13 lutego 2017

Odpowiedzialność karna uczestników programów bug bounty

Przez sieć co jakiś czas przelewa się fala dyskusji o "nielegalności" wyszukiwania luk w systemach informatycznych. Polskie prawo, w powszechnej opinii, penalizuje każdy taki przypadek.
Zdarza się oczywiście, że podobne "ćwiczenia" nie dość, że nie są zamawiane przez "ofiarę" to jeszcze służą "niecnym celom", wśród których jako najłagodniejszy można wymienić odpowiednio wysoko wycenione żądanie "konsultacji" w zakresie wskazania luk. Wtedy zaangażowanie organów jest zupełnie zasadne. Ale dokładnie te same paragrafy mogą być wykorzystane przeciwko osobom z założenia pozostających po dobrej stronie mocy. A to już nie jest rozsądne.

Znalazłem ostatnio opinię w sprawie odpowiedzialności karnej uczestnika programu bug bounty (na gruncie polskiego Kodeksu karnego),  której istnieniu warto pamiętać. Została ona przygotowana przez dr Mikołaja Małeckiego i Bartosza KwiatkowskiegoMoże ona w trudnych chwilach służyć pomocą.
W skrócie - wyszukiwanie  błędów  w systemach/sieciach teleinformatycznych nie powinno być uznawane za realizację znamion czynu zabronionego pod groźbą kary.