W Internecie bez problemu znaleźć można oprogramowanie służące do prowadzenia skutecznych ataków przeciwko serwerom i poszczególnym użytkownikom Internetu. W listopadzie 2001 roku Rada Europy w konwencji o cyberprzestępczości zawarła przepis, który zaleca państwom członkowskim (w tym Polsce) wprowadzenie zakazu dystrybucji "narzędzi dla cyberprzestępców". W polskim kodeksie karnym pojawił się zatem paragraf 1 artykułu 269b o następującym brzmieniu:

Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. Po skazaniu sprawcy za owo przestępstwo sąd orzeka przepadek określonych w nim przedmiotów. Gdy przedmioty nie stanowiły własności sprawcy, sąd może orzec ich przepadek.

Zapis ten pozwala ścigać autorów wirusów, koni trojańskich a także osoby je rozsyłające (w tym także phisherów) lub po prostu udostępniające na stronach WWW. Jednak polska wersja dość poważnie różni się od przepisu zaproponowanego przez europejską konwencję o cyberprzestępczości. W tej ostatniej prawo ściga tylko osoby udostępniające niebezpieczne oprogramowanie w określonym celu popełnienia przestępstwa. Natomiast polska wersja przepisu rozciąga widmo karalności na każdy program "przystosowany" do popełnienia przestępstwa a więc także narzędzia do testowania bezpieczeństwa powszechnie stosowane przez administratorów sieci.

Co mają powiedzieć w tej sytuacji użytkownicy programu Nessus czy dystrybutorzy skanera ISS Internet Scanner? Mogą liczyć tylko na uznaniową łaskawość organów ściagnia, ponieważ z punktu widzenia udostępniają innym osobom narzędzie służące do włamań. Strzec się powinni również wydawcy czasopism dla specjalistów od bezpieczeństwa takich jak "Haking", ponieważ każdy CD dołączony do czasopisma stanowi potencjalne naruszenie nowego "bata na hakerów". Czy jednak w długich dyskusjach poprzedzajacych publikację konwencji o cyberprzestępczości przez Radę Europy nie pomyślano o tych, którzy stosują obusieczne narzędzia w legalnych celach? Jak najbardziej pomyślano - konwencja zawiera specjalny zapis, który zabrania karania osób używających potencjalnie niebezpiecznych narzędzi do uprawnionego testowania lub ochrony systemów komputerowych.

Tyle tylko że w polskiej wersji zapisu tego zabrakło...

Analiza prawna art. 269b: Rzeczpospolita