Mezi ty nejdůležitější patří na jedné straně internetové bankovnictví sloužící ke správě financí a na straně druhé profil na sociální síti sloužící ke komunikaci s širokým okolím. Protože jde o počítačové systémy, neoprávněný přístup k nim lze postihnout jako počítačový trestný čin dle § 230 odst. 1 tr. z. Reprezentativní dotazníkové šetření realizované v roce 2020 v ČR však ukázalo, že k neoprávněným přístupům dochází poměrně často, a to zejména mezi partnery nebo v rámci úzkého rodinného kruhu. Útočníci získávají přístup zejména s využitím přihlašovacích údajů, které uživatelé online účtů relativně běžně sdílejí s dalšími osobami, a samotná neoprávněnost přístupu může být v řadě případů sporná. Cílem článku je proto poukázat na nesoulad právní normy s běžnou uživatelskou praxí a navrhnout možnou úpravu de lege ferenda tak, aby lépe odpovídala sociální realitě. Při zohlednění mezinárodních závazků by mohlo dojít k částečné dekriminalizaci počítačového trestného činu dle § 230 odst. 1 tr. z. změnou výrazu „překoná“ na „poruší“ a přidáním dalšího znaku k této základní skutkové podstatě – jednání „s úmyslem získat počítačová data nebo s jiným nečestným úmyslem“. Závěrem uvádíme stručná doporučení pro prevenci neoprávněných přístupů k online účtům.
Úvod
Online účty. Snad každý dnes disponuje hned několika, od sociálních sítí přes herní účty až po e-shopy a nepřeberné množství rozličných aplikací. A samozřejmě mezi ně patří v širším smyslu i internetové bankovnictví a účty v online světě nejstarší – e-mailové. Zcela běžně uživatelé využívají vícero účtů určitého typu, typicky několik e-mailových účtů, profily na sociálních sítích, herní účty i internetová bankovnictví.[1] Obvykle však některé z nich vynikají svým významem pro uživatele - internetové bankovnictví, hlavní e-mail coby brána do virtuálního světa uživatele,[2] nejvíce využívaný profil na sociální síti jakožto významný sociální a komunikační prostředek. Právě o internetovém bankovnictví a sociálních sítích tento článek pojednává.[3]
Vychází přitom z poznatků získaných v rámci dvou výzkumných úkolů věnujících se kyberkriminalitě a řešených v Institutu pro kriminologii a sociální prevenci (dále jen IKSP).[4] První z nich, Identifikace a posouzení druhů a trendů kriminality páchané prostřednictvím Internetu, případně dalších sociálních sítí, řešený v letech 2016-2019, se zabýval zejména analýzou vybraných trestních spisů vedených o počítačových trestných činech, dále pak přípravou rozsáhlého dotazníkového šetření.[5] Výsledky šetření jsou v současnosti předmětem analýz v rámci druhého ze zmíněných výzkumných úkolů, a to Posouzení trendů kyberkriminality, řešeného v letech 2020 -2023.[6] Dále čerpáme z veřejně dostupných statistických údajů a právních dokumentů. V následujícím textu uvádíme nejprve podrobnosti ke sběru vlastních dat. Dále pak analýzu relevantních hmotněprávních ustanovení de lege lata a naproti tomu zjištěné poznatky z uvedených výzkumů. Závěrem nastíníme možnou úpravu de lege ferenda a přidáme doporučení pro prevenci.
Analýza trestních spisů naznačila, že neoprávněné vstupování na cizí online účty není zdaleka ojedinělé, přičemž údaje z dotazníkového šetření tento trend potvrdily (a to dle vyjádření aktérů na obou stranách). Z právního hlediska může být neoprávněný vstup na cizí online účet počítačovým trestným činem (§ 230 zák. č. 40/2009 Sb., trestní zákoník, dále jen tr. z.), uvedené jednání však bývá vysoce latentní (ostatně jako převážná část protiprávního jednání online). Pokusíme se zde ukázat, že stávající formulace skutkové podstaty trestného činu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací dle § 230 odst. 1 tr. z. neodpovídá přiměřeně současné sociální realitě.
Zdroje dat – analýza trestních spisů a dotazníkové šetření
Sledované trestní spisy zahrnovaly věci, ve kterých byla podána obžaloba pro naplnění skutkové podstaty některého z počítačových trestných činů a trestní řízení pravomocně skončilo v roce 2015.[7] V drtivé většině z nich šlo o neoprávněný přístup k počítačovému systému a neoprávněný zásah do počítačového systému nebo nosiče informací dle § 230 tr. z., případně v souběhu s dalšími trestnými činy. Ostatní skutkové podstaty počítačových trestných činů dle § 231 a § 232 tr. z. nachází uplatnění jen sporadicky. Zpracováno bylo 66 trestních spisů z celkového počtu 71 věcí pravomocně skončených v roce 2015, jednalo se o 68 obviněných. Získané údaje sloužily jako významný zdroj informací při přípravě dotazníkového šetření. Přesto je třeba brát data s určitou rezervou především s ohledem na vysokou míru latence.
Při sběru dat ze spisů jsme sledovali zhruba 50 položek zahrnujících především základní údaje o obviněném, trestném činu samotném a o průběhu trestního řízení. Výjimečně ten či onen údaj chyběl, vždy však šlo o pouze ojedinělou absenci.
Následná analýza sebraných dat sestávala z běžných statistických operací, ovšem s tříděním nejvýše 2. stupně (vzhledem k počtu případů na samé hraně statisticky zpracovatelných dat). Mimoto bylo podrobněji kvalitativně analyzováno několik typických či naopak vyjímajících se kauz.[8]
Na základě takto získaných poznatků jsme vytvořili dotazník Zkušenosti obyvatel ČR s vybranými jevy v online prostředí, samotný sběr dat realizovala jako veřejnou zakázku společnost ppm factum research s. r. o. Po prvotních úskalích spojených s omezeními v souvislosti s pandemií covidu-19[9] proběhl sběr dat v listopadu roku 2020. Většina otázek směřovala na "uplynulých 12 měsíců", a tak lze hovořit o zkušenostech uživatelů zhruba v roce 2020 (dále jen 2020*). Respondenti byli vybíráni na základě kvót předem určených dle údajů Českého statistického úřadu a informací Sdružení pro internetový rozvoj. Jednalo se o české uživatele internetu ve věku 16-74 let (nikoliv tedy o obecnou populaci ČR). Při reprezentativním výběru respondentů byly použity jako kvótní znaky pohlaví, věk, nejvyšší dosažené vzdělání, velikost místa bydliště a kraj, kde se nacházelo. Pro sběr dat byla použita metoda CAWI (Computer Assisted Web Interviewing), tj. dotazování prostřednictvím interaktivního webového dotazníku. Celková velikost souboru činila 6811 osob. Analýza získaných dat v současnosti stále probíhá.
Dotazník se obrací na respondenty coby běžné uživatele, zaměstnance, oběti i útočníky (self-report).[10] Zjištění tak poskytují ojedinělý obrázek zahrnující do jisté míry obě strany.[11] Dotazované oblasti zahrnovaly vybrané bezpečnostní návyky uživatelů, zařízení používaná k přístupu na internet a jejich ochranu (při rozlišování soukromých, zaměstnaneckých a podnikatelských zařízení), obchodování online (s rozlišením e-shopů a inzertních portálů), internetové bankovnictví, ransomware, phishing, e-maily, sociální sítě (samotné používání sociálních sítí, zneužívání profilů a zkušenosti s falešnými profily), herní účty (při rozlišení hazardních her, počítačových her a herních platforem), darkweb, porušování autorských práv, baiting a zneužití přístupu zaměstnancem.
V tomto článku pracujeme se zjištěnými poznatky z oblasti internetového bankovnictví, neboť kriminalita spojená s přístupem na cizí bankovní účet bývá obvykle (byť ne nutně) motivována snahou finančně se obohatit a lze ji považovat za jednání s jasným kriminálním záměrem. Dále pracujeme s informacemi o neoprávněných přístupech na účty na sociálních sítích,[12] kde bývá naopak motivace rozmanitější a hranice mezi kriminálním a nekriminálním jednáním se z hlediska pachatele může jevit jako mlhavá. Tyto dvě oblasti proto považujeme za dobrou demonstraci neoprávněných přístupů na různé online účty. Zdrojem dat v grafech je výše uvedené dotazníkové šetření.
Nezákonnost neoprávněných přístupů de lege lata
"Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán [...]." Tak zní první ze dvou základních skutkových podstat trestného činu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací dle § 230 odst. 1 tr. z.[13] Dopadá tedy na jakýkoliv neoprávněný přístup k počítačovému systému za předpokladu překonání bezpečnostního opatření majícího za úkol přístup omezit.[14] Další jednání (typicky manipulace s daty) již pro naplnění této základní skutkové podstaty není třeba.[15]
Naplnění objektivní stránky této skutkové podstaty může být samotným cílem pachatele (např. chce zjistit z profilu oběti na sociální síti podrobnosti o jejím soukromém životě, aniž by měl v úmyslu se zjištěnými daty jakkoliv manipulovat či k nim přidat data jiná). Nikoliv výjimečně však slouží jako příprava k dalšímu jednání, zejména v podobě neoprávněného nakládání s daty, tedy naplnění objektivní stránky základní skutkové podstaty uvedené v druhém odstavci § 230 tr. z. Zde již nezáleží na oprávněnosti získání přístupu k počítačovému systému. Může tedy jít o přístup oprávněný (např. přístup administrátora spravujícího firemní síť v rámci pracovněprávních povinností), stejně tak jako neoprávněný, kterým je zároveň naplněna skutková podstata dle prvního odstavce § 230 tr. z. Ta však bude v takových případech pravděpodobně (nikoliv však nutně) fakticky konzumována.[16]
Z hlediska subjektivní stránky vyžadují obě základní skutkové podstaty § 230 tr. z. úmyslné zavinění. U kvalifikovaných skutkových podstat se úmysl vyžaduje pro naplnění skutkové podstaty dle § 230 odst. 3 písm. a) i b) tr. z., stejně tak dle § 230 odst. 4 písm. a) tr. z. (vyplývá z povahy věci), ve všech ostatních případech postačí nedbalostní zavinění okolnosti zvlášť přitěžující, zde vždy v podobě těžšího následku [srov. § 17 písm. a) tr. z. a § 230 odst. 4 písm. b), c), d) a e), odst. 5 tr. z.]. Všechny tři počítačové trestné činy jsou zařazeny v rámci hlavy páté tr. z. Kromě kvalifikované skutkové podstaty dle § 230 odst. 1 a/nebo 2, odst. 5 tr. z., kdy jde o zločin, se jedná o přečiny (srov. § 14 odst. 2 a 3 tr. z.).
Objektem počítačových trestných činů (§ § 230-232 tr. z.) je "zájem na ochraně počítačových systémů a jejich částí, dále dat v nich uložených a dat uložených na nosičích informací a také na ochraně počítačů nebo jiných technických zařízeních pro zpracování dat před neoprávněnými přístupy a zásahy".[17] Klíčová je tedy jednak bezpečnost samotných zařízení, jednak bezpečnost informací a dat – slovy zákona o kybernetické bezpečnosti jejich důvěrnost, integrita a dostupnost [§ 2 písm. c) zák. č. 181/2014 Sb.]. Ve spojení s informacemi dostupnými prostřednictvím internetového bankovnictví pak jde zároveň o finanční stránku (např. zneužitelnost informací o finančních transakcích uživatele)[18] a v neposlední řadě o osobnostní stránku v podobě soukromí uživatele. Ta vystupuje do popředí zvlášť palčivě v případě narušování soukromí prostřednictvím neoprávněných vstupů na profily na sociálních sítích, na něž bývá mnohdy navázána významná část sociálních kontaktů uživatele.[19]
Článek byl publikován v časopise Právník č. 10/2023. Pokračování je dostupné zde.
Zajímá Vás téma umělé inteligence a práva? Na kongresu Právní prostor 2024 se budeme AI a jejímu vztahu k právu věnovat hned v několika příspěvcích. Program kongresu najdete na adrese https://kongrespravniprostor.cz/.
[1] "Online účet" ve spojení s internetovým bankovnictvím odkazuje na bankovnictví jedné banky spadající pod jednoho uživatele bez ohledu na množství bankovních účtů, které má k sobě přidružené.
[2] KUDRLOVÁ, K. Kybernetická kriminalita - dílčí poznatky z výzkumu II. In: ŠČERBA, F. (ed.). Kriminologické dny 2018. Olomouc: Iuridicum Olomoucense, 2018, s. 148-157.
[3] Obsah článku byl nastíněn autory spolu s Mgr. Lukášem Kutilem na odborné konferenci Vliv nových technologií na trestní právo pořádané 24. března 2022 katedrou trestního práva Právnické fakulty Univerzity Karlovy.
[4] IKSP je výzkumnou organizací zřízenou Ministerstvem spravedlnosti ČR zabývající se kriminologickým výzkumem.
[5] Celý výzkumný úkol a jeho výsledky podrobně shrnuje monografie VLACH, J. - KUDRLOVÁ, K. - PALOUŠOVÁ, V. Kyberkriminalita v kriminologické perspektivě. Praha: Institut pro kriminologii a sociální prevenci, 2020.
[6] Druhou částí uvedeného projektu je pokračování analýzy trestních spisů vedených o počítačových trestných činech.
[7] Přesněji řečeno jde o ta pravomocně skončená řízení, jejichž údaje (statistické listy trestní) byly v roce 2015 odeslány do evidence statistiky Ministerstva spravedlnosti, tedy s určitým převisem z roku 2014 a bez věcí odeslaných až začátkem roku 2016.
[8] Veškeré poznatky i podrobnější metodologické informace lze nalézt souhrnně v již zmíněné monografii VLACH, J. - KUDRLOVÁ, K. - PALOUŠOVÁ, V. Kyberkriminalita v kriminologické perspektivě.
[9] Vyloučena byla původně předpokládaná metoda osobního dotazování (CAPI). K podrobnějším informacím ohledně realizace dotazníkového šetření viz KUDRLOVÁ, K. - KUTIL, L. - VLACH, J. Výzkumné šetření IKSP "Zkušenosti obyvatel České republiky s vybranými jevy v online prostředí". Kriminalistika. 2022, č. 2, s. 139.
[10] Na některé otázky odpovídali všichni respondenti bez rozdílu, jiné byly selektivní dle předchozích odpovědí respondentů.
[11] K možnostem i omezením vyplývajícím z metody self-reportu viz např. TOMÁŠEK, J. Selfreportové studie kriminálního chování. Praha: Institut pro kriminologii a sociální prevenci, 2013.
[12] Nutno pro úplnost podotknout, že tyto poznatky se v obecné rovině prakticky shodují s poznatky o neoprávněných přístupech k soukromým emailovým schránkám.
[13] KRUPIČKA, J. Trestné činy proti majetku. In: ŠÁMAL, P. a kol. Trestní právo hmotné. 8. vydání. Praha: Wolters Kluwer ČR, 2016, s. 696.
[14] GŘIVNA, T. Komentář k § 230. In: ŠÁMAL, P. a kol. Trestní zákoník II: Zvláštní část (§ 140-421). (komentář). 2. vydání. Praha: C. H. Beck, 2012, s. 2305.
[15] To potvrzuje i usnesení Nejvyššího soudu ze dne 29. 11. 2017, sp. zn. 7 Tdo 1469/2017.
[16] Viz např. KUDRLOVÁ, K. Kriminalita spojená s využíváním nových médií dětmi. Dizertační práce. Praha: Právnická fakulta Univerzity Karlovy, 2019; nebo SMEJKAL, V. Kybernetická kriminalita. 3. vydání. Praha: Aleš Čeněk, 2022.
[17] KRUPIČKA, J. Trestné činy proti majetku, s. 695.
[18] Nemluvě o případných neoprávněných finančních transakcích a jiných aktivitách.
[19] KUDRLOVÁ, K. Kriminalita spojená s využíváním nových médií dětmi.
Diskuze k článku ()