Przepisy uchylające odpowiedzialność karną za niektóre przejawy hackingu weszły w życie 27 kwietnia 2017 r. Do zmian w rozdziale XXXIII k.k., dotyczącym przestępstw przeciwko bezpieczeństwu informacji, doszło z inicjatywy Senatu (zob. ustawę z 23 marca 2017 r., Dz.U. z 2017 r. poz. 768).
Przepisy są reakcją na kontrowersje związane z odpowiedzialnością karną testerów wyszukujących błędy w systemach i sieciach informatycznych, w celu zwrócenia uwagi ich dysponentom, że posiadają one wady lub luki (tzw. testy penetracyjne, w ramach programu bug bounty lub z własnej inicjatywy). Kontrowersje wzbudzała także treść art. 269b par. 1 k.k., który na pierwszy rzut oka penalizuje zupełnie niewinne zachowania, polegające na pożyczeniu komuś smartfona czy laptopa. Notabene sankcja za popełnienie tego czynu została podniesiona (bez merytorycznych powodów) z trzech do pięciu lat więzienia.
Receptą na nieracjonalną surowość prawa ma być art. 269b par. 1a oraz art. 269c k.k. Pierwszy z nich stanowi, że „nie popełnia przestępstwa określonego w par. 1 (a więc wytwarzania, pozyskiwania, zbywania lub udostępniania innym osobom urządzeń przystosowanych do popełnienia przestępstwa informatycznego lub odpowiednich haseł), kto działa wyłącznie w celu zabezpieczenia systemu (...) przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia”. Druga z uchwalonych regulacji dotyczy uzyskania bez uprawnienia dostępu do całości lub części systemu informatycznego lub istotnego zakłócania pracy systemu lub sieci. Zgodnie z art. 269c k.k.: „Nie podlega karze za przestępstwo określone w art. 267 par. 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu (...) albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody”.
Niestety, ustawodawca zareagował na istotny problem społeczny w sposób niekonsekwentny i utrudniający szansę na osiągnięcie zamierzonych rezultatów. Podstawową przesłanką uchylenia odpowiedzialności karnej hakera jest cel zabezpieczenia systemu lub sieci albo opracowania metody takiego zabezpieczenia. Ustawa wymaga, by był to „wyłączny” cel działania sprawcy, jednak wymóg ten jest niemożliwy do spełnienia. Założeniem zmian w prawie była potrzeba ochrony podmiotów prowadzących działalność naukową czy zawodową w obszarze ochrony bezpieczeństwa IT, jednak w praktyce życia działalności tej przyświecają również cele zarobkowe (realizacja grantu) czy osobiste (zdobywanie wiedzy). Chodziło zapewne o to, by karalny pozostawał hacking godzący w bezpieczeństwo danych informatycznych, np. gdy sprawca chce popełnić inne przestępstwo związane z wykorzystaniem wykradzionych danych. Należało więc odpowiednio zredagować uchwalane przepisy.
Działanie w celu zabezpieczenia systemu, o który chodzi w nowych regulacjach, eliminuje zagrożenie dla bezpieczeństwa informacji, czyli dobra prawnie chronionego w rozdziale XXXIII k.k. Jeżeli działanie sprawcy w ogóle nie zagraża dobru, to nie realizuje on znamion czynu zabronionego i jego czyn nie musi być usprawiedliwiany dodatkowymi regulacjami, mówiącymi o niepodleganiu karze czy niepopełnianiu przestępstwa. Nie jest więc prawdą, że osoba, do której będzie stosowany art. 269c k.k., „nie podlega karze za przestępstwo...”, ponieważ działanie testera w dobrej wierze nigdy nie było zachowaniem bezprawnym w rozumieniu przepisów prawa karnego (zob. opinię prawną B. Kwiatkowskiego i M. Małeckiego, http://kipk.pl/ekspertyzy).
W tym świetle nie jest jasne, jaki charakter prawny mają nowe regulacje. Najlepiej uznać, że zawierają one dodatkowe znamiona czynu zabronionego pod groźbą kary, wskazujące na wymóg jego bezprawności i karalności, tj. odpowiednio: niekorzystny społecznie cel działania, zagrożenie interesowi publicznemu lub prywatnemu; oraz zawiadomienie o ujawnionych zagrożeniach i brak szkody. Przełoży się to na zastosowanie odpowiednich przepisów procedury karnej, związanych z umorzeniem postępowania (czyn nie zawiera znamion czynu zabronionego). W istocie rzeczy chodzi więc o to, by haker działał w bezprawnym celu, np. chciał wykraść informacje czy szantażować dysponenta systemu. Takie odczytanie obowiązujących regulacji było jednak możliwe bez potrzeby wprowadzania do k.k. nowych przepisów, które zawężają pole manewru i prowadzą do dodatkowych komplikacji interpretacyjnych.
Art. 269b par. 1a i art. 269c k.k. dają organom ścigania jasną wskazówkę, w jakich sytuacjach postawienie danej osobie zarzutu popełnienia przestępstwa będzie niedopuszczalne, gdyż zachowała się ona w sposób społecznie akceptowalny. W pozostałych wypadkach – nieobjętych dyspozycją nowych przepisów – organy wymiaru sprawiedliwości nie są zwolnione z obowiązku przeprowadzenia prawidłowej, prokonstytucyjnej i korzystnej dla obywatela wykładni ustawy karnej.
Kontrowersje wzbudza treść art. 269b par. 1 k.k., który na pierwszy rzut oka penalizuje pożyczenie komuś smartfona czy laptopa. Grozi za to pięć lat