Dokument cyfrowy jako przedmiot przestępstwa – nowe realia dochodzeń karnych
Czy w Twoich sprawach „dokument” to wciąż głównie kartka papieru, czy coraz częściej plik PDF, skan albo zdjęcie z telefonu? Od odpowiedzi na to pytanie zależy, jak powinieneś budować strategię dowodową i jakie narzędzia wciągnąć do swojej praktyki.
Definicja dokumentu w prawie karnym a plik w chmurze
Polskie prawo karne definiuje dokument funkcjonalnie – jako nośnik informacji, który potwierdza określone prawo, stosunek prawny lub okoliczność o znaczeniu prawnym. Nie ma tu ograniczenia do papieru. Plik PDF na dysku, umowa w systemie elektronicznego obiegu dokumentów, e-mail z załącznikiem czy formularz podpisany zdalnie – wszystko to może być dokumentem w rozumieniu przepisów o fałszerstwie.
W praktyce oznacza to, że:
podrobienie pliku PDF z fakturą ma taki sam ciężar gatunkowy jak „dorysowanie” pozycji na papierowej fakturze,
zmiana treści skanu zaświadczenia lekarskiego (np. dopisanie daty lub rozpoznania) jest fałszem dokumentu, nawet jeśli obraz zostaje potem wydrukowany i użyty „w papierze”,
przedstawienie sądowi lub organowi administracji wydruku z systemu, który w rzeczywistości nigdy tak nie wyglądał, może być kwalifikowane jak posłużenie się przerobionym dokumentem.
Dlatego kluczowe staje się nie tylko, co widać „gołym okiem”, ale również to, co ukryte w strukturze pliku: metadane, ślady modyfikacji, informacje o podpisie elektronicznym czy oprogramowaniu, którym go tworzono.
Najczęstsze typy dokumentów cyfrowych w sprawach karnych
Jakie formaty pojawiają się najczęściej? Jeśli masz już doświadczenie, spróbuj sam odpowiedzieć: najwięcej widzisz PDF-ów, skanów, czy może zdjęć dokumentów robionych telefonem? Typowy katalog dowodów wygląda obecnie tak:
PDF – faktury, umowy, zaświadczenia, pisma urzędowe, decyzje administracyjne, oferty przetargowe, potwierdzenia przelewów; często z podpisem kwalifikowanym lub inną formą podpisu elektronicznego,
pliki pakietu Office / LibreOffice (DOCX, XLSX, ODT, ODS) – projekty umów, zestawienia finansowe, arkusze z rozliczeniami; nierzadko użyte jako „matka” do wygenerowania sfałszowanego PDF,
skany i kopie obrazowe (PDF jako „obraz”, TIFF, JPG) – skany dowodów osobistych, praw jazdy, zaświadczeń lekarskich, świadectw pracy, dokumentacji medycznej,
zdjęcia z telefonów (JPG, HEIC, czasem PNG) – „szybkie” fotografie dowodów osobistych, kart płatniczych, umów; często wysyłane komunikatorami lub mailem,
Każdy z tych typów plików niesie inne rodzaje metadanych i wymaga nieco innej taktyki badawczej. Już na etapie oględzin warto zadać sobie pytanie: czy to dokument oryginalny z systemu, czy jedynie obraz (skan/zdjęcie) oryginału?
Przykłady dokumentów cyfrowych używanych w oszustwach
Wyobraź sobie takie sytuacje:
sfałszowane zaświadczenie medyczne o braku przeciwwskazań do pracy wysłane w PDF do działu HR; metadane pliku wskazują jednak, że dokument stworzono w programie graficznym, a nie w systemie szpitalnym,
faktury PDF wysyłane kontrahentom, których numer rachunku odbiega o kilka cyfr od dotychczasowego; analiza metadanych i logów wykazuje, że dokumenty zostały wygenerowane z innego konta użytkownika niż zazwyczaj,
umowy „podpisane” elektronicznie, w których podpis widoczny jako obrazek nie ma w rzeczywistości żadnego kryptograficznego powiązania z treścią pliku (to tylko wklejony skan odręcznego podpisu),
skany dowodów osobistych wysyłane do firm pożyczkowych, gdzie zdjęcie lub dane osobowe zostały cyfrowo podmienione.
W takich sprawach siłą staje się umiejętność przejścia od „co widać” do „jak i kiedy to powstało”. Tę drogę wyznaczają procedury zabezpieczenia, analiza metadanych oraz weryfikacja podpisów elektronicznych.
Źródło: Pexels | Autor: cottonbro studio
Podstawy śledcze: zabezpieczenie i łańcuch dowodowy dokumentów cyfrowych
Co już stosujesz przy zabezpieczaniu plików – zwykły pendrive, kopiowanie „przeciągnij i upuść”, wysyłkę mailem? Jeśli tak, to prędzej czy później pojawi się problem z udowodnieniem niezmienności materiału.
Znaczenie pierwszych minut – dlaczego oryginał jest święty
W momencie, gdy organ ścigania lub pełnomocnik strony wchodzi w posiadanie dokumentu cyfrowego, zaczyna się walka o zachowanie jego wartości dowodowej. Każde otwarcie, skopiowanie lub zapisanie pliku może zmienić:
datę ostatniego dostępu lub modyfikacji,
atrybuty systemowe,
część metadanych zapisywanych przez niektóre aplikacje,
czasem także strukturę samego pliku (np. automatyczne „naprawy” dokumentów przy otwieraniu).
Dlatego pierwszą zasadą jest nieingerencja w oryginał. W praktyce oznacza to, że:
nośnika, na którym znajduje się oryginalny plik (dysk, pendrive, serwer), nie używa się do pracy – jedynie do wykonania kopii bitowej,
bezpośrednio po zabezpieczeniu oblicza się sumę kontrolną (hash) pliku lub nośnika (najlepiej kryptograficznym algorytmem z rodziny SHA),
wszelkie dalsze czynności wykonuje się wyłącznie na kopii dowodowej, której zgodność z oryginałem można każdorazowo zweryfikować przez hash.
Kluczowe pytanie do Ciebie: czy masz jasno opisany standard postępowania z plikami, czy każda sprawa wygląda inaczej i dużo zależy od improwizacji?
Kopia bitowa, hash i nośnik roboczy – praktyczny schemat
Minimalny bezpieczny schemat w dochodzeniach karnych obejmuje:
Zabezpieczenie nośnika źródłowego (komputer, telefon, pendrive, serwer) – najlepiej w trybie tylko do odczytu (write blocker sprzętowy lub programowy),
Wykonanie kopii bitowej (obrazu) nośnika lub kopii pliku z potwierdzeniem hash:
dla całego nośnika – tworzenie obrazu typu E01 lub RAW,
dla pojedynczego pliku – kopia 1:1 i obliczenie hash pliku,
Obliczenie i zapisanie sum kontrolnych (np. SHA-256) w notatce z czynności oraz osobnym pliku tekstowym,
Stworzenie kopii roboczej z kopii dowodowej (na osobnym nośniku lub w bezpiecznym repozytorium),
Analiza wyłącznie na kopii roboczej – oryginał i kopia dowodowa pozostają nienaruszone.
Prosty test: czy potrafiłbyś za pół roku, na sali rozpraw, opisać krok po kroku, jak powstała analizowana kopia dokumentu i czym się różni od oryginału? Jeśli nie – łańcuch dowodowy wymaga dopracowania.
Dokumentacja czynności – prosty szablon notatki
Dobrze prowadzony łańcuch dowodowy danych cyfrowych chroni nie tylko materiał, ale też Ciebie jako prowadzącego postępowanie. W notatce z zabezpieczenia dokumentu cyfrowego warto ująć co najmniej:
kto wykonywał czynność (imię, nazwisko, funkcja),
kiedy i gdzie (data, godzina rozpoczęcia i zakończenia, miejsce, opis sprzętu),
jaki materiał zabezpieczono (rodzaj nośnika, oznaczenie, opis widocznej zawartości),
w jaki sposób wykonano kopię (nazwa i wersja programu, ustawienia, tryb tylko do odczytu lub inny),
jakie sumy kontrolne obliczono (algorytm, wartość hash),
gdzie przechowywane są: oryginał, kopia dowodowa, kopia robocza.
Tak przygotowana notatka bywa później równie ważna jak sam dokument, szczególnie gdy druga strona kwestionuje autentyczność lub integralność plików.
Jak unikać „zanieczyszczenia” metadanych
Wystarczy jedno nieprzemyślane otwarcie pliku, by nadpisać część metadanych systemowych. Aby tego uniknąć:
nie otwieraj oryginalnego pliku w edytorach biurowych przed wykonaniem kopii,
do wglądu „na szybko” używaj przeglądarek lub narzędzi, które nie zapisują zmian (np. otwarcie w trybie „tylko do odczytu”, viewer PDF bez funkcji zapisu),
zachowuj spójność środowiska – jeśli analizę zaczynasz na określonym systemie i oprogramowaniu, nie przenoś plików do innego środowiska bez powodu,
zadbaj, by przy kopiowaniu system nie zmieniał automatycznie atrybutów (np. daty utworzenia na nowym nośniku można zachować kopiując narzędziami śledczymi).
Jeśli dotąd Ci się zdarzało po prostu „zapisać na pendrive i otworzyć w Wordzie”, dobrym krokiem będzie stworzenie wewnętrznej mini-instrukcji zabezpieczania, choćby na jedną stronę A4.
Źródło: Pexels | Autor: cottonbro studio
Metadane – ukryty dziennik życia dokumentu cyfrowego
Czy analizujesz metadane samodzielnie, czy zawsze czekasz na biegłego informatyka śledczego? Umiejętność odczytania podstawowych informacji z metadanych często wystarcza, by wcześnie wyłapać sprzeczności i zmienić kierunek dochodzenia.
Czym są metadane w praktyce dochodzeń
Metadane to informacje o pliku, które nie zawsze są widoczne w samej treści dokumentu, ale są zapisane w jego strukturze lub w systemie plików. Przykładowo:
autor i nazwa organizacji przypisana w pakiecie biurowym,
data utworzenia, data ostatniej modyfikacji, czas wydruku,
program, wersja i platforma użyta do stworzenia dokumentu (np. „Microsoft Word 16.0”, „LibreOffice Writer”, „Adobe Acrobat Pro”),
Rodzaje metadanych: systemowe, aplikacyjne i osadzone w pliku
Na początek zadaj sobie proste pytanie: z jakiego „poziomu” patrzysz na dokument – z punktu widzenia systemu operacyjnego, programu, w którym go utworzono, czy analizujesz surową strukturę pliku?
Praktycznie można wyróżnić trzy główne kategorie metadanych:
metadane systemu plików – przechowywane przez system operacyjny (NTFS, EXT, APFS itp.); obejmują:
daty: utworzenia, modyfikacji, ostatniego dostępu,
uprawnienia i właściciela (konto użytkownika, grupa),
rozmiar, atrybuty (ukryty, tylko do odczytu itp.).
metadane aplikacyjne (logiczne) – zapisane przez konkretny program:
dane autora, tytuł, temat, słowa kluczowe,
historia edycji (liczba zapisów, łączny czas pracy),
nazwa i wersja oprogramowania, identyfikatory dokumentu.
metadane osadzone w strukturze pliku – „niżej poziomowo”, często w postaci tzw. tagów:
EXIF, IPTC, XMP w zdjęciach i skanach,
struktura obiektów w PDF (Producer, Creator, Info, katalog, słownik XMP),
nagłówki formatów Office (OLE, ZIP + XML w DOCX, XLSX, PPTX).
Jeśli przy oględzinach zatrzymujesz się tylko na dacie utworzenia w Windows Explorerze, widzisz jedynie wierzchołek góry lodowej.
Metadane „twarde” i „miękkie” – co ma większą wartość dowodową
Przy planowaniu strategii dowodowej zapytaj: które informacje są stosunkowo odporne na manipulacje, a które można zmienić jednym kliknięciem?
Użyteczny podział to:
metadane „twarde” – trudniejsze do zmiany bez śladu, zwykle wymagana jest:
specjalistyczna wiedza lub narzędzia (edytory hex, skrypty),
ingerencja w konfigurację systemu lub zegar sprzętowy,
świadome działanie na poziomie struktury pliku.
metadane „miękkie” – łatwe do edycji narzędziami biurowymi lub darmowymi programami.
Przykładowo:
pole „Author” w DOCX to zwykle miękkie metadane – można je szybko nadpisać,
rozbieżności między datami w EXIF (czas wykonania zdjęcia), a logami serwera, który je przyjął, są już trudniejsze do wiarygodnego „wyprostowania”,
ciągłość numeracji wersji w systemie kancelaryjnym bywa twardsza niż daty w samym pliku PDF.
W praktyce nie chodzi o sztywne etykiety, ale o pytanie: jak wiele działań musiałby podjąć sprawca, aby ten konkretny wpis metadanych zmanipulować?
Typowe wzorce metadanych w dokumentach biurowych
Weź pod lupę najczęstsze pliki z akt: DOCX, XLSX, PDF wygenerowane z pakietów biurowych. Co można z nich wyczytać w ciągu kilku minut?
Typowe pola, które mogą zdradzić niekonsekwencje:
Author / Last Modified By – czy zgadza się z osobą, która rzekomo stworzyła dokument?
Company / Organization – czy odpowiada podmiotowi z treści dokumentu? Czy nie wskazuje na zupełnie inną firmę?
Creation Date / Last Saved Time – czy mieszczą się w realnym oknie czasowym zdarzeń z akt?
Total Editing Time / Revision Number – czy dokument, który według świadka „powstał na kolanie w 5 minut”, nie ma np. wielu godzin edycji i kilkudziesięciu wersji?
Jeśli przy pierwszym kontakcie z plikiem zadasz sobie trzy pytania: kto, kiedy i na czym to tworzył – większość z nich znajdziesz właśnie w metadanych.
Specyfika metadanych w zdjęciach i skanach
Przy plikach graficznych dochodzi dodatkowa warstwa informacji. Zastanów się: czy to fotografia z aparatu, czy obraz wygenerowany lub przerobiony na komputerze?
Typowe grupy metadanych w obrazach:
EXIF – dane z aparatu/telefony:
model urządzenia, numer seryjny, wersja oprogramowania,
data i czas wykonania zdjęcia,
czas naświetlania, ISO, ogniskowa,
czasem GPS (współrzędne, wysokość, kierunek).
IPTC – dane opisowe, często dodawane przez redakcje i agencje prasowe:
autor, agencja, tytuł, opis, słowa kluczowe,
informacje o prawach autorskich.
XMP – nowocześniejszy, elastyczny standard:
historia edycji w programach graficznych,
tagi dotyczące obróbki (np. użycie Adobe Photoshop, Lightroom).
W sprawach o wyłudzanie pożyczek lub kredytów przydatne bywa choćby sprawdzenie, czy „skan dowodu osobistego” nie jest w rzeczywistości zdjęciem wykonanym smartfonem dwa dni przed złożeniem wniosku, w zupełnie innym mieście niż deklarowane miejsce zamieszkania.
Sprzeczności w metadanych jako punkt zaczepienia
Za każdym razem, gdy widzisz sprzeczność, zadaj pytanie: czy da się ją racjonalnie wytłumaczyć błędem technicznym, czy raczej świadomym działaniem?
Typowe przykłady niekonsekwencji:
data utworzenia dokumentu przypada na dzień przed rejestracją firmy, która widnieje w stopce,
faktura rzekomo wystawiona w systemie księgowym ma w metadanych jako „Creator” program graficzny,
zdjęcie „z miejsca zdarzenia” ma w EXIF GPS wskazujący zupełnie inną lokalizację,
umowa przesłana jako „wydruk z systemu” ma w polu „Author” prywatny adres e-mail pracownika, który twierdzi, że jej nigdy nie sporządzał.
Sama sprzeczność nie przesądza jeszcze o fałszerstwie, ale daje Ci jasny kierunek dalszych pytań: kogo przesłuchać, o jakie logi wystąpić, jakiego eksperta włączyć.
Narzędzia i techniki analizy metadanych krok po kroku
Jak dobrać narzędzie do rodzaju dokumentu i etapu sprawy
Zanim sięgniesz po „ciężką artylerię” w postaci rozbudowanych pakietów śledczych, określ, jaki masz cel na danym etapie. Potrzebujesz szybkiego rozeznania, czy pełnej, powtarzalnej analizy pod opinię biegłego?
Można przyjąć prosty podział narzędzi:
narzędzia wbudowane – właściwości pliku w systemie, przeglądarka PDF, podstawowe informacje w pakiecie Office,
narzędzia „lekkie” – darmowe lub tanie aplikacje do wypakowania i podglądu metadanych (ExifTool, Exiv2, mat2 itp.),
narzędzia śledcze – EnCase, FTK, X-Ways, Magnet AXIOM i inne pakiety, zwykle używane przez biegłych i wyspecjalizowane jednostki.
Na poziomie policjanta prowadzącego czy prokuratora często wystarczy drugi poziom. Ważniejsze od samej nazwy programu jest to, czy potrafisz opisać w notatce, jak i czego użyłeś.
Podstawowy przegląd metadanych „na miejscu”
Gdy masz dostęp tylko do standardowego komputera służbowego, a chcesz wstępnie rozpoznać materiał, możesz wykonać kilka prostych kroków:
Sprawdzenie właściwości w systemie plików
kliknij prawym przyciskiem na pliku → „Właściwości” → zakładki „Ogólne”, „Szczegóły”,
zapisz daty i podstawowe informacje w notatkach (bez zrzutów ekranu też się da).
Podgląd wewnętrznych metadanych w pakiecie Office / PDF
w Wordzie/Excelu: „Plik” → „Informacje” → „Właściwości”,
w Windows: zakładka „Szczegóły” przy pliku JPG/PNG,
sprawdź, czy widać pola typu „Model aparatu”, „Data wykonania zdjęcia”, „GPS”.
Na tym etapie nie musisz jeszcze niczego udowadniać. Twoim celem jest wychwycenie oczywistych sygnałów ostrzegawczych i zdecydowanie, czy angażować biegłego.
Praca z ExifTool i podobnymi narzędziami – schemat działania
Gdy możesz użyć dedykowanego programu, zaplanuj proste, powtarzalne działania. Załóżmy, że korzystasz z ExifTool (popularne, darmowe narzędzie w wielu jednostkach).
Przykładowy schemat:
Przygotuj środowisko
pracuj na kopii roboczej, nie na oryginale,
zanotuj wersję programu i systemu operacyjnego.
Wygeneruj pełen raport metadanych
uruchom ExifTool na pliku lub katalogu i zapisz wynik do pliku tekstowego,
nie filtruj na tym etapie – niech raport będzie kompletny.
