Nowelizacja rozszerza zakres art. 269b Kodeksu karnego, który dotyczy bezprawnego wytwarzania, pozyskiwania, zbywania lub udostępniania narzędzi wykorzystywanych do przestępstw przeciwko systemom informatycznym. W praktyce chodzi m.in. o specjalistyczne programy komputerowe, hasła, kody dostępu i inne rozwiązania służące do nielegalnego uzyskiwania dostępu do systemów lub przechwytywania danych.

Ministerstwo Sprawiedliwości, informując wcześniej o przyjęciu projektu, podkreślało: „Dzięki nowym rozwiązaniom karalne będzie nie tylko dokonanie ataku hakerskiego, ale także wytwarzanie, sprzedaż lub udostępnianie narzędzi służących do jego przeprowadzenia – jeśli odbywa się to w celu popełnienia przestępstwa”.

To najważniejsze zastrzeżenie w całej sprawie. Sama obecność narzędzia informatycznego na komputerze nie oznacza automatycznie odpowiedzialności karnej. Kluczowy pozostaje zamiar wykorzystania go do przestępstwa. Nowe przepisy są więc wymierzone nie w zwykłych użytkowników internetu, ale w osoby, które świadomie przygotowują narzędzia do cyberataków.

Dla przeciętnego internauty zmiana nie oznacza nowych obowiązków. Nie zmienia zasad korzystania z bankowości elektronicznej, poczty, mediów społecznościowych ani legalnego oprogramowania. Użytkownicy komputerów nie będą karani za samo posiadanie programów, które mają zgodne z prawem zastosowanie.

Uspokojeni mogą być także specjaliści IT, administratorzy sieci i eksperci od cyberbezpieczeństwa. Legalne testy bezpieczeństwa, audyty informatyczne i działania prowadzone za zgodą właściciela systemu pozostają dopuszczalne. Odpowiedzialność karna ma dotyczyć sytuacji, w których narzędzia są tworzone, sprzedawane lub udostępniane w celu popełnienia przestępstwa.

Rząd wskazywał, że nowelizacja wynika z konieczności pełnego wdrożenia prawa Unii Europejskiej. Chodzi o art. 7 dyrektywy Parlamentu Europejskiego i Rady 2013/40/UE dotyczącej ataków na systemy informatyczne. Jak podawała PAP, polskie przepisy nie dokonywały dotąd pełnej transpozycji tego artykułu.

Nowe regulacje mają wejść w życie po upływie 14 dni od ogłoszenia ustawy w Dzienniku Ustaw. Ich celem jest zwiększenie skuteczności organów ścigania wobec osób przygotowujących cyberataki, a więc reagowanie na zagrożenie wcześniej niż dopiero po kradzieży pieniędzy, danych osobowych lub sparaliżowaniu systemu.

Cyberprzestępczość jest obecnie jednym z najpoważniejszych zagrożeń dla obywateli, firm i instytucji publicznych. Dlatego nawet niewielka objętościowo nowelizacja może mieć praktyczne znaczenie: ma pozwolić policji i prokuraturze działać szybciej wobec tych, którzy tworzą zaplecze techniczne dla przestępstw w sieci.