Art. 269c. Kontratyp działania wyłącznie w celu zabezpieczenia systemu informatycznego

Kodeks karny

Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

Komentarz redakcyjny

Komentarz redakcyjny

Art. 269[c] k.k. ustanawia szczególny kontratyp, który wyłącza karalność za przestępstwo z art. 267 § 2 lub art. 269a k.k. w przypadku działań podjętych wyłącznie w celu poprawy bezpieczeństwa systemów informatycznych. Warunkiem jego zastosowania jest spełnienie łącznie trzech przesłanek:

1. Działanie wyłącznie w celu zabezpieczenia systemu lub opracowania metody zabezpieczenia

– Działanie sprawcy musi mieć jedyny i rzeczywisty cel techniczny: zabezpieczenie systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej, albo opracowanie metody takiego zabezpieczenia.

Nie wystarczy, że poprawa bezpieczeństwa była efektem ubocznym – cel zabezpieczający musi być dominujący i wyłączny.

– Przykłady: testy penetracyjne, analiza kodu, badanie odpowiedzi systemu na nietypowe zapytania, wykrywanie luk bezpieczeństwa.

2. Niezwłoczne powiadomienie dysponenta systemu o ujawnionych zagrożeniach

– Sprawca musi bez zbędnej zwłoki poinformować dysponenta o podatności lub zagrożeniu.

– Powiadomienie musi być realne i skuteczne – np. e-mail na aktywną skrzynkę, telefon, wiadomość za pośrednictwem uznanego kanału kontaktowego (np. CERT Polska).

– Nie spełni wymogu zgłoszenie ogólne (np. publiczny wpis w Internecie) ani komunikat, którego treść jest niezrozumiała lub nieczytelna.

– Informacja musi być na tyle szczegółowa, by umożliwić ocenę i reakcję – nie wystarczy ogólne stwierdzenie o zagrożeniu.

3. Brak naruszenia interesu publicznego lub prywatnego i brak wyrządzenia szkody

Interes publiczny to ogólnospołeczne dobra prawnie chronione, takie jak ciągłość działania instytucji publicznych, stabilność infrastruktury krytycznej, bezpieczeństwo danych publicznych.

Interes prywatny odnosi się do praw konkretnego podmiotu – własności, tajemnicy przedsiębiorstwa, integralności danych, reputacji.

– Naruszenie któregokolwiek z tych interesów (np. ujawnienie podatności bez zgody właściciela, destabilizacja działania systemu) wyłącza kontratyp.

Szkoda obejmuje zarówno straty materialne (np. usunięcie danych), jak i niematerialne (utrata zaufania, narażenie na atak).

4. Zakres działań objętych kontratypem

Działania mieszczące się w granicach art. 269[c] k.k. to przykładowo:

– badania systemów w celu wykrycia luk (testy penetracyjne, analiza konfiguracji, fuzzing),

– projektowanie i rekomendowanie

Dostęp do pełnej treści jest płatny. Przejdź do premium

Reklama
Standardy Baner
Standardy Baner
Serwis wykorzystuje pliki cookies. Korzystając z serwisu akceptujesz politykę prywatności i cookies.