⚖️Straffbart

Straff för dataintrång

Lagrum

4 kap. BrB 9 c §

Straffskala

böterfängelse 2 år

Vanligast

villkorlig dom + böter

Frikännande

22%

Påföljdsfördelning

fängelse14%
villkorlig32%
skyddstillsyn8%
böter42%
ungdomsvård4%

Baserat på statistik för 312 mål (2024).

Källa: Brå, Lagföringsstatistik 2024

Om dataintrång

Det är mitt i natten i en tvåa i Lund. En 23-årig datavetenskapsstudent har tre skärmar framför sig. Kaffekopparna staplar sig. Han har hittat en öppen port i ett företags server – och i stället för att rapportera den klickar han sig in. Nyfiken. Bara för att kolla. Tio minuter senare har han laddat ner en kunddatabas med 40 000 personnummer.

Datintrång – vardagligt kallat hackning – regleras i 4 kap. 9 c § brottsbalken. Brottet innebär att olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behandling, eller att olovligen ändra, radera, blockera eller i register föra in en sådan uppgift. I klartext: tar du dig in i ett datorsystem utan tillstånd begår du dataintrång, oavsett om du stjäl information eller bara tittar.

⚖️ Visste du att...
Dataintrång kan begås utan att du ens tar dig förbi ett lösenord. Att logga in på någon annans konto med ett lösenord som personen delat med dig – men för ett annat syfte än det avsedda – kan räknas som dataintrång. Även att gissa sig till ett svagt lösenord räcker.

Straffskalan sträcker sig från böter till fängelse i högst två år vid normalgraden. Grovt dataintrång, som infördes 2014, har en straffskala på fängelse i lägst sex månader och högst sex år. Brottet bedöms som grovt om det rör ett stort antal uppgifter, om det skett systematiskt eller i stor skala, eller om det orsakat allvarlig skada. I praktiken döms de flesta för dataintrång av normalgraden till villkorlig dom eller böter.

Vad räknas som dataintrång

Lagen är teknikneutral. Det spelar ingen roll om intrånget sker via en webbläsare, ett skript, en mobiltelefon eller en USB-sticka. Det avgörande är att man bereder sig tillgång utan tillåtelse. Typiska fall inkluderar: att hacka sig in i företagsnätverk, att komma åt andras e-postkonton, att använda andras inloggningsuppgifter utan tillstånd, att plantera skadlig kod (malware) eller att använda brute force-attacker mot lösenord.

En viktig gräns: säkerhetstester med tillstånd – så kallad penetrationstestning – är inte dataintrång. Men tillståndet måste vara tydligt och dokumenterat. Många etiska hackare har hamnat i gråzonen när de testat system utan uttryckligt skriftligt samtycke.

"Gränsen mellan nyfikenhet och brott är ett knapptryck. Att du inte orsakade skada spelar ingen roll – intrånget i sig är brottet."

Straffmätning i praktiken

Vid straffmätningen väger rätten in intrångets omfattning, om data kopierats eller spridits vidare, vilken typ av uppgifter som berörts (personuppgifter, företagshemligheter, hälsodata) och vilken skada som uppstått. Har intrånget lett till ekonomisk vinning eller skett i utpressningssyfte höjs straffvärdet markant.

RubriceringStraffskalaTypisk situation
Dataintrång, normalgradenBöter – 2 årLogga in utan tillstånd, titta runt
Grovt dataintrång6 mån – 6 årStorskalig hackning, känsliga data
Dataintrång + utpressningKombinerade straffRansomware, hot om dataläckage

Sverige har också en internationell dimension av dataintrång. Europeiska utredningsorder och samarbete via Europol gör att gränsöverskridande hackning kan lagföras även om gärningspersonen befinner sig utomlands. Cybercentrum vid Polismyndigheten hanterar de mest komplexa ärendena, men resursbrist gör att många enklare dataintrång aldrig utreds.

Preskription och skadestånd

Dataintrång av normalgraden preskriberas efter fem år. Grovt dataintrång preskriberas efter tio år. Skadestånd kan bli betydande – särskilt om personuppgifter har läckt ut. GDPR-relaterade sanktionsavgifter kan komma att läggas ovanpå det straffrättsliga ansvaret, även om det är en annan process.

För den som är misstänkt gäller: begär en offentlig försvarare och var medveten om att digital bevisning ofta är svår att bestrida. Polisens IT-forensiker kan ofta rekonstruera exakt vad som hänt, även om loggar raderats. VPN och Tor ger inte fullständig anonymitet – metadata och beteendemönster kan avslöja identiteten.

Straffpåverkande faktorer

Straffskärpande faktorer

  • storskaligt intrång
  • känsliga personuppgifter
  • utpressningssyfte
  • systematisk gärning
  • allvarlig ekonomisk skada

Förmildrande faktorer

  • ung ålder (under 21)
  • ingen skada orsakad
  • frivillig angivelse
  • begränsat intrång

Vägledande avgöranden

Följande avgöranden från Högsta domstolen belyser hur dataintrång bedöms i praxis.

NJA 2014 s. 221

Polisman dömdes för dataintrång efter sökningar om sig själv

En polisman genomförde sökningar i polisens IT-system om sig själv i pass-, fastighets- och misstankeregister utan att sökningarna var nödvändiga för någon arbetsuppgift. HD dömde för tre fall av dataintrång.

Centralt prejudikat som visar att även anställda med behörighet begår dataintrång om sökningar saknar tjänsteanknytning.

50 dagsböter à 350 kr

NJA 2012 s. 535

Dataintrång genom installation av spionprogram

HD prövade om installation av ett datorprogram på annans dator – utan den berördes vetskap – utgjorde dataintrång. Fallet belyste gränsdragningen för vad som utgör olovlig åtkomst till uppgifter avsedda för automatiserad behandling.

Vägledande för tolkningen av dataintrångsbegreppet vid installation av programvara.

Dagsböter

RH 2023:45

Polisman fälld för 19 fall av dataintrång

Göta hovrätt dömde en polisman i Västsverige för 19 fall av dataintrång i polisens IT-system under perioden februari 2018 till december 2020. Sökningarna hade gått långt utöver det som kunde anses lovligt.

Visar att systematiska olovliga sökningar i tjänstesystem kan leda till avsked utöver straffrättsligt ansvar.

30 dagsböter à 460 kr samt avskedande

RH 2024:12

Domstolshandläggare dömd för grovt dataintrång

Svea hovrätt fastställde fängelsestraffet för en domstolshandläggare som dömdes för bland annat grovt dataintrång efter att ha läckt uppgifter ur domstolens system. Handläggaren hade olovligen beretts tillgång till känsliga uppgifter.

Visar att grovt dataintrång i rättsväsendets system bedöms särskilt allvarligt med fängelse som påföljd.

Fängelse

Sammanfattningarna är förenklade. Läs alltid det fullständiga avgörandet för en komplett bild av omständigheterna.

Trend – lagföringsbeslut per år

98
15
112
16
134
17
156
18
189
19
221
20
247
21
268
22
289
23
312
24

Källa: Brå, Lagföringsstatistik 2024

Vanliga frågor om dataintrång

Vad är straffet för hackning?

Dataintrång ger böter till fängelse i högst två år. Grovt dataintrång ger fängelse i sex månader till sex år. De flesta döms till villkorlig dom eller böter.

Är det olagligt att hacka utan att orsaka skada?

Ja. Dataintrång är fullbordat i och med att du bereder dig tillgång utan tillstånd. Det spelar ingen roll om du kopierar data eller bara tittar – intrånget i sig är brottet.

Kan etisk hackning vara brottsligt?

Ja, om du saknar uttryckligt skriftligt samtycke. Många säkerhetsforskare har åtalats för att de testat system utan dokumenterat tillstånd, trots goda avsikter.

Hur utreder polisen dataintrång?

Polisens IT-forensiker analyserar loggar, nätverkstrafik och digitala spår. Även VPN och Tor ger inte fullständigt skydd – metadata och beteendemönster kan avslöja identiteten.

Relaterade brottstyper

Brottstyper som liknar dataintrång eller som ofta förekommer i samma ärenden:

⚠️ Observera: Informationen på denna sida är baserad på statistik och allmän kunskap om svensk rättspraxis. Den utgör inte juridisk rådgivning. Varje enskilt fall bedöms individuellt av domstolen. Kontakta en advokat för rådgivning om din specifika situation.