Ransomware Bazy danych Instrukcja Pomoc O nas Media
Skontaktuj się z nami i uzyskaj pomoc Uzyskaj pomoc
odszyfrowani.pl
Media
Zapłata okupu w przypadku cyberataku a konsekwencje prawne

Zapłata okupu w przypadku cyberataku a konsekwencje prawne

Czy zapłata okupu jest legalna? Kiedy może wiązać się z odpowiedzialnością przed organami państwowymi?

Najczęstszymi atakami hakerskimi, w przypadku których pojawia się propozycja ze strony atakujących dotycząca możliwości zapłaty okupu, są ataki przy użyciu ransomware. Osoba, która przejmuje kontrolę nad zainfekowanym komputerem wchodzi w posiadanie wszystkich plików, które następnie szyfruje w taki sposób, by te stały się niemożliwe do odczytania przez ich prawowitego właściciela. Wówczas wysyła ona ofertę odblokowania plików po wpłacie określonej sumy pieniężnej (najczęściej w formie kryptowaluty, niemalże niemożliwej do dalszego śledzenia w obiegu), zwanej dalej okupem. Poniższy tekst skupia się na odpowiedzialności karnej, odpowiedzialności za naruszenie dyscypliny sektora finansów publicznych oraz innych ryzykach związanych z opłatą wymuszonego okupu.

Już na samym początku należy zauważyć, iż polski ustawodawca nie zdecydował się na wprowadzenie bezpośredniego przepisu, wprost zakazującego zapłaty okupu (w przeciwieństwie chociażby do USA, gdzie w myśl hasła ,,z terrorystami się nie negocjuje” istnieje przepis umożliwiający nakładanie grzywien pieniężnych w określonych przypadkach, gdy podmioty zgodziły się zapłacić haracz). Niemniej należy zauważyć, iż decyzja o opłaceniu żądanej sumy pieniężnej może wiązać się z wieloma skutkami na innych płaszczyznach, w tym także tych objętych sankcjami prawnymi. Ponadto dalece naiwnym jest wiara w to, że zapłata pieniędzy osobie (grupie hakerskiej), od której zależy dobro, a być może nawet dalsze istnienie naszej firmy zagwarantuje nam odzyskanie utraconych plików. Idąc o krok dalej, decyzja o zapłacie okupu nie daje nam gwarancji, że ważne z perspektywy przedsiębiorstwa pliki, informacje i tajemnice handlowe nie zostaną następnie odsprzedane w tzw. darknecie, osłabiając naszą pozycję rynkową.

Ryzyko karne związane z decyzją o zapłacie okupu

Jak wspomniano wyżej, powzięcie decyzji o zapłacie okupu wiązać się może z szeregiem skutków na płaszczyznach prawnych. Do jednego z nich należy odpowiedzialność karna wynikająca z art. 296 § 1 Kodeksu Karnego:

Art. 296. [Wyrządzenie szkody w obrocie gospodarczym]
§ 1. Kto, będąc obowiązany na podstawie przepisu ustawy, decyzji właściwego organu lub umowy do
zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby fizycznej, prawnej albo jednostki organizacyjnej niemającej osobowości prawnej, przez nadużycie udzielonych mu uprawnień lub niedopełnienie ciążącego na nim obowiązku, wyrządza jej znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Oraz:

§ 4. Jeżeli sprawca przestępstwa określonego w § 1 lub § 3 działa nieumyślnie, podlega karze pozbawienia wolności do lat 3.

Podmiotem, do którego kierowany jest ten przepis jest każdy, kto na podstawie ustawy, decyzji właściwego organu lub umowy jest obowiązany do zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby fizycznej, prawnej albo jednostki organizacyjnej niemającej osobowości prawnej (Pojęcie jednostki organizacyjnej niemającej osobowości prawnej użyte w art. 296 § 1 k.k. rozciąga się na jednostki organizacyjne mające zdolność prawną, o których jest mowa w art. 33 § 1 k.c., to jest ułomne osoby prawne. Poza tym może objąć również i inne struktury, które pomimo braku zdolności prawnej są na tyle organizacyjnie i majątkowo wyalienowane od osób je tworzących, że zachodzą warunki do przyjęcia, że stanowią jednostki organizacyjne osób je tworzących. To właśnie w tej drugiej grupie mieści się spółka cywilna)

A zatem będzie to przykładowo: pełnomocnik, członkowie zarządu spółek osobowych (lub) kapitałowych, zarząd fundacji, czy też jak wynika z orzecznictwa Sądu Najwyższego – prokurenci

Przez pojęcie wyrządzenia znacznej szkody majątkowej należy rozumieć wszelkie działania a także zaniechania prowadzące skutecznie do wskazanej szkody, natomiast znaczna szkoda – zgodnie z art. 115 § 5 Kodeksu Karnego – jest to mienie, którego wartość w czasie popełnienia czynu zabronionego przekracza 200 000 złotych.

Wskazać tu należy fakt, iż zgodnie z opublikowanym raportem firmy Sophos “State of Ransomware in Retail 2024” średnia wysokość okupu utrzymywała się na poziomie 950 tys. Dolarów. W przypadku tak dużych sum pieniężnych należy brać pod uwagę odpowiedzialność karną wynikającą z typu kwalifikowanego przestępstwa (tj. 296 § 3 Kodeksu karnego) przewidującego karę do 10 lat pozbawienia wolności.

Zostanę zaatakowany przez hakera i grozi mi za to więzienie?

Nie, decyzja o zapłacie okupu będąca następstwem ataku hakerskiego nie jest wystarczającym powodem do pociągnięcia do odpowiedzialności karnej. Polski ustawodawca jak wspomniano wyżej nie zdecydował się na kryminalizację zachowania jakim jest opłacenie okupu. Mając jednak na uwadze, że choć bycie pokrzywdzonym przez atak hakerski jest zupełnie niezależne od woli zaatakowanego, tak przypadku powzięcia decyzji o zapłacie żądanego okupu dochodzi do świadomej decyzji osób zarządzających mieniem firmy, spółki etc. Decyzja ta może spełniać znamiona przestępstwa stypizowanego w art. 296 §1 KK, o ile następstwem jej jest wyrządzona znaczna szkoda majątkowa, dokonana przez nadużycie udzielonych uprawnień lub niedopełnienie ciążącego obowiązku, a sprawca działał umyślnie (tj. Chciał to zrobić lub nie przejmował się konsekwencjami).

„Określenie „nadużycie uprawnień” jest szersze niż przekroczenie uprawnień i obejmuje zarówno działania wykraczające poza zakres udzielonych uprawnień, jak i działania formalnie mieszczące się w tym zakresie, ale wyraźnie sprzeczne z interesem mocodawcy lub obowiązkami „dobrego gospodarza” (tj. dbania o interesy mocodawcy przy prowadzeniu na jego rzecz działalności gospodarczej, aby przyniosła ona zysk, a nie powodowała strat). „Niedopełnieniem obowiązków” jest zaniechanie podejmowania działań, które wynikają z udzielonego umocowania lub z zasad dobrego gospodarowania. Ocena tego, czy prowadzący cudze sprawy majątkowe nadużył udzielonych mu uprawnień lub nie dopełnił ciążących na nim obowiązków, powinna uwzględniać ich treść, która sprecyzowana jest w przepisie ustawy, decyzji właściwego organu lub umowie (pełnomocnictwie).”

Ponadto, art. 296 §4 przewiduje penalizację tego samego zachowania, nawet gdy zostanie ono popełnione nieumyślne, tj. w sytuacji, gdy sprawca przestępstwa popełnić go nie chciał, ale i tak zostało ono popełnione na skutek niezachowania ostrożności wymaganej w danych okolicznościach, mimo że możliwość popełnienia tego czynu sprawca przewidywał albo mógł przewidzieć. Kiedy zatem może dojść do popełnienia przestępstwa nieumyślnego wyrządzenia szkody?

Zgodnie z orzecznictwem sytuacja taka ma miejsce, gdy: „Oskarżeni nie mieli zamiaru wyrządzenia spółce znacznej szkody majątkowej, a tym samym popełnienia czynu określonego w art. 296 § 1 kk. Oskarżeni nie zachowali jednak ostrożności w postępowaniu z dobrem prawnym, które powinni objąć protekcją. Posiadając właściwe doświadczenie życiowe i zawodowe oskarżeni mogli przewidzieć, że niezachowanie wymaganej ostrożności spowoduje wyrządzenie spółce szkody majątkowej. Dlatego zachowanie oskarżonych można oceniać jedynie w kategoriach lekkomyślności czy niedbalstwa. (…)”.

Warto w tym miejscu wrócić do maksymy “z terrorystami się nie negocjuje”, ponieważ w tym właśnie momencie (tj. Wpłacie okupu) los potencjalnej odpowiedzialności karnej podmiotów opisanych w art. 296 §1, §1a, §3, §4 KK leży w rękach hakera. Jeśli nie odeśle nam naszych plików, jeśli odblokuje jedynie ich część, która swoją ilością nie jest proporcjonalna do wysokości okupu lub (co warte podkreślenia) sama wysokość okupu jest niewspółmiernie wysoka wobec wartości zablokowanych plików – można mówić o odpowiedzialności karnej z powodu niegospodarności.

Sektor finansów publicznych – okup jako wydatek bez upoważnienia

W przypadku jednostek z sektora finansów publicznych sytuacja staje się jeszcze bardziej skomplikowana, ponieważ odpowiedzialność kształtuje się zarówno na polu przepisów prawa karnego (omawianych wyżej), jak i wedle ustawy regulującej kwestie dyscypliny finansowej – tj. Ustawa z 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych.

Podmiotami, które zgodnie z art. 4 tejże ustawy podlegają odpowiedzialności za naruszenie dyscypliny finansów publicznych są wszystkie osoby wchodzące w skład organu wykonującego budżet lub plan finansowy jednostki sektora finansów publicznych albo organu zarządzającego podmiotu niezaliczanego do sektora finansów publicznych, któremu przekazano do wykorzystania lub dysponowania środki publiczne, lub zarządzającego mieniem tych jednostek lub podmiotów, kierownicy jednostek sektora finansów publicznych oraz inne osoby, którym odrębną ustawą lub na jej podstawie powierzono wykonywanie obowiązków w takiej jednostce.

Zgodnie z zasadą legalizmu organy państwowe mogą działać jedynie w granicach prawa, a zatem mogą podejmować jedynie takie zachowania, które zostały dla nich przewidziane przez ustawodawcę, ergo muszą powstrzymać się od jakichkolwiek działań, które przekraczają ich zakres kompetencyjny. Sytuacja obywatela różni się diametralnie, ponieważ człowiek może czynić wszystko, co prawem nie jest mu zakazane. Reasumując, ciężko jest wyobrazić sobie sytuację, w której plan budżetowy jednostki, uchwała bądź ustawa budżetowa przewidywałyby wydatki na opłaty okupów, a w związku z tym należy przypuszczać, że zgodnie z art. 11 tejże ustawy doszłoby do wydatkowania środków publicznych bez upoważnienia lub z jego przekroczeniem, czyli do naruszenia dyscypliny finansów publicznych.

Co zatem grozi za naruszenie dyscypliny finansów publicznych?

Zgodnie z art. 31 ustawy są to:

Upomnienie, nagana, kara pieniężna oraz zakaz pełnienia funkcji związanych z dysponowaniem środkami publicznymi, natomiast karę pieniężną wymierza się w wysokości od 0,25 do trzykrotności miesięcznego wynagrodzenia osoby odpowiedzialnej za naruszenie dyscypliny finansów publicznych – obliczonego jak wynagrodzenie za czas urlopu wypoczynkowego – należnego w roku, w którym doszło do tego naruszenia. Jeżeli natomiast nie jest możliwe ustalenie wysokości wynagrodzenia karę pieniężną wymierza się w wysokości od 0,25 do pięciokrotności przeciętnego wynagrodzenia.

Kwestia ryzyka złamania reżimu sankcyjnego wobec Rosji

Jak wspomniano wcześniej, zapłata okupu grupom hakerskim może spowodować wiele skutków i zawiłości na różnych płaszczyznach prawnych. W praktyce może bowiem dojść także do naruszenia reżimu sankcyjnego wprowadzonego przez Unię Europejską w związku z atakiem Rosji na Ukrainę. Ryzyko to staje się jeszcze bardziej realne w dzisiejszych czasach, tj. Podwyższonej aktywności rosyjskich ugrupowań destabilizujących bezpieczeństwo i gospodarki wewnętrzne krajów europejskich. Już od pierwszych ataków Rosji na Donbas oraz aneksji Krymu w 2014 roku istnieją rozporządzenia unijne wprowadzające listy sankcyjne, w których oznaczono listę podmiotów obłożonych rozmaitymi sankcjami gospodarczymi. Zgodnie z art. 2 ust. 2 rozporządzenia 269/2014 „nie udostępnia się wymienionym w załączniku I osobom fizycznym lub prawnym, podmiotom lub organom ani powiązanym z nimi osobom fizycznym lub prawnym, podmiotom lub organom, ani też na ich rzecz – bezpośrednio lub pośrednio – żadnych środków finansowych ani zasobów gospodarczych”. Co najważniejsze – nawet brak wiedzy na temat tożsamości sprawcy kradzieży plików nie zwalnia z możliwości złamania tychże sankcji, a zatem także odpowiedzialności z nich wynikających. Pokrótce można jedynie wymienić najsurowszą karę przewidzianą w Ustawie o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego, zgodnie z którą wysokość kary pieniężnej nałożoną przez szefa Krajowej Administracji Skarbowej może wynosić do 20 000 000 zł. Podsumowując, zważywszy na ubiegłoroczny raport ENISA (tj. Agencji Unii Europejskiej ds. Cyberbezpieczeństwa), według którego większość ugrupowań stosujących ataki ransomware ma powiązania rosyjskie pojawia się uzasadnione ryzyko, iż jakiekolwiek wpłaty na ich rzecz mogą być uznane za wspieranie rosyjskiej gospodarki. W ciągu ostatnich dwóch lat sukcesywnie rośnie ilość ugrupowań hakerskich umieszczanych na listach sankcyjnych w związku z jawnym korelowaniem z Rosją. Przykładem podmiotu umieszczonego na liście sankcyjnej, a jednocześnie będącego częstym źródłem ataków przy użyciu ransomware jest firma Evilcorp.

Kryptowaluta jako środek zapłaty okupu – poważny problem dla księgowości

Kolejne utrudnienia z którymi przyjdzie nam się mierzyć w przypadku decyzji o zapłacie okupu to kwestie stricte techniczne – założenie portfela umożliwiającego zakup i przelew kryptowaluty, poprawne oznaczenie i wykazanie jej transferu, sytuacja poprawnego zaksięgowania. Przepisy prawne w tej materii nie są bowiem ujednolicone; już sama kwestia odpowiedniego oznaczenia kryptowaluty w bilansie może powodować niemałe zamieszanie w dziale księgowości.

Trudność może także polegać na poprawnym zakwalifikowaniu wydatku kryptowaluty celem zapłaty okupu; ciężko jest bowiem wykazać, by zapłata okupu mogła jednoznacznie zostać zakwalifikowana jako koszt uzyskania przychodów. Wprawdzie zgodnie z ustawami podatkowymi przyjąć należałoby, iż wydatek ten faktycznie pozostaje w związku przyczynowo-skutkowym z prowadzoną przez podatnika działalnością, a także zmierza do zabezpieczenia i zachowania źródła przychodów, jednakże:

Po pierwsze: aby móc zakwalifikować dany wydatek do kosztu uzyskania przychodu należy najpierw wykazać, iż wydatek ten nie jest następstwem niedbałości po naszej stronie, tj. czy poczyniliśmy wszystkie możliwe rozwiązania, które miały na celu zapobiegnięcie takiemu wydatkowi (w przypadku ataków ransomware będzie to odpowiednie zabezpieczenie cyberbezpieczeństwa przedsiębiorstwa, wprowadzenie polityki wewnętrznej mającej na celu zapobieganie takowym atakom, skuteczne jej egzekwowanie, itp).

Po drugie: wydatek nie może figurować w negatywnym katalogu kosztów. Zgodnie z art. 16 ust. 1 pkt 66 ustawy o CIT (oraz art. 23 ust. 1 pkt 61 ustawy o PIT) nie są kosztem wydatki (oraz przekazane rzeczy, prawa bądź wykonane usługi) wynikające z czynności, które nie mogą być przedmiotem prawnie skutecznej umowy. Mowa tu o umowach niezgodnych z prawem. Co prawda, jak nadmieniono na początku, zapłata okupu sama w sobie nie jest niezgodna z polskim prawem, tak w doktrynie pojawiają się słuszne opinie, jakoby samo powiązanie jej z przestępstwem było wystarczającym powodem do nieuznania jej jako prawnie skutecznej; ponadto umowa taka (przekazanie okupu), mogłaby być niezgodna z prawem w związku z naruszeniem zasad współżycia społecznego.

Podsumowanie

Z roku na rok podtrzymuje się ilość ataków ransomware, rośnie natomiast średnia wartość okupu, którego żądają od nas hakerzy. Informacje, które zawarliśmy w tym artykule mają za zadanie podniesienie świadomości w społeczeństwie na temat potencjalnych konsekwencji ulegania presji ze strony cyberprzestępców. Zawsze należy mieć na uwadze, że każdy wpłacony bitcoin służy im w rozwoju, prowadząc do wzrostu ataków przy użyciu ransomware w przyszłości. Ponadto grupy hakerskie nierzadko są związane z terroryzmem, handlem bronią, narkotykami. Warto także pamiętać, że zapłata okupu nigdy nie daje nam pewności, czy odzyskamy nasze pliki. Powinniśmy mieć świadomość co do następstw naszych decyzji w świetle obowiązującego prawa, rozumieć jaki szereg skutków może wiązać się z decyzją o zapłacie haraczu. Sytuacja ta jest o tyle skomplikowana, ponieważ rozciąga się na wiele płaszczyzn prawno-gospodarczych, dotykających także temat sankcji wobec Rosji. Ponadto problemem dla przedsiębiorstwa (nie wspominając już nawet o jednostkach sektora finansów publicznych) może być już sam etap zakupu oraz transferu kryptowaluty.

  1. https://cisomag.com/paying-ransom-is-now-illegal-u-s-dept-of-treasury-warns/
  2. Jasiński Tomasz, Wróbel Dorota, Przestępstwo nadużycia zaufania w spółce cywilnej Prok.i Pr. 2021/11/5-35 – artykuł
  3. Postanowienie SN z 4.04.2022 r., II KK 22/22, LEX nr 3411724.
  4. Wyrok SA w Warszawie z 21.12.2018 r., II AKa 397/18, LEX nr 2609039.
  5. Wyrok SA we Wrocławiu z 31.01.2024 r., II AKa 154/23, LEX nr 3748246.

Uzyskaj już teraz naszą pomoc

Kliknij w przycisk poniżej i wybierz sposób kontaktu z nami, aby uzyskać naszą pomoc w swojej sprawie. Jeżeli chcesz wysłać tajne dane kliknij tutaj, aby skorzystać z narzędzia za pomocą, którego je bezpiecznie zaszyfrujesz.

Napisz wiadomość Przeczytaj instrukcję
Zgody i prywatność
Sprawdź i wybierz, które dane może przechowywać ta strona internetowa w plikach cookies, pamięci lokalnej i sesji przeglądarki internetowej
Podstawowe funkcje strony Do poprawnego korzystania z tej strony wymagane jest anonimowe przechowywanie niektórych danych dotyczących jej wyglądu oraz sposobu działania
Przechowywanie i odczytywanie danych Możesz zezwolić na zapisywanie oraz odczytywanie plików cookies, pamięci lokalnej oraz sesji na tym urządzeniu w celach reklamowych przez firmę Google
Wyświetlanie spersonalizowanych treści Możesz zezwolić na wyświetlanie spersonalizowanych reklam w oparciu o Twoje preferencje oraz zainteresowania w celach reklamowych przez firmę Google
Przesyłanie zgromadzonych danych Możesz zezwolić na przesyłanie danych użytkownika zgromadzonych w trakcie interakcji ze stroną w celach reklamowych przez firmę Google