Jak działają przestępcy w sprawach kryptowalutowych?
Osoby chcące popełnić przestępstwo polegające w praktycznym sensie na uzyskaniu dostępu do kryptowalut cudzej osoby podejmują różnego rodzaju podstępne czynności. Ich celem jest uzyskanie kluczy prywatnych, dzięki którym mogą przetransferować na swoje portfele kryptowaluty innej osoby.
Z praktyki zawodowej zauważam, że sprawcy próbują uzyskać potrzebne im do popełnienia przestępstwa informacje poprzez m. in. dzwonienie, pisanie maili czy wiadomości na komunikatorach. Rozmówcy często obiecują pomnożenie posiadanych środków po podaniu kluczy prywatnych, haseł do kont lub przesłanie jednostek kryptowalutowych na wskazany adres.
Istnieją również bardziej zaawansowane modele działania poprzez zastosowanie złośliwego oprogramowaniu, uzyskaniu dostępu do telefonu/komputera/emial posiadacza kryptowalut, wysyłanie portfeli sprzętowych z niepożądanym oprogramowaniem lub tworzenie stron internetowych do złudzenia przypominających giełdy kryptowalutowe, kantory lub portfele w celu uzyskania danych do logowania. Fałszywe strony internetowe w swym adresie często różnią się od faktycznych stron podmiotów zajmujących się profesjonalnie obrotem kryptowalutami zaledwie jednym znakiem.
Zweryfikuj certyfikat SSL
W celu przekonania się czy oby na pewno jesteśmy na stronie wybranego podmiotu, warto wcisnąć kłódkę, znajdującą się na pasku wyszukiwania, która pozwoli zweryfikować właściciela domeny.
Następnie wybieramy opcje „Certyfikat (Ważny)”
Pojawi się okno, w którym otrzymamy informacje dla jakiego podmiotu certyfikat SSL został wystawiony, kto go wystawił oraz sprawdzimy datę ważności certifikatu SSL.
Kradzież Bitcoina – przestępstwo oszustwa komputerowego
Uzyskanie cudzych Bitcoinów przy użyciu klucza prywatnego pokrzywdzonego (bez jego zgody) należy rozpatrywać z punktu widzenia prawnokarnego nie jako kradzież, lecz przestępstwo z art. 287 kodeksu karnego – tak zwane oszustwo komputerowe. Wszakże o przestępstwie kradzieży z art. 278 k.k. możemy mówić w przypadku rzeczy ruchomych określonych w art. 115 §9 k.k., do których nie zalicza się jednostek kryptowalut (zapisów na blockchainie (Wikipedia). Nie zmienia to jednak faktu, że w języku potocznym najczęściej słyszymy o kradzieży kryptowalut.
Dzięki kluczowi prywatnemu posiadacz kryptowalut ma do nich dostęp. Umożliwia on uczestnikowi sieci blockchain podpisywanie i zatwierdzanie transakcji. Wielu ekspertów związanych z rynkiem kryptowalut i technologią blockchain porównuje klucz prywatny do hasła do konta bankowego, który nigdy nie powinien wejść w posiadanie osób trzecich.
Zgodnie z art. 287 §1 k.k. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Sprawca czynu, który bez zgody posiadacza wykorzystuje jego klucze prywatne – „przesyłając” jednostki kryptowalut na inny adres dokonuje zmiany zapisów jednostek kryptowalutowych w łańcuchu bloków. Mówiąc mniej formalnie skutkiem takiego zabiegu jest pozbawienie dotychczasowego posiadacza jednostek możliwością ich dysponowania, zaś sprawca czynu uzyskuje do nich wyłączny dostęp.
Przestępstwo oszustwa komputerowego zagrożone jest analogicznie do przestępstwa kradzieży tj. karą pozbawienia wolności w wymiarze od 3 miesięcy do lat 5. Jeśli jednak wartość jednostek kryptowalut, które dokonano zamachu przekracza kwotę 200.000,00 złotych – tj. stanowi mienie znacznej wartości, możemy mówić o typie kwalifikowanym przestępstwa określonym w art. 294 §1 k.k., którego zagrożenie ustawowe karą pozbawienia wolności wynosi od roku do lat 10.
Minimalizowanie ryzyka utraty środków
Posiadacze kryptowalut powinni podejmować czynności zmierzające co możliwie najlepszej ochrony zgormadzonych przez nich środków. Regulacje prawne, dzięki którym uczestnicy rynku stają się bezpieczniejsi przyśpieszają, jednak to sami posiadacze powinni dbać o swoje środki. Specjaliści z zakresu aktywów kryptograficznych nie podają jednej „złotej” metody bezpieczeństwa ze względu na zróżnicowanie rynku, potrzeb i szeroko pojętych produktów związanych z kryptowalutami. Jednakże jako najczęstsze błędy ułatwiających działanie przestępcom zauważa się:
- nienależyte dbanie o bezpieczeństwo kluczy prywatnych (w szczególności przekazywanie ich osobom trzecim);
- inwestowanie środków poprzez niezweryfikowane podmioty – giełdy/kantory;
- przechowywanie środków na giełdzie (ze względu na ryzyko upadku giełdy lub ataku hakerskiego);
- brak uwierzytelniania wielopoziomowego (dwu lub trzyskładnikowego) na giełdach i aplikacjach służących do obrotu kryptowalutami;
- nieużywanie portfeli sprzętowych (offline) lub kupowanie ich z niesprawdzonych źródeł (w szczególności z rynku wtórnego);
- pobieranie oprogramowania z niesprawdzonych źródeł;
- nieweryfikowanie adresów do logowania na giełdach;
- zbyt słaba ochrona komputera (brak programów antywirusowych);
- zbyt słaba ochrona skrzynki e-mail związanej z usługami kryptowalutowymi;
- nieweryfikowanie adresów przy przesyłaniu kryptowalut.
Jest to jedynie przykładowe wyliczenie bardzo obszernej tematyki jaką jest bezpieczeństwo posiadanych środków w kryptowalutach. Obecnie istnieje bardzo wiele publikacji oraz materiałów audiowizualnych przybliżających kwestię ryzyka posiadanych środków.
Jakie kroki należy podjąć, gdy Bitcoiny znikną z naszego portfela?
W sytuacji, w której osoba trzecia przy użyciu kluczy prywatnych posiadacza Bitcoinów (bez jego zgody) prześle je na inny adres należy niezwłocznie złożyć zawiadomienie do Prokuratury.
Czas może okazać się w takiej sytuacji bardzo istotny, gdyż wielu sprawców przestępstw podejmuje czynności, które mają uniemożliwić odnalezienie środków.
Pomimo transparentności systemu Bitcoina i możliwości śledzenia przepływu jednostek, przestępcy często wykorzystują tak zwane „miksery kryptowalut” (tumblery), aby nie można było połączyć ich z jednostkami pochodzącymi z przestępstwa. Sposobem działania „miksera” jest podzielenie BTC na wiele części i pomieszaniu z częściami BTC, które stanowią własność innych osób. Następnie te przemieszane jednostki są przesyłane na żądany adres, a w praktyce uniemożliwia to ustalenie źródła ich pochodzenia.
Zanim zatem dojdzie do ww. sytuacji istnieje szansa na podjęcie przez Prokuraturę czynności, które realnie mogą doprowadzić do ustalenia do kogo należy adres portfela, na którym znajdują się środki.
Kluczową rolę gra tu sposób działania sprawcy – w szczególności gdzie jednostki zostały przesłane. Giełdy kryptowalut coraz chętniej współpracują z polskimi organami ścigania. Dzięki upowszechnieniu się procedur KYC (z ang. Know Your Customer) na stronach związanych z handlem kryptowalutami, istnieje szansa na powiązanie adresu portfela giełdowego z daną osobą. Prokuratura może również zażądać podania przez ww. numery IP, z których sprawca łączył się z podmiotem.
Trudniejsza wydaje się sytuacja, w której środki zostaną przesłane na adres portfela, którego nie można połączyć z podmiotem, który udzieli odpowiedzi co do tożsamości jego posiadacza. Środki takie mogą przez długi czas pozostawać na tym adresie.
Najtrudniejszym aspektem w tego typu postępowaniach jest powiązanie danej osoby z jednostkami utraconymi przez pokrzywdzonego. Jeśli organ prowadzący postępowanie będzie miał podstawy do dokonania czynności przeszukania i zatrzymania rzeczy mogących stanowić dowód w sprawie (z reguły w tego typu postępowaniu może to być komputer/telefon/portfel sprzętowy lub nawet kartka z zapisanymi kluczami) może okazać się to czynnością kluczową dla losów postępowania.
Będąc pokrzywdzonym należy więc niezwłocznie zareagować, udzielając organom ścigania kompleksowych informacji, które pomogą w wykryciu sprawcy i odzyskaniu utraconych środków.
Zabezpieczenie majątkowe w Bitcoinie?
W toku postępowania karnego możliwe jest dokonanie zabezpieczenia majątkowego w Bitcoinie. Warto pamiętać, że zgodnie z art. 291 §1 pkt 5 k.p.k.
W razie zarzucenia oskarżonemu popełnienia przestępstwa, za które lub w związku z którym można orzec zwrot pokrzywdzonemu lub innemu uprawnionemu podmiotowi korzyści majątkowej, jaką sprawca osiągnął z popełnionego przestępstwa, albo jej równowartości – może z urzędu nastąpić zabezpieczenie wykonania tego orzeczenia na mieniu oskarżonego lub na mieniu, o którym mowa w art. 45 §2 kodeksu karnego, jeżeli zachodzi uzasadniona obawa, że bez takiego zabezpieczenia wykonanie orzeczenia będzie niemożliwe albo znacznie utrudnione.
Dokonanie zabezpieczenia majątkowego na jednostkach kryptowaluty może wydawać się pomysłem kontrowersyjnym i trudnym do realizacji. Nie zmienia to jednak faktu, iż doktryna uznaje taką formę zabezpieczenia majątkowego. Bezsprzecznie spełniona jest przesłanka, uzasadnionej obawy, że bez takiego zabezpieczenia orzeczenie będzie niemożliwe albo znacznie utrudnione. Charakter aktywów kryptowalutowych sprawia, że w przypadku braku dokonania zabezpieczenia sprawca może z łatwością ukryć lub sprzedać posiadane jednostki.
Od strony technicznej trudno wyobrazić sobie dokonanie zabezpieczenia jednostek kryptowalutowych przez Prokuratora bez pomocy biegłego, który faktycznie prowadzi tę czynność. Organ procesowy nie może pozwolić sobie na ryzyko utraty zabezpieczanych środków. Wydaje się więc, że Prokuratura powinna dysponować bezpiecznym portfelem, do których obecnie zaliczane są m. in. portfele sprzętowe.
Podsumowując należy wskazać, że konieczność mierzenia się przez organy procesowe ze sprawami dotyczącymi przestępstw związanych z obrotem kryptowalutami jest coraz częstsza. Szybka adopcja technologii i rozwój rynku walut cyfrowych musi iść w parze z realną pomocą udzielaną pokrzywdzonym. Posiadacze kryptowalut powinni jednak przykładać szczególną uwagę do bezpieczeństwa, bowiem tylko niewielki procent pokrzywdzonych odzyskuje utracone środki lub ich równowartość.