Analiza dotyczca bug bounty

I. Uwagi wstpne
Dziaanie podmiotw, ktrych celem jest znajdowanie bdw w
systemie teleinformatycznym w celu zwrcenia uwagi wacicielowi
systemu, i posiada on wady i luki (program typu: bug bounty), jest
zjawiskiem stosunkowo nowym. Jego znaczenie ronie, z uwagi na fakt, i
coraz
wiksza
sfera
dziaalnoci
gospodarczej
posiada
swoje
odzwierciedlenie w Internecie. Co istotne, coraz wicej firm proponuje
gratyfikacj (finansow lub rzeczow) za wskazywanie ww. luk i bdw w
systemach. Firmy uzyskuj bowiem w zamian korzy w postaci lepszego
zabezpieczenia systemu przez atakami, ktre rzeczywicie maja na celu
dokonanie zakce w dziaaniu systemu lub te wykradzenie danych.
Dokonujc analizy funkcjonowania tego typu programw na wiecie
mona wskaza na trzy gwne warianty funkcjonowania biznesowego
tego typu programw:
1) podmiot chccy wystawi do testowania swoje produkty sporzdza
regulamin
funkcjonowania
programu.
Regulamin
ten
jest
powszechnie dostpny. Podmiot chccy testowa system zgasza
swj udzia w programie. Otrzymuje specjalne konta testowe. Wtedy
podmiot jest pod kontrol waciciela systemw i moe wykonywa
testy. Testy tego typu s prowadzone w stosunku do podatnoci
statycznych tzn. nie testuje reakcji sub bezpieczestwa podmiotw.
W przypadku natrafienia na luki w systemie podmiot testujc
sporzdza raport zgodnie z przyjtym wzorcem i przesya go do
waciciela systemu. Waciciel systemu dokonuje oceny raportu i w
przypadku potwierdzenia danej podatnoci wypaca honorarium
zgodnie z taryfikatorem ujtym w regulaminie. Tego typu programy
s wykorzystywane w stosunku do systemw gdzie technologicznie
nie mona lub nie opaca si tworzenie systemu testowego.
Przykady to: Facebook, Google.
2) podmiot testowany uruchamia rodowiska testowe i wystawia
system testowy do testw dla szerokiego grona uytkownikw.
3) kady tester testuje oprogramowanie (systemy operacyjne, aplikacje
serwerw www, pocztowych itp.) we wasnym rodowisku testowym i
w przypadku znalezienia podatnoci zgasza do producenta ten fakt i
jeli zostanie potwierdzona podatno dostaje wynagrodzenie.
Reasumujc, programy typu bug bounty powinny mie jasno
zdefiniowane reguy i zasady funkcjonowania podmiotw, w tym zasady
wynagradzania z podziaem na grupy i wag podatnoci. Ceny za takie
testy wahaj si od 200 $ do 1500000 $, w przypadku podatnoci
krytycznej w systemach powszechnie stosowanych. Naley zwrci uwag,
e
programy tego typu operuj tylko w wybranym obszarze
bezpieczestwa teleinformatycznego jakim s bdy programistyczne.
1

Natomiast nie ma przykadw tego typu programw do testowania

systemu bezpieczestwa organizacji w jej operacyjnym aspekcie.

II. Przepisy Kodeksu karnego

W polskim systemie prawa nie ma jednego przestpstwa
penalizujcego tzw. dziaania hakerskie. Polskie prawo karne przewiduje
penalizacj dziaa majcych na celu zakcanie dziaania systemw i sieci
teleinformatycznych, nieuprawnionego uzyskania dostpu do informacji
znajdujcej si w systemach teleinformatycznych oraz dokonywania w celu
uzyskania korzyci majtkowej wyudze danych zawartych w systemach
teleinformatycznych. Grupa tzw. przestpstw komputerowych zostaa
umieszczona w Rozdziale XXXIII Przestpstwa przeciwko ochronie
informacji
(artykuy
od
267
do
269b)
oraz
w Rozdziale XXXV Przestpstwa przeciwko mieniu (art. 287) Kodeksu
karnego.
Zgodnie z art. 267. 1. Kto bez uprawnienia uzyskuje dostp
do informacji dla niego nieprzeznaczonej, otwierajc zamknite pismo,
podczajc si do sieci telekomunikacyjnej lub przeamujc albo
omijajc elektroniczne, magnetyczne, informatyczne lub inne
szczeglne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci
do lat 2.
2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostp do
caoci lub czci systemu informatycznego.
3. Tej samej karze podlega, kto w celu uzyskania informacji, do ktrej nie
jest uprawniony, zakada lub posuguje si urzdzeniem podsuchowym,
wizualnym albo innym urzdzeniem lub oprogramowaniem.
4. Tej samej karze podlega, kto informacj uzyskan w sposb okrelony
w 1-3 ujawnia innej osobie.
5. ciganie przestpstwa okrelonego w 1-4 nastpuje na
wniosek pokrzywdzonego.
Z kolei w myl art. 268. 1. Kto, nie bdc do tego uprawnionym,
niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w
inny sposb udaremnia lub znacznie utrudnia osobie uprawnionej
zapoznanie si z ni, podlega grzywnie, karze ograniczenia wolnoci albo
pozbawienia wolnoci do lat 2.
2. Jeeli czyn okrelony w 1 dotyczy zapisu na informatycznym
noniku danych, sprawca podlega karze pozbawienia wolnoci do lat 3.
4. ciganie przestpstwa okrelonego w 1-3 nastpuje na wniosek
pokrzywdzonego.
2

Stosowanie do art. 268a. 1. Kto, nie bdc do tego uprawnionym,

niszczy, uszkadza, usuwa, zmienia lub utrudnia dostp do danych
informatycznych albo w istotnym stopniu zakca lub uniemoliwia
automatyczne przetwarzanie, gromadzenie lub przekazywanie takich
danych, podlega karze pozbawienia wolnoci do lat 3.
2. Kto, dopuszczajc si czynu okrelonego w 1, wyrzdza znaczn
szkod majtkow,
podlega karze pozbawienia wolnoci od 3 miesicy do lat 5.
3. ciganie przestpstwa okrelonego w 1 lub 2 nastpuje na wniosek
pokrzywdzonego.
Stosownie do art. 269. 1. Kto niszczy, uszkadza, usuwa lub
zmienia dane informatyczne o szczeglnym znaczeniu dla obronnoci
kraju, bezpieczestwa w komunikacji, funkcjonowania administracji
rzdowej, innego organu pastwowego lub instytucji pastwowej albo
samorzdu terytorialnego albo zakca lub uniemoliwia automatyczne
przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega
karze pozbawienia wolnoci od 6 miesicy do lat 8.
2. Tej samej karze podlega, kto dopuszcza si czynu okrelonego w 1,
niszczc albo wymieniajc informatyczny nonik danych lub niszczc albo
uszkadzajc urzdzenie suce do automatycznego przetwarzania,
gromadzenia lub przekazywania danych informatycznych.
Zgodnie z art. 269a. Kto, nie bdc do tego uprawnionym, przez
transmisj, zniszczenie, usunicie, uszkodzenie, utrudnienie dostpu lub
zmian danych informatycznych, w istotnym stopniu zakca prac
systemu komputerowego lub sieci teleinformatycznej,
podlega karze pozbawienia wolnoci od 3 miesicy do lat 5.
Zgodnie z art. 269b. 1. Kto wytwarza, pozyskuje, zbywa lub
udostpnia innym osobom urzdzenia lub programy komputerowe
przystosowane do popenienia przestpstwa okrelonego w art. 165 1 pkt
4, art. 267 3, art. 268a 1 albo 2 w zwizku z 1, art. 269 2 albo art.
269a, a take hasa komputerowe, kody dostpu lub inne dane
umoliwiajce dostp do informacji przechowywanych w systemie
komputerowym lub sieci teleinformatycznej, podlega karze
pozbawienia wolnoci do lat 3.
2. W razie skazania za przestpstwo okrelone w 1, sd orzeka
przepadek okrelonych w nim przedmiotw, a moe orzec ich przepadek,
jeeli nie stanowiy wasnoci sprawcy.
W myl art. 287. 1. Kto, w celu osignicia korzyci
majtkowej lub wyrzdzenia innej osobie szkody, bez upowanienia,
wpywa
na
automatyczne
przetwarzanie,
gromadzenie
lub
przekazywanie danych informatycznych lub zmienia, usuwa albo
3

wprowadza nowy zapis danych informatycznych, podlega karze

pozbawienia wolnoci od 3 miesicy do lat 5.
2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze
ograniczenia wolnoci albo pozbawienia wolnoci do roku.
3. Jeeli oszustwo popeniono na szkod osoby najbliszej, ciganie
nastpuje na wniosek pokrzywdzonego.
Stosownie
do
art. 295. 1. Wobec
sprawcy
przestpstwa
okrelonego w art. 278, 284-289, 291, 292 lub 294, ktry dobrowolnie
naprawi szkod w caoci albo zwrci pojazd lub rzecz majc szczeglne
znaczenie dla kultury w stanie nieuszkodzonym, sd moe zastosowa
nadzwyczajne zagodzenie kary, a nawet odstpi od jej wymierzenia.
2. Wobec sprawcy przestpstwa wymienionego w 1, ktry dobrowolnie
naprawi szkod w znacznej czci, sd moe zastosowa nadzwyczajne
zagodzenie kary.
Z uwagi na fakt, i przestpstwo okrelone w art. 287 Kodeksu
karnego penalizuje przestpstwo tzw. wyudzenia lub szantau
internetowego w postaci wpywania na automatyczne przetwarzanie,
gromadzenie lub przekazywanie danych informatycznych albo zmiany i
niszczenia danych w celu uzyskania korzyci majtkowej, nie bdzie ono
przedmiotem poniszej analizy. Naley bowiem wskaza, e pojcie celu
uzyskania korzyci majtkowej naley rozumie jako uzyskanie korzyci w
sposb sprzeczny z prawem za pomoc podstpu lub wprowadzenia w
bd. Z powyszego wynika, i ww. zachowanie w celu osignicia korzyci
majtkowej nie spenia zaoe programw typu bug bounty.
W przypadku pozostaej grupy przestpstw naley wskaza, e
penalizuj one zachowania, ktre maj na celu m.in. zakcanie dziaania
systemw i sieci teleinformatycznych oraz uzyskania dostpu do
informacji. Penalizowane jest doprowadzenie do zakcenia dziaania
systemu lub nieuprawnionego uzyskania informacji ale take jego
usiowanie. Zgodnie bowiem z art. 13 Kodeksu karnego, regulujcego
zasady odpowiedzialnoci karnej, odpowiada za usiowanie, kto w zamiarze
popenienia czynu zabronionego swoim zachowaniem bezporednio
zmierza do jego dokonania, ktre jednak nie nastpuje. Co istotne dla
stwierdzenia zaistnienia przestpstwa nie jest wymagane wywoanie
szkody (materialnej i niematerialnej) oraz cel dziaania sprawcy. Jak ju
wskazano penalizowane jest bowiem samo zachowanie tj. dokonanie czynu
zabronionego przez ustaw karn. Fakt wywoania szkody oraz jej rozmiar
maj wycznie wpyw na wysoko zagroenia sankcj karn.
Prawie wszystkie z w/w przestpstw s cigane z oskarenia
publicznego. Wyjtkiem jest art. 267 i art. 268 Kodeksu karnego.
Analiza przestpstw okrelonych w art. 267 do art. 269a Kodeksu
karnego, wskazuje, i posuguj si one zwrotami:
4

a) przeamujc albo omijajc elektroniczne zabezpieczenie uzyskuje

dostp do caoci lub czci systemu informatycznego (art. 267),
c) niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji (art. 268),
d) uszkadza, usuwa lub zmienia dane informatyczne (art. 268 b 269a) ,
e) istotnie zakca prac systemu komputerowego ( art. 269a).
Jak wskazano w komentarzu do kodeksu karnego pod red. Andrzeja
Zolla pojcie zabezpieczenia obejmuje wszelkie formy utrudnienia
dostpu do informacji, ktrych usunicie wymaga wiedzy specjalnej lub
posiadania szczeglnego urzdzenia lub kodu. Zabezpieczeniem takim
moe by haso dostpu do informacji zgromadzonych na komputerowym
noniku, szczeglny program komputerowy umoliwiajcy odszyfrowanie
zapisu informacji, zapis magnetyczny uruchamiajcy okrelone urzdzenie,
a wraz z nim dostp do informacji, specjalne urzdzenie umoliwiajce
odczytanie informacji nadawanych na falach radiowych lub telewizyjnych
(dekoder). Ominicie zabezpiecze w przypadku zabezpiecze
informatycznych moe polega np. na skorzystaniu z bdw (bugw) w
programie komputerowym czyli bdw w jego kodzie rdowym bd
bdw wynikych na etapie kompilacji, skutkujcych nieprawidowym jego
dziaaniem umoliwiajc napastnikowi ominicie zabezpiecze bez
koniecznoci ich pokonywania i dostp do informacji znajdujcych si w
programie
bez
posiadania
stosownych
uprawnie.
Ominicie
zabezpieczenia moe rwnie polega na wykorzystaniu luki backdoor,
czyli luki celowo stworzonej celem pniejszego skorzystania z niej celem
dostpu do programu z ominiciem zabezpiecze. Uzyskanie dostpu
do caoci lub czci systemu informatycznego, naley rozumie jako
potencjaln moliwo korzystania z funkcji tego systemu oraz wpywania
na
jego
dziaanie.
Z kolei dane informatyczne naley rozumie zgodnie z treci art. 1 lit.
b konwencji o cyberprzestpczoci jako dowolne przedstawienie faktw,
informacji lub poj w formie waciwej dla przetwarzania w systemie
komputerowym, bd cznie z odpowiednim programem powodujcym
wykonanie funkcji przez system informatyczny. Natomiast jako zmian
zapisu danych informatycznych naley rozumie jako przeksztacenie
zapisu
tych
danych,
modyfikacj
treci
zapisanych
danych
informatycznych. Zmiana wywoana przez zachowanie sprawcy moe mie
charakter trway lub czasowy, moe by nieodwracalna lub te stwarzajca
podstawy do przywrcenia pierwotnego zapisu danych informatycznych.
Zmiana zapisu danych informatycznych moe polega na ingerencji w ich
zapis, prowadzcej do cakowitego lub czciowego pozbawienia tych
danych sensu, wprowadzeniu nowego kodu danych informatycznych,
zaszyfrowaniu tych danych. Usunicie danych informatycznych polega
za na takiej zmianie zapisu tych danych, ktra w konsekwencji prowadzi
do powstania zapisu nieuwzgldniajcego co najmniej czci danych
zapisanych na odpowiednim noniku przed dokonaniem przez sprawc
5

czynnoci usuwania. Usunicie to zatem likwidacja czci lub caoci

zapisu danych informatycznych. Usunicie moe mie charakter trway i
nieodwracalny lub moe by czasowe i umoliwiajce odzyskanie
pierwotnego zapisu danych informatycznych. (Kodeks karny. Cz
szczeglna.
Tom
III.
Komentarz
do
art.
278363,
Wyd. Lex 2013).
III. Programy typu bug bounty w kontekcie przepisw prawa
karnego
Jak ju wskazywano celem programw typy bug bounty jest
zaproszenie do znajdowania luk i bdw w oprogramowaniu lub systemie
teleinformatycznym.
Na wstpie zauwaenia wymaga, e przywoane powyej przepisy
Kodeksu karnego wskazuj na dziaanie osb nie posiadajcych
stosownych uprawnie. Zasadnym wydaje si przyjcie, e w przypadku
opublikowania przez administratora systemu regulaminu programu typu
bug bounty, zawierajcego w sobie m.in. zgod na podjcie prby
uzyskania dostpu do systemu komputerowego, nie zostan wypenione
znamiona w/w przestpstw, gdy w istocie administrator systemu przyzna
potencjalnym uytkownikom uprawnienie do dostpu do systemu.
Natomiast, w przypadku gdy program typu bug bounty nie byby
realizowany zgodnie z ogoszonym przez administratora systemu
regulaminem, istnieje ryzyko pocignicia osb biorcych udzia w bug
bounty do odpowiedzialnoci karnej, na podstawie przywoanych
przepisw Kodeksu karnego.
Zwrci jednak naley uwag, e zgodnie z art. 269b Kodeksu
karnego penalizowane jest wytwarzanie urzdze lub programw
komputerowych
przystosowanych
do
popenienia
przestpstwa
okrelonego w art. 165 1 pkt 4, art. 267 3, art. 268a 1 albo 2 w
zwizku z 1, art. 269 2 albo art. 269a, a take hase komputerowych,
kodw dostpu lub innych danych umoliwiajcych dostp do informacji
przechowywanych w systemie komputerowym lub sieci teleinformatycznej.
Istnieje wic ryzyko, e osoba przygotowujca si do wzicia udziau w
programie bug bounty zostanie oskarona o dokonanie powyszego
przestpstwa.
Przestpstwa stypizowane w art. od 267 do 269a Kodeksu karnego
wskazuj, i dziaanie hakerskie musi mie co do zasady istotny
charakter np. w art. 269 Kodeksu karnego wskazuje si na skutek w
postaci zniszczenia lub usunicia danych i to danych istotnych, z kolei w
art. 269a Kodeksu karnego, wskazuje si na istotne zakcenie dziaania
systemu.
Z uwagi na powysze wydaje si, i nie dojdzie do przestpstwa w
sytuacji, gdy uczestnik programu bug bounty wycznie zidentyfikuje
6

bd systemu i podejmie prb jego wykorzystania, lecz jednoczenie nie

doprowadzi do istotnych zmian w systemie lub zniszczenia danych.
Zawsze jednak naley mie na uwadze, i polskie prawo karne odpowiada
wprowadza penalizacj nie tylko dokonania przestpstwa, lecz take
jego usiowania. W tym miejscu zwrci naley uwag na dodatkow
okoliczno jak jest ewentualne rozwaenie przez organy wymiaru
sprawiedliwoci wystpienia przesanki znikomej szkodliwoci czynu,
ktra wycza karalno zachowania zabronionego ustaw karn. Zgodnie
bowiem z art. 1 2 kodeksu karnego nie stanowi przestpstwa czyn
zabroniony, ktrego spoeczna szkodliwo jest znikoma. Naley jednak
zauway, i orzecznictwo i literatura wskazuje na wyjtkowo ww.
przesanki i jej ograniczone zastosowanie w praktyce.
Naley take wskaza, e zgodnie z lini orzecznicz oraz
stanowiskiem
doktryny,
w wikszoci przypadkw ww. przestpstwa mog zosta dokonane
wycznie w zamiarze bezporednim lub ewentualnym. Oznacza to tym
samym,
i
przypadkowe
popenienie
ww. czynw wycza podcignicie do odpowiedzialnoci karnej. Wydaje
si
take,
i dziaanie w celu innym ni zamanie zabezpieczenia lub jego ominicie,
lecz tylko i wycznie odkrycie jego wad nie stanowi przestpstwa. Intencja
sprawcy jest w tym przypadku jednak trudna do udowodnienia. Znaczenie
ma te ocena podjtych dziaa, ktre bd wymagay w przypadku
postpowania karnego udowodnieniu za pomoc biegych.
Naley te wskaza na art. 9 Kodeksu karnego, zgodnie z ktrym
czyn zabroniony popeniony jest umylnie, jeeli sprawca ma zamiar jego
popenienia, to jest chce go popeni albo przewidujc moliwo jego
popenienia, na to si godzi. Tym samym intencja sprawcy w postaci
dokonania przeamania zabezpieczenia lub jego ominicia a nastpnie
ewentualnego wskazania dysponentowi systemu informatycznego ww.
skutkw swojej dziaalnoci (w dobrej wierze) i w celu poprawienia stanu
bezpieczestwa systemu nie wycza odpowiedzialnoci karnej. Wskazana
intencja moe mie wycznie znaczenie do ewentualnego okrelenia
zakresu odpowiedzialnoci. Zgodnie bowiem z art. 15 Kodeksu karnego
nie podlega karze za usiowanie, kto dobrowolnie odstpi od dokonania
lub zapobieg skutkowi stanowicemu znami czynu zabronionego. Sd
moe jednak zastosowa nadzwyczajne zagodzenie kary w stosunku do
sprawcy, ktry dobrowolnie stara si zapobiec skutkowi stanowicemu
znami czynu zabronionego. Jak ju wskazano ustalenie zamiaru
sprawcy, oraz ocena etapu popenienia czynu (usiowanie czy ju
dokonanie)
powoduje
due
trudnoci
dowodowe
po
stronie
podejrzanego/oskaronego.
IV. Wnioski
7

Jak ju wskazano przestpstwa z art. 267 oraz 268 Kodeksu karnego

cigane s na wniosek pokrzywdzonego. Mona rozway rezygnacj z
publicznego cigania przestpstwa, o ktrym mowa w art. 269a Kodeksu
karnego w celu przenoszenia ciaru oceny skutkw zachowania sprawcy
na dysponentw systemw teleinformatycznych. Art. 269a wskazuje, e
kto, nie bdc do tego uprawnionym, przez transmisj, zniszczenie,
usunicie, uszkodzenie, utrudnienie dostpu lub zmian danych
informatycznych, w istotnym stopniu zakca prac systemu
komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia
wolnoci od 3 miesicy do lat 5. W takim wariancie, w przypadku
przestpstw
ciganych
na
wniosek
to
dysponent
systemu
teleinformatycznego zyskuje prawo podjcia decyzji, czy bdzie chcia
pocign do odpowiedzialnoci karnej osob, ktra uzyskaa dostp do
jego systemu lub zakcia istotnie jego prac. Kieruje si w tym przypadku
rozmiarami oraz skutkami dziaa podjtymi przez osoby, ktre
uczestnicz albo te podszywaj si pod dziaanie programu bug bounty.
W przypadku zoenia wniosku o ciganie, moliwa jest obrona poprzez
dowodzenie braku zamiaru popenienia przestpstwa lub te braku
spenienia przesanek (opisu) czynu.
Takie rozwizanie nie jest jednak
rekomendowane, gdy jak wskazuj dowiadczenia innych pastw
prezentowane na forum midzynarodowym, wprowadzenie cigania ww.
rodzaju przestpstw na wniosek moe skutkowa wzrostem przestpczoci
polegajcej na dokonywaniu atakw hackerskich w celu szantaowania
wacicieli systemw teleinformatycznych. W takim przypadku organy
cigania pozbawiane s moliwoci podejmowania czynnoci (brak jest
formalnego wniosku pokrzywdzonego).
Celowe mogoby by dokonanie zmiany art. 269b Kodeksu karnego,
ktry stanowi, e kto wytwarza, pozyskuje, zbywa lub udostpnia innym
osobom urzdzenia lub programy komputerowe przystosowane do
popenienia przestpstwa okrelonego w art. 165 1 pkt 4, art. 267 3,
art. 268a 1 albo 2 w zwizku z 1, art. 269 2 albo art. 269a, a take
hasa komputerowe, kody dostpu lub inne dane umoliwiajce
dostp
do
informacji
przechowywanych
w
systemie
komputerowym lub sieci teleinformatycznej, podlega karze
pozbawienia wolnoci do lat 3. Aktualnie analizowana jest moliwo
wprowadzenia przepisw o charakterze kontratypw ww. przestpstw,
czyli przepisw wyczajcych karalno wytwarzania i posiadania ww.
urzdze lub programw komputerowych w celach prowadzenia bada
naukowych zwizanych z cyberbezpieczestwem (pierwszy kontratyp) oraz
w celu testowania systemw komputerowych za zgod ich waciciela
(drugi kontratyp). Konkretne propozycje zmian przedstawione zostan w
cigu najbliszych tygodni.

Z analizy przestpstw komputerowych wynika, i szkoda nie jest

cech niezbdn kwalifikacji przestpstwa, dlatego te wprowadzenie
przesanki w postaci szkody jako elementu przestpstwa, a nastpnie
wyczenia karalnoci w sytuacji "mniejszej wagi lub niskiej szkody lub
jej braku (jako wyjtku wyczajcego odpowiedzialno karn) nie bdzie
stanowio istotnej zmiany z punktu widzenia dziaa bug bounty. Nadto
ww. rozwizanie moe okaza si niesystemowe, gdy jak ju wskazywano
przesanka szkody moe mie wpyw na wymiar orzeczonej przez sd kary.
Dodatkowo wprowadzenie elementu szkody wymagaoby dokonania
zmiany konstrukcji ww. przepisw. Przykadowo naleaoby odstpi od
przesanki istotnoci zakcenia pracy systemu (art. 269a) a zamiast
ww. przesanki wprowadzi przesank wystpienia szkody, czyli dokonania
oceny czy zakcenie wywoao szkod. Obecnie wystarczajcym jest
udowodnienie wycznie charakteru zakcenia. W przypadku za
przestpstwa penalizujcego uzyskanie dostpu do programu mogoby to
spowodowa due problemy z okreleniem potencjalnej szkody, gdy
zachowania osb atakujcych systemy, co do zasady trudne s do
wykrycia oraz oceny skali ataku.
Propozycj uchylenia karalnoci osb dziaajcych w ramach
programu bug bounty poprzez wprowadzenie przepisu analogicznego jak
w przypadku apownictwa (odstpienie od karalnoci w przypadku
przyznania si dobrowolnego do przestpstwa) naley uzna za wtpliw i
dajc szerokie pole do naduy. Naley bowiem wskaza, e udzielenie
albo obiecywanie udzielenia korzyci majtkowej lub osobistej osobie
penicej funkcj publiczn w zwizku z penieniem tej funkcji jest co do
zasady przestpstwem. Jedynie w celu zwikszenia wykrywalnoci ww.
przestpstw ustawodawca postanowi uwolni od odpowiedzialnoci karnej
osoby ktre przyznay si do wrczenia. Wskazany przepis odnosi do take
do konkretnej sytuacji tj. wrczenia apwki, w ktrej zamiar i okolicznoci
s jednoznaczne. Ponadto instytucja niepodlegania karze stanowi
wyjtek w polskim systemie prawa karnego. Stosowana jest w co do
zasady trzech typach sytuacji. W sytuacjach, w ktrych ujawnienie
przestpstwa jest istotn wartoci dla ustawodawcy tj. omwione wyej
apownictwo, szpiegostwo, terroryzm albo udzia w zorganizowanej
przestpczoci. Druga grupa sytuacji, w ktrych zastosowanie znajduje
ww. konstrukcja to, przypadku, gdy popenienie czynu wywoywao skutki w
postaci np. naraenia na niebezpieczestwo, ktre to niebezpieczestwo
zostao jednake nastpnie uchylone przez sprawc. Do ostatniej grupy
nale przypadki, w ktrych ustawodawca w celu zapewnienia prawa do
obrony i poszanowania wizi rodzinnych odstpuje od wymierzenia kary za
skadanie faszywych zezna, ukrywanie sprawcy, gdy nastpio to z
obawy przed odpowiedzialnoci karn groc osoby dokonujcej tych
czynw lub jej najbliszym. Wprowadzenie ww. rozwizania w przypadku
9

osb dokonujcych atakw na systemy teleinformatyczne mogoby

doprowadzi do zwikszenia si iloci tego rodzaju zachowa, z uwagi na
stosunkowo proste uchylenie si od odpowiedzialnoci karnej w postaci
zoenia donosu na wasn osob.

10