1. Accesarea unui cont de Facebook se încadrează în dispozițiile art. 360 Cod penal?

Faptă comisă din curiozitate de către un student la Facultatea de Inginerie. Prin Sentința penală nr. 38 din 21.02.2019 pronunțată de Tribunalul Arad¹ inculpatul a fost condamnat la pedeapsa de 1 an și 4 luni închisoare pentru săvârșirea infracțiunii de acces ilegal la un sistem informatic prevăzută de dispozițiile art. 360 alin. 1 și 3 Cod penal, reținându-se că inculpatul a accesat fără drept – fără a avea acordul titularului contului – contul de Facebook al persoanei vătămate, în condițiile în care accesul era restricționat pentru alți utilizatori decât titularul contului, fără acordul titularului contului. Inculpatul se cunoștea cu persoana vătămată, cu ceva timp înainte de incident o ajutase să-și modifice parola de acces la contul de e-mail personal, împrejurare în care a cunoscut întrebările de siguranță. Motivația sa a reprezentat-o simpla curiozitate pentru a vedea cât de ușor se poate accesa un cont de Facebook. De altfel a și recunoscut acest lucru în fața instanței de judecată.

Fiind vorba despre accesarea unui serviciu al societății informaționale consider că nu poate fi vorba despre accesarea unui sistem informatic în situația prezentată. Cu toate acestea, în doctrina de specialitate se admite că respectivul cont de Facebook este creat și găzduit pe o „mașină virtuală” (pe un server) și, prin acțiunea sa, studentul a accesat, cu intenție, zona din server alocată contului persoanei vătămate, situație în care ar fi incidente dispozițiile art. 360 alin. 1 și 2 Cod penal. În ceea ce privește însă alin. 3 din art. 360 Cod penal acesta ar putea fi reținut dacă ar exista o încălcare efectivă a măsurilor de securitate, nu însă și în ipoteza în care făptuitorul accesează sistemul informatic prin intermediul unor credențiale de acces deja cunoscute.

În context, previzionez ca la momentul oportun, legiuitorul să ia în considerație incriminarea accesului ilegal la un serviciu de comunicații electronice ori la un serviciu al societății informaționale în vederea eliminării eventualelor necorelări sau neclarități.

2. Ce înseamnă „obținerea datelor informatice”?

În cadrul unei proceduri de sesizare a instanței cu un acord de recunoaștere a vinovăției, inculpatul a fost condamnat la pedeapsa de 6 ani închisoare sub aspectul săvârșirii infracțiunii prevăzute de art. 360 alin. 1, 2 și 3 Cod penal constând în aceea că „a pătruns în biroul persoanei vătămate (…) și a sustras un portofel în care se afla suma de 185 lei și un card bancar BCR; (…) după sustragerea portofelului, găsind în interior un card bancar și un înscris care conținea codul PIN atașat cardului, în intervalul orar 15.49 – 15.51, în mod repetat, la intervale scurte de timp a utilizat fără drept instrumentul de plată electronică, respectiv a efectuat de la un ATM trei operațiuni de retragere de numerar, sustrăgând astfel sumele de 1.000, 2.000 și 2.000 lei (în total suma de 5.000 lei)”. Pe lângă infracțiunea de acces ilegal la un sistem informatic s-a reținut în sarcina inculpatului, printre altele, și infracțiunea de efectuarea de operațiuni financiare în mod fraudulos.

Sigur că, dată fiind procedura recunoașterii, motivarea instanței, cel puțin cu privire la reținerea art. 360 alin. 2 Cod penal lipsește². Probabil că s-a avut în vedere „captarea vizuală a datelor” afișate de ATM, însă nu aceasta a fost intenția și scopul inculpatului, care ar fi săvârșit infracțiunea de acces ilegal la un sistem informatic, indiferent de afișarea sau nu a datelor pe ecran; astfel, raportat la situația de fapt reținută în sarcina inculpatului apreciez că varianta de la alin. 2 al art. 360 Cod penal a fost reținută în mod greșit, iar soluția corectă ar fi fost reținerea doar a infracțiunii incriminate în varianta tip (art. 360 alin. 1 Cod penal).

O situație de fapt interesantă și diferită, din perspectiva art. 360 alin. 2 Cod penal, este și cea reținută în cuprinsul Sentinței penale nr. 1/PI din 03.01.2020 pronunțată de Tribunalul Timiș constând în „accesarea fără drept a unui sistem informatic prin folosirea unui program informatic la care accesul este interzis (sistemele POS) pentru anumite categorii de utilizatori în scopul obținerii de date informatice.”³, întrucât „programul informatic” reprezintă un „ansamblu de instrucţiuni care pot fi executate de un sistem informatic în vederea obţinerii unui rezultat determinat”⁴, cum ar fi: sistemele de operare, programe antivirus etc., și nu un sistem informatic.

3. POS-ul este un sistem informatic în înțelesul art. 360 Cod penal?

Un alt caz în care prima instanță de judecată a dispus în mod greșit schimbarea încadrării juridice reținând acuzației aduse inculpatului inclusiv alin. 2 al art. 360 Cod penal a fost remediată de instanța de control judiciar⁵, apreciindu-se că „prima instanţă a apreciat în mod eronat că situaţia unui bancomat – aparat care necesită întotdeauna introducerea unui cod PIN, iar în cazul în care acesta este corect, permite accesul direct al celui care a introdus-o la datele informatice aferente contului bancar al posesorului cardului – ar fi aceeaşi cu cea a unui aparat POS, destinat exclusiv efectuării de plăţi la comercianţi şi care, indiferent de necesitatea introducerii sau nu a unui cod PIN, nu permite decât realizarea unei singure plăţi, fără ca persoana care foloseşte cardul bancar să obţină acces direct la datele informatice deţinute de bancă. Rezultă aşadar că în cazul folosirii fără drept a unui card bancar autentic la un aparat POS aparţinând unui comerciant în vederea efectuării de plăţi, această faptă nu are ca scop obţinerea de date informatice, deoarece acest tip de operaţiune nu este de plano aptă să conducă la obţinerea unor astfel de date. În acest context, Curtea a subliniat din nou că persoana care foloseşte cardul la un aparat POS nu poate obţine în acest mod decât efectuarea unei plăţi şi niciodată acces la date informatice.” Soluția instanței de control judiciar de reținere în sarcina inculpatului doar varianta tip a infracțiunii prevăzute de art. 360 Cod penal este corectă. Desigur că în cauză s-a reținut și infracțiunea de efectuare de operaţiuni financiare în mod fraudulos.

O situație și mai interesantă este cea reținută în cuprinsul Sentinței penale nr. 235/F din 14.02.2019 a Tribunalului București, în care deși inculpatul a încercat să efectueze plăți cu două carduri bancare anterior sustrase nu a reușit întrucât unul dintre cele două instrumente de plată electronică nu avea fonduri suficiente, iar la celălalt era blocat accesul, fiind condamnat însă pentru două infracțiuni de acces ilegal la un sistem informatic prevăzută de art. 360 alin. 1 Cod penal la câte 3 ani închisoare fiecare⁶. Având în vedere că inculpatul a utilizat cele două carduri bancare în același context și în aceeași împrejurare apreciez că în cauză ar fi trebuit să fie reținută forma continuată a infracțiunii de acces ilegal la un sistem informatic. În cauză se impunea reținerea formei continuate și în privința infracțiunilor de tentativă la efectuarea de operațiuni financiare în mod fraudulos.

Deopotrivă, într-o speță cu obiect similar, mi-a atras atenția motivarea instanței de judecată: „În cauză se va reține varianta calificată a infracțiunii de acces ilegal la un sistem informatic. Alin. 2 se va reține întrucât fapta a fost săvârșită în scopul obținerii de date informatice, constând în datele informatice ce se regăsesc pe server-ul unității bancare emitente a cardului ce permit verificarea soldului contului bancar la care este atașat cardul bancar, precum și verificarea validității cardului. Alin. 3 se va reține întrucât sistemul informatic al POS-ului și al băncii emitente a cardului este restricționat prin intermediul procedurilor interne pentru utilizatorii legitimi ai cardurilor bancare și, în plus, în cazul efectuării tranzacțiilor prin tastarea codului PIN există o restricție suplimentară generată de introducerea codului corect. Astfel, forma agravată se va reține și atunci când nesocotirea restricției este facilitată de carențele sistemului de protecție, care permit eludarea facilă a protecției. Înlăturarea cerinței tastării codului PIN pentru plățile contactless sub 100 lei s-a făcut ca urmare a unei dispoziții standard a băncii, acceptate de persoana vătămată în mod tacit, împrejurare ce nu poate fi reținută în favoarea inculpatei.”⁷ Situația de fapt era circumscrisă efectuării a „nouă plăți contactless la aparatul POS al unității comerciale la care era angajată, în cuantum de 650 lei, sumă pe care și-a însușit-o în numerar din încasări, accesând totodată fără drept sistemul informatic al băncii emitente a cardului, dar și al POS-ului.” Opinia instanței de a considera ca fiind echivalente noțiunile de „accesare a sistemului informatic POS” și „plata contactless” este eronată.

Din punct de vedere tehnic, deși POS-ul poate fi considerat un sistem informatic, apreciez ca fiind exagerată interpretarea instanțelor de judecată, putând crea precedente nedorite în sensul de a considera ca orice interacțiune cu un echipament electronic ar reprezenta infracțiunea de acces ilegal la un sistem informatic pe motiv că acel device funcționează ca un sistem informatic. În cauză, apreciez că s-ar fi impus doar reținerea infracțiunii de efectuare de operațiuni financiare în mod fraudulos (art. 250 Cod penal).

4. In dubio pro reo se aplică și în domeniul criminalității informatice?!

Discutabilă ar fi și soluția Î.C.C.J. pronunțată printr-o decizie⁸ prin care inculpatul a fost condamnat, printre altele, la pedeapsa de 6 luni închisoare pentru infracţiunea de acces ilegal la un sistem informatic, prev. de art. 42 din Legea nr. 161/2003, cu aplicarea art. 41 alin. (2) din C. pen. anterior şi art. 5 din C. pen., reținându-se că acesta ar fi folosit fără drept cardul bancar al bunicii sale decedate, accesând un sistem informatic (bancomat). Inculpatul s-a apărat afirmând că bunica sa i-a dat cardul să-l folosească încă de la început, că a mers cu ea la bancă să deschidă contul şi că a avut împuternicire pe cont, iar faptul că a avut dreptul să îl folosească a rezultat şi din faptul că avea codul PIN. În sprijinul susținerilor sale a solicitat administrarea unor probe (audieri de martori, solicitare înscrisuri de la unitatea bancară), cereri care au fost respinse. A afirmat totodată că încadrarea juridică care i-a fost reţinută este specifică acelora care clonează carduri şi sustrag bani din contul titularilor, fără drept, lucru care nu are nicio legătură cu situaţia de faţă. Înalta Curte a respins apărările inculpatului reținând în sarcina inculpatului „folosirea ilegală a unui card bancar aparţinând bunicii sale decedate, accesarea ilegală a bancomatului şi efectuarea de operaţiuni financiare”. Deși în motivarea instanței apare frecvent sintagma „folosirea ilegală a unui card bancar”, alături de „efectuarea de operațiuni financiare în mod fraudulos”, cea dintâi nu reprezintă o infracțiune distinctă, ci o manifestare a infracțiunii prevăzute de art. 250 Cod penal. Interesant este că Instanța Supremă a invocat în susținerea soluției lipsa relevanței calității de unic moștenitor a inculpatului și a acordului dat de bunica la folosirea cardului de vreme ce nu existau la dosar documente cu privire la situaţia decesului titularului şi folosirea cardului, prin cunoaşterea elementului de siguranţă de către apelantul inculpat, deși probatoriul solicitat anterior de inculpat a fi administrat în cauză a fost respins. Observ că prezumția instanței cu privire la săvârșirea infracțiunii de acces ilegal la un sistem informatic a fost una de vinovăție, prezumție extrasă din ansamblul situației de fapt ce contura săvârșirea, atât sub aspect obiectiv, cât și subiectiv, săvârșirea infracțiunilor de complicitate la fals informatic și fraudă informatică, dar și efectuarea de operațiuni financiare în mod fraudulos.

O condamnare recentă a fost menținută de Curtea de Apel Ploiești prin Decizia penală nr. 299 din 25 martie 2020⁹ sub aspectul săvârșirii infracțiunii prevăzute de art. 360 alin. 1 și 3 Cod penal – 18 acte materiale și a infracțiunii de fraudă informatică (art. 249 Cod penal) – 18 acte materiale, constând în aceea că inculpata, în calitate de consilier în cadrul Trezoreriei, „a accesat fără drept, sistemul informatic al Trezoreriei Boldești Scăieni, prin logarea la aplicația TREZOR, unde deținea un cont utilizator „creator” cu ID-ul TREZ13 și parolă aferentă (care conform normelor interne era actualizată/schimbată de două ori pe lună) și a validat  aceste  operațiunii frauduloase, utilizând contul utilizator „care confirm” cu ID-ul SEP 01 și parolă aferentă pe care le deținea.” Operațiunile financiare de plăți din conturile unor clienți s-au efectuat fără a avea acordul sau aprobarea acestora către un cont bancar deschis de soțul său.

Întrucât alte detalii relevante cu privire la situația de fapt nu sunt prezentate în speță, cel puțin sub aspectul infracțiunii prevăzute de art. 360 Cod penal, apreciez că în mod corect instanța de judecată a reținut în sarcina inculpatei dispozițiile variantei tip a infracțiunii prevăzute de art. 360 Cod penal, întrucât funcționarul bancar este autorizat de unitatea bancară angajatoare să acceseze (să utilizeze) sistemul informatic într-un anume scop (legal) și în baza unei proceduri de lucru aprobate. Orice altă operațiune bancară efectuată cu depășirea limitelor stabilite de angajator reprezintă un act ilegal (manifestat prin depășirea limitelor autorizării), mai ales dacă acesta se suprapune cu altele, de pildă cu acte materiale circumscrise infracțiunii de fraudă informatică. În ce privește reținerea variantei agravante (art. 360 alin. 3 Cod penal) apreciez că aceasta nu se impunea, de vreme ce nu rezultă că inculpata ar fi încălcat/eludat vreo măsură de securitate, deținând cont de utilizator și parola aferentă în exercițiul curent al activității sale.

Concluzii

Se observă din practica judiciară că sfera de protecție pe care legiuitorul a înțeles să o acorde sistemelor informatice ar fi aparent mult mai largă, existând cazuri în care organele judiciare analizează potențiale incriminări ale normei legale în situații particulare.

Este foarte important ca legislația din domeniul criminalității informatice să beneficieze de o atenție sporită pentru a răspunde într-adevăr nevoii de protecție socială conform normei de incriminare, cu evitarea interpretărilor exagerate și forțate ale normelor de drept.

Fără doar și poate este evident că dacă toate datele tehnice care se circumscriu elementului material al infracțiunilor informatice, nu sunt înțelese de cineva care le aplică sau utilizează astfel de sisteme informatice și/sau programe informatice sunt foarte dificil de înțeles, iar lipsa informațiilor tehnice la nivelul practicienilor dreptului pot produce consecințe grave, pentru că un magistrat care condamnă în loc să achite săvârșește o eroare judiciară.

NOTE DE SUBSOL

1. Tribunalul Arad, Sentința penală nr. 38 din 21.02.2019, disponibilă aici: http://rolii.ro/hotarari/5c9c36c1e490098c0900003a.

2. Tribunalul Cluj, Sentința penală nr. 344 din 23.12.2019, disponibilă aici: http://rolii.ro/hotarari/5e4df379e490099c22000038.

3. Tribunalul Timiș, Sentința penală nr. 1/PI din 03.01.2020, disponibilă aici: http://rolii.ro/hotarari/5e34e676e49009e41e00004b.

4. Sursa: (c) 2018 dr. Maxim DOBRINOIU, Universitatea Nicolae Titulescu Bucureşti, disponibil pe www.e-crime.ro.

5. Curtea de apel București, Secția a II-a penală, Sentința penală nr. 675 din 17 mai 2019, disponibilă aici: https://www.jurisprudenta.com/jurisprudenta/speta-15mbq13o/.

6. Tribunalul București, Sentința penală nr. 235/F din 14.02.2019, disponibilă aici: http://rolii.ro/hotarari/5c80873be49009281b000042

7. Tribunalul București, Sentința penală nr. 111 din 28.01.2020, disponibilă aici: http://rolii.ro/hotarari/5e38d8a3e49009801c00002c.

8.  Î.C.C.J., Secția penală, Decizia nr. 19/A/2020 din 22 ianuarie 2020, disponibilă aici:
http://www.scj.ro/1093/Detalii-jurisprudenta?customQuery%5B0%5D.Key=id&customQuery%5B0%5D.Value=157728.

9. Curtea de Apel Ploiești, Decizia penală nr. 299 din 25 martie 2020, disponibilă aici: http://rolii.ro/hotarari/5ea78cede49009381d000036.