Sprawca wycieku danych Morele.net zatrzymany po ośmiu latach śledztwa

Ile lat zajmuje dojście do sprawcy wycieku danych ponad dwóch milionów klientów? W Polsce – prawie osiem. CBZC właśnie postawiło zarzuty 29-latkowi w sprawie ataku na Morele.net z 2018 roku. Mężczyzna przyznał się do winy i złożył obszerne wyjaśnienia.

To domknięcie jednej z głośniejszych spraw w polskim e-commerce. Według śledczych skradzione wtedy informacje obejmowały m.in. imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania oraz zaszyfrowane hasła. Dane płatnicze nie wypadły z sejfu. Oskarżenie obejmuje art. 267 §1 i §4 Kodeksu karnego, a więc bezprawne uzyskanie informacji i przełamanie zabezpieczeń – zagrożone karą do dwóch lat więzienia.

Dlaczego to ważne? Bo pokazuje, że incydent cyberbezpieczeństwa nie kończy się wtedy, gdy zgasną kamery telewizji śniadaniowej. Trwa latami: w ryzykach dla klientów, w kosztach dla firmy i w żmudnym dochodzeniu. To także test dla państwowych kompetencji w cyber: czy umiemy nie tylko reagować, ale i dowieźć sprawcę przed prokuratorem, gdy szum medialny dawno opadł.

Osiem lat, jeden wektor ataku

W 2018 roku ktoś przełamał zabezpieczenia teleinformatyczne Morele.net i wyprowadził bazę klientów. Sprawa od razu trafiła do Urzędu Ochrony Danych Osobowych, który nałożył na spółkę 2,8 mln zł kary – i rozpętał się długi spór sądowy wokół tego, czy firma zrobiła wystarczająco dużo, by chronić dane. Równolegle biegło postępowanie karne. Początkowo umorzone – bo sprawcy nie wykryto. Tyle że CBZC nie odpuściło. [5][9]

Funkcjonariusze pod nadzorem Prokuratury Okręgowej w Krakowie latami skrobali po śladach. Z pomocą pokrzywdzonego zidentyfikowali wektor ataku, odtworzyli przebieg zdarzeń i – jak mówią – na podstawie pozostawionych przez sprawcę śladów doszli do personaliów. 30 stycznia 2026 roku prokurator przedstawił zarzuty 29-letniemu obywatelowi Polski. Ten przyznał się do popełnienia czynu i złożył obszerne wyjaśnienia. [2][4]

Co wyciekło – i czego nie

Według śledczych, ujawnione zostały podstawowe dane identyfikacyjne i kontaktowe klientów oraz hasła w formie zaszyfrowanej. Dane kart i płatności nie zostały objęte incydentem. Po wykryciu naruszenia sklep wdrożył działania zabezpieczające, a klienci zostali o sprawie poinformowani. Brzmi sucho? Taki jest język incydentów: precyzyjny, ale bez fajerwerków. Ważne jest to, czego nie ma między wierszami: od ośmiu lat to właśnie te rekordy krążą w obiegu, zwiększając ryzyko podszywania się i dalszych oszustw. Śledczy nie mają wątpliwości, że skala była „poważnym ryzykiem” dla klientów. [3]

Prawo kontra skala

Zarzuty oparto na art. 267 §1 i §4 Kodeksu karnego – klasyka polskiego „nieuprawnionego dostępu”: przełamanie zabezpieczeń i uzyskanie informacji. Taryfikator? Do dwóch lat więzienia. I tu wchodzi ironia, cała na biało: baza danych o ponad dwóch milionach osób – i górny pułap jak za kradzież roweru z piwnicy. Oczywiście, są jeszcze inne możliwe kwalifikacje w podobnych sprawach, sądy patrzą na okoliczności, a w Polsce wymiar kary to nie kalkulator. Ale to dobry moment, by zadać sobie pytanie, czy kodeks nadąża za skalą szkód w cyfrowym świecie.

CBZC: instytucja, która dojrzała

Ta sprawa jest też pokazówką kompetencji CBZC. Jednostka w ostatnich latach zbiera żniwo żmudnej pracy: namierzenie osoby rozsyłającej fałszywe alarmy bombowe i groźby, udział w zatrzymaniach związanych z grupą ransomware 8Base, operacja „Eastwood” przeciw prorosyjnej sieci NoName057(16) od DDoS-ów. Same liczby za 2025 rok mówią sporo: 1374 osobom przedstawiono zarzuty, 1177 zatrzymano (w tym 417 trafiło do aresztu), zabezpieczono ponad 80 mln zł i odzyskano blisko 25 mln. To nie jest już pionek od „komendanta internetów”, tylko realna, szeroka zdolność operacyjna w cyber. [1]

Co to zmienia dla klientów i firm

Dla klientów Morele odpowiedź jest prosta: dane płatnicze nie wyciekły, ale podstawowa „tożsamość cyfrowa” – tak. Jeśli ktoś od lat boryka się z „dziwnymi” telefonami, SMS-ami i mailami, to jest w tym pewna logika. Dla firm w e-commerce wniosek brzmi boleśnie znajomo: incydent kosztuje dwa razy. Raz – od razu, gdy gasisz pożar i tłumaczysz się klientom. Drugi raz – przez lata: wizerunkowo, prawnie i operacyjnie. A czasem jeszcze trzeci – gdy po latach śledczy pukają do drzwi z pytaniami o logi i procedury z epoki, kiedy w firmie dawno już zmieniły się systemy i ludzie.

To, że identyfikacja sprawcy zajęła prawie osiem lat, nie jest powodem do szyderstw. To raczej lekcja o cierpliwości i metodyce: śledztwa w cyberprzestępczości to nie pościgi z filmu akcji, tylko puzzle układane z mikroskopijnych śladów. W tym sensie, ta sprawa to sygnał: nawet jeśli dziś czujesz się anonimowy za monitorem, jutro ktoś może znaleźć ten jeden, zostawiony kiedyś, pozornie nieistotny piksel.

Na koniec – chłodne domknięcie

Zarzuty padły, sprawca przyznał się do winy, a prokuratura prowadzi swoje. To nie cofnie czasu ani nie wykasuje rekordów z czarnych forów. Ale daje domknięcie i… pretekst. Dla ustawodawcy – by spojrzeć na adekwatność kar. Dla firm – by przejrzeć zabezpieczenia i playbooki na incydenty. Dla reszty z nas – by przypomnieć sobie o unikatowych hasłach i zdrowym rozsądku. W praktyce: zmień stare hasła powiązane z tym adresem e-mail, włącz uwierzytelnianie dwuskładnikowe, bądź czujny na phishing i weryfikuj prośby o dopłaty czy zwroty u źródła.

FAQ

Czy dane płatnicze klientów Morele.net wyciekły w 2018 roku?

Nie. Śledczy potwierdzają, że incydent nie obejmował danych dotyczących płatności; wyciekły dane kontaktowe i zaszyfrowane hasła. [4]

Jakie dane klientów Morele.net zostały ujawnione w wyniku ataku?

Imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania oraz zaszyfrowane hasła; taki zakres wskazali śledczy.

Czy sprawca wycieku danych z Morele.net przyznał się do winy?

Tak. 29-letni obywatel Polski usłyszał zarzuty i przyznał się, składając obszerne wyjaśnienia.

Jaka kara grozi sprawcy wycieku z Morele.net?

Do dwóch lat więzienia. Zarzuty oparto o art. 267 §1 i §4 Kodeksu karnego.

Kiedy doszło do wycieku danych z Morele.net?

W 2018 roku. Zarzuty w tej sprawie przedstawiono 30 stycznia 2026 roku.

Źródła

• [1] https://niebezpiecznik.pl/post/zarzuty-dla-29-latka-w-sprawie-wycieku-z-morele-net/
• [2] https://cbzc.policja.gov.pl/bzc/aktualnosci/810,Zarzuty-w-sprawie-wycieku-danych-klientow-sklepu-Morelenet.html
• [3] https://gsmonline.pl/artykuly/cbzc-ustalilo-sprawce-wycieku-z-morele-kropka-net
• [4] https://faktywadowice.pl/2026/02/09/zarzuty-w-sprawie-wycieku-danych-klientow-sklepu-morele-net/
• [5] https://cyberdefence24.pl/armia-i-sluzby/policja/cbzc-ustalilo-sprawce-wycieku-danych-z-morelenet
• [6] https://wm.pl/artykul/ustalono-sprawce-glosnego-n2220210
• [7] https://wiadomosci.wp.pl/przelom-po-8-latach-sprawca-wycieku-danych-zlapany-7252469192485248a
• [8] https://cashless.pl/18375-wyciek-morele-net-zarzuty
• [9] https://rmf24.pl/regiony/krakow/news-najwiekszy-wyciek-bazy-danych-w-historii-polski-sprawca-atak,nId,8064835