Cyberprzestępczość to dziś nie tylko pojedynczy włamywacz. To cały rynek narzędzi — i właśnie w niego wymierza nowelizacja prawa.

Co się zmienia

Jak podaje Rzeczpospolita, prezydent podpisał nowelizację Kodeksu karnego rozszerzającą artykuł 269b, który dotyczy bezprawnego wytwarzania, pozyskiwania i udostępniania programów oraz narzędzi służących do ataków na systemy informatyczne. Dotąd polskie prawo skupiało się przede wszystkim na samych sprawcach włamań; nowe przepisy pozwalają ścigać także tych, którzy te ataki przygotowują i dostarczają do nich „broń".

Karany cały łańcuch

Nowelizacja kryminalizuje — zgodnie z unijnym wzorcem — m.in. umyślne wytwarzanie, sprzedaż, dostarczanie w celu użycia, przywóz i rozpowszechnianie narzędzi hakerskich. Innymi słowy: pod paragraf podpada nie tylko ten, kto włamuje się do systemu, ale i ten, kto świadomie tworzy lub handluje oprogramowaniem przeznaczonym do takich przestępstw. To uderzenie w zaplecze cyberprzestępczości — w „dostawców" wykorzystywanych później do realnych ataków.

Wdrożenie przepisów UE

Zmiana nie jest wyłącznie polskim pomysłem — to transpozycja dyrektywy UE 2013/40 w sprawie ataków na systemy informatyczne (konkretnie jej art. 7). Polska wcześniej nie wdrożyła w pełni tego przepisu, a nowelizacja domyka tę zaległość, ujednolicając krajowe prawo ze standardem obowiązującym w całej Unii.

Od kiedy

Zgodnie z treścią ustawy przepisy wejdą w życie po upływie 14 dni od ogłoszenia (publikacja przypadła na 29 czerwca 2026). Vacatio legis jest więc krótkie — zmiany zaczną obowiązywać już wkrótce.

Dlaczego to ważne

Skala cyberataków na instytucje publiczne, firmy i zwykłych użytkowników rośnie od lat, a wiele z nich opiera się na gotowych, kupowanych narzędziach. Ściganie nie tylko wykonawców, ale i twórców oraz sprzedawców takiego oprogramowania ma działać odstraszająco i utrudniać funkcjonowanie „szarej strefy" cyberprzestępczości. Kluczowy pozostaje element umyślności — przepisy wymierzone są w działania nakierowane na popełnianie przestępstw, a nie w samo posiadanie wiedzy informatycznej. Jak dokładnie sądy będą stosować nowe paragrafy w praktyce — zwłaszcza wobec branży bezpieczeństwa IT — pokaże dopiero orzecznictwo.