Wybrane zagadnienia prawnokarne związane z bitcoinem | Co do zasady

Przejdź do treści
Zamów newsletter
Formularz zapisu na newsletter Co do zasady

Wybrane zagadnienia prawnokarne związane z bitcoinem

Czy kradzież bitcoinów to przestępstwo w rozumieniu polskiego prawa karnego? I czy osoby prowadzące ataki hakerskie na systemy informatyczne służące do „przechowywania” bitcoinów i obsługi transakcji popełniają przestępstwo hackingu z art. 267 § 1 k.k.?

Zagrożenia dla użytkownika

Dotychczasowe doświadczenia z bitcoinem pokazały, że jednym z głównych zagrożeń związanych z tą wirtualną walutą są kwestie związane z zapewnieniem odpowiedniego poziomu bezpieczeństwa użytkownikom, zarówno w kwestii „przechowywania” bitcoinów, jak i dokonywania transakcji. O ile rzekomo nie można „podrobić” bitcoina (chociaż znane są metody hakerskie, którymi przynajmniej teoretycznie można spowodować tzw. double spending, czyli wydanie określonej ilości bitcoinów więcej niż raz), to realnym problemem pozostają ataki hakerskie na giełdy bitcoinów, portfele online, portfele mobilne czy aplikacje desktopowe.

Z punktu widzenia użytkownika najważniejsze jest zatem bezpieczeństwo jego portfela. Najogólniej rzecz biorąc, przez pojęcie portfela należy rozumieć konto, na którym w sposób zabezpieczony przed dostępem osób nieuprawnionych przechowywane są prywatne klucze dostępu, które oprócz adresów służą do dokonywania transakcji, weryfikowanych następnie za pomocą kluczy publicznych. Istota waluty bitcoin polega bowiem na tym, że same bitcoiny w ogóle nie istnieją. Każdy adres stanowi bilans wpływających i wypływających bitcoinów, a system opiera się na zapisach transakcji pomiędzy różnymi adresami, przechowywanymi w publicznej „księdze głównej” („ledger”) nazywanej blockchain.

„Kradzież” bitcoinów polega więc w istocie na nieuprawnionym skopiowaniu prywatnego klucza do portfela użytkownika oraz pozyskaniu adresu, a następnie użyciu ich do transferu bitcoinów pod inny adres. Warto przy tym zauważyć, że transakcje bitcoinowe mają charakter nieodwołalny i nieodwracalny. Teoretycznie rzecz biorąc, możliwe jest namierzenie adresu, na który został dokonany transfer bitcoinów, za pomocą analizy informacji o transakcjach gromadzonych w blockchain, ale problemem pozostaje ustalenie tożsamości „złodzieja”.

Nasuwa się pytanie, na ile polskie prawo karne pełni funkcje sprawiedliwościową, ochronną i kompensacyjną w sytuacji „kradzieży” bitcoinów, intuicyjnie (etycznie i ekonomicznie) odczuwanej jako nieróżniąca się wiele od „zwykłej” kradzieży. Poniższe rozważania ograniczone są do wybranych przepisów Kodeksu karnego.

Przestępstwo kradzieży

Według art. 278 § 1 k.k., kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Zgodnie z definicją z art. 115 § 9 k.k. rzeczą ruchomą lub przedmiotem jest także polski albo obcy pieniądz lub inny środek płatniczy oraz dokument uprawniający do otrzymania sumy pieniężnej albo zawierający obowiązek wypłaty kapitału, odsetek, udziału w zyskach albo stwierdzenie uczestnictwa w spółce. Podstawową kwestią wymagającą wyjaśnienia jest zatem, czy prywatny klucz dostępu do portfela z walutą bitcoin mieści się w pojęciu „rzeczy ruchomej” w rozumieniu art. 278 § 1 w związku z art. 115 § 9 k.k.

W powszechnej opinii funkcjonującemu w k.k. pojęciu „rzeczy ruchomej” należy przypisać znaczenie, jakie termin ten posiada na gruncie prawa cywilnego. Byłaby to więc jedynie ruchoma rzecz materialna (art. 45 k.c.), co wyklucza zakwalifikowanie pod tym pojęciem klucza prywatnego do dokonywania transakcji walutą bitcoin. Bitcoin nie spełnia również definicji „pieniądza polskiego lub obcego” z art. 115 § 9 k.k., a wydaje się, że nie jest również „innym środkiem płatniczym” w rozumieniu tego przepisu. Za taki w orzecznictwie uznaje się np. kartę płatniczą ze względu na tożsamość pełnionych przez nią funkcji z pieniądzem tradycyjnym[1] (przede wszystkim funkcji płatniczej), jednak po pierwsze funkcja płatnicza bitcoina jest znacznie ograniczona w stosunku do pieniądza tradycyjnego, a po drugie karta płatnicza jest przedmiotem materialnym, czego nie można powiedzieć ani o nieistniejącym w istocie rzeczy bitcoinie, ani o kluczu prywatnym, będącym jedynie ciągiem znaków.

Podsumowując, według wszelkiego prawdopodobieństwa w postępowaniu przed sądem „kradzież” bitcoinów, rozumiana jako nieuprawnione pozyskanie i wykorzystanie kluczy prywatnych w celu transferu bitcoinów pod inny adres, nie zostałaby uznana za czyn zabroniony wypełniający znamiona kradzieży z art. 278 § 1 k.k.

Przestępstwo hackingu

Można wyobrazić sobie „kradzież” bitcoinów dokonaną poprzez podejrzenie i wykorzystanie cudzego klucza prywatnego, kradzież telefonu komórkowego i wykorzystanie zainstalowanego tam portfela mobilnego czy wreszcie kradzież portfela papierowego. Najpoważniejszymi i najpowszechniejszymi zagrożeniami dla bezpieczeństwa użytkowników bitcoina są jednak wspomniane na wstępie ataki hakerskie na systemy informatyczne służące do „przechowywania” bitcoinów i obsługi transakcji. Można zatem zastanawiać się, czy takie działania nie mogłyby zostać ocenione jako przestępstwo hackingu z art. 267 § 1 k.k.

Zgodnie z tym przepisem, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Ten typ przestępstwa, który można określić jako nielegalne uzyskanie informacji, tradycyjnie kojarzony jest z naruszeniem tajemnicy korespondencji, a także złamaniem konstytucyjnej zasady prawa do prywatności, obejmującej również prawo do komunikowania się.

Realizacja znamion czynu zabronionego w art. 267 § 1 k.k. polega na spełnieniu dwóch przesłanek: 1) uzyskania przez sprawcę informacji dla niego nieprzeznaczonej oraz 2) złamania zabezpieczeń tej informacji. O ile np. atak hakerski na chmurę obliczeniową, w której przechowywane są dane portfeli bitcoinowych użytkowników, niewątpliwe spełnia przesłankę nr 2, a także stanowi uzyskanie przez sprawcę dostępu do nieprzeznaczonych dla niego danych w postaci kluczy prywatnych oraz odpowiadających im adresów, o tyle nie jest pewne, czy te dane stanowią „informacje” w rozumieniu art. 267 § 1 k.k. W naszej ocenie pojęcie „informacji” powinno być w kontekście tego przepisu rozumiane szeroko, nie tylko jako „wiadomość o czymś” (informacja w kontekście komunikacyjnym). Wydaje się zatem, że „kradzież” bitcoinów w omawianej postaci mieści się w dyspozycji art. 267 § 1 k.k., przy czym pamiętać należy, że penalizacji podlegać będzie nie wykorzystanie uzyskanego klucza prywatnego w celu transferu bitcoinów, ale samo jego uzyskanie w drodze wdarcia się do miejsca jego przechowywania.

Podsumowanie

Powyższa analiza, ograniczona do dwóch czynów zabronionych określonych przez k.k., wskazuje na ograniczoną przydatność aplikacji polskiego prawa karnego do sytuacji zagrożeń bezpieczeństwa użytkowników bitcoina. Ataki hakerskie na miejsca „przechowywania” bitcoinów oraz ich „kradzież” nie mogą zostać uznane za przestępstwo kradzieży w rozumieniu art. art. 278 § 1 k.k. Mogą za to być karalne ze względu na zrealizowanie znamion przestępstwa hackingu z art. 267 § 1 k.k., ale wyłącznie z powodu złamania lub omijania zabezpieczeń tych miejsc w celu uzyskania kluczy prywatnych, a nie samych transakcji dokonanych z ich użyciem. Należy zauważyć, że praktyczną różnicą pomiędzy tymi dwoma czynami zabronionymi jest grożąca za ich dokonanie kara – w przypadku kradzieży pozbawienie wolności od 3 miesięcy do 5 lat, w przypadku hackingu jedynie ograniczenie wolności albo jej pozbawienie do lat 2.

Warto zwrócić uwagę na aksjologiczną nierównowagę w ochronie użytkownika pieniądza tradycyjnego, np. w przypadku kradzieży portfela zawierającego gotówkę, a ochronie użytkownika bitcoina, pełniącego często podobną funkcję ekonomiczną co pieniądz i również będącego nośnikiem wartości. Sens ekonomiczny „kradzieży” bitcoinów jest bowiem tożsamy z kradzieżą znaków pieniężnych lub karty płatniczej, a mimo to ta pierwsza nie podlega sama w sobie penalizacji. Wydaje się, że istnieje potrzeba działania ze strony ustawodawcy na rzecz wyeliminowania tego stanu rzeczy. Pożądane przy tym byłyby działania, w których przepisom karnym zapewniono by skuteczność w różnych sytuacjach, przy jednoczesnym zachowaniu odpowiedniej ścisłości w określeniu przesłanek i treści odpowiedzialności karnej. Dobrym przykładem może być tutaj art. 267 § 1 k.k., który jak się okazuje jest w stanie pełnić swoją funkcję również w nietypowych stanach faktycznych.

Jacek Czarnecki, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy

Artykuł jest częścią raportu poświęconego wirtualnym walutom. Cały raport jest do pobrania tutaj


[1] Zob. wyrok Sądu Apelacyjnego we Wrocławiu z 20 listopada 2002 r., sygn. II AKa 467/02, OSA 2003 nr 4, poz. 36.