W społeczeństwie informacyjnym dochodzi do przesuwania znaczeń takich pojęć jak informacja oraz mienie, które są dobrami chronionymi przez prawo. Już sam zapis danych może mieć kluczowe znaczenie z perspektywy naszej sytuacji majątkowej.
Elektroniczny system pieniężny, w którym to podmioty dokonują zapłat między sobą – bez udziału banków ani żadnego pośrednika, ani nawet bez państwowych pieniędzy – to nowa rzeczywistość, w kontekście której warto ponownie przyjrzeć się obowiązującym przepisom. Czy przystają one do realiów XXI w.?
Co to jest rzecz ruchoma
Po pierwsze, warto poddać bliższej analizie przedmiot czynności wykonawczej, z jakim mamy do czynienia. System płatności taki jak Bitcoin, gdzie zapisy oznaczają kolejne transfery pomiędzy użytkownikami, można rozpatrywać w kategoriach systemu rozliczeń pieniężnych. Kwalifikacja zapisów w łańcuchu bloków jako rzeczy nie jest daleka od zakresu definicji rzeczy ruchomej z art. 115 § 9 k.k., gdyż od 2017 r. rzeczą ruchomą może być także „zapis na rachunku bankowym”. Nie jest więc trafny często podnoszony argument bezwzględnie warunkujący uznanie czegoś za rzeczą ruchomą od istnienia – jakkolwiek pojmowanego – substratu materialnego.
Systemowi Bitcoin efektywne znaczenie nadali jego użytkownicy i blisko mu do „obcego pieniądza” z kodeksowej definicji rzeczy ruchomej.
Zauważmy, że pieniądz to byt konwencjonalny. Systemowi Bitcoin efektywne znaczenie nadali sami użytkownicy i blisko mu do „obcego pieniądza” z kodeksowej definicji rzeczy ruchomej. Funkcja zapisów czy to na rachunku bankowym, czy to w łańcuchu bloków takim jak Bitcoin, jest dla użytkowników w gruncie rzeczy identyczna (płacenie i przechowywania wartości).
O pokrewnym znaczeniu można powiedzieć także w stosunku do „innego środka płatniczego” ze wskazanej definicji. Jednak z uwagi na możliwą niejednoznaczność rozstrzygające powinno być przyznanie prymatu zasadzie dostatecznej (maksymalnej) określoności czynu w prawie karnym. Prowadzi to do rezygnacji z kwalifikowania czynów związanych z nieuprawnionym użyciem cudzych kluczy prywatnych, w celu zmiany zapisów, w systemie Bitcoin jako zaboru cudzej rzeczy.
Oszustwo komputerowe
Posiadanie klucza równoznaczne jest z posiadaniem kontroli nad „pasującymi do niego” jednostkami kryptowaluty. Klucz prywatny to ciąg znaków uprawniających do dokonania podpisu w łańcuchu Bitcoina, czyli poświadczenia o tym, że dane jednostki kryptowaluty w elektronicznym systemie płatniczym mogą być transferowane (wydawane) przez dany podmiot.
W modelowym przypadku poszkodowanie wygląda więc następująco: osoba o złych zamiarach przejmuje cudzy klucz prywatny, wprowadza go wraz z kluczem publicznym do swojego portfela, czyli aplikacji informatycznej, i w ten sposób uzyskuje możliwość zmiany zapisów istniejących jednostek kryptowalut w łańcuchu bloków. Dzięki temu może ona następnie dokonywać transakcji, czyli zmiany zapisów, i według swojego uznania przesuwać jednostki na inny adres będący w jej władaniu (do którego ma tylko sobie znane klucze) lub cudzym władaniu, np. płacąc jednostkami za dobra lub usługi, czy też przedstawiając je do wymiany na tradycyjne waluty na giełdzie kryptowalut.
Czyny polegające na użyciu kluczy prywatnych bez zgody ich pierwotnego posiadacza nie są czynami tylko przeciwko chronionej informacji.
Wbrew postulatom zgłaszanym w niektórych publikacjach, czyny polegające na użyciu kluczy prywatnych bez zgody ich pierwotnego posiadacza nie są czynami tylko przeciwko chronionej informacji. Zachowanie polegające na zmianie zapisów w danych informatycznych, które oddziałuje negatywnie na sytuację majątkową, należy zakwalifikować jako tzw. oszustwo komputerowe z art. 287 k.k. polegające na wprowadzeniu nowych zapisów danych informatycznych, bez upoważnienia, w celu uzyskania korzyści majątkowej.
Zaletą wskazanej kwalifikacji jest dostrzeżenie kontekstu badanego czynu – ataku na mienie innej osoby, wpływającego na jej sytuację majątkową, a nie jedynie ataku wymierzonego przeciwko chronionej informacji. Właśnie dlatego wskazane przestępstwo zagrożone jest karą do 5 lat pozbawienia wolności, czyli identycznie jak kradzież rzeczy. Usuwa to zarzut zbyt niskiego zagrożenia karą formułowany przy spoglądaniu przez pryzmat zachowania przeciwko chronionej informacji, a przez to małej skuteczności odstraszania przed popełnianiem takiego czynu zabronionego.
Uwzględnienie art. 287 k.k. pozwala również na uadekwatnienie reakcji karnej, gdyż zachowanie takie w przypadku zamachu na jednostki kryptowalut o wartości powyżej 200 tys. zł może być sankcjonowane karą do 10 lat więzienia (poprzez kwalifikację w zw. z art. 294 § 1 k.k.). Ma to wymierne znaczenie ogólnoprewencyjne.
Chociaż jednostki kryptowalut o charakterze płatniczym nie stanowią w cywilistycznej siatce pojęciowej ani rzeczy, ani prawa, to w karnoprawnej ochronie mienia znaczenie ma cała sytuacja majątkowa podmiotu (wykładnia autonomiczna o celu ochronnym), dlatego nic nie stoi na przeszkodzie, aby i wobec takich bytów miała zastosowanie ww. norma.
Napad na bank danych
Jako przestępstwo z art. 287 k.k. należy zakwalifikować także czyn polegający na używaniu portfela innej osoby bez jej zgody celem dokonywania zmiany zapisów w łańcuchu bloków, które pogarszają sytuację majątkową użytkownika. Portfel to aplikacja, która zbiera informacje o jednostkach kryptowaluty, do których uprawniają wprowadzone do niej klucze publiczny z prywatnym, a przez pozwala utworzyć nową transakcję przy użyciu tych jednostek.
Ochrona wysunięta zostaje na przedpole bezprawnego wpływania na zapis danych informatycznych.
Dla czynu polegającego na uzyskaniu dostępu do takiego portfela wbrew woli użytkownika na drodze zdobycia lub wygenerowania loginu i hasła do takiej aplikacji adekwatny jest natomiast art. 269b k.k., czyli „pozyskiwanie kodów dostępu umożliwiających dostęp do informacji przechowywanych w systemie komputerowym”. Ochrona wysunięta zostaje na przedpole bezprawnego wpływania na zapis danych informatycznych. Warto podkreślić, że chodzi w tym przypadku o dostęp do aplikacji, nie zaś o dostęp do jednostek, gdyż wszystkie transakcje jednostkami w systemie informatycznym, takim jak otwarty łańcuch bloków systemu Bitcoin, są widoczne dla każdego (publicznie dostępne).
Analogicznie należy podejść do ataków na giełdy kryptowalut. Giełdy to systemy transakcyjne oparte na portfelach tworzonych przez operatora giełdy dla ich użytkowników. Oszustwem komputerowym będzie wykonanie operacji przez taki portfel, połączone najczęściej z nieuprawnionym uzyskaniem kodu. Zamach będzie wówczas dokonany w oparciu o automatyczne przetwarzanie danych i dlatego zazwyczaj nie będzie to oszustwo spod art. 286 k.k., gdyż taki zamach na mienie nie musi wiązać się z wprowadzeniem jakiejkolwiek osoby fizycznej w błąd lub wyzyskania jej błędu.
Zapis na blockchainie – w przeciwieństwie do zapisu na rachunku bankowym – nie jest normatywnie rzeczą ruchomą, a więc nie jest zdatny do bycia przedmiotem czynności wykonawczej przestępstwa kradzieży.
Warto zauważyć, że omawiane kwestie nie są jednak analogiczne do badanego przez Sąd Najwyższy zagadnienia kwalifikacji płatności cudzą kartą zbliżeniową jako kradzieży z włamaniem (wyrok z 22 marca 2017 r., sygn. akt III KK 349/16). W przypadku płatności takim już klasycznym instrumentem płatniczym chodzi o włamanie, czyli uzyskanie dostępu do chronionego dobra. Jak wyjaśniliśmy, dostęp do jednostek zapisanych w otwartym blockchainie jest jawny, więc zagadnienie złamania dostępu nie jest doniosłe prawnie. Ponadto nie dochodzi do zaboru, gdyż zapis na blockchainie – w przeciwieństwie do zapisu na rachunku bankowym – nie jest normatywnie rzeczą ruchomą, a więc nie jest zdatny do bycia przedmiotem czynności wykonawczej przestępstwa kradzieży. Dlatego nie jest to kradzież z włamaniem.
W przypadku natomiast tokenów wirtualnych o charakterze innym niż czysto płatniczy np. uprawniającymi do uzyskania konkretnego dobra lub usługi albo rabatu na nie, mamy do czynienia z jednostkami ucieleśniającymi prawa majątkowe. Kwalifikacja zachowań polegających na ich nieuprawnionym uzyskaniu powinna brać to pod uwagę, przybierając postać przywłaszczenia praw spod art. 284 § 1 k.k.
Kontrowersyjne jest uznanie samych danych za informację chronioną przez typ z art. 267 k.k., gdyż „informacją” w jego rozumieniu jest treść niosąca wiedzę pozainformatyczną.
Klucze uprawniające do dysponowania jednostkami kryptowalut, które wykorzystywane są do dokonania transferów, należy określić jako „dane” (zgodnie z terminologią kodeksową). Możliwość ich pozyskania będzie zależna od sposobu zabezpieczenia. Najbardziej efektywne może być przechowywanie ich offline. Warto zaznaczyć, że kontrowersyjne jest uznanie samych danych za informację chronioną przez typ z art. 267 k.k., gdyż „informacją”, o której tam mowa, jest treść niosąca wiedzę pozainformatyczną. Dlatego w przypadku pozyskania klucza nie będziemy mieli do czynienia z realizacją normy z tego artykułu.
Na gruncie kodeksu karnego samo uzyskanie danych penalizowane jest przez osobne typy, w szczególności art. 269b k.k. Niemniej jego dyspozycja penalizuje pozyskanie danych „umożliwiających dostęp do…”, z czym w systemie jawnego rejestru takiego jak blockchain Bitcoina nie mamy do czynienia.
Rekapitulując: samo uzyskanie klucza prywatnego uprawniającego do zmiany zapisów jednostek w otwartym publicznie łańcuchu bloków nie jest uzyskaniem dostępu do nich i na gruncie kodeksu karnego nie stanowi przestępstwa przeciwko samej informacji. Jednakże, aby w pełni oddać znaczenie czynu polegające na uszczupleniu cudzego majątku na takiej drodze, należy położyć akcent na naruszeniu dobra prawnego, jakim jest mienie.
Tajemnica przedsiębiorstwa
Spojrzenie w szerszym kontekście na paletę dostępnych kwalifikacji prawnych pozwala na penalizowanie pozyskania samych cudzych kluczy dla szerokiego spektrum zachowań.
Stan tajemnicy w działaniach przedsiębiorczych, a za takie można ujmować np. handlowanie jednostkami kryptowalut, chroni ustawa o zwalczaniu nieuczciwej konkurencji.
Znajomość kluczy umożliwiających odblokowanie jednostek kryptowaluty w łańcuchu bloków można ujmować jako stan sekretnej wiedzy, czyli tajemnicy. Stan tajemnicy w działaniach przedsiębiorczych, a za takie można ujmować np. handlowanie jednostkami kryptowalut, chroni ustawa o zwalczaniu nieuczciwej konkurencji (dalej u.z.n.k.). Tajemnica przedsiębiorstwa chroniona zakresem zastosowania ustawy to stan bardzo szeroki. Jej obręb wyznacza w zakresie minimalnym dyrektywa 2016/943 w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystaniem i ujawnianiem. Normy te zostały w sierpniu 2018 r. transponowane do u.z.n.k., choć większość znowelizowanej treści można wywieść także z poprzedniego stanu prawnego tej ustawy.
Klucze generowane są indywidualnie przez użytkownika, czyli nie są ogólnie znane lub łatwo dostępne (prawdopodobieństwo wygenerowanie drugi raz tego samego klucza prywatnego jest bliskie zeru), a więc posiadają walor poufności. Mają swoją wartość dlatego, że są znane tylko danej osobie, gdyż w przeciwnym wypadku to inne podmioty mogłyby decydować o transferach jednostek kryptowaluty, które są przypisane do danego adresu bez konieczności uzyskania faktycznej zgody pierwotnej osoby.
Jeżeli ponadto podmiot sprawujący nad nimi kontrolę poczynił rozsądne działania, aby kluczy nie ujawniać, to spełniona jest w pełni definicja tajemnicy przedsiębiorstwa z art. 2 dyrektywy i art. 11 ust. 2 u.z.n.k.
Treść dyrektywy w swoich motywach wskazuje, że chroniona tajemnica to także informacje o wartości handlowej, gdy ich bezprawne wykorzystanie szkodzi interesom finansowym. Z taką naturą interesów wiąże się obrót lub władanie jednostkami kryptowalut o charakterze płatniczym, a tylko posiadanie kluczy pozwala na dalszy obrót nimi. Ujawnienie innej osobie klucza prywatnego uprawniającego do dysponowania kryptowalutami innej osoby może być penalizowane przez typ z art. 23 ust 2. u.z.n.k. o charakterze karnym.
Pozyskanie, a w szczególności używanie cudzego klucza prywatnego, nie są obojętne dla prawa.
Natomiast w przypadku wykorzystania klucza w celu transferu jednostek na żądany przez sprawcę adres (swój lub cudzy np. giełdy aby uzyskać w zamian za nie inne pieniądze) zachodzić będzie zbieg z typem oszustwa komputerowego ze wspomnianego art. 287 k.k.
Perspektywa wkroczenia w działalność gospodarczą innego podmiotu otwiera ponadto szerokie spektrum roszczeń deliktowych o naturze cywilnej z art. 18 u.z.n.k. – nawet w przypadku, gdy unicestwienie stanu tajemnicy zdobyciem klucza jedynie zagrażało interesowi, lecz nie powodowało realnej szkody. Pozyskanie, a w szczególności używanie cudzego klucza prywatnego nie są więc obojętne dla prawa.
dr Mikołaj Małecki – nauczyciel akademicki w Katedrze Prawa Karnego Uniwersytetu Jagiellońskiego, autor bloga Dogmaty Karnisty
Paweł Marcin Dudek – prawnik, absolwent Uniwersytetu Jagiellońskiego
Cover foto: Pixabay.com