19 lis 2025 12 min read News

Walka z piractwem zamieniła się w wojnę z internetem

LaLiga opublikowała wymagania dla ISP na lata 2027-2032: natychmiastowe blokowanie bez sądu na żądanie prywatnej firmy, identyfikacja klientów, zakaz apelacji od nakazów. Collateral damage na masową skalę.

Pisałem już kiedyś, że moja strona o Wyspach Kanaryjskich przestaje działać dla wszystkich użytkowników w Hiszpanii... podczas meczów La Liga. Swoją drogą - dokładnie ten sam problem ma Niebezpiecznik 😂. Dzisiaj wrócę do tego tematu, bo właśnie wyszło na jaw, jak daleko LaLiga zamierza się w tej wojnie posunąć.

I nie, to nie jest clickbait. To naprawdę jest tak absurdalne, jak brzmi. A co gorsza - to globalny trend, który dotarł również Polski.

Jak dotąd doszliśmy?

Zacznijmy od kontekstu (jeśli Cię to nie interesuje, przejdź od razu do nagłówka "A teraz zaczyna się naprawdę ciekawie"). Od lutego 2025 LaLiga wraz z Telefónicą (a później dołączyli Orange, Vodafone, Digi) rozpoczęli blokowanie adresów IP "w walce z piractwem". Problem? Cloudflare - jak większość CDN-ów - używa współdzielonych adresów IP. Jeden adres obsługuje tysiące, czasem miliony domen.

Rezultat? Sąd wydaje nakaz blokady jednej strony z pirackim streamem, a ISP blokuje cały adres IP. I nagle przestają działać:

Google Fonts
Strony instytucjonalne
Platformy płatnicze
Moja niewinna strona z newsami o Teneryfie 🏝️

LaLiga chwali się, że blokuje około 3000 adresów IP każdego weekendu. Matthew Prince z Cloudflare nazwał to wprost "bonkers" - szaleństwem, które może doprowadzić do sytuacji, gdy Hiszpan nie będzie mógł uzyskać dostępu do ratujących życie zasobów awaryjnych, bo "właściciel praw do meczu piłkarskiego odmówi wysłania ograniczonego żądania".

Zapytałem support techniczny Cloudflare: "Czy możecie zmienić moje adresy IP z powrotem na starą pulę?" Odpowiedź? "Nie możemy, bo piratom musielibyśmy zrobić to samo, i w końcu wszystkie IP Cloudflare byłyby zablokowane".

Paradoks: płacąc za wyższy plan w Cloudflare dostajesz inne IP, ale nie ma gwarancji, że nie są już zablokowane lub nie zostaną zablokowane jutro.

Luty 2025: Dzień, gdy LaLiga przestała udawać

W lutym wydarzyło się coś, co ujawniło prawdziwe intencje LaLiga. Przez tydzień klienci Movistar i DIGI nie mogli wejść na setki stron. ISP-y milczały. Cloudflare milczał. Nikt nie wiedział co się dzieje.

Aż LaLiga opublikowała komunikat o "dezaktywacji" (nie "zamknięciu" - zauważcie różnicę w słownictwie) platformy DuckVision.

I w tym samym zdaniu oskarżyli Cloudflare o "celową ochronę organizacji przestępczych dla zysku".

Cloudflare wreszcie przerwał milczenie. I ich oświadczenie było miażdżące:

"Cloudflare wielokrotnie ostrzegał o konsekwencjach blokowania IP, które fundamentalnie ignoruje sposób działania internetu. Chociaż LaLiga wyraźnie rozumiała, że blokowanie współdzielonych adresów IP wpłynie na prawa milionów konsumentów do dostępu do setek tysięcy stron, które nie łamią prawa, LaLiga i tak poszła naprzód z blokowaniem."

Przeczytajcie to jeszcze raz. LaLiga wiedziała. Wiedziała, że zablokuje niewinne strony. I zrobiła to celowo.

Kwiecień 2025: Eskalacja do absurdu

Do kwietnia 2025 sytuacja wymknęła się spod kontroli:

3000 IP Cloudflare blokowanych TYGODNIOWO
Pojedyncze adresy IP obsługujące 300+ domen - wszystkie zablokowane
LaLiga przypadkiem zablokowała własną stronę

Cloudflare i kolektyw hakerski RootedCON złożyli apelację do sądu. Została odrzucona w marcu.

Wiecie co było najciekawsze? Vodafone interweniował w sprawie - ale PRZECIWKO RootedCON. Operator argumentował, że tylko ISP-y pozwane pierwotnie przez LaLiga mają prawo kwestionować nakazy blokowania. Ale żaden z nich tego nie zrobił.

Jak zauważył RootedCON: "To co Vodafone faktycznie mówi, to że operatorzy są zadowoleni z bycia zmuszanymi do blokowania".

I oczywiście że są zadowoleni. Spójrzcie na konflikt interesów:

MásOrange (operator marek Orange, Yoigo, Jazztel, Masmovil, Simyo, Pepephone, Lebara, Lyca, Llamaya i Euskaltel) - ma umowę z Movistar (właścicielem Telefónica) i DAZN na prawa do transmisji meczów LaLiga.
Vodafone - mecze LaLiga dostępne na Vodafone TV przez umowę z DAZN.
DIGI - rumuński telekom sprzedaje dostęp do meczów LaLiga przez swoją platformę DIGI TV w Hiszpanii.
Movistar - telekom należący do Telefónica (mecze LaLiga na Movistar+). W styczniu 2025 Telefónica przedłużyła prawa do transmisji krajowych meczów LaLiga do końca sezonu 2026/27 w umowie wartej 1,29 miliarda euro.

Wszyscy czterej ISP-y wymienieni w nakadzie sądowym jednocześnie zarabiają na transmisjach LaLiga. Mają zerową motywację do obrony swoich klientów przed overblokowaniem. Wręcz przeciwnie - im skuteczniejsze blokowanie pirackich streamów, tym więcej ludzi musi wykupić ich drogie pakiety.

To nie jest "wymuszanie" blokowania. To jest symbioza interesów komercyjnych kosztem użytkowników internetu.

A teraz zaczyna się naprawdę ciekawie: wymagania na lata 2027-2032

LaLiga właśnie opublikowała wymagania dla firm chcących nadawać ich mecze w latach 2027-2032. I to, co tam jest napisane, powinno nas wszystkich zainteresować - bo to nie jest już tylko o piractwie. To o fundamentalną zmianę w tym, jak działa internet, WOLNY INTERNET.

Warunek 1: ISP musi aktywnie współpracować z LaLiga w pozwach sądowych

Nie chodzi o "pomoc na żądanie sądu". Chodzi o to, że ISP musi wystąpić jako strona poszkodowana w każdym procesie, który LaLiga wszczyna przeciwko piratom.

Wyobraźcie sobie: Orange, Vodafone, czy ktokolwiek inny - przestaje być neutralnym dostawcą internetu. Staje się aktywnym uczestnikiem wojny prawnej prowadzonej przez prywatną firmę.

Warunek 2: Identyfikacja własnych klientów na żądanie LaLiga

Pamiętacie sprawę Promusicae vs Telefónica z 2005 roku? Wtedy organizacja praw autorskich pozwała Telefónicę, żądając danych osobowych klientów oskarżonych o piractwo muzyczne. Telefónica walczyła aż do Europejskiego Trybunału Sprawiedliwości - i wygrała w 2008 roku.

Teraz? LaLiga wymaga, żeby ISP:

aktywnie współpracował w działaniach sądowych takich jak postępowania przygotowawcze, mające na celu, na żądanie LaLiga, identyfikację tych klientów, którzy uzyskują dostęp do treści audiowizualnych nielegalnie przez internet, poprzez nielegalne systemy takie jak na przykład P2P (AceStream) lub Cardsharing, unikając wnoszenia apelacji przeciwko orzeczeniom sądowym uzgodnionym w tym zakresie.

Przeczytajcie to jeszcze raz: ISP ma nie tylko wydać dane swoich klientów, ale jeszcze zobowiązuje się nie wnosić apelacji od tego nakazu.

To co Telefónica wywalczyła w sądzie 17 lat temu? Właśnie zostało wyrzucone przez okno. Dobrowolnie.

Warunek 3: Promowanie dynamicznego blokowania IP w sądach

Właśnie, gdy eksperci od bezpieczeństwa i grupy internetowe ostrzegają przed niebezpieczeństwami blokowania opartego na adresach IP, LaLiga wymaga od ISP, żeby:

Aktywnie promowali tę metodę w sądach jako "skuteczną"
Zapewniali personel i środki techniczne do natychmiastowego wykonywania bloków
Blokowanie musiało działać każdego dnia, o każdej porze, "natychmiast po komunikacie"

I to nie koniec. ISP muszą też "promować wspólnie z LaLiga odpowiednie działania sądowe i pozasądowe" przeciwko dostawcom VPN, DNS, usług anonimizacji i... reverse proxy.

Domyślacie się, o kogo chodzi z tym ostatnim? Cloudflare itp.

Warunek 4: Natychmiastowe blokowanie BEZ interwencji sądu

A teraz najbardziej szalone:

Zwycięscy oferenci (...) dobrowolnie, wyraźnie i bezpośrednio zobowiązują się, bez potrzeby interwencji sądowej, do wyrażenia zgody na natychmiastowe blokowanie tych domen, subdomen, adresów IP i stron internetowych oraz zasobów, które (...) zostaną im zgłoszone przez LaLiga lub przez wyznaczony przez nią podmiot.

Przeczytajcie to uważnie i powoli.

LaLiga - prywatna organizacja - może wysłać ISP żądanie zablokowania dowolnej domeny, subdomeny czy IP. ISP ma to zrobić natychmiast, bez nakazu sądu, bez weryfikacji, na podstawie "raportu technicznego wydanego przez ich dział antyfraudowy".

To nie jest już "współpraca z wymiarem sprawiedliwości". To jest prywatna firma przejmująca kompetencje sądowe.

Włochy: Piracy Shield jako case study porażki

Żebyście nie myśleli, że to tylko hiszpańskie szaleństwo - zobaczcie co się dzieje we Włoszech.

We wrześniu 2025 roku ukazało się badanie naukowców z University of Twente o włoskim systemie "Piracy Shield". I wyniki są druzgocące:

Setki legalnych stron zablokowanych jako "efekt uboczny"
Google Drive zablokowany na 12 godzin w październiku 2024
Średnio 320 dni blokady dla niewinnych stron zanim ktoś to zauważy
76,8% zablokowanych IP to Unia Europejska (nie USA!)
Pojedynczy adres IP Hetzner zablokowany - skutek? 325 domen offline
Portugalski dostawca hostingu stracił 16 dni łączności email z włoskimi klientami

Badacze wprost napisali:

"Nasze wyniki pokazują niepokojący scenariusz, z setkami legalnych stron nieświadomie dotkniętych blokowaniem, nieznanymi operatorami doświadczającymi zakłóceń usług, i nielegalnymi streamerami którzy nadal omijają egzekwowanie prawa, pozostawiając za sobą bezużyteczne i zanieczyszczone zakresy adresów."

A Internet Society - założona przez pionierów internetu, reprezentująca 70 000 członków i firmy takie jak Amazon, Cloudflare, Google - wydała oficjalne ostrzeżenie nazywając blokowanie IP i DNS "tępymi instrumentami które powodują masowe szkody uboczne".

Francja, Korea Południowa i globalny obraz

To nie jest problem tylko Hiszpanii czy Włoch:

Francja:

Zmuszono VPN-y do blokowania 200 nielegalnych stron sportowych
Nowa ustawa otwiera drzwi do automatycznego blokowania IP (jak we Włoszech)
Niektóre amerykańskie firmy już opuściły kraj

Korea Południowa:

CDN-y muszą utrzymywać szczegółowe listy blokad
Ponad 1,5 miliona URL-i na liście (30 000 nowych miesięcznie)
Cloudflare nazwał to "bezprecedensowym obciążeniem compliance"

Wielka Brytania:

Imgur zablokował dostęp z UK całkowicie
ICO nałożył karę za naruszenie "Children's Code"
Imgur zarabia ~30M USD rocznie, wdrożenie compliance kosztowałoby więcej niż cały brytyjski rynek

I teraz najciekawsze: Cloudflare złożył oficjalną skargę do US Trade Office, określając te blokady jako "digital trade barriers" - bariery handlowe.

Polska: Od "pola do nadużyć" do kompromisu

A teraz uwaga: Polska prawie weszła na tę samą drogę.

W styczniu 2025 roku Ministerstwo Cyfryzacji opublikowało projekt nowelizacji ustawy o świadczeniu usług drogą elektroniczną. I to co tam było, powinno nas wszystkich zaniepokoić.

Oryginalny projekt (styczeń 2025):

UKE mogło zablokować dowolne treści "naruszające dobra osobiste, prawa własności intelektualnej, lub wyczerpujące znamiona czynu zabronionego"
Postępowanie: od 2 do 21 dni
Autor treści nie mógł uczestniczyć w postępowaniu
Decyzje wykonywane natychmiastowo, bez zgody sądu
Odwołanie tylko do sądu administracyjnego (miesiące oczekiwania)

Ale to nie było wszystko. W projekcie, który pojawił się już po konsultacjach społecznych, znalazła się "wrzutka", która wywołała prawdziwą burzę w szczegółach opisana przez Zaufaną Trzecią stronę.

Skandal z Listą Ostrzeżeń CERT Polska

Lista Ostrzeżeń CERT Polska to narzędzie, które chroni nas przed phishingiem - wyłudzaniem danych logowania. W 2024 roku zablokowała 71,8 miliona wejść na niebezpieczne strony. To zaufane narzędzie, które działa po cichu w tle naszych przeglądarek i rzeczywiście nas chroni.

A projekt przewidywał, że ta sama lista - stworzona do walki z oszustami wykradającymi nasze hasła - ma nagle zacząć blokować piractwo i nielegalne streamy meczów Ekstraklasy.

Narzędzie do walki z cyberprzestępczością miało zostać wykorzystane do ochrony interesów komercyjnych związków sportowych i wydawnictw.

Bo o to właśnie chodziło - środowiska prawno-autorskie chciały wykorzystać skuteczne narzędzie CERT-u do swoich celów. Zamiast budować własny system blokowania (który musiałby przejść pełną kontrolę i debatę publiczną), po prostu dokleili swoje potrzeby do istniejącego rozwiązania.

I zrobili to po konsultacjach, gdy projekt już przeszedł przez etap publicznej dyskusji.

To dokładnie ten sam mechanizm, który obserwujemy w całej Europie: wykorzystywanie "walki z przestępczością" jako pretekstu do osiągnięcia zupełnie innych celów.

Reakcja społeczeństwa obywatelskiego

Opozycja nazwała całość "cenzorską ustawą". Jacek Sasin mówił o "planie totalnej cenzury w internecie". A Marcin Wiącek, Rzecznik Praw Obywatelskich, napisał 15-stronicowe stanowisko krytykujące projekt:

"Jakkolwiek trudno w tym kontekście mówić o 'cenzurze', to zaznaczenia wymaga, że moderowanie treści w sieci w trybie postępowania administracyjnego może prowadzić do nieproporcjonalnych skutków i dać pole do nadużyć."

RPO wprost uznał, że sama koncepcja wydawania przez organ administracji publicznej decyzji w zakresie wolności słowa budzi wątpliwości konstytucyjne.

Helsińska Fundacja Praw Człowieka ostrzegała, że tak daleko idące środki są dopuszczalne tylko w wyjątkowych okolicznościach i muszą być obudowane silnymi gwarancjami proceduralnymi.

Minister Krzysztof Gawkowski bronił się argumentem, że "21 dni to bardzo długo" i "w obecnym stanie szybkiej komunikacji informacja może już nikogo nie obchodzić". Mówił o potrzebie szybkiej reakcji na nielegalne streamy sportowe.

Dr Damian Flisak, radca prawny specjalizujący się w prawie własności intelektualnej, tłumaczył logikę:

"Gdy transmitowana jest walka Mike'a Tysona albo mecz Real-Barcelona i pojawiają się nielegalne streamy tego wydarzenia, decyzja o blokadzie wymaga nawet nie godzin, a minut."

Rozumiem ten argument. Naprawdę. Ale czy widzieliście co się dzieje w Hiszpanii i we Włoszech gdy dajemy komuś taką władzę bez odpowiednich zabezpieczeń?

Sukces obywatelskiego sprzeciwu

I tu zaczyna się najciekawsze: społeczeństwo obywatelskie zadziałało.

Po fali krytyki i dwukrotnych konsultacjach społecznych, we wrześniu 2025 rząd przyjął znacznie zmodyfikowany projekt:

Ograniczono uprawnienia do 27 konkretnych, najpoważniejszych czynów zabronionych (zamiast nieograniczonego katalogu)
Wprowadzono prawo autora treści do wypowiedzenia się przed jej usunięciem (2 dni na stanowisko)
Dodano możliwość odwołania do sądu powszechnego (nie tylko administracyjnego)
Zdefiniowano precyzyjne kryteria: czyn musi być popełniony z wykorzystaniem internetu, związany z rozpowszechnianiem treści, a blokada nie może negatywnie wpływać na debatę publiczną ani procesy wyborcze
Wycofano "wrzutkę" o wykorzystaniu Listy Ostrzeżeń CERT Polska do blokowania piractwa

To jest sukces. Właśnie tak powinien wyglądać proces legislacyjny - organizacje społeczne, eksperci, RPO krzyczą "STOP", rząd słucha i modyfikuje projekt, zanim stanie się prawem.

Pytanie brzmi: czy reszta Europy się z tego czegoś nauczy?

Czy sędzia w ogóle rozumie, jak działa internet?

Zastanawiam się nad tym od miesięcy. Sędzia wydający nakaz blokady "strony piractwa" prawdopodobnie nie wie, że:

Jeden adres IP może obsługiwać miliony stron (mimo, że cloudflare krzyczy)
Dynamiczne blokowanie może zablokować ratunkowe serwisy medyczne podczas transmisji meczu

A może wie, ale po prostu nie ma to znaczenia?

Centralizacja jako broń przeciwko nam

To wszystko działa tylko dlatego, że internet jest zdominowany przez kilku gigantów. Cloudflare obsługuje 20% ruchu internetowego (co wczoraj poczuliśmy dosyć dosadnie). Google DNS używa połowa internetu.

Gdy te firmy ulegną presji (albo zostaną zmuszone przez sąd), kontrola nad internetem staje się bajecznie prosta. Nie musisz blokować milionów małych serwerów - wystarczy zmusić 5 firm.

I właśnie to robi LaLiga. Nie walczy z piractwem. Buduje precedens, jak można zmusić infrastrukturę internetową do wykonywania poleceń prywatnych firm.

Pamiętacie jeszcze tamten internet? Ten, który przynosiło się do domu z kafejki internetowej na dyskietce. 1,44 MB tekstu - brzmi śmiesznie dziś, prawda? Wystarczająco dużo, żeby się uczyć, rozwijać, analizować w domowym zaciszu.

Internet powolny. Ale był WOLNY.

Dzisiaj mamy szybki "chiński internet", "rosyjski internet", a niedługo może "europejski internet".

Co będzie dalej?

Jeśli ten model się przyjmie:

Netflix będzie wymagał od ISP blokowania VPN-ów
Disney+ będzie żądał identyfikacji klientów dzielących się hasłami
Każdy właściciel praw autorskich dostanie przycisk "zablokuj to, bez sądu"

Cloudflare złożył apelację do hiszpańskiego Trybunału Konstytucyjnego. LaLiga odpowiada, że Cloudflare "aktywnie umożliwia nielegalne działania" i dodaje oskarżenia o "human trafficking, prostytucję, pornografię dziecięcą" - klasyczna taktyka escalation by association.

Ale prawdziwe pytanie brzmi: czy naprawdę musimy niszczyć fundamenty otwartego internetu, żeby walczyć z piractwem?

Czy można było tego nie przewidzieć? Czy to jest kwestia niekompetencji regulatorów, którzy nie rozumieją technologii, którą próbują kontrolować?

A może to po prostu nie ma znaczenia, bo celem nigdy nie była walka z piractwem, tylko kontrola?

Epilog osobisty

Moja strona o Teneryfie nadal nie działa podczas meczów. I tysiące innych niewinnych serwisów. Można by rzec... collateral damage.

LaLiga twierdzi, że to wina Cloudflare za "używanie niewinnych klientów jako ludzkich tarcz". Internet Society ostrzega, że blokowanie IP to "tępe narzędzie powodujące masowe szkody".

Problem nie leży w tym, że Cloudflare używa współdzielonych IP. Problem leży w tym, że pozwalamy prywatnym firmom i organom administracyjnym dyktować, jak ma działać infrastruktura krytyczna dla globalnej komunikacji.

Bo jeśli ISP-y zgodzą się na te warunki w Hiszpanii, jeśli UKE dostanie taką władzę w Polsce, internet przestanie być neutralnym medium. Stanie się kontrolowaną siecią, gdzie prywatne firmy i urzędnicy decydują, co możesz zobaczyć.

I nie będzie w tym żadnego sądu. Żadnej realnej apelacji. Tylko "raport techniczny" z działu antyfraudowego LaLiga. Albo 21-dniowe postępowanie w UKE, w którym nie możesz uczestniczyć.

Tamta dyskietka z kafejki internetowej mogła zawierać treści z całego świata, bez pytania o moją narodowość, lokalizację, wiek. Bez czekania na zgodę UKE.

Ten internet właśnie umarł. I nikt nie wyprawił mu pogrzebu.