Kyberkriminalita v době krize se zaměřením na pachatele – právnické osoby
Pod pojmem kyberkriminalita je třeba rozumět takovou kriminalitu, která nejenže je v kyberprostoru páchána (užší pojetí kyberkriminality), ale i taková, která má jakoukoli souvislost s kyberprostorem (širší pojetí kyberkriminality). Tento článek se zabývá kyberkriminalitou v jejím širším pojetí, tzn. takovou kriminalitou, u které postačí, aby kterékoli vývojové stadium trestného činu mělo jakoukoli souvislost s kyberprostorem. Článek s takto široce vymezeným pojmem kyberkriminality bude dále orientován do průsečíku dvou dalších specifik, kdy prvním z nich je specifikum zasazení kyberkriminality do kontextu globální pandemie koronaviru, druhým je specifikum spočívající v kladení důrazu na pachatele, kterým je či může být právnická osoba. Článek si klade za cíl nejprve vymezit a zhodnotit jednotlivé druhy kyberkriminality a následně pomocí policejních statistik specifikovat zastoupení jednotlivých druhů kyberkriminality na kyberkriminalitě jako celku. Následně budou tyto jednotlivé druhy kyberkriminality analyzovány ve vztahy ke dvěma již zmíněným specifikům.
Kyberkriminalita v užším pojetí je vědou zabývající se kriminalitou, u které je dána souvislost s kyberprostorem „od A do Z“. Kyberkriminalitou v užším pojetí se tak rozumí trestné činy, jejichž všechna vývojová stadia jsou spáchána (nebo chcete-li uskutečněna) v kyberprostoru. Ke specifikaci kriminality je pro účely tohoto článku vhodné zmínit (byť možná trochu nadbytečně), že v trestněprávním pojetí se kriminalitou rozumí veškeré, platným a účinným trestním právem hmotným upravené skutkové podstaty trestných činů (jak zločinů, tak i přečinů).[1]
Kyberkriminalita v širším pojetí je vědou zabývající se kriminalitou, u které nemusí být dána souvislost s kyberprostorem „od A do Z“, ale u které postačuje, aby kterékoli z vývojových stadií trestného činu mělo svůj původ v kyberprostoru, anebo s ním bylo alespoň ve větší či menší míře spjato. V širším pojetí kyberkriminality už tak za „cybercrime“ považujeme i takový trestný čin, u kterého došlo např. k jeho přípravě (je-li trestná[2]) či pokusu v kyberprostoru, ale k samotnému dokončení a dokonání došlo již v „reálném světě“. Ke specifikaci kyberprostoru je pro účely tohoto článku vhodné zmínit (byť i v tomto případě možná trochu nadbytečně), že kyberprostorem se rozumí virtuální počítačový svět, nebo chcete-li, „imaginární prostor tvořený počítačově zpracovanými daty“.[3]
Hned v úvodu je rovněž vhodné poznamenat, že drtivá většina evropských států zakotvila v posledních dekádách ve svých právních řádech trestní odpovědnost právnických osob,[4] čímž se nabízí otázka, zda může být pachatelem trestných činů v kyberprostoru i právnická osoba, resp. za jakých podmínek.[5]
Druhy kyberkriminality
Kyberkriminalitu je možné dělit několikerým způsobem, přičemž jedním z dělení připadajících v úvahu je dělení s ohledem na její druh. Jsem toho názoru, že výčet jednotlivých druhů kyberkriminality není (a s ohledem na neustálý technologický pokrok, jehož jsme v postmoderní době 21. století svědky) taxativní, což ale nebrání tomu, abychom některé častěji praktikované druhy kyberkriminality mohli samostatně hodnotit.
Tak např. ze statistik Policie České republiky vyplývá, že běžně (resp. často) zastoupenými druhy kyberkriminality jsou hacking, blagging, podvodné e-shopy, mravnostní trestné činy, trestné činy proti autorskému právu, násilné projevy a hate crime a ostatní. Pro srovnání četnosti jednotlivých druhů kyberkriminality předkládám níže tabulku:
hacking | 9,99 % |
blagging + podvodné e-shopy | 60,54 % |
mravnostní trestné činy | 6,44 % |
trestné činy proti autorskému právu | 4,43 % |
násilné projevy a hate crime | 4,96 % |
ostatní | 13,64 % |
Tabulka: druhy kyberkriminality a jejich četnost[6]
Z uvedené tabulky je zřejmé, že zcela jednoznačně převažuje tzv. blagging,[7] který může být jednoduše definován jako zasílání podvodných e-mailů subjektům (typicky zaměstnancům), u kterých je uměle vytvářen dojem, že je oslovuje určitá osoba (typicky zaměstnavatel či nadřízený) s požadavkem na splnění určitého úkolu (např. požadavek na zaslání platby adresovaný účetní). Blagging jde ruku v ruce s podvodnými e-shopy, u kterých jejich modus operandi není třeba představovat.
Blagging může mít různé podoby a také různou míru „profesionality“, když méně zkušený hacker zašle jednoduchý e-mail ze své (od osoby, za kterou se vydává, odlišné) e-mailové adresy na e-mailovou adresu poškozené osoby, aniž by si předem zjistil způsob, jakým interní komunikace v dané společnosti zpravidla probíhá. Osoba s rozumem průměrného člověka tak zpravidla nemá problém s odhalením podvodného e-mailu, nicméně vysoká pracovní vytíženost, únava či jiné obdobné faktory můžou vést ke skutečnosti, že i osoba s rozumem průměrného člověka se nechá „nachytat“ a požadavek hackera splní.
Zkušenější hacker se vykazuje zpravidla tím, že preferuje kvalitu před kvantitou. Jeho útoky nebývají tak četné jako útoky méně zkušených hackerů, o to propracovanější a sofistikovanější jeho útoky bývají. Takový hacker si např. vyhlédne společnost, u které účetní běžně zpracovává platby v řádech milionů korun. Do společnosti se infiltruje, zjistí si, kdy jsou odesílány pravidelné platby zákazníkům dané společnosti a jak vypadají interní příkazy k takovým platbám. Nic netušící účetní pak obdrží e-mail z e-mailové adresy, ze které příkazní e-maily běžně dostává, text e-mailu je také stejný, na jaký je zvyklá (začínající např. slovy „Maru, prosím tě“, apod.), domnělý příjemce je dlouholetý a stabilní zákazník, načasování platby je také zcela obvyklé, pouze v čísle účtu příjemce je nepatrná změna. V takovém případě nelze na účetní spravedlivě požadovat, aby takový útok při svém pracovním zařazení byla schopna detekovat. Následky takového útoku mohou být fatální, v horších případech až likvidační.
Není tak divu, že tento druh kyberkriminality vykazuje téměř dvoutřetinovou četnost všech trestných činů páchaných v kyberprostoru. Ostatní druhy kyberkriminality není s ohledem na jejich jednoduchou pochopitelnost již ze samotného názvu, jakož i s ohledem na jejich nižší četnost, třeba definovat ani se jimi detailněji zabývat, snad jen s výjimkou hackingu, kterým se rozumí vyhledávání a využívání nedostatků (či přímo chyb) v softwaru a zneužívání těchto nedostatků ve prospěch hackera.
Globální pandemie koronaviru
Co se týče zařazení trestných činů páchaných v kyberprostoru do kontextu pandemie koronaviru, je již na první pohled zřejmé, že zavedení různých „home office“ a dalších forem distanční spolupráce uvnitř soukromých společností, ale i uvnitř veřejnoprávních institucí či přímo u orgánů veřejné moci přineslo hackerům zcela ideální podmínky pro páchání vybrané trestné činnosti.
Není tak divu, že četnost trestných činů páchaných v kyberprostoru v době pandemie jen rostla. Výjimkou nebyly ani útoky na nemocnice,[8] na orgány veřejné správy a v neposlední řadě i na školy.
Na trestné činy páchané v průběhu pandemie koronaviru reagoval i Nejvyšší soud prostřednictvím judikatorního vývoje, kdy trestné činy spáchané v době nouzového stavu byly zprvu hodnoceny jako kvalifikované skutkové podstaty daných trestných činů (např. krádež pečiva v obchodě v době nouzového stavu byla trestána až několika lety odnětí svobody – jedná se o ilustraci, obdobný příklad s trestným činem spáchaným v kyberprostoru se mi nepodařilo dohledat), později, s důrazem na materiální pojetí trestného činu, se od aplikace kvalifikovaných skutkových podstat upouští. Nejinak je tomu i v případě kyberkriminality, tzn. nemůže dojít k důrazu na materiální pojetí trestného činu např. jen u majetkových trestných činů; je-li kladen tento důraz, tak musí být en bloc používán pro pojetí jakéhokoli trestného činu, jenž byl spáchán v době nouzového stavu (tedy i pro ty trestné činy spáchané v kyberprostoru či s kyberprostorem související).
S ohledem na přijímání mimořádných krizových opatření souvisejících s pandemií koronaviru napříč (nejen) evropskými státy, které nezřídka obsahovaly i zákaz vstupu do některých prostor či zákaz vycházení v určitou denní dobu apod., docházelo k déle trvajícímu pobytu osob v místě jejich bydliště ve srovnání s dobou před přijetím krizových opatření. S uvedeným nezřídka souvisí i více prostoru pro páchání trestné činnosti (ať už se jedná o recidivisty, či prvopachatele).
Trestné činy spáchané v době vyhlášených mimořádných krizových opatření, resp. v době nouzového stavu, je možné pracovně rozdělit do třech kategorií, a sice:
- trestné činy spáchané ze strachu/s motivem šíření strachu;
- trestné činy využívající opatření zavedených státem v souvislosti s pandemií koronaviru/trestné činy využívající nouzový stav;
- trestné činy zneužívající opatření zavedených státem v souvislosti s pandemií koronaviru/trestné činy zneužívající nouzový stav.
Všechny tři shora uvedené kategorie je možné spáchat i v kyberprostoru.
Právnická osoba jako pachatel
Co se týče otázky, zda pachatelem trestných činů páchaných v kyberprostoru může být i právnická osoba, je nutné v první řadě vyjít z příslušné právní úpravy, která může být v různých (evropských) zemích odlišná, resp. ne zcela jednotná. V českém právním řádu je problematika trestní odpovědnosti právnických osob upravena v zákoně č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, ve znění pozdějších předpisů (dále jen „TOPO“).
S ohledem na skutečnost, že právnická osoba není nadána schopností samostatně právně jednat, je nutné, aby za ni v každém případě jednala jiná osoba (která v konečném důsledku musí být již ze samotné logiky věci osobou fyzickou).
Podle § 8 TOPO je nutné, aby za právnickou osobu jednala některá z osob zde uvedených [§ 8 odst. 1 TOPO stanovuje následující: „Trestným činem spáchaným právnickou osobou je protiprávní čin spáchaný v jejím zájmu nebo v rámci její činnosti, jednal-li tak
- statutární orgán nebo člen statutárního orgánu, anebo jiná osoba ve vedoucím postavení v rámci právnické osoby, která je oprávněna jménem nebo za právnickou osobu jednat,
- osoba ve vedoucím postavení v rámci právnické osoby, která u této právnické osoby vykonává řídící nebo kontrolní činnost, i když není osobou uvedenou v písmenu a),
- ten, kdo vykonává rozhodující vliv na řízení této právnické osoby, jestliže jeho jednání bylo alespoň jednou z podmínek vzniku následku zakládajícího trestní odpovědnost právnické osoby, nebo
- zaměstnanec nebo osoba v obdobném postavení (dále jen ‚zaměstnanec‘) při plnění pracovních úkolů, i když není osobou uvedenou v písmenech a) a c),
jestliže jí ho lze přičítat podle odstavce 2.“].
Samotným jednáním některé z osob uvedených v § 8 TOPO však není problematika trestní odpovědnosti právnické osoby zcela vyčerpána, když je dále nutné, aby jednání dané fyzické osoby bylo tzv. přičitatelné[9] dané právnické osobě [k tomu srov. § 8 odst. 2 TOPO, který stanovuje následující: „Právnické osobě lze přičítat spáchání trestného činu uvedeného v § 7, jestliže byl spáchán
- jednáním orgánů právnické osoby nebo osob uvedených v odstavci 1 písm. a) až c), nebo
- zaměstnancem uvedeným v odstavci 1 písm. d) na podkladě rozhodnutí, schválení nebo pokynu orgánů právnické osoby nebo osob uvedených v odstavci 1 písm. a) až c), anebo proto, že orgány právnické osoby nebo osoby uvedené v odstavci 1 písm. a) až c) neprovedly taková opatření, která měly provést podle jiného právního předpisu nebo která po nich lze spravedlivě požadovat, zejména neprovedly povinnou nebo potřebnou kontrolu nad činností zaměstnanců nebo jiných osob, jimž jsou nadřízeny, anebo neučinily nezbytná opatření k zamezení nebo odvrácení následků spáchaného trestného činu.“].[10]
TOPO obsahuje i další specifika, jako např. negativní výčet trestných činů uvedených v § 7 TOPO, tzn. ne každý trestný čin uvedený v zákoně č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů, je trestným činem, kterého se může dopustit právnická osoba, apod., nicméně tato specifika nezabraňují tomu, aby trestné činy páchané v kyberprostoru nemohly být páchány vedle osob fyzických též osobami právnickými. Koneckonců rejstřík trestů právnických osob je v České republice veřejný[11] a po nedlouhém lustrování je možné dohledat právnické osoby, které byly odsouzeny za trestné činy spáchané v kyberprostoru (tj. v kyberprostoru v jeho širším pojetí, k tomu srov viz výše).
Ze všech výše uvedených skutečností je tedy zřejmé, že pachatelem trestného činu spáchaného v kyberprostoru může být i právnická osoba.
Vývoj kybernetické kriminality
Jak vyplývá ze statistiky kybernetické kriminality vedené Policií České republiky, je od roku 2011 (rok, kdy byla statistika zavedena) zřejmý lineární nárůst četnosti kybernetické kriminality, kdy každý další kalendářní rok čítá více trestných činů spáchaných v kyberprostoru než rok předchozí.
Graf: Vývoj kybernetické kriminality v České republice (nápad trestné činnosti vs. rok)[12]
Statistika za rok 2020 žel ještě není k dispozici, nicméně lze se rozumně domnívat, že i bez pandemie koronaviru by s ohledem na permanentní nárůst kybernetické kriminality statistika za rok 2020 vykázala nárůst, a tím spíše se lze rozumně domnívat, že nárůst bude s ohledem na pandemii koronaviru, která připravila pachatelům této odnože kriminality zcela ideální podmínky, ještě vyšší.
Osobně se dále domnívám, že dojde k nárůstu kybernetické kriminality páchané pachateli – právnickými osobami, neboť právě pandemie koronaviru napomohla tomu, aby pachatelé – právnické osoby:
- využily zvýšené práce v režimu „home office“, a tím zvýšené četnosti návštěv online prostředí;
- generovaly větší množství podvodných (typicky phishingových) e-mailů, neboť zaměstnanec pracující v režimu „home office“, odkázaný na elektronickou komunikaci, je snáze zranitelný;
- otevřely podvodné e-shopy (typicky, nikoli však výlučně, obchody s rouškami, dezinfekčními přípravky a dalším zdravotnickým materiálem);
- dopouštěly se dalších trestných činů objektivně spáchatelných v kyberprostoru, jako např. trestný čin vydírání, nebezpečné vyhrožování apod.
Závěr a úvahy de lege ferenda
S ohledem na presumovaný nárůst kybernetické kriminality, který lze rozumně očekávat nejen z důvodu pandemie koronaviru, ale i z důvodu dosavadního vývoje statistických dat, je dle mého názoru v tuto chvíli prostor pro otázku, jak by měly (nejen) vyspělé státy na tuto skutečnost reagovat. Osobně se domnívám, že pomyslný Rubikon pachatelé kybernetické kriminality již překročili, z čehož na druhé straně rovnice nutně rezultuje příslušná reakce jednotlivých států, resp. jejich orgánů činných v trestním řízení. Kategorie kybernetické kriminality tak nemůže být brána na lehkou váhu, ale musí být potírána a musí jí být předcházeno systematicky a organizovaně.
Jedním z konkrétních opatření, které dle mého názoru napomůže eliminaci rizik, je bezpochyby zřízení tzv. „whistleblowera“. Tak např. v České republice zastává funkci „whistleblowera“ v souvislosti s kybernetickými riziky Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který na svých internetových stránkách[13] informuje o kybernetických rizicích, což (potenciální) pachatele oslabuje. NÚKIB také disponuje celou řadou materiálů typu „jak se zachovat“ a dále poskytuje nezávislé konzultace, rady a doporučení v konkrétních situacích. Je nutné dodat, že je orgánem veřejné moci, pročež je nadán pravomocemi, kterými by soukromoprávní „whistleblower“ nadán nebyl. Osobně se dále domnívám, že varování NÚKIB by měla být pro futuro alespoň doporučující pro orgány činné v trestním řízení. Spolupráce orgánů veřejné moci v této oblasti je tudíž více než žádaná.[14]
JUDr. Jan Malý je advokátem trvale spolupracujícím s Fiala, Tejkal a partneři, advokátní kancelář, s. r. o., a doktorandem na Katedře trestního práva Právnické fakulty Masarykovy univerzity.
[1] H. Válková: Kriminalita, in: D. Hendrych a kol.: Právnický slovník, 3. vydání, C. H. Beck, Praha 2009.
[2] J. Provazník: § 20 [Příprava], in: F. Ščerba a kol.: Trestní zákoník, 1. vydání, C. H. Beck, Praha 2020, str. 318.
[3] M. Škop: Hranice práva a kyberprostoru – subversivita kyberprostoru, Právník č. 10/2005, str. 1157-1168.
[4] J. Malý: Jednání za právnickou osobu v průběhu trestního řízení, Právní rozhledy č. 18/2020, str. 637-642.
[5] Odpověď na tuto otázku bude níže zpracována podle aktuálně platného a účinného českého právního řádu.
[6] Tabulka četnosti je z roku 2016 (novější četnostní zastoupení jednotlivých druhů kyberkriminality žel Policie České republiky nenabízí) a je dostupná zde: https://www.policie.cz/clanek/jednotlive-druhy-kyberkriminality.aspx.
[7] K tomu srov. např. https://www.bbc.com/news/uk-14120244.
[8] K tomu srov. např. https://mobilenet.cz/clanky/rok-2020-prinesl-krome-pandemie-koronaviru-i-vice-kybernetickych-utoku-na-nemocnice-43079.
[9] K problematice přičitatelnosti lze odkázat na J. Fenyk, L Smejkal, I. Bílá: Zákon o trestní odpovědnosti právnických osob a řízení proti nim, Komentář, 2., podstatně přepracované a doplněné vydání, Wolters Kluwer ČR, Praha 2018, str. 35 a násl.
[10] K tomu srov. J. Malý: Ne/přičitatelnost některých trestných činů proti životu a zdraví právnické osobě, Právní rozhledy č. 10/2020, str. 368-371.
[11] Rejstřík trestů právnických osob je dostupný na této adrese: https://eservice-po.rejtr.justice.cz/public)odsouzeni?2.
[12] Statistika je dostupná zde: https://www.policie.cz/clanek/kyberkriminalita.aspx.
[13] Internetové stránky NÚKIB jsou dostupné zde: https://www.nukib.cz/cs/infoservis/aktuality/.
[14] Tento článek vznikl za podpory projektu MUNI/A/1304/2020, „Pronikání trestního práva do ostatních právních odvětví II“.