Ściganie przestępstw popełnionych w cyberprzestrzeni
Cyberprzestrzeń może bowiem jawić się jako obszar niepodlegający właściwości organów ścigania jakiegokolwiek państwa, dając sprawcom przestępstw poczucie bezkarności. Tymczasem cyberprzestrzeń i przestępstwa popełniane przy jej wykorzystaniu lub w jej obszarze bynajmniej nie są wyjęte spod jurysdykcji państw.
Pojęcie cyberprzestrzeni, jako „miejsca między komputerami”, pojawiło się w literaturze fantastycznej na początku lat 80. ubiegłego wieku. Cyberprzestrzeń od początku była także przedstawiana jako swoiste pole bitwy o informację i wpływy. W ten sposób m.in. obrazował cyberprzestrzeń William Gibson w kultowej cyberpunkowej powieści „Neuromancer” (1984). Jego wizja, choć w szczegółach pozostaje w sferze fikcji, w swoich fundamentach niewiele się różni od dzisiejszej rzeczywistości.
Powiązanie biznesowej i instytucjonalnej aktywności z cyberprzestrzenią, lub wręcz umiejscowienie w niej tych aktywności, w naturalny sposób uzależnia jednostki, przedsiębiorców i struktury państwowe od prawidłowego i niezakłóconego funkcjonowania sieci i systemów komputerowych. Jednocześnie dane umieszczone w cyberprzestrzeni są narażone na ciągłe ataki. Cyberprzestrzeń może bowiem jawić się jako obszar niepodlegający właściwości organów ścigania jakiegokolwiek państwa, dając sprawcom przestępstw poczucie bezkarności. Przeświadczenie o niewielkiej skuteczności wymiaru sprawiedliwości w ściganiu i karaniu cyberprzestępców skutkuje także małym odsetkiem zgłoszeń o możliwości popełnienia przestępstwa właściwym organom.
Tymczasem cyberprzestrzeń i przestępstwa popełniane przy jej wykorzystaniu lub w jej obszarze bynajmniej nie są wyjęte spod jurysdykcji państw, czyli ich kompetencji do stosowania obowiązującego prawa celem jego egzekwowania. Cyberprzestępstwa są bowiem popełniane przez osoby realnie istniejące, a ich skutki realizują się w otaczającej nas rzeczywistości i mają materialny wymiar. Zgodnie zaś z ogólnie przyjętymi zasadami prawa karnego odpowiedzialności karnej podlega ten, kto popełnił czyn zabroniony pod groźbą kary na podstawie przepisów prawa obowiązujących w miejscu popełnienia konkretnego czynu (art. 1 polskiego Kodeksu karnego).
Utrudnieniem w ściganiu i karaniu cyberprzestępstw są jednak kłopoty z określeniem miejsca popełnienia cyberprzestępstwa. Od tego miejsca zależy zaś, jakie prawo będzie miało zastosowanie i gdzie to przestępstwo powinno być ścigane, czyli organy jakiego państwa organy będą władne, by wymierzyć sprawiedliwość. Tymczasem charakterystyczną cechą przestępstw popełnianych w sieci i przy użyciu systemów informatycznych jest ich transgraniczność i tzw. wielomiejscowość. Niejednokrotnie sprawca, znajdując się na terytorium państwa A, korzysta z sieci informatycznej zlokalizowanej w państwie B, by umieścić dane w formie strony internetowej na serwerze komputerowym istniejącym w państwie C, przy czym strona z zamieszczonymi na niej danymi jest dostępna właściwie na całym świecie. Wedle tego schematu popełniane są przestępstwa związane z rozpowszechnianiem nielegalnych treści, stalkingiem czy naruszaniem praw autorskich.
Podobny schemat dotyczy przestępstw, w których sieć komputerowa lub system komputerowy są środowiskiem lub celem zamachu, czyli tzw. przestępstw stricte komputerowych. Są to przestępstwa hackingu (art. 267 k.k.), naruszenia integralności informacji (art. 268 k.k.) lub naruszenia integralności systemu komputerowego na skutek wykorzystania złośliwego oprogramowania, tzw. ataki typu denial of service (DoS – art. 269 k.k.). W tych sytuacjach osoba znajdująca się fizycznie w państwie A, lecz działająca za pomocą systemu informatycznego zlokalizowanego w państwie B, wprowadza do systemu informatycznego znajdującego się na terytorium państwa C dane zakłócające funkcjonowanie tego systemu lub zmierzające do wykradzenia z niego danych. Terytorialny zasięg cyberprzestępstwa może też skutecznie poszerzyć wprowadzanie robaków lub wirusów mających na celu przekształcenie komputera w tzw. zombie i włączenie go tym samym do botnetu, czyli sieci zainfekowanych komputerów mających na celu zainfekowanie dalszych, docelowych systemów.
Podstawową zasadą rządzącą możliwością stosowania prawa karnego i ścigania przestępstw na konkretnym terytorium państwowym jest tzw. zasada terytorialności. Jej wyrazem na gruncie prawa polskiego jest art. 5 k.k., który stanowi, że polskie przepisy karne stosuje się do sprawcy, który popełnił przestępstwo na terytorium Polski lub na pokładzie polskiego statku morskiego lub powietrznego. Za miejsce popełnienia czynu zabronionego polski Kodeks karny uważa miejsce, w którym sprawca działał lub zaniechał działania, do którego był obowiązany, a także miejsce, w którym wystąpił lub według zamiaru sprawcy miał wystąpić skutek stanowiący element konstytutywny przestępstwa (art. 6 k.k.). Tak sformułowane zasady kompetencji polskich organów ścigania i wymiaru sprawiedliwości upoważniają do ścigania i ukarania czynów zabronionych popełnionych w sieci lub przy jej wykorzystaniu wówczas, gdy sprawca fizycznie działał na terytorium Polski, nawet gdy skutek nastąpił poza jej granicami, a także wówczas, gdy sam skutek nastąpił na terytorium Polski, choć sprawca działał w innym państwie.
Przepisy te nie obejmują jednak sytuacji, gdy sprawca, działając poza granicami Polski, dopuszcza się tzw. przestępstwa formalnego, czyli takiego, które zostaje popełnione w związku z oznaczonym zachowaniem, ale niekoniecznie wywołuje określony naganny skutek. Dotyczy to m.in. przestępstw rozpowszechniania nielegalnych treści za pomocą internetu. Tak ujęte zasady nie uprawniają też do ścigania cyberprzestępstw wówczas, gdy tylko jeden z elementów schematu działania sprawcy znajduje się na terytorium Polski, tj. w sytuacji, gdy sprawca, działając w innym państwie, korzysta z sieci informatycznej zlokalizowanej na terytorium Polski, lecz skutek przedsięwzięcia w jego zamierzeniu ma nastąpić w państwie trzecim.
Remedium na tego rodzaju sytuacje stanowi w niektórych systemach prawnych, np. we Francji lub Belgii, tzw. teoria związku, która upoważnia organy ścigania do działania nawet wówczas, gdy tylko jeden z elementów faktycznych całego łańcucha przestępczego ma miejsce na terytorium tego państwa. Rozwiązanie to jednak nie znajduje zastosowania w polskim systemie.
Aby wypełnić tę lukę, stosuje się więc inne zasady ustalania właściwości polskich organów wymiaru sprawiedliwości. Należą do nich m.in. zasada personalna, która uprawnia do ścigania sprawcy przestępstwa popełnionego w całości poza granicami Polski przez obywatela polskiego, lub tzw. zasada ochronna względna uprawniająca do ścigania cudzoziemca, który za granicą popełnił przestępstwo kierowane przeciwko istotnym interesom Rzeczypospolitej Polskiej lub jej obywatelom, w tym osobom prawnym.
Warunkiem ścigania w tych przypadkach jest jednak to, aby popełnione przestępstwa stanowiły także przestępstwa zgodnie z prawem państwa, gdzie zostały popełnione. Nadto w oznaczonych w ustawie przypadkach ściganie przez polskie organy wymiaru sprawiedliwości na podstawie polskiej ustawy karnej jest możliwe nawet wówczas, gdy warunek podwójnej karalności nie jest spełniony. Dotyczy to m.in. przestępstw przeciwko bezpieczeństwu Rzeczypospolitej Polskiej, jej funkcjonariuszom lub istotnym interesom gospodarczym. Nietrudno sobie przy tym wyobrazić, że w każdym z tych scenariuszy cyberprzestrzeń może być wykorzystana jako modus operandi przestępstwa, a systemy informatyczne, np. z zakresu infrastruktury krytycznej państwa (energetyka, transport), mogą być celem działań przestępnych.
Jako że cyberprzestępczość ma silny wymiar transgraniczny, kwestia kompetencji państw do ścigania i karania przestępstw popełnianych w sieci pozostaje także w orbicie zainteresowania instytucji ponadkrajowych. Zasady jurysdykcji krajowej zawiera zarówno Konwencja Rady Europy o cyberprzestępczości, jak i – na poziomie Unii Europejskiej – dyrektywa 2013/40 Parlamentu Europejskiego i Rady dotycząca ataków na systemy informatyczne. Zasadniczo reguły obowiązujące na gruncie polskiej ustawy są zbieżne z tymi wskazanymi w obu powołanych aktach. Dotyczy to terytorialności oraz zasady personalnej. Jednocześnie dyrektywa daje państwom możliwość uznania ich jurysdykcji także wówczas, gdy sprawca cyberprzestępstwa ma jedynie miejsce stałego pobytu na terytorium danego państwa lub gdy przestępstwo przyniosło korzyść osobie prawnej, mającej siedzibę na terytorium konkretnego państwa.
Wielomiejscowość cyberprzestępstw wymaga przyjęcia szeregu różnorodnych kryteriów, według których organy wymiaru sprawiedliwości mogą ustalać swoją kompetencję do ścigania cyberprzestepstwa. Należą do nich działanie sprawcy, skutek działania, obywatelstwo, interes państwa lub inny związek z konkretnym terytorium państwowym. Z jednej strony zatem wielomiejscowość cyberprzestępstw może ułatwiać ich ściganie i karanie, bowiem organy kilku państw mogą równolegle prowadzić postępowania, uznając swoją właściwość. Okoliczność ta jednak może rodzić istotne problemy natury prawnej, a także technicznej. Prowadzenie równoległych postępowań przygotowawczych lub sądowych w odniesieniu do tego samego czynu i osoby będzie bowiem skutkować naruszeniem podstawowej zasady ne bis in idem, zakazującej podwójnego lub wielokrotnego ścigania i skazania tej samej osoby za ten sam czyn. Ponadto prowadzenie postępowań w zakresie tego samego czynu przeciwko tej samej osobie przez różne ośrodki jest sprzeczne z zasadą ekonomiki postępowania, prowadząc do marnotrawienia środków finansowych, technicznych, osobowych oraz czasu.
W celu przeciwdziałania negatywnym skutkom podwójnych postępowań decyzja ramowa Rady 2009/948 w sprawie zapobiegania konfliktom jurysdykcyjnym w sprawach karnych i w sprawie rozstrzygania takich konfliktów zobowiązuje organy państw UE do współpracy. Ma ona polegać przede wszystkim na wymianie informacji w razie podejrzenia, że w dwóch lub kilku państwach członkowskich prowadzone są postępowania w odniesieniu do tego samego przestępstwa, a także na wypracowywaniu porozumień dotyczących przekazania ścigania i całego postępowania karnego organom jednego z państw. W motywach decyzji wskazane są przy tym kryteria, które mogą decydować o tym, gdzie ostatecznie postępowanie powinno się toczyć. Należą do nich m.in. miejsce, w którym większość przestępnego działania została zrealizowana lub w którym przestępne działanie wywołało większą szkodę, miejsce ujęcia sprawcy lub jego stałego pobytu, narodowość sprawcy lub lokalizacja jego istotnych interesów, istotne interesy pokrzywdzonych przestępstwem lub świadków, a także dopuszczalność dowodów.
Kryteria te pozwalają skoncentrować ściganie cyberprzestępstwa tam, gdzie może być to najbardziej optymalne. W tym kontekście jako istotne jawią się te, które biorą pod uwagę interesy pokrzywdzonego oraz kwestie dowodowe. Pierwsze dowody na popełnienie cyberprzestępstwa będą bowiem w głównej mierze pochodzić od pokrzywdzonego, tj. ich materialnym substratem będą kopie dysków lub zabezpieczone dane z systemu informatycznego, z którego pokrzywdzony korzystał. Biorąc jednak pod uwagę wielomiejscowość cyberprzestępstw, postępowanie dowodowe niejednokrotnie będzie także wymagało współpracy z organami wymiaru sprawiedliwości innych państw w ramach tzw. pomocy prawnej.
Cyberprzestrzeń, choć z pozoru nieuchwytna, nie jest więc obszarem wyjętym spod prawa. Wachlarz zasad powalających na stosowanie krajowych przepisów prawa nie pozostawia wątpliwości, że cyberprzestępstwa mogą być skutecznie ścigane i karane, nawet jeśli praktyka tych działań wciąż pozostawia sporo do życzenia.
Aleksandra Stępniewska, praktyka karna kancelarii Wardyński i Wspólnicy
Artykuł jest częścią raportu poświęconego cyberbezpieczeństwu