kaznena djela računalnog kriminaliteta u novom kaznenom

Kaznena djela računalnog kriminaliteta u novom kaznenom zakonu
Republike Hrvatske
Dražen Škrtid
Namen prispevka
Prikaz glavnih novina o načinu i opsegu izmjena odredaba o računalnom kriminalitetu u Novom
kaznenom zakonu.
Metodologija
Deskriptivnom metodom i komparativnom analizom obuhvadene su odredbe Novog kaznenog
zakona, Kaznenog zakona, poredbenog prava i međunarodnih pravnih izvora kojima su definirani
okviri kaznenih djela računalnog kriminaliteta.
Ugotovitve
Kazneni zakon Republike Hrvatske iz 1997. godine, zamijenjen je Novim kaznenim zakonom čija
primjena počinje 2013. godine. Kaznena djela povreda tajnosti, cjelovitosti i dostupnosti
računalnih podataka, programa ili sustava Glave sedamnaeste (XVII.) - kaznena djela protiv
imovine Kaznenog zakona izdvojena su i uvrštena u Glavu dvadeset petu (XXV.) - kaznena djela
protiv računalnih sustava, programa i podataka u okviru koje su propisana kaznena djela
neovlaštenog pristupa, ometanje rada računalnog sustava, oštedenje računalnih podataka,
neovlašteno presretanje računalnih podataka, zloporaba naprava i teška kaznena djela protiv
računalnih sustava, programa i podataka. Novi kazneni zakon ne uvodi bitne novosti u definiranju
kaznenih djela računalnog kriminaliteta niti značajniju usklađenost s međunarodnim pravnim
izvorima.
Omejitve/uporabnost raziskave
Ograničenje predstavlja širina područja kaznenih djela računalnog kriminaliteta stoga demo se
ograničiti na opdi prikaz navedenih odredbi kaznenog i poredbenih zakona.
Praktična uporabnost
U preglednom članku daje se poredbeni prikaz odredbi Novog kaznenog zakona, Kaznenog zakona
i poredbenih zakona te opde naznake trendova propisivanja kaznenih djela računalnog
kriminaliteta u poredbenom pravu.
Izvirnost/pomembnost prispevka
Predstavljene u odredbe Novog kaznenog zakona i trendovi u propisivanju kaznenih djela
računalnog kriminaliteta u poredbenom pravu.
Ključne besede: računalni sustav, računalni podaci, računalni programi, računalni kriminalitet,
computer system, comupter data, computer program, cyber crime.
1
Uvod
Osnovne naznake kaznenopravne reakcije na zlouporabe računala u vidu inkriminacija zlouporaba
računala i računalnih sustava nalazimo u kaznenim zakonima s početka devedesetih godina
prošlog stoljeda, a odredbe o kaznenim djelima računalnog kriminaliteta postale su sastavni dio
gotovo svih suvremenih kaznenih zakona. Usvajanjem i stupanjem na snagu Konvencije o
kibernetičkom kriminalu inicirano je proširenje broja i opsega odredbi kojima su u kaznenim
zakonima definirana kaznena djela računalnog kriminaliteta i njihova harmonizacija na europskom
prostoru.
Konvencija o kibernetičkom kriminalu računalni kriminalitet dijeli u pet odvojenih kategorija:
kaznena djela protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka i sustava, kaznena
djela povezana s kršenjem privatnosti, klasična (tradicionalna) kaznena djela počinjena uporabom
računala, kaznena djela povezana sa sadržajem, kaznena djela povezana s kršenjem autorskih i
srodnih prava. Deskriptivnom analizom obuhvatit demo samo kaznena djela koja se odnose na
povredu tajnosti, cjelovitosti i dostupnosti računalnih podataka i sustava i kaznena djela povezana
s kršenjem privatnosti jer su navedena djela propisana Konvencijom o kibernetičkom kriminalu i
Okvirnom odlukom i Prijedlozima Direktiva.1 Konvencija propisuje kaznena djela protiv tajnosti,
cjelovitosti i dostupnosti računalnih podataka i sustava u člancima 2 - neovlašteni pristup cijelom
ili dijelu računalnog sustava, 3 - neovlašteno prisluškivanje uporabom tehničkih sredstava,
nejavnog prijenosa računalnih podataka iz računalnog sustava koji prenosi računalne podatke, 4 oštedenje, brisanje, pogoršanje, mijenjanje ili potiskivanje računalnih podataka, 5 - neovlašteno
ozbiljno ometanje funkcioniranja računalnog sustava unošenjem, odašiljanjem, oštedenjem,
pogoršavanjem, mijenjanjem ili potiskivanjem računalnih podataka i 6 - izrada, prodaja,
nabavljanje za uporabu, uvoz, distribucija ili činjenje dostupnim na drugi način ili posjedovanje
naprava, uključujudi i računalni program, stvoren ili prilagođen za počinjenje bilo kojeg navedenog
kaznenog djela" ili "računalnih zaporki, pristupnih kodova ili sličnih podataka koji omoguduju
pristup računalnom sustavu ili nekom njegovom dijelu“. Okvirna odluka propisuje kaznena djela
protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka odnosno kaznena djela neovlaštenog
pristupa informacijskom sustavu u članku 2., neovlaštenog utjecaja na rad informacijskog sustava
u članku 3., neovlaštenog utjecaja na podatke u članku 4, odnosna kaznena djela propisana
člancima 2, 4. i 5. Konvencije. Prijedlog Direktive iz 2010. godine i Prijedlog Direktive iz 2011.
godine, u članku 3. propisuje kazneno djelo neovlaštenog pristupa informacijskom sustavu, u
članku 4. neovlaštenog utjecaja na rad informacijskog sustava, u članku 5. neovlaštenog utjecaja
na podatke, u članku 6. neovlašteno prisluškivanje i u članku 7. izrada, prodaja, nabavljanje za
uporabu, uvoz, distribucija ili činjenje dostupnim na drugi način sredstava za počinjenje navedenih
kaznenih djela. Komparativnom analizom obuhvatiti demo odredbe članaka 2-6 Konvencije i
članke 3-7 Prijedloga Direktive.
Način i opseg propisivanja kaznenih djela i broja kaznenih djela ovisi o pravnoj tradiciji i
unutarnjem ustrojstvu kaznenih zakona. Komparativnom analizom odredbi nekih kaznenih zakona
europskih država i dinamiku njihovih izmjena u određenim vremenskim intervalima utvrdili smo
tri osnovna modela propisivanja kaznenih djela koja se odnose na povredu tajnosti, cjelovitosti i
dostupnosti računalnih podataka i sustava i kaznena djela povezana s kršenjem privatnosti.
Njemački kazneni zakon navedena kaznena djela propisuje prema zaštidenom pravnom dobru, a
izmjene i dopune odredbi odnose se na promjene koje su bile nužne prilagodbe stvarnim
potrebama i razvoju informacijsko komunikacijske tehnologije. Kazneni zakon nekih država
(Švicarske i Bivše jugoslavenske republike Makedonije), propisuju navedena kaznena djela u
okviru glave kaznenih djela kojima se propisuju kaznena djela protiv imovine ili kaznenih djela
protiv javnog reda i mira (Slovenije). Izmjene i dopune odredbi navedenih kaznenih zakona,
početkom ovog desetljeda kredu se u rasponu od promjena nužnih prema stvarnim potrebama i
razvoju informacijsko komunikacijske tehnologije do propisivanja navedenih kaznenih djela (i
1
Iako je Okvirna odluka još uvijek formalno na snazi, usvajanjem prijedloga Direktiva, nedvojbeno je iskazana politička
volja da se Okvirna odluka zamijeni Direktivom. Prijedlozi Direktiva nisu usvojeni i objavljeni kao službeni pravni
dokumenti EU, ali oba Prijedloga na usporediv način propisuju kaznena djela protiv tajnosti, cjelovitosti i dostupnosti
računalnih podataka i sustava i kršenja privatnosti.
ostalih kaznenih djela računalnog kriminaliteta) u okviru posebne glave kaznenog zakona. U ovom
radu analiziramo odredbe njemačkog kaznenog zakona, francuskog, švicarskog, i slovenskog
kaznenog zakona te kazneni zakon postranzicijske Rumunjske te kaznenih zakona tranzicijskih
država Jugoistočne Europe.
Krajem 2011. godine u RH donesen je Novi kazneni zakon, čija primjena počinje 01. siječnja 2013.
godine, a koji kaznena djela koja se odnose na povredu tajnosti, cjelovitosti i dostupnosti
računalnih podataka i sustava i kaznena djela povezana s kršenjem privatnosti i druga kaznena
djela računalnog kriminaliteta propisuje u okviru posebne glave kaznenog zakona.2 U radu dajemo
sumarni pregled odredbi Novog kaznenog zakona i komparatvni pregled s odredbama aktualnog
kaznenog zakona.
2
Propisivanje kaznenih djela u nekim europskim kaznenim zakonima
Komparativnom analizom odredbi nekih kaznenih zakona europskih država i dinamiku njihovih
izmjena u određenim vremenskim intervalima utvrdili smo tri osnovna modela propisivanja
kaznenih djela računalnog kriminaliteta, propisivanje kaznenih djela računalnog kriminaliteta
prema zaštidenom pravnom dobru, propisivanje kaznenih djela računalnog kriminaliteta u okviru
jedne glave kaznenog zakona ili u okviru više glava kaznenog zakona te propisivanje kaznenih djela
u okviru glave kaznenog zakona u kojoj su propisana isključivo kaznena djela računalnog
kriminaliteta.
2.1
Propisivanje kaznenih djela prema zaštidenom pravnom dobru
Kaznena djela Konvencije o kibernetičkom kriminalu implementirane u njemački kazneni zakon StGB prema kriteriju zaštitnog objekta. Odredbe članka 2. Konvencije implementirane su u
odredbe § 202a StGB u Petnaestoj glavi - kaznena djela portiv kršenja privatnosti u § 202a
sukladno stajalištu Njemačkog saveznog ustavnog suda koji je povodom preispitivanja Zakona u
ustavnom ustrojstvu Sjeverne Rajne-Vestfalije, donio odluku o novom temeljnom pravu koje je
Savezni sud izveo iz opdeg prava osobnosti. "Opde pravo osobnosti (članak 2. stavak 1. u vezi s
člankom 1. stavak 1. Temeljnog zakona) sadržava u sebi temeljno pravo na jamstvo povjerljivosti i
integritet informacijsko-tehničkih sustava" - “das Grundrecht auf Gewährleistung der
Vertraulichkeit und Integrität informationstechnischer Systeme (Kutscha, 2008). Njemački kazneni
zakon inkriminira neovlašteni pristup računalnim podacima koji osobi nisu namijenjeni i koji su
posebno zaštideni od neovlaštenog pristupa. Neovlašteni pristup računalnim podacima odnosi se i
na pristup sigurnosnim kopijama računalnih podataka. Zaštita od neovlaštenog pristupa
podrazumijeva kontrolu pristupa zaporkama, enkripcijom, logičkim petljama i drugim oblicima
zaštite od pristupa. Pristup elektroničkoj pošti koja je pohranjena na računalu, a koja je dostupna
tek nakon prijave korisnika na računalni sustav (logiranje) je kazneno djelo iz §202a njemačkog
kaznenog zakona (Wabnitz i Janovsky, 2007).
Pristup podacima definiran je namjerom "neovlaštenog pribavljanja podataka za sebe ili drugoga
zaobilaženjem zaštitnih mjera". Dakle, ovo djelo može se smatrati počinjenim ako počinitelj vidi
podatke na zaslonu, pa se na taj način upoznaje s njima, ali uključuje i intelektualne sadržaje i
pohranjivanje informacija na medij za pohranu informacija. To je razlog zbog kojeg se i u
2
Naziv novog Kazneni zakon ne razlikuje se od naziva aktualnog Kaznenog zakona. U tekstu komentara uz Konačni
prijedlog kaznenog zakona, autori za aktualni Kazneni zakon koriste skračenicu KZ97. No bilo bi potrebno novom
kaznenom zakonu dati službenu oznaku po uzoru na novi Kazenski zakon R Slovenije koji nosi naziv Kazenski zakonik-1
(KZ-1) stoga je stari i novi kazneni zakon R Slovenije mogude jednostavno razlikovati. U ovom radu, aktualnom
kaznenom zakonu dodati demo oznaku KZ97.
kontekstu §202 njemačkog kaznenog zakona ostvareno djelo smatra kad počinitelj sačini kopiju
podataka ili informacije koje se pojavljuju na zaslonu ili ih fiksira rukom pisanim bilješkama.
Nedvojbeno je da je počinitelj pribavio informacije ako je pohranio podatke na medij za pohranu
podataka. Posebno je pitanje je li pojava podataka na zaslonu dovoljna da bi se djelo smatralo
počinjeno. Smatra se da počinitelj mora biti u mogudnosti u bitnim dijelovima rekonstruirati
sadržaj podataka. To bi se moglo postidi samo stvaranjem kopija velikih količina podataka.
Nasuprot tome "čitanje" bi bilo dovoljno tek kada se upozna s dovoljno bitnih podataka da se
upozna sa sadržajem podataka (Wabnitz i Janovsky, 2007). Upoznavanje sa sadržajem podataka
narušava povjerljivost računalnih podataka. Povjerljivost je svojstvo informacije (podatka) da nisu
dostupne ili otkrivene neovlaštenim subjektima.
Izmjenama i dopunama njemačkog kaznenog zakona, zbog usklađivanja s odredbama Konvencije,
kazneno djelo neovlaštenog pristupa (hacking) je u značajnoj mjeri izmijenjeno.3 Iz opisa kaznenog
djela izbačen je uvjet da počinitelj računalnim podacima mora pristupiti s namjerom pribavljanja
računalnih podataka. Tom izmjenom otklonjen je uvjet da se računalnom sustavu pristupa s
namjerom pribavljanja računalnih podataka (Ernst, 2007). Ostali uvjeti za kriminalizaciju
neovlaštenog pristupa računalnom sustavu, radi pristupa podacima koji mu nisu namijenjeni i
pristup unatoč zaštitnim mjerama ili prevladavanjem zaštitnih mjera, nisu mijenjani.
Odredbe članka 3. Konvencije implementirane su u Petnaestoj glavi - kaznena djela protiv kršenja
privatnosti u odredbi § 202b StGB. Njemačko kazneno pravo propisuje kazneno djelo
neovlaštenog prisluškivanja računalnih podataka. U §202b njemačkog kaznenog zakona propisuje
se kazneno djelo neovlaštenog prisluškivanja (intercept) podataka tehničkim sredstvima koji su
pohranjeni ili prenošeni u elektroničkom obliku ili magnetnom obliku ili drugom obliku u kojem ih
nije mogude izravno percipirati, u nejavnoj obradi podataka ili elektromagnetskoj emisiji uređaja
za obradu podataka. Kazneno djelo je supsidijarnog karaktera i primjenjuje se ako počinitelja nije
mogude kazniti za teže kazneno djelo prema drugim odredbama njemačkog kaznenog zakona.
Kazneni progon za kazneno djelo iz § 202b njemačkog kaznenog zakona, prema posljednjim
izmjenama i dopunama § 205 njemačkog kaznenog zakona za kaznena djela počinjena u odnosu
na računalne podatke od posebnog javnog interesa, provodi se po službenoj dužnosti.
Kaznena djela iz članka 4. i 5. Konvencije implementirane su Glavi dvadeset i sedmoj – Kaznena
djela oštedenja StGB, u odredbama § 303a i § 303b.
Odredbe članka 4. Konvencije implementirane su u odredbe § 303a StGB kojom je propisana
kaznenopravna zaštita cjelovitosti i integriteta računalnih podataka na način koji je usporediv s
kaznenopravnom zaštitom fizčkih predmeta od oštečenja i uništenja. Odredbe §303 njemačkog
kaznenog zakona odnose se na imovinu, ali ne i na podatke. Zakonodavac je propisao kaznena
djela zaštite od ometanja rada računalnih sustava kako bi bili na raspolaganju gospodarstvu i
administraciji.
Odredbe članka 5. Konvencije implementirane su u odredbe § 303b StGB. Počinitelj kaznenog
djela iz § 303b njemačkog kaznenog zakona ne može biti osoba koja ometa vlastiti računalni
sustav. Operater centra za obradu podataka može biti počinitelj kaznenog djela u smislu § 303b
njemačkog kaznenog zakona. Počinjenje § 303b njemačkog kaznenog zakona mora dovesti do
poremedaja obrade podataka na način da značajno utječe na nesmetano funkcioniranje obrade
podataka. Potpuni prekid rada računalnog sustava je bez sumnje značajno utjecanje na nesmetan
rad računalnog sustava. Štete na hardveru kao što su na primjer nefunkcioniranja pojedinih
funkcija ili uređaja (monitori, pisači) redovito bi trebali dovesti do poremedaja rada računala, ali
računalo i dalje može funkcionirati. Isto vrijedi i za znatno smanjenje brzine računala ili
neizvršavanje pojedinih programa ili aplikacije, kao posljedica učinka virusa.
Odredbe članka 6. Konvencije implementirane su u Petnaestoj glavi - kaznena djela protiv kršenja
privatnosti u odredbi § 202c StGB. Njemački kazneni zakon u odredbi § 202c inkriminira
3
Tekst odredbe StGB uključuje izmjene i dopune do 22.12.2010. godine
prikupljanje i posjedovanje zaporki i drugih pristupnih kodova. Inkriminaciju neovlaštenog
pribavljanja, posjedovanja, prodaje ili činjenje drugom dostupnih korisničkih imena, zaporki,
sigurnosnih kodova i drugih računalnih kodova za pristup računalnom sustavu. Njemački ustavni
sud donio je odluku prema kojoj samo posjedovanje i uporaba računalnih programa namijenjenih
počinjenju kaznenih djela iz § 202c ne može biti dostatan uvjet za utvrđivanje elemenata
kaznenog djela. Sud smatra da posjedovanje računalnih programa namijenjenih počinjenju
kaznenih djela računalnog kriminaliteta može biti legitimno za korisnike koji se profesionalno bave
projektiranjem i provođenjem zaštitnih mjera ili povedanjem razine računalne sigurnosti. Mišljenje
je doneseno na temelju navoda da je nemogude programirati učinkovitu zaštitu računalnog
sustava ukoliko se ne upoznaju s programima namijenjenim počinjenju kaznenih djela. Stoga sud
zaključuje da osim činjenice da netko posjeduje programe namijenjene isključivo počinjenju
kaznenih djela, mora postojati i namjera počinjenja kaznenog djela koja se objektivno manifestira
(koju je mogude objektivno utvrditi). Korištenje i razvoj sigurnosnog softvera ne može biti kažnjivo
osim ako je počinjeno s nezakonitom namjerom (Bundesverfassungsgericht, 2009).
I propisivanje kaznenih djela računalne prijevare i računalnog krivotvorenja izvršeno je prema
kriteriju zaštidenog pravnog dobra. Kazneno djelo računalne prijevare propisano u § 263a u Glavi
dvadeset i drugoj StGB – prijevare i pronevjere (utaje). Kazneno djelo računalnog krivotvorenja
propisano - u Glavi dvadeset i tredoj – krivotvorenja. Kroz odredbe § 270 krivotvorenje u pravnim
slučajevima tretira se kao neovlašten utjecaj na obradu podataka. Odnosi se prije svega na
neistinite informacije ili dokumente koji se unose izravno u računalo s namjerom obmane u
pravnim odnosima. Računalno krivotvorenje zakonodavac propisuje u § 274 stavak 1. točka 2.
StGB kojim je inkriminirano brisanje, potiskivanje, činjenje neuporabljivim ili mijenjanje pravno
relevantnih podataka (koji su pohranjeni ili prenošeni elektronički, magnetski ili na drugi način koji
nije izravno opaziv).
2.2
Propisivanje kaznenih djela u okviru jedne ili više glava kaznenog zakona
Švicarski kazneni zakon kaznena djela iz članka 2. i 3. Konvencije propisuje u Glavi drugoj -kaznena
djela protiv vlasništva, u članku 143 bis, kaznena djela iz članka 4 - 6 Konvencije u članku 144 bis
iste glave. Kazneni zakon Bivše jugoslavenske republike Makedonije kaznena djela propisana
člancima 2-6 Konvencije propisuje u Glavi 23. Kaznena djela protiv imovine u članku 251 –
oštedenje i neovlašten ulaz u računalni sustav.4
Slovenski Kazenski zakonik (KZ-1) u glavi dvadeset i tredoj – kaznena djela protiv imovine,
propisuje u članku 221. – kazneno djelo napad na informacijski sistem, odnosno kaznena djela iz
članka 2 - 5. Konvencije, a u glavi dvadeset i devetoj – kaznena djela protiv javnog reda i mira, u
članku 306. stavak 3. propisuje kazneno djelo iz članka 6. Konvencije.
2.3
Propisivanje kaznenih djela u okviru posebne glave kaznenog zakona
Rumunjski kazneni zakon u Glavi X – kaznena djela protiv računalnih podataka i sustava, u I.
poglavlju propisuje kaznena djela protiv povjerljivosti i integriteta računalnih podataka i sustava.
U članku 440. propisano je kazneno djelo neovlaštenog pristupa računalnom sustavu, u članku
441. kazneno djelo neovlaštenog prisluškivanja prijenosa računalnih podataka, u članku 442.
kazneno djelo utjecaja na integritet (mijenjanje) računanih podataka, u članku 443. kazneno djelo
ometanje rada računalnog sustava i u članku 444. kazneno djelo neovlaštene uporabe računala i
računalnih programa. Navedena kaznena djela su implementacija odredbi članaka 2-6 Konvencije i
usporediva su odredbama članaka 3-7 Prijedloga Direktive. Pored navedenih kaznenih djela u
4
Na usporediv način Hrvatski kazneni zakon propisuje kaznena djela iz članak 2-6 Konvencije u članku 223. aktualnog
Kaznenog zakona.
Glavi X, poglavlje II propisana su u članku 445. kazneno djelo računalnog krivotvorenja i u članku
446. kazneno djelo računalne prijevare. U poglavlju III iste glave propisane su zajedničke odredbe
– u članku 447. kažnjavanje za pokušaj, u članku 448. kazne za pravne osobe i u članku 449.
definicije računalnog sutava, računalnog programa, računalnih podataka, zaštitnih mjera i
neovlaštenog postupanja.
Krivični zakonik R Srbije u Glavi dvadeset sedmoj propisuje Krivična dela protiv bezbednosti
računarskih podataka. U članku 298 propisano je kazneno djelo oštedenje računarskih podataka i
programa, u članku 299. kazneno djelo računarske sabotaže, u članku 300. kazneno djelo
pravljenja i unošenja računarskih virusa, u članku 302. kazneno djelo neovlašdeni pristup
zaštidenom računaru, računarskoj mreži i elektronskoj obradi podataka, u članku 303. kazneno
djelo sprečavanje i organičavanje pristupa javnoj računarskoj mreži, u članku 304. kazneno djelo
neovlašceno korišdenje računara ili računarske mreže i u članku 304a. kazneno djelo Pravljenje,
nabavljanje i davanje drugom sredstava za izvršenje krivičnih dela protiv bezbednosti računarskih
podataka. Krivični zakonik u navedenoj glavi propisuje kaznena djela iz članka 2 i članaka 4-6
Konvencije i usporediva su odredbama člankom 3 i člancima 5 -7 Prijedloga Direktive.5
Krivični zakonik Crne Gore u Glavi dvadeset osmoj propisuje krivična djela protiv bezbjednosti
računarskih podataka. U članku 349. propisuje kazneno djelo oštedenje računarskih podataka i
programa, u članku 350. propisuje kazneno djelo računarska sabotaža, u članku 351. propisuje
kazneno djelo pravljenje i unošenje računarskih virusa, u članku 353. propisuje kazneno djelo
neovlašdeno korišdenje računara ili računarske mreže, u članku 354. propisuje kazneno djelo
Ometanje funkcionisanja elektronske obrade i prenosa podataka i računarske mreže, u članku
355. propisuje kazneno djelo Neovlašdeni pristup zaštidenom računaru i računarskoj mreži, u
članku 356. propisuje kazneno djelo sprječavanje i organičavanje pristupa javnoj računarskoj
mreži.6
Kazneni zakon Federacije Bosne i Hercegovine u Glavi XXXII propisuje kazna djela protiv sustava
elektronske obrade podataka. U članku 393. propisuje kazneno djelo Oštedenje računalnih
podataka i programa, članku 396. propisuje kazneno djelo Ometanje rada sustava i mreže
elektronske obrade podataka, u članku 397. propisuje kazneno djelo Neovlašteni pristup
zaštidenome sustavu i mreži elektronske obrade podataka. Kazneno djelo iz članka 6. Konvencije
odnosno članka 7. Prijedloga Direktive propisano ju u odredbama članka 393. stavak 5.7
3
Kaznena djela računalnog kriminaliteta u novom kaznenom zakonu
Velika reforma kaznenog zakonodavstva 1997. u okviru glave kaznenog zakona u kojoj su
propisana kaznena djela protiv imovine, u hrvatsko kazneno pravo uvodi prvu generaciju odredbi
o računalnom kriminalitetu - kazneno djelo računalnog kriminaliteta, u članku 223. - Oštedenje i
uporaba tuđih podataka.
Odredbe o računalnom kriminalitetu znatno su proširene u noveli Kaznenog zakona iz 2004.
godine predstavljaju djelomičnu implementaciju odredbi Konvencije o kibernetičkom kriminalu VE
prema kojim su propisana kaznena djela, uključuje definiranje temeljnih pojmova - računalnog
sustava, računalnih podataka i računalnih programa u opdem dijelu Kaznenog zakona, a kaznena
djela računalnog kriminaliteta čine grupaciju kaznenih djela u glavi sedamnaestoj, izmijenjen i
5
Pored navedenog, u članku 301. propisano je kazneno djelo računalne prevare.
Pored navedenog, u članku 351. propisano je kazneno djelo računalne prevare.
7
Pored navedenog, u članku 394. propisano je kazneno djelo računalnog krivotvorenja, u članku 395. propisano je
kazneno djelo računalne prevare i u članku 398 kazneno djelo računalne sabotaže.
6
dopunjen članak 223. i kaznena djela računalnog krivotvorenja u članku 223.a i računalne
prijevare u članku 224.a, u posebnom dijelu Kaznenog zakona.
U Novom kaznenom zakonu, pored djelomično izmijenjenih odredbi u opdem dijelu, u posebnom
dijelu, kaznena djela računalnog kriminaliteta grupirana je u Glavi dvadeset i petoj i temelje se na
potpunijoj ali ne i punoj implementaciji odredaba ratificirane Konvencije VE i privremenih
dokumenata EU - Okvirnoj odluci o napadima na informacijske sustave iz 2005. godine za koju je
donijeta odluka o ukidanju i Prijedlogu direktive o napadima na informacijske sustave iz mjeseca
rujna 2010. godine, koja u vrijeme donošenja Kaznenog zakona još nije stupila na snagu. Obzirom
na novi Prijedlog direktive o napadima na informacijske sustave iz mjeseca svibnja 2011. godine,
vrlo je vjerojatno da Prijedlog direktive iz mjeseca rujna 2010. godine nede stupiti na snagu.
Odredbe o kaznenim djelima Konvencije VE, koju je ratificiralo samo 17 od 27 članica EU i Okvirne
odluke 2005/222/JHA odnosno Prijedloga direktive o napadima na informacijske sustave su slične
(odredbe Okvirne odluke i Prijedloga direktive osim kaznenih djela propisuju i kazne za pojedina
kaznena djela). Europska komisija snažno preporuča zemljama članicama implementaciju odredbi
Konvencije VE u domada zakonodavstva, a navedeni dokumenti su doneseni kako bi Europskoj
komisiji dobila efikasno sredstvo da prisili zemlje članice na implementaciju nužnih odredbi o
računalnom kriminalitetu u domada kaznena prava.
Novi kazneni zakon objavljen u Narodnim novinama 07. studenog 2011. godine, stupa na snagu
01. siječnja 2013. godine, definira pojmove vezane za računalni kriminalitet u opdem dijelu i
propisuje kaznena djela protiv računalnih sustava, programa i podataka u glavi dvadeset i petoj.
3.1
Definiranje pojmova
Kazneni zakon definira temeljne pojmove računalni podaci i računalni program na isti način kao i
kazneni zakon. Definicija računalnog sustava je proširena sukladno odredbama Prijedloga
direktive i odnosi se na svaku napravu ili skupinu međusobno spojenih ili povezanih naprava, od
kojih jedna ili više njih na osnovi programa automatski obrađuju podatke, kao na računalne
podatke koji su u njega spremljeni, obrađeni, učitani ili preneseni za svrhe njegovog rada,
korištenja, zaštite i održavanja.8
3.2
Neovlašteni pristup
Zakon donosi novine glede neovlaštenog pristupa, osnova za kazneni progon visine i vrste kazne.9
Pojam neovlašten nije posebno definiran. Trebao bi obuhvadati svaki pristup koji nije odobrio
vlasnik ili druga osoba koja je ovlaštena dati odobrenje ili svaki pristup koji je zabranjen zakonom.
Temeljno kazno djelo neovlaštenog pristupa računalnom sustavu (hacking) prošireno je
kriminaliziranjem neovlaštenog pristupa računalnim podacima, čime je kaznenopravna zaštita
proširena i na računalne podatke koji su pohranjeni na medijima za pohranu računalnih podataka
izvan računalnog sustava. U odredbu ipak nije implementirana odredba Konvencije kojom se
8
Članak 87. (17) Računalni sustav je svaka naprava ili skupina međusobno spojenih ili povezanih naprava, od kojih jedna
ili više njih na osnovi programa automatski obrađuju podatke, kao i računalni podaci koji su u njega spremljeni,
obrađeni, učitani ili preneseni za svrhe njegovog rada, korištenja, zaštite i održavanja. (18) Računalni podatak je svako
iskazivanje činjenica, informacija ili zamisli u obliku prikladnom za obradu u računalnom sustavu. (19) Računalni
program je skup računalnih podataka koji su u stanju prouzročiti da računalni sustav izvrši određenu funkciju.
9
Neovlašteni pristup Članak 266. (1) Tko neovlašteno pristupi računalnom sustavu ili računalnim podacima,kaznit de se
kaznom zatvora do jedne godine.(2) Tko kazneno djelo iz stavka 1. ovoga članka počini u odnosu na računalni sustav ili
računalne podatke tijela državne vlasti, tijela jedinica lokalne ili područne (regionalne) samouprave, javne ustanove ili
trgovačkog društva od posebnog javnog interesa,kaznit de se kaznom zatvora do tri godine.(3) Za pokušaj kaznenog
djela iz stavka 1. i 2. ovoga članka počinitelj de se kazniti. .(4) Kazneno djelo iz stavka 1. ovoga članka progoni se po
prijedlogu.
sankcionira neovlašten pristup dijelu računalnog sustava. Odredba o neovlaštenom pristupu
računalnim sustavima tijela državne vlasti, tijela jedinica lokalne ili područne (regionalne)
samouprave, javne ustanove ili trgovačkog društva od posebnog javnoga interesa nije mijenjana.
Za sva kaznena djela neovlaštenog pristupa propisana je samo kazna zatvora. Novost je da se
kazneni progon neovlaštenog pristupa računalnom sustavu poduzima temeljem prijedloga
oštedene fizičke ili pravne osobe, a za neovlašten pristup računalnim sustavima tijela državne
vlasti, tijela jedinica lokalne ili područne (regionalne) samouprave, javne ustanove ili trgovačkog
društva od posebnog javnoga interesa, po službenoj dužnosti. Brisana je odredba prema kojoj
neovlašten pristup mora biti počinjen „unatoč zaštitnim mjerama“. Postojanje zaštitnih mjera
tempore criminis, utvrđuje se naknadno. Konvencija VE taj uvjet propisuje kao fakultativnu
mogudnost, međutim Prijedlog direktive iz 2011. godine, taj uvjet propisuju kao obvezatan
element kaznenog djela, a to je praksa i gotovo svih europskih kaznenih zakona. No, i ovako
izmijenjena odredba ne kriminalizira pribavljanje, kopiranje, računalnih podataka čije pribavljanje
nije kriminalizirano odredbama o zaštiti autorskih prava i osobnih podataka kao i odavnje
službene, vojne i poslovne tajne.
Kvalificirani oblik kaznenog djela propisan je u odredbi članka 266. stavak 2. za neovlašteni
pristup, povredom mjera zaštite, računalnom sustavu ili računalnim podacima tijela državne vlasti,
tijela jedinica lokalne ili područne (regionalne) samouprave, javne ustanove ili trgovačkog društva
od posebnog javnog interesa. Odredba u odnosu na Kazneni zakon KZ97 nije bitno mijenjana.
Odredba članka 266. u Kaznenom zakonu u odnosu na postojedu odredbu u članku 223. stavak 1.
je, opdenito znatno prihvatljivija. Međutim, implementacija odredbi Okvirne odluke i Prijedloga
Direktive je, samo djelomična iako ih Direktiva u članku 1. propisuje kao minimalna pravila koja se
između ostalog odnose i na kazneno djelo neovlašteno pristupa.
Ukupno gledano, odredba članka 266. Kaznenog zakona je bolja od postojedih odredbi članka 223.
Kaznenog zakona KZ97, ali smatramo da je propuštena prilika da se donošenjem novog kaznenog
zakona kazneno djelo neovlaštenog pristupa cjelovito i sistematski uredi implementacijom
odredbi Konvencije, poredbenog prava i tehnološkog i predvidivog tehnološkog napretka
informacijske i komunikacijske tehnologije.
3.3
Ometanje rada računalnog sustava
Odredba inkriminira onemogudavanje ili otežavanje rada ili korištenja računalnog sustava,
računalnih podataka ili programa ili onemogudavanje ili otežavanje rada ili korištenja računalne
komunikacije, na istovjetan način kao i Kazneni zakon KZ97.10
Kazneno djelo sankcionira ometanje rada računalnog sustava, računalnih podataka ili programa i
računalne komunikacije na način da se ovlaštenim korisnicima onemogudi nesmetano korištenje i
dostupnost svih mogudnosti računalnog sustava ili njihova međusobna komunikacija. Svrha
odredbe je sankcioniranje DoS ili DDoS napada. Pojačan interes javnosti za pristup određenim
internet stranicama u kradem vremenskom periodu koji znatno nadmašuje kapacitet servera, nije
kažnjiv. Botnet napadi uključuju široki raspon napada koji mogu biti izvedeni prema velikom broju
računala ili uključuju znatnu štetu poremedajem rada servisa, financijskim gubitkom ili gubitkom
osobnih podataka.11
Radnja počinjenja kaznenog djela eksplicitno je određena. Inkriminira neovlaštenu uporabu
računalnih podataka ili programa radi ometanja rada sustava za obradu podataka. Naime, svrha
10
Ometanje rada računalnog sustava Članak 267. (1) Tko onemogudi ili oteža rad ili korištenje računalnog sustava,
računalnih podataka ili programa ili računalnu komunikaciju, kaznit de se kaznom zatvora do tri godine. (2) Za pokušaj
kaznenog djela iz stavka 1. ovoga članka počinitelj de se kazniti.
11
U tom kontektstu „big botnet“ ima sposobnost prouzročenja velike štete, a največi botnet napadi procijenjeni su na
realizaciju 40.000 do 100.000 konekcija odnosno zaraženih računala tijekom 24 sata.
ove odredbe nije propisivanje kaznenog djela kojim bi bilo sankcionirano bilo kakvo ometanje ili
otežavanje rada i korištenja sustava za obradu podataka. Rad sustava za obradu podataka mora
biti ometan unosom, prijenosom, oštedenjem, brisanjem, mijenjanjem ili činjenjem
neuporabljivim računalnih podatka ili programa s namjerom da se onemogudi normalno
funkcioniranje sustava za obradu podataka. Ometanja rada računala koja bi bila uzrokovana
oštedenjem fizičkih komponenti (hardvera), infrastrukture, komunikacijske mreže ili dijelova
komunikacijske mreže, energetske mreže za napajanje sustava, obuhvadena su odredbama kojim
se sankcionira oštedenje ili uništenje tuđe stvari. Djelovanjem računalnih podataka i programa, ne
dolazi do fizičkog oštedenja sustava za obradu podataka. Uklanjanjem malicioznih deformacija
računalnih podataka ili programa ili onemogudavanjem rada i dostupnosti DDoS napadom ili
SPAM napadom, sustav za obradu podataka normalno funkcionira jer su uklonjeni uzroci otežanog
rada sustava, bez intervencije ili zamjene hardvera. Ovako definirana odredba u potpunosti
isključuje preklapanja s odredbom članka 222. Kaznenog zakona KZ97.
Kazneno djelo mogude je počiniti s izravnom namjerom. Skloni smo stajalištu njemačkog kaznenog
prava da bi za kaznenu odgovornost trebala bila dostatna i neizravna namjera. Na taj način,
odredbom članka 267. ne bi bile obuhvadena ponašanja koja su posljedica nehaja i incidenta.
Propisana kazna za kazneno djelo iz članka 267. stavak 1. odgovara prirodi kaznenog djela i
izazivanje opasnosti za ispravno funkcioniranje sustava za obradu podataka. Nerijetko izaziva
visoke troškove reinstaliranja sistemskih i operativnih programa sustava za obradu podataka koje
nije mogude u potpunosti specificirati i naknadno postaviti imovinsko pravni zahtjev za naknadu
štete. Kvalificirani oblik kaznenog djela, propisan je odredbom članka 273. Kazenog zakona.
Bez obzira na to da li je riječ o pojedinačnim računalima koja nisu obuhvadena kvalifikatornim
oblikom kaznenog djela, ostaje otvoreno pitanje razlikovanja kaznenopravne zaštite pojedinačnog
računala, računalnog sustava koji obuhvada odrediv broj pojedinačnih računala, sustava za obradu
podataka koji obuhvada neodrediv broj pojedinačnih računala ili odrediv dio virtualnog prostora
na računalnoj mreži (internet stranice određenih sadržaja). Posljedice ometanja rada
pojedinačnog računala, odredivog broja računala, neodredivog broja računala ili dijela virtualnog
prostora na računalnoj mreži nisu usporedive. Definiranje ili kaznenopravna zaštita svake od
navedenih skupina, ali i nekih od skupina koje nisu navedene, rezultiralo bi gomilanjem definicija
od kojih bi neke, zbog tehnološkog razvoja informacijske tehnologije ved u vrijeme donošenja
zakona bile zastarjele.
Opseg ometanja rada sustava za obradu podataka definiran je opsegom propisane kazne na način
da se posebno definiraju sustavi za obradu podataka koji uživaju pojačanu kaznenopravnu zaštitu
prema njihovoj osnovnoj namjeni (informacijski sustavi kritične informacijske infrastrukture) i
prema opsegu ometanja rada sustava za obradu podataka (broj ometanih pojedinačnih
informacijskih sustava ili opsegom ometanog dijela virtualnog prostora na računalnoj mreži). Ovaj
pristup podrazumijeva propisivanje dovoljnog raspona propisanih kazni koje bi pokrivale ometanje
pojedinog informacijskog sustava i ometanje rada kritične informacijske infrastrukture u mjeri
koja je usporediva s fizičkim uništenjem dijela realne infrastrukture. Odredbe Kaznenog zakona
KZ97, de lege lata, to ne osiguravaju. Raspon propisane kazne, novčana kazna ili kazna zatvora do
tri godine nije dostatna da bi pokrivala i kaznena djela ometanja rada sustava za obradu podataka
koja bi bila ekvivalent fizičkom uništenju sustava za obradu podataka počinjenom terorističkim
metodama.
Obzirom na opasnosti i posljedice koje mogu biti izazvane počinjenjem kaznenog djela, a koje
usporedivo s fizičkim uništenjem ili nekog od objekata od posebne važnosti za javnu i nacionalnu
sigurnost kao i za ekonomsku snagu zemlje, predlaže s propisivanje relativno visoke kazne zatvora
(za usporedbu, njemački kazneni zakon za navedeno kazneno djelo propisuje kaznu zatvora od
šest mjeseci do deset godina).
Visina materijalne štete prouzročene počinjenjem kaznenog djela iz članka 267. stavak 1. bila bi i
dalje određena izrazom "znatna šteta". Visinu štete, koja se odnosi na "znatnu štetu" trebalo bi
definirati odlukom Vrhovnog suda.
3.4
Oštedenje računalnih podataka
Odredba propisuje kaznenopravnu zaštitu integriteta i cjelovitosti računalnim podacima i
programima kakav uživaju i drugi fizički predmeti.12 Odredba je usklađena s člankom 4. Okvirne
odluke. Svrha propisivanja navedenog kaznenog djela je zaštita integriteta računalnih podatka ili
programa, pri tom je nebitno da li se neovlašteno djelovalo na sve (u cijelosti) ili samo dio
(djelomično) računalnih podataka ili programa. Cjelovitost podataka je narušena kad se podatak
ne može koristiti za obradu u računalnom sustavu. Njegov integritet ne može biti narušen samo
djelomično. On je prikladan za obradu u računalnom sustavu. Isto se odnosi na računalni program.
Djelovanje na integritet dijela računalnog programa, na samo određenu skupinu računalnih
podataka narušava se cjelovitost programa i njegovo funkcioniranje. Za postojanje kaznenog djela
potrebno je utvrditi da li je bilo neovlaštenog djelovanja na integritet računalnih podataka bez
obzira da li računalni podaci sadrže određene informacije ili su dio računalnog programa.
Utvrđivanje da li je integritet računalnog podatka narušen djelomično ili u cijelosti dovelo bi do
teškoda u utvrđivanju kaznenog djela. U poredbenom pravu, kao što smo naveli, definirane su
situacije u kojima je djelovanjem na integritet podataka djelo dovršeno. Smatramo potpuno
nepotrebnim diferenciranje djelovanja na integritet podataka u cijelosti ili djelomično.
Odredba članka 268. Kaznenog zakona izmijenjena je u odnosu na odredbu članka 223. stavak 3.
Kaznenog zakona KZ97. Prva izmjena se odnosi na neovlašteno oštedenje, izmjenu, brisanje,
uništenje, činjenje neuporabljivim ili nedostupnim tuđih računalnih podataka ili programa
djelomično ili u cijelosti. Brisan je alternativni način izvršenja „na drugi način“. Odredba je
dopunjena modalitetom počinjenja kaznenog djela prikazivanjem nedostupnih tuđih računalnih
podataka i programa, a u ostalom dijelu identična je odredbi članka 223. stavak 3. Kaznenog
zakona KZ97. Brisanjem načina počinjenja kaznenog djela „na drugi način“ odredba postaje
potpuno određena. Međutim, tako definirana odredba primjenjiva je samo na poznate modalitete
neovlaštenog djelovanja na integritet i dostupnost računalnih podataka ili programa. Smatramo
da bi navedeni termin trebao biti dio odredbe članka 268. jer bi pokrivao djelovanje na integritet i
dostupnost računalnih podataka uvjetovanog razvojem informacijske i komunikacijske tehnologije
pro futuro.
Kazneno djelo je mogude počiniti u cijelosti ili djelomičnim neovlaštenim oštedenjem, izmjenom,
brisanjem, uništenjem, činjenjem neuporabljivim ili nedostupnim ili prikazivanjem nedostupnim
tuđih računalnih podataka ili programa.
Modalitet počinjenja kaznenog djela prikazivanjem nedostupnim računalnih podataka ili programa
odgovarao bi terminu Konvencije potiskivanje računalnih podataka ili programa. U tom slučaju
nije bilo djelovanja na integritet računalnih podataka, ali oni nisu dostupni osobi koja posjeduje ili
kontrolira računalne podatke ili programe. Diskutabilna je razlika između termina činiti
nedostupnim ili prikazivati nedostupnim
Kvalificirani oblik kaznenog djela iz članka 273. stavak 1. Prijedloga kaznenog zakona, osim što je
dodatno inkriminirano i počinjenje kaznenog djela u odnosu na računalne sustave i računalne
podatke tijela jedinica lokalne ili područne (regionalne) samouprave, identičan je kvalificiranom
obliku kaznenog djela u članku 223. stavak 5. Kaznenog zakona KZ97. Pored navedenog, kao
12
Oštedenje računalnih podataka Članak 268.(1) Tko neovlašteno u cijelosti ili djelomično ošteti, izmijeni, izbriše, uništi,
učini neuporabljivim ili nedostupnim ili prikaže stavka 1. ovoga članka počinitelj de se kazniti.nedostupnim tuđe
računalne podatke ili programe, kaznit de se kaznom zatvora do tri godine. (2) Za pokušaj kaznenog djela iz počinitelj de
se kazniti.
kvalifikatorna okolnost propisano je počinjenje kaznenog djela prikrivanjem stvarnog identiteta i
kojim je ošteden stvarni vlasnik identiteta. U odnosu na odredbe Kaznenog zakona KZ97 posebno
teške okolnosti počinjenja kaznenog djela predstavlja počinjenje kaznenog djela sredstvom
namijenjenim za izvršenje napada na vedi broj računalnih sustava ili je prouzročena znatna
materijalna šteta. Za sve kvalificirane oblike počinjenja kaznenog djela propisano je kažnjavanje za
pokušaj prema kriteriju propisane kazne i na sve kvalificirane oblike primjenjive su odredbe članka
325. Kaznenog zakona – počinjenje kaznenog djela u sastavu zločinačkog udruženja.
Odredbom članka 266. stavak 2. propisano je kažnjavanje i za pokušaj. Pokušaj kvalificiranih oblika
kaznenog djela propisanih člankom 271. kažnjiv je prema kriteriju visine propisane kazne.
3.5
Neovlašteno presretanje računalnih podataka
Odredbom je sankcionirano neovlašteno presretnje ili snimanje nejavnog prijenosa računalnih
podataka, uključujudi i elektromagnetsku emisiju računalnog sustava, ili činjenje drugome
dostupnim tako pribavljenih podataka.13
Odredba članka 269. Kaznenog zakona u odnosu na odredbu članka 223. stavak 4. Kaznenog
zakona KZ97 ne inkriminira presretanje prijenosa računalnih podataka prema računalnom
sustavu, iz njega ili unutar njega niti je postojanje kaznenog djela uvjetovano presretanjem
podataka koji nisu namijenjeni osobi koja je presrela prijenos računalnih podataka.
Izbacivanjem inkriminacije presretanja prijenosa računalnih podataka prema računalnom sustavu,
iz njega ili unutar njega narušava se cjelovitost inkriminacije na način na koji je ona definirana
odredbom članka 6. Konvencije, članka 223. stavak 4. Kaznenog zakona KZ97 i članka 6.
Prijedloga Direktive. Iz odredbi članka 267. Kaznenog zakona proizlazi da se sankcionira
neovlašteno presretanje komunikacije između udaljenih računalnih sustava. Smatramo da je
navedena intervencija potpuno neopravdana, te da odredba treba biti kao i odredba članka 223.
stavak 4. Kaznenog zakona KZ97, potpuna implementacija članka 6. Konvencije i članka 6.
Prijedloga Direktive.
Kvalificirani oblik kaznenog djela iz članka 273. stavak 1. Prijedloga kaznenog zakona, osim što je
dodatno inkriminiran i počinjenje kaznenog djela u odnosu na računalne sustave i računalne
podatke tijela jedinica lokalne ili područne (regionalne) samouprave, identičan je kvalificiranom
obliku kaznenog djela u članku 223. stavak 5. Kaznenog zakona KZ97.
Pored navedenog, kao kvalifikatorna okolnost propisano je počinjenje kaznenog djela
prikrivanjem stvarnog identiteta i kojim je ošteden stvarni vlasnik identiteta. U odnosu na odredbe
Kaznenog zakona posebno teške okolnosti počinjenja kaznenog djela predstavlja počinjenje
kaznenog djela sredstvom namijenjenim za izvršenje napada na vedi broj računalnih sustava ili je
prouzročena znatna materijalna šteta.
Za sve kvalificirane oblike počinjenja kaznenog djela propisano je kažnjavanje za pokušaj prema
kriteriju propisane kazne i na sve kvalificirane oblike primjenjive su odredbe članka 325. Prijedloga
kaznenog zakona – počinjenje kaznenog djela u sastavu zločinačkog udruženja.
Odredbom članka 269. stavak 2. propisano je kažnjavanje i za pokušaj. Pokušaj kvalificiranih oblika
kaznenog djela propisanih člankom 273. Kazenog zakona kažnjiv je prema kriteriju visine
propisane kazne. Stavak 3. propisuje obavezno uništenje podataka koji su nastali počinjenjem
kaznenog djela.
13
Neovlašteno presretanje računalnih podataka Članak 269. (1) Tko neovlašteno presretne ili snimi nejavni prijenos
računalnih podataka, uključujudi i elektromagnetsku emisiju računalnog sustava, ili drugome učini dostupnim tako
pribavljene podatke, kaznit de se kaznom zatvora do tri godine. (2) Za pokušaj kaznenog djela iz stavka 1. ovoga članka
počinitelj de se kazniti. (3) Podaci koji su nastali počinjenjem kaznenog djela iz stavka 1. ovoga članka de se uništiti.
3.6
Zloporaba naprava
Kazneno djelo zlouporabe naprava inkriminaciju izrade nabave, prodaje, posjedovanja ili činjenja
drugome dostupnih uređaja ili računalnih programa ili računalnih podataka stvorenih ili
prilagođenih za počinjenje kaznenih djela računalnog kriminaliteta iz Kaznenog zakona KZ97
proširuje i na računalne lozinke, pristupne šifre ili druge podatke kojima se može pristupiti
računalnom sustavu s ciljem njihove uporabe za počinjenje kaznenih djela iz članaka 266. do 271.
Kaznenog zakona i u biti čini potpuniju implementaciju odredbi Konvencije, Okvirne odluke i
Prijedloga direktive. Visina propisane kazne veže se uz namjeru počinjenja određenog kaznenog
djela propisanog u Glavi dvadeset i petoj Kazenog zakona i limitirana je visinom propisane kazne
za to kazneno djelo. Za pribavljanje pristupnih kodova za pristup računalnom sustavu propisana je
ista kazna bez obzira na namjeru počinitelja Za izradu i pribavljanje hardware i software,
propisana je višestruko veda kazna koja de ovisiti o namjeri počinitelja da neovlašteno pristupi
računalnim podacima ili sustavu ili da počini računalnu prijevaru. Ova de odredba u praksi stvoriti
potrebu razgraničenja svrhe pribavljanja sredstava za počinjenje kaznenih djela i utvrđivanje
stvarne namjere za počinjenje određenog kaznenog djela.14 Prema tim odredbama za pribavljanje
hardware, software za počinjenje kaznenog djela neovlaštenog pristupa bit de mogude izredi
maksimalnu kaznu zatvora do jedne godine odnosno kaznu koja je propisana i za počinjenje
navedenog kaznenog djela, a za počinjenje računalne prijevare kazna zatvora do tri godine.
Odredba je usklađena s člankom 6. Konvencije o kibernetičkom kriminalu.
3.7
Teška kaznena djela
Posebnom odredbom definirana su teška kaznena djela ometanja rada računalnog sustava,
oštedenje računalnih podataka, neovlašteno presretanje prijenosa računalnih podataka i
računalnog krivotvorenja počinjena u odnosu na računalni sustav ili računalne podatke tijela
državne vlasti, tijela jedinica lokalne ili područne (regionalne) samouprave, javne ustanove ili
trgovačkog društva od posebnog javnog interesa i kaznena djela neovlaštenog pristupa ometanja
rada računalnog sustava, oštedenje računalnih podataka i neovlašteno presretanje prijenosa
računalnih podataka počinjena prikrivanjem stvarnog identiteta i uzrokovanjem zablude o
ovlaštenom nositelju identiteta. Inkriminirano je i ometanje rada računalnog sustava, oštedenje
računalnih podataka, neovlašteno presretanje prijenosa računalnih podataka počinjeno
sredstvom namijenjenim za izvršenje napada na vedi broj računalnih sustava ili kojim je
prouzročena znatna šteta.15 Odredba je usklađena s člankom 10. stavak 2. i 3. Prijedloga Direktive
14
Zloporaba naprava Članak 272. (1) Tko izradi, nabavi, proda, posjeduje ili čini drugome dostupne uređaje ili računalne
programe ili računalne podatke stvorene ili prilagođene za počinjenje kaznenih djela iz članka 266., članka 267., članka
268., članka 269., članka 270. i članka 271. ovoga Zakona s ciljem da ih se uporabi za počinjenje nekog od tih djela,kaznit
de se kaznom zatvora do tri godine. (2) Tko izradi, nabavi, proda, posjeduje ili čini drugome dostupne računalne lozinke,
pristupne šifre ili druge podatke kojima se može pristupiti računalnom sustavu s ciljem da ih se uporabi za počinjenje
kaznenih djela iz članka 266., članka 267., članka 268., članka 269., članka 270. i članka 271. ovoga Zakona, kaznit de se
kaznom zatvora do jedne godine. (3) Počinitelj kaznenog djela iz stavka 1. ovoga članka nede se kazniti kaznom strožom
od one koja je propisana za kazneno djelo koje je počinitelj imao za cilj.(4) Posebne naprave, programi iz stavka 1. ovoga
članka de se oduzeti, a podaci iz stavka 1. i 2. ovoga članka de se uništiti.
15
Teška kaznena djela protiv računalnih sustava, programa i podataka Članak 273. (1) Tko kazneno djelo iz članka 267.
do članka 270. ovoga Zakona počini u odnosu na računalni sustav ili računalne podatke tijela državne vlasti, tijela
jedinica lokalne ili područne (regionalne) samouprave, javne ustanove ili trgovačkog društva od posebnog javnog
interesa, kaznit de se kaznom zatvora od šest mjeseci do pet godina. (2) Kaznom iz stavka 1. kaznit de se tko kazneno
djelo iz članka 266. do članka 269. ovoga Zakona počini prikrivajudi stvarni identitet i uzrokujudi zabludu o ovlaštenom
nositelju identiteta. (3) Tko kazneno djelo iz članka 267. do članka 269. ovoga Zakona počini sredstvom namijenjenim za
izvršenje napada na vedi broj računalnih sustava ili kojim je prouzročena znatna šteta, kaznit de se kaznom zatvora od
jedne do osam godina.
iz 2010. U Prijedlogu Direktive iz 2011. godine, navedene odredbe su znatno izmijenjene.
Prijedlozi za povečanje propisanih kazni su kazenopravna reakcija na ozbiljne DDoS napada
usmjerene na važne dijelove kritične informacijske infrastrukture u privatnom i javnom sektoru.16
4
Zaključak
Komparativni pregled modela propisivanja kaznenih djela računalnog kriminaliteta u kaznenim
zakonima pokazuje da različiti modeli propisvanja kaznenih djela nisu jedini i isključivi čimbenik
koji utječe na sankcioniranje počinitelja navedenih kaznenih djela. Ipak, evidentan je trend
promjene odredbi u kaznenim zakonima dijela država ex federacije, uz određene razlike, u smjeru
propisivanja kaznenih djela računalnog kriminaliteta u posebnoj glavi kaznenih zakona. Taj trend
slijedi i novi Kazneni zakon R Hrvatske.
Propisvanjem kaznenih djela u posebnoj glavi kaznenog zakona, R Hrvatska je napustila koncept
prema kojem su kaznena djela protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka i
sustava i kaznena djela povezana s kršenjem privatnosti propisana u okviru kaznenih djela protiv
imovine i svrstala se u skupinu tranzicijskih država Jugoistočne Europe i Rumunjsku koje kaznena
djela protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka i sustava i kaznena djela
povezana s kršenjem privatnosti i ostalih kaznenih djela računalnog kriminaliteta propisana u
posebnoj glavi kaznenog zakona.
Propisivanje kaznenih djela protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka i sustava
i kaznena djela povezana s kršenjem privatnosti i ostalih kaznenih djela računalnog kriminaliteta
primjerenije je provesti minimalnim intervencijama u okviru jedne od postoječih glava kaznenog
zakona prema modelu koji je bio primjenjivan u Kaznenom zakonu KZ97 ili prema modelu koji je
primjenjen u njemačkom kaznenom zakonu.
Komparativnom analizom odredaba novog Kaznenog zakona, Konvencije o kibernetičkom
kriminalu, Okvirne odluke, Prijedloga Direktive iz 2010., koje su prema komentaru uz Konačni
prijedlog Kaznenog zakona implementirane u odredbe novog Kaznenog zakona te Prijedloga
Direktive iz 2011. godine pokazuje slabosti implementacije odredbi iz međunarodnih pravnih
izvora za koje je donesena odluka o njihovoj zamjeni – Okvirna odluka i onih koji nisu stupili na
snagu – Prijedloga Direktive.
Obzirom na privremenost Okvirne odluke i Prijedloga Direktiva EU i budude članstvo u EU te
odredbe Konvencije o kibernetičkom kriminalu, odredbe Kaznenog zakona kojima su propisana
kaznena djela protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka i sustava, kaznena
djela povezana s kršenjem privatnosti i ostalih kaznenih djela računalnog kriminaliteta biti de
potrebno u vedoj mjeri implementirati odredbe Konvencije i nove Direktive EU.
5
Literatura
Bundesverfassungsgericht, 2 BvR 2233/07; 2 BvR 1151/08; 2 BvR 1524/08. od 18.05.2009.
http://medien-internet-und-recht.de/pdf/VT_MIR_2009_137.pdf 22.03.2011
Bundesverfassungsgericht, 2 BvR 2233/07; 2 BvR 1151/08; 2 BvR 1524/08. od 18.05.2009.
http://medien-internet-und-recht.de/pdf/VT_MIR_2009_137.pdf 22.03.2011
COUNCIL FRAMEWORK DECISION 2005/222/JHA of 24. February 2005., Official Journal of the
European Union, L 69/67 od 16.03.2005.
16
Jedan od primjera je napad izveden u Estoniji u mjesecu travnju i svibnju 2007. godine, koji je prouzročio višednevnu
paralizu rada čitavog niza institucija od ključne važnosti za normalno odvijanje svakodnevnih životnih i poslovnih
aktivnosti, političku i financijsku štetu procijenjenu na iznos od 19 do 28 mil. €.
COUNCIL FRAMEWORK DECISION 2008/841/JHA of 24 October 2008 on the fight against
organised crime, Official Journal of the European Union, L 300/42, 11.11.2008.
Criminal Code of the former Yugoslav Republic of Macedonia, (English version), consolidated
version with the amendments from March 2004, June 2006, January 2008 and September
2009, http://www.legislationline.org/documents/id/16066 14.09.2012.
Ernst, S., Das neue Computerstrafrecht, Neue Juristiche Wochenschrift 2007, Heft 37,
Kazenski zakonik, Uradni list RS, št. 55/08.
Kazenski zakonik (KZ-1-UPB2), Uradni list RS, št. 50/2012.
Kazneni zakon Federacije Bosne i Hercegovine, Sl. novine FBiH 36/03, 37/03, 21/04, 69/04, 18/05,
42/10, i 42/11.
Kazneni zakon, NN 110/97., 27/98., 50/00., 129/00., 51/01., 111/031., 190/032., 105/04., 71/06.,
110/07. i 152/08.
Kazneni zakon, NN 125/11. Konvencija o kibernetičkom kriminalu., Narodne novine –
Međunarodni ugovori 9/02. i 4/04.
Krivični zakonik "Sl. glasnik RS", br. 85/2005, 88/2005 - ispr., 107/2005 - ispr., 72/2009 i 111/2009.
Krivični zakonik, «Službeni list Republike Crne Gore», br.70/04, 13/04.
Kutscha, Martin,: Mehr Schutz von Computerdaten durch ein neues Grundrecht?, Neue
Juristische Wochenschrift, 2008., Heft 15.
Proposal for DIRECTIVE OF EUROPEAN PARLIAMENT AND THE COUNCIL on attacks against
information system and repealing Council Framework Decision 2005/222/JHA SEC (2010)
1123 final, od 30.09.2010.
Proposal for DIRECTIVE OF EUROPEAN PARLIAMENT AND THE COUNCIL on attacks against
information system and repealing Council Framework Decision 2005/222/JHA (2010)
10751/11, od 30.05.2011.
Schweizerisches Strafgesetzbuch vom 21. Dezember 1937 (stand am 1. Januar 2010)
Selinšek, L. (2005). Odzivi slovenskega kazenskega prava na kibernetski kriminal, Pravna praksa,
št. 28/2005.
Strafgesetzbuch in der Fassung der Bekanntmachung vom 13. November 1998 (BGBl. I S. 3322),
das zuletzt durch Artikel 3 des Gesetzes vom 2. Oktober 2009 (BGBl. I S. 3214) geändert
worden ist.
Wabnitz, Heinz-Brend, Janovsky, Thomas,: Handbuch des Witschafts – und Steuerstrafrechts, 3.
neu bearbeutete Auflage, München 2007.