Vírusírók jogi felelősségéről


A Magold vírus írójának közelmúltbeli elítélése egyértelmű üzenet: Magyarországon sem számíthatnak büntetlenségre az ártalmas programok készítői.

A Magold vírus írójának közelmúltbeli elítélése egyértelmű üzenet: Magyarországon sem számíthatnak büntetlenségre az ártalmas programok készítői.

Jelen eset kapcsán elsősorban a büntetőjogi felelősséget vizsgáljuk – bár a vírusírók a polgári jog alapján a vírusokkal okozott károk megtérítésére is kötelezhetőek, e polgári jogi felelősség a büntetőjogihoz képest kevésbé jelentős. Ennek az egyik oka, hogy majdnem minden kártérítési kötelezettséggel járó cselekmény egyben a büntetőjogi felelősséget is megalapozza, így a polgári jogi eljárás megindításakor a tényállás és a kérdéses magatartás jogszabályba ütköző volta már többnyire tisztázott. Nem elhanyagolható ok azonban az sem, hogy a vírusok készítése a legritkább esetben kapcsolódik össze számottevő vagyonnal rendelkező céggel vagy személlyel, így a kártérítési igénynek a büntetőjogi szankciók mellett már nincs túl nagy jelentősége.

A vírusok készítőinek felelőssége természetesen ahhoz igazodik, hogy a kártevő kód milyen tevékenységet végez, hiszen ettől függően kell a cselekményt a büntetőjog szempontjából minősíteni, és ez alapján dől el, hogy az elkövető a Büntető Törvénykönyv mely tényállását valósítja meg, így milyen keretek között szabhat ki rá a bíró büntetést.

A hazai büntetőjog legáltalánosabb eszköze a vírusok ellen a „számítástechnikai rendszer és adatok elleni bűncselekmény”-nek nevezett tényállás, azon belül is az ún. adatok vagy rendszerek integritását védő rendelkezés. Ez utóbbi szerint bűncselekményt követ el, aki „a) számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, vagy b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza”.

Látható, hogy az adatok integritását védő „a) változat” a gyakorlatban már kisebb súlyú következmények esetében is alkalmazható. Így ezt a tényállást már az a vírus is megvalósítja, amely egyszerűen beír egy bejegyzést pl. a Windows registry-be, és ezáltal minden induláskor lefut, de ezen kívül semmi jogelleneset vagy észlelhetően kártékony következményt nem tesz, vagy – a régebbi típusú vírusok esetében – az a vírus, amely egyszerűen csak terjed, és hozzáfűzi magát az elérhető állományokhoz. Amit nem lehet tudni, az egyelőre az, hogy a bíróságok elfogadják-e a törvény szó szerinti értelmezését, vagy a tényállás „jogosulatlan” feltételét szűkebben értelmezik: úgy, hogy csak a nagyobb, észrevehető „kényelmetlenséget” okozó vírusok írói vonhatóak felelősségre e rendelkezés alapján.

Ha a kártevő programból kitűnik, hogy a vírusíró célja az volt:a számítógép működését vagy a felhasználókat akadályozza, vagy ezen belül is akár csak bosszantó, kellemetlen üzeneteket küldjön egyes személyeknek, a b) változat szerinti bűncselekmény valósul meg, azaz a számítógép integritása sérül, és emiatt állapítják meg a bűncselekmény elkövetését. Tipikus példája ennek a „Denial of Service” támadás (a támadás célszemélye szemszögéből!), de ugyanígy minősítette a bíróság azt is, ha egy vírus pl. nem engedi az egérkurzort a képernyő felső negyedébe vagy saját indíttatásból üzeneteket küld a nyomtatóra (pl. Magold).

Ha a rendszer akadályozására csak a megfertőzött rendszer egyedi sajátossága vagy a futtatási környezet hibája miatt kerül sor (ide nem értve a hiba szándékos kihasználását, az ún. „exploit”-okat), egyébként rendes körülmények között a program csak „terjedne”, akkor a vírusírót csak az a) változat (adat módosítása, törlése) alapján lehet elítélni, a számítógép akadályozása miatt nem. Ennek oka, hogy ezeket a bűncselekményeket csak „szándékosan” lehet elkövetni, azaz a vádnak bizonyítania kell, hogy az elkövető – durva leegyszerűsítéssel – ismerte a kártékony program következményeit, és az nem csupán véletlen körülémények hatása, pl. a leállás vagy a teljesítmény csökkenése. A leggyakoribb vírus okozta kár, az adatok törlése egyértelműen az a) esetbe tartozna, de ha az adatok törlésével együtt a rendszer működéséhez szükséges adatok vagy programok is sérülnek, a törlés egyben a b) esetet is megvalósítja. Kifejezetten elméleti büntetőjogi kérdés, de ez utóbbi esetben a bíróság az elkövető felelősségét csak a rendszer integritásának sérelme miatt állapítaná meg, mivel nehezen képzelhető el a rendszer működésének „informatikai természetű” akadályozása anélkül, hogy egyúttal ne kelljen bizonyos adatokat is megváltoztatni.

Ha egy trójai program információt gyűjt a felhasználóról abból a célból, hogy azokat továbbküldje, tette másként minősülhet attól függően, hogy milyen információt gyűjtött. Ha a program által gyűjteni kívánt információ másnak küldött üzenet, akkor magántitok jogosulatlan megismeréséről van szó, amelynek felső büntetési tétele öt év szabadságvesztés. Ez utóbbi esetkörbe tartozna az is, ha pl. a gépek közötti azonosítást szolgáló olyan információt rögzíti a program, amely a felek (pl. bank és ügyfél) közötti kommunikáció megkezdésének előfeltétele (pl. azonosítás.) Ha a gyűjtendő és elküldeni kívánt információk alapján a fogadó fél beazonosíthatja azt a személyt, akit a program „megfigyelt”, személyes adattal való visszaélés bűncselekménye valósulhat meg.

A törvény szigorúbb büntetést rendel arra az esetre, ha a fenti cselekményekhez haszonszerzési célzat párosul, és egyúttal a vírus az adatok megváltoztatásán vagy a rendszer akadályozásán túl ténylegesen kimutatható anyagi kárt vagy profit kiesést is okoz.
Természetesen a vírusíró is megvalósíthatja a tipikus „hacker” tényállást, azaz azt a rendelkezést, miszerint vétséget követ el „aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit […] megsértve bent marad”. Kérdés, hogy a „belépés” kifejezés mennyiben feltételezi, hogy az elkövető személyesen lép be jogosulatlanul a rendszerbe (pl. a vírus által megszerzett jelszó segítségével), vagy elegendő-e csak olyan programot írnia, ami a futási környezete által meghatározott jogosultságokat meghaladóan végez műveleteket. Ez utóbbi esetben – amikor maga a vírusíró nem használja fel a megszerzett jelszavakat – szintén átfedés van a vírusíró vírusa által végrehajtott cselekménye és a korábban említett, az adatok és számítógép integritást védő büntetőjogi tényállást megvalósító cselekmények között.

Befejezésként arra is fel kell hívni a figyelmet, hogy az emailben terjedő vírusok egy jelentős része „küldő” álnevét használ, így próbálva meg elaltatni a címzett gyanakvását. Ha ez az álnév pl. megegyezik egy bejegyzett védjeggyel, a védjegy ilyen használata sértheti a védjegy oltalom jogosultjának jogait. A védjegy oltalom olyan megsértése, ami kimutathatóan csökkenti pl. a jogosult „jóhírnevének” vagyoni értéket, külön büntetőjogi tényállást is megvalósíthat („iparjogvédelmi jogok megsértése”), és a veszprémi bíróság is e részben e bűncselekményben találta bűnösnek a Magold íróját. A magyar védjegytörvény szerint azonban a védjegyezett megnevezés felhasználása csak akkor sérti a védjegy oltalmat, ha a védjegy használatra „gazdasági tevékenységi körben” kerül sor. Kérdéses, hogy ez utóbbit a veszprémi bíróság mi alapján látta megvalósultnak a Magold-ügyben, de az ítélet szövegének hiányában erre pontos választ nem tudunk adni.

dr. Ormós Zoltán, dr. Homoki Péter