Secţiuni » Materii / Arii de practică » Business » Cyberlaw
Cyberlaw
DezbateriCărţiProfesionişti
Banner BA-01
Servicii JURIDICE.ro
Banner BA-02
Cyberlaw Drept penal RNSJ
5 comentarii

Greşita interpretare a accesului la un sistem informatic. Consecinţe practice

13 mai 2013 | George ZLATI

Remarcăm cu regret faptul că în practica judiciară se evidenţiază o tendinţă de a identifica un acces fără drept la un sistem informatic în contextul în care agentul plasează în fanta bancomatului un skimmer, iar victima introduce ulterior un card ale cărui date ajung să fie copiate în memoria internă a skimmer-ului ori transmise prin WiFi sau bluetooth pe un terţ sistem informatic ori mediu de stocare. Din nefericire, această optică a ajuns să fie împărtăşită chiar şi de o parte a doctrinei[1], fără a se prezenta însă argumentele în baza cărora s-a ajuns la o asemenea concluzie – ca şi cum încadrarea juridică supusă prezentei discuţii ar fi de ordinul evidenţei.

Prin urmare, apreciem ca fiind imperios necesar a oferi o analiză sumară din care să reiasă teza conform căreia copierea datelor de pe un instrument de plată electronică, prin intermediul unui skimmer plasat în fanta bancomatului, nu atrage per se tipicitatea faptei prevăzute de art. 42 din Legea nr. 161/2003 (art. 360 noul Cod penal).

În ceea ce priveşte soluţia oferită de Înalta Curte de Casaţie şi Justiţie[2] ne-am expus punctul de vedere şi cu o altă ocazie[3].

Se observă însă că soluţia la care am făcut trimitere mai sus, nu este una singulară – copierea de date prin intermediul skimmer-ului plasat în fanta bancomatului fiind percepută în dese rânduri în practica judiciară drept un acces neautorizat la un sistem informatic.

Astfel, prin decizia penală nr. 2094/2010 a ICCJ[4], s-a respins recursul formulat de inculpaţi cu privire la latura penală. În primă instanţă, s-a reţinut faptul că aceştia au săvârşit infracţiunea de acces neautorizat la un sistem informatic (bancomate) prin încălcarea măsurilor de securitate, în scopul obţinerii de date informatice (conturi de carduri şi parole de acces). În mod surprinzător, autorul citat a criticat în nota deciziei [5], faptul că organele judiciare omit în dese rânduri să reţină şi infracţiunea de acces neautorizat la un sistem informatic.

Aceeaşi soluţie a fost dată şi prin decizia penală nr. 5288/2006 a ICCJ[6] unde s-a statuat faptul că prin montarea skimmer-ului în fanta bancomatului, citirea benzii magnetice a instrumentului de plată şi stocarea datelor obţinute de pe acesta implică un acces neautorizat la un sistem informatic. De asemenea, prin decizia penală nr. 57/2009[7], Curtea de Apel Galaţi a ajuns la aceeaşi concluzie.

Apreciem toate aceste soluţii de practică judiciară ca fiind eronate sub aspectul încadrării juridice, pentru motivele ce urmează să le facem cunoscute în continuare.

1. În primul rând, este util a vedea modul în care skimmer-ul ajunge să copieze datele stocate pe instrumentul de plată electronic (cardul bancar).

În acest context, analizăm doar copierea datelor stocate pe instrumentul de plată electronică în momentul în care partea vătămată doreşte să utilizeze acest instrument în vederea retragerii de numerar de la bancomat.

Aceasta întrucât, în practica judiciară, prezenta ipoteză este cea care oferă de cele mai multe ori contur unor încadrări juridice îndoielnice.
Skimmer-ul introdus în fanta bancomatului este conceput în aşa fel încât să imite cu acurateţe gura bancomatului, în vederea inducerii în eroare a titularului instrumentului de plată electronică.

Acest skimmer, ca dispozitiv, este format din componente susceptibile să citească informaţiile stocate pe banda magnetică a instrumentului de plată. Odată copiate, acestea sunt fie stocate în memoria skimmer-ului, fie sunt transmise prin WiFi în memoria unui alt dispozitiv cu care se află într-o relaţie funcţională. În această ultimă ipoteză, agentul nu mai este nevoit să revină la bancomat pentru recuperarea datelor obţinute de skimmer, acestea fiind practic transmise la distanţă în momentul copierii datelor de pe banda magnetică.

Ceea ce este esenţial în toată această operaţiune, este faptul că skimmer-ul nu interacţionează la nivel logic cu bancomatul, ci doar cu banda magnetică a instrumentului de plată electronică. Mai mult, informaţiile de pe banda magnetică sunt citite înainte ca instrumentul de plată electronică să interacţioneze cu vreo componentă legitimă a bancomatului. Această lipsă a vreunei interacţiuni se datorează faptului că skimmer-ul funcţionează independent, el însuşi putând fi catalogat drept un sistem informatic.

2. Din punct de vedere juridic, apreciem că instanţele au ajuns să interpreteze în mod superfluu noţiunea de acces la un sistem informatic. Profitând de faptul că legiuitorul a optat pentru transpunerea fidelă a Convenţiei privind criminalitatea informatică – unde lipseşte o definiţie legală a noţiunii de acces –, unele instanţe au aplicat textul de incriminare prevăzut de art. 42 din Legea nr. 161/2003 pentru unele situaţii în care nici măcar cea mai generoasă interpretare a noţiunii de acces nu ar putea evoca un comportament tipic prin raportare la norma de incriminare supusă atenţiei.

Dincolo de faptul că doctrina tinde, din nefericire, să ofere definiţii atotcuprinzătoare în această materie, nu se poate omite faptul că în cele din urmă, pentru a discuta despre un acces la un sistem informatic trebuie identificată o interacţiune cu acesta. Or, această interacţiune, pentru a fi relevantă din punct de vedere penal trebuie să fie una la nivel logic. Este evident că atunci când accesul nu se realizează de la distanţă, dincolo de interacţiunea la nivel logic, discutăm şi despre o interacţiune fizică între agent şi componentele hardware ale sistemului informatic accesat. Totuşi, chiar dacă o interacţiune logică poate să implice şi o interacţiune fizică, doar o interacţiune fizică nu poate atrage niciodată tipicitatea faptei prevăzute de art. 42.

Prin urmare, nu putem decât să ne întrebăm care este interacţiunea la nivel logic în ipoteza în care skimmer-ul din fanta bancomatului copiază în mod independent datele stocate pe banda magnetică a instrumentului de plată electronică? În ceea ce ne priveşte, răspunsul este mai mult decât evident. Această interacţiune la nivel logic nu există, prin urmare nu putem discuta despre un acces fără drept la un sistem informatic (în speţă, bancomatul).

Această eroare crasă privind încadrarea juridică a faptei supusă discuţiei nu denotă decât coplexitatea noţiunii de acces la un sistem informatic. Deşi aparent o noţiune simplă in abstracto, în cazuri concrete se poate observa că lucrurile nu sunt chiar aşa cum par. Această aparentă simplitate s-a reflectat însă atât în doctrină, cât şi în practica judiciară în materie. De exemplu, în dreptul francez nu se insistă deloc în legătură cu modul în care se realizează accesul – preferându-se doar a se remarca faptul infracţiunea poate fi comisă printr-un acces fără drept ori prin menţinerea unui astfel de acces. În dreptul român, se consideră fie că accesul este orice interacţiune reuşită cu un sistem informatic, fie că acesta reprezintă capacitatea de a da comenzi, de a cauza introducerea, obţinerea, afişarea, stocarea ori diseminarea de date informatice sau folosirea în orice alt mod a resurselor unui calculator, sistem sau reţea informatică sau comunicarea cu unităţile sale aritmetice, logice sau de memorie[10].

Ambele definiţii sunt criticabile. În primul rând, prima se dovedeşte a fi în totală contradicţie cu Raportul explicativ al Convenţiei privind criminalitatea informatică, unde se statuează faptul că anumite acte (precum trimiterea unui E-mail) nu implică un acces la un sistem informatic. Or, interacţiunea reuşită ar acoperi şi aceste domenii excluse de sub incidenţa prevederilor Convenţiei. Am ajunge practic în situaţia paradoxală în care legiuitorul român a transpus în mod fidel Convenţia în dreptul intern, dar aplicarea acesteia s-ar face dincolo de intenţia legiuitorului European. Nu dorim să insistăm în legătură cu acest aspect, însă, nu orice interacţiune reuşită cu un sistem informatic este susceptibilă să lezeze valoarea socială protejată de norma de incriminare. Prin urmare, este evident că trebuie să ne întrebăm care sunt acele interacţiuni reuşite susceptibilă să lezeze obiectul juridic. Or, o asemenea discuţie nu evidenţiază decât problemele acestei definiţii.

Ce-a de a doua definiţie la care am făcut trimitere este inspirată din dreptul american, unde accesul a primit o reglementare legislativă. Cu toate acestea, criticile de mai sus rămân valabile şi în cazul acestei definiţii – chiar dacă definiţia în sine prezintă o îmbunătăţire a status quo.

În ceea ce ne priveşte, am mai statuat la un moment dat faptul că accesul trebuie să fie unul propriu-zis, înţelegând prin aceasta posibilitatea ca agentul, prin interacţiunea logică pe care o are cu sistemul informatic să poată beneficia (ori să existe cel puţin potenţial această posibilitate) de funcţiile ori resursele sistemului informatic. Această abordare ar fi din punctul nostru de vedere suficient de restrictivă pentru a nu extinde câmpul de aplicabilitate a normei de incriminare dincolo de ceea ce s-a dorit şi suficient de abstractă încât să poată suferi anumite interpretări evolutive.

Oricum, indiferent de definiţia la care ne raportăm, utilizarea unui skimmer nu implică şi un acces la bancomat. Aceasta întrucât, aşa cum am menţionat în repetate rânduri, lipseşte elementul esenţial în ceea ce priveşte accesul – o anumită formă de interacţiune la nivel logic. Recomandarea noastră în acest sens, este de a renunţa la asemenea încadrări juridice şi la o interpretare adecvată a noţiunii de acces – atât în doctrină cât şi în practica judiciară.


[1] A se vedea în acest sens C. Duvac, Accesul ilegal la un sistem informatic în reglementarea noului Cod penal, în RRDPI, nr. 1/2012, p. 96.
[2] Decizia penală nr. 371 din 2 februarie 2010 – disponibilă pe site-ul http://www.scj.ro.
[3] A se vedea în acest sens G. Zlati, Unele aspecte în legătură cu infracţiunile informatice din perspectiva legislaţiei în vigoare, precum şi a noului Cod penal, în Dreptul, nr. 10/2012, p. 218-221; G. Zlati, ICCJ şi accesul fără drept la un sistem informatic prin încălcarea măsurilor de securitate. Raportul cu operaţiunea de skimming. Probleme de tipicitate – material disponibil pe site-ul http://www.penalmente.eu).
[4] Citată în A. Trancă, Infracţiuni informatice. Practică judiciară, Ed. Hamangiu, Bucureşti, 2011, pp. 118 şi urm.
[5] Idem., p. 124.
[6] Citată în A. Trancă, Infracţiuni…, cit. supra, p. 135 şi urm.
[7] Disponibilă pe site-ul http://www.jurisprudenta.org.
[8] E. Dreyer, Droit pénal spécial, Ed. Ellipses, Paris, pp. 366-367.
[9] I.C. Spiridon, Reflecţii cu privire la legislaţie română în domeniul criminalităţii informatice, Dreptul, nr. 6/2008, p. 238.
[10] I. Vasiu, L. Vasiu, Contaminanţii informatici ca vector al accesului ilegal, RDP, nr. 2/2006, p. 37.
[11] G. Zlati, Sancţionarea accesului neautorizat la o reţea wireless şi utilizarea fără drept a serviciului de Internet, Caiete de drept penal, nr. 2/2011.


George ZLATI

Evenimente programate
NOU! Despre bani în profesii juridice: avocați, executori, notari, consilieri juridici și alți profesioniști ai dreptului
18 septembrieȘcoala Superioară de Cadre
19 septembrieImpactul legii 243/2024 asupra creditorilor IFN/cesionari de creanțe
23 septembrieFraudarea creditorilor – eficacitatea mijloacelor actuale pentru combaterea ei
25 septembrieNoutățile Legii nr. 214/2024 – ce efecte poate avea semnătura electronică
26 septembrieJURIDICE by Night. Golden Season edition
30 septembrieAvocatura: onorariu orar vs. onorariu global
5 octombrieStart Curs INGENIO de pregătire pentru Barou, INM & Magistratură, Notariat și Licență
7 octombrieDacă UIT, 100.000 de lei amendă! (RO E-TRANSPORT)
14 octombrieImpactul sancțiunilor impuse de Consiliul Concurenței asupra pieței editoriale din România: între protecția concurenței și drepturile de autor
21 octombrieAbilitățile de negociere: un moft sau o necesitate?
31 octombrieJURIDICE by Night. Mystic Night. Halloween edition
11 noiembrieFraudarea fondurilor europene: infracțiune de 1 Euro? (Necesitatea stabilirii unui prag valoric minim pentru infracțiunea de fraudare a fondurilor europene)
18 noiembrieSocial Media. Răspunderea juridică în caz de Share și Repost care deranjează
23 noiembrieStart Curs Admitere INM/ Magistratură & Avocatură 2025
28 noiembrieJURIDICE by Night. Autumn Allure edition
2025The Congress / The biggest legal event

Citeşte mai mult despre , , ! Pentru condiţiile de publicare pe JURIDICE.ro detalii aici.
Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

 
Homepage J JURIDICE   Cariere   Evenimente   Dezbateri   Profesionişti   Lawyers Week   Video
 
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Sustenabilitate
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi
Drept maritim
Parteneri ⁞ 
Specialişti
Materii / Arii de practică
Business ⁞ 
Litigation ⁞ 
Protective
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul penal al afacerilor
Dreptul familiei
Dreptul muncii
Dreptul securităţii sociale
Dreptul Uniunii Europene
Dreptul sportului
Drepturile omului
Articole
Essentials
Interviuri
Opinii
Revista de note şi studii juridice ISSN
Note de studiu
Studii
Autori ⁞ 
Publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională a României
Înalta Curte de Casaţie şi Justiţie
Dezlegarea unor chestiuni de drept
Recurs în interesul legii
Jurisprudenţă curentă ÎCCJ
Curţi de apel
Tribunale
Judecătorii
Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene
Flux noutăţi
Selected
Top Legal
Avocaţi
Consilieri juridici
Executori
Notari
Sistemul judiciar
Studenţi
RSS ⁞ 
Publicare comunicate
Proiecte speciale
Cărţi
Condoleanţe
Covid-19 Legal React
Creepy cases
Life
Poezii
Povestim cărţi
Poveşti juridice
Războiul din Ucraina
Revista revistelor juridice
Wisdom stories

J   Servicii   Membership   Comunicare   Documentare   Legal Talent Search   Partnership   Servicii tehnice