List gończy i poszukiwania, co to oznacza?
January 23, 2026
Fałszywe faktury i puste koszty ryzyko karne k.k. i k.k.s.
February 6, 2026Phishing w firmie najczęściej wygląda niewinnie: mail lub wiadomość podszywająca się pod kontrahenta, przełożonego, bank albo system firmowy, a w konsekwencji wyłudzenie danych logowania, przejęcie skrzynki pocztowej, podmiana numeru rachunku na fakturze albo skłonienie pracownika do wykonania przelewu. W tle pojawia się pytanie, kto za to odpowiada, pracownik, zarząd, a może nikt, bo sprawcą jest osoba trzecia. Odpowiedź prawna zależy od tego, co dokładnie się wydarzyło i czy po stronie firmy były realne zaniedbania w procedurach i nadzorze.
Co to jest oszustwo komputerowe w praktyce firmy
W ujęciu karnym oszustwo komputerowe dotyczy sytuacji, w których sprawca ingeruje w przetwarzanie danych lub w działanie systemu, aby doprowadzić do niekorzystnego rozporządzenia mieniem. W praktyce biznesowej pasuje tu wiele scenariuszy phishingowych. Takich jak przejęcie konta e mail, zmiana danych odbiorcy płatności, przechwycenie tokenów lub haseł, podstawienie fałszywej bramki logowania, manipulacja danymi w systemie księgowym. Często równolegle pojawiają się inne czyny, na przykład bezprawne uzyskanie informacji, nieuprawniony dostęp do systemu, niszczenie lub modyfikowanie danych, fałszowanie dokumentów, a czasem klasyczne oszustwo, gdy kluczowe było wprowadzenie człowieka w błąd.
Odpowiedzialność pracownika, kiedy może się pojawić
Jeżeli pracownik padł ofiarą phishingu, sama omyłka nie oznacza automatycznie odpowiedzialności karnej. Odpowiedzialność karna wymaga winy, a w typowych przypadkach phishingu pracownik jest pokrzywdzonym albo świadkiem, nie sprawcą.
Ryzyko odpowiedzialności pracownika rośnie w trzech sytuacjach.
Pierwsza sytuacja to współsprawstwo lub pomocnictwo, czyli gdy pracownik świadomie bierze udział w procederze, udostępnia dane, zatwierdza operacje, wprowadza zmiany w systemie albo przekazuje dostęp w zamian za korzyść.
Druga sytuacja to naruszenie obowiązków pracowniczych z poważnym skutkiem, gdy pracownik działa skrajnie nieostrożnie wbrew jednoznacznym procedurom, na przykład przekazuje kody lub hasła mimo szkoleń i ostrzeżeń, ignoruje zasady weryfikacji odbiorcy przelewu, omija wymagane autoryzacje. To częściej rodzi odpowiedzialność pracowniczą i cywilną wobec pracodawcy niż karną, ale bywa też elementem oceny, czy w firmie panował realny system kontroli.
Trzecia sytuacja to naruszenie tajemnicy przedsiębiorstwa lub danych osobowych, na przykład wyniesienie danych poza firmę, udostępnienie plików osobom nieuprawnionym. Tu odpowiedzialność może być wielotorowa, pracownicza, cywilna, czasem karna, zależnie od okoliczności.
W praktyce w sporach wewnętrznych najważniejsze jest ustalenie, czy pracownik działał zgodnie z instrukcjami i czy miał realną możliwość rozpoznania ataku. Jeżeli firma nie szkoliła, nie miała procedur i nie wdrożyła podstawowych zabezpieczeń, obciążanie pracownika bywa trudne do utrzymania.
Odpowiedzialność zarządu, gdzie są realne ryzyka
Zarząd nie odpowiada automatycznie za to, że ktoś z zewnątrz zaatakował firmę. Ryzyko pojawia się wtedy, gdy incydent obnaża brak nadzoru, brak elementarnych procedur lub tolerowanie praktyk, które proszą się o nadużycie.
Najczęstsze obszary ryzyka zarządu to:
Należyta staranność w organizacji procesów finansowych, zwłaszcza przelewów. Jeżeli firma nie ma zasady podwójnej autoryzacji, weryfikacji zmiany rachunku kontrahenta innym kanałem, limitów, rozdziału ról oraz kontroli uprawnień, prokuratura lub audyt wewnętrzny może pytać, czy zarząd nie dopuścił do szkody przez zaniechanie.
Odpowiedzialność za szkodę wyrządzoną spółce. Gdy incydent kończy się dużą stratą, temat często przechodzi w ocenę, czy decyzje organizacyjne zarządu były racjonalne. W skrajnych sprawach rozważa się odpowiedzialność karną menedżerską związaną z działaniem na szkodę spółki, a cywilnie pojawia się odpowiedzialność odszkodowawcza wobec spółki.
Obowiązki związane z ochroną danych osobowych i bezpieczeństwem informacji. Jeżeli phishing doprowadził do wycieku danych, firma może mieć obowiązki zgłoszeniowe i dokumentacyjne, a brak reakcji lub chaotyczna reakcja może pogłębiać ryzyko regulacyjne.
Rzetelność komunikacji z bankiem, ubezpieczycielem i kontrahentami. W praktyce odzyskanie środków często zależy od szybkości zgłoszenia do banku i zebrania dowodów, a to wymaga sprawnego zarządzania incydentem.
Co firma powinna zrobić po phishingu, żeby ograniczyć straty i odpowiedzialność
Najważniejsze jest zabezpieczenie dowodów i szybka reakcja operacyjna. Trzeba ustalić, czy doszło do przejęcia konta, czy do wykonania przelewu, czy do wycieku danych. W zależności od scenariusza zwykle wchodzi w grę natychmiastowa zmiana haseł, odcięcie sesji, analiza logów, kontakt z bankiem w sprawie wstrzymania lub odwołania przelewu, zgłoszenie incydentu odpowiednim służbom w firmie, a przy wycieku danych także analiza obowiązków wobec organu nadzorczego i osób, których dane dotyczą.
Równolegle warto uporządkować odpowiedzialność wewnętrzną. Nie zaczynaj od szukania winnego. Zacznij od zebrania faktów: kto dostał wiadomość, co dokładnie kliknięto, jakie były procedury, jakie komunikaty ostrzegawcze były dostępne. Dopiero potem ocenia się, czy doszło do zawinionego naruszenia obowiązków pracowniczych, czy raczej do luki systemowej, za którą odpowiada organizacja.
