Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wybrane ryzyka prawne dotyczące zapłaty okupu w przypadku cyberataku
Publikujemy pierwszy z serii artykułów, które znajdą się w zaktualizowanym i poprawionym drugim wydaniu Poradnika obsługi incydentów. Tekst odpowiada m.in. na pytanie ~czy płacenie okupów jest legalne, nawet jeżeli zrobi to za was ~ubezpieczyciel.
Artykuł powstał przy współpracy z kancelarią Rymarz Zdort Maruta. Autorami tekstu są Bartłomiej Wachta i Maciej Troć.
Wybrane ryzyka prawne dotyczące zapłaty okupu w przypadku cyberataku
Najczęstszym rodzajem cyberataku, w którym pojawia się żądanie okupu, jest atak z wykorzystaniem ransomware’ów. Polega on na zainfekowaniu komputera ofiary złośliwym oprogramowaniem przejmującym kontrolę nad jej zasobami i żądaniu okupu w zamian za przywrócenie dostępności i poufności tych zasobów. Kluczowym elementem ataku z użyciem ransomware’a jest szantaż wymuszający za pomocą gróźb określone zachowanie ofiary [1]. Zwykle taki szantaż ma na celu uzyskanie okupu w formie pieniężnej, ale zdarzają się także inne żądania, jak np. zmiana funkcjonalności produktów[2], czy pomoc w zainfekowaniu kolejnych osób[3].
Zasadniczym dylematem osoby zaatakowanej jest to, czy spełnić żądanie atakującego i zapłacić okup. Z perspektywy „praktycznej” istnieje szereg argumentów przeciwko płaceniu okupu, w tym przede wszystkim:
- zapłata okupu w żadnej mierze nie gwarantuje, że atakujący przywróci ofierze dostęp do zasobów ani że nie zażąda okupu ponownie;
- nie ma żadnych gwarancji, że integralność przejętych danych i zasobów nie została naruszona – w szczególności możliwe jest umieszczenie w „oddawanych” ofierze zasobach i danych innego rodzaju złośliwego oprogramowania, które uaktywni się po pewnym czasie;
- podobnie nie ma żadnych gwarancji, że poufność przejętych danych i zasobów nie została lub nie zostanie naruszona – w szczególności atakujący może wykonać kopię przejętych danych i w dowolnym czasie i miejscu opublikować ją lub sprzedać;
- zapłata okupu wspiera „społeczność” cyberprzestępców, którzy dzięki pozyskiwanym środkom mają coraz lepsze oprogramowanie służące do przeprowadzania ataków ransomware;
- wreszcie zapłata okupu jest także długofalowo niekorzystna z punktu widzenia podmiotu płacącego okup – ze względu na dochodowość ataku w „społeczności” cyberprzestępców taki podmiot staje się dobrym celem ataku w przyszłości.
Zapłata okupu ma więc szereg oczywistych minusów, jednak mimo tego niektóre zaatakowane podmioty, nie mając kompletnych kopii zapasowych, nie widzą innego wyjścia poza zapłatą okupu. W takiej sytuacji naturalnie pojawia się pytanie, czy zapłata okupu jest działaniem zgodnym z prawem.
W pierwszej kolejności należy zastanowić się, jakiego rodzaju czynnością w świetle uregulowań prawnych jest zapłata okupu. Kwalifikacja zapłaty okupu jest zależna przede wszystkim od czynnika subiektywnego, tj. od woli stron. Jedną z możliwych kwalifikacji zapłaty okupu jest potraktowanie tej czynności jako darowizny uregulowanej w art. 888 i n. Kodeksu cywilnego. Jako że umowa darowizny jest umową nieodpłatną, tj. „darczyńca nie otrzymuje w zamian za swoje świadczenie jakiegokolwiek świadczenia od obdarowanego”[4], strony w tej sytuacji powinny traktować zapłatę okupu jako czynność niezależną od ewentualnego przekazania dostępu do przejętych danych i zasobów, które może, ale nie musi nastąpić w przyszłości.
Inną możliwą kwalifikacją jest potraktowanie zapłaty okupu jako umowy wzajemnej, której przedmiotem mogłoby być odwrócenie skutków dokonanego czynu zabronionego. Taka kwalifikacja byłaby bardziej właściwa w sytuacji, gdy celem stron byłaby obopólna wymiana świadczeń, jednak jednocześnie budzi ona pewne wątpliwości co do zgodności z art. 3531 Kodeksu cywilnego (przede wszystkim co do zgodności treści i celu takiej umowy z ustawą i zasadami współżycia społecznego). Zwłaszcza w sytuacji, w której zapłata okupu byłaby świadczeniem w zamian za niedokonywanie dalszych naruszeń prawa (np. w zamian za niezniszczenie lub nieujawnienie danych), czynność taka mogłaby zostać uznana za nieważną, na podstawie art. 58 ust. 1 Kodeksu cywilnego.
Ryzyko prawne decyzji o zapłacie okupu
Niezależnie od powyższego, należy podkreślić, że w polskim porządku prawnym nie znajduje się żaden przepis wprost zakazujący zapłaty okupu w przypadku cyberataku. W teorii zatem można więc zapłacić okup i mieć nadzieję na odzyskanie dostępu do danych znajdujących się w nieznanym stanie po cyberataku. W praktyce jednak proces zapłaty okupu jest złożony, co sprawia, że w rzeczywistości trudno jest zapłacić okup, nie generując różnorodnych ryzyk prawnych, w szczególności dla osób zarządzających danym podmiotem. Jak zostanie wskazane w dalszej części artykułu, pomimo braku przepisu wprost ustanawiającego zakaz płacenia okupu czynność taka może jednak naruszać niektóre przepisy prawa.
Decyzja o zapłacie okupu w świetle przepisów Kodeksu karnego
Jednym z kluczowych przepisów w tym kontekście jest art. 296 § 1 Kodeksu karnego, który stanowi: „Kto, będąc obowiązany na podstawie przepisu ustawy, decyzji właściwego organu lub umowy do zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby fizycznej, prawnej albo jednostki organizacyjnej niemającej osobowości prawnej, przez nadużycie udzielonych mu uprawnień lub niedopełnienie ciążącego na nim obowiązku, wyrządza jej znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. Zakres podmiotowy tego przepisu został określony stosunkowo szeroko – popełnić je może każda osoba, która na podstawie przepisu ustawy, decyzji właściwego organu lub umowy jest obowiązana do zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby fizycznej, prawnej albo jednostki organizacyjnej niemającej osobowości prawnej (przykładowo będą to m.in. dyrektor przedsiębiorstwa państwowego, członek zarządu w spółce kapitałowej, prokurent, pełnomocnik, radca prawny zajmujący się sprawami majątkowymi jednostki, etc.)[5].
W orzecznictwie wskazuje się przy tym, że „za osobę zajmującą się cudzymi sprawami majątkowymi uznaje się tylko tego, kogo obowiązki i uprawnienia obejmują łącznie zarówno dbałość o uchronienie powierzonego mienia przed uszczerbkiem, zniszczeniem lub zagubieniem, pogorszeniem stanu interesów majątkowych, jak i wykorzystanie tego mienia w procesie gospodarowania w taki sposób, aby zostało ono powiększone lub wzrosła jego wartość. Przez zajmowanie się sprawami majątkowymi lub działalnością gospodarczą rozumie się wszelkie zachowanie polegające na decydowaniu w tych sprawach, współdziałaniu w decyzjach lub wpływaniu na rozstrzygnięcia bądź udzielaniu rady, jeśli jest się do tego zobowiązanym z jakiegokolwiek tytułu”[6]. Odpowiedzialność w tym zakresie może w niektórych przypadkach dotyczyć także członka rady nadzorczej spółki[7].
Podobnie zakres przedmiotowy tego przepisu należy rozumieć szeroko, tj. przez pojęcie wyrządza znaczną szkodę majątkową należy rozumieć „wszelkie działania i zaniechania prowadzące skutecznie do wskazanej szkody”[8]. Należy przy tym wspomnieć, że zgodnie z art. 115 § 5 i 7 Kodeksu karnego przez pojęcie znacznej szkody należy rozumieć szkodę, której wartość w czasie popełnienia czynu zabronionego przekracza 200 000 zł. Zważywszy na to, że średnia wartość płaconego okupu w 2021 roku wyniosła ponad 810 000 USD[9], nie należy mieć wątpliwości, że w większości przypadków zapłata okupu będzie potencjalnie stanowiła „znaczną szkodę” w rozumieniu Kodeksu karnego. W przypadku kwoty tego rzędu należy wręcz brać pod uwagę odpowiedzialność z art. 296 § 3 Kodeksu karnego przewidujący typ kwalifikowany przestępstwa z art. 296 Kodeksu karnego, zagrożony karą do 10 lat pozbawienia wolności, polegający na wyrządzeniu szkody majątkowej w wielkich rozmiarach (zgodnie z art. 115 § 6 i 7a Kodeksu karnego przez szkodę w wielkich rozmiarach należy rozumieć szkodę, której wartość w czasie popełnienia czynu zabronionego przekracza 1 000 000 zł).
W świetle powyższego, jasnym wydaje się, że zapłata okupu generuje ryzyko odpowiedzialności karnej z art. 296 Kodeksu karnego dla szerokiego grona osób decyzyjnych w różnego rodzaju podmiotach. Inaczej niż szkody poniesione bezpośrednio na skutek cyberataku, które są niezależne od woli jakiejkolwiek osoby decyzyjnej, w przypadku zapłaty okupu mamy do czynienia ze świadomą decyzją osób zarządzających zaatakowanym podmiotem. Odpowiedzialność z art. 296 Kodeksu karnego może zmaterializować się w szczególności w sytuacji, gdy zapłata okupu nie przyniesie oczekiwanego rezultatu, tj. atakujący nie przywróci dostępu do przejętych zasobów i danych podmiotu płacącego okup. Jednak nawet jeśli dostęp zostanie przywrócony, taka odpowiedzialność nie jest wykluczona. Jak się bowiem wskazuje, okup płacony jest w najlepszym razie za „czasowy dostęp do swoich danych w nieznanym stanie”[10]. W takiej sytuacji niewykluczone jest uznanie, że kwota zapłacona za odzyskanie dostępu do zasobów i danych jest niewspółmierna do uzyskanych w ten sposób korzyści.
Naruszenie dyscypliny finansów publicznych
Niezależnie od ryzyka odpowiedzialności z art. 296 Kodeksu karnego w jednostkach sektora finansów publicznych może zmaterializować się ryzyko odpowiedzialności za naruszenie dyscypliny finansów publicznych. Odpowiedzialność w tym zakresie reguluje ustawa z 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych. Zgodnie z art. 4 tej ustawy odpowiedzialności tej podlegają m.in. kierownicy oraz osoby wykonujące budżet lub plan finansowy jednostki sektora finansów publicznych. Należy zakładać, że zapłata okupu w większości przypadków będzie wiązała się z naruszeniem art. 11 ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych, który stanowi: „Naruszeniem dyscypliny finansów publicznych jest dokonanie wydatku ze środków publicznych bez upoważnienia określonego ustawą budżetową, uchwałą budżetową lub planem finansowym albo z przekroczeniem zakresu tego upoważnienia lub z naruszeniem przepisów dotyczących dokonywania poszczególnych rodzajów wydatków”. W sferze publicznoprawnej nie stosuje się bowiem zasady „co nie jest zakazane, jest dozwolone” – możliwość dokonania wydatków ze środków publicznych musi bowiem wynikać z istnienia zawartej w przepisach prawa materialnego podstawy prawnej do dokonania konkretnego wydatku[11]. Ustawowy obowiązek dokonania określonego wydatku oznacza konieczność uwzględnienia go w planie finansowym jednostki, a „jeśli nakaz dokonania danego rodzaju wydatku nie wynika z przepisu prawa materialnego – to zarówno umieszczenie go w planie finansowym jednostki, jak i dokonanie takiego wydatku jest nieuprawnione”[12].
Jako że w polskim systemie prawnym trudno jest znaleźć przepis, który nakazywałby zapłatę okupu po skutecznym cyberataku, co do zasady należy zakładać, że trudne w praktyce byłoby uwzględnienie środków na zapłatę ewentualnego okupu w planie finansowym jednostki. Z tego względu wydaje się, że decyzja o zapłacie okupu w jednostce sektora finansów publicznych wiąże się z ryzykiem odpowiedzialności za naruszenie dyscypliny finansów publicznych dla kierowników oraz osób wykonujących budżet lub plan finansowy jednostki sektora finansów publicznych.
Niezależnie od ryzyk opisanych powyżej, zapłata okupu zwykle wiąże się z koniecznością przeprowadzenia szeregu czynności faktycznych, które same w sobie także mogą generować różnego rodzaju ryzyka prawne. Jako że współcześnie większość cyberprzestępców żąda okupu w kryptowalucie, zapłata okupu wymaga jej nabycia oraz przesłania anonimowemu odbiorcy. Same te czynności generują wiele wyzwań technicznych i prawnych – żeby zakupić kryptowalutę, należy w praktyce skorzystać z usług jednego z pośredników i założyć w tym celu portfel kryptowalutowy. Jeśli te czynności wykonywane są w podmiocie po raz pierwszy, łączą się one z koniecznością wypracowania w organizacji odpowiedniego podejścia księgowego oraz podatkowego do kryptowalut, co w zależności od podmiotu, może wiązać się z koniecznością zmiany różnego rodzaju wewnętrznych polityk i procedur.
Ponadto zapłata okupu wiąże się w praktyce z poważnym ryzykiem naruszenia reżimu sankcyjnego wprowadzonego w związku z atakiem Rosji na Ukrainę. Obecnie na szczeblu europejskim i krajowym obowiązuje szereg aktów prawnych, które nakładają znaczące ograniczenia w zakresie współpracy z podmiotami umieszczonymi na listach sankcyjnych. Takie listy sankcyjne są prowadzone m.in. na podstawie rozporządzenia 269/2014[13] oraz ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Wobec podmiotów umieszczonych na tych listach stosuje się szereg środków, w tym m.in. środki z art. 2 ust. 2 rozporządzenia 269/2014 stanowiącego, że „nie udostępnia się wymienionym w załączniku I osobom fizycznym lub prawnym, podmiotom lub organom ani powiązanym z nimi osobom fizycznym lub prawnym, podmiotom lub organom, ani też na ich rzecz – bezpośrednio lub pośrednio – żadnych środków finansowych ani zasobów gospodarczych”. Nie można więc w praktyce zapłacić okupu na rzecz anonimowego cyberprzestępcy, nie ryzykując naruszenia reżimu sankcyjnego poprzez przekazanie mu „środków finansowych lub zasobów gospodarczych”.
Zlecenie zapłaty okupu jako usługi
Powyższe kwestie często skłaniają do „wyoutsourcowania” zapłaty okupu na doradców zewnętrznych. Jedną z możliwości jest przekazanie tego zadania współpracującej z danym podmiotem kancelarii prawnej. Powstaje zatem pytanie, czy radcowie prawni lub adwokaci mogą wesprzeć swojego klienta, płacąc lub zlecając zapłatę okupu w imieniu swojego klienta? Wydaje się, że odpowiedź na to pytanie jest negatywna.
Powstaje tutaj przede wszystkim wątpliwość, jak rozliczyć taką usługę. Zważywszy na to, że średni okup płacony cyberprzestępcom istotnie przekracza kwotę 3 000 000 zł, trudno sobie wyobrazić sytuację, w której taka kwota mogłaby zostać „uwzględniona” w bieżących rozliczeniach kancelarii prawnej oraz klienta. Kwota zresztą nie ma tu decydującego znaczenia, jej wielkość jest tylko czynnikiem ułatwiającym wykrycie problemu. Niezależnie bowiem od wartości okupu, wciąż mielibyśmy do czynienia z zapłatą za „usługę”, której de facto nie stanowi wynagrodzenia kancelarii, a beneficjent rzeczywisty takiego transferu jest inny.
Po pierwsze, taka sytuacja generuje ryzyko odpowiedzialności z art. 62 § 2 Kodeksu karnego skarbowego, który stanowi: „Kto fakturę lub rachunek wystawia w sposób nierzetelny albo takim dokumentem się posługuje, podlega karze grzywny do 720 stawek dziennych albo karze pozbawienia wolności na czas nie krótszy od roku, albo obu tym karom łącznie”. Przez analogię do definicji nierzetelnego prowadzenia ksiąg zawartej w art. 53 § 22 Kodeksu karnego skarbowego, należy przyjąć, że nierzetelna faktura to faktura „niezgodna ze stanem rzeczywistym”. Podobny wniosek płynie z brzmienia art. 22 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości, w którym w kontekście dowodów księgowych pojęcie rzetelności rozumie się jako zgodność z „rzeczywistym przebiegiem operacji gospodarczej”. Jak wskazuje się ponadto w doktrynie, posługiwanie się nierzetelną fakturą oznacza wszelkie jej wykorzystanie w obrocie prawnym dla celów podatkowych, np. dla odliczenia naliczonego podatku VAT, skorzystania z określonej ulgi podatkowej, zakwalifikowania rzekomej czynności do kategorii kosztów uzyskania przychodu itp.[14]. Jako że trudno wyobrazić sobie sytuację, w której doradca zewnętrzny rzetelnie rozlicza „usługę” zapłaty okupu, może pojawić się w takiej sytuacji ryzyko odpowiedzialności z art. 62 § 2 Kodeksu karnego skarbowego.
Po drugie, jeśli doradca zewnętrzny mający zapłacić okup w imieniu swojego klienta jest podmiotem obowiązanym w rozumieniu ustawy o AML[15], zachowanie zgodności regulacyjnej będzie znacznie bardziej wymagające. Zgodnie z art. 2 ustawy o AML za instytucje obowiązane uznaje się szereg podmiotów, w tym m.in. banki, firmy inwestycyjne, firmy ubezpieczeniowe, notariuszów, adwokatów, radców prawnych czy biura rachunkowe. Zapłatę okupu należy uznać za „transakcję okazjonalną” w rozumieniu art. 2 pkt 22 ustawy o AML, przez którą rozumie się czynność prawną lub faktyczną, na podstawie której dokonuje się przeniesienia własności lub posiadania wartości majątkowych, lub czynność prawną lub faktyczną dokonywaną w celu przeniesienia własności lub posiadania wartości majątkowych, która nie jest przeprowadzana w ramach stosunków gospodarczych. Zgodnie z art. 33 ust. 1 i 2 ustawy o AML instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego oraz rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. W sytuacji zapłaty okupu może okazać się, że ryzyko prania pieniędzy i finansowania terroryzmu jest wysokie, chociażby ze względu na to, że podmiot otrzymujący okup jest anonimowy, a sama transakcja przeprowadzana jest zwykle z wykorzystaniem kryptowaluty.
Po trzecie, w przypadku doradców zewnętrznych będących adwokatami lub radcami prawnymi, należy także wziąć pod uwagę odpowiednio postanowienia Kodeksu Etyki Adwokackiej oraz Kodeksu Etyki Radcy Prawnego. Oba te dokumenty w sposób stosunkowo ścisły określają zasady, zgodnie z którymi adwokaci i radcowie prawni powinni kształtować wysokość wynagrodzenia za usługi prawne. W przypadku radców prawnych mowa jest o tym w art. 36 ust. 2 Kodeksu Etyki Radcy Prawnego, który stanowi: „Wysokość wynagrodzenia powinna być ustalana, w szczególności z uwzględnieniem koniecznego nakładu pracy, wymaganej specjalistycznej wiedzy, umiejętności i odpowiedniego doświadczenia, stopnia trudności i złożoności sprawy, jej precedensowego bądź nietypowego charakteru, miejsca i terminu świadczenia usługi lub innych szczególnych warunków wymaganych przez klienta, znaczenia sprawy dla klienta, odpowiedzialności wiążącej się z prowadzeniem sprawy, utraty lub ograniczenia możliwości pozyskania lub wykonywania czynności zawodowych na rzecz innych klientów oraz rodzaju więzi z klientem”. W przypadku adwokatów zastosowanie znajduje § 34 ust. 1 Kodeksu Etyki Adwokackiej, zgodnie z którymi w sprawach finansowych obowiązuje adwokata w stosunku do klienta skrupulatność i rzetelność. Wydaje się, że również w tym świetle niezgodnym z etyką zawodu adwokata i radcy prawnego jest „rozliczanie” zapłaty okupu w ramach bieżącej współpracy z klientem dotyczącym świadczenia pomocy prawnej.
Ubezpieczenie na wypadek ataku z użyciem ransomware’a
Przy założeniu, że pomimo wyżej wskazanych ryzyk, dany podmiot i tak będzie skłonny do zapłacenia cyberprzestępcy okupu w nadziei na odzyskanie dostępu do swoich zasobów i danych, powstaje pytanie czy od „konieczności” zapłaty okupu można się odpowiednio ubezpieczyć. Zgodnie z art. 4 ust. 1 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej „przez działalność ubezpieczeniową rozumie się wykonywanie czynności ubezpieczeniowych związanych z oferowaniem i udzielaniem ochrony na wypadek ryzyka wystąpienia skutków zdarzeń losowych”. Co do zasady więc skutki każdego zdarzenia losowego mogą być przedmiotem ubezpieczenia. Przez zdarzenie losowe należy natomiast zgodnie z art. 3 ust. 1 pkt 57 tejże ustawy rozumieć „niezależne od woli ubezpieczającego lub ubezpieczonego zdarzenie przyszłe i niepewne, którego wystąpienie powoduje uszczerbek w dobrach osobistych lub w dobrach majątkowych albo zwiększenie potrzeb majątkowych po stronie ubezpieczającego lub innej osoby objętej ochroną ubezpieczeniową”.
O ile nie budzi wątpliwości, że sam atak ransomware’owy jest zdarzeniem losowym z perspektywy zaatakowanego podmiotu, o tyle zapłata okupu jest już zdarzeniem w pewnym sensie zależnym od woli osób kierujących zaatakowanym podmiotem, co uzasadniałoby pogląd, iż zapłata okupu nie powinna być objęta ochroną ubezpieczeniową. Praktyka pokazuje, iż przynajmniej w przypadku niektórych ubezpieczycieli ewentualna zapłata okupu w ramach ubezpieczenia od ryzyk cybernetycznych nie jest wykluczona. Przykładowo, ogólne warunki ubezpieczenia od ryzyk cybernetycznych oferowanego przez PZU posługują się terminem „koszty cyberwymuszenia”, które są częścią „kosztów naprawienia” i jako takie podlegają pokryciu lub zwrotowi przez ubezpieczyciela[16]. Przez „koszty cyberwymuszenia” należy rozumieć „zwrot uzasadnionych opłat, kosztów i wydatków poniesionych przez Ubezpieczonego lub wypłaconych w jego imieniu za uprzednią zgodą Ubezpieczyciela, której to zgody Ubezpieczyciel nie będzie bezzasadnie wstrzymywał, w celu usunięcia lub ograniczenia realnego zagrożenia wystąpienia Zakłócenia Działalności, Naruszenia Danych lub Naruszenia Bezpieczeństwa Sieci wynikające z faktycznego wymuszenia przez osobę trzecią”. Dokument zawierający informacje o produkcie ubezpieczeniowym potwierdza, że „koszty wymuszenia” są pokrywane przez ubezpieczyciela i precyzuje ponadto, że koszty wymuszenia pojawiają się w kontekście ataku z wykorzystaniem ransomware’a. O ile przytoczone wyżej dokumenty nie wskazują wprost, że ubezpieczenie pokrywa zapłatę okupu, to z całą pewnością też go nie wykluczają. W przypadku Egro Hestii wprost jest już mowa o możliwości zapłaty okupu[17]. Wydaje się więc, że ubezpieczyciele zostawiają sobie otwartą furtkę, żeby każdy przypadek analizować odrębnie i ewentualnie podejmować indywidualne decyzje o zapłacie okupu, traktując to jako „koszt cyberwymuszenia”.
Należy jednak podkreślić, że ubezpieczyciele w żadnym razie nie gwarantują, że w każdej sytuacji zapłata okupu jest objęta ochroną ubezpieczeniową. Ponadto, jak wskazują eksperci, dostępność cyberpolis nie jest wysoka, a uzyskanie odpowiedniej cyberpolisy uzależnione jest w praktyce od wdrożenia odpowiednich zabezpieczeń przed atakiem i posiadania wyedukowanych i przeszkolonych pracowników[18]. Zapłata okupu jest zatem traktowana jako ostateczność i poprzedzona gruntowną analizą.
Podsumowanie
Warto także wspomnieć, że w kontekście zapłaty okupu istotny może okazać się czynnik międzynarodowy, jako że w niektórych jurysdykcjach zapłata okupu jest wprost uznawana za nielegalną. Przykładem takiej jurysdykcji są Włochy, gdzie notabene pomimo barier prawnych nie zaobserwowano mniejszej liczby przypadków płatności okupu w porównaniu do innych państw europejskich[19]. Jeśli cyberatak dotyczy więc większej liczby spółek z grupy kapitałowej zarejestrowanych w różnych jurysdykcjach, należy każdorazowo przeanalizować lokalne regulacje w tym zakresie.
Podsumowując, pomimo że w polskim systemie prawnym zapłata okupu w przypadku cyberataku nie jest wprost zakazana, to jej dokonanie wiąże się z szeregiem ryzyk prawnych. Po pierwsze, zapłata okupu generuje ryzyko odpowiedzialności karnej z art. 296 Kodeksu karnego dla szerokiego grona osób decyzyjnych w różnego rodzaju podmiotach – zarówno prywatnych, jak i publicznych. Ponadto, w jednostkach sektora finansów publicznych decyzja o zapłacie okupu wiąże się z ryzykiem odpowiedzialności za naruszenie dyscypliny finansów publicznych dla kierowników oraz osób wykonujących budżet lub plan finansowy tychże jednostek. Jeśli zaatakowane podmioty będą szukały wsparcia w zapłacie okupu u doradców zewnętrznych, w tym adwokatów lub radców prawnych, ryzyka prawne mogą zmaterializować się w zakresie zgodności takiego działania z Kodeksem karnym skarbowym, ustawą o AML, oraz zasadami etyki zawodowej. Powyższe ryzyka w pewnym stopniu może mitygować odpowiednio przeprowadzona analiza ryzyka oraz nabycie ubezpieczenia od ryzyk cybernetycznych, które w niektórych przypadkach może obejmować zapłatę okupu.
Przypisy
[1] ENISA Threat Landscape for Ransomware Attacks, July 2022, https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks (dostęp: 11.01.2023 r.), s. 8.
[2] W przypadku ataku ransomware na producenta kart graficznych Nvidia zażądano okupu w postaci usunięcia ograniczenia Lite Hash Rate (LHR) zmniejszającego wydajność wydobywania kryptowalut w kartach graficznych Nvidii z serii RTX 30 (A. Hope, Nvidia Data Leak Exposed Proprietary Information but Wasn’t a Russian Ransomware Attack, Company Says, https://www.cpomagazine.com/cyber-security/nvidia-data-leak-exposed-proprietary-information-but-wasnt-a-russian-ransomware-attack-company-says/ (dostęp: 11.01.2023 r.).
[3] R. Whitwam, New ransomware offers to restore your files for free — if you infect two friends, https://www.extremetech.com/internet/240933-new-ransomware-offers-restore-files-free-infect-two-friends, (dostęp: 11.01.2023 r.).
[4] G. Karaszewski [w:] Kodeks cywilny. Komentarz aktualizowany, red. J. Ciszewski, P. Nazaruk, LEX/el. 2022, art. 888.
[5] M. Kulik [w:] Kodeks karny. Komentarz aktualizowany, red. M. Mozgawa, LEX/el. 2023, art. 296.
[6] Wyrok SA w Krakowie z dnia 20 października 2011 r., II AKa 145/11, Legalis nr 442053.
[7] Zob. wyrok SA we Wrocławiu z dnia 23 marca 2016 r., II AKa 64/16, Legalis nr 1461158.
[8] R.A. Stefański (red.), Kodeks karny. Komentarz. Wyd. 6, Warszawa 2023, Legalis.
[9] The State of Ransomware 2022, A Sophos Whitepaper, https://assets.sophos.com/X24WTUEQ/at/4zpw59pnkpxxnhfhgj9bxgj9/sophos-state-of-ransomware-2022-wp.pdf, (dostęp: 13.01.2023 r.).
[10] #CyberMagazyn: Czy płacić okup za ataki ransomware? „Nie negocjuje się z terrorystami”, https://cyberdefence24.pl/social-media/cybermagazyn-czy-placic-okup-za-ataki-ransomware-nie-negocjuje-sie-z-terrorystami, (dostęp: 13.01.2023 r.).
[11] W. Misiąg (red.), Ustawa o odpowiedzialności za naruszenie dyscypliny finansów publicznych [w:] W. Misiąg (red.), Ustawa o finansach publicznych. Ustawa o odpowiedzialności za naruszenie dyscypliny finansów publicznych. Komentarz. Wyd. 3, Warszawa 2019.
[12] W. Misiąg (red.), Ustawa…
[13] Rozporządzenie Rady (UE) nr 269/2014 z dnia 17 marca 2014 r. w sprawie środków ograniczających w odniesieniu do działań podważających integralność terytorialną, suwerenność i niezależność Ukrainy lub im zagrażających (Dz. U. UE. L. z 2014 r. Nr 78, str. 6 z późn. zm.).
[14] L. Wilk, J. Zagrodnik, Kodeks karny skarbowy. Komentarz. Wyd. 5, Warszawa 2021.
[15] Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
[16] Ogólne warunki ubezpieczenia od ryzyk cybernetycznych, https://www.pzu.pl/_fileserver/item/1542567, (dostęp: 13.01.2023 r.).
[17] Ogólne warunki ubezpieczenia od ryzyk cybernetycznych, https://cdn.bsbox.pl/files/hestia/MTI7MDA_/19786b94f8fe2f0bb3495e5007ba7014_documents-232ba198-c922-4261-9fe4-48a1803cca31.pdf (dostęp: 23.01.2023 r.)
[18] T. Janoś, Polisa na wypadek cyberataku, https://crn.pl/aktualnosci/polisa-na-wypadek-cyberataku/, (dostęp: 13.01.2023 r.).
[19] The State of Ransomware 2022, A Sophos Whitepaper, https://assets.sophos.com/X24WTUEQ/at/4zpw59pnkpxxnhfhgj9bxgj9/sophos-state-of-ransomware-2022-wp.pdf, (dostęp: 13.01.2023 r.).
Dobra robota i świetny artykuł !!!!
Kiedy Adam napisze książkę to powinna ona nosić tytuł „Adam, ryzyka wybrane”
Nie jest opisany najtypowszy sposób, tzn zamówienie usługi odzyskania danych, zapłacenie firmie informatycznej i nie wnikanie w to jak ta firma informatyczna je odzyska.
Słusznie!
No … słusznie prawisz … to przecież najpopularniejszy sposób … i FV i legancko i lega artis
Z drugiej strony – nie uważanie że własnie użycie firmy informatycznej do zapłaty okupu to prosta droga do wyprowadzenia kasy z przedsiębiorstwa?
Przecież to jest kpina – „zapłata” za FV a potem przelew z tamtej firmy na rachunek w BC czy też nawet rzekome zostawienie w kopercie tej kasy.
@Przemek
W sumie też racja
Chociaż z drugiej strony jak mamy tą firmę informatyczną to jak oni księgują „wyparowanie” pieniędzy które przekazują jako okup?
Zakładając że nie jest to firma jednosobowa to przecież nie moga tego od tak z konta firmowego wypłacić ponieważ mieliby ten sam problem co firma która im to zleciła.
No chyba że ostatecznie jedzie to przez firmy jednoosobowe które już sobie to przelewają na konto prywatne i mogą zrobić z tą kasą co chcą – to w takim razie to prosta ścieżka do wyprowadzania kasy.
@Przemek
W księgowości uproszczonej („na książkę”) chyba nie ma ścisłej kontroli nad wypłatami z konta. Nie wiem jak jest przy ryczałcie.
A w nieuproszczonej chyba posługują się wypłatą „wynagrodzenia” jakiejś osobie prywatnej samozatrudnionej lub nie, która potem załatwia ten okup.
Trzeba jednak mieć na uwadze, że mogą sie pojawić jakieś regulacje uszczelniające.
Stwierdzenie „prywaciarz nie płaci” nabiera nowego znaczenia. :D