Dva dny před koncem zákonné lhůty vydalo Nejvyšší státní zastupitelství „Zprávu o činnosti státního zastupitelství za rok 2021“. Zpráva popisuje aktivity státních zástupců v minulém roce, trendy a statistiky a shrnuje zajímavé případy.
V minulém roce bylo sepsáno 169 006 záznamů o zahájení úkonů trestního řízení proti fyzické osobě a 939 záznamů o zahájení úkonů trestního řízení proti právnické osobě. Z toho pak bylo vedeno trestní řízení proti 64 364 fyzickým osobám a proti 326 právnickým osobám. Před soud se pak dostalo 59 248 fyzických osob a 286 právnických osob, odsouzeno bylo 49 647 osob (4 % osob bylo zproštěno). V trestních řízeních za celý rok byly zajištěny majetkové hodnoty v celkové výši 7 mld. Kč.
Pokud jde o strukturu kriminality, stejně jako v minulých letech převažovala majetková trestná činnost, násilnou trestnou činnost charakterizovala stagnace (byť i v roce 2021 pachatelé páchali i agresivní a brutální trestné činy). Značná část kriminality se však i v roce 2021 přesunula do kyberprostoru, čemuž výrazně přispěla pandemie COVID-19.
Celkově státní zastupitelství eviduje v roce 2021 9518 případů kybernetické kriminality (tj. meziroční nárůst o 17,8 %). Nejčastějšími byly podvody mezi soukromými osobami, neoprávněný přístup a poškození záznamu v počítačovém systému, opatření a přechovávání přístupového zařízení a hesla a úvěrové podvody. O 45 % stoupl meziročně počet skutků tzv. hackingu (státní zastupitelství jej definuje jako útoky na počítačové systémy s následným vydíráním). Významnou část kriminality tvoří i tzv. investiční podvody, resp. podvodná jednání s legendou investice především do kryptoměn. Pachatele v těchto případech využívají internetové reklamy na sociálních sítích a dalších platformách, připraví si kvalitní webové stránky s prezentací „investice“.
Trvalým problémem je pak klasický phishing ve všech formách (romance podvody, inzertní podvody, reverzní inzertní podvody, kdy obětí je prodávající, nebo podvody prostřednictvím falešných platebních bran. Zpráva si také všímá relativně nového fenoménu vishingu, kdy pachatelé telefonicky kontaktují poškozeného a vydávají se za pracovníka banky nebo policie, informují poškozeného o údajném napadení jeho bankovního účtu a manipulativně ho přesvědčí o nutnosti převést peníze na jiný („bezpečný“) účet. Alternativně se nechá oběť přesvědčit k instalaci aplikace na vzdálenou správu a pachatel se pak už obslouží sám.
Městské zastupitelství v Praze evidovalo také případy, kdy fyzické osoby uzavřely na základě inzerátu na Facebooku formulářové „smlouvy o zhodnocení investic“ a na základě dalších pokynů si pak naistalovaly aplikaci, do které zadaly údaje o svém bankovním účtu, osobní údaje a heslo a pak už jen sledovaly, jak jim mizí peníze z účtu do zahraničí. Pachatel v tomto případě využíval sofistikované prostředky včetně anonymizérů IP adres.
Další zajímavý případ řešilo Krajské státní zastupitelství v Ústí nad Labem, kdy podvodníci nejdříve vytvořili autentické napodobeniny webových stránek peněžních ústavů a jejich internetového bankovnictví. Následně kontaktovali určitou množinu klientů těchto ústavů, kterým zaslali SMS zprávu s výzvou ke zřízení přístupu prostřednictvím SMART klíče. Pachatel použil spoofing, takže odesílající telefonní číslo se tvářilo jako řádné číslo banky. Poškození následně prostřednictvím odkazu vstoupili na phisingovou webovou stránku a zadali své přihlašovací údaje, které však okamžitě využil pachatel a současně získal skutečný SMART klíč. Cesta k penězům poškozeného byla volná. Tento případ bohužel ukazuje limity určitého typu dvoufaktorové autentizace.
Okresní státní zastupitelství v Kutné hoře vedlo trestní věc týkající se protiprávního jednání neznámého pachatele spočívajícího v podvodném jednání, kdy se poškození, pod vlivem reklamy na investici do kryptoměny, registroval na stránky společnosti Anycoin.cz, kam zaslal registrační poplatek, naistaloval do svého počítače program umožňující jeho vzdálenou správu. Poškozený také poskytl kopii svého občanského průkazu a fotografii a umožnil přístup do svého internetového bankovnictví u České spořitelny. Pachateli pak už nic nebránilo k tomu, aby odeslal z účtu chudáka poškozeného na jiné účty pod svou kontrolou 7.500 EUR.
Z rozhodovací praxe Nejvyššího soudu zpráva zmiňuje rozhodnutí č. 58/2021 Sb., rozh. Tr., z jehož právní věty vyplývá, že zpráva odeslaná a doručená prostřednictvím elektronické pošty je „jiným dokumentem uchovávaným v soukromí“ ve smyslu § 183 odst. 1 trestního zákoníku, neboť každá e-mailová schránka, do níž jsou doručovány zprávy, je chráněna jedinečným přístupovým heslem a samotné zprávy jsou uchovávány na serverech, ke kterým nemají přístup neoprávněné osoby. Ačkoliv zpráva doručovaná e-mailem prochází jinými počítači předtím, než dosáhne cílový počítač, nelze z této skutečnosti dovodit, že by měla taková zpráva představovat formu veřejné komunikace, tedy komunikace, jež není vymezena konkrétními předem určenými subjekty. Stručně řečeno, e-mailová komunikace si zaslouží stejnou ochranu před zvědavými a nenechavými cizími elementy jako dopis.
V minulém roce také Nejvyšší soud přezkoumával zákonnost příkazů k odposlechu a záznamu telekomunikačního provozu a příkazů k zjištění údajů o telekomunikačním provozu, a to na základě 11 podání. V osmi případech konstatoval, že zákon porušen nebyl, ve dvou případech návrh odmítl a v jednom případě konstatoval porušení zákona. V počtu ročně vydávaných příkazů se zdá, že tento institut i jeho kontrola je dobře zakotvena.
Závěrem Státní zastupitelství konstatuje, že odhalování trestné činnosti v kyberprostoru je mimořádně komplikované a mimo výjimečné případy českých pachatelů (a to pachatelů nezkušených, nevyužívajících prostředky zakrytí své identity a používajících běžné bankovní účty či nákupy registrovaných komodit) se pachatele prostě nepodaří zjistit. Tento typ kriminality zcela zastínil finanční trestnou činnost a projevuje se ve všech druzích páchané trestné činnosti.
Současně zpráva uvádí, že kybernetické kriminalitě a kriminalitě v kybernetickém prostoru nahrává nízké právní povědomí veřejnosti v kombinaci s poměrně omezenými schopnostmi rozpoznat, předcházet a bránit se útokům z kyberprostoru, stejně jako nedostatečná regulace. Ta se na národní i EU úrovni značně zpožďuje za dynamickým rozvojem informačních technologií. Státní zastupitelství si také povzdychlo nad otázkou právní regulace povinností poskytovatelů služeb uchovávat a poskytovat údaje o službách a jejich uživatelích a absencí právních nástrojů k získávání dat k odhalování pachatelů v kybernetickém prostoru.
I na základě výše uvedeného lze říct, že vzdělávání a osvěta v oblasti kybernetické bezpečnosti a prevence kybernetické kriminality je „neverending story“ a vždy tu bude místo například pro aktivity českého Safer internet Centra, které provozuje sdružení CZ.NIC, stejně jako pro vzdělávací kurzy o kybernetické bezpečnosti Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nebo vzdělávací aktivity sdružení CESNET.