Deepfake, phishing i cyberprzestępstwa – jakie są najczęstsze ryzyka prawne w 2025 roku?

Rok 2025 przynosi nowe wyzwania związane z cyberprzestępczością. Rozwój sztucznej inteligencji, popularyzacja technologii generatywnych i coraz bardziej wyrafinowane metody ataków sprawiają, że granica między fikcją a rzeczywistością staje się niebezpiecznie płynna. Deepfake, phishing oraz inne formy cyfrowych nadużyć to dziś nie tylko problem techniczny, ale przede wszystkim prawny i regulacyjny.

Deepfake – fikcja, która staje się faktem?

Na czym polega zagrożenie? Deepfake pozwala tworzyć realistyczne nagrania audio i wideo, które mogą służyć do szantażu, manipulacji opinią publiczną czy oszustw gospodarczych.

Takie zachowania mogą powodować naruszenie dóbr osobistych i wizerunku (art. 23 i 24 KC) i odpowiedzialność karną – np. za oszustwo (art. 286 KK) czy zniesławienie (art. 212 KK). Natomiast w kontekście wyborów pojawia się możliwość wykorzystania deepfake do dezinformacji, co podlega także regulacjom prawa wyborczego.

Pojawiają się nowe przepisy, w tym AI Act (UE), która nakłada obowiązki oznaczania treści syntetycznych i przewiduje sankcje za wprowadzanie w błąd oraz DSA (Digital Services Act), która zobowiązuje platformy do szybkiego reagowania na nielegalne treści.

Phishing – klasyka cyberprzestępczości w nowej odsłonie

Problem phishingu ewoluuwał i dziś nie są to już tylko nieudolne e-maile „od księcia z Nigerii”. Ataki wykorzystują język generowany przez AI (perfekcyjnie dopasowany styl i słownictwo), spoofing numerów telefonów i domen i personalizację pod konkretną firmę czy osobę.

W związku z phishingiem pojawia się ryzyko kradzieży danych osobowych (RODO i obowiązek zgłoszenia naruszenia w ciągu 72h), naruszenia tajemnicy przedsiębiorstwa (ustawa o zwalczaniu nieuczciwej konkurencji) oraz odpowiedzialność pracodawcy za brak należytych procedur bezpieczeństwa.

W 2025 roku mamy do czynienia z innymi formami cyberprzestępstw wśród których wymienić można:

• Ransomware 2.0 – ataki nie tylko szyfrujące dane, ale także publikujące je w darknecie (tzw. double extortion).

• Business Email Compromise (BEC) – podszywanie się pod kadrę zarządzającą w celu wyłudzenia przelewu.

• Ataki na infrastrukturę krytyczną – szczególnie w sektorze energetyki, transportu i opieki zdrowotnej.

Odpowiedzialność prawna i obowiązki firm

1. Prawo karne – sprawcy odpowiadają za oszustwo, kradzież tożsamości, włamanie do systemów informatycznych (art. 267–269b KK).

2. Prawo cywilne – ofiary mogą dochodzić odszkodowań za szkody majątkowe i naruszenia dóbr osobistych.

3. Prawo administracyjne i regulacyjne:

-    RODO (kary do 20 mln euro lub 4% rocznego obrotu).

-  NIS2 (od 2024/2025 – nowe obowiązki w zakresie cyberbezpieczeństwa dla szerokiego kręgu firm).

Jak chronić siebie i biznes? (praktyczne wskazówki)

• Procedury compliance – wdrożenie polityk reagowania na incydenty i szkoleń dla pracowników.

• Weryfikacja treści multimedialnych – korzystanie z narzędzi do detekcji deepfake.

• Zasada „zero trust” w systemach IT – ograniczone zaufanie, segmentacja sieci, autoryzacja wieloskładnikowa.

• Stały monitoring regulacyjny – śledzenie nowych obowiązków wynikających z prawa UE (AI Act, NIS2).

Case study 1:

W 2023 r. głośno było o ataku, w którym oszuści wykorzystali deepfake głosu prezesa firmy i nakłonili pracownika działu finansowego do przelania 35 mln zł na fałszywe konto. Ofiara nie miała wątpliwości – „rozmawiała z szefem”.

W związku z tą sytuacją przedsiębiorstwo padło ofiarą oszustwa (art. 286 KK). Pojawia się możliwość roszczeń odszkodowawczych wobec firmy, jeśli brakowało należytej procedury weryfikacyjnej. Wraz z pojawieniem AI Act pojawia się obowiązek oznaczania treści syntetycznych.

Case study 2:

Bankowy SMS, który nie pochodził z banku. W 2024 r. tysiące Polaków padło ofiarą fali SMS-ów podszywających się pod banki. Linki prowadziły do fałszywych stron logowania. Straty liczono w milionach, a sprawa zakończyła się pozwami zbiorowymi przeciwko instytucjom finansowym – klienci zarzucali im brak skutecznych systemów ostrzegania.

Na skutek takich działań dochodzi do kradzież danych osobowych (RODO → obowiązek zgłoszenia w 72h), naruszenie tajemnicy bankowej i potencjalnie może pojawić się odpowiedzialność instytucji, jeśli nie wdrożyła procedur minimalizujących ryzyko.

Case study 3:

Ransomware 2.0

W 2025 r. duża spółka energetyczna w Europie stała się celem ataku ransomware. Przestępcy nie tylko zaszyfrowali dane, ale także wykradli dokumenty i opublikowali je w darknecie. Firma, pod presją regulatorów i opinii publicznej, zgłosiła naruszenie na podstawie RODO i NIS2 – groziły jej kary sięgające 10 mln euro.

W związku z takim atakiem pojawić się może oprócz odpowiedzialności karnej sprawców (włamanie, szantaż), odpowiedzialność administracyjna firmy (RODO, NIS2) oraz roszczenia kontrahentów, którzy ponieśli szkody w wyniku ujawnienia danych.

Cyberprzestępczość w 2025 roku to nie tylko problem informatyków, ale także prawników, menedżerów i regulatorów. Firmy, które dziś nie wdrożą odpowiednich procedur i nie zainwestują w edukację prawną i technologiczną, jutro mogą znaleźć się w centrum kryzysu reputacyjnego i finansowego.

Deepfake i phishing nie są już rzadkim zagrożeniem – to codzienność.

Na koniec, warto sobie zadać pytanie będąc osobą zarządzającą przedsiębiorstwem:

1. Czy mamy procedury weryfikacji poleceń finansowych?

2. Czy szkolimy pracowników z rozpoznawania phishingu i deepfake?

3. Czy posiadamy system wykrywania incydentów i plan reagowania (incident response plan)?

4. Czy jesteśmy zgodni z nowymi regulacjami (RODO, NIS2, AI Act)?

5. Czy mamy polisę cyberubezpieczeniową i testujemy odporność systemów?

Stan prawny na dzień: 19 września 2025 roku

Zdjęcie: freepik.com