Strona główna serwisu Gazeta Policyjna

Prawne i techniczne aspekty ustalenia cyberprzestępcy

„W sieci” można robić już praktycznie wszystko – komunikować się, korzystać z rozrywki, zwiedzać świat czy robić zakupy. Niestety z technologii czerpią także cyberprzestępcy, którzy wykorzystują przede wszystkim naiwność, łatwowierność i pozorne poczucie bezpieczeństwa użytkowników internetu.

Praktycznie codziennie do jednostek Policji na terenie całego kraju zgłaszają się osoby pokrzywdzone przestępstwami popełnionymi w cyberprzestrzeni. Przekrój czynów jest ogromny – od oszustw popełnianych przy oferowaniu do sprzedaży różnych przedmiotów, przez handel zabronionym towarem, a skończywszy na rozpowszechnianiu treści pedofilskich czy wyłudzaniu danych i pieniędzy.

 

DO WALKI Z CYBERPRZESTĘPCZOŚCIĄ

Wskazane zmiany technologiczne nie ominęły organów ścigania – Policji, prokuratury, sądów oraz innych formacji odpowiedzialnych za bezpieczeństwo publiczne, które musiały przystosować się do nowej sytuacji. Obecnie nie ma chyba formacji, która nie posiadałaby komórki zajmującej się zwalczaniem cyberprzestępczości. Policja również dostosowała się do tych zmian, ponieważ w każdej komendzie wojewódzkiej Policji znajduje się Wydział dw. z Cyberprzestępczością, a w Komendzie Głównej Policji – Biuro dw. z Cyberprzestępczością. Liczba czynów popełnianych za pośrednictwem sieci teleinformatycznych sprawia, że nie tylko te wyspecjalizowane komórki muszą zmierzyć się z tym nowym zagadnieniem. Praktycznie w każdej jednostce Policji prowadzone są postępowania sprawdzające, przygotowawcze czy sprawy operacyjne dotyczące cyberprzestępczości.

 

USTALIĆ CYBEPRZESTĘPCĘ

Na potrzeby niniejszego opracowania omówiono wyłącznie obowiązujące regulacje prawne, natomiast algorytm postępowania stworzono, opierając się na założeniu wykonywania czynności procesowych w związku z identyfikacją cyberprzestępcy działającego w klasyczny sposób, czyli za pośrednictwem usług świadczonych drogą elektroniczną2. Niniejsze opracowanie może być wykorzystywane również przez funkcjonariuszy zajmujących się czynnościami operacyjnymi przy zastosowaniu odpowiednich przepisów wynikających z pragmatyki służbowej policjantów.

Czynności, których realizacja pomoże ustalić cyberprzestępcę, można podzielić na cztery etapy:

1. ‑Zbieranie informacji o zdarzeniu.

2. Pozyskiwanie informacji od dostawcy świadczącego usługi drogą elektroniczną.

3. Pozyskiwanie danych od providera (dostawcy) internetu.

4. Analiza zgromadzonego materiału dowodowego celem ustalenia sprawcy.

 

ZDARZENIE

Zbieranie informacji o zdarzeniu, a tym samym o cyberprzestępcy, jest podstawową i pierwszą czynnością do wykonania. Należy mieć świadomość, że od jakości i ilości zebranych informacji dotyczących zdarzenia uzależniona jest możliwość dalszego dokonywania ustaleń o sprawcy. Podczas czynności z pokrzywdzonym, świadkiem czy inną związaną ze zdarzeniem osobą należy pozyskać jak największą liczbę danych o sprawcy i sposobie, w jaki się on kontaktował. W tym zakresie pomocne mogą być następujące pytania:

• Jak nawiązano kontakt ze sprawcą? (połączenie telefoniczne, wiadomości SMS, portale społecznościowe, poczta elektroniczna, aplikacje mobilne, portale ogłoszeniowe);

• Jakie są znane szczegóły dotyczące kontaktu? (numer abonencki, nazwa użytkownika, nr ogłoszenia, nazwa ogłoszenia, tytuł ogłoszenia, treść ogłoszenia, zdjęcia z ogłoszenia, sposób dokonania płatności);

• Kiedy doszło do kontaktu? (dokładne określenie daty i godziny połączenia, zamieszczenia ogłoszenia, kontaktu);

• Jakie dane osobowe i adresowe wskazał sprawca? (imię i nazwisko, adres, adres korespondencji, e-mail).

Jednym z najlepszych sposobów na zabezpieczenie wskazanych informacji jest wykonanie zrzutów ekranu (ang. screenshots). Pozwalają one na zabezpieczenie danych bez ich zniekształcenia.

 

INFORMACJE OD DOSTAWCY

Po zgromadzeniu podstawowych informacji związanych ze zdarzeniem można podjąć próbę ustalenia danych sprawcy u administratora forum, portalu społecznościowego, portalu ogłoszeniowego czy aplikacji mobilnej – a więc administratora środowiska, w którym doszło do czynu lub które wykorzystano do popełnienia czynu. Aktem prawnym regulującym działalność wskazanych środowisk jest ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną3. Ustawa ta reguluje praktycznie wszystkie kwestie związane z funkcjonowaniem usług w sieci, tj. kim jest administrator – usługodawca, jego obowiązki, uprawnienia, sposób pozyskiwania danych, ich zakres.

Zgodnie z treścią art. 2 pkt 4 przedmiotowego aktu prawnego świadczenie usług drogą elektroniczną to „wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne”. Do takich usług można zaliczyć funkcjonowanie wszystkich portali społecznościowych, ogłoszeniowych, forów, sklepów. Administrator takich usług w myśl ustawy jest określony jako usługodawca, czyli „osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową świadczy usługi drogą elektroniczną4. Natomiast użytkownik – nasz potencjalny sprawca – to usługobiorca, czyli „osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która korzysta z usługi świadczonej drogą elektroniczną”5.

Usługodawca świadczący usługi drogą elektroniczną na podstawie regulacji ustawy, a dokładnie na podstawie art. 18 ust. 1–2, 3–5, może przetwarzać (a co za tym idzie – również przechowywać):

1) dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku:

a. nazwisko i imiona usługobiorcy;

b. numer ewidencyjny PESEL lub − gdy ten numer nie został nadany − numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

c. adres zameldowania na pobyt stały;

d. adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;

e. dane służące do weryfikacji podpisu elektronicznego usługobiorcy;

f. adresy elektroniczne usługobiorcy;

2) inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia;

3) za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną;

4) dane eksploatacyjne:

a. oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca;

b. informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną;

c. informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.

Z treści art. 18 ust. 1–2, 4–5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną wynika6, że usługodawca może przetwarzać wskazane dane, a co za tym idzie − nie jest on zobligowany do ich przetwarzania i przechowywania. W tym miejscu należy wskazać, że w celu identyfikacji sprawcy niezbędne jest pozyskanie od usługodawcy informacji określających aktywność usługobiorcy w postaci daty i godziny połączenia z usługą oraz adresu IP wraz z portem, który był wykorzystany do połączenia. Na podstawie tych danych można podjąć próbę wskazania osoby, która korzystała z usług. Z powyższego można wyciągnąć jeden nienapawający optymizmem wniosek: usługodawca nie musi przetwarzać danych w postaci adresu IP wraz z portem i okresem logowania do usług, ponieważ nie nakłada na niego takiego obowiązku ustawa. W praktyce jednak prawie każdy usługodawca gromadzi informacje w postaci adresacji IP, daty i godziny połączenia, jednak nie każdy zbiera numery portów adresów IP. Brak rejestrowania portów adresów IP przez usługodawców stwarza ogromny problem na dalszym etapie identyfikacji cyberprzestępcy. Jest to związane z rosnącą liczbą użytkowników sieci Internet oraz używaniem publicznych adresów IP, gdzie jeden adres IP może być użytkowany przez wielu abonentów, a ich identyfikacja odbywa się na podstawie przydzielonych portów.

 

POZYSKANIE DANYCH

Mając już ustalone dane administratora, a więc usługodawcy świadczącego usługi drogą elektroniczną, należy zwrócić się do niego o przekazanie tych danych. Podstawa prawna została określona w ustawie. Traktuje o tym art. 18 ust. 6, który wskazuje, że „usługodawca nieodpłatnie udostępnia dane, o których mowa w ust. 1–5, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań”.

W odniesieniu do podstawy prawnej należy podkreślić, że w ramach prowadzonych czynności służbowych dane takie można uzyskiwać:

• w związku z prowadzoną pracą operacyjną na podstawie art. 20c ust. 1 pkt 3 ustawy z dnia 6 kwietnia 1990 r. o Policji7,

• na podstawie wydanego przez prokuratora postanowienia o żądaniu wydania rzeczy na podstawie art. 217 § 1 i 2 k.p.k. w zw. z art. 236a k.p.k. w zw. z art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344).

Brak jest innych przepisów, zarówno w pragmatyce policjantów, jak i w przepisach regulujących zasady funkcjonowania prokuratur, które umożliwiałyby pozyskiwanie takich danych. Wniosek w tym zakresie jest jeden – „w procesie” dane o usługobiorcy nie mogą być pozyskane w trakcie trwania czynności sprawdzających w myśl art. 307 k.p.k., a podstawą prawną nie będzie art. 15 k.p.k.

Biorąc pod uwagę powyższe rozważania, w celu uzyskania danych o usługobiorcy niezbędne jest zwrócenie się do prokuratora nadzorującego postępowanie przygotowawcze z wnioskiem o wydanie postanowienia o żądaniu wydania rzeczy na podstawie art. 217 § 1 i 2 k.p.k. w zw. z art. 236a k.p.k. w zw. z art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. W postanowieniu należy uwzględnić jak najwięcej informacji dotyczących sprawcy: nazwę użytkownika, numer telefonu, adres e-mail, datę aktywności, treść ogłoszenia itd., ponieważ na podstawie tych danych usługodawca może ustalić użytkownika, który znajduje się w zainteresowaniu Policji. Jako żądane informacje należy wskazać w szczególności: adresy IP wraz z portami oraz datą i godziną, dane osobowe, kontaktowe, a także wszystkie inne zgromadzone dane umożliwiające ustalenie użytkownika końcowego usługi8.

 

WERYFIKACJA USŁUGOBIORCY

Po otrzymaniu danych od usługodawcy, które zawierają adres IP, port oraz datę i godzinę, można podjąć próbę weryfikacji usługobiorcy. Jednakże, żeby rozpocząć ten etap, należy ustalić operatora obsługującego pozyskany adres IP, tj. kto jest właścicielem ustalonego adresu. Można to bez trudu wykonać za pośrednictwem darmowych wyszukiwarek domen, np. www.who.is, www.whatismyip.com, www.ultratools.com, które wskazują operatora wraz z jego adresem. Po ustaleniu operatora można wystąpić z wnioskiem do prokuratora nadzorującego postępowanie przygotowawcze o wydanie postanowienia o zwolnieniu operatora od zachowania tajemnicy telekomunikacyjnej9 na podstawie art. 218 § 1 k.p.k., art. 180 § 1 k.p.k. w zw. z art. 226 k.p.k. oraz w zw. z art. 159 i art. 180a ust. 1 pkt 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne10. W treści postanowienia należy zażądać od operatora przekazania wszystkich posiadanych informacji umożliwiających ustalenie abonenta, który we wskazanym dniu i godzinie korzystał z adresu IP z portem, a w szczególności numer abonencki, dane abonenta, numer IMEI urządzenia wykorzystanego do połączenia, adres stacji BTS wykorzystanych podczas połączenia. Gromadzenie i przekazywanie powyższych informacji przez operatora zostały uregulowane w ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne11. Z uwagi na coraz częstsze stosowanie przez operatorów publicznych adresów IP należy mieć świadomość, że w przypadku żądania informacji o adresie IP bez portu można otrzymać dane wielu osób, które korzystały z danego publicznego adresu IP. Wówczas identyfikacja sprawcy będzie bardzo utrudniona. Operator przechowuje dane dotyczące połączeń telekomunikacyjnych przez okres 12 miesięcy, co wprost wynika z ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne12. Biorąc pod uwagę powyższe, należy mieć świadomość, że próba pozyskania danych obejmujących swoim zakresem dane starsze niż 12 miesięcy zakończy się niepowodzeniem.

 

ANALIZA MATERIAŁU

Finalnym etapem wskazanych ustaleń czynności jest przeprowadzenie analizy zgromadzonego materiału dowodowego oraz ustalenie sprawcy. Na podstawie zdobytych informacji w postaci: danych sprawcy przekazanych pokrzywdzonemu, danych sprawcy pozyskanych od usługodawcy oraz operatora można podjąć próbę odpowiedzi na pytanie:

• kim była osoba, która wykorzystała usługi elektroniczne do popełnienia czynu (po weryfikacji adresacji IP od operatora oraz danych od usługodawcy),

• gdzie się ona znajdowała (po analizie odpowiedzi od operatora dotyczącej stacji BTS),

• z jakiego urządzenia korzystała (po analizie odpowiedzi od operatora dotyczącej urządzeń wykorzystanych do połączenia).

 

IDENTYFIKACJA SPRAWCY

Wykonanie tych czynności może pozwolić na bezsporne wskazanie sprawcy, ale może także zmusić prowadzącego do dalszych czynności procesowych – np. przesłuchania wskazanych osób w charakterze świadków czy dokonania kolejnych ustaleń – np. w zakresie ustalonych adresów IMEI celem weryfikacji, jakie inne karty SIM współpracowały z urządzeniem.

Ustalenie sprawcy uzależnione jest również od błędów przez niego popełnionych, a także tego, w jaki sposób się zabezpieczył. Identyfikując sprawcę po adresacji IP, należy mieć świadomość, że:

• sprawca mógł korzystać z otwartych sieci Internet – tzw. hotspotów czy niezabezpieczonych routerów;

• mógł próbować ukryć swoją obecność i ruchu w sieci (VPN, TOR);

• ‑mógł korzystać z usług zagranicznych operatorów.

Dodatkowo, oprócz identyfikacji sprawcy na podstawie ustalonych adresów IP, można próbować go ustalić na podstawie innych danych, takich jak numery rachunków bankowych, numery abonenckie, adresy e-mail, dane adresowe, dane osobowe. Wielu przestępców do oszustw wykorzystuje ukryte sieci, hotspoty, fałszywe czy też skradzione dane osobowe, jednak w celu pobrania środków od pokrzywdzonych podaje własne rachunki bankowe. Podczas identyfikacji sprawcy cyberprzestępstwa należy zebrać wszystkie dostępne dane oraz zweryfikować nawet najbardziej błahe założenie, ponieważ nawet „wielcy oszuści” zostali wykryci przez jeden mały błahy błąd, przez pomyłkę lub zbyt dużą pewność siebie.

 

sierż. sztab. dr Łukasz Krysiński

detektyw Zespołu dw. z PG Wydziału Kryminalnego KPP w Słupcy

zdj. Jacek Herok

 

 

1 Niniejszy artykuł jest niezbędnym kompendium wiedzy dla funkcjonariuszy Policji, a także innych formacji zajmujących się w ramach wykonywanych czynności służbowych zwalczaniem cyberprzestępczości. Publikacja ta jest efektem wcześniejszych rozważań prowadzonych przez autora dotyczących działań cyberprzestępców i możliwości prawnych związanych z ich identyfikacją, które zostały przedstawione w artykule pt. Identyfikacja cyberprzestępców w czasopiśmie „Prokuratura i Prawo” 2020, nr 2/20, i stanowi swoistą esencję zamieszczonych w nim zagadnień, które zostały przedstawione w praktyczny sposób.

2 Osoby pragnące poszerzyć wiadomości z zakresu cyberprzestępczości mogą być zainteresowane m.in. następującymi publikacjami: Ł. Krysiński, Identyfikacja cyberprzestępców, „Prokuratura i Prawo” 2020, nr 2/20, P. Opitek, Cyberprzestępczość w pracy prokuratora, „Prokuratura i Prawo” – wydanie specjalne, Warszawa 2018, M. Stefanowicz, Cyberprzestępczość – próba diagnozy zjawiska, „Kwartalnik Policyjny” 2017, nr 4.

3 Dz.U. z 2020 r. poz. 344.

4 Art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344).

5 Art. 2 pkt 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344).

6 Dz.U. z 2020 r. poz. 344.

7 Dz.U. z 2020 r. poz. 360.

8 Należy wskazywać jako dane żądane do przekazania wszystkie posiadane i zgromadzone informacje, ponieważ identyfikować sprawcę można także poprzez adresy e-mail, numery abonenckie, numery rachunków bankowych itd.

9 W ramach prowadzonej pracy operacyjnej dane telekomunikacyjne można pozyskiwać również na podstawie art. 20c ust. 1 pkt 1 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. z 2020 r. poz. 360).

10 Dz.U. z 2019 r. poz. 2460, z późn. zm.

11 Dz.U. z 2019 r. poz. 2460, z późn. zm.

12 Art. 180a ust. 1 pkt 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2019 r. poz. 2460, z późn. zm.).