Påföljdsfördelning
Baserat på statistik för 104 mål (2024).
Källa: Brå, Lagföringsstatistik 2024
Om dataintrång
Han var inne i systemet i trettiosex minuter. Det räckte för att kopiera kundregistret, lösenordsfilen och en intern prislista. Han hade inte hackat sig in – han hade använt sin gamla kollegas inloggning, ett lösenord han kom ihåg sedan de jobbade ihop. Tre veckor senare knackade polisen på dörren. Åtalet löd: dataintrång.
Dataintrång regleras i 4 kap. 9 c § brottsbalken och kriminaliserar olovlig åtkomst till IT-system och information som lagras, bearbetas eller överförs i sådana system. Brottet skyddar individers och verksamheters rätt att kontrollera vem som har tillgång till deras digitala information – och är ett av de snabbast växande rättsområdena i takt med samhällets digitalisering.
Det krävs inte att syftet är ekonomisk vinning – det räcker att åtkomsten är olovlig. Typiska former inkluderar att logga in med stulet lösenord, att ta sig in i ett nätverk utan behörighet, att installera skadlig programvara, att bryta kryptering, och att utnyttja säkerhetsbrister. Behörighet kan vara uttrycklig (ett konto) eller implicit (arbetsgivarens godkännande av systemtillgång).
En central fråga i dataintrångsmål är om åtkomsten verkligen var olovlig. Den som är behörig användare av ett system begår inte dataintrång genom att använda systemet, även om denne läser information de normalt inte skulle läsa. Men att använda en annans inloggningsuppgifter – även med deras tidigare tysta medgivande – är dataintrång om behörigheten inte längre gäller. Rätten att använda ett system försvinner när anställningen upphör eller tillståndet återkallas.
Straffskala och grovt dataintrång
Straffskalan för dataintrång av normalgraden är böter till fängelse i högst två år. Om brottet är grovt – vilket bedöms utifrån om det orsakat allvarlig skada, skett systematiskt, eller riktat sig mot samhällskritisk infrastruktur – är straffskalan fängelse i lägst sex månader och högst sex år. Domstolarna beaktar även om intrånget föregåtts av planering och om det skett i organiserad form.
"Penetrationstestning – att testa ett systems säkerhet – är lagligt om det utförs med skriftligt tillstånd från systemägaren. Utan sådant tillstånd är det dataintrång, oavsett om syftet är att hitta och rapportera säkerhetsbrister. Etiska hackare måste alltid ha tydlig dokumentation av sina mandat."
Påföljder i praktiken
| Typ av dataintrång | Typisk påföljd | Straffskala |
|---|---|---|
| Enstaka olovlig inloggning | Böter | Böter–2 år |
| Systematisk åtkomst, känslig data | Villkorlig dom | Böter–2 år |
| Angrepp mot samhällskritisk infrastruktur | Fängelse | 6 mån–6 år |
| Organiserad cyberbrottslighet | Fängelse | 6 mån–6 år |
Skadestånd, bevisning och preskription
Skadestånd vid dataintrång kan inkludera ersättning för faktiska förluster (läckta affärshemligheter, kostnader för säkerhetsarbete), kränkningsersättning och i allvarligare fall ersättning för utebliven vinst. Vid brott mot en privatperson kan kränkningsersättningen uppgå till 10 000–30 000 kronor; vid brott mot ett företag kan skadeståndet bli mångdubbelt högre beroende på den ekonomiska skadan.
Bevisning i dataintrångsmål är teknisk och bygger på loggfiler, IP-adresser, metadata och i vissa fall forensisk analys av enheter. Det är viktigt att drabbade verksamheter bevarar loggarna och inte ändrar systemen innan polisanmälan – data kan skrivas över och förstöras om systemet används normalt efter intrånget. Dokumentation av vilken data som åtkoms, vid vilken tidpunkt och från vilken enhet är avgörande för åklagarens möjligheter att bevisa brottet.
Den som utsatts för dataintrång bör anlita ett IT-forensikföretag för att dokumentera intrångets omfattning och bevara spår. Polisanmälan bör kombineras med en anmälan till Integritetsskyddsmyndigheten (IMY) om personuppgifter har läckt – GDPR ålägger företag att göra detta inom 72 timmar. Preskriptionstiden är fem år för normalgraden och tio år för grovt brott.
GDPR och dataintrång hänger nära samman. Om en verksamhet drabbas av dataintrång som leder till att personuppgifter exponeras uppstår en anmälningsplikt till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Parallellt kan polisanmälan göras om gärningspersonen är känd eller spårbar. Dessa processer är oberoende av varandra – en GDPR-anmälan ersätter inte en polisanmälan och vice versa.
Socialt ingenjörskap – phishing, vishing och pretexting – är tekniker för att lura sig till inloggningsuppgifter utan teknisk hackning. Om en person lämnar ut sina uppgifter under falska förespeglingar och en annan person sedan loggar in, är det den som loggade in som begår dataintrång. Den som konstruerade bluffmeddelandet kan i stället dömas för bedrägeri eller förberedelse till brott.
Internationell dimension: dataintrång sker ofta över landsgränser, vilket skapar svårigheter i utredningsarbetet. Europol och Interpol koordinerar internationella utredningar, och Sverige kan begära rättslig hjälp från andra länder. Preskriptionstiden börjar löpa från den dag brottet begicks, men vid gränsöverskridande brott kan utredningen ta år – vilket gör tidig anmälan och bevarad bevisning än viktigare.
Insiderhot – dataintrång begångna av anställda eller tidigare anställda – är statistiskt sett ett av de vanligaste och mest kostsamma formerna av dataintrång. En anställd som kopierar kundregister inför en övergång till en konkurrent, eller som tar med sig affärshemligheter vid en uppsägning, kan dömas för dataintrång om de inte hade behörighet att föra ut informationen trots att de haft tillgång till den i tjänsten. Arbetsgivare bör ha tydliga IT-säkerhetspolicyer och begränsad åtkomst baserad på arbetsuppgifter för att minimera risken.
Rättspraxis kring IoT-enheter – uppkopplade kameror, smarta lås och andra enheter – är ett framväxande område. Att obehörigt ta sig in i en annans uppkopplade enhet och läsa av dess data eller styra den kan vara dataintrång. Domstolarna har ännu inte fastlagt en fullständig praxis kring dessa frågor, men grundprincipen om olovlig åtkomst gäller oavsett enhetens form.
Straffpåverkande faktorer
Straffskärpande faktorer
- ▲samhällskritisk infrastruktur
- ▲stor skada
- ▲systematiskt tillvägagångssätt
- ▲ekonomisk vinning
- ▲känsliga personuppgifter exponerade
Förmildrande faktorer
- ▼ung ålder (under 21)
- ▼ingen faktisk skada
- ▼frivillig angivelse och samarbete
- ▼etisk hackning utan skadligt syfte
Vägledande avgöranden
Följande avgöranden från Högsta domstolen belyser hur dataintrång bedöms i praxis.
NJA 2014 s. 221
Polisens sökningar i egna register
En polisman gjorde sökningar om sig själv i polisens IT-system utan att sökningarna var nödvändiga för någon arbetsuppgift. HD fastställde att detta utgjorde dataintrång. Polismannen ville bland annat kontrollera uppgifter inför en fastighetsaffär och verifiera om han förekom i misstankeregistret.
Det enda HD-prejudikatet som direkt behandlar dataintrång, med vägledning om vad som utgör olovlig åtkomst av uppgifter i yrkessammanhang.
Dagsböter 50 å 350 kronorRH 2013:56
Omfattande dataintrång under två år
Hovrätten prövade ett fall av omfattande dataintrång som pågått under drygt två års tid. Den tilltalade hade systematiskt och olovligen berett sig tillgång till uppgifter avsedda för automatiserad behandling i olika datasystem. Straffet bestämdes med hänsyn till brottslighetens varaktighet, systematiska karaktär och den stora mängden olovliga åtkomster som genomförts.
Hovrättsfallet illustrerar hur varaktigheten och systematiken i dataintrånget påverkar straffvärdet.
Fängelse 4 månaderRH 2015:15
Installation av program som dataintrång
Svea hovrätt prövade om det utgör dataintrång att olovligen installera ett dataprogram (Google Talk) på en arbetsdator. Frågan var om olovlig installation av programvara omfattas av bestämmelsen om dataintrång, det vill säga om det innebär olovlig registrering av uppgifter avsedda för automatiserad behandling.
Hovrättsfallet behandlar den viktiga gränsdragningsfrågan om olovlig programinstallation kan utgöra dataintrång.
DagsböterRH 1996:133
Tidigt dataintrångsfall – olovlig behörighetsöverskridning
Hovrätten prövade ett tidigt fall av dataintrång där den tilltalade utan behörighet tagit sig in i ett datasystem. Domstolen tog ställning till grundrekvisiten för dataintrång enligt 4 kap. 9 c § BrB och vad som krävs för att åtkomsten ska anses olovlig. Avgörandet bidrog till att etablera den rättsliga standarden för bedömning av behörighetsöverskridning.
Ett av de tidiga hovrättsavgörandena som etablerar grunderna för straffansvar vid dataintrång genom behörighetsöverskridning.
Dagsböter 40 å 80 kronorSammanfattningarna är förenklade. Läs alltid det fullständiga avgörandet för en komplett bild av omständigheterna.
Trend – lagföringsbeslut per år
Källa: Brå, Lagföringsstatistik 2024
Vanliga frågor om dataintrång
Är det dataintrång att logga in på sin f.d. partners konto med ett lösenord man känner till?
Ja. Att använda ett lösenord man fått tillgång till inom en relation, och sedan använda det utan den andres samtycke, är olovlig åtkomst och kan utgöra dataintrång. Att man en gång fått lösenordet lagligt förändrar inte bedömningen.
Vad är skillnaden mellan dataintrång och hackning?
Hackning är ett informellt begrepp för olika typer av intrång i IT-system. Dataintrång är det juridiska begreppet i brottsbalken. All hackning som sker utan tillstånd kan vara dataintrång, men hackning med tillstånd – som penetrationstestning – är fullt lagligt.
Kan man dömas för dataintrång om man bara tittade på informationen utan att kopiera eller radera något?
Ja. Det räcker att man olovligen berett sig tillgång till informationen. Att läsa, se eller öppna en fil utan behörighet kan vara dataintrång även om inget kopierades, förändrades eller raderades.
Vad är straffet för grovt dataintrång?
Straffskalan för grovt dataintrång är fängelse i lägst sex månader och högst sex år. Grov rubricering tillämpas vid systematiska angrepp, intrång i samhällskritisk infrastruktur eller fall där mycket känslig information exponerats och stor skada uppstått.
Relaterade brottstyper
Brottstyper som liknar dataintrång eller som ofta förekommer i samma ärenden:
Fler i denna kategori
Andra brott inom kategorin Integritets- och IT-brott:
- Näthat– straffskala böter – fängelse 4 år (grovt förtal/grovt olaga integritetsintrång)
- Identitetsintrång– straffskala böter – fängelse 2 år
- Olaga integritetsintrång– straffskala böter – fängelse 4 år (grovt brott)
- Identitetsstöld– straffskala böter – fängelse 2 år
- Olovlig identitetsanvändning– straffskala böter – fängelse 2 år
- Digital stalkning– straffskala böter – fängelse 4 år
Observera: Informationen på denna sida är baserad på statistik och allmän kunskap om svensk rättspraxis. Den utgör inte juridisk rådgivning. Varje enskilt fall bedöms individuellt av domstolen. Kontakta en advokat för rådgivning om din specifika situation.