Państwo, które nie widzi danych. Czy KNF i prokuratura nadążają za gospodarką cyfrową?
Instytucjonalny paradygmat reakcji w gospodarce cyfrowej
W gospodarce cyfrowej państwo nie jest oceniane po deklaracjach, ale po dowodach reakcji. Jeżeli informacja, dane klientów, tajemnica ubezpieczeniowa i mapa portfela są dziś strategicznym zasobem przedsiębiorstwa, to brak skutecznej reakcji organów nie jest neutralnością. Jest sygnałem dla rynku: co państwo realnie chroni, a czego nie widzi. Instytucje stworzone dla świata dokumentu, segregatora, formalnego rejestru i papierowej zgodności stają dziś przed testem, czy potrafią chronić przedsiębiorcę w rzeczywistości zdominowanej przez bazy CRM, algorytmy sztucznej inteligencji, rozporządzenie DORA, zaawansowany phishing, kradzieże danych, insiderów oraz operacje informacyjne.
Rynek brokerski i ubezpieczeniowy nie jest zwykłym rynkiem sprzedaży; opiera się na transferze wiedzy o ryzyku, majątku, polisach, zakresach ochrony, szkodach, flotach, składkach i historiach negocjacji. Klient nie powierza brokerowi wyłącznie danych teleadresowych, lecz pełne spektrum swoich ryzyk biznesowych. Dlatego spory dotyczące przejmowania cyfrowych baz danych nie są wyłącznie prywatnymi konfliktami konkurencyjnymi. Stanowią one bezpośrednie zagrożenie dla zaufania do rynku regulowanego, którego stabilność i bezpieczeństwo informacyjne powinny podlegać szczególnej ochronie państwa.
Ucieczka w znaczenia i sądowa ochrona cyfrowych baz danych
W sprawach określanych potocznie jako przestępczość białych kołnierzyków najwygodniejsza obrona podejrzanych zaczyna się od języka, co w nomenklaturze śledczej określa się jako „ucieczkę w znaczenia”. Sprawcy dążą do przesunięcia sporu z faktów na nazwy: twierdzą, że ich działanie to nie kradzież, tylko wiedza; nie dokument, tylko pamięć; nie portfel klientów, tylko kontakty. Ustawa o zwalczaniu nieuczciwej konkurencji w art. 11 wprost chroni jednak informacje techniczne, technologiczne, organizacyjne albo inne informacje posiadające wartość gospodarczą, jeżeli jako całość lub w szczególnym zestawieniu i zbiorze elementów nie są powszechnie znane lub łatwo dostępne, a przedsiębiorca podjął działania w celu zachowania ich poufności.
Praktyka orzecznicza pokazuje, że polskie sądy bardzo rygorystycznie podchodzą do kwestii aktywnych zabezpieczeń wdrażanych przez przedsiębiorców. W sytuacjach, w których bazy danych były de facto ogólnodostępne dla personelu bez żadnych barier technicznych, sądy odmawiają im statusu tajemnicy przedsiębiorstwa. Z kolei wdrożenie choćby podstawowych haseł, umów o poufności oraz procedur kontroli dostępu otwiera drogę do surowej odpowiedzialności karnej sprawców.
| Orzeczenie i sygnatura | Organ orzekający | Istota rozstrzygnięcia i stan faktyczny | Konsekwencje dla ochrony cyfrowych baz danych |
| Wyrok SN z 3.04.2002 r., V KKN 223/00”.13 | Sąd Najwyższy | Uznanie, że sformułowanie „jeżeli wyrządza to poważną szkodę przedsiębiorcy” w art. 23 ust. 1 UZNK określa skutek przestępny, a nie obiektywny warunek karalności.13 | Przestępstwo naruszenia tajemnicy przedsiębiorstwa ma charakter skutkowy, co umożliwia pociągnięcie sprawcy do odpowiedzialności na etapie usiłowania.13 |
| Wyrok I PKN 697/99 9 | Sąd Najwyższy | Rozstrzygnięcie potwierdzające, że sam fakt pozyskania przez pracownika informacji, do których nie miał uprawnień, uzasadnia zwolnienie dyscyplinarne.9 | Ochrona interesów pracodawcy nie wymaga wykazania fizycznego wyniesienia danych poza firmę; bezprawny dostęp inicjuje pełną odpowiedzialność.9 |
| Wyrok na podstawie art. 266 § 1 KK 10 | Sąd powszechny | Skazanie byłego pracownika na karę grzywny w wysokości 30 000 PLN oraz 25 000 PLN nawiązki za skopiowanie zabezpieczonego hasłem pliku z danymi handlowymi.10 | Aktywne zabezpieczenie pliku hasłem i poinformowanie pracowników o zakazie kopiowania stanowi wystarczającą przesłankę ochrony z art. 266 § 1 KK.9 |
| postanowienie Sądu Antymonopolowego XVII Amz 3/96 11 | Sąd Antymonopolowy | Klasyfikacja uporządkowanej bazy klientów jako informacji posiadającej autonomiczną wartość gospodarczą.11 | Potwierdzenie w doktrynie i orzecznictwie, że bazy informacji stanowią chronioną własność intelektualną i handlową firmy.11 |
Przejęcie bazy klientów i jej bezprawne wykorzystanie wyczerpuje znamiona czynów zabronionych nie tylko z ustawy o zwalczaniu nieuczciwej konkurencji. W grę wchodzi również odpowiedzialność karna z art. 266 § 1 KK za ujawnienie lub wykorzystanie informacji wbrew obowiązkowi, a w przypadku przełamania barier elektronicznych w systemach – z art. 267 KK, który penalizuje bezprawne uzyskanie informacji i hacking. W sprawach tych kluczowa jest także analiza przewagi konkurencyjnej, jaką sprawca uzyskuje kosztem poszkodowanego podmiotu, co wprost odnosi się do wyroku Sądu Najwyższego oraz orzecznictwa Krajowej Izby Odwoławczej wskazującego, że zwiększenie portfela klientów jest nadrzędnym celem ekonomicznym na rynkach konkurencyjnych.
„Ty babo głupia, wredna”. KAS zawiadamia prokuraturę po wyzwiskach Stanowskiego
Nadzór KNF i Rejestr Pośredników Ubezpieczeniowych w walce z nielegalną dystrybucją
Dla rynku brokerskiego i agencyjnego kluczowym regulatorem jest Komisja Nadzoru Finansowego, która prowadzi elektroniczny, jawny i publicznie dostępny Rejestr Pośredników Ubezpieczeniowych. Status każdego pośrednika można bezpłatnie zweryfikować w publicznym formularzu na stronie internetowej KNF, co stanowi podstawowy krok weryfikacji bezpieczeństwa przed przekazaniem danych o firmie lub podpisaniem pełnomocnictwa.
Sektor ten podlega surowej penalizacji administracyjnej i karnej. Zgodnie z art. 89 ustawy o dystrybucji ubezpieczeń, wykonywanie działalności agencyjnej z naruszeniem wymogów ustawy, wykonywanie czynności agencyjnych bez upoważnienia lub prowadzenie działalności brokerskiej bez wymaganego zezwolenia podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat 2. Urząd KNF aktywnie realizuje te uprawnienia, kierując zawiadomienia o podejrzeniu popełnienia przestępstwa do prokuratury i wpisując podmioty na listę ostrzeżeń publicznych.
Kontrola KNF nad pośrednikami może trwać do 60 dni i obejmuje drobiazgowe badanie zgodności z przepisami prawa, w tym analizę wymagań i potrzeb klienta (APK) na podstawie art. 8 UDU oraz badanie potencjalnych konfliktów interesów. Dodatkowo, zgodnie z Rekomendacją KNF 21/23, zakłady ubezpieczeń mają obowiązek rygorystycznej weryfikacji pełnomocnictw udzielanych brokerom przez klientów pod kątem ich aktualności i zakresu umocowania, co ma przeciwdziałać nieautoryzowanemu transferowi danych i eliminować ryzykowne zachęty prowizyjne.
Regulator rynku finansowego dysponuje potężnymi narzędziami dyscyplinującymi i nie waha się ich używać wobec podmiotów naruszających stabilność obrotu. KNF posiada również kompetencje do nakładania kar na członków organów zarządzających zagranicznych zakładów ubezpieczeń (do wysokości trzykrotnego przeciętnego wynagrodzenia) oraz na same zakłady (do 0,5% składki przypisanej brutto). W tym świetle, brak dynamicznej reakcji organów ścigania w sprawach karnych dotyczących kradzieży tożsamości biznesowej i baz danych pośredników tworzy głęboką asymetrię bezpieczeństwa na rynku.
Anatomia cyberzagrożeń: od phishingu i fałszywych CAPTCHA po infekcje KSeF
Nowoczesne przestępstwa gospodarcze rzadko opierają się na prostym, fizycznym wyniesieniu danych. Najczęściej wektorem ataku na cyfrowy portfel klientów jest socjotechnika oraz zaawansowane kampanie phishingowe, które CERT Polska określił jako najczęstszy incydent w polskiej cyberprzestrzeni w 2024 roku. Zespół CERT Polska odnotował wówczas rekordowy wzrost cyberzagrożeń, rejestrując ponad 600 000 zgłoszeń, z czego oszustwa komputerowe stanowiły aż 94,7% wszystkich incydentów.
Metody wyłudzania danych i poświadczeń dostępowych do firmowych systemów CRM stale ewoluują, co potwierdzają analizy bezpieczeństwa z lat 2024–2026. Jedną z najbardziej wyrafinowanych metod wykrytych przez ekspertów była kampania „fałszywych CAPTCHA”. Ofiara trafiała na stronę weryfikacyjną „czy jesteś robotem”, która skłaniała do wykonania sekwencji poleceń systemowych: skopiowania złośliwego kodu, otwarcia systemowego okna uruchamiania za pomocą skrótu klawiszowego i wklejenia skryptu, co inicjowało bezpowrotne pobranie oprogramowania malware i kradzież loginów oraz haseł do firmowych baz danych.
Innym wektorem infekcji, bezpośrednio uderzającym w działy finansowo-księgowe przedsiębiorstw ubezpieczeniowych i brokerskich, stały się kampanie podszywające się pod Krajowy System e-Faktur (KSeF) oraz Ministerstwo Finansów. Na początku 2026 roku przestępcy masowo dystrybuowali wiadomości e-mail z załącznikiem o nazwie sugerującym oficjalne pismo urzędowe, np. „Powiadomienie z dnia 04.02.2026.iso”. Uruchomienie obrazu ISO powodowało wykonanie ukrytego pliku wykonywalnego EXE, który instalował keyloggera rejestrującego każde uderzenie w klawiaturę pracownika, co umożliwiało przejęcie haseł administratorów baz CRM i bezproblemową eksfiltrację całych portfeli klientów na zewnętrzne serwery.
Równolegle cyberprzestępcy wykorzystują technologie deepfake do tworzenia fałszywych materiałów wideo zachęcających do rzekomych inwestycji finansowych, podszywając się pod wizerunki znanych polityków i menedżerów. Według raportu CSIRT KNF za 2024 rok, oszukańcze domeny związane z fałszywymi inwestycjami stanowiły aż 89,4% wszystkich domen zgłoszonych do zablokowania, co przełożyło się na zidentyfikowanie 45 985 niebezpiecznych adresów URL. Ogólna skala wykrywanych domen phishingowych zgłoszonych przez CSIRT KNF do CSIRT NASK drastycznie rośnie z roku na rok: o ile w 2022 roku zidentyfikowano ich 17 200, to w 2023 roku liczba ta wzrosła do 30 140, a w 2024 roku osiągnęła rekordowy poziom 51 241 domen. W tym samym roku zespół CSIRT KNF doprowadził do zablokowania 10 951 oszukańczych reklam w mediach społecznościowych. Wszystkie te dane dowodzą, że cyfrowe dane i dostęp do nich przestały być technicznym detalem – są infrastrukturą współczesnego biznesu, na którą stale prowadzony jest zorganizowany szturm.
Rozporządzenie DORA jako cyfrowy taran regulacyjny
Odpowiedzią unijnego i krajowego prawodawcy na drastyczny wzrost cyberzagrożeń jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego, czyli DORA. Rozporządzenie to, stosowane bezpośrednio w krajach członkowskich UE od 17 stycznia 2025 roku, ma na celu zapewnienie, by podmioty finansowe były w pełni przygotowane na wszelkie incydenty i zakłócenia działania ich systemów ICT. Polskie przepisy wdrażające weszły w życie 7 sierpnia 2025 roku, dając Komisji Nadzoru Finansowego potężne, wyraźne podstawy prawne do prowadzenia kontroli zgodności (zarówno stacjonarnych, jak i zdalnych), wydawania zaleceń oraz nakładania surowych sankcji finansowych.
Ramy operacyjnej odporności cyfrowej, wprowadzane przez DORA, opierają się na pięciu integralnych filarach, które muszą współtworzyć jednolity system bezpieczeństwa podmiotu finansowego. Pierwszy z nich dotyczy zaawansowanego zarządzania ryzykiem ICT, wymagającego pełnej identyfikacji aktywów technologicznych, ich ciągłego zabezpieczania oraz posiadania planów odtwarzania awaryjnego. Drugi filar narzuca rygorystyczny mechanizm klasyfikowania i zgłaszania poważnych incydentów cybernetycznych. Trzeci koncentruje się na regularnym testowaniu systemów w celu wykrycia ich podatności na ataki. Czwartym elementem jest nadzór nad dostawcami zewnętrznymi, co obliguje instytucje do prowadzenia drobiazgowych rejestrów informacyjnych i mapowania zależności technologicznych. Ostatni filar promuje zinstytucjonalizowaną wymianę informacji o cyberzagrożeniach pomiędzy uczestnikami rynku.
Niedopełnienie obowiązków wynikających z rozporządzenia DORA wiąże się z drastycznymi konsekwencjami finansowymi i prawnymi dla instytucji oraz osób nimi zarządzających.
- Dla osób prawnych, w tym zakładów ubezpieczeń oraz reasekuracji, maksymalna administracyjna kara pieniężna może wynieść do 20 869 500 PLN lub do 10% całkowitego rocznego przychodu obrotowego (w przypadku ubezpieczycieli – do 10% składki przypisanej brutto).
- Na osoby fizyczne pełniące funkcje członków zarządów i bezpośrednio odpowiedzialne za naruszenie procedur cyberbezpieczeństwa KNF może nakładać dotkliwe kary osobiste.
- KNF zyskała również uprawnienie do nakazania podmiotowi finansowemu tymczasowego zawieszenia korzystania z usług określonego dostawcy technologii ICT lub natychmiastowego wypowiedzenia umowy z nim, jeżeli stwarza on zagrożenie systemowe.
Wdrożenie rozporządzenia DORA diametralnie zmienia pozycję prawną przedsiębiorcy. Państwo z jednej strony precyzyjnie definiuje i restrykcyjnie egzekwuje cyfrowe standardy bezpieczeństwa danych, nakładając milionowe kary za uchybienia proceduralne.39 Z drugiej strony jednak, ten sam aparat państwowy – reprezentowany przez organy ścigania i prokuraturę – wykazuje głęboką bezradność w sytuacji, gdy przedsiębiorca pada ofiarą przestępstwa cyfrowego i traci swój najcenniejszy aktyw na rzecz nieuczciwej konkurencji. To zderzenie standardów stawia pod znakiem zapytania spójność cyfrowego państwa.
Ulga mieszkaniowa a kryptowaluty: Bitcoinem też możesz kupić mieszkanie i skorzystać z ulgi podatkowej
Test języka państwa: jedenaście pytań do Prokuratury we Wrocławiu
Sprawdzianem tego, czy aparat śledczy potrafi wyjść poza ramy analogowego myślenia o przestępczości gospodarczej, jest sprawa prowadzona przez Prokuraturę Rejonową dla Wrocławia-Stare Miasto pod sygnaturą 4361-0.Ds.4570.2025. Dotyczy ona podejrzenia bezprawnego przejęcia cyfrowego portfela klientów i poufnych danych handlowych przedsiębiorstwa brokerskiego.
W celu zbadania standardu reakcji państwa, redakcja skierowała 2 czerwca 2026 roku do wrocławskiej prokuratury pismo zawierające 11 pytań prasowych. Celem jest ustalenie, czy prokuratura w ogóle posługuje się pojęciami cyfrowymi, czy bada sprawę jako przypadek kradzieży przewagi informacyjnej i czy współpracuje z UKNF. Do 12 czerwca 2026 roku, czyli do dnia publikacji materiału, organ nie udzielił odpowiedzi.
| Nr | Treść pytania prasowego skierowanego do Prokuratury | Znaczenie merytoryczne i kontekst systemowy pytania |
| 1 | Czy postępowanie obejmuje możliwe wykorzystanie informacji objętych tajemnicami i poufnością dokumentacji brokerskiej? | Badanie, czy śledczy dostrzegają wielość reżimów poufności na rynku regulowanym, w tym ustawową tajemnicę brokerską. |
| 2 | Czy sprawa jest badana jako potencjalny przypadek przestępczości białych kołnierzyków, w której przedmiotem jest przewaga informacyjna? | Test na to, czy prokuratura rozumie cyfrową szkodę – sytuację, w której nie znika gotówka, lecz relacje i wynik wieloletniej pracy. |
| 3 | Czy prokuratura zwróciła się do UKNF o potwierdzenie statusu osoby w Rejestrze Pośredników Ubezpieczeniowych? | Weryfikacja, czy prokuratura korzysta z gotowych, instytucjonalnych narzędzi weryfikacji KNF przy badaniu nielegalnej dystrybucji. |
| 4 | Czy badano możliwą korzyść podmiotu rynkowego z wykorzystania informacji pochodzących od poprzedniego pracodawcy? | Ustalenie odpowiedzialności beneficjentów trzecich (np. konkurencji), którzy świadomie czerpią zyski ze skradzionych baz danych. |
| 5 | Czy ustalano wiedzę osób zarządzających podmiotem, który mógł korzystać z takich informacji? | Badanie świadomości i umyślności zarządu spółki konkurencyjnej pod kątem współsprawstwa lub paserstwa programowego. |
| 6 | Czy wykonano albo zaplanowano analizę porównawczą danych z systemów, dokumentów lub korespondencji? | Test technologiczny prokuratury: czy potrafi ona zlecić biegłym analizę porównawczą logów cyfrowych zamiast analizować tylko papier. |
| 7 | Ile spraw dotyczących art. 89 ustawy o dystrybucji ubezpieczeń wpłynęło do tej prokuratury w latach 2020–2026? | Pomiar specjalizacji i doświadczenia lokalnej jednostki w ściganiu przestępstw z ustawy o dystrybucji ubezpieczeń. |
| 8 | Ile spraw dotyczących wykorzystania danych biznesowych przez byłych pracowników wpłynęło w latach 2020–2026? | Identyfikacja skali zjawiska kradzieży tożsamości handlowej przedsiębiorstw na poziomie statystycznym. |
| 9 | Ile razy w latach 2020–2026 prokuratura występowała do UKNF albo zawiadamiała UKNF? | Ocena jakości i intensywności dwukierunkowej komunikacji śledczych z nadzorem finansowym. |
| 10 | Czy sprawy przejmowania cyfrowych danych portfela klientów powinny być traktowane jako realne zagrożenie dla rynku? | Sprawdzenie doktrynalnego podejścia prokuratury do ochrony uczciwej konkurencji w cyberprzestrzeni jako interesu publicznego. |
| 11 | Czy były pracownik wykorzystujący wiedzę o portfelu klientów powinien być traktowany inaczej niż osoba wynosząca fizyczne dokumenty? | Test równoważności dowodowej i prawnej pomiędzy tradycyjnym mieniem fizycznym a cyfrowym śladem danych. |
Zgodnie z przepisami ustawy o dostępie do informacji publicznej, informacja powinna być udostępniona bez zbędnej zwłoki, nie później niż w terminie 14 dni. W przypadku odmowy, Prawo prasowe w art. 4 ust. 3 nakłada na organ obowiązek pisemnego doręczenia odmowy w terminie 3 dni wraz z uzasadnieniem prawnym.
Brak merytorycznej reakcji prokuratury na wysłane pytania nie pozwala jeszcze na ocenę postępowania.
Horyzonty modernizacji: jak ocalić zaufanie do cyfrowego obrotu
Zderzenie nowoczesnych regulacji finansowych z praktyką działania organów ścigania ujawnia głęboki rozłam systemowy. Podczas gdy Komisja Nadzoru Finansowego restrykcyjnie egzekwuje od podmiotów prywatnych wdrożenie zaawansowanych ram cyfrowej odporności operacyjnej, prokuratura bardzo często wykazuje bezradność, napotykając barierę technologiczną już na etapie gromadzenia i zabezpieczania materiału dowodowego.
Jedenaście pytań skierowanych do wrocławskiej prokuratury nie stanowił aktu oskarżenia, jest testem języka współczesnego państwa. Dopóki państwo nie nauczy się widzieć danych, dopóty cyberprzestępczość białych kołnierzyków będzie cieszyć się faktyczną bezkarnością, ukrywając swoje działania w wygodnej „ucieczce w znaczenia”.
Czytaj więcej
