Påföljdsfördelning
Baserat på statistik för 104 mål (2024).
Källa: Brå, Lagföringsstatistik 2024
Om dataintrång
Han var inne i systemet i trettiosex minuter. Det räckte för att kopiera kundregistret, lösenordsfilen och en intern prislista. Han hade inte hackat sig in – han hade använt sin gamla kollegas inloggning, ett lösenord han kom ihåg sedan de jobbade ihop. Tre veckor senare knackade polisen på dörren. Åtalet löd: dataintrång.
Dataintrång regleras i 4 kap. 9 c § brottsbalken och kriminaliserar olovlig åtkomst till IT-system och information som lagras, bearbetas eller överförs i sådana system. Brottet skyddar individers och verksamheters rätt att kontrollera vem som har tillgång till deras digitala information – och är ett av de snabbast växande rättsområdena i takt med samhällets digitalisering.
Det krävs inte att syftet är ekonomisk vinning – det räcker att åtkomsten är olovlig. Typiska former inkluderar att logga in med stulet lösenord, att ta sig in i ett nätverk utan behörighet, att installera skadlig programvara, att bryta kryptering, och att utnyttja säkerhetsbrister. Behörighet kan vara uttrycklig (ett konto) eller implicit (arbetsgivarens godkännande av systemtillgång).
En central fråga i dataintrångsmål är om åtkomsten verkligen var olovlig. Den som är behörig användare av ett system begår inte dataintrång genom att använda systemet, även om denne läser information de normalt inte skulle läsa. Men att använda en annans inloggningsuppgifter – även med deras tidigare tysta medgivande – är dataintrång om behörigheten inte längre gäller. Rätten att använda ett system försvinner när anställningen upphör eller tillståndet återkallas.
Straffskala och grovt dataintrång
Straffskalan för dataintrång av normalgraden är böter till fängelse i högst två år. Om brottet är grovt – vilket bedöms utifrån om det orsakat allvarlig skada, skett systematiskt, eller riktat sig mot samhällskritisk infrastruktur – är straffskalan fängelse i lägst sex månader och högst sex år. Domstolarna beaktar även om intrånget föregåtts av planering och om det skett i organiserad form.
"Penetrationstestning – att testa ett systems säkerhet – är lagligt om det utförs med skriftligt tillstånd från systemägaren. Utan sådant tillstånd är det dataintrång, oavsett om syftet är att hitta och rapportera säkerhetsbrister. Etiska hackare måste alltid ha tydlig dokumentation av sina mandat."
Påföljder i praktiken
| Typ av dataintrång | Typisk påföljd | Straffskala |
|---|---|---|
| Enstaka olovlig inloggning | Böter | Böter–2 år |
| Systematisk åtkomst, känslig data | Villkorlig dom | Böter–2 år |
| Angrepp mot samhällskritisk infrastruktur | Fängelse | 6 mån–6 år |
| Organiserad cyberbrottslighet | Fängelse | 6 mån–6 år |
Skadestånd, bevisning och preskription
Skadestånd vid dataintrång kan inkludera ersättning för faktiska förluster (läckta affärshemligheter, kostnader för säkerhetsarbete), kränkningsersättning och i allvarligare fall ersättning för utebliven vinst. Vid brott mot en privatperson kan kränkningsersättningen uppgå till 10 000–30 000 kronor; vid brott mot ett företag kan skadeståndet bli mångdubbelt högre beroende på den ekonomiska skadan.
Bevisning i dataintrångsmål är teknisk och bygger på loggfiler, IP-adresser, metadata och i vissa fall forensisk analys av enheter. Det är viktigt att drabbade verksamheter bevarar loggarna och inte ändrar systemen innan polisanmälan – data kan skrivas över och förstöras om systemet används normalt efter intrånget. Dokumentation av vilken data som åtkoms, vid vilken tidpunkt och från vilken enhet är avgörande för åklagarens möjligheter att bevisa brottet.
Den som utsatts för dataintrång bör anlita ett IT-forensikföretag för att dokumentera intrångets omfattning och bevara spår. Polisanmälan bör kombineras med en anmälan till Integritetsskyddsmyndigheten (IMY) om personuppgifter har läckt – GDPR ålägger företag att göra detta inom 72 timmar. Preskriptionstiden är fem år för normalgraden och tio år för grovt brott.
GDPR och dataintrång hänger nära samman. Om en verksamhet drabbas av dataintrång som leder till att personuppgifter exponeras uppstår en anmälningsplikt till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Parallellt kan polisanmälan göras om gärningspersonen är känd eller spårbar. Dessa processer är oberoende av varandra – en GDPR-anmälan ersätter inte en polisanmälan och vice versa.
Socialt ingenjörskap – phishing, vishing och pretexting – är tekniker för att lura sig till inloggningsuppgifter utan teknisk hackning. Om en person lämnar ut sina uppgifter under falska förespeglingar och en annan person sedan loggar in, är det den som loggade in som begår dataintrång. Den som konstruerade bluffmeddelandet kan i stället dömas för bedrägeri eller förberedelse till brott.
Internationell dimension: dataintrång sker ofta över landsgränser, vilket skapar svårigheter i utredningsarbetet. Europol och Interpol koordinerar internationella utredningar, och Sverige kan begära rättslig hjälp från andra länder. Preskriptionstiden börjar löpa från den dag brottet begicks, men vid gränsöverskridande brott kan utredningen ta år – vilket gör tidig anmälan och bevarad bevisning än viktigare.
Insiderhot – dataintrång begångna av anställda eller tidigare anställda – är statistiskt sett ett av de vanligaste och mest kostsamma formerna av dataintrång. En anställd som kopierar kundregister inför en övergång till en konkurrent, eller som tar med sig affärshemligheter vid en uppsägning, kan dömas för dataintrång om de inte hade behörighet att föra ut informationen trots att de haft tillgång till den i tjänsten. Arbetsgivare bör ha tydliga IT-säkerhetspolicyer och begränsad åtkomst baserad på arbetsuppgifter för att minimera risken.
Rättspraxis kring IoT-enheter – uppkopplade kameror, smarta lås och andra enheter – är ett framväxande område. Att obehörigt ta sig in i en annans uppkopplade enhet och läsa av dess data eller styra den kan vara dataintrång. Domstolarna har ännu inte fastlagt en fullständig praxis kring dessa frågor, men grundprincipen om olovlig åtkomst gäller oavsett enhetens form.
Straffpåverkande faktorer
Straffskärpande faktorer
- ▲samhällskritisk infrastruktur
- ▲stor skada
- ▲systematiskt tillvägagångssätt
- ▲ekonomisk vinning
- ▲känsliga personuppgifter exponerade
Förmildrande faktorer
- ▼ung ålder (under 21)
- ▼ingen faktisk skada
- ▼frivillig angivelse och samarbete
- ▼etisk hackning utan skadligt syfte
Trend – lagföringsbeslut per år
Källa: Brå, Lagföringsstatistik 2024
Vanliga frågor om dataintrång
Är det dataintrång att logga in på sin f.d. partners konto med ett lösenord man känner till?
Ja. Att använda ett lösenord man fått tillgång till inom en relation, och sedan använda det utan den andres samtycke, är olovlig åtkomst och kan utgöra dataintrång. Att man en gång fått lösenordet lagligt förändrar inte bedömningen.
Vad är skillnaden mellan dataintrång och hackning?
Hackning är ett informellt begrepp för olika typer av intrång i IT-system. Dataintrång är det juridiska begreppet i brottsbalken. All hackning som sker utan tillstånd kan vara dataintrång, men hackning med tillstånd – som penetrationstestning – är fullt lagligt.
Kan man dömas för dataintrång om man bara tittade på informationen utan att kopiera eller radera något?
Ja. Det räcker att man olovligen berett sig tillgång till informationen. Att läsa, se eller öppna en fil utan behörighet kan vara dataintrång även om inget kopierades, förändrades eller raderades.
Vad är straffet för grovt dataintrång?
Straffskalan för grovt dataintrång är fängelse i lägst sex månader och högst sex år. Grov rubricering tillämpas vid systematiska angrepp, intrång i samhällskritisk infrastruktur eller fall där mycket känslig information exponerats och stor skada uppstått.
Relaterade brottstyper
Brottstyper som liknar dataintrång eller som ofta förekommer i samma ärenden:
⚠️ Observera: Informationen på denna sida är baserad på statistik och allmän kunskap om svensk rättspraxis. Den utgör inte juridisk rådgivning. Varje enskilt fall bedöms individuellt av domstolen. Kontakta en advokat för rådgivning om din specifika situation.