Lipsa de claritate și predictibilitate a normei penale ce incriminează frauda informatică
18 ianuarie 2019 | Alexandru FRUNZĂ-NICOLESCU
Alexandru Frunză-Nicolescu
Dezvoltarea rapidă a noilor tehnologii de comunicare, globalizarea, digitalizarea și accesul la Internet pentru peste 3,2 miliarde de oameni[1], conjugate cu riscul ca persoanele care se ocupă cu comiterea de infracțiuni să folosească sistemele informatice și rețelele de comunicare pentru a-și facilita activitatea infracțională și a ascunde urmele infracțiunii, au făcut ca mare parte din statele lumii să ia măsuri adecvate pentru a-și adapta legislația penală la aceste noi realități.
România nu a rămas în urmă în acest domeniu, adoptând o legislație penală specială menită să sancționeze eficient infracțiunile comise prin intermediul sistemelor informatice sau împotriva integrității, confidențialității și securității datelor și sistemelor informatice.
La fel ca în cazul majorității țărilor membre ale Consiliului Europei[2], România a transpus în legislația națională prevederile Convenției de la Budapesta[3], legislația specifică pentru combaterea criminalității informatice fiind inclusă în conținutul Legii nr. 161/2003 și mai apoi preluată în cuprinsul noului Cod Penal.
În rândurile de mai jos mă voi referi la norma de incriminare a infracțiunii de fraudă informatică, una dintre infracțiunile ce sunt comise prin intermediul sistemelor informatice, prezentându-mi opinia referitor la o posibilă lipsă de claritate și predictibilitate a acestei norme și, în consecință, la nevoia de ameliorare a textului legal de incriminare.
Infracțiunea de fraudă informatică a fost incriminată pentru prima dată în legislația românească prin intermediul articolului 49 din Legea nr. 161/2003, articol ce prevedea următoarele:
”Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau ştergerea de date informatice, prin restricţionarea accesului la aceste date ori prin împiedicarea în orice mod a funcţionării unui sistem informatic, în scopul de a obţine un beneficiu material pentru sine sau pentru altul, constituie infracţiune şi se pedepseşte cu închisoare de la 3 la 12 ani.”
Infracțiunea era inclusă în secțiunea a doua a Legii nr. 161/2003, denumită marginal Infracțiuni informatice, fără a fi însă intitulată ”fraudă informatică”.
Odată cu intrarea în vigoare a noilor Coduri penal și de procedură penală, infracțiunea prevăzută de art. 49 din Legea nr. 161/2003 a fost abrogată, norma fiind înlocuită de articolul 249 din Codul Penal, cu următorul conținut:
”Introducerea, modificarea sau ştergerea de date informatice, restricţionarea accesului la aceste date ori împiedicarea în orice mod a funcţionării unui sistem informatic, în scopul de a obţine un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane, se pedepseşte cu închisoarea de la 2 la 7 ani.”
De această dată, infracțiunea a fost denumită generic ”fraudă informatică”.
În ceea ce privește cele două norme care s-au succedat, conținutul legal este unul similar, articolul 249 din Codul Penal neaducând vreo modificare de esență a normei din Legea nr. 161/2003.
De ce consider eu că cele două norme penale ce au incriminat sau incriminează infracțiunea de fraudă informatică au fost și sunt în continuare lipsite de claritate și predictibilitate?
În primul rând, pentru că din conținutul celor două texte de incrimare lipsește cel mai important element de natură subiectivă atunci când discutăm despre o infracțiune de fraudă/ înșelăciune, în orice modalitate ar fi ea comisă, și anume intenția autorului faptei de a frauda/ înșela pe cineva. Fără intenția autorului de a induce în eroare, așa cum în mod logic este menționat în norma ce sancționează infracțiunea de înșelăciune în formă clasică, nu putem discuta despre o infracțiune de fraudă informatică.
Nu este clar cum de s-a strecurat această omisiune de menționare a intenției de fraudare ca element volitiv necesar subzistenței infracțiunii de fraudă informatică în cuprinsul textului de incriminare al articolului 49 din Legea nr. 161/2003 și cum s-a propagat ulterior aceeași omisiune în cuprinsul articolului 249 din Codul penal nou, atâta timp cât cele două norme de incriminare reprezintă transpunerea în legislația penală națională al articolului 8 din Convenția de la Budapesta, articol care prevede următoarele:
Articolul 8 – Frauda informatică
Fiecare țară parte va adopta legislație și orice alte măsuri necesare pentru a stabili ca infracțiune, atunci când este comisă cu intenție și fără drept, cauzarea unui prejudiciu unei alte persoane prin:
– Introducerea, modificarea sau ştergerea de date informatice
– Orice interferare în buna funcționare a unui sistem informatic,
Cu intenția frauduloasă sau necinstită de a obține, fără drept, un câștig economic pentru sine sau pentru o altă persoană.[4]
În al doilea rând, o a doua omisiune strecurată la momentul redactării textului de incriminare, este lipsa inserării în cuprinsul celor două norme penale a specificației că, pentru a fi sancționată penal, fapta constând în una sau mai multe dintre acțiunile de introducere, modificare sau ştergere de date informatice, restricţionare a accesului la aceste date ori împiedicare în orice mod a funcţionării unui sistem informatic, trebuie să fie exercitată fără drept.
Lipsa condiționării existenței infracțiunii de fraudă informatică de exercitarea fără drept a elementului material al acesteia, este o omisiune cu atât mai greu de înțeles cu cât în cuprinsul Legii nr. 161/2003, la articolul 35 alin. 2 se definește în mod explicit expresia ”fără drept”:
Art. 35
(2) În sensul prezentului titlu, acţionează fără drept persoana care se află în una dintre următoarele situaţii:
a) nu este autorizată, în temeiul legii sau al unui contract;
b) depăşeşte limitele autorizării;
c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfăşura cercetări ştiinţifice sau de a efectua orice altă operaţiune într-un sistem informatic.
În plus, articolul 35 alin. 2 din Legea nr. 161/2003 își produce în continuare efectele, nefiind abrogat prin noul Cod Penal.
Mai mult, în cazul infracțiunii de fals informatic, prevăzută de art. 48 din Legea nr. 161/2003 și ulterior de art. 325 Cod penal, exercitarea fără drept a acțiunilor de introducere, modificare sau ștergere de date și restricționarea accesului la aceste date, este o cerință esențială pentru subzistența acestei infracțiuni. Din nou, nu este clar de ce în textul de incriminare a infracțiunii de fals informatic este inserată cerința exercitării fără drept, pe când în textul de incriminare a infracțiunii de fraudă informatică această cerință lipsește, în condițiile în care elementul material al celor două infracțiuni este aproape identic, infracțiunile diferențiindu-se prin scopul urmărit de autor la momentul comiterii faptelor.
Revenind la Convenția de la Budapesta, așa cum se poate observa în conținutul articolului 8, doar acțiunile materiale specificate în text ce sunt efectuate cu intenție și fără drept urmează a fi incriminate, statele semnatare ale Convenției neavând în niciun moment intenția de a sancționa comportamente legale. Mai mult, în cuprinsul Raportului explicativ al Convenției, raport care ajută la o mai bună înțelegere și aplicare a Convenției pentru părți, cu referire la infracțiunea informatică, se specifică:
”Infracțiunea trebuie să fie comisă fără drept, iar beneficiul economic trebuie obținut fără drept. Bineînțeles, practicile comerciale obișnuite legale, care au ca scop procurarea unui beneficiu economic, nu sunt prevăzute a fi incriminate ca infracțiune de către acest articol deoarece sunt efectuate în mod legal.” [5]
Lipsa celor două cerințe din conținutul prevederii legale, respectiv intenția de inducere în eroare și exercitarea fără drept, face ca, printr-o interpretare gramaticală a textului de incriminare a infracțiunii de fraudă informatică, în cazul oricărui tip de introducere, modificare sau ştergere de date informatice, restricţionare a accesului la aceste date ori împiedicare în orice mod a funcţionării unui sistem informatic, fie ea efectuată cu drept sau fără intenția de a înșela pe cineva, să fie întrunite elementele de tipicitate obiectivă și subiectivă ale infracțiunii de fraudă informatică.
O situație cu titlu exemplificativ referitor la modalitatea în care textul articolului art. 249 Cod penal poate fi aplicabil unui caz în care e evident că acțiunile desfășurate nu au nicio legătură cu domeniul penal este următorul:
O societate comercială care administrează un site de pariuri sportive online își desfășoară activitatea conform legii, cu obținerea autorizațiilor necesare și îndeplinirea tuturor obligațiilor specificate de legislația statului român. Pentru a-și desfășura activitatea, administratorul site-ului de pariuri introduce date informatice în sistemul său informatic, disponibile pentru utilizatorii site-ului, modifică aceste date, respectiv meciuri, oră de începere, cote etc., în condiții de legalitate, utilizatorii pariază online pe meciurile alese, o parte dintre aceștia pierzând, în mod firesc, sumele de bani pariate. Banii pierduți de utilizatori la pariuri sunt câștigați în mod legal de societatea care administrează site-ul de pariuri, societate ce își desfășoară activitatea tocmai pentru a obține un profit.
La final avem următoarea situație: societatea care deține site-ul a introdus, modificat, șters date sau restricționat sistemul informatic, în scopul de a obține pentru sine un folos economic, cauzând totodată un prejudiciu jucătorului de pariuri.
Acțiunea descrisă mai sus se pliază perfect pe textul art. 249 Cod penal, acțiunile administratorului site-ului îndeplinind cerințele de tipicitate obiectivă și subiectivă ale acestei infracțiuni, comițând astfel conform textului în vigoare o infracțiune de fraudă informatică.
Sunt sigur că nu acesta este tipul de comportament pe care legiuitorul, la momentul redactării și adoptării normei de incriminare a infracțiunii informatice, a avut de gând să-l sancționeze.
Ca atare, cred că ar fi necesară o modificare a textului de incriminare a infracțiunii de fraudă informatică prin adăugarea celor două elemente esențiale menționate anterior și prevăzute în cuprinsul articoului 8 din Convenția de la Budapesta, respectiv intenția de a frauda și exercitarea elementelor materiale ale acestei infracțiuni, fără drept.
De lege ferenda, incriminarea fraudei informatice ar putea să sune astfel:
Frauda informatică
Introducerea, modificarea sau ștergerea de date informatice, restricționarea accesului la aceste date ori împiedicarea în orice mod a funcționării unui sistem infomatic, efectuate fără drept și cu intenția de a induce în eroare o persoană sau un sistem informatic, efectuate în scopul de a obține un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane, se pedepsește cu închisoare de la 2 la 7 ani.
În cuprinsul textului propus am făcut referire la intenția de a induce în eroare o persoană sau un sistem informatic, având în vedere faptul că, pentru majoritatea infracțiunilor de fraudă informatică, așa cum au fost ele gândite de redactorii Convenției de la Budapesta, acțiunile de introducere, modificare sau ștergere de date informatice trebuie să fie de natură a înșela nu o persoană fizică sau juridică, ci un sistem informatic[6].
Un exemplu relevant în acest sens al fi acela al unui făptuitor care reușește să depășească măsurile de siguranță create de Amazon pentru protecția conturilor utilizatorilor săi, pătrunde în contul userilor, schimbă contul bancar în care se efectuează plățile pentru produsele vândute de acești useri, astfel că banii ajung în contul făptuitorilor sau a complicilor acestuia. În acest caz, nu utilizatorul și nici Amazon nu au fost induse în eroare de făptuitor, ci sistemul de protecție cibernetică folosit de Amazon.
În final, pentru argumentele specificate mai sus și având în vedere că în prezent Codul penal se află într-un proces de modificare și aducere la zi, cred că ar fi oportun ca și infracțiunea de fraudă informatică să fie modificată astfel încât să devină o normă clară și predictibilă pentru participanții în procesul penal.
[1] Disponibil aici.
[2] Excepție făcând Irlanda, Rusia, San Marino și Suedia, (disponibil aici).
[3] România a ratificat Convenția de la Budapesta în data de 12.05.2004, cu efect din data de 01.09.2004 (disponibil aici).
[4] Traducere neoficială efectuată de autor.
[5] Traducere neoficială efectuată de autor.
[6] În doctrina penală belgiană și franceză, frauda informatică este descrisă drept o înșelare a unei mașini și nu o înșelare a unei persoane. A se vedea cu titlu exemplificative M.-A. Beernaert et autres, Les infractions: les infractions contre les biens (volume 1), Bruxelles, Larcier, 2008, p. 402.
Alexandru Frunză-Nicolescu
Procuror la Parchetul de pe lângă Judecătoria Sectorului 1 București
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
