.in. nieuprawnione X]\VNDQLH GRVWĊSX GR LQIRUPDFML QLHSU]H]QDF]RQHM GOD VSUDZF\ SROHJDMąFH Z V]F]HJyOQRĞFL QD SRGáąF]HQLX VLĊ GR VLHFL WHOHNRPXQLNDF\MQHM OXE SU]HáDPDQLX DOER RPLQLĊFLX HOHNWURQLF]QHJR PDJQHW\F]QHJR LQIRUPDW\F]QHJR OXE LQQHJR szczególnego jej zabezpieczenia. Tej samej karze podlega nieuprawnione uzyskanie GRVWĊSX GR FDáRĞFL OXE F]ĊĞFL V\VWHPX LQIRUPDW\F]QHJR D WDNĪH ]DNáDGDQLH OXE SRVáXJLZDQLHVLĊXU]ąG]HQLHPSRGVáXFKRZ\PZL]XDOQ\PDOERLQQ\PXU]ąG]HQLHP lub oprogramowaniem, w celu uzyskania informacji, do której sprawca nie jest uprawniony. :VSRPQLHü Z\SDGD WDNĪH R SU]HVWĊSVWZDFK NRPSXWHURZ\FK VNLHUo-ZDQ\FK SU]HFLZNR QLHQDUXV]DOQRĞFL L GRVWĊSQRĞFL LQIRUPDFML DUW L D NN DRGDüprzy tym WU]HEDĪH]QDF]ąFDF]ĊĞüSU]\ZRáDQ\FKSRZ\ĪHMG]LDáDĔSU]HVWĊp-czych prowadzi zwykle do tzw. fraudów bankowych (Staszczyk 2015, s. 44). Sta- QRZLąRQH]DWHP]Z\NOHUyZQLHĪSU]HVWĊSVWZRRV]XVWZDDUWNNSROHJa-MąFH PLQ QD GRSURZDG]HQLX LQQHM RVRE\ GR QLHNRU]\VWQHJR UR]SRU]ąG]HQLD Záa-VQ\POXEFXG]\P PLHQLHP ]DSRPRFąZSURZDG]HQLDMHMZEáąGDOERZ\]\VNDQLD EáĊGX Z FHOX RVLąJQLĊFLD NRU]\ĞFL PDMąWNRZHM L SRGOHJDMąFH NDU]H SR]EDZLHQLD ZROQRĞFLRGPLHVLĊF\GRODW7\SHPSU]HVWĊSVWZDSU]HFLZNRPLHQLXMHVWUyw-QLHĪ SU]HVWĊSVWZR W]Z RV]XVWZD NRPSXWHURZHJR =JRGQLH ] G\VSR]\FMą DUW § 1 kk NDU]HSR]EDZLHQLDZROQRĞFLRGPLHVLĊF\GRODW podlega ten, „kto, w celu RVLąJQLĊFLD NRU]\ĞFL PDMąWNRZHM OXE Z\U]ąG]HQLD LQQHM RVRELH V]NRG\ EH] XSo- ZDĪQLHQLDZSá\ZDQDDXWRPDW\F]QHSU]HWZDU]DQLHJURPDG]HQLHOXESU]HND]\Za-nie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis da-nych informatyczda-nych”. 1LHPRĪQDSU]\W\P]DSRPLQDüUyZQLHĪ o tymĪHQDSRd-stawie art. 190a NNNDU]HSR]EDZLHQLDZROQRĞFLGRODWSRGOHJDSRGV]\ZDQLH
VLĊSRGLQQąRVREĊDWDNĪHZ\NRU]ystywanie jej wizerunku lub innych jej danych RVRERZ\FKZFHOXZ\U]ąG]HQLDMHMV]NRG\PDMąWNRZHMOXERVRELVWHM.
3DPLĊWDüWU]HEDĪHRGSRZLHG]LDOQRĞüNDUQDWRZDU]\V]ąFD]MDZLVNRPSDWROo-JLF]Q\P Z F\EHUSU]HVWU]HQL L VWDQRZLąFH MHM LVWRWĊ ]DJURĪHQLH VDQNFMDPi karnymi ]D SRV]F]HJyOQH ]DFKRZDQLD F\EHUSU]HVWĊSFyZ VWDQRZL LQVWUXPHQW SU]HFLZG]LDáa- QLDSU]HVWĊSF]RĞFL]DUyZQRRFKDUDNWHU]HSUHZHQF\MQ\PMDNLUHSUHV\MQ\P1Le- PQLHMMHGQDNVDPRĞFLJDQLHVSUDZFyZSU]HVWĊSVWZSRSHáQLDQ\FKZF\EHUSU]HVWU]e-ni napotyka na V]HUHJSUREOHPyZ]ZLą]DQ\FKFKRFLDĪE\]SR]\VNDQLHPGRZRGyZ F]\WHĪLGHQW\ILNDFMąVDP\FKVSUDZFyZNWyU]\ÄG]LDáDMą´ZF\EHUSU]HVWU]HQLLVWąG WHĪVąWUXGQLGRZ\NU\FLD Podsumowanie .RU]\VWDQLH]UyĪQ\FK XVáXJ EDQNRZRĞFLHOHNWURQLF]QHMVWDáRVLĊZRVtatnich ODWDFK F]\PĞ QDWXUDOQ\P :HGáXJ GDQ\FK =ZLą]NX %DQNyZ 3ROVNLFK Qa koniec ZU]HĞQLD 2015 r. OLF]ED XPyZ NOLHQWyZ LQG\ZLGXDOQ\FK XPRĪOLZLDMąF\FK GRVWĊS GR XVáXJ EDQNRZRĞFL LQWHUQHWRZHM, SU]HNURF]\áD 30 mln, przy czym w samym III kwartale odnotowano przyrost rachunków tego rodzaju na poziomie 8,34%. Przyby-áRzatem w tym okresie POQXPyZEDQNRZRĞFLLQWHUQHWRZHM/LF]EDNOLHQWyZ aktywnych GRNRQXMąF\FKFRQDMPQLHMMHGQHMRSHUDFMLPLHVLĊF]QLHZ\QLRVáD mln, tj. SRQDGW\VZLĊFHMQLĪ w poprzednim kwartale tego roku. Caá NRZLW\ SU]\URVW DNW\ZQ\FK LQG\ZLGXDOQ\FK NOLHQWyZ EDQNRZRĞFL LQWHUQHWRZHM ZXMĊFLXURF]Q\PZ\QLyVánatomiast ponad 2 mln (NetB@nk 2015, s. 5). Korzysta-QLH ] XVáXJ EDQNRZ\FK, ]H VZHM QDWXU\ ]ZLą]DQH ] WRZDU]\V]ąF\P LP Rbrotem ĞURGNDPL ILQDQVRZ\PL QDUDĪRQH MHVW QD DWDNL R FKDUDNWHU]H SU]HVWĊSF]\P. Co za W\PLG]LHZRVWDWQLFKODWDFKGDMHVLĊUyZQLHĪ ]DXZDĪ\üZ]URVWOLF]E\SU]HVWĊSVWZ EDQNRZ\FKZW\PLW\FKSRSHáQLDQ\FKZF\EHUSU]HVWU]HQL=JRGQLH]GDQ\PL.o-PHQG\*áyZQHM3ROLFMLZRNUHVLHVW\F]HĔ–ZU]HVLHĔURGQRWRZDQRPLQ SU]HVWĊSVWZRFKDUDNWHU]HRV]XVWZDEDQNRZHJRZREHFSU]HVWĊSVWZWHJRUo- G]DMXZFDá\PURNX6SRĞUyGQLFKF]\QyZ]DEURQLRQ\FKRNUHĞORQRPLa-QHP SU]HVWĊSVWZ ]ZLą]DQ\FK ] EDQNRZRĞFLą LQWHUQHWRZą Z URNX – 585), ZW\PX]QDQR]DSKLVKLQJDMDNRVNLPPLQJ%RF]RĔ:REHFVNDOL RSHUDFMLGRNRQ\ZDQ\FKGURJąHOHNWURQLF]QąSU]H]NOLHQWyZXVáXJEDQNRZ\FK]Qa-F]ąF\P SUREOHPHP Z\GDMH VLĊ MHGQDN W]Z ÄFLHPQD OLF]ED´ WHJR URG]DMu prze-VWĊSVWZ WM W\FK QLH XMĊW\FK Z VWDW\VW\NDFK NU\PLQDOQ\FK QD VNXWHN QLHZ\NU\FLD = XZDJL QD SRVWĊSXMąF\ UR]ZyM WHFKQRORJLL LQIRUPDW\F]Q\FK RUD] WRZDU]\V]ąFH temu procesowi – UR]ZyMJRVSRGDUF]\LQLHRGZUDFDOQH]PLDQ\]DFKRZDĔVSRáHFz-nych nie jest ani FHORZH DQL QLH Z\GDMH VLĊ PRĪOLZH RJUDQLF]HQLH VNDOL Z\NRU]y-VWDQLD HOHNWURQLF]Q\FK NDQDáyZ GRVWĊSX GR XVáXJ EDQNRZ\FK 0DMąF MHGQDN QD XZDG]H ]DUyZQR WUXGQRĞü Z Z\NU\ZDQLX F\EHUSU]HVWĊSVWZ EDQNRZ\FK MDN
Uyw-QLHĪ Z ĞFLJDQLX LFK VSUDZFyZ D WDNĪH QLHXVWDQQe doskonalenie przez nich metod SU]HVWĊSF]HJR G]LDáDQLD ]D VNXWHF]QLHMV]H X]QDü QDOHĪ\ MHGQDNĪH QLH QDU]ĊG]LD SUDZQRNDUQHDOHWHLQVWUXPHQW\]ZDOF]DQLDSU]HVWĊSF]RĞFLNWyU\FKLVWRWąMHVWHGu- NDFMDNOLHQWyZHOHNWURQLF]Q\FKXVáXJEDQNRZ\FKRUD]VWRVRZDQLHZáDĞFLZ\FKURz- ZLą]DĔRUJDQL]DF\MQR-WHFKQLF]Q\FKSU]H]VHNWRUEDQNRZ\6áXĪąRQHERZLHPSRd-QLHVLHQLX SR]LRPX EH]SLHF]HĔVWZD XVáXJ ĞZLDGF]RQ\FK GURJą HOHNWURQLF]Qą DW\PVDP\PXWUXGQLDMąF\EHUSU]HVWĊSFRPVNXWHF]QHSRGHMPRZDQLHG]LDáDĔSU]e-VWĊSF]\FK
Literatura
1. %RF]RĔ:&RUD]ZLĊFHMSU]HVWĊSVWZZEDQNRZRĞFL2WRGDQH.RPHQG\*áyZQHM
Policji, www.bankier.pl >GRVWĊS8.01.2016].
2. Crimeware: the silent epidemic. Malware evolves to focus on obtaining financial
returns, www.pandasecurity.com >GRVWĊS8.01.2016].
3. *yUQLVLHZLF] 0 2EF]\ĔVNL 5 3VWUXĞ 0 %H]SLHF]HĔVWZR ILQDQVRZH
w banNRZRĞFL elektronicznej – SU]HVWĊSVWZD ILQDQVRZH ]ZLą]DQH ] EDQNRZRĞFLą HOHNWURQLF]Qą3RUDGQLNNOLHQWDXVáXJILQDQVRZ\FK, Komisja Nadzoru
Finansowe-go, Warszawa.
4. ,ZDĔVNL : 014), 8PRZD UDFKXQNX EDQNRZHJR REMĊWHJR EDQNRZRĞFLą
LQWHUQe-WRZą]SXQNWXZLG]HQLDQRZHMUHJXODFMLXVáXJSáDWQLF]\FK, Warszawa.
5.
.ZDĞQLHZVNL3/HĪRĔ.6]ZDMNRZVND*:RĨQLF]ND)8VáXJLEDQNo-ZRĞFL HOHNWURQLF]QHM GOD NOLHQWyZ GHWDOLF]Q\FK &KDUDNWHU\VW\ND L ]DJURĪHQLD,
8U]ąG.RPLVML1DG]RUX)LQDQVRZHJR, Warszawa.
6. Komisja Nadzoru Finansowego (2013), 5HNRPHQGDFMD ' GRW\F]ąFD ]DU]ąG]DQLD
REV]DUDPLWHFKQRORJLLLQIRUPDF\MQHMLĞURGRZLVNDWHOHLQIRUPDW\F]QHJRZEDQNDFK,
Warszawa.
7. 0LNRáDMF]\N . (2014), PU]HVWĊSVWZD ]ZLą]DQH ] Z\NRU]\VWDQLHP EDQNRZRĞFL
elektronicznej – skimming, „3U]HJOąG%H]SLHF]HĔVWZD:HZQĊWU]QHJR”, nr 10.
8. NetB@nk (2015), 5DSRUW EDQNRZRĞü LQWHUQHWRZD L SáDWQRĞFL EH]JRWyZNRZH ,,,
NZDUWDáU, zbp.pl >GRVWĊS8.01.2016].
9. Phishing, ZZZNDVSHUVN\SO>GRVWĊS@
10. 5]ąGRZ\ SURJUDP RFKURQ\ F\EHUSU]HVWU]HQL 5]HF]\SRVSROLWHM 3ROVNLHM QD ODWD
2011–2016 (2010) 0LQLVWHUVWZR 6SUDZ :HZQĊWU]Q\FK L $GPLQLVWUDFML
:DUV]a-wa.
11. Staszczyk M. (2015), Nieuprawnione transakcje bankowe jako przejaw
cyberprze-VWĊSF]RĞFL, „Finanse i Prawo Finansowe”, nr 1.
12. Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (DzU nr 88, poz. 553, ze zm.). 13. Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity DzU z 2015 r.,
14. Wasilewski J. (2013), Zarys definicyjny cyberprzestrzeni, „3U]HJOąG %H]SLHF]HĔ VWZD:HZQĊWU]QHJR” 2013, nr 9.
BANKING CYBERCRIME AND COUNTERACTING MEASURES
Summary
Cybercrime in the banking sector is one of the most dangerous form of the con-temporary crimes. It includes inter alia criminal actions such as: phishing, skimming, hacking, spoofing and sniffing. To prevent or combat cybercrimes in the banking sector banks’ organizational and technical solutions or rules of criminal law against cyber-crime perpetrators are used.
Keywords: cybercrime, electronic banking.
Translated by 0DULXV]&]\ĪDN