SIM swap w Polsce: Jak prawo karne ściga cyberprzestępców? Analiza przepisów i wyroków sądowych

  • 11 lipca, 2025
  • w Blog
  • Michał Czaus
Michał Czaus prawnik

Michał Czaus

Prawnik specjalizujący się w kryptowalutach i nowych technologiach oraz stały mediator sądowy. Od 9 lat łączy wiedzę prawną z praktyką inwestycyjną, minimalizując ryzyko klientów. Posiada 15-letnie doświadczenie korporacyjne (m.in. TVN, Euronet).

SIM swap to podstępna forma cyberprzestępczości, która w ostatnich latach stała się poważnym zagrożeniem dla użytkowników telefonów komórkowych w Polsce. To nie tylko kradzież tożsamości, ale złożony mechanizm, który może pozbawić Cię dostępu do bankowości, mediów społecznościowych, a nawet oszczędności.

Jak polskie prawo radzi sobie z tym wyrafinowanym oszustwem? Czy istnieją przepisy, które skutecznie ścigają sprawców SIM swap? W tym wpisie przyjrzymy się kwalifikacji karnej tego typu przestępstw, dotychczasowym wyrokom sądowym oraz kluczowej kwestii odpowiedzialności cywilnej banków i operatorów telekomunikacyjnych.

Co to jest SIM swap i jak działa?

Oszustwo SIM swap, znane również jako SIM hijacking lub SIM swapping, to zaawansowana technika, w której przestępca przejmuje kontrolę nad Twoim numerem telefonu. Celem jest wykorzystanie Twojej tożsamości do wyrządzenia szkody osobistej lub finansowej.

Mechanizm działania jest wieloetapowy:

  1. Zbieranie danych osobowych: Przestępcy pozyskują Twoje dane (imię, nazwisko, PESEL, adres, dane bankowe) poprzez phishing, wycieki danych, media społecznościowe, a nawet publiczne rejestry, takie jak księgi wieczyste.
  2. Podszywanie się pod ofiarę: Atakujący kontaktuje się z operatorem telekomunikacyjnym, udając Ciebie. Wykorzystując zebrane dane, przekonuje obsługę klienta do przeniesienia Twojego numeru na nową kartę SIM, którą kontroluje.
  3. Przejęcie kontroli nad numerem: W momencie aktywacji nowej karty SIM, Twój oryginalny telefon traci sygnał, a przestępca zyskuje pełną kontrolę nad Twoim numerem.
  4. Wykorzystanie numeru: Przejęty numer służy do resetowania haseł i omijania uwierzytelniania dwuskładnikowego (2FA) opartego na SMS. To otwiera im drogę do Twoich kont bankowych, portfeli kryptowalutowych, mediów społecznościowych i innych usług, często w celu osiągnięcia korzyści majątkowej.

Ważne jest, że SIM swap to nie jedno przestępstwo, lecz sekwencja działań. Oznacza to, że polskie prawo karne kwalifikuje każdy etap ataku, co prowadzi do kumulatywnego zastosowania przepisów Kodeksu Karnego i zwiększa odpowiedzialność sprawców.

SIM swap w polskim prawie: Adaptacja zamiast dedykowanego przepisu

Polski Kodeks Karny nie zawiera odrębnego przepisu, który bezpośrednio definiowałby oszustwo typu „SIM swap”. Sam czyn kradzieży tożsamości jest jednak spenalizowany w art. 190a § 2 k.k. Stanowi on fundament odpowiedzialności karnej za SIM swap, jednak pełna kwalifikacja prawna wymaga sięgnięcia po dodatkowe przepisy.

Brak dedykowanego przepisu świadczy o adaptacyjnym charakterze polskiego prawa karnego. System prawny musi być elastyczny, aby reagować na dynamicznie zmieniające się metody cyberprzestępczości. Ta elastyczność wymaga od organów ścigania i sądów precyzyjnej interpretacji i stosowania ogólnych przepisów do zaawansowanych technologicznie scenariuszy przestępczych.

Kwalifikacja prawna SIM swap: Jakie przepisy stosuje kodeks karny?

Złożoność oszustwa SIM swap sprawia, że polskie prawo karne kwalifikuje je na podstawie wielu artykułów Kodeksu Karnego (k.k.), obejmujących różne etapy przestępczego działania.

1. Podszywanie się i kradzież tożsamości (Art. 190a § 2 k.k.)

Ten przepis jest fundamentem w ściganiu SIM swap. Artykuł 190a § 2 k.k. jasno mówi: „Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek, inne jej dane osobowe lub inne dane, za pomocą których jest ona publicznie identyfikowana, przez co wyrządza jej lub też innej osobie szkodę majątkową lub osobistą”.

  • Co grozi? Kara pozbawienia wolności od 6 miesięcy do 8 lat. Warto podkreślić, że jest to efekt znacznego zaostrzenia przepisów, które weszło w życie 1 października 2023 r. (wcześniej górna granica wynosiła 3 lata).
  • Tryb ścigania: Ściganie następuje na wniosek pokrzywdzonego. Twoja aktywna rola jako ofiary jest kluczowa dla wszczęcia postępowania.

2. Oszustwo komputerowe (Art. 287 k.k.)

Ten przepis jest kluczowy w końcowej fazie SIM swap, gdy przestępcy wykorzystują przejęty numer do dostępu do bankowości elektronicznej. Penalizuje on „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych”.

  • Co grozi? Kara pozbawienia wolności od 3 miesięcy do 5 lat.
  • Tryb ścigania: Ściganie następuje z urzędu (chyba że popełniono je na szkodę osoby najbliższej).

3. Oszustwo „klasyczne” (Art. 286 § 1 k.k.)

Mimo technologicznego charakteru SIM swap, początkowe oszukanie pracownika operatora telekomunikacyjnego w celu uzyskania duplikatu karty SIM może być kwalifikowane jako „wprowadzenie w błąd” osoby fizycznej w celu doprowadzenia do niekorzystnego rozporządzenia mieniem.

  • Co grozi? Kara pozbawienia wolności od 6 miesięcy do 8 lat.
  • Tryb ścigania: Ściganie następuje z urzędu (z wyjątkiem szkody na rzecz osoby najbliższej).

4. Bezprawne uzyskanie informacji (Art. 267 k.k.)

Ten artykuł obejmuje początkowy, nieuprawniony dostęp do danych (np. przez phishing) lub przełamanie zabezpieczeń sieci telekomunikacyjnej.

  • Co grozi? Grzywna, kara ograniczenia wolności albo pozbawienia wolności do 2 lat.
  • Tryb ścigania: Ściganie następuje na wniosek pokrzywdzonego.

5. Zakłócanie działania systemu informatycznego (Art. 269a k.k.)

Akt SIM swappingu faktycznie zakłóca dostęp ofiary do usług telefonicznych. Art. 269a k.k. przewiduje karę dla tego, kto „w istotnym stopniu zakłóca pracę systemu (…) teleinformatycznego lub sieci teleinformatycznej”.

  • Co grozi? Kara pozbawienia wolności od 3 miesięcy do 5 lat.

SIM swap w praktyce sądowej: Przykłady z polskich sal sądowych

Polskie sądy coraz częściej mierzą się z oszustwami SIM swap, stosując przepisy Kodeksu Karnego do złożonych schematów cyberprzestępczych.

Akty oskarżenia i działania CBZC

Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) aktywnie zwalcza oszustwa SIM swap. Przykładem jest głośny akt oskarżenia z lipca 2024 roku, skierowany do Sądu Okręgowego w Warszawie przeciwko 12 członkom zorganizowanej grupy przestępczej. Grupa ta jest podejrzana o bezprawne uzyskiwanie dostępu do rachunków bankowych firm i osób fizycznych właśnie metodą SIM swap.

Wartość szkód wyrządzonych przez tę grupę przekroczyła 18 milionów złotych, a udaremnione próby przejęcia kolejnych środków sięgały 26 milionów złotych. Oskarżonym grozi kara do 15 lat pozbawienia wolności.

Wyroki sądowe: Jak sądy kwalifikują SIM swap?

Analiza orzecznictwa sądów powszechnych dostarcza konkretnych przykładów zastosowania przepisów k.k.:

  • Wyrok Sądu Rejonowego w Skierniewicach (II K 542/19): Sprawa dotyczyła oszustwa (Art. 286 k.k.) oraz podszywania się (Art. 190a § 2 k.k.). Sąd skazał oskarżonego za oszustwo, ale uniewinnił od podszywania się. Podkreślił, że dla Art. 190a § 2 k.k. prokuratura musi udowodnić, że celem było wyrządzenie szkody majątkowej lub osobistej (a nie tylko osiągnięcie korzyści majątkowej inną metodą).
  • Wyrok Sądu Rejonowego w Lwówku Śląskim (II K 55/20): Sprawa dotyczyła licznych oszustw i kradzieży tożsamości w celu wyłudzania pożyczek i zawierania umów telekomunikacyjnych. Sąd skazał oskarżonych za ciąg przestępstw (w tym z Art. 286 i Art. 190a k.k.), uznając to za stałe źródło dochodu, co znacząco wpłynęło na wymiar kary.
  • Wyrok Sądu Rejonowego w Bielsku Podlaskim (II K 299/19): Sąd uniewinnił oskarżonego od zarzutu oszustwa komputerowego (Art. 287 k.k.), uznając, że prokuratura nie udowodniła zamiaru sprawcy. Oskarżony twierdził, że sam został zmanipulowany (tzw. „słup”). Wyrok ten podkreśla znaczenie udowodnienia strony podmiotowej przestępstwa (świadomości i celowego działania).

A co z odpowiedzialnością operatora telekomunikacyjnego?

Kluczowym momentem ataku SIM swap jest błąd ludzki po stronie pracownika operatora komórkowego, który wydaje duplikat karty SIM oszustowi. To rodzi pytanie o odpowiedzialność prawną samych firm telekomunikacyjnych.

  1. Naruszenie Prawa Telekomunikacyjnego i obowiązek należytej staranności: Operatorzy są zobowiązani do weryfikacji tożsamości abonenta. Wydanie karty SIM osobie nieuprawnionej jest jawnym naruszeniem tego obowiązku i świadczy o braku należytej staranności w ochronie danych i usług klienta. Prezes UKE (Urzędu Komunikacji Elektronicznej) wielokrotnie rekomendował operatorom wdrożenie silniejszych metod weryfikacji.
  2. Odpowiedzialność cywilna (Art. 415 k.c.): Jeśli ofiara poniosła szkodę majątkową (np. utratę pieniędzy z konta), która była bezpośrednim następstwem zaniedbania operatora, może ona dochodzić od niego odszkodowania na drodze cywilnej. Podstawą jest tu art. 415 Kodeksu cywilnego (odpowiedzialność deliktowa – „Kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia”).
  3. Naruszenie RODO (GDPR): Przekazanie kontroli nad numerem telefonu (który jest daną osobową) osobie nieuprawnionej stanowi poważne naruszenie ochrony danych osobowych. Operator jako administrator danych ma obowiązek zgłosić taki incydent do Prezesa Urzędu Ochrony Danych Osobowych (UODO), a ofierze przysługują roszczenia odszkodowawcze również na tej podstawie (Art. 82 RODO).

Odpowiedzialność banku a ustawa o usługach płatniczych

Gdy przestępcy przy użyciu przejętego numeru kradną pieniądze z konta bankowego, odpowiedzialność karna to jedno. Drugą kwestią jest odzyskanie środków. Tu kluczowe znaczenie ma Ustawa o usługach płatniczych.

  • Obowiązek zwrotu środków (Art. 46 Ustawy): Zgodnie z prawem, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, bank jest zobowiązany niezwłocznie zwrócić płatnikowi kwotę tej transakcji (najpóźniej do końca następnego dnia roboczego).
  • Wyjątek: Rażące niedbalstwo (Art. 42 Ustawy): Bank może odmówić zwrotu tylko, jeśli udowodni, że do transakcji doszło w wyniku „rażącego niedbalstwa” ze strony klienta (np. świadomego podania oszustowi haseł i loginów).

W przypadku SIM swap zaczyna się spór prawny: banki często próbują argumentować, że klient był rażąco niedbały (np. kliknął wcześniej w link phishingowy). Jednak ofiara SIM swap z reguły nie autoryzowała przelewu – to przestępca zresetował hasło i ominął zabezpieczenia SMS. W takich sporach kluczową rolę odgrywa Rzecznik Finansowy, który często wspiera konsumentów, stojąc na stanowisku, że ofiara cyberprzestępstwa nie ponosi winy za zaniedbania operatora telekomunikacyjnego czy banku.

Podsumowanie: SIM swap – złożony problem prawny (karny i cywilny)

Analiza prawna oszustw SIM swap prowadzi do kilku kluczowych wniosków:

  1. Odpowiedzialność karna sprawcy: Jest surowa i wielopoziomowa. Prawo karne kwalifikuje SIM swap jako zbiór czynów (m.in. z Art. 190a, 287, 286 k.k.), co prowadzi do kumulacji zarzutów i wysokich kar, sięgających nawet 15 lat pozbawienia wolności w przypadku zorganizowanych grup przestępczych.
  2. Aktywność organów ścigania: Polskie sądy i prokuratura (w tym CBZC) aktywnie ścigają te przestępstwa, co potwierdzają liczne akty oskarżenia i wyroki skazujące.
  3. Wyzwania dowodowe: Kluczowe jest udowodnienie zamiaru sprawcy oraz wykazanie szkody majątkowej lub osobistej (szczególnie przy Art. 190a k.k.).
  4. Odpowiedzialność operatora: Operator telekomunikacyjny, który wydał kartę SIM oszustowi przez zaniedbanie procedur bezpieczeństwa, może ponosić odpowiedzialność cywilną (na podstawie Art. 415 k.c.) oraz administracyjną (za naruszenie RODO).
  5. Odpowiedzialność banku: Na banku ciąży ustawowy obowiązek zwrotu środków skradzionych w wyniku nieautoryzowanej transakcji (Art. 46 Ustawy o usługach płatniczych). Bank może odmówić tylko wtedy, gdy udowodni ofierze rażące niedbalstwo, co w przypadku SIM swap jest bardzo trudne.

Podsumowując, ofiara oszustwa SIM swap nie stoi na straconej pozycji. Oprócz ścigania karnego sprawców, dysponuje ona silnymi narzędziami prawnymi do dochodzenia roszczeń odszkodowawczych od instytucji, które zawiodły – zarówno operatora komórkowego, jak i banku.

, ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Subscribe error, please review your email address.

Close

You are now subscribed, thank you!

Close

There was a problem with your submission. Please check the field(s) with red label below.

Close

Your message has been sent. We will get back to you soon!

Close