Coraz więcej serwisów używa wtyczek, które wykorzystują komputery osób goszczących na ich stronie do przetwarzania transakcji alternatywnej waluty monero. To legalne, ale tylko wtedy, gdy internauta jest o tym poinformowany.
Popularnym internetowym reklamom w formie wyskakujących okienek rośnie poważna konkurencja. Nowym, coraz popularniejszym pomysłem na zarobki dla portali komercyjnych staje się... zarabianie na kryptowalutach (np. bitcoinach czy ethereum) przy użyciu wtyczki umieszczanej w kodzie strony, np. Coinhive, wydobywającej - na razie - kryptowalutę monero (trwają prace nad stworzeniem podobnych wtyczek dla innych kryptowalut). Coinhive pozwala wykorzystywać moc obliczeniową komputerów internautów przebywających na danej stronie do kopania kryptowalut. Moc obliczeniowa używana jest m.in. do przetwarzania transferów tych kryptowalut, z tytułu czego właściciel wtyczki otrzymuje nagrodę (wypłacaną oczywiście w kryptowalucie). Takich wtyczek używa m.in. Ubuntu Polska (oficjalnie się do tego przyznaje), ale znaczna część stron ukrywa ten fakt. Jeszcze inne zostały zaatakowane przez hakerów i są nieświadome, że ktoś zarabia ich kosztem.
– Rozwiązania takie jak Coinhive mogą być źródłem dodatkowego zarobku dla właścicieli serwisów i biorąc pod uwagę wzrost popularności kryptowalut, w nieodległej przyszłości mają szansę być wykorzystywane powszechnie i w wielu wypadkach nawet wyprzeć reklamy – twierdzi Michał Furtak, administrator Bitcoin.pl.
– Polacy i tak nie dają zarobić wydawcom na wyskakujących okienkach. Są rekordzistami świata pod względem wykorzystania wtyczki typu AdBlock, która blokuje wyskakujące okienka. Używa jej prawie połowa internautów, ograniczając tym samym przychody wydawcy – zauważa Marcin Żukowski, ekspert ds. rynku reklamowego.
Ingerencja w zasoby cudzego komputera
Z wykorzystaniem wtyczek do kopania kryptowalut wiążą się jednak problemy. Używanie komputerów internautów odwiedzających stronę może powodować większe zużycie prądu w ich gospodarstwie domowym, a co za tym idzie – wyższe rachunki. W niektórych przypadkach może również dojść do uszkodzenia komputera (np. spalenia procesora czy karty graficznej). Z tego powodu internauta może domagać się rekompensaty na drodze cywilnej. [opinia eksperta]
Przedstawiciele wydziału komunikacji Ministerstwa Cyfryzacji upatrują nawet w takiej sytuacji możliwości odpowiedzialności karnej dla właściciela strony montującej wtyczki. Zastosowanie mógłby mieć np. art. 288 kodeksu karnego mówiący o zniszczeniu lub uszkodzeniu cudzej rzeczy (mogłoby to dotyczyć drogich sprzętów). Grozi za to kara pozbawienia wolności od 3 miesięcy do 5 lat. W przypadku mniejszej wagi czynu sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Przy uszkodzeniu tańszego sprzętu komputerowego w grę wchodziłaby odpowiedzialność z art. 124 kodeksu wykroczeń. Zgodnie z tym przepisem sprawca podlegałby karze aresztu, ograniczenia wolności albo grzywny. Niewykluczone byłoby również odniesienie się do art. 287 kodeksu karnego. Przewiduje on kary od ograniczenia wolności (w przypadku spraw mniejszej wagi) do 5 lat (w pozostałych przypadkach).
Trzeba poinformować. Ale jak
Chyba jednak najbardziej istotny problem leży w tym, że internauci nie zawsze są świadomi, iż gdy wchodzą na stronę z zainstalowaną wtyczką, ich komputer jest obciążany dodatkowym zadaniem. Tymczasem co do tego, że powinni być informowani o skryptach wydobywających kryptowalutę z użyciem urządzenia użytkownika końcowego, panuje w zasadzie zgoda wśród ekspertów.
– Każda ingerencja w zasoby cudzego komputera (w tym nadmierne ich obciążenie) bez uzyskania zgody jest nadużyciem – uważa Wojciech Laskowski, ekspert Narodowego Centrum Bezpieczeństwa działającego w ramach państwowego instytutu badawczego NASK.
Pytanie jednak: w jaki sposób przedsiębiorca, który na swoim portalu instaluje wtyczki, powinien przekazać informację. Przepisy na ten temat milczą. Zdaniem ekspertów to kolejna sytuacja, w której prawo nie nadąża za rozwojem nowych technologii internetowych.
W ocenie Wojciecha Laskowskiego pod względem prawnym należałoby potraktować wtyczki analogicznie do ciasteczek (ang. cookies; chodzi o niewielkie pliki zapisywane na komputerze użytkownika, w których przechowywane są ustawienia i inne informacje dotyczące odwiedzanych przez niego stron). – Ciasteczka podlegają regulacjom zawartym w art. 173 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2017 r. poz. 1907). Zgodnie z par. 1 ust. 1 tego przepisu „przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały” m.in. o celu przechowywania i uzyskiwania dostępu do tej informacji – uważa ekspert. Co najważniejsze, po uzyskaniu powyższych informacji internauta musi wyrazić wyraźną zgodę na korzystanie z technologii cookies bądź - w tym przypadku - na kopanie kryptowaluty.
Tyle że ekspert nie do końca jest pewien, czy taka interpretacja jest właściwa. – Ta interpretacja jest dość daleko idąca, a temat na razie niezbadany - zastrzega Wojciech Laskowski. – Przepisy prawa telekomunikacyjnego dotyczą przecież przede wszystkim bezpieczeństwa informacji, a nie ingerencji w urządzenie użytkownika, stąd te wątpliwości interpretacyjne – stwierdza.
Czy wystarczy zapis w regulaminie
Przedstawiciele wydziału komunikacji Ministerstwa Cyfryzacji w odpowiedzi na nasze pytania poinformowali, że jeśli wtyczka kopiąca kryptowaluty jest elementem strony internetowej, to powinien o niej wspominać regulamin serwisu. Artykuł 8 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2017 r. poz. 1219) nakazuje bowiem m.in., by w regulaminie zawrzeć informacje o rodzaju i zakresie usług świadczonych przez stronę. W przypadku takiej kwalifikacji nie byłoby konieczności uzyskania potwierdzenia użytkownika, że akceptuje fakt, iż jego komputer jest używany do przetwarzania operacji kryptowalut, bo uzyskanie zgody byłoby jednoznaczne z akceptacją regulaminu witryny. Ale to też nie zawsze. Co innego bowiem, jeśli wtyczka byłaby elementem zewnętrznym (np. reklamą), którego treść nie jest zależna od właściciela strony. – Trudno wtedy uznać, że została wyrażona zgoda użytkownika na wykorzystanie jego zasobów – słyszymy od przedstawicieli ministerstwa.
Ukryty potencjał
Wojciech Laskowski z NASK wyobraża sobie jeszcze inny sposób wykorzystania opisywanego skryptu. Mianowicie kopanie kryptowaluty w celach charytatywnych. – Dana fundacja kopałaby kryptowalutę, dzieliła się skryptem z „cyberwolontariuszami”, a uzyskane w ten sposób zyski byłyby przeznaczane na cele charytatywne. Internauci wyrażaliby zgodę na instalację skryptu i wspólne przetwarzanie kryptowaluty. W tym przypadku użytkownicy dzieliliby się świadomie mocą swojego procesora – opowiada Laskowski.
WAŻNE
W Polsce prawie połowa internautów wykorzystuje wtyczki typu AdBlock, ograniczając tym samym przychody wydawcy.
OPINIA EKSPERTA
Użytkownik ma prawo sprzeciwić się bezprawiu
/>
Wykorzystanie komputerów internautów odwiedzających daną stronę do kopania kryptowalut uznałbym za bezprawne, chyba że jest ono poprzedzone zgodą internauty. W innym przypadku może on skorzystać np. z roszczenia negatoryjnego lub szukać ochrony poprzez instytucję ochrony dóbr osobistych.
Roszczenie negatoryjne może być wykorzystane przez właściciela, gdy prawo własności rzeczy jest naruszone w inny sposób niż pozbawienie go faktycznego władztwa nad rzeczą. W ramach prawa własności komputera lub innego urządzenia, które wykorzystujemy do przeglądania internetu, mieści się m.in. prawo do wyłącznego używania tego sprzętu. Dzięki wykorzystaniu opisanych skryptów urządzenie internauty jest wykorzystywane przez autora skryptu zgodnie z jego wolą, a bez wiedzy i zgody internauty. Na podstawie roszczenia negatoryjnego można żądać zaniechania takich naruszeń i przywrócenia stanu zgodnego z prawem. Roszczenie można byłoby skierować przeciwko właścicielowi strony internetowej zawierającej taki skrypt, a w pewnych okolicznościach również przeciwko autorowi skryptu, jeżeli urządzenie internauty będzie brało udział w kopaniu kryptowaluty na jego rzecz.
Koszty zawyżonych rachunków za prąd czy cena naprawy sprzętu będą stanowiły szkodę i będzie można dochodzić odszkodowania od właściciela strony zamieszczającej taki skrypt lub od jego autora.
Innym rozwiązaniem jest oparcie działań na ochronie dóbr osobistych. Jako dobro osobiste traktowany jest m.in. mir domowy. W nauce prawa cywilnego pojawiło się stanowisko, że do jego naruszenia dochodzi m.in. poprzez przesyłanie spamu. Dlatego uznałbym za możliwe odwołanie się do ochrony miru domowego również w sytuacji, gdy w wyniku zastosowania skryptu na stronie internetowej inna osoba zaczyna bez naszej wiedzy i zgody wykorzystywać nasz komputer lub inne urządzenie.