Ta strona używa cookies do celów analitycznych.

25/08/2020

Przestępstwa związane z korzystaniem z bankowości elektronicznej i ich karalność na gruncie kodeksu karnego.

W nawiązaniu do artykułu o zagrożeniach związanych z korzystaniem z bankowości elektronicznej, niezbędne jest wykazanie praktycznych aspektów tego typu zagrożeń. Przestępczość związana z środkami pieniężnymi powierzonymi bankom staje się niestety coraz bardziej powszechnym zjawiskiem. Jak zgłosić przestępstwo związane z bankowością elektroniczną? Jakie przestępstwa uregulowane w kodeksie karnym obejmują oszustwa związane z korzystaniem z bankowości elektronicznej?

 

Ofiarami przestępstw związanych z bankowością elektroniczną mogą być zarówno osoby fizyczne, jak i osoby prawne. Przestępstwa takie są ścigane z urzędu, co oznacza, iż osoba pokrzywdzona przestępstwem zawiadamia właściwy organ ścigania (np. Policję, Prokuraturę) o możliwości popełnienia przestępstwa i organ ten już sam prowadzi dalsze postępowanie, zbiera dowody itd. Zawiadomienie o możliwości popełnienia przestępstwa może zostać złożone osobiście, telefonicznie, pisemnie, a nawet anonimowo.

 

I. PHISHING.

W rozumieniu prawa karnego, phishing traktowany jest jako kradzież tożsamości, czyli bezprawne wykorzystywanie danych osobowych innej osoby, które sprawca wykorzystuje w celu osiągnięcia korzyści finansowej za pośrednictwem dostępu do cudzego rachunku bankowego. Pojawiają się również stanowiska, iż phishing określić można jako kradzież z włamaniem, jak również takie, iż phishing stanowi formę cyberstalkingu, przez który sprawca działa w celu utrudnienia funkcjonowania innej osoby, a wyrządzona przy tej okazji szkoda majątkowa stanowi tylko element uboczny.

Niemniej jednak, ilość odmian phishingu prowadzi do tego, iż prawo karne nie posiada jednolitej kwalifikacji prawnej tego czynu. Niektórzy autorzy przewidują możliwość zakwalifikowania tego czynu jako przestępstwa z art. 267 § 1 kodeksu karnego (k.k.), który stanowi, iż „kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. Podkreślenia wymaga jednak, iż przy takiej klasyfikacji czynu pojawiają się problemy z przypisaniem znamion przestępstwa, gdyż w pewnym sensie użytkownik bankowości elektronicznej „sam” dopuszcza oszusta do swoich danych, więc nie dochodzi do sytuacji, gdy uzyskanie informacji występuje „bez uprawnienia”, lub do łamania jakichkolwiek zabezpieczeń.

Wielu teoretyków prawa przewiduje również możliwość dokonywania klasyfikacji phishingu do przestępstw przeciwko ochronie informacji, umieszczonych w art. 268, 268a i 269a k.k. Przepisy te jednak nie odpowiadają w zupełności warunkom phishingu, ponieważ oszustwo to jest dokonane w momencie uzyskania informacji o kliencie. Ich poprawność odnosi się tylko do phishingu w zakresie bezprawności działań po ataku na dane cudzej osoby.

Z uwagi na fakt, iż phishing wykorzystuje podstęp do kradzieży cudzej tożsamości, można go zakwalifikować również jako przestępstwo oszustwa. Dodatkowo, ze względu na elektroniczny i „komputerowy” charakter tego przestępstwa, można je potraktować jako oszustwo komputerowe z art. 287 k.k., stanowiącego iż „kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. Jest to przestępstwo przeciwko mieniu, a jego karalność polega na ochronie prawa własności człowieka oraz jego innych praw rzeczowych. Oszust swoim zachowaniem wskazuje na to, iż dąży do zarówno korzyści majątkowej, jak również osiągnięcia jej kosztem innej osoby .

Warto mieć jednak na uwadze, że wszystkie przedstawione możliwości klasyfikowania phishingu jako przestępstwa nie oddają w pełni jego kryminalistycznych właściwości. Niekiedy zdarza się, że pomimo wyłudzenia danych, oszustowi nie udaje się osiągnąć korzyści majątkowej. Wyłącza to wówczas możliwość klasyfikowania tego czynu na podstawie powyżej wskazanych przepisów.

 

II. SKIMMING.

W obowiązującym w Polsce porządku prawnym, jako podstawę do karania sprawców czynu skimmingu przyjmuje się przepisy kodeksu karnego w części szczególnej, określające przestępstwa dotyczące kart płatniczych oraz odnoszące się do bezprawnych działań na cudze mienie i wiarygodność dokumentów oraz stabilnego i wiarygodnego całokształtu rynku finansowego. Wśród tych przestępstw wyróżnić można art. 310 § 1 k.k., który stanowi, iż „kto podrabia albo przerabia polski albo obcy pieniądz, polski albo obcy znak pieniężny, który został ustalony jako prawny środek płatniczy, jednak nie został jeszcze wprowadzony do obiegu, inny środek płatniczy albo dokument uprawniający do otrzymania sumy pieniężnej albo zawierający obowiązek wypłaty kapitału, odsetek, udziału w zyskach albo stwierdzenie uczestnictwa w spółce lub z pieniędzy, innego środka płatniczego albo z takiego dokumentu usuwa oznakę umorzenia, podlega karze pozbawienia wolności na czas nie krótszy od lat 5 albo karze 25 lat pozbawienia wolności”. Zaliczenie skimmingu do tego typu przestępstwa wynika z tego, iż przyjęto, że „karta płatnicza” oznacza „inny środek płatniczy”. Taki środek można podrobić, przerobić, lub usunąć z niego oznaczenia wskazujące na umorzenie. Co więcej, w dalszych paragrafach wskazanego przepisu, przewidziana jest karalność za wprowadzenie podrobionych kart płatniczych do obiegu, oraz za samo ich przygotowanie .

Dwie pierwsze formy popełnienia przestępstwa skimmingu wynikają z działania sprawcy, podczas gdy trzeci przypadek tego oszustwa jest niezwykle rzadki, ale może obejmować zaniechanie m.in. w sytuacji, gdy osoba zatrudniona w banku nie wykona czynności związanych z umorzeniem karty, tj. nie przetnie rogu karty, i jest ona nadal przeznaczona do użytku. Następnie, w wyniku nieświadomego zachowania pracownika, karta taka może zostać bezprawnie wykorzystana.

Z uwagi na to, że przepisy Rozdziału XXXVII kodeksu karnego mają na celu ochronę bezpiecznego obrotu pieniędzmi, papierami wartościowymi oraz pozostałymi środkami pieniężnymi, a także gwarantują prawidłowe funkcjonowanie systemu gospodarczego, pełnią one nadzór nie tylko nad prawidłowym stanem pieniężnym w obiegu, ale również nad prawidłowością funkcjonowania całego systemu finansowego. Dlatego też, w orzecznictwie sądów powszechnych powstało kilka stanowisk dotyczących stosowania przepisu art. 310 k.k. Pierwszy z nich stanowi, iż nieważne jest, czy sprawca skimmingu dokonał uszczuplenia mienia cudzej osoby, jak również nie zwraca się uwagi na podobieństwo pomiędzy oryginalną a podrobioną kartą płatniczą. Do wypełnienia znamion przestępstwa z art. 310 k.k. wymagane jest wykonanie podrobionej karty w taki sposób, aby móc ją skutecznie wykorzystać do bezprawnego wykorzystania, powodując tym samym zmniejszenie sumy pieniężnej zgromadzonej na rachunku bankowym właściciela konta (Postanowienie SA w Katowicach z 13 lutego 2008 r., II AKp 24/08). Kolejny z kierunków orzecznictwa wskazuje, iż samo podrobienie karty nie wywołuje już popełnienia przestępstwa, gdyż „biała karta” utworzona jako sfałszowana kopia oryginalnej karty musi posiadać cechy wyglądu dające pozorny wygląd właściwej karty płatniczej. Sposób podrobienia karty musi być tak rzeczywisty, aby wprowadzić w błąd przeciętnego człowieka (Wyrok SA w Krakowie z 8 marca 2005 r., II AKa 35/05).

Najbardziej przydatne dla danej tematyki orzeczenia zostały wydane przez Sąd Apelacyjny we Wrocławiu. W pierwszym z wyroków, Sąd wskazał,że wygląd podrobionej karty, nawet gdy jest ona tzw. „białą kartą” jest nieistotny, gdyż jest ona zdatna do użycia za pomocą terminalu POS, jak również w bankomacie (uzasadnienie do wyroku SA we Wrocławiu z 29 listopada 2010 r., II AKa 325/10). W innym wyroku Sąd Apelacyjny we Wrocławiu orzekł, że w przypadku pieniądza w formie elektronicznej, czyli przesyłanego za pomocą karty płatniczej, podstawowe znaczenie dla możliwości dokonania płatności ma wygląd karty. W przypadku karty płatniczej najważniejszym elementem graficznym jest informacja zapisana na pasku magnetycznym, gdyż dzięki niej możemy pobierać pieniądze z bankomatu, jak również dokonywać różnych transakcji (wyrok SA we Wrocławiu z 11 lipca 2008 r., II AKa 143/08).

We  dalszym orzecznictwie podkreśla się, iż skimming jest przestępstwem złożonym, co oznacza, że różne osoby popełniają inne znamiona związane z tym czynem. Wobec każdej z tych osób stosuje się często odmienne przepisy zawarte w kodeksie karnym, przykładowo za użycie sfałszowanej karty w celach zakupowych lub wyrażenie zgody osoby na sfałszowanie karty może być kwalifikowane na podstawie art. 310 k.k. (wyrok SA w Warszawie z 11 grudnia 2012 r., II AKa 293/12).

W doktrynie wskazuje się również na inne dwa przypadki penalizacji fałszerstwa związanego z kartami płatniczymi. Samo przygotowanie i korzystanie z komputera i innych urządzeń, które mają na celu podrabianie kart płatniczych traktuje się jako fałszerstwo środków płatniczych i podstawą ich penalizacji może być wspomniany wyżej art. 310 k.k . Przy analizie karalności przestępstwa skimmingu pojawiają się również wątpliwości, czy jako ich podstawę można powoływać art. 270 § 1 k.k., który stanowi, iż „kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5”. Jednakże, w literaturze przedmiotu wskazuje się,
iż pomiędzy art. 270 i 310 k.k. występuje zbieg pozorny przestępstw, stąd nie jest możliwe skumulowanie przestępstw. Ponadto, przepis art. 310 k.k. uważany jest za lex specialis w stosunku do art. 270 k.k. Warto jednak wskazać, iż w przypadku dokonania fałszerstwa karty telefonicznej lub bankomatowej, wypełnione są wyłącznie znamiona przestępstwa z art.270 § 1 k.k.

Odnosząc się do innych, występujących w polskim orzecznictwie przypadków karalności skimmingu, warto wskazać również na orzecznictwo Sądu Najwyższego. Zgodnie z jego stanowiskiem, usunięcie zabezpieczeń elektronicznych w bankomacie, a następnie wypłata pieniędzy za pomocą sfałszowanego dokumentu wypełnia znamiona przestępstwa kradzieży z włamaniem, czyli art. 279 §1 k.k. w zbiegu
z art. 310 §2 k.k.. Mając to na uwadze, wypłata gotówki przy pomocy sfałszowanej karty płatniczej winno być karane przy zastosowaniu wskazanej podstawy prawnej (wyrok SN z 11 września 2002 r., V KKN 9/01).

Innymi przypadkami wskazywanymi w piśmiennictwie jest kwalifikowanie skimmingu jako przestępstwa oszustwa z art. 286 §1 k.k. (np. w sytuacji, gdy oszust posługuje się sfałszowaną kartą płatniczą w sklepie przy wykorzystaniu terminala POS; oszustwo takie występuje również, gdy oszust wypełnia czyn cardingu, polegającym na posługiwaniu się cudzym numerem karty płatniczej w celu osiągnięcia na jej koszt towaru lub usługi – tym sposobem oszust wprowadza w błąd inną osobę, co przemawia za stosowaniem art. 286 § 1 k.k.). W doktrynie prezentowany jest również pogląd, zgodnie z którym skimming można traktować jako oszustwo komputerowe, przejawiające się w wykorzystaniu podrobionej karty płatniczej w transakcjach internetowych. Ponadto, wskazuje się również na powiązanie skimmingu z art. 267 § 3 k.k., dotyczącego tworzenia i korzystania z systemu lub urządzeń mających na celu uzyskanie informacji przez osobę, która nie jest do tego uprawniona. Istnieje również możliwość karalności skimmingu ze względu na występujący w nim rodzaj hackingu, unormowany w art. 267 § 1 kodeksu karnego, w sytuacji gdy oszust połączy się w sposób bezprawny z systemem komunikacyjnym, pozwalającym na dostęp do rachunku bankowego innej osoby .

 

III. CARDING.

Kwalifikacja prawna tego czynu, podobnie jak w przypadku phishingu i skimmingu, zawiera się w art. 286 lub art. 287 k.k. Pierwszy z przepisów będzie miał zastosowanie w przypadku, gdy dojdzie do wyłudzenia towaru lub usługi zamówionej dzięki zdobyciu danych karty płatniczej. Drugi z artykułów natomiast będzie przydatny w sytuacji, gdy sprawca swoim zachowaniem wywrze wpływ na automatyczne przetworzenie, gromadzenie lub przekazywanie danych informatycznych, lub gdy zmieni, usunie lub wprowadzi nowy zapis w danych informatycznych.

 

IV. SNIFFING.

Korzystanie z programów ingerujących w sposób bezpośredni w prywatność użytkowników, wypełnia ustawowe znamiona przestępstwa z art. 267 § 3 k.k. Zgodnie z tym przepisem, grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 podlega osoba, która bez uprawnienia uzyskała dostęp do informacji do niej nieprzeznaczonej, zakładając lub posługując się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. Stanowisko to zostało potwierdzone w treści wyroku Sądu Rejonowego w Puławach z dnia 25 października 2018 r., sygn. akt
II K 608/17, według którego przestępstwo z art. 267 § 3 k.k. może być również traktowane jako przestępstwo komputerowe, a urządzeniem wymienionym w treści przepisu będzie odpowiedni program hackerski.