Haktywizm a prawo. Co wiemy o działaniach takich grup jak Anonymous?

Na łamach #CyberMagazynu pisaliśmy o tym, że w połowie lutego br. rosyjskie media poinformowały, iż komisja ds. polityki informacyjnej Dumy ma rozważać kwestię braku „odpowiedzialności” karnej aktorów działających na rzecz Rosji, w tym właśnie haktywistów.

„Mówimy ogólnie o wypracowaniu zwolnienia z odpowiedzialności tych osób, które działają w interesie Federacji Rosyjskiej w dziedzinie informacji komputerowych zarówno na terytorium naszego kraju, jak i za granicą" - powiedział szef komisji Aleksandr Chinsztejn, rosyjskiej państwowej agencji informacyjnej TASS.

Oznaczałoby to bezkarność rosyjskich haktywistów, a jak wiemy – Rosja to jedno z państw, które wiedzie prym, jeśli chodzi o częstotliwość cyberataków kierowanych wobec innych państw.

Haktywiści ponad prawem?

Jeśli chodzi o haktywistów, sprawa ich odpowiedzialności karnej nie do końca jest powszechnie jasna. Ich działania – np. szczególnie aktywnych w początkowej fazie wojny Anonymous – przez ogół społeczeństwa były oceniane pozytywnie. Powód był prosty: wspieranie państwa Zełenskiego i walka w cyberprzestrzeni z reżimem Putina. Dodatkowo takie inicjatywy jak choćby ukraińska Armia IT pozwalały hakować systemy wroga za pomocą prostych narzędzi, dostępnych praktycznie od ręki.

Czy haktywiści działający na rzecz państwa (w porozumieniu czy bez) są „ponad prawem”, jeśli działają po „słusznej stronie”?

Marcin Maruszczak z YLS Law Office zaznacza w rozmowie z CyberDefence24.pl, że sytuacja działań państwa i organizacji haktywistycznych w sieci jest bardzo problematyczna.

„Chodzi o korelacje postanowień prawa krajowego i międzynarodowego, a faktyczne uruchamianie przepisów i machiny ścigania. Działania hakerów nie ograniczają się do jednego państwa, wykorzystują infrastrukturę w miejscach w których się fizycznie nie znajdują, a z kolei skutek ich działań występuje w jeszcze innym miejscu. To powoduje, że skuteczne ściganie hakerów musi być oparte co najmniej o przepisy w każdym kraju działalności takiej osoby czy grupy osób oraz o umowy międzynarodowe. Gdy przepisy pozwalają nam na działanie, to również musi być faktyczna wola służb różnych krajów do współpracy” – objaśnia prawnik.

Jak dodaje, trzeba pamiętać, że aktywność hakerów, którą popieramy „sercem” jest wynikiem działań Rosji. „Założenia Rosji od dawna polegają na wykorzystywaniu pewnych rozwiązań, które jednoznacznie wskazują z dużym prawdopodobieństwem na jej działania, ale nie dostarczają nam dowodów, w tym >>przyznania się do winy<<” – podkreśla nasz rozmówca.

Z kolei Ukraina po napaści na swój kraj nie usytuowała prawnie instancji Armii IT, a powołała ją w sposób nieformalny i dość niejasny.

„Mimo że cyberataki na Rosję byłyby usprawiedliwione moralnie, to jednak Ukraina nie chce oficjalnie dewastować systemu. Takie cyberataki na cele wewnątrz terytorium Rosji nie są też oficjalnymi atakami Ukrainy, co też pozwala Rosji na unikanie konieczności retorsji, którymi groziła. W związku z powyższym cyberataki związane z wojną budują sytuacja odmienną niż w przypadku ataków terrorystycznych, gdzie dokonujący się tym chwali i przyznaje. Działania hakerów bliskich Zachodowi stanowią pewną symetryczną odpowiedź do działań prorosyjskich, więc ich odpowiedzialność również, wobec faktycznej bliskości systemów prawnych, może być uznana za symetryczną” – zaznacza Marcin Maruszczak.

Jak objaśnia nam prawnik z YLS Law Office na przykładzie Rosji: aby haker związany atakami na terenie Rosji działający np. w Polsce mógł być co najmniej pociągnięty do odpowiedzialności, konieczne byłoby spełnienie co najmniej kilku warunków. Władza musiałaby ustawić swój aparat na poszukiwanie i łapanie takich hakerów (w tym w zakresie przestępstw wnioskowych - najpierw podmiot rosyjski musiałby złożyć taki wniosek; musiałaby dość dokładnie zebrać dowody na takie działania, a więc współpracować z Rosją).

Na granicy prawa i w granicach prawa

Nie wolno jednak zapominać, że „bohaterowie” wojny w Ukrainie, tacy jak wspomniani już Anonymous, wiele razy postępowali w sposób co najmniej wątpliwy etycznie, a ich działalność kończyła się ostatecznie nałożeniem grzywny lub karą pozbawienia wolności, jak w przypadku hakera, który przeprowadził atak DDoS na szpital dziecięcy w Bostonie (kara 10 lat pozbawienia wolności).

Michał Szałas, prawnik i ekspert w zakresie przestępczości gospodarczej, pytany przez nas o kwestię działania „ponad prawem” przez haktywistów zaznacza, że w polskim prawie nie ma jakichkolwiek przepisów odnoszących się konkretnie do aktywności haktywistów.

„Jedyne wyłączenie karalności w przypadku niektórych przestępstw komputerowych dotyczy pentesterów – i to po spełnieniu dalszych warunków. Mimo zróżnicowanych intencji haktywistów, nie sposób obronić tezę, że działają oni jako testerzy wyłącznie w celu zabezpieczenia atakowanych systemów informatycznych. Oznacza to, że ewentualnej odpowiedzi musimy szukać na gruncie przepisów części ogólnej prawa karnego, czyli zasad odnoszących się do wszystkich rodzajów przestępstw. Można tu wskazać na stan wyższej konieczności oraz znikomą szkodliwość społeczną czynu” – komentuje prawnik dla CyberDefence24.pl.

Ekspert przypomina, że stanem wyższej konieczności określa się sytuacje, gdy sprawca działa w celu uchylenia bezpośredniego niebezpieczeństwa grożącego dobru chronionemu prawem, jeżeli niebezpieczeństwa tego nie można uniknąć w żaden inny sposób.

„W mojej ocenie wyłączenie odpowiedzialności na tej zasadzie może znaleźć zastosowanie jedynie w ekstremalnie rzadkich przypadkach, kiedy zachowany jest bezpośredni związek między działaniem hakera a uchyleniem konkretnego zagrożenia (np. haker atakuje system informatyczny sterujący wojskowymi dronami w celu unieszkodliwienia trwającego właśnie ataku z powietrza). Jeżeli powyższe kryteria, a zwłaszcza bezpośredni związek zagrożenia i działania sprawcy nie będą spełnione, sam usprawiedliwiony cel nie pozwala na uznanie, że czyn został popełniony w stanie wyższej konieczności” – uważa Michał Szałas.

Natomiast w odniesieniu do społecznej szkodliwości czynu dodaje, że kodeks karny ogólnie wskazuje, iż czyn zabroniony, którego społeczna szkodliwość jest znikoma, nie stanowi przestępstwa.

„Przy ocenie takiego stopnia sąd – a wcześniej prokurator – może wziąć pod uwagę między innymi, ale nie tylko - rodzaj i charakter naruszonego dobra, rozmiary wyrządzonej lub grożącej szkody, sposób i okoliczności popełnienia czynu, motywację sprawcy. Biorąc pod uwagę w szczególności motywację sprawcy oraz okoliczności czynu, można przyjąć, że w niektórych sytuacjach możliwe będzie uznanie czynu za szkodliwy jedynie w stopniu znikomym” – zwraca uwagę nasz rozmówca.

Jego zdaniem, należy zwrócić szczególną uwagę na ewentualne wyrządzenie szkody drugiej stronie. „Przykładowo można wskazać, że szkodliwość społeczna podmiany treści na stronie ministerstwa obrony innego państwa może zostać w konkretnym przypadku oceniona jako znikoma, choć oczywiście nie przez to zaatakowane państwo. Z drugiej strony, doprowadzenie do paraliżu systemu informatycznego szpitala – choćby byli w nim leczeni żołnierze kraju uznanego za wrogi – w żadnym wypadku nie” – tłumaczy Michał Szałas.

Adwokat podsumowuje, że brak jest jednak podstaw do wyciągnięcia wniosku w sprawie „ogólnej” zasady bezkarności haktywistów. „Ocena taka będzie dokonywana przez organ stosujący prawo w konkretnym przypadku. Należy też w tym miejscu wyraźnie zaznaczyć, że Polska nie jest przecież stroną konfliktu zbrojnego. Pamiętajmy też, że polski wymiar sprawiedliwości może zupełnie inaczej ocenić działanie konkretnego sprawcy niż np. strona rosyjska czy białoruska. I odwrotnie” – kończy rozważania.

Marcin Maruszczak podaje inny przykład: możemy sobie wyobrazić hakera, który dla państwa działa korzystnie, bo np. wyprowadza środki z rosyjskiego banku. Jego działanie osłabia Rosję, ale jego motywacja jest czysto zarobkowa – sąd, a tak naprawdę społeczeństwo, musi rozważyć czy takie zachowanie jednak nie powinno zostać potępione.

„Poza tym trzeba wziąć pod uwagę czy działanie jest społecznie szkodliwe i ocenimy je w ten sposób. Następnie dochodzimy do ewentualnego wymierzania kary i ponownie bierzemy pod uwagę okoliczności. Bardzo długa droga i jak widać każdy przypadek badać będziemy oddzielnie” – zaznacza.

Co do wspomnianych już Anonymous adwokat stwierdza, że nie mamy wiedzy, czy „poryw serca Anonymous stał za ostatnimi działaniami czy też konkretny było to działanie w porozumieniu z rządami któregoś państwa, bo to dość pilnie strzeżone tajemnice”.

„Problem, jaki jednak wystąpił to fakt, że pochwalamy działania, które stanowią naruszenie prawa i są nieakceptowalne społecznie. W tym zakresie Kodeks karny posiada odpowiedni rozdział poświęcony przestępstwom w sieci (art.267 Kk do 269bKK). Są to dość poważne przestępstwa, bo destabilizują system w którym funkcjonujemy” – kończy Marcin Maruszczak.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].