Niedozwolony dostęp do systemów informatycznych: wyrok nr 27900 z 2023 r. i sprawa Dropbox

Wyrok nr 27900 z dnia 22 lutego 2023 r. Sądu Kasacyjnego stanowi ważne przemyślenie na temat niedozwolonego dostępu do systemów informatycznych, w szczególności w odniesieniu do wirtualnych przestrzeni przechowywania danych, takich jak Dropbox. Decyzja ta podkreśla, jak kluczowe jest zidentyfikowanie podmiotu posiadającego przestrzeń oraz jego „ius excludendi alios” (prawo do wykluczenia innych) do dostępu, zanim będzie można zakwalifikować dostęp jako niedozwolony zgodnie z art. 615-ter Kodeksu Karnego.

Kontekst prawny

Zgodnie z art. 615-ter, § 1, włoskiego Kodeksu Karnego, niedozwolony dostęp do systemu informatycznego lub teleinformatycznego jest przestępstwem, które wymaga jasnego zidentyfikowania podmiotu posiadającego prawo dostępu. Sąd orzekł, że w konkretnym przypadku konieczne jest ustalenie, czy folder Dropbox w danej sprawie należał wyłącznie do oskarżonych, czy też do firmy, dla której pracowali.

Niedozwolony dostęp do systemu informatycznego lub teleinformatycznego – tzw. przestrzeń „Dropbox” – Przepis art. 615 ter, § 1, k.k. – Identyfikacja podmiotu posiadającego przestrzeń oraz związanego z nią „ius excludendi alios” do dostępu – Konieczność – Istnienie – Stan faktyczny. W przedmiocie niedozwolonego dostępu do systemu informatycznego lub teleinformatycznego, przepis art. 615-ter, § 1, k.k., zarzucany w związku z tzw. przestrzenią przechowywania „Dropbox”, wymaga zidentyfikowania podmiotu posiadającego przestrzeń oraz związanego z nią „ius excludendi alios” do dostępu do wspomnianej aplikacji. (Stan faktyczny, w którym Sąd uchylił z przekazaniem do ponownego rozpoznania decyzję, uznając za konieczne ustalenie, czy tzw. folder „dropbox” należał wyłącznie do oskarżonych, którzy go utworzyli i tymczasowo udostępnili firmie, dla której pracowali, czy też należał do wspomnianej firmy, ponieważ tylko w tym ostatnim przypadku ich dostęp w celu modyfikacji konta, poprzez zmianę adresu teleinformatycznego, dokonany po rozwiązaniu stosunku pracy, mógł być uznany za niedozwolony).

Implikacje wyroku

Wyrok ten stanowi ważne precedensowe orzeczenie dla włoskiego orzecznictwa, ponieważ wyjaśnia, że pojęcie niedozwolonego dostępu nie może być stosowane w sposób ogólny. Niezbędne jest ustalenie, kto ma prawo dostępu do przestrzeni wirtualnych i jakie są warunki ich użytkowania. Rozważania Sądu podkreślają potrzebę szczegółowej analizy konkretnej sytuacji, unikając powierzchownych interpretacji.

• Identyfikacja właściciela przestrzeni: kto utworzył konto?
• Tymczasowe wykorzystanie przestrzeni przez osoby trzecie: jakie prawa pozostają?
• Konsekwencje prawne nieautoryzowanego dostępu: jakie sankcje przewidziano?

Wnioski

Podsumowując, wyrok nr 27900 z 2023 r. dostarcza bardzo istotnych przemyśleń dla osób działających w dziedzinie prawa karnego informatycznego. Precyzyjne ustalenie właściciela systemu informatycznego jest kluczowe dla prawidłowego stosowania przepisów. Firmy, w szczególności, muszą zwracać uwagę na sposób zarządzania przestrzeniami wirtualnymi i na to, jakie prawa dostępu przyznają swoim pracownikom, aby uniknąć poważnych konsekwencji prawnych.