Poważnym problemem jest dziś kradzież tożsamości, w czym bardzo pomaga sztuczna inteligencja. Wkrótce ma obowiązywać wymóg oznaczania materiałów wygenerowanych przy pomocy AI na bazie AI Act. To oczywiście nie obejmie cyberprzestępców, bo oni niczego oznaczać nie będą. Na ile potrzebujemy dziś przepisów, by walczyć z deepfake’ami? Czy wygenerowanie takiego materiału zawsze jest przestępstwem i czy konieczna jest nowelizacja kodeksu karnego?
Kradzież tożsamości w obecnym kształcie nie obejmuje wszystkich przypadków generowania i używania wizerunków przerobionych w sposób wprowadzający w błąd. Nie zawsze mamy do czynienia z klasycznym „podszywaniem się”.
Moim zdaniem konieczne jest wprowadzenie odpowiedzialności karnej co najmniej za produkowanie, rozpowszechnianie i publiczne prezentowanie zobrazowań zawierających wizerunek innej osoby lub jej dane, które mogą wprowadzić w błąd co do ich prawdziwości. W takim przepisie nie musi, a wręcz nie powinno pojawiać się odniesienie do sztucznej inteligencji. Nie ma powodu, by penalizować wyłącznie tych, którzy użyją AI, a nie tych, którzy dokonują manipulacji w tradycyjnych programach graficznych.
W reklamach pseudoinwestycyjnych często widzimy zdjęcie znanego dziennikarza, wokół wygenerowane napisy „zainwestuj w Baltic Pipe”, „tysiąc osób już zainwestowało”, fejkowy pasek przypominający serwis informacyjny. To wcale nie musi być efekt użycia AI. Przepis powinien obejmować szeroko: tworzenie treści dźwiękowych, obrazów i wideo, które – bazując na czyimś wizerunku – wprowadzają w błąd co do prawdziwości. Może to być wklejenie kogoś w inne tło, inne towarzystwo, dodanie do ręki przedmiotu, którego w rzeczywistości nie trzymał. Obecny art. 190a § 2 k.k. o kradzieży tożsamości zakłada „podszywanie się” i działanie na szkodę majątkową lub osobistą. Nie zawsze mamy jednak podszycie, czasem chodzi o wykreowanie fałszywej narracji na bazie cudzego wizerunku.
Na ile skala problemu uzasadnia pilne zmiany regulacyjne?
Im szybciej, tym lepiej. Taka regulacja ułatwiłaby szybkie eliminowanie szkodliwych reklam i treści. Jasny przepis karny ułatwiłby ich usuwanie z mediów społecznościowych i stron internetowych. Osoba, której wizerunek jest wykorzystywany, zyskałaby status pokrzywdzonego w sprawie karnej, a podmioty, które mimo zgłoszenia nadal udostępniałyby takie treści, narażałyby się na odpowiedzialność. To silny bodziec do szybszej reakcji.
Mówimy też o szczególnie wrażliwym obszarze: generowaniu nagich zobrazowań osób, w tym dzieci, często przez rówieśników z klasy. Ochrona przed deepfake’ami powinna być pełna. Sam obowiązek oznaczania materiałów jako „wygenerowane przez AI” niewiele tu zmieni, przecież przestępcy będą korzystać z modeli, które takich znaczników nie stosują.
Czytaj więcej
ElevenLabs rozszerza działalność na dwa strategiczne obszary. Głosowi asystenci mają pomóc NFZ usprawnić obsługę pacjentów, a równocześnie firma do...
Skoro mówimy o regulacjach, chciałam zapytać o ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Na ile pani zdaniem okazała się skuteczna, spoofing (oszustwo, które polega na podszywaniu się pod czyjś numer telefonu) jest dziś mniej popularny niż przed wejściem w życie tych przepisów?
Jestem wielką fanką tej ustawy. To dobry kierunek: proaktywne rozwiązania nastawione na ochronę potencjalnych ofiar. Ustawa łączy rozwiązania administracyjne i karne, obejmuje m.in. smishing (oszustwo polegające na wysyłaniu fałszywych wiadomości SMS, w których przestępcy podszywają się pod banki, kurierów lub urzędy – przyp. red.) i spoofing. Ważne jest też to, że operatorzy telekomunikacyjni usiedli z ministerstwem do wspólnego stołu i wspólnie zastanowili się, jak chronić użytkowników końcowych.
Mechanizm blokowania SMS-ów smishingowych realnie chroni najsłabszych. Część wiadomości w ogóle nie dociera do odbiorców, a jeśli dotrze, to dzięki wpisaniu złośliwej domeny na Listę Ostrzeżeń link prowadzi na planszę ostrzegawczą „Uwaga! Ta strona stanowi zagrożenie”, a nie na stronę przestępców. Zmieniłabym jednak dobrowolność stosowania tej listy przez dostawców usług internetowych – na obowiązek. Moim zdaniem wszystkie podmioty dostarczające usługę dostępu do internetu powinny korzystać z tego mechanizmu, a nie tylko „wielka czwórka” telekomów.
Czytaj więcej
Geopolityka cyberbezpieczeństwa, suwerenność technologiczna, NIS2 i KSC, cyberodporność, infrastruktura krytyczna, AI, cyberprzestępczość - to tema...
Jeśli chodzi o spoofing: ustawa przewiduje, że gdy operator wykryje spoofowane połączenie, może je zakończyć albo ukryć prezentację numeru. Sprawca traci wtedy efekt socjotechniczny: ofiara nie widzi na ekranie numeru lub nazwy banku czy policji.
Istotny jest również mechanizm listy DNO (Do Not Originate, wykaz numerów przeznaczonych wyłącznie do odbierania połączeń głosowych – przyp. red.). Jeżeli infolinia służy wyłącznie do tego, by klient do niej dzwonił, a nie do oddzwaniania, można ją na takiej liście zastrzec. Wtedy dostawca usług telekomunikacyjnych automatycznie blokuje próby podszycia się pod ten numer. To dobry, praktyczny instrument, który realnie ogranicza możliwość podszywania się pod znane instytucje.
Na potrzebę szeregu zmian regulacyjnych wskazuje też Strategia Cyberbezpieczeństwa RP. W rozdziale o przeciwdziałaniu i zwalczaniu cyberprzestępczości wymieniono bardzo wiele zmian legislacyjnych, które miałyby zapewnić kompleksowy system ścigania cyberprzestępczości. Co jest pani zdaniem priorytetem, żeby działania służb były skuteczniejsze?
Po pierwsze musimy dokonać przeglądu regulacji karnoprawnej, zarówno materialnej, jak i procesowej, bo obecne przepisy są bardzo nieadekwatne. Górna granica zagrożenia karnego za hacking (działanie polegające na wykorzystywaniu luk w zabezpieczeniach systemów komputerowych lub sieci w celu uzyskania dostępu – przyp. red.) to nadal dwa lata, a za smishing, czyli wysłanie SMS-a smishingowego – pięć lat. Potrzebujemy spójnego modelu.
W przypadku hackingu, należałoby podnieść zarówno górną, jak i dolną granicę kary oraz wprowadzić wypadek mniejszej wagi. Inny ładunek kryminalny ma otworzenie cudzego listu, inny – włamanie się i skopiowanie całej bazy dużego sklepu internetowego - skala szkody i skutków jest nieporównywalna.
Po drugie, trzeba dać organom ścigania realne narzędzia. Cyberprzestępców ogranicza tylko wyobraźnia, a organy działają na podstawie i w granicach prawa. Tam, gdzie mamy przestępstwa nastawione na monetyzację, kluczowy jest szybki mechanizm ustalania przepływów finansowych, czyli gdzie dalej trafiły pieniądze.
Aktualna procedura zwalniania z tajemnicy bankowej w sprawach z zakresu cyberprzestępstw polega na wystąpieniu przez jednostkę policji do nadzorującego postępowanie prokuratora ze stosownym wnioskiem. Następnie prokurator kieruje wniosek o zwolnienie z tajemnicy bankowej do sądu okręgowego. Następnie sąd wyraża zgodę na udostępnienie informacji w formie postanowienia, które wraz z aktami postępowania zwraca do prokuratury. Po otrzymaniu postanowienia prokurator doręcza je zobowiązanemu bankowi. Czas oczekiwania na dane objęte tajemnicą bankową jest zróżnicowany i wynosi od kilku do kilkudziesięciu dni. Przesłane przez bank dane są przesyłane do prokuratury, a dalej do jednostki policji prowadzącej postępowanie.
Cyberprzestępców ogranicza tylko wyobraźnia, a organy działają na podstawie i w granicach prawa
Takie ukształtowanie procedury zwolnienia z tajemnicy bankowej prowadzi do utraty możliwości ustalenia sprawców oraz zabezpieczenia i zwrotu środków pokrzywdzonym. Podczas gdy sprawcy operują na wielu rachunkach bankowych używanych do przestępstw (najczęściej założonych na dane tzw. słupów), a przelewy i operacje bankowe realizowane są niemal natychmiastowo, uzyskanie czasem po tygodniach lub miesiącach informacji objętych tajemnicą bankową sprowadza się najczęściej do biernego odtwarzania kolejnych przelewów i kierowania kolejnych wniosków, podczas gdy pieniądze pokrzywdzonych są bezpowrotnie tracone i poddawane praniu. Czas pozyskiwania danych dotyczących transakcji uniemożliwia również zabezpieczenie monitoringu z bankomatów, jeśli sprawcy dokonywali wypłat.
Czytaj więcej
Etyczna hakerka, która właśnie zdobyła kilka nagród w prestiżowym międzynarodowym konkursie, ostrzega, że narzędzia AI, takie jak Mythos, sprawią,...
Dlatego szczególnie istotne jest zmienienie procedury zwalniania banku z obowiązku zachowania tajemnicy. Z uwagi na czas i ekonomikę procesową to prokurator powinien móc samodzielnie zwalniać z tajemnicy bankowej przy określonych kategoriach przestępstw – w tym w szczególności cyberprzestępstw.
Bez możliwości szybkiego „pójścia za pieniędzmi” nigdy nie dotrzemy do sprawców i nie odzyskamy środków dla pokrzywdzonych, więc zasada „follow the money” pozostaje podstawą.
W Polsce szykuje się zmiana, jeśli chodzi o system zwalczania cyberprzestępczości - powstanie Narodowe Biuro Śledcze Policji, które ma „wchłonąć” Centralne Biuro Zwalczania Cyberprzestępczości. Jak pani ocenia taki kierunek i możliwy wpływ na pracę cyberpolicjantów?
Jeśli spojrzymy na wspomnianą Strategię Cyberbezpieczeństwa RP, widzimy w niej wyraźne odniesienie do Centralnego Biura Zwalczania Cyberprzestępczości jako kluczowej formacji w tym obszarze. Nie ma tam mowy o żadnej innej jednostce. Powstaje więc pytanie, jaka jest strategiczna wizja państwa, które przyjmuje taki dokument, a jednocześnie medialnie i decyzyjnie przesądza, że ta formacja wkrótce przestanie istnieć w obecnym kształcie?
Osobiście bardzo pozytywnie oceniam działania CBZC. To nowa formacja, która jeszcze nie osiągnęła pełnej mocy operacyjnej – poziom etatyzacji sięga około 60 proc., w zależności od zarządu i wydziału, ale już widać efekty jej pracy. Nie po to stworzono coś, co zaczęło dobrze funkcjonować, żeby teraz likwidować. Każda duża zmiana organizacyjna niesie ryzyko odejścia części funkcjonariuszy, świadomych możliwych zmian warunków pracy. Trzeba przy okazji zaznaczyć, że specjaliści cyberbezpieczeństwa i zwalczania cyberprzestępczości bez trudu znajdą pracę poza policją i to jest zasadnicza różnica wobec innych formacji.
Przypomnę, że CBZC ustaliło sprawcę włamania do dużego sklepu internetowego, rozbiło grupy zajmujące się fałszywymi inwestycjami, a także doprowadziło do zatrzymania osoby odpowiedzialnej za serie kaskadowych alarmów bombowych, czyli sprawy niewyjaśnione przez lata. Każdy taki sukces to efekt wielu miesięcy intensywnej pracy operacyjnej i procesowej. Czy połączenie CBZC z inną formacją coś przyspieszy lub poprawi? Na dziś nie jestem w stanie tego jednoznacznie ocenić.
Pozytywnie oceniam decyzję o tworzeniu komórek odpowiedzialnych za zwalczanie cyberprzestępczości w komendach wojewódzkich policji, a docelowo także powiatowych
Pozytywnie oceniam natomiast decyzję o tworzeniu komórek odpowiedzialnych za zwalczanie cyberprzestępczości w komendach wojewódzkich, a docelowo także powiatowych. Mamy coraz więcej tego typu spraw i potrzebujemy jednocześnie wyspecjalizowanej formacji do prowadzenia postępowań dotyczących najpoważniejszych przestępstw: ransomware, DDoS, fałszywych platform inwestycyjnych, ataków na dużą skalę oraz funkcjonariuszy na niższych poziomach, którzy potrafią prowadzić postępowania z elementem cyfrowym i zabezpieczać elektroniczny materiał dowodowy. Nawet w sprawach, które nie są „typową” cyberprzestępczością, zabezpiecza się dziś dane z telefonów, stron internetowych czy komunikacji elektronicznej. Muszą tam być osoby zdolne do przeprowadzenia oględzin, zabezpieczenia materiału dowodowego, powoływania biegłych lub samodzielnego wykonywania podstawowych czynności z zakresu informatyki śledczej.
Moim zdaniem, budowanie takich kompetencji na niższych poziomach struktury jest bardzo potrzebne, natomiast łączenie CBŚP i CBZC, zanim CBZC osiągnie pełną moc operacyjną, jest po prostu przedwczesne.
CYBERSEC EXPO & FORUM 2026 w Katowicach
15-16 czerwca w w Międzynarodowym Centrum Kongresowym w Katowicach odbędzie się konferencja CYBERSEC 2026, poświęcona wyzwaniom związanym z cyberbezpieczeństwem na różnych polach. Wydarzenie zainauguruje debata poświęcona relacji między geopolityką cyberbezpieczeństwa a suwerennością technologiczną. Istotną częścią agendy będzie również cyberbezpieczeństwo państwa i administracji samorządowej. Wdrażanie dyrektywy NIS2, rosnące wymagania regulacyjne oraz skala zagrożeń dla usług publicznych i infrastruktury krytycznej wymuszają budowę systemu odporności cyfrowej. W centrum uwagi znajdą się modele współpracy między administracją centralną i lokalną, rozwój centrów operacji bezpieczeństwa oraz wdrażanie koncepcji Zero Trust w sektorze publicznym. Zaplanowano też dyskusję o walce z cyberprzestępczością. W obliczu wykorzystania sztucznej inteligencji, deepfake’ów czy modeli „cybercrime as a service”, konieczne jest zdefiniowanie roli wyspecjalizowanych jednostek oraz współpraca instytucji krajowych i międzynarodowych.
Nikola Bochyńska jest dziennikarką WNP
