Gdyby potwierdziły się medialne doniesienia o ingerowaniu przez producenta pociągów w oprogramowanie po to, by utrudnić ich serwis, firmie groziłaby eliminacja z rynku zamówień publicznych w całej UE.
We wtorek dwa serwisy internetowe – Zaufana Trzecia Strona oraz Onet – opublikowały niezależnie artykuły o tym, że w oprogramowaniu produkowanych przez Newag pociągów Impuls wykryto kod, który unieruchamiał je, gdy były serwisowane w zewnętrznej firmie. Chodzi o przedsiębiorstwo Serwis Pojazdów Szynowych (SPS), które wygrało przetarg na usługę serwisową impulsów. W przetargu na nią startował też Newag, ale przegrał ze względu na wyższą cenę. Gdy jednak pociągi zaczęły trafiać do SPS, po przeprowadzonych przeglądach nie udawało się ich uruchomić. Nikt nie mógł zidentyfikować przyczyn problemów, dlatego w końcu poproszono o pomoc zespół Dragon Sector, który zajmuje się cyberbezpieczeństwem. W tym przypadku oznaczało to zhakowanie oprogramowania impulsów i wykrycie przyczyny usterek. Okazało się bowiem, że wspomniany zespół wykrył w kodzie polecenia unieruchamiające pociągi w określonych sytuacjach. Nie tylko przy postoju przez określony czas (co jest wiązane z postojem na czas przeglądu), lecz także przy postoju w określonych lokalizacjach (w tym w hali SPS). Rozmówcy Onetu stwierdzają wprost, że mogła to być próba wymuszenia na zamawiających, by serwisowali pociągi bezpośrednio u producenta. Janusz Cieszyński, były minister cyfryzacji, potwierdził, że służby znają sprawę.
„Jako były pełnomocnik rządu ds. cyberbezpieczeństwa mogę zapewnić, że odpowiednie instytucje niezwłocznie podjęły działania w tej sprawie już jakiś czas temu” – napisał na platformie X.
Newag odrzuca opisane zarzuty, zapewniając, że nie ingerował w oprogramowanie. Firma twierdzi, że to pomówienie ze strony konkurencji. Głos zabrał też kontrolujący ją Zbigniew Jakubas, który zarzucił Onetowi nierzetelność i manipulowanie kursem akcji Newagu.
Publikacje w środowy poranek rzeczywiście spowodowały tąpnięcie notowań akcji tej spółki. Podczas dnia notowania stopniowo odbijały, niemniej jednak nie osiągnęły wcześniejszego poziomu.
Różne przesłanki wykluczenia
To może być jednak dopiero początek problemów Newagu. Gdyby bowiem medialne informacje się potwierdziły, to firmie groziłoby wykluczenie z rynku zamówień publicznych w całej UE. Potwierdzają to zapytani przez nas eksperci, zaznaczając, że analizują wyłącznie aspekt prawny i nie odnoszą się do tej konkretnej sprawy. W grę wchodziłoby kilka niezależnych przesłanek wykluczenia. Doktor hab. Włodzimierz Dzierżanowski, wykładowca w Uczelni Łazarskiego, radca prawny z Grupy Doradczej Sienna i były wiceprezes Urzędu Zamówień Publicznych, wskazuje na art. 109 ust. 1 pkt 5,7 i 10 ustawy – Prawo zamówień publicznych (t.j. Dz.U. z 2023 r. poz. 1605 ze zm.; patrz: grafika).
/>
– W zasadzie każdy z tych trzech przepisów mógłby stanowić odrębną przesłankę wykluczenia. Gdyby stawiane w przestrzeni medialnej zarzuty się potwierdziły, to bez wątpienia mielibyśmy do czynienia z poważnym naruszeniem obowiązków zawodowych i podważeniem uczciwości wykonawcy, o którym mowa w pkt 5 – analizuje ekspert.
– Możliwa jest również klasyfikacja z pkt 7, który mówi o nienależytym wykonaniu umowy. W tym przypadku byłoby to dostarczenie składów z wadą uniemożliwiającą ich serwisowanie u zewnętrznych wykonawców. Zwłaszcza gdyby zamawiający zdecydował się na roszczenie odszkodowawcze z tytułu nienależytego wykonania umowy – dodaje dr hab. Włodzimierz Dzierżanowski.
Jego zdaniem możliwe jest również wykluczenie na podstawie art. 109 ust. 1 pkt 10 ustawy p.z.p. Ten przepis dotyczy sytuacji, gdy wykonawca przedstawił informacje wprowadzające w błąd zamawiającego.
Możliwe, choć trudne samooczyszczenie
Doktor Wojciech Hartung, adwokat w kancelarii Domański Zakrzewski Palinka, również wskazuje na możliwość sięgnięcia po wskazane wcześniej przesłanki. Dodaje do nich jeszcze jedną – z art. 109 ust. 1 pkt 9 p.z.p. (patrz: grafika).
– Gdyby rzeczywiście potwierdziło się, że jakiś wykonawca celowo ingeruje w oprogramowanie tak, aby uniemożliwić świadczenie usług serwisowych przez innych przedsiębiorców, to oznaczałoby, że próbuje wpływać na czynności zamawiającego, żeby ten w przyszłości korzystał wyłącznie z serwisu producenta – zauważa adwokat.
Każda z tych przesłanek może być brana pod uwagę oddzielnie. W razie potwierdzenia się zarzutów będą je mogli stosować zamawiający z całej UE, co oznaczałoby zamknięcie europejskiego rynku dla polskiego producenta. W zależności od przesłanki obowiązywałby trzyletni (art. 109 ust. 1 pkt 5, 7, 9 p.z.p.) lub roczny (art. 109. ust. 1 pkt 10 p.z.p.) okres wykluczenia liczony od chwili, gdy można byłoby powziąć wiarygodną informację na temat podstaw wykluczenia. Co mogłoby ją stanowić? Przykładowo decyzja organu państwa czy też wyrok sądu (np. w sprawie o odszkodowanie).
Teoretycznie nawet po uznaniu, że firma podlega wykluczeniu na podstawie wskazanych przesłanek, może ona jeszcze próbować ratować swą pozycję przez samooczyszczenie (z ang. self-cleaning). Musi wówczas jednak wykazać, że podjęła wystarczające środki zaradcze, by dyskwalifikująca ją sytuacja nie powtórzyła się w przyszłości. Przede wszystkim oznaczałoby to konieczność przyznania się do zarzucanych jej czynów.
Nieuczciwa konkurencja
Potwierdzenie się informacji prasowych mogłoby też wiązać się z wieloma innymi skutkami prawnymi.
– Urząd Ochrony Konkurencji i Konsumentów mógłby zbadać sprawę pod kątem potencjalnego nadużycia pozycji dominującej. W dużym uproszczeniu możemy o tym mówić, gdy udział przedsiębiorcy w rynku właściwym przekracza 40 proc. i przedsiębiorca chce to wykorzystać, by tamować konkurencję na innych rynkach – mówi Krzysztof Witek, adwokat z kancelarii Traple Konarski Podrecki i Wspólnicy.
Jak zaznacza, odpowiedzialność przedsiębiorcy za nadużycie pozycji dominującej jest jednak uzależniona od posiadania przez niego takiej pozycji. Jakub Słupski, adwokat z kancelarii Patpol Legal, dodaje, że spółka mogłaby podlegać takiej odpowiedzialności, gdyby się np. potwierdziło, że przeciwdziała ona ukształtowaniu się warunków niezbędnych do powstania bądź rozwoju konkurencji lub ograniczała postęp techniczny ze szkodą dla kontrahentów lub konsumentów. Zaznacza, że obecnie są to rozważania teoretyczne, sprawa jest bowiem znana jedynie z publikacji prasowych i wykluczających się twierdzeń stron.
Krzysztof Witek zastanawia się także nad aspektem prawnokarnym.
– Gdyby się potwierdziło, że dostawca zataił brak możliwości naprawy produktu w wybranym serwisie, to oznaczałoby, że świadomie dostarczył produkt niepełnowartościowy (wprowadzając do niego narzędzia lub środki, które obniżyły jego wartość) i takie zachowanie może wypełniać znamiona oszustwa – mówi.
Jak wyjaśnia, w zależności od okoliczności konkretnej sprawy roszczenia można wywodzić z samej umowy lub z przepisów kodeksu cywilnego.
Rozmówcy DGP wskazują też, że sprawę można rozważyć pod kątem ustawy o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2022 r. poz. 1233). Prawo do wysunięcia ewentualnych roszczeń miałby konkurencyjny serwis.
– Chociażby na podstawie klauzuli generalnej z art. 3 tej ustawy, dotyczącej sprzeczności z dobrymi obyczajami, mógłby się domagać zaprzestania stosowania przez producenta ograniczeń i usunięcia ich skutków. Nie wykluczam też ewentualnych roszczeń na podstawie przepisu dotyczącego utrudniania dostępu do rynku. Teoretycznie może na tych podstawach wysuwać także roszczenia odszkodowawcze, ale musiałby udowodnić wystąpienie szkody – zaznacza mec. Witek. Taką szkodą w opisywanej sprawie byłyby choćby kary umowne naliczane SPS w związku z opóźnieniami w serwisie.
– To, czy dane działania mogłyby stanowić czyn nieuczciwej konkurencji, zależy od wielu czynników, m.in. od treści zawieranych umów oraz deklaracji, jakie firma składała swoim klientom – wskazuje Jakub Słupski.
Odpowiedzialność karna
Adwokat Maciej Jankowski, partner w Kancelarii Prawnej Media, wskazuje, że celowe wywoływanie usterek w sprzedawanym towarze wypełnia znamiona oszustwa uregulowanego w art. 286 par. 1 kodeksu karnego.
– Sprzedawca działa w celu osiągnięcia korzyści majątkowej, jaką jest zmuszenie nabywcy do korzystania z jego usług serwisowych, droższych niż rynkowe. Do tego nabywca jest wprowadzany w błąd, gdyż usterki są wywoływane działaniem oprogramowania, o którym nie jest informowany – uzasadnia.
– Wprowadzanie zmian w oprogramowaniu wyczerpuje natomiast dodatkowo znamiona tzw. oszustwa komputerowego z art. 287 par. 1 k.k. lub art. 268 par. 1 k.k. – wylicza dalej Maciej Jankowski. Zastrzega, że zastosowanie tych przepisów w omawianej sprawie jest wątpliwe, gdyż pociągi były sprzedawane od razu z oprogramowaniem wykonującym określone instrukcje. – Działaniem wypełniającym znamiona oszustwa komputerowego byłaby sytuacja, w której oprogramowaniu wprowadzono by tzw. backdoor, za pomocą którego Newag ręcznie unieruchamiałby pociągi – wyjaśnia prawnik.
Kwestie cyberbezpieczeństwa
Omawianą sprawę mogłaby też objąć ustawa o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.).
– Jej przepisy nie służą jednak wprost usprawnieniu ścigania cyberprzestępców, lecz koncentrują się na zapobieganiu incydentom cyberbezpieczeństwa oraz ich zwalczaniu przez podmioty nimi dotknięte – zaznacza Kinga Pawłowska-Nojszewska, radca prawny w Kancelarii Prawnej Media.
Jak stwierdza dr Łukasz Olejnik, niezależny badacz i konsultant, autor książki „Philosophy of Cybersecurity”, cyberbezpieczeństwo obejmuje kwestie poufności, integralności i dostępności systemów.
– Jeśli systemy zostały sparaliżowane celowo, z technicznego punktu widzenia naruszono zasadę dostępności – ocenia.
– Wtedy uzasadnione byłoby porównanie do bomb logicznych, które uruchamiają się, gdy są spełnione pewne kryteria, np. nadchodzi określony dzień i godzina. Przypomina to niesławny przypadek samochodów Volkswagen – porównuje. W 2015 r. wyszło na jaw, że oprogramowanie tych pojazdów podczas pomiarów emisji NOx z układu wydechowego włączało specjalny tryb pracy silnika, aby spełnić normy. Międzynarodowy skandal (tzw. dieselgate) obniżył wartość Grupy VW i doprowadził do dymisji jej prezesa.
Spytaliśmy Ministerstwo Infrastruktury – jako organ właściwy ds. cyberbezpieczeństwa dla sektora transportu – jakie działania podejmuje w tej sprawie, ale nie otrzymaliśmy odpowiedzi. ©℗