Polskie prawo jest „jedną wielką luką”

Postęp technologiczny wpływa na wiele aspektów naszego życia. Bezpieczeństwo to jeden z nich. We współczesnym, zdigitalizowanym świecie wystawiane jest na wiele zagrożeń. Każdy może mieć do czynienia z chociażby cyberprzestępczością, która rozwija się razem z cyfryzacją i innowacjami. Kto by na początku wieku pomyślałby, że oszuści będą nas np. okradać dzięki wykorzystaniu technologii sztucznej inteligencji. Teraz to nasza rzeczywistość. 

O problemie z punktu widzenia polskiego systemu prawnego rozmawiamy z Radosławem Nożykowskim, Counsel w Baker McKenzie Krzyżowski i Wspólnicy sp.k.

Szymon Palczewski, CyberDefence24: Wiele mówi się o nowych technikach atakujących, wskazując chociażby na technologię sztucznej inteligencji. Wykorzystywanie AI przez cyberprzestępców to obecnie realny problem?

Radosław Nożykowski, Counsel, Baker McKenzie: Przestępcy zawsze korzystali z tego, co jest dostępne i niestety efektywne. Co istotne, powstała specyficzna kategoria przestępców, która sama nie dokonuje ataków, a jedynie udostępnia narzędzia, obecnie wykorzystując ogólnodostępne usługi z zakresu sztucznej inteligencji. Są też oczywiście warianty pośrednie, czyli na przykład tzw. HaaS (Hacking as a service) i inne odmiany tego modelu, włącznie z „wynajmowaniem” hackera. Pozwala to na połączenie kompetencji i narzędzi przestępcy z informacjami (często pozyskanymi przez osoby blisko związane z ofiarą – w przypadku przedsiębiorstw, często pracowników, byłych lub nawet obecnych), które niekoniecznie są łatwe do pozyskania dla przestępcy działającego samodzielnie.

Sz.P.: Czy tego typu czyny zabronione z wykorzystaniem AI wpisują się w katalog cyberprzestępczości z punktu widzenia polskiego prawa? A może należy je rozpatrywać inaczej?

R.N.: Częściowo tak.  Z perspektywy Kodeksu karnego dla przełamania lub ominięcia zabezpieczeń w przypadku systemów informatycznych (Art. 267 KK) nie ma znaczenia, w jaki sposób je dokonano. Przestępcy są jednak kreatywni i zaczęli wykorzystywać technologię sztucznej inteligencji do popełniania przestępstw w nieco inny sposób. 

Sz.P.: Co ma Pan na myśli?

R.N.: Obecnie coraz bardziej popularne jest wykorzystywanie generatorów głosu opartych o AI jako sposobu na oszukanie ofiary, co do tożsamości osoby, która się z nią kontaktuje. 

Sz.P.: Może nam Pan wyjaśnić mechanizm takiego oszustwa?

R.N.: Do tego celu pobiera się materiały publicznie dostępne (zwykle z mediów społecznościowych) i przy nawet niewielkiej próbce można wygenerować odpowiedni komunikat. Jak na razie najbardziej znane przypadki to nowe odmiany przestępstw „na wnuczka”, czyli próba oszukania zwykle starszej osoby sztucznym komunikatem o jakimś drastycznym zdarzeniu z udziałem członka rodziny. 

Co mówi Kodeks karny?

Sz.P.: A co na to polskie prawo?

R.N.: Oczywiście takie przestępstwo nadal jest karane na zasadach ogólnych (jako oszustwo – na podstawie Art. 286 KK lub ewentualnie Art. 190a KK jako kradzież tożsamości), niemniej jednak formalnie niekoniecznie to jest cyberprzestępczość. Oczywistym dalszym krokiem jest wykorzystanie tzw. deepfake (w zakresie generacji obrazu i głosu równocześnie – co istotne: w czasie rzeczywistym) do celów przestępczych. A to już jest gigantyczne wyzwanie na każdym szczeblu.

Sz.P.: W związku z rozwojem technologii i nowymi możliwościami sprawców potrzebna jest Pana zdaniem nowelizacja Kodeksu karnego? Czy należy rozszerzyć definicję cyberprzestępczości w Kodeksie karnym – jaka jest Pana opinia?

R.N.: Moim zdaniem jest to kwestia do poważnego rozważenia czy wprowadzenie jakichś kwalifikowanych form przestępstw (jako kary za użycie AI) nie jest konieczne. Czy musi to trafić to katalogu cyberprzestępczości to jest kwestia wtórna, niewątpliwie jednak wymagałoby analizy, czy powinniśmy pozostać w granicach dotychczasowych reguł prawnokarnych, czy też próbować generalnie penalizować użycie AI do celów przestępczych. 

Pewną wskazówką jest tu odrębna regulacja dla użycia broni czy też tzw. niebezpiecznego narzędzia, ale powstaje pytanie czy jest w stanie wystarczająco (na potrzeby prawa karnego) zdefiniować AI… Niemniej jednak to temat, z jakim mierzymy się przy okazji Aktu o Sztucznej Inteligencji Artificial Intelligence Act) – tak czy inaczej. W mojej ocenie zaostrzenie przepisów prawnokarnych jest tu nieuniknione – jedną z przesłanek jest też wykorzystanie AI do celów prowadzenia dezinformacji.

Z góry przegrany wyścig?

Sz.P.: Mówi się, że prawo zawsze jest na straconej pozycji w wyścigu za postępem technologicznym. Jak Pan podchodzi do tej tezy?

R.N.: To jest częsty problem, ale zawsze trwa wyścig tarczy i miecza. Dobrze napisany przepis i jego interpretacja może dać szerokie możliwości działania. Oczywiście jest to trudniejsze na tle prawa karnego.  

Sz.P.: Dlaczego?

R.N.: Reguły prawa karnego wymuszają precyzję opisu czynów, za które przewidywana jest kara, co czasami będzie zmuszać do wprowadzania nowych typów czynów karalnych lub też podnosząc zagrożenie za już zdefiniowane. Postęp technologiczny zawsze jest wyzwaniem dla prawników, zwłaszcza sędziów, jacy koniec końców będą rozstrzygać w sporach, czy też o odpowiedzialności: także mając niedoskonałe przepisy.

Kluczowa regulacja AI

Sz.P.: A co z Aktem o sztucznej inteligencji? Wpisuje się w to zjawisko?

R.N.: Zdecydowanie. Niezależnie od innych powodów powstania tej regulacji, bez przede wszystkim zdefiniowania, czym AI jest na gruncie prawnym, nie ma mowy o jakiś konkretniejszym penalizowaniu jego przestępczego użycia. A to jest tylko wycinek zagadnień, jakie są problematyczne w odniesieniu do AI. 

Sz.P.: Który punkt AI Act przykuwa Pana uwagę?

R.N.: Jedynym z najciekawszych obowiązków jest kwestia oznaczania materiałów generowanych przez AI jako właśnie tworzonych przy użyciu tej technologii. Niewątpliwie miałoby to (jeśli będzie to wykonalne) niebagatelne znaczenie dla utrudnienia wykorzystania AI do celów przestępczych. Z oczywistych względów nie będzie to dotyczyło „nielegalnych” narzędzi – tworzonych i oferowanych przez przestępców – niemniej jednak ograniczy użycie ogólnie dostępnych rozwiązań dla „przeciętnego” przestępcy.

Sz.P.: Jak ocenia Pan tę unijną regulację? To słuszny krok? Na ile będzie efektywna i stanowić odpowiedź na wyzwania związane z tą technologią?

R.N.: To jest dopiero początek (formalnie jeszcze nie wszedł w życie a i tak poczekamy chwilę na formalne zastosowanie – wedle projektu 24 miesiące) i trudno ocenić jego skuteczność. Jest to jednak niewątpliwie ruch we właściwym kierunku, choć zdaniem wielu – już niewystarczający, zwłaszcza w kontekście AI umożliwiającej kreację tzw. deepfakes. To jest dość niepokojące, bo akurat zagrożenia z deepfakes (i generalnie generacja głosu itd.) mają olbrzymie znaczenie zarówno dla indywidualnego obywatela, jak i całych systemów politycznych (kwestia wykorzystania AI w kreowaniu dezinformacji politycznej). 

Tutaj jednak kwestia jest głębsza – Akt o Sztucznej Inteligencji nie będzie siłą rzeczy obowiązywał tzw.state actors(podmiotów „pochodzenia” państwowego), które mogą wykorzystywać takie systemy do celów ataków na inne kraje. Z drugiej strony (i tu jest krok we właściwą stronę), systemy AI o celach wojskowych czy bezpieczeństwa narodowego nie są tym aktem objęte. Realia są bowiem takie, że potrzebujemy AI, aby zwalczać AI…

Polskie prawo. „Jedna wielka luka”

Sz.P.: Na ile polskie prawo jest gotowe na wyzwania związane z technologią AI? Jakie luki w polskim porządku prawnym widzi Pan obecnie? Co wymaga poprawy w kontekście ery AI?

R.N.: Na ten moment polskie prawo jest zasadniczo jedną wielką luką, jeśli chodzi o AI. Jest masa sfer, które wymagają uregulowania i Akt o sztucznej inteligencji nie załatwia tu całości problemu. 

Sz.P.: Może Pan podać jakiś przykład?

R.N.: Jednym z czołowych zagadnień jest choćby kwestia, czy efekt pracy AI stanowi dzieło w rozumieniu prawa autorskiego. Dalej – czy uczenie się przez AI nie stanowi nowego, do tej pory nieznanego pola eksploatacji, co powodowałoby, że „wpuszczenie” AI na zbiór danych czy utwór, wymagałoby odrębnej zgody właścicieli tychże.

Tych kwestii Akt w prawie sztucznej inteligencji wprost nie reguluje i dyskusje na ten temat są dość zażarte: z oczywistych względów twórcy AI nie chcą tutaj szczególnych ograniczeń, zaś właściciele praw autorskich są przeciwnego zdania.

Sz.P.: Dlaczego tak trudno jest uregulować obszar AI?

R.N.: Myślę, że główną przyczyną jest zacieranie się granicy pomiędzy działaniem człowieka a narzędziami oraz absolutna masowość (i łatwość) w wykorzystaniu informacji, które są potencjalnie dostępne dla AI i jego szkolenia. W pewnym sensie obecne problemy z regulowaniem tej technologi są pochodną istnienia samego Internetu wraz z jego rozwojem poprzez media społecznościowe: jako wielkiego źródła zasadniczo wolno dostępnej informacji. Ktoś może powiedzieć (i takie opinie padają), że przecież AI robi dokładnie to samo, co każdy użytkownik Internetu: czyta go i na tej podstawie się uczy, a potem coś sam „tworzy”. Problem w tym, że robi to na skalę, jaka jest dla człowieka niedostępna. 

Sz.P.: A czy to nie jest tak, że trochę demonizujemy technologię sztucznej inteligencji?

R.N.: To nie pierwszy przypadek, kiedy w ręce ludzkości „wpada” narzędzie o gigantycznej wartości, stanowiącej jednocześnie olbrzymie zagrożenie. W pewnym sensie, nawiązując do rozmów podczas Defence 24 Days, AI jest trochę jak energia nuklearna (z zachowaniem pewnych proporcji oczywiście): można budować elektrownię jak i bomby. W kwestii regulowania AI, w określonym zakresie nie mamy wyboru – skala potencjalnych skutków jej użycia jest zbyt duża, aby zostawić tę kwestię swobodnie. 

Sz.P.: Dziękuję za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].