Czy dowody zebrane przez hakerów mogą posłużyć w sądzie?

O tajemniczych awariach pociągów Impuls wielokrotnie informowaliśmy latem ubiegłego roku. Sprawa nabrała nowego światła w ubiegłym tygodniu, dzięki artykułom portali ZaufanaTrzeciaStrona i Onet. Pojawiły się  nowe okoliczności, na które Newag odpowiedział w swoim oświadczeniu. Odpowiedziała na nie bardzo dokładnie grupa cyberspecjalistów (hakerów), która na zlecenie SPS ASO Mieczkowski przeanalizowała oprogramowanie pociągu by umożliwić jego uruchomienie – jak podkreśla, bez zmiany kodu maszynowego w pociągu.

Poniżej komentarz dr Michała Zięby, partnera zarządzającego kancelarii Hanton do całej sprawy:

W pierwszej kolejności należy zastrzec, że bazujemy obecnie na doniesieniach medialnych i oświadczeniach dwóch zainteresowanych stron i nie mamy dostępu do dokumentów źródłowych i wszystkich okoliczności sprawy. Z tego powodu chciałbym zachować ostrożność w formułowaniu wniosków.

Ważny jest kontekst całej sytuacji na gruncie prawa kolejowego. Jak wynika z doniesień medialnych, Dysponentami wpisanymi do Europejskiego Rejestru Pojazdów Kolejowych (EVR) i Podmiotami Odpowiedzialnymi za Utrzymanie (ECM) dla tych pojazdów byli przewoźnicy kolejowi i to te podmioty mają prawo do decydowania o funkcjonalnościach oprogramowania, zainstalowanego w pojeździe. To Dysponent podejmuje decyzję o instalacji aktualizacji oprogramowania a ECM ją wdraża zlecając np. producentowi taboru wprowadzenie zamian w software. Taki powinien być mechanizm.

Samoczynne działanie producenta taboru, który nie jest ECM (o ile do niego doszło) nie powinno mieć co do zasady miejsca, bowiem dochodzi wówczas do zaburzenia odpowiedzialności na linii producent, ECM i dysponent (te dwie ostatnie funkcje pełnią obecnie przewoźnicy pasażerscy).

Czy hakowanie jest legalne?

Przyjmując jednak hipotezę, że takie oprogramowanie faktycznie zostało najpierw zainstalowane przez producenta w pojazdach (zainstalowane pierwotnie lub dopiero w wyniku „aktualizacji”), a następnie zdekomplikowane (tj. zhakowane) przez zespół Dragon Sector (żeby np. odkryć funkcjonalności oprogramowania) zastanowić należy się czy ta dekompilacja jest „legalna”. Hakowanie w powszechnym odbiorze kojarzy się bowiem z czymś z gruntu „nielegalnym” ale to nie do końca prawda. Zagadnienie na terytorium Unii Europejskiej zostało już rozstrzygnięte.

W wyroku z 6 października 2021 r. w sprawie C 13/20 Trybunał Sprawiedliwości Unii Europejskiej (zapadłym w sprawie, która toczyła się pierwotnie w Belgii) Trybunał przesądził, że licencjobiorca oprogramowania może dokonać „dekompilacji całości lub części tego programu w celu poprawienia błędów mających wpływ na jego funkcjonowanie”. W najprostszych słowach i dostosowując tezy ww. wyroku do omawianej sytuacji, można powiedzieć, że jeżeli oprogramowanie np. nie pozwala na korzystanie z urządzenia zgodnie z przeznaczeniem, to użytkownik może dokonać jego zhakowania, żeby przywrócić jego normalne działanie. Ważnym założeniem jest spełnienie warunku, że pomiędzy podmiotem dekompilującym a licencjobiorcą (na przykład przewoźnikiem) istnieje link prawny. W wyroku zawarte są również inne warunki. Poza tym nie należy zapominać o zasadach dotyczących dekompilacji i reverse engineering zawartych od dawna w ustawie o prawie autorskim i prawach pokrewnych oraz Dyrektywie UE z 2009 w sprawie ochrony prawnej programów komputerowych (Dyrektywa nr 2009/24/WE).

Czy wyłączające się drukarki atramentowe i wyłączające się pociągi to analogiczne sytuacje z punktu widzenia prawnego?

W mediach pojawiają się również tezy, że takie podobne zabezpieczenia przed „nieautoryzowanym dostępem” są stosowane w innych sektorach i nie jest to nic nadzwyczajnego. Wymienia się np. głośną sprawę drukarek, których dotknął problem celowego postarzania produktu i braku możliwości ich naprawy w nieautoryzowanych serwisach. Omawiana sprawa taborowa jest chyba jednak odmienna, bo w tym przypadku mamy do czynienia z rynkiem wykonywania przeglądów i napraw pojazdów trakcyjnych, który co do zasady podlega Dyrektywie Zakupowej i Prawu Zamówień Publicznych. Innymi słowy, zapłata za te usługi pochodzi bezpośrednio ze środków publicznych (gdy to samorząd zleca P4) lub pośrednio, gdy naprawa pokrywana jest np. z rekompensaty za realizację PSO.

Czyli wprowadzenie funkcjonalności oprogramowania, o jakich mowa w doniesieniach prasowych, zaburzałoby przede wszystkim konkurencję na rynku napraw pasażerskich składów zespolonych, a w mniejszym stopniu naruszało tylko prawa konsumentów, co dziać się miało w przypadku „przysłowiowych” drukarek. Można powiedzieć, że naruszone byłoby zatem dobro o większym znaczeniu.

Możliwość wykorzystania dowodów zebranych przez hackerów

Kolejna ciekawa kwestia to możliwość wykorzystania dowodów zebranych przez Dragon Sector w różnego rodzaju postępowaniach.

Kwestia czy informacje te zostały pozyskane w „legalny” sposób mogłaby mieć teoretyczny wpływ na „moc” dowodów np. w postępowaniu cywilnym lub postępowaniu przed organem antymonopolowym. Należy jednak pamiętać, że UOKIK oraz częściowo sądy cywilne powinny ocenić całość materiału dowodowego zebranego w sprawie, w tym nawet zebranego z naruszeniem omówionych powyżej zasad wynikających z wyroku C 13/20. Oczywiście jest to pewna kontrowersja na gruncie procedury cywilnej, ale przeważającym poglądem doktryny prawa i orzecznictwa jest teza, że o wartości dowodowej konkretnego dowodu decyduje konkretny skład orzekający na podstawie własnego przekonania. Innymi słowy, dowody te powinny odnieść skutek zamierzony przez zlecającego ich pozyskanie, a przynajmniej w organie antymopolowym czy w sądzie cywilnym. Koncepcja „zatrutego drzewa” i „owoców zatrutego drzewa”, czyli dowodów pozyskanych w wyniku bezprawnych działań miałaby większe znaczenie w ewentualnych postępowaniach karnych.

Rozpętana burza medialna dotyczy kilku obszarów prawa i pokazuje, jak ciekawy jest rynek napraw pociągów pasażerskich. Sprawa może rozwinąć się dynamicznie w każdym z wątków tj. naruszenia konkurencji i czynu nieuczciwej konkurencji, ewentualnej odpowiedzialności odszkodowawczej związanej z wykonywanymi naprawami na poziomie P4, odpowiedzialności za ewentualne bezprawne wprowadzenie modyfikacji oprogramowania (odpowiedzialność z czynu niedozwolonego tzw. ex delicto) czy w zakresie karnym. Stawka w każdym z tych wątków jest bardzo wysoka.