Jak to wygl\u0105da w praktyce? We\u017amy konkretny przyk\u0142ad. Kto\u015b tworzy i sprzedaje gotowy zestaw do przeprowadzenia ataku typu „evil twin” – fa\u0142szywego punktu Wi-Fi, kt\u00f3ry przechwytuje ruch sieciowy nie\u015bwiadomych u\u017cytkownik\u00f3w w hotelu czy na lotnisku. Program sam w sobie to znane oprogramowanie sieciowe, dost\u0119pne legalnie. Ale sprzedawany w formie gotowego pakietu, z instrukcj\u0105, z targetowaniem konkretnych \u015brodowisk to w\u0142a\u015bnie co\u015b, co nowe przepisy maj\u0105 obj\u0105\u0107. Karalno\u015b\u0107 zale\u017cy przy tym od zamiaru i komunikat rz\u0105dowy precyzuje, \u017ce chodzi o narz\u0119dzia udost\u0119pniane w celu pope\u0142nienia przest\u0119pstwa. Element kierunkowy pozostaje, co jest wa\u017cne dla bran\u017cy security bo legalny pentesting nie staje si\u0119 przest\u0119pstwem.<\/p>\n
Warto doda\u0107, \u017ce dyrektywa 2013\/40\/UE reguluje szerzej ni\u017c tylko narz\u0119dzia bo harmonizuje ca\u0142y katalog przest\u0119pstw: nielegalny dost\u0119p do system\u00f3w, ingerencj\u0119 w ich dzia\u0142anie (ataki DDoS, sabota\u017c infrastruktury), niszczenie danych, przechwytywanie transmisji. Nowelizacja 2026 to domkni\u0119cie ostatnich brakuj\u0105cych element\u00f3w tej uk\u0142adanki, nie rewolucja.<\/p>\n
Stan obecny<\/p>\n
Art. 269b KK
przed nowelizacj\u0105<\/p>\n
Atak DDoS<\/p>\n
Przeprowadzenie ataku – karalny (art. 269a KK)<\/p>\n
Sprzeda\u017c narz\u0119dzi do DDoS – karalny (art. 269b od 2004 r.)<\/p>\n
Przechwytywanie danych (sniffing)<\/p>\n
Przeprowadzenie ataku – karalny (art. 267 KK)<\/p>\n
Sprzeda\u017c narz\u0119dzi do sniffingu – luka: art. 269b nie obejmowa\u0142 wprost tego zakresu<\/p>\n
Pentesting \/ badacze security<\/p>\n
Klauzula ochronna \u00a7 1a istnieje od 2017 r., ale zakres w praktyce bywa\u0142 niejasny<\/p>\n
Po nowelizacji (proj. UC128)<\/p>\n
Art. 269b KK
po nowelizacji<\/p>\n
Atak DDoS<\/p>\n
Przeprowadzenie ataku – karalny (bez zmian)<\/p>\n
Sprzeda\u017c narz\u0119dzi do DDoS – karalny (bez zmian)<\/p>\n
Przechwytywanie danych (sniffing)<\/p>\n
Przeprowadzenie ataku – karalny (bez zmian)<\/p>\n
Sprzeda\u017c narz\u0119dzi do sniffingu – luka zamkni\u0119ta, wprost karalny z art. 269b<\/p>\n
Pentesting \/ badacze security<\/p>\n
Klauzula ochronna \u00a7 1a pozostaje, karalno\u015b\u0107 uzale\u017cniona od zamiaru przest\u0119pczego<\/p>\n
Karalny \/ jasno uregulowany<\/p>\n
\n \u0179r\u00f3d\u0142o: projekt UC128, komunikat CIR 31.03.2026; dyrektywa 2013\/40\/UE\n <\/p>\n
Kiedy to wejdzie w \u017cycie?<\/p>\n
Projekt jest po etapie Rady Ministr\u00f3w, wi\u0119c czeka go teraz pierwsze i drugie czytanie w Sejmie, ewentualne poprawki w komisjach, Senat i podpis Prezydenta. Komunikat rz\u0105dowy wskazuje, \u017ce nowe przepisy maj\u0105 wej\u015b\u0107 w \u017cycie po 14 dniach od og\u0142oszenia w Dzienniku Ustaw – ekspresowe vacatio legis, co przy nowelizacji dotycz\u0105cej przepis\u00f3w karnych jest przynajmniej dyskusyjne. Realistycznie mo\u017cna spodziewa\u0107 si\u0119 wej\u015bcia w \u017cycie gdzie\u015b w okolicach jesieni 2026 roku, cho\u0107 to szacunek, nie prognoza.<\/p>\n
Jeden cytat, kt\u00f3ry m\u00f3wi wszystko<\/p>\n
Minister Sprawiedliwo\u015bci Waldemar \u017burek, prezentuj\u0105c projekt, stwierdzi\u0142:<\/p>\n
Dostosowujemy przepisy Kodeksu karnego do nowych form przest\u0119pczo\u015bci zwi\u0105zanych z rozwojem technologii, po to, \u017ceby skuteczniej \u015bciga\u0107 przest\u0119pstwa i zwi\u0119kszy\u0107 bezpiecze\u0144stwo obywateli\u00a0<\/p>\n
Nowe formy przest\u0119pczo\u015bci. Dyrektywa, kt\u00f3r\u0105 w\u0142a\u015bnie implementuj\u0105, powsta\u0142a w reakcji na zagro\u017cenia, kt\u00f3re by\u0142y nowe w 2013 roku. Ataki DDoS przy u\u017cyciu botnet\u00f3w, z\u0142o\u015bliwe oprogramowanie do kradzie\u017cy danych bankowych, narz\u0119dzia do przechwytywania ruchu sieciowego. Wszystko to by\u0142o znane i opisane zanim cz\u0119\u015b\u0107 dzisiejszych pierwszorocznych student\u00f3w prawa zd\u0105\u017cy\u0142a p\u00f3j\u015b\u0107 do pierwszej klasy szko\u0142y podstawowej.<\/p>\n
Co to m\u00f3wi o polskim prawie?<\/p>\n
Jedenastoletnie op\u00f3\u017anienie pe\u0142nej implementacji dyrektywy to nie jest jednorazowy wypadek przy pracy. To symptom. Polska przez dekad\u0119 porusza\u0142a si\u0119 w obszarze cz\u0119\u015bciowej transpozycji, nowelizacja z 2017 roku zrobi\u0142a cz\u0119\u015b\u0107 roboty, ale nie ca\u0142\u0105. Unia Europejska monitoruje transpozycje i wszczyna post\u0119powania naruszeniowe wobec pa\u0144stw, kt\u00f3re implementuj\u0105 prawo z op\u00f3\u017anieniem lub fragmentarycznie – cho\u0107 szczeg\u00f3\u0142\u00f3w ewentualnego post\u0119powania wobec Polski w tym konkretnym przypadku nie spos\u00f3b zweryfikowa\u0107 bez dost\u0119pu do dokumentacji Komisji.<\/p>\n
Tymczasem cyberprzest\u0119pczo\u015b\u0107 nie czeka\u0142a. Polska CERT odnotowuje co roku wzrost liczby incydent\u00f3w. Grupy ransomware atakuj\u0105 szpitale, urz\u0119dy, firmy. Rynek narz\u0119dzi hakerskich (tych, kt\u00f3rych dystrybucj\u0119 w okre\u015blonym celu maj\u0105 teraz penalizowa\u0107 uzupe\u0142nione przepisy) funkcjonuje sprawnie od ponad dekady.<\/p>\n
Nowelizacja robi to, co zrobi\u0107 powinna i domyka luk\u0119, kt\u00f3ra przez lata by\u0142a powodem akademickiej krytyki prawa i praktycznych k\u0142opot\u00f3w z \u015bciganiem. Tylko \u017ce dzieje si\u0119 to w 2026 roku. Kiedy bran\u017ca security zd\u0105\u017cy\u0142a przez ten czas wielokrotnie obej\u015b\u0107 problem, kt\u00f3ry prawo w\u0142a\u015bnie postanowi\u0142o oficjalnie zauwa\u017cy\u0107.<\/p>\n
Obserwuj nas w Google Discover<\/p>\n
<\/p>\n
Podobaj\u0105 Ci si\u0119 nasze tre\u015bci?<\/p>\n
Google Discover<\/p>\n