Praktyczny poradnik

287 kk - oszustwo komputerowe: zasady i praktyczne kroki

Q: Jaka kara grozi za art. 287 kk?

Podstawowe zagrożenie to **od 3 miesięcy do 5 lat pozbawienia wolności**. W **wypadku mniejszej wagi** możliwa jest **grzywna, ograniczenie wolności albo pozbawienie wolności do roku**.

Art. 287 Kodeksu karnego dotyczy oszustwa komputerowego. Najważniejsze na starcie są cztery pytania: czy doszło do ingerencji w dane lub system, czy działanie było bez upoważnienia, czy celem była korzyść majątkowa albo wyrządzenie szkody oraz jakie ślady cyfrowe da się zabezpieczyć od razu.

Temat: 287 kkForma: poradnikCzas czytania: 10 minAutor: Damian BolerkaSprawdził: Zespół merytoryczny LegalUp

287 kk - najkrótsza odpowiedź

Art. 287 kk opisuje oszustwo komputerowe. Chodzi o sytuację, w której ktoś bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie albo przekazywanie danych informatycznych, na przykład przez zmianę, usunięcie lub wprowadzenie danych, i robi to w celu osiągnięcia korzyści majątkowej albo wyrządzenia szkody.

Podstawowe zagrożenie karą to pozbawienie wolności od 3 miesięcy do 5 lat. W wypadku mniejszej wagi możliwa jest grzywna, kara ograniczenia wolności albo pozbawienie wolności do roku. W praktyce najważniejsze jest szybkie ustalenie, czy doszło do ingerencji w system lub dane, a nie tylko do wprowadzenia człowieka w błąd.

Jeżeli sprawa dotyczy przelewu, konta, panelu klienta, poczty elektronicznej albo zmiany zapisów w systemie, trzeba od razu zabezpieczyć historię operacji, komunikaty systemowe, potwierdzenia logowań i korespondencję. To zwykle przesądza o tym, czy czyn będzie oceniany jako art. 287 kk, inny typ przestępstwa komputerowego, czy zwykły spór o brak autoryzacji.

Kontrola praktyczna dla tematu „287 kk” obejmuje co najmniej 3 obszary: sąd, prokurator, kodeks karny, pokrzywdzony, wniosek i dowody; jeżeli pismo wskazuje termin 7, 14 albo 30 dni, licz go od doręczenia i zachowaj potwierdzenie wysyłki.

W sprawach karnych zestaw opis zdarzenia z kodeksem karnym, kodeksem postępowania karnego i dowodami z akt.

Najważniejsze informacje

Art. 287 kk dotyczy ingerencji w dane lub system, a nie wyłącznie rozmowy ze sprawcą.
Podstawowa kara wynosi od 3 miesięcy do 5 lat pozbawienia wolności.
W wypadku mniejszej wagi możliwa jest grzywna, ograniczenie wolności albo do roku pozbawienia wolności.
Kluczowe są cztery elementy: brak upoważnienia, wpływ na dane lub system, cel majątkowy albo szkoda oraz ślady cyfrowe.
Przy ocenie sprawy warto odróżnić oszustwo komputerowe od klasycznego oszustwa z art. 286 kk i od samego nieuprawnionego dostępu.

Autor

Damian Bolerka

Student V roku prawa na Uniwersytecie Gdańskim. Interesuje się praktycznym prawem cywilnym, rodzinnym, pracy i administracyjnym. W LegalUp przygotowuje opracowania redakcyjne, których celem jest proste wyjaśnianie procedur, dokumentów, terminów i typowych problemów prawnych.

Weryfikacja merytoryczna

Zespół merytoryczny LegalUp

Weryfikacja obejmuje spójność procedury, obecność źródeł, ostrożny język prawny i brak obietnic wyniku sprawy.

Ważne zastrzeżenie

Materiał ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej. Przed wysłaniem pisma, podjęciem decyzji albo obliczeniem kwoty sprawdź aktualne przepisy, źródła podane pod artykułem oraz własne dokumenty.

287 kk: najważniejsze zasady i decyzje na start

Art. 287 Kodeksu karnego z ustawy z dnia 6 czerwca 1997 r. obejmuje zachowania, w których sprawca oddziałuje na dane informatyczne albo na sposób ich automatycznego przetwarzania. Sednem nie jest samo kłamstwo wobec człowieka, lecz ingerencja w system, zapis lub przepływ danych.

Na początku trzeba ustalić, czy w sprawie występują wszystkie podstawowe elementy: działanie bez upoważnienia, wpływ na przetwarzanie, gromadzenie lub przekazywanie danych, a do tego cel osiągnięcia korzyści majątkowej albo wyrządzenia szkody. Jeżeli brakuje któregoś z tych elementów, kwalifikacja z art. 287 kk może być nietrafna.

Pierwsza praktyczna decyzja dotyczy dowodów. Jeżeli sprawa zostanie opisana zbyt ogólnie, łatwo pomylić oszustwo komputerowe z klasycznym oszustwem internetowym, naruszeniem dostępu albo sporem o autoryzację operacji.

W sprawach karnych zestaw opis zdarzenia z kodeksem karnym, kodeksem postępowania karnego i dowodami z akt.

Sprawdź, czy doszło do zmiany, usunięcia albo wprowadzenia danych.
Oddziel sytuacje, w których zaatakowano system lub dane, od sytuacji, w których sprawca tylko wprowadził kogoś w błąd.
Zabezpiecz ślady z konta, systemu, urządzenia i korespondencji jeszcze przed ich nadpisaniem.
Nie zakładaj automatycznie, że każda strata internetowa oznacza art. 287 kk.

Element	Co trzeba ustalić	Konkret z przepisu lub obserwacji
Przedmiot działania	Czy ingerencja dotyczyła danych albo systemu	Automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych
Sposób działania	Czy sprawca zmieniał, usuwał albo dodawał dane	Zmienia, usuwa lub wprowadza nowy zapis
Uprawnienie	Czy sprawca miał zgodę lub umocowanie	Działanie bez upoważnienia
Cel	Czy chodziło o zysk albo szkodę	Korzyść majątkowa albo wyrządzenie szkody
Podstawowa kara	Jakie jest ustawowe zagrożenie	3 miesiące do 5 lat pozbawienia wolności
Wypadek mniejszej wagi	Czy czyn ma niższy ciężar	Grzywna, ograniczenie wolności albo do roku pozbawienia wolności

Największe ryzyko błędu na starcie polega na opisaniu skutku finansowego bez pokazania, w jaki sposób doszło do ingerencji w dane lub system.

Kiedy zachowanie może podpadać pod art. 287 kk

Najczęściej chodzi o sytuacje, w których sprawca ingeruje w zapis cyfrowy lub w automatyczny proces systemu. Przykładowo mogą to być nieautoryzowane przelewy z cudzego konta, zmiana danych w systemie bankowym albo wykorzystanie przejętej skrzynki e-mail do uzyskania danych potrzebnych do dalszej operacji. Wspólnym mianownikiem jest to, że atak idzie przez system i dane, a nie tylko przez rozmowę z pokrzywdzonym.

Nie każdy problem internetowy będzie jednak art. 287 kk. Jeżeli sednem sprawy było wyłącznie nakłonienie człowieka do dobrowolnego przelewu przez podanie nieprawdziwych informacji, punkt ciężkości może przesunąć się w stronę klasycznego oszustwa. Jeżeli zaś chodzi tylko o samo wejście na konto lub do informacji, bez wykazanego celu majątkowego albo szkody, potrzebna jest ostrożna analiza innych przepisów.

W praktyce dobrze działa proste pytanie: czy bez zmiany danych, logowania, przekierowania albo innej ingerencji w system skutek w ogóle mógłby powstać. Jeżeli odpowiedź brzmi nie, art. 287 kk staje się realnym punktem odniesienia.

Istotny jest mechanizm cyfrowy, a nie sama forma kontaktu przez internet.
Samo użycie komputera nie wystarcza; potrzebna jest ingerencja w przetwarzanie lub dane.
Cel majątkowy albo szkoda powinny wynikać z okoliczności sprawy i zabezpieczonych śladów.
Brak upoważnienia trzeba umieć pokazać dokumentami, logami albo historią dostępu.

Jeżeli opis sprawy da się streścić słowami „ktoś zmanipulował system lub zapis danych”, to zwykle jesteś bliżej art. 287 kk niż zwykłego sporu o wykonanie usługi.

Czym art. 287 kk różni się od podobnych sytuacji

Najczęstszy problem praktyczny polega na odróżnieniu oszustwa komputerowego od klasycznego oszustwa internetowego. W art. 287 kk punktem centralnym jest oddziaływanie na system informatyczny lub zapisane dane. W klasycznym oszustwie ciężar zwykle spoczywa na wprowadzeniu człowieka w błąd i skłonieniu go do niekorzystnego rozporządzenia mieniem.

Druga częsta pomyłka dotyczy utożsamiania art. 287 kk z każdym nieuprawnionym dostępem. Sam dostęp może być za mało, jeżeli nie da się wykazać celu majątkowego albo szkody i wpływu na proces danych. Z drugiej strony jedna sprawa może łączyć kilka wątków, dlatego nie warto zbyt wcześnie zamykać opisu do jednego hasła.

Dla bezpieczeństwa opisu najlepiej oddzielić trzy warstwy: jak sprawca wszedł do systemu, co zrobił w danych lub w automatycznym procesie oraz jaki był skutek majątkowy lub szkodowy. Taka sekwencja porządkuje sprawę lepiej niż samo używanie etykiety „oszustwo internetowe”.

Art. 287 kk akcentuje ingerencję w dane lub system.
Art. 286 kk częściej koncentruje się na wprowadzeniu człowieka w błąd.
Sam nieuprawniony dostęp nie musi jeszcze przesądzać o oszustwie komputerowym.
Jedna sprawa może zawierać kilka etapów i wymagać ostrożnej kwalifikacji.

Sytuacja	Główne pytanie	Co zwykle przesądza
Art. 287 kk	Czy sprawca wpłynął na dane albo automatyczne przetwarzanie	Ingerencja w system, zapis lub przepływ danych bez upoważnienia
Klasyczne oszustwo internetowe	Czy pokrzywdzony został wprowadzony w błąd	Decydująca jest reakcja człowieka, a nie zmiana w systemie
Sam nieuprawniony dostęp	Czy poza dostępem był dalszy cel majątkowy albo szkoda	Brak takiego celu lub brak wpływu na dane osłabia kierunek na art. 287 kk
Spór o autoryzację operacji	Czy da się wykazać brak zgody i ścieżkę wykonania operacji	Historia logowań, urządzeń, komunikatów i potwierdzeń

Najpraktyczniejsze rozróżnienie brzmi: w art. 287 kk celem jest użycie systemu lub danych jako narzędzia szkody albo zysku.

Co zabezpieczyć od razu po ujawnieniu problemu

W sprawach o oszustwo komputerowe liczy się szybkość. Dane logowania, historia sesji, potwierdzenia przelewów, alerty bezpieczeństwa i korespondencja potrafią zniknąć, zostać nadpisane albo rozproszyć się między bankiem, operatorem poczty, platformą i urządzeniem użytkownika.

Najlepiej od razu budować oś czasu: kiedy nastąpiło logowanie, kiedy zmieniono dane, kiedy wykonano operację i kiedy pokrzywdzony zauważył problem. Taki porządek pomaga później ocenić, czy sprawa rzeczywiście pokazuje wpływ na automatyczne przetwarzanie danych.

Jeżeli nie ma pewności co do kwalifikacji, nadal warto zbierać materiał szeroko. Lepiej mieć nadmiar danych technicznych niż później próbować odtworzyć nieczytelne zdarzenie wyłącznie z pamięci.

Zachowaj potwierdzenia operacji, zrzuty ekranów i wiadomości z datą oraz godziną.
Spisz, z jakiego konta, urządzenia i kanału wykonano operację lub zmianę danych.
Oddziel własne obserwacje od przypuszczeń co do sprawcy.
Nie ograniczaj się do jednej platformy, jeśli zdarzenie przechodziło przez kilka systemów.

Krok	Co przygotować	Gdzie sprawdzić lub złożyć	Termin lub koszt	Ryzyko błędu	Jednostka
1. Zatrzymanie skutków	Historia operacji, komunikat o blokadzie, potwierdzenie zmiany hasła	Bank, operator usługi, panel klienta, skrzynka e-mail	Jak najszybciej po ujawnieniu; koszt nie wynika z dostępnych danych	Zwłoka może spowodować utratę logów i dalsze operacje	zł
2. Zabezpieczenie śladów	Zrzuty ekranu, logi, alerty, korespondencja, numery transakcji	Własne urządzenie, konto użytkownika, historia bezpieczeństwa	Najlepiej tego samego dnia; koszt nie wynika z dostępnych danych	Chaotyczne zrzuty bez daty i godziny utrudniają odtworzenie zdarzeń	zł
3. Ułożenie osi czasu	Lista zdarzeń z godzinami i źródłem informacji	Własna notatka robocza na podstawie systemów i wiadomości	Niezwłocznie po zebraniu danych; koszt nie wynika z dostępnych danych	Mieszanie faktów z przypuszczeniami osłabia wiarygodność opisu	zł
4. Opis braku upoważnienia	Umowa, regulamin, zakres uprawnień, dane właściciela konta	Dokumenty konta, historia zgód, ustawienia dostępu	Przed złożeniem zawiadomienia lub reklamacji; koszt nie wynika z dostępnych danych	Brak jasnego wskazania, kto miał prawo działać w systemie	zł
5. Złożenie zawiadomienia lub pisma	Spójny opis zdarzenia i załączniki	Właściwy organ lub podmiot obsługujący incydent	Termin procesowy nie wynika z dostępnych danych; nie warto zwlekać	Zbyt ogólny opis bez danych technicznych utrudnia właściwą ocenę	zł

Jeżeli sprawa dotyczy bankowości elektronicznej, poczty lub panelu administracyjnego, najcenniejsze bywają logi i potwierdzenia z dokładnym czasem zdarzenia.

Jak oceniać dowody i zamiar sprawcy

W art. 287 kk ważny jest cel działania. Trzeba więc patrzeć nie tylko na to, że coś się wydarzyło w systemie, ale także czy z okoliczności wynika dążenie do korzyści majątkowej albo do wyrządzenia szkody. Sam błąd techniczny, awaria albo omyłkowa zmiana wpisu nie prowadzą automatycznie do tej kwalifikacji.

Dowody warto grupować w trzech koszykach: techniczne, majątkowe i organizacyjne. Techniczne pokazują, jak doszło do ingerencji. Majątkowe pokazują, jaki skutek albo jaki cel mógł wystąpić. Organizacyjne wyjaśniają, kto miał uprawnienia, a kto ich nie miał.

Ostrożność jest szczególnie ważna wtedy, gdy jedna osoba znała hasła, miała wcześniejszy dostęp albo działała w strukturze firmy. W takich przypadkach spór często nie dotyczy tylko samego logowania, ale także zakresu zgody, polecenia służbowego albo cofnięcia uprawnień.

Nie utożsamiaj każdej nietypowej operacji z działaniem umyślnym.
Pokaż związek między ingerencją w dane a możliwym zyskiem lub szkodą.
Oddziel dane techniczne od oceny motywu sprawcy.
Sprawdź, czy wcześniejsze uprawnienia nie komplikują prostego schematu „bez zgody”.

Najmocniejszy materiał dowodowy zwykle łączy log systemowy, skutek majątkowy i dokument pokazujący brak upoważnienia.

Wypadek mniejszej wagi i granice ostrożnej oceny

Dostępne dane wskazują, że w wypadku mniejszej wagi art. 287 kk przewiduje łagodniejszą reakcję: grzywnę, karę ograniczenia wolności albo pozbawienie wolności do roku. Nie oznacza to jednak, że każda niska kwota automatycznie prowadzi do takiej oceny. Znaczenie ma całokształt sytuacji, w tym sposób działania, zakres ingerencji i skutki dla pokrzywdzonego.

To dobry przykład, dlaczego nie warto opierać się wyłącznie na jednej liczbie albo jednym zdaniu z zawiadomienia. Niewielka kwota przy skomplikowanej ingerencji może wyglądać inaczej niż jednorazowa drobna operacja bez trwałych zmian w systemie.

Bezpieczne podejście polega na opisaniu faktów bez przesądzania wyniku. W praktyce warto zaznaczyć zarówno argumenty za pełną kwalifikacją z art. 287 kk, jak i okoliczności, które mogą przemawiać za niższą wagą czynu.

Niższa wartość skutku nie rozstrzyga samodzielnie o mniejszej wadze.
Liczy się także metoda działania i rozmiar ingerencji w dane.
Przy opisie sprawy lepiej wskazać fakty niż samodzielnie przesądzać łagodniejszą kwalifikację.
Wątpliwości co do ciężaru czynu nie usuwają potrzeby zabezpieczenia pełnych dowodów.

Mniejsza waga to nie „automatyczna ulga”, lecz odrębna ocena całego zdarzenia.

Przykłady sytuacji i różnice między podobnymi przypadkami

Przykład pierwszy: ktoś uzyskuje dostęp do cudzego rachunku i wykonuje nieautoryzowany przelew, korzystając z danych logowania oraz mechanizmów systemu bankowego. Tu mocno widać wpływ na system i skutek majątkowy.

Przykład drugi: sprawca zmienia dane w systemie, aby przekierować płatność lub ukryć prawdziwego odbiorcę. Kluczowy staje się ślad po zmianie rekordu i moment, w którym wpis został nadpisany. Bez tego łatwo pomylić sprawę z prostym błędem księgowym.

Przykład trzeci: przejęcie skrzynki e-mail służy zdobyciu informacji i wykonaniu dalszej operacji. Samo wejście do poczty nie wyczerpuje jeszcze całej oceny, ale jeżeli z tej ingerencji wynika później zmiana danych lub transfer środków, znaczenie art. 287 kk rośnie.

Przykład czwarty: pokrzywdzony sam wykonuje przelew po rozmowie ze sprawcą, bez wykazanej ingerencji w dane lub system. W takiej sytuacji trzeba bardzo ostrożnie rozdzielić warstwę manipulacji człowiekiem od warstwy technicznej.

W każdym scenariuszu pytaj, co dokładnie zmieniło się w danych lub systemie.
Im lepiej da się odtworzyć kolejność zdarzeń, tym łatwiej odróżnić awarię od działania umyślnego.
Nie każdy incydent e-mailowy oznacza od razu oszustwo komputerowe.
Skutek finansowy bez śladu technicznego wymaga szczególnej ostrożności przy kwalifikacji.

Najbardziej mylące są sprawy mieszane, gdzie występują jednocześnie element socjotechniki i ingerencja w system.

Najczęstsze błędy i jak ich uniknąć

Pierwszy błąd to opisanie sprawy wyłącznie językiem straty finansowej. Sam fakt utraty pieniędzy nie pokazuje jeszcze, czy i jak ktoś wpłynął na automatyczne przetwarzanie danych. Bez tej części opis bywa zbyt ogólny.

Drugi błąd to brak rozdzielenia między własną obserwacją a przypuszczeniem. Jeżeli w zawiadomieniu pojawiają się zdania o „włamaniu” bez wskazania logów, komunikatów, zmian danych lub czasu operacji, późniejsza analiza staje się trudniejsza.

Trzeci błąd to zwłoka. W sprawach cyfrowych ślady potrafią znikać szybciej niż w klasycznych sprawach majątkowych. Czwarty błąd to zbyt wczesne przyjęcie jednej kwalifikacji i pominięcie alternatywnych wersji zdarzeń.

Najbezpieczniej jest zebrać materiał szeroko, opisać mechanizm techniczny prostym językiem i dopiero potem oceniać, czy rdzeniem sprawy było oszustwo komputerowe, klasyczne oszustwo internetowe czy inny problem z dostępem do danych.

Nie pomijaj mechanizmu technicznego zdarzenia.
Do każdego twierdzenia o braku zgody dołóż dokument lub zapis systemowy.
Zapisuj godziny, źródła informacji i numery operacji.
Jeżeli kwalifikacja nie jest pewna, zostaw w opisie miejsce na warianty.

Błąd	Skutek	Lepszy kolejny krok
Opis tylko straty finansowej	Brak związku z ingerencją w dane lub system	Dopisz, jaka operacja techniczna zaszła i gdzie
Brak dat, godzin i numerów operacji	Nie da się ułożyć osi czasu	Uzupełnij chronologię na podstawie logów i potwierdzeń
Mieszanie faktów z przypuszczeniami	Opis traci wiarygodność	Oddziel obserwacje od hipotez o sprawcy
Pominięcie kwestii uprawnień	Trudno wykazać działanie bez zgody	Dołącz dokumenty pokazujące zakres dostępu
Zbyt szybkie przyjęcie jednej kwalifikacji	Ryzyko błędnej oceny sprawy	Zachowaj warianty i porównaj mechanizm działania

Dobrze opisana sprawa pokazuje sekwencję: dostęp, ingerencja, skutek, brak upoważnienia.

Najczęściej zadawane pytania

Pytania czytelników

Krótkie odpowiedzi na konkretne sytuacje, które zwykle pojawiają się przed złożeniem wniosku, wysłaniem dokumentu albo podjęciem decyzji.

Co oznacza 287 kk?

To przepis Kodeksu karnego dotyczący oszustwa komputerowego. Obejmuje bezuprawniony wpływ na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych w celu osiągnięcia korzyści majątkowej albo wyrządzenia szkody.

Jaka kara grozi za art. 287 kk?

Podstawowe zagrożenie to od 3 miesięcy do 5 lat pozbawienia wolności. W wypadku mniejszej wagi możliwa jest grzywna, ograniczenie wolności albo pozbawienie wolności do roku.

Czy każdy przelew internetowy wykonany bez zgody to od razu art. 287 kk?

Nie zawsze. Trzeba ustalić, czy sprawca wpłynął na system lub dane bez upoważnienia oraz czy da się wykazać cel majątkowy albo wyrządzenie szkody.

Czym art. 287 kk różni się od klasycznego oszustwa z art. 286 kk?

W art. 287 kk centralna jest ingerencja w dane albo system informatyczny. W klasycznym oszustwie istotniejsze bywa wprowadzenie człowieka w błąd i doprowadzenie go do niekorzystnego rozporządzenia mieniem.

Jakie dowody są najważniejsze przy podejrzeniu oszustwa komputerowego?

Najczęściej kluczowe są logi, historia operacji, potwierdzenia przelewów, zrzuty ekranów z datą i godziną, komunikaty bezpieczeństwa oraz korespondencja pokazująca przebieg zdarzeń i brak upoważnienia.

Czy samo włamanie na konto oznacza już oszustwo komputerowe?

Nie w każdej sprawie. Sam dostęp może nie wystarczyć, jeśli nie da się wykazać ingerencji w dane lub automatyczne przetwarzanie oraz celu majątkowego albo szkody.

Co oznacza wypadek mniejszej wagi w art. 287 kk?

To łagodniejsza ocena czynu, dla której przepis przewiduje grzywnę, ograniczenie wolności albo pozbawienie wolności do roku. Nie rozstrzyga o niej automatycznie sama niska kwota szkody.

Co zrobić najpierw po wykryciu możliwej ingerencji w konto lub system?

Najpierw warto zatrzymać skutki zdarzenia, zabezpieczyć logi i historię operacji, zmienić dane dostępu oraz ułożyć chronologię zdarzeń. Zwłoka zwiększa ryzyko utraty śladów cyfrowych.