Infracțiunea de terorism cibernetic – elemente constitutive și studii de caz
17 octombrie 2019 | Remus JURJ-TUDORANABSTRACT
The author analyzes the constituent elements of the crime of cyber-terrorism from the perspective of the Romanian legislation, with reference to the case studies reported in the public space and the specialized literature, case studies, which, although not catalogued as being terrorist attacks, can be used as a reference material for the practitioners and researchers in the field.
1. Considerații introductive
Conform specialiștilor[1], spațiul cibernetic se caracterizează prin lipsa frontierelor, dinamism și anonimat, generând deopotrivă atât oportunități de dezvoltare a societății informaționale bazate pe cunoaștere, cât și riscuri la adresa funcționării acesteia, și poate fi definit din mai multe perspective, după cum urmează:
– din perspectiva economiei naționale, spațiul cibernetic reprezintă rețeaua integrală și integrată de infrastructuri interdependente de tehnologie a informației, rețele de telecomunicații și sisteme de prelucrare de date pe calculator;
– din punct de vedere social și economic, spațiul cibernetic este un mediu informațional dinamic bazat pe interoperabilitate și servicii specifice societății informaționale, unde organizațiile și persoanele fizice pot interacționa, schimba idei, informații, oferi asistență socială, derula afaceri sau activități artistice, politice și de mass-media, derula activități economice și financiare, folosind sisteme electronice de plată și tranzacționare;
NOU! Despre bani în profesii juridice: avocați, executori, notari, consilieri juridici și alți profesioniști ai dreptului
13 septembrie ⁞ Ultimele evoluții jurisprudențiale privind prescripția răspunderii penale
14 septembrie ⁞ JURIDICE.ro Premier Golf Day
16 septembrie ⁞ Accidentul de muncă în toate formele de răspundere juridică
18 septembrie ⁞ Școala Superioară de Cadre
19 septembrie 2024 ⁞ Impactul legii 243/2024 asupra creditorilor IFN/cesionari de creanțe
23 septembrie ⁞ Fraudarea creditorilor – eficacitatea mijloacelor actuale pentru combaterea ei
25 septembrie ⁞ Noutățile Legii nr. 214/2024 – ce efecte poate avea semnătura electronică
26 septembrie ⁞ JURIDICE by Night. Golden Season edition
30 septembrie ⁞ Avocatura: onorariu orar vs. onorariu global
5 octombrie ⁞ Start Curs INGENIO de pregătire pentru Barou, INM & Magistratură, Notariat și Licență
7 octombrie ⁞ Dacă UIT, 100.000 de lei amendă! (RO E-TRANSPORT)
14 octombrie ⁞ Impactul sancțiunilor impuse de Consiliul Concurenței asupra pieței editoriale din România: între protecția concurenței și drepturile de autor
21 octombrie ⁞ Abilitățile de negociere: un moft sau o necesitate?
31 octombrie ⁞ JURIDICE by Night. Mystic Night. Halloween edition
11 noiembrie ⁞ Fraudarea fondurilor europene: infracțiune de 1 Euro? (Necesitatea stabilirii unui prag valoric minim pentru infracțiunea de fraudare a fondurilor europene)
18 noiembrie ⁞ Social Media. Răspunderea juridică în caz de Share și Repost care deranjează
23 noiembrie ⁞ Start Curs Admitere INM/ Magistratură & Avocatură 2025
28 noiembrie ⁞ JURIDICE by Night. Autumn Allure edition
2025 ⁞ The Congress / The biggest legal event
– din punct de vedere fizic, spațiul cibernetic înglobează totalitatea serverelor, computerelor, echipamentelor de comunicații, de interconectare, centrale telefonice digitale, magistrale de fibră optică, rețele de cabluri de orice tip, echipamente de transmisie wireless, antene, dispozitive de stocare, prelucrare, transmitere, codare, protejare a datelor, precum și spațiile dedicate în care echipamentele sunt utilizate.
Însă atacurile împotriva sistemelor informatice, în special cele care au legătură cu criminalitatea organizată, au devenit o amenințare din ce în ce mai mare, atât la nivelul Uniunii Europene, cât și la nivel mondial, și se manifestă o îngrijorare crescândă în fața posibilității unor atacuri teroriste sau motivate politic împotriva sistemelor informatice care fac parte din infrastructura critică a statelor membre și a Uniunii[2].
Se susține că există dovezi în privința tendinței producerii unor atacuri la scară largă, tot mai periculoase și recurente împotriva sistemelor informatice care, adesea, pot fi esențiale pentru state sau pentru funcțiile specifice din sectorul public sau privat. În paralel cu această tendință, se dezvoltă metode tot mai sofisticate, cum ar fi crearea și utilizarea așa numitelor botneturi, care presupun etape succesive ale unei fapte penale, fiecare etapă prezentând un risc important pentru interesele publice[3].
S-a subliniat[4] că primul atac cibernetic a fost semnalat în 1982, când spionii sovietici au furat un sistem de control computerizat de la o companie canadiană, fără să știe că specialiștii CIA reușiseră să introducă în software-ul acestuia o linie de cod care a generat o explozie masivă la o conductă de gaz din Siberia. Deflagrația a fost atât de mare, încât a fost detectată din spațiu de sateliții americani, iar Thomas Reed, fost comandant al aviației SUA, a descris-o în autobiografia sa ca fiind „cea mai mare explozie non-nucleară detectată vreodată din spațiu”.
În literatura de specialitate este recunoscut faptul că termenul de terorism cibernetic (cyber terrorism) a fost folosit pentru prima data de Barry C. Collin, în lucrarea sa ,,The future of cyberterrorism: Where the physical and virtual worlds converge”[5].
În ceea ce privește definițiile terorismului cibernetic din literatura de specialitate, acestea sunt multiple, la fel ca în cazul definiției terorismului. Nu vom insista pe acest apect și ne vom limita la definiții care să facă referire la elementele constitutive din definiția dată de legislația românească.
Astfel, în sens larg, terorismul cibernetic a fost definit ca fiind „atacurile electronice din spațiul cibernetic din ambele rețele, interne și externe, în special de pe internet, care emană din diferite surse teroriste, cu diferite seturi de motivații și care sunt îndreptate spre o anumită țintă”[6].
Altfel spus[7], un atac informatic poate fi definit ca acțiuni îndreptate împotriva sistemelor informatice pentru a întrerupe operațiunile echipamentelor, a modifica controlul procesării sau a datelor stocate corupte, cu metode diferite de atac, care vizează diferite vulnerabilități și implică diferite tipuri de arme, în limitele capacităților actuale ale unor grupări teroriste.
Astfel, s-au identificat[8] trei tipuri de atacuri:
– Un atac fizic, care implică folosirea unor arme convenționale, inclusiv obiecte contondente, îndreptate împotriva unei instalații informatice sau a liniilor sale de transmisie și care perturbă fiabilitatea echipamentului informatic și disponibilitatea datelor. Atacul fizic mai poate fi implementat și prin crearea căldurii, exploziilor și fragmentării, ori prin manipularea directă a cablurilor sau echipamentelor, de obicei după obținerea accesului fizic neautorizat;
– Un atac electronic, care implică utilizarea puterii energiei electromagnetice ca armă, mai frecvent ca un impuls electromagnetic pentru a suprasolicita circuitele computerizate, dar și într-o formă mai puțin violentă, pentru a introduce un flux de coduri digitale malware direct într-o transmisie radio cu microunde a țintei vizate. Efectele impulsului electromagnetic pot pătrunde în pereții instalațiilor de computer unde pot șterge memoria electronică, pot afecta software-ul sau pot dezactiva definitiv toate componentele electronice;
– Un atac de rețea computerizat, care implică, de regulă, un cod malițios folosit ca armă pentru a infecta computerele țintă, pentru a exploata o slăbiciune a software-ului, a configurației sistemului sau a practicilor de securitate ale unei organizații sau a unui utilizator de computer. Alte forme de atac de rețea computerizat sunt activate atunci când un atacator utilizează informații furate pentru a intra în sisteme informatice restricționate.
Plecând de la definiția dată terorismului în legislația SUA, terorismul cibernetic a fost definit[9] astfel: „utilizarea computerelor ca arme sau ca ținte de către grupuri internaționale sau sub-naționale motivate politic sau agenți clandestini care amenință sau provoacă violență și frică pentru a influența o audiență sau pentru a determina un guvern să-și schimbe politicile”. Această definiție, care combină mai multe opinii despre terorismul cibernetic, poate cuprinde toate cele trei metode pentru atacurile împotriva computerelor: atacuri fizice, atacuri electronice și atacuri de rețea computerizată.
Observăm că legea română nu reglementează în același capitol și distrugerea fizică ori prin atacuri electronice a sistemelor informatice, ci la art. 32 alin. (3) lit. e) din Legea nr. 535/2004, respectiv orice alte acțiuni și inacțiuni, indiferent de modalitatea de săvârșire, prin care se realizează ori se urmărește distrugerea, degradarea sau aducerea în stare de neîntrebuințare, în întregime sau în parte, capturarea ori preluarea fără drept a controlului asupra unui bun, structură, infrastructură, sistem, rețea, instalație, resursă, serviciu, capacitate sau loc, public sau privat, dacă fapta este de natură să pună în pericol sau să asigure făptuitorului posibilitatea punerii în pericol a vieții, integrității corporale sau sănătății persoanelor ori dacă s-au produs consecințe deosebit de grave, pedeapsa fiind închisoarea de la 7 la 15 ani.
În opinia noastră, textul Directivei nr. 541/2017 privind combaterea terorismului[10] acoperă mult mai bine situația distrugerii fizice a sistemelor informatice, spre exemplu cu un obiect contondent, pentru că în cazul unui sistem informatic, efectul asupra infrastructurilor critice este același, indiferent dacă distrugerea are loc prin incendiere, explozie sau distrugerea cu un obiect contondent.
Astfel, potrivit art. 3 pct. 1 lit. d) din Directiva nr. 541/2017, statele membre iau măsurile necesare pentru a se asigura că următoarele acte săvârșite cu intenție, constând în ,,cauzarea de distrugeri masive unei instalații guvernamentale sau publice, unui sistem de transport, unei infrastructuri, inclusiv unui sistem informatic, unei platforme fixe situate pe platoul continental, unui loc public sau unei proprietăți private, susceptibile să pună în pericol vieți umane sau să producă pierderi economice considerabile”, sunt definite ca infracțiuni de terorism atunci când sunt săvârșite într-unul dintre scopurile enumerate.
O definiție mai amplă a fost emisă de Asociația de drept internațional – Grupul de studiu privind securitatea cibernetică, terorism și drept internațional[11].
Pentru a emite o definiție, grupul de studiu a luat în considerare patru aspecte:
– ce acte și ce efecte sunt acoperite;
– ce daune trebuie să se producă;
– intenția de comitere a actelor;
– ce actori/autori sunt relevanți
Astfel, potrivit raportului, terorismul cibernetic implică „acte comise în mod intenționat de orice persoană care utilizează în mod ilegal tehnologiile informației și comunicațiilor, în moduri în care provoacă sau sunt destinate să provoace moartea sau vătămarea gravă a persoanelor, daune substanțiale proprietății publice și/sau private, economiei sau mediului sau perturbări grave ale serviciilor publice și care sunt intreprinse cu intenția de a răspândi frica în populația civilă sau de a forța un guvern, o populație civilă sau o organizație internațională să ia sau să se abțină de la anumite acte sau acțiuni”.
Având în vedere caracteristicile specifice rețelelor de calculatoare și expansiunii conectivității la internet, organizațiile teroriste pot iniția atacuri prin intermediul internetului, cu consecințe la fel de distructive ca și atacurile cu dispozitive explozive.
De asemenea, acestea pot utiliza internetul pentru a transmite mesajele organizației, pentru comunicare cu membrii rețelei, uneori folosind steganografia[12], pentru strângerea de fonduri și nu în ultimul rând pentru comiterea formelor tradiționale de criminalitate[13].
Dintre aceste modalități de comitere a faptelor de terorism, în opinia noastră[14], fac obiectul infracțiunii reglementate de art. 32 alin. (1) lit. q) din Legea nr. 535/2004 doar cele care presupun obținerea accesului la sistemele și datele informatice, interceptarea ilegală a unei transmisii de date informatice ori transferul neautorizat de date informatice, necesare desfășurării unui atac informatic asupra acestora[15], prin alterarea integrității datelor informatice ori perturbarea funcționării sistemelor informatice, fapte săvârșite în scopul producerii unor consecințe care provoacă intimidarea populației prin producerea unui impact psihologic sau în scopul constrângerii unei autorități publice ori organizații internaționale să îndeplinească, să nu îndeplinească sau să se abțină de la îndeplinirea unui anumit act, ori în scopul destabilizării grave sau distrugerii structurilor politice fundamentale, constituționale, economice ori sociale ale unui stat sau organizații internaționale.
În cazul în care are loc distrugerea sistemelor informatice prin utilizarea unui obiect contondent, cum ar fi un ciocan, ori prin izbirea unui autovehicul în clădirea care adăpostește sistemul informatic, cu scopul de a distruge acel sistem informatic, ori prin incendiu ori explozie sau printr-un alt procedeu similar, fapta va constitui infracțiunea prevăzută în art. 32 alin. (3) lit. e) din Legea nr. 535/2004.
Din fericire, până în prezent nu au fost lansate atacuri cibernetice care să fie calificate ca acte de terorism[16], iar Biroul Federal de Investigații a dat publicității doar rapoarte care informează că atacurile cibernetice ale teroriștilor s-au limitat, în mare măsură, la atacuri nesofisticate, cum ar fi ,,bombardarea” cu e-mailuri a dușmanilor ideologici sau defăimarea unor site-uri web[17]. De asemenea, și atacul împotriva CENTCOM, din 12 ianuarie 2015, asupra conturilor de Twitter și Youtube, chiar dacă a fost recunoscut ca fiind efectuat de Cyber Caliphate, controlat de organizația teroristă ISIS, nu a fost caracterizat de guvernul SUA ca act terorist, ci ,,vandalism cibernetic”, deoarece impactul a fost mai degrabă de provocare decât de perturbare sau deteriorare[18].
Având în vedere că multe aspecte ale societății moderne sunt foarte dependente de sistemele informatice[19], îndeosebi infrastructurile critice[20], riscurile generate de acest tip de atacuri sunt considerabile, deoarece pot provoca distrugerea, modificarea ori inaccesibilitatea sistemelor și datelor informatice, blocând astfel procesele de producție, sistemele bancare sau administrația publică ori, dacă sunt atacate sistemele informatice responsabile de administrarea centralelor nucleare, baraje, sisteme de control al transportului aerian, terestru ori naval, ale spitalelor[21] ori sistemele de armament militar, putând provoca chiar pierderi de vieți omenești și distrugerea unor bunuri de valoare[22].
De aceea, având în vedere că statele nu au ajuns la un consens pentru o definiție unitară a terorismului, importanța unei definiții a terorismului cibernetic diferă în funcție de strategia politică luată în considerare, deoarece o strategie de aplicare a legii necesită o definire precisă și transparentă pentru a susține investigația și urmărirea penală și evitarea încălcării unor activități protejate de drepturile omului[23].
De asemenea, așa cum s-a subliniat[24], este important să se facă disticția dintre terorismul cibernetic și „hacktivism”, un termen creat de către specialiști pentru a descrie „reuniunea” dintre hacking și activismul politic și care înseamnă desfășurarea de activități on-line și ascunse, prin care încearcă să dezvăluie, manipuleze sau exploateze vulnerabilitățile sistemelor de operare ale computerelor și a altor dispozitive software. Hacktiviștii folosesc printre „arme”: blocaje virtuale, atacuri prin e-mail, hacking și intrări în computer, viruși informatici și viermi.
2. Infracțiunea de terorism cibernetic – analiza elementelor constitutive
2.1. Definiție
În legislația română, infracțiunea de terorism cibernetic este incriminată în art. 32 alin. (1) lit. q) din Legea nr. 535/2004 privind prevenirea și combaterea terorismului[25], ca infracțiuni contra siguranței și integrității sistemelor și datelor informatice[26], dacă sunt motivate politic, religios sau ideologic și sunt săvârșite în următoarele scopuri:
a) intimidarea populației sau a unui segment al acesteia, prin producerea unui puternic impact psihologic;
b) constrângerea nelegitimă a unei autorități publice ori organizații internaționale să îndeplinească, să nu îndeplinească sau să se abțină de la îndeplinirea unui anumit act;
c) destabilizarea gravă sau distrugerea structurilor politice fundamentale, constituționale, economice ori sociale ale unui stat sau organizații internaționale.
Atât definițiile sistemului informatic și a datelor informatice, cât și infracțiunilor contra siguranței și integrității sistemelor și datelor informatice le regăsim în Codul penal.
Astfel, conform art. 181 alin. (1) C.pen., prin sistem informatic se înțelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.
Prin date informatice se înțelege orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic [art. 181 alin. (2) C. pen.].
Infracțiunile contra siguranței și integrității sistemelor și datelor informatice sunt reglementate în art. 360-366 C. pen., după cum urmează: accesul ilegal la un sistem informatic[27], interceptarea ilegală a unei transmisii de date informatice[28], alterarea integrității datelor informatice[29], perturbarea funcționării sistemelor informatice[30], transferul neautorizat de date informatice[31], operațiuni ilegale cu dispozitive sau programe informatice[32], fiind sancționată și tentativa[33].
2.2. Obiectul juridic
2.2.1. Obiectul juridic principal este comun tuturor infracțiunilor de terorism, respectiv relațiile sociale a căror formare și dezvoltare presupun ocrotirea valorilor universale ale demnității umane, libertății, egalității și solidarității, ale respectării drepturilor și libertăților fundamentale ale omului, menținerea păcii și securității internaționale și promovarea unor relații de bună vecinătate, prietenie, cooperare între state, și a dezvoltării economice și sociale.
2.2.2. Obiectul juridic secundar este comun infracțiunilor contra siguranței și integrităților sistemelor și datelor informatice, respectiv relațiile sociale referitoare la telecomunicații și comunicațiile informatice, în general, și la comunicațiile de date (informatice) care nu sunt publice, în special[34].
2.3. Obiectul material. Pot fi obiect material al infracțiunii de terorism cibernetic[35]:
– suportul tehnic prin care se realizează comunicațiile de date între echipamente, pornind de la port-urile de ieșire ale stațiilor de lucru (conectorii plăcilor de rețea sau telefonici ai modem-urilor) și continuând cu cablurile de transport (de rețea sau telefonice), casetele de conexiuni (în care se găsesc comutatoarele de rețea – switch-urile), distribuitorii de rețea, router-ele etc.;
– fluxul de pachete informatice (succesiunea de biti „0” și „1”, adică succesiunea de impulsuri electrice rezultată din variația controlată a tensiunii), care sunt transportate de la un echipament de calcul către altul sau în interiorul aceluiași sistem informatic, și spre care se îndreaptă interesul făptuitorului;
– energia (emisia) electromagnetică ce radiază sau se găsește în formă reziduală ori necontrolată (necontrolabilă) în imediata vecinătate a echipamentelor electronice care alcătuiesc sistemul informatic vizat. Astfel, emisia electromagnetică din jurul unui echipament (imprimantă, monitor, cablu etc.) nu va putea fi considerată drept obiect material dacă, în momentul acțiunii de interceptare (captare), acesta nu era conectat la un sistem informatic.
2.4. Subiectul activ și participația penală
Subiect activ al infracțiunii poate fi orice persoană care răspunde penal.
Infracțiunea de terorism cibernetic este susceptibilă de a fi comisă în toate formele de participație: coautorat, instigare și complicitate.
Referitor la săvârșirea infracțiunii de terorism cibernetic de către o persoană juridică, legea română (art. 135 C.pen.) prevede că persoana juridică[36], cu excepția statului și a autorităților publice, răspunde penal pentru infracțiunile săvârșite în realizarea obiectului de activitate sau în interesul ori în numele persoanei juridice. Răspunderea penală a persoanei juridice nu exclude răspunderea penală a persoanei fizice care a contribuit la săvârșirea aceleiași fapte.
Instituțiile publice nu răspund penal pentru infracțiunile săvârșite în exercitarea unei activități ce nu poate face obiectul domeniului privat.
Articolul 17 din Directiva nr. 541/2017 privind combaterea terorismului[37] prevede că „statele membre iau măsurile necesare pentru a se asigura că se poate angaja răspunderea persoanelor juridice pentru oricare dintre infracțiunile menționate la articolele 3-12 și la articolul 14, săvârșite în beneficiul lor de către orice persoană, acționând individual sau ca membru al unui organism al persoanei juridice în cauză, care îndeplinește o funcție de conducere în cadrul persoanei juridice, în temeiul:
(a) unei împuterniciri din partea persoanei juridice;
(b) unei prerogative de a lua decizii în numele persoanei juridice; sau
(c) unei prerogative de exercitare a controlului în cadrul persoanei juridice.
Statele membre iau, de asemenea, măsurile necesare pentru a se asigura că se poate angaja răspunderea persoanelor juridice în cazul în care controlul sau supravegherea necorespunzătoare din partea unei persoane menționate la alineatul (1) din prezentul articol a permis săvârșirea uneia dintre infracțiunile menționate la articolele 3-12 și la articolul 14, în beneficiul respectivei persoane juridice, de către o persoană aflată în subordinea sa.
Răspunderea persoanelor juridice în temeiul alineatelor (1) și (2) din prezentul articol nu exclude urmărirea penală a persoanelor fizice având calitatea de autor, instigator sau complice la săvârșirea oricăreia dintre infracțiunile menționate la articolele 3-12 și la articolul 14”.
În ce privește infracțiunile imputabile persoanei juridice, Curtea Constituțională a României constată[38] că nu orice infracțiune poate atrage răspunderea penală a persoanei juridice, iar criteriul convingător de delimitare îl constituie așa-numitele „infracțiuni de corporație“. Indiferent de modul în care poate fi concepută fapta, pentru a putea fi imputată persoanei morale (juridice) și a deveni astfel o „infracțiune de corporație“ este necesar să existe o legătură între această faptă și persoana juridică trasă la răspundere penală pentru săvârșirea ei. Indiferent cum ar fi înțeleasă, legătura personală nu poate să justifice, singură, angajarea răspunderii penale a persoanei juridice, astfel că se impune ca ea să fie dublată de o legătură reală, obiectivă, în care, pe lângă cerința ca fapta să fi fost comisă de un prepus, apare și cerința ca fapta să fi fost săvârșită în legătură cu atribuțiile sau cu scopul funcțiilor încredințate.
Totodată, Curtea constată că răspunderea penală a persoanei juridice este generală, putând fi atrasă de orice activitate a ei în care se poate identifica un element subiectiv propriu acesteia, diferit de cel al persoanei fizice care execută în concret actul material. Răspunderea penală a persoanei juridice poate fi antrenată de orice persoană fizică ce acționează în numele ei, nu doar de către organele de conducere ale acesteia[39].
În ceea ce privește modalitățile de acțiune care atrag răspunderea penală a persoanei juridice, Curtea a statuat[40] astfel:
– prin săvârșirea de către persoana juridică a unei infracțiuni în realizarea obiectului de activitate se înțelege că un organ, prepus sau reprezentant al persoanei juridice, a comis o infracțiune cu prilejul transpunerii în practică a activităților pe care, potrivit legii, actelor constitutive sau actelor de organizare și funcționare, persoana juridică le poate derula. Această cerință presupune că, la momentul săvârșirii infracțiunii, agentul se afla în exercițiul unei atribuții de serviciu și că, prin urmare, el deținea fie calitatea de „organ“, fie calitatea de „reprezentant“ direct sau indirect al persoanei juridice;
– o infracțiune este comisă în interesul persoanei juridice în toate cazurile în care folosul – material sau moral – obținut prin infracțiune revine, în totul sau în parte, persoanei juridice, deși infracțiunea nu este comisă în realizarea obiectului de activitate. Analizând această cerință, Curtea constată că aceasta poate primi atât o interpretare subiectivă ca făcând trimitere la scopul urmărit de agent, cât și una obiectivă ca făcând trimitere la un profit (avantaj) pe care persoana juridică l-a obținut deja de pe urma săvârșirii infracțiunii. În oricare dintre aceste interpretări devine posibil ca răspunderea penală a persoanei juridice să fie antrenată și de alte persoane fizice, și nu doar de acelea care acționează în calitate de organe sau de reprezentanți ai persoanei morale;
– în sensul legii penale, o infracțiune este săvârșită în numele persoanei juridice dacă persoana fizică ce efectuează elementul material al faptei acționează în calitate de organ, prepus sau reprezentant al persoanei juridice, investit în mod oficial (legal sau convențional), fără ca fapta să fie săvârșită în realizarea obiectului de activitate sau în folosul persoanei juridice în cauză. De asemenea, analiza acestei ultime cerințe alternative conduce la o concluzie identică cu prima, întrucât nu poate acționa „în numele“ persoanei juridice decât acela care are o împuternicire în acest sens, fiind fie „organ“, fie „reprezentant“ al acesteia. Cu alte cuvinte, pentru a antrena răspunderea penală a persoanei juridice este necesar ca acela care acționează să aibă calitatea de „prepus“, adică de „organ“ sau de „reprezentant“ al persoanei juridice.
Față de cele de mai sus, apreciem că, potrivit legislației române, o persoană juridică poate fi trasă la răspundere penală pentru săvârșirea unei infracțiuni de terorism cibernetic doar în forma comiterii faptei în numele persoanei juridice, fără ca fapta să fie săvârșită în realizarea obiectului de activitate sau în folosul persoanei juridice în cauză.
2.5. Subiectul pasiv
2.5.1. Subiectul pasiv principal: statul, ca titular al valorilor sociale ocrotite.
2.5.2. Subiect pasiv secundar: poate fi orice persoană afectată ca urmare a producerii impactului psihologic cauzat de atacul terorist efectuat prin sistemele informatice.
2.6. Latura obiectivă
2.6.1. Elementul material al infracțiunii de terorism cibernetic
Elementul material al infracțiunii de terorism cibernetic constă într-o modalitate variată de acțiuni alternative sau succesive, prin care organizațiile sau grupările teroriste pot obține accesul ilegal la un sistem informatic, interceptarea ilegală a unei transmisii de date informatice sau a unei emisii electromagnetice provenite dintr-un sistem informatic, alterarea integrității datelor informatice, perturbarea funcționării sistemelor informatice, transferul neautorizat de date informatice, efectuarea de operațiuni ilegale cu dispozitive sau programe informatice sau deținerea, fără drept, a unui dispozitiv, a unui program informatic, a unei parole, a unui cod de acces sau a altor date informatice.
Chiar dacă se realizează doar una dintre acțiunile alternative, aceasta trebuie realizată dintr-un motiv politic, religios sau ideologic și să fie săvârșită într-unul dintre scopurile prevăzute de lege[41]:
a) intimidarea populației sau a unui segment al acesteia, prin producerea unui puternic impact psihologic;
b) constrângerea nelegitimă a unei autorități publice ori organizații internaționale să îndeplinească, să nu îndeplinească sau să se abțină de la îndeplinirea unui anumit act;
c) destabilizarea gravă sau distrugerea structurilor politice fundamentale, constituționale, economice ori sociale ale unui stat sau organizații internaționale.
În ceea ce privește accesul ilegal la un sistem informatic, acesta se realizează de asemenea printr-o multitudine de instrumente și tehnici, cum ar fi [42]:
– „Ușa din spate” (backdoor/trapdoor), folosită pentru a descrie o modalitate ascunsă sau un alt tip de metodă de a trece de siguranța normală pentru a obține accesul într-o zonă securizată. Există unele cazuri în care aceste portițe/capcane sunt instalate intenționat pe un sistem, cum ar fi interfața craft, concepută pentru a facilita gestionarea sistemului, întreținerea și operațiunile de depanare de către tehnicienii organizației guvernamentale.
Deși interfața ar trebui să permită doar accesul operatorului la întreținerea echipamentului, mulți furnizori construiesc ,,uși” pentru a avea acces la aceste interfețe, astfel încât să poată depana aceste echipamente de la distanță. Însă aceasta înseamnă că un tehnician din afara organizației este capabil să obțină accesul la sistem și ar putea facilita activitățile teroriste cibernetice.
– Distribuția de refuz al serviciului (Denial of Service Attacks (DoS) sau Distributed Denial of Service Attack (DDoS) este conceput pentru a întrerupe serviciul rețelei, de obicei prin copleșirea sistemului cu milioane de cereri în fiecare secundă, folosind mai multe calculatoare simultan, determinând încetinirea sau căderea rețelei.
– E-mail Spoofing este o metodă de trimitere a mesajelor de e-mail de către un utilizator care apare ca provenind de la o sursă cunoscută sau credibilă, în fapt fiind trimis de la o altă sursă. Această metodă este adesea o încercare de a păcăli utilizatorul să ofere informații sensibile cum ar fi date personale sau parole, pretinzând că solicitantul este o persoană cu autoritatea de a solicita utilizatorilor să le trimită o copie a unui fișier de parole.
– IP Address Spoofing este o metodă care creează Protocolul de control al transmisiei/Internet, folosind adresa IP a altcuiva. Routerele utilizează adresa de destinație IP pentru a transmite pachetele prin Internet, dar ignoră adresa sursă IP. Această metodă este adesea folosită în atacurile DDOS pentru a ascunde adevărata identitate a atacatorului.
– Keylogger este un program software sau un dispozitiv hardware care este folosit pentru monitorizarea și înregistrarea fiecăreia dintre tastele pe care un utilizator le folosește din tastatura computerului. Utilizatorul care a instalat programul sau dispozitivul hardware poate vizualiza toate cheile testate de acel utilizator. Deoarece aceste programe și dispozitive hardware monitorizează cheile efectiv testate, un utilizator poate obține cu ușurință parole și alte informații de pe calculator, pe care operatorul nu dorește ca alte persoane să le cunoască.
– Bomba logică este un program de rutină care distruge datele prin reformatarea hardiskului sau introducerea aleatorie a ,,gunoiului” în fișierele de date. Poate fi introdus în calculator prin descărcarea unui program din domeniul public care a fost manipulat. Odată introdusă, bomba produce dauna imediat, în timp ce un virus produce o distrugere continuă.
– Atacurile fizice implică distrugerea fizică, reală a unui sistem informatic și/sau de rețea, cum ar fi spre exemplu distrugerea echipamentelor terminale ale rețelelor de transport.
– Snifferul este un program și/sau dispozitiv care monitorizează datele care circulă pe o rețea. Astfel, deși snifferii sunt utilizați pentru funcții legate de gestionarea rețelei, ei pot fi, de asemenea, utilizați și în timpul atacurilor cibernetice, spre exemplu pentru furtul de informații, inclusiv al parolelor. Odată plasat sau introdus, snifferul este greu de detectat și poate fi inserat oriunde și prin mijloace diferite.
– Trojan Horse este un program care odată instalat acționează ca o funcție în fundal, care permite altor utilizatori să aibă acces la computer sau să trimită informații de la computerul infestat la alte computer.
– Virușii sunt programe software, script sau macro, concepute pentru a infecta, distruge sau provoca alte probleme unui computer sau unui program software. Majoritatea virușilor de calculator sunt răspândiți când un fișier este executat sau deschis.
Virușii cunoscuți pot fi de mai multe tipuri, după cum urmează:
– Boot Sector Virus[43] infectează sectorul de boot al dischetelor sau Master Boot Record (MBR) al hardiscurilor. Codul infestat rulează atunci când sistemul este încărcat de pe un disc infectat, dar odată încărcat, acesta va afecta și alte discuri care vor fi accesate de pe computerul infectat.
Virușii de computer din sectorul boot sunt răspândiți cel mai frecvent folosind medii fizice. O dischetă sau o unitate USB infectată conectată la un computer se va transfera când se citește VBR-ul unității, apoi se modifică sau se înlocuiește codul de boot existent.
Data viitoare când un utilizator încearcă să pornească computerul, virusul va fi încărcat și rulat imediat ca parte a înregistrării de boot master. De asemenea, este posibil ca atașamentele de e-mail să conțină codul de boot al virusului. Dacă sunt deschise, aceste atașamente infectează computerul gazdă și pot conține instrucțiuni pentru a trimite mai multe loturi de e-mailuri în lista de contacte a unui utilizator.
Eliminarea unui virus din sectorul de boot poate fi dificilă deoarece poate cripta sectorul de boot. În multe cazuri, este posibil ca utilizatorii să nu fie conștienți de faptul că au fost infectați cu un virus până când rulează un program de protecție antivirus sau scanare malware.
– Virusul companion se stochează într-un fișier numit similar cu un alt program fișier care este de obicei executat. Când acest fișier este executat, virusul va infecta computerul și/sau va efectua pași rău intenționați, cum ar fi ștergerea unității hard disck a calculatorului.
– Virusul executabil se stochează într-un fișier executabil și infectează și alte fișiere, de fiecare dată când fișierul este rulat. Majoritatea virușilor de calculator sunt răspândiți când un fișier este executat sau deschis.
– Virusul suprascris suprascrie un fișier cu propriul cod, ajutând la răspândirea acestui virus și la fișiere și computer.
– Virusul polimorf are capacitatea de a-și schimba propriul cod, astfel încât poate avea sute sau mii de variante diferite, care îl fac mult mai dificil de observat și/sau detectat.
– Virusul rezident se stochează în memorie, permițându-i să infecteze fișierele instantaneu și nu are nevoie de utilizator pentru a rula „executare fișier” pentru a infecta fișierele.
– Virusul invizibil ascunde pistele după infectarea computerului. Odată ce computerul a fost infectat, virusul poate face modificări pentru ca să pară că nu s-a pierdut nicio memorie și că dimensiunea fișierului nu s-a schimbat.
Un virus invizibil poate infecta un sistem informatic într-o serie de moduri[44], cum ar fi: descărcarea de către un utilizator a unui atașament e-mail rău intenționat, instalarea de malware ca programe de pe site-uri web, utilizarea de software necontrolat, infectat cu programe malware.
Similar altor virusuri, poate prelua o mare varietate de sarcini de sistem și poate afecta performanțele computerului. La efectuarea unor astfel de activități, programele antivirus detectează malware-ul, dar virusul ascuns este proiectat să rămână în mod activ ascuns de programele antivirus. El realizează acest lucru prin mutarea temporară a fișierelor infectate și copierea în alte fișiere și inlocuirea cu un fișier curat.
De asemenea, el poate evita detectarea prin ascunderea dimensiunii fișierului pe care l-a infectat.
– Viermii sunt programe software distructive care conțin codul capabil să obțină acces la computere sau rețele și, odată intrat în interiorul computerului sau rețelei, provoacă daune prin ștergerea, modificarea, distribuirea sau manipularea datelor.
– Zombie este un computer sau un server deturnat, folosindu-se o anumită formă de software modificat pentru a ajuta un haker să efectueze un atac de tipul Distributed Denial of Service (DDoS).
Revenind la modalitățile alternative de realizare a elementului material al infracțiunii de terorism cibernetic, prima acțiune care se realizează este accesul ilegal la un sistem informatic, care se poate desfășura pentru a obține datele informatice necesare punerii în aplicare a scopului organizației teroriste.
Această faptă poate fi săvârșită atât de la distanță, prin utilizarea unor algoritmi de spargere a parolelor, cât și din interior, prin infiltrarea în organizația guvernamentală a unor persoane de încredere care să acceseze sistemele informatice direct din locația acestora[45].
De precizat că atacul este îndreptat în primul rând către sistemele informatice aparținând agențiilor guvernamentale, chiar dacă, de cele mai multe ori, accesul este restricționat sau interzis pentru anumiți utilizatori, prin intermediul unor proceduri, dispozitive sau programe specializate, ceea ce presupune anumite abilități tehnice.
Însă nu se exclud atacurile asupra sistemelor informatice aparținând unor persoane private, care însă gestionează mari infrastructuri, cu utilitate publică, cum ar fi, spre exemplu, companii de extragere și prelucrare a gazelor și țiteiului, companii care administrază aeroporturi, sisteme de canalizare și apă etc.
De asemenea, faptele se pot săvârși în vederea obținerii de fonduri necesare unor atacuri teroriste clasice sau cibernetice[46], prin accesarea de conturi bancare, conturi de e-mail și altele asemenea pentru a obține sume de bani sau informații despre persoane sau companii care pot fi atacate cibernetic în scopul obținerii unor sume de bani prin șantaj. Mult mai multe informații pot fi obținute prin atacarea, cu același efort depus ca și pentru atacarea unui computer individual, a unei baze de date în nor (cloud).
Apreciem că aceste fapte nu întrunesc elementele constitutive ale infracțiunii de terorism cibernetic, prevăzute de art. 32 alin. (1) lit. q) din Legea nr. 535/2004, ci a infracțiunii de finanțare a terorismului, prevăzută de art. 36 din Legea nr. 535/2004, în concurs cu infracțiunea de acces ilegal la un sistem informatic prevăzută de art. 360 C. pen.
În schimb, dacă fapta de a accesa ilegal un sistem informatic este comisă în scopul de a posta mesaje teroriste de incitare la comiterea de acte teroriste, aceasta poate întruni elementele constitutive ale infracțiunii prevăzute de art. 32 alin. (1) lit. q) din Legea nr. 535/2004, ca infracțiune complexă[47].
În același scop, organizația teroristă poate iniția interceptarea ilegală a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic.
Nu în ultimul rând, organizația teroristă poate iniția și interceptarea ilegală a unei emisii electromagnetice provenite dintr-un sistem informatic ce conține date informatice care nu sunt publice.
Prin „interceptare” (în sens tehnic) se înțelege acțiunea de a capta, cu ajutorul unui dispozitiv electronic special fabricat în acest scop sau a unui computer, impulsurile electrice, variațiile de tensiune sau emisiile electromagnetice care tranzitează în interiorul unui sistem informatic sau se manifestă ca efect al funcționării acestuia ori se află pe traseul de legătură dintre două sau mai multe sisteme informatice care comunică[48].
Prin intermediul unui interceptor de pachete, teroriștii hackeri pot intercepta pachetele de date (inclusiv cele cu mesaje de login, transmisii ale identificatorilor numerici ai cărților de credit, pachete e-mail etc.) care călătoresc între diferite locații din internet. După ce interceptează un pachet, hackerul îl poate deschide și poate fura numele host-ului, al utilizatorului, precum și parola asociată pachetului. Hackerii folosesc unul dintre cele mai comune tipuri de interceptări de pachete înaintea unor atacuri IP[49].
Atacurile care pot fi executate sunt de două feluri[50]:
– atacuri pasive, în cadrul cărora intrusul „observă” informația care trece prin canal, fără să interfereze cu fluxul sau conținutul mesajelor;
– atacuri active, în care intrusul se angajează fie în furtul mesajelor, fie în modificarea, reluarea sau inserarea de mesaje false etc.
Așa după cum s-a suținut[51], după ce hackerul a dobândit acces intern la sistem prin predicția numărului de secvență, acesta poate accesa orice informație transmisă serverului de către sistemul de comunicații, inclusiv fișierele-parolă, nume de login, date confidențiale sau orice alte informații transmise prin rețea. De obicei, un hacker va folosi predicția numărului de secvență pentru a pregăti un atac mai puternic asupra serverului sau pentru a-și asigura o bază de unde să-și lanseze atacurile asupra unui server apropiat din rețea.
Interceptarea datelor informatice se poate realiza, în mod direct, prin interacțiunea făptuitorului cu componentele externe ale sistemului informatic (cabluri, comutatoare, routere, computere etc.). Spre exemplu, comunicația între două computere într-o rețea locală LAN (Local Area Network) a unei instituții poate fi interceptată de un intrus după ce acesta se conectează fizic la traseul de cablu al rețelei vizate, prin secționarea firelor și legarea acestora (în paralel) cu cablul conectat la propriul computer, unde va recepționa fluxul de date informatice.
Odată accesat sistemul informatic vizat, autorii, membri ai organizațiilor sau grupărilor teroriste, pătrund în acest sistem și pot iniția următoarele acțiuni:
– Alterarea integrității datelor informatice, respectiv modificarea, ștergerea sau deteriorarea datelor informatice ori restricționarea accesului la aceste date, fără drept.
– Perturbarea funcționării sistemelor informatice prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin restricționarea accesului la date informatice.
Unul dintre cele mai cunoscute atacuri informatice, denumit și prima armă cibernetică, a fost atacul informatic din 2009, în care un program informatic malware, în fapt un virus denumit Stuxnet[52], a fost conceput pentru a ataca[53] o singură țintă, foarte precisă: computerele care controlează instalația nucleară a Iranului din Natanz, unde se suspectează de către autoritățile internaționale că Iranul lucrează la programul său secret de arme nucleare. Stuxnet a fost programat pentru a face centrifugele de îmbogățire a uraniului să se rotească mai repede decât ar fi trebuit, determinându-le să scape de sub control până la distrugerea lor.
Virusul a fost programat atât de bine încât operatorii care controlau sistemul informatic atacat aveau la dispoziție foarte puține opțiuni pentru a-l opri. De fapt, aceștia nici nu știau că întreruperile și defecțiunile au fost cauzate de un virus de calculator. Aceasta deoarece rețeaua care controlează centrifugele de la Nataz nu era accesibilă de la distanță sau chiar conectată la internet, Stuxnet fiind implementat sub forma unui vierme complex de calculator care se răspândește pe mașinile Microsoft Windows prin stick-uri de memorie, USB și legături de rețea locale, exploatând mai multe vulnerabilități necunoscute (zero-day) în sistemele pe care le-a lovit și utilizând certificate digitale frauduloase pentru a truca sistemele să își ruleze codul.
Un atac similar s-a desfășurat în 2012, prin intermediul unui malware extrem de sofisticat, similar cu Stuxnet, denumit Duqu 2.0, care a exploatat o serie de vulnerabilități din zero days[54], iar printre țintele sale se aflau entități legate de negocierile privind acordul nuclear iranian și firmele de securitate IT.
,,Duqu 2.0 a vizat o serie de organizații și entități occidentale care operează Asia și Orientul Mijlociu. Experții de la Kaspersky Lab[55] l-au descoperit în timp ce se încerca un tip de atac phishing (spear phishing[56]) împotriva lor și au subliniat că majoritatea atacurilor observate în perioada 2014-2015 sunt legate de negocierile P5+1 (Statele Unite, Regatul Unit, Germania, Franța, Rusia și China, facilitate de Uniunea Europeană) cu Iranul. Scopul evenimentelor P5+1 a fost realizarea unei rezoluții diplomatice verificabile care să împiedice Iranul să obțină o armă nucleară.
După ce atacatorii au obținut privilegii de administrator de domeniu, pot utiliza aceste permisiuni pentru a infecta alte computere din domeniu. În majoritatea atacurilor monitorizate de Kapspersky Lab, ele pregătesc pachetele Microsoft Windows Installer (MSI) și apoi le implementează de la distanță la alte computere.
Duqu 2.0 implementează tehnici de evaziune sofisticate. Locuiește în memorie, ceea ce face dificilă detectarea acesteia. Noua versiune a Duqu scrie fișiere pe discul victimei. Experții Symantec au explicat că Duqu 2.0 vine în două variante: prima este o copertă din spate care pare a fi folosită pentru a obține persistență în entitatea vizată prin infectarea mai multor calculatoare, iar a doua variantă reprezintă evoluția sa și implementează caracteristici mai sofisticate.
Autorii Duqu 2.0 au folosit un certificat furat de la compania Foxconn pentru a implementa un mecanism de persistență și a rămâne sub radar. Ancheta desfășurată de experții de la Kaspersky a relevat că actorii amenințători din spatele Duqu 2.0 au folosit un certificat valabil de la Hon Hai Precision Industry Co. LTD (numit Foxconn Technology Group) pentru a semna digital codul rău intenționat. Foxconn furnizează componente electronice pentru un număr mare de companii, inclusiv Apple și BlackBerry. Certificatul digital a fost emis de VeriSign și a folosit autorii Duqu 2.0 pentru a semna digital codul sursă al unui driver conceput pentru a masca traficul de comandă și control.
În timpul operațiunilor lor, actorii amenințători Duqu instalează aceste drivere rău intenționate pe firewall-uri, portaluri sau orice alte servere care au acces direct la internet, pe de o parte, și acces la rețea corporativă, pe cealaltă parte. Folosindu-le, pot atinge mai multe obiective simultan: pot accesa infrastructura internă de pe Internet, pot evita înregistrările de jurnal pe serverele proxy corporative și pot menține până la urmă o formă de persistență”[57].
Anterior acestor atacuri, deși nu a fost un atac terorist, lipsind atât scopul cât și mobilul, în anul 2000, între 9 februarie și 23 aprilie, în Australia a fost lansat un alt atac cibernetic împotriva sistemului de control al canalizării dintr-un oraș turistic de o frumusețe rară din Queensland, Maroochy Shire, de către un fost angajat al companiei care a implementat sistemul informatic, din răzbunare că a fost concediat, prin folosirea unui echipament informatic preluat de la companie, a accesat ilegal sistemul și a modificat datele, ceea ce a condus la dezactivarea alarmelor și funcționarea defectuoasă a pompelor, ceea ce a generat o supraîncărcare a fluxului și distrugerea însemnată a mediului marin[58]. În fapt, autorul a folosit un laptop și un emițător radio pentru a prelua controlul asupra 150 de stații de pompare a apelor uzate. În perioada sus-menționată, a eliberat un milion de litri de apă netratată în sistemele pluviale de unde curge spre căile navigabile locale. Viața marină a murit, apa din pârâu a devenit neagră, iar duhoarea a fost insuportabilă pentru locuitori”[59].
De asemea, un atac cibernetic a fost declanșat în august 2003, când viermele „Slammer” de pe internet a reușit să corupă timp de cinci ore sistemele de control ale computerului de la centrala nucleară Davis-Besse din Ohio (din fericire, centrala a fost închisă și oprită atunci când a început atacul). Viermele de computer a reușit să pătrundă cu succes în sistemele de comandă din centralele Davis-Besse, în mare parte pentru că s-a descoperit că rețeaua de afaceri pentru birourile sale corporative are mai multe conexiuni la internet care au ocolit firewall-ul camerei de control[60].
Deși nu au fost catalogate ca atacuri teroriste, alte atacuri cibernetice[61] au fost semnalate[62] pentru a arăta haosul în care pot fi aruncate anumite state dacă le sunt atacate sistemele infomatice care controlează sistemul energetic.
Astfel, în cazul atacului de tip Denial of Service (DoS) sau Distributed Denial of Service (DDoS) asupra sistemelor informatice guvernamentale (guvern, președenție, parlament, poliție) și private (bănci, distribuitori de rețele de internet, online media și unii dintre micii afaceriști) din Estonia[63] din 2007, când de obicei sunt câte 1000 de accesări zilnice, în timpul atacului de 22 de zile, între 27 aprilie și 18 mai, au fost 2000 accesări/secundă, transmise din peste 1.000.000 de computere, ceea ce a cauzat perturbarea sistemelor informatice guvernamentale și private și a condus la jefuirea magazinelor și distrugerea proprietăților, inclusiv la revolte stradale. Atacurile au vizat servere web, servere e-mail, servere DNS și routere.
În august 2012, o serie de atacuri cibernetice au fost îndreptate împotriva companiei Saudi Aramco, cel mai mare producător de petrol și gaze din lume, fiind compromise 30.000 de calculatoare, iar codul a fost conceput pentru a perturba și opri producția de petrol[64].
În decembrie 2015, atacatorii cibernetici și-au folosit poziția în rețelele energetice ale Ucrainei pentru a închide trei companii de distribuție a energiei electrice, denumite „oblegnergos”, ceea ce a dus, în plină iarnă, la pierderea puterii energetice, pentru câteva ore, fiind afectați 225.000 de clienți. În același timp, atacatorii au întrerupt încercările companiilor de electricitate de a investiga atacurile. Un an mai târziu, atacatorii au lovit din nou companiile energetice ucrainene, trimițând în întuneric o parte din orașul Kiev timp de aproximativ o oră.
Deși aceste atacuri nu au fost asumate, fiind posibil să fie comise de un actor statal (pot fi asimilate unor acte de război), consecințele nu pot fi neglijate în cazul în care acestea ar fi comise de organizațiile teroriste.
În anul 2017, virusul WannaCry a fost cel mai mare atac cybernetic la nivel mondial, afectând aproximativ 200.000 de computere, până în momentul în care un cercetător al virușilor de tip malware a găsit accidental un comutator ,,de ucidere a virusului” și astfel atacul a fost oprit înainte de a ajunge la mai multe calculatoare. Au fost afectate, printre alții, mai multe spitale din Marea Britanie, producătorii de automobile Nissan și Renault, iar daunele au fost estimate între 500 milioane și 4 miliarde USD.
– Transferul neautorizat de date informatice dintr-un sistem informatic sau dintr-un mijloc de stocare a datelor informatice, care se realizează prin copierea, mutarea, relocarea datelor pe același suport de stocare a datelor sau pe un alt suport de relocare a datelor[65].
Pe lângă acțiunile sus-menționate, teroriștii cibernetici mai pot efectua și alte operațiuni ilegale cu dispozitive sau programe informatice, respectiv: producerea, importarea, distribuirea sau punerea la dispoziție sub orice formă a unor dispozitive sau programe informatice concepute sau adaptate în scopul comiterii de infracțiuni contra siguranței și integrității sistemelor și datelor informatice, precum și a unor parole, coduri de acces sau alte asemenea date informatice care permit accesul total sau parțial la un sistem informatic.
De asemenea, teroriștii cibernetici mai pot comite infracțiunea prevăzută de art. 32 alin. (1) lit. q) din Legea nr. 535/2004 prin deținerea, fără drept, a unui dispozitiv, unui program informatic, unei parole, unui cod de acces sau a altor date informatice în scopul săvârșirii infracțiunii printr-una dintre modalitățile descrise mai sus.
2.6.2. Urmarea imediată
Așa cum s-a subliniat, atacurile distructive asupra sistemelor informatice au ca prim rezultat, interferența cu datele, adică distrugerea, modificarea ori suprimarea accesului la acestea. În lipsa unor astfel de interferențe, autorul nu poate influența niciun sistem informatic atacat și nici nu afectează accesibilitatea sau disponibilitatea sistemului[66]. Un asemenea atac coordonat și răspândit împotriva computerelor care gestionează infrastructurile critice necesită o perioadă mai lungă de timp, care presupune și o perioadă de supraveghere a acestora, și poate solicita resurse considerabile de instrumente tehnice necesare teroriștilor cibernetici.
Un al doilea rezultat poate consta din trei tipuri de daune[67]:
– daune digitale (sau intangibile), în cazul în care datele sunt indisponibile sau manipulate astfel încât serviciile nu mai pot fi livrate sau dacă sistemul informatic atacat este compromis;
– daune materiale (sau tangibile), dacă sistemul informatic atacat este folosit în administrarea unor sisteme de infrastructură, energetică, aeriană, rutieră sau navală, maritimă ori fluvială. Trebuie precizat că un atac cibernetic are capacitatea de a crea daune economice departe de a fi proporționale cu costurile inițierii atacului[68];
– vătămări corporale ori pierderi de vieți omenești (de exemplu, în cazul atacării sistemelor informatice ale spitalelor și companiilor farmaceutice ori în cazul în care atacul informatic provoacă daune materiale soldate și cu vătămări sau pierderi de vieți omenești, cum ar fi cazul distrugerii unui baraj de acumulare, ori a sistemelor de navigație ale unui avion iar acesta se prăbușește).
În cazul în care au loc vătămări corporale ori pierderi de vieți omenești, apreciem că sunt întrunite elementele constitutive ale infracțiunii de terorism prevăzute de art. 32 alin. (1) lit. a) din Legea nr. 535/2004, respectiv acțiunile și inacțiunile îndreptate împotriva vieții, integrității corporale sau sănătății persoanelor ori având drept consecință moartea, lezarea integrității corporale ori afectarea sănătății fizice sau psihice a persoanei, în concurs cu infracțiunea de terorism cibernetic.
Așa cum s-a susținut[69], unele persoane sunt direct afectate de terorismul cibernetic în cazuri de pierdere a informațiilor vitale despre companie, care pot fi folosite pentru a amenința bunul mers al agenției ori organizației atacate sau persoana afectată, astfel că ar putea avea ca rezultat adiacent și impactul emoțional cauzat de frica și stresul sever sub care trăiesc aceste persoane și familiile acestora.
Un al treilea rezultat urmărit de organizația teroristă este cel de ordin politic, ideologic sau religios, prin crearea panicii, a terorii în rândurile populației și/sau constrângerea unei autorități publice sau a unei organizații internaționale să îndeplinească, să nu îndeplinească sau să se abțină de la îndeplinirea unui anumit act și/ori destabilizarea gravă sau distrugerea structurilor politice fundamentale, constituționale, economice ori sociale ale unui stat sau organizații internaționale.
2.6.3. Raportul de cauzalitate dintre atac și urmarea imediată trebuie să existe și trebuie demonstrat.
2.7. Latura subiectivă. Presupune vinovăția făptuitorului sub forma intenției directe, calificată, atât prin motivele pentru care este săvârșită fapta, respectiv politic, religios sau ideologic, cât și prin scopul în care este săvârșită fapta:
a) intimidarea populației sau a unui segment al acesteia, prin producerea unui puternic impact psihologic;
b) constrângerea nelegitimă a unei autorități publice ori organizații internaționale să îndeplinească, să nu îndeplinească sau să se abțină de la îndeplinirea unui anumit act;
c) destabilizarea gravă sau distrugerea structurilor politice fundamentale, constituționale, economice ori sociale ale unui stat sau organizații internaționale.
Etichetarea unui atac informatic ca terorism cibernetic este problematică din cauza dificultății determinării cu certitudine a identității, intenției sau motivațiilor politice ale unui atacator.
Altfel spus[70], principala diferență dintre un atac cibernetic și un act de terorism cibernetic este intenția făptuitorului. Persoana care efectuează un atac cibernetic poate avea un motiv financiar sau un alt motiv, chiar și politic, însă motivul teroristului cibernetic este întotdeauna de natură politică, socială sau religioasă. Activitatea metafizică a ambelor categorii de infracțiuni poate fi aceeași, dar rațiunile sunt distincte.
Referitor la motivație, s-a subliniat[71] că există numeroase motivații diferite pentru care teroriștii să pună în aplicare un atac cibernetic:
– să distrugă funcționarea capacității organizației, națiunii sau alianței vizate, ceea ce poate conduce la prăbușirea în clasamentul economic și social. Dacă sunt lovite infrastructurile critice și operațiunile de afaceri, se poate spune și în mod literal că o întreagă națiune ori afaceri sunt oprite;
– să distrugă sau să denatureze reputația unei organizații, națiuni sau alianțe;
– pentru a convinge pe cei atacați să schimbe afilierea;
– să demonstreze propriilor lor adepți că sunt capabili să aducă un prejudiciu semnificativ obiectivelor vizate prin atacuri cibernetice. Aceasta deoarece sunt încă multe persoane care nu sunt convinse de realitățile terorismului cibernetic și de capacitățile sale.
2.8. Forme, modalități, sancțiuni
2.8.1. Tentativa. Conform art. 371 din Legea nr. 535/2004, tentativa la această infracțiune se pedepsește.
Se consideră tentativă și producerea sau procurarea mijloacelor ori instrumentelor, luarea de măsuri precum și înțelegerea intervenită între cel puțin două persoane în vederea săvârșirii unui act de terorism, respectiv exprimarea inechivocă, indiferent de modalitate sau context, a intenției de săvârșire a unui act de terorism.
2.8.2. Consumarea. Infracțiunea se consumă în momentul în care s-a produs una dintre urmările descrise mai sus, respectiv daune digitale, daune materiale și se epuizează într-unul dintre momentele în care s-a realizat scopul, respectiv:
a) intimidarea populației sau a unui segment al acesteia, prin producerea unui puternic impact psihologic;
b) constrângerea nelegitimă a unei autorități publice ori organizații internaționale să îndeplinească, să nu îndeplinească sau să se abțină de la îndeplinirea unui anumit act;
c) destabilizarea gravă sau distrugerea structurilor politice fundamentale, constituționale, economice ori sociale ale unui stat sau organizații internaționale.
Conform art. 371 alin. (3) din Legea nr. 535/2004, scopul unei acțiuni sau inacțiuni specifice actelor de terorism poate fi dedus din circumstanțe faptice obiective.
2.8.3. Sancțiuni: se sancționează cu pedeapsa prevăzută de lege pentru infracțiunea săvârșită, ale cărei limite speciale se majorează cu jumătate, fără a se putea depăși maximul general de pedeapsă, și cu interzicerea unor drepturi, respectiv se pedepsește în funcție de acțiunile care realizează elementul constitutiv al infracțiunii, respectiv cu închisoarea de minimum 4,5 luni, în cazul deținerii unor instrumente necesare atacării sistemelor și datelor informatice, până la 10 ani și 6 luni, în cazul perturbării funcționării sistemelor informatice.
În cazul tentativei, pedeapsa este cuprinsă între jumătatea minimului și jumătatea maximului pedepsei pentru infracțiunea consumată.
2.9. Competența de efectuare a urmăririi penale și de judecată
Competența de efectuare a urmăririi penale în cazul infracțiunii de terorism cibernetic revine Direcției de Investigare a Infracțiunilor de Criminalitate Organizată și Teorism (art. 11 pct. 2 din Ordonanța de urgență a Guvernului nr. 78/2016[72], aprobată cu modificări prin Legea nr. 120/2018[73]).
Conform art. 40 din Legea nr. 535/2004, competența de judecată în primă instanță a infracțiunilor de terorism aparține Înaltei Curți de Casație și Justiție.
Concluzii
Așa cum s-a susținut[74], statele se confruntă cu mai multe dificultăți majore în a răspunde la actele de terorism cibernetic:
– nevoia de identificare atât a autorilor, cât și a competenței teritoriale este foarte contestată, datorită anonimității și structurii transnaționale a grupurilor de terorism cibernetic. Astfel, anonimatul oferit de internet îngreunează atât investigațiile efectuate de către poliția judiciară, cât și aplicarea principiului caracterului personal al răspunderii penale, conform căruia poate fi angajată doar răspunderea penală a celor care au participat la săvârșirea unei infracțiuni în calitate de autor, instigator sau complice. Corolarul acestui principiu este principiul caracterului personal al pedepsei, conform căruia pedeapsa nu poate fi aplicată decât aceluia care a săvârșit, cu vinovăția prevăzută de lege, fapta incriminată de legea penală;
– importanța înțelegerii metodelor și riscurilor ce declanșează o activitate infracțională este, în mare măsură, complicată, dat fiind natura extrem de tehnică a dispozitivelor și rețelelor utilizate, necesitând experți special instruiți în lupta împotriva terorismului cibernetic;
– necesitatea unui răspuns adecvat[75] la amenințarea terorismului cibernetic este sfidată de rapiditatea comunicațiilor și natura virtuală a informațiilor schimbate de teroriști prin intermediul internetului;
– cooperarea judiciară penală internațională necesită o armonizare a legislațiilor naționale cu privire la definirea infracțiunii de terorism[76] și, în subsidiar, a celei de terorism cibernetic;
– colectarea probelor din computer și rețele, inclusiv cele care presupun cooperarea dintre autoritățile competente și autoritățile de aplicare a legii și operatorii de servicii esențiale, furnizorii de servicii digitale, necesită instrumente juridice specifice pentru a se asigura eficiența și conservarea probelor, precum și respectarea drepturilor procedurale și substanțiale, cum ar fi dreptul la viață privată și la datele personale.
[1] Asociația Națională pentru Securitatea Sistemelor Informatice, ,,Cod de bune practici pentru Securitatea Sistemelor Informatice și de Comunicații”, 2012, disponibil aici. (accesat la 3 august 2019).
[2] Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului, publicată în Jurnalul Oficial al Uniunii Europene nr. L218/8 din 14 august 2013.
[3] Ibidem.
[4] A.-V. Vevera, ,,Amenințări cibernetice globale şi naționale”, disponibil aici (accesat la 3 august 2019).
[5] Publicată în Crime and Justice International, vol 13, Issue 2, Pages 14-18, 1997/3 (disponibilă aici, accesat la 28 iulie 2019).
[6] Axelrod, C.W., “Security Against Cyber Terrorism”, 2002, apud Shamsuddin, A.J., ,,Countering Cyber Terrorism Effectively: Are We Ready To Rumble”, publicat aici, accesat la 27 iulie 2019.
[7] C. Wilson, ,,Computer Attack and Cyber Terrorism: Vulnerabilities and Policy Issues for Congress” updatat la 2005, disponibil aici, accesat la 15 iulie 2019 (în continuare C. Wilson, op. cit., 2005).
[8] Ibidem.
[9] C. Wilson, op. cit., 2005.
[10] Directiva (UE) 2017/541 a Parlamentului European și a Consiliului din 15 martie 2017 privind combaterea terorismului și de înlocuire a Deciziei-cadru 2002/475/JAI a Consiliului și de modificare a Deciziei 2005/671/JAI a Consiliului, publicată în Jurnalul Oficial al Uniunii Europene nr. 88/6 din 31 martie 2017.
[11] A se vedea Study Group Report on International Law & Cyber Terrorism din 31 iulie 2016, p. 25, redactat de D. P. Fidler (SUA), președinte, R. Buchan (UK), Co-raportor, E. Crawford (Australia), Co-rapportor și membrii TJ Adhihetty (Olanda), H. Harrison Dinniss (Suedia), P. Ducheine (Olanda), K. Eichensehr (SUA), D. Housen-Couriel (Israel), E. Ivanov (Rusia), S.-W. Kim (Korea ) H. Nasu (Australia), F. K. Nkusi (sediul central), M. Ellen O’Connell (SUA), A. S. de Morais Neto (Brazilia), N. Tsagourias (UK), K. Ziolkowski (Germania), în continuare Study Group Report on International Law & Cyber Terrorism 2016, disponibil pe site-ul aici, accesat la 27 iulie 2019.
[12] Steganografia (în limba greacă înseamnă “scris ascuns”) este arta de a comunica într-un mod ce ascunde existența comunicării. Scopul steganografiei este de a ascunde mesajele în interiorul unor comunicări inofensive, astfel încât acestea să nu fie detectate. Steganografia diferă de criptografie prin aceea că mesajele nu sunt codificate, ci doar ascunse într-un mod în care detectarea lor este aproape imposibilă. A se vedea pe larg L. Miclea, D. Gorgan, A. Nicu, ,,Cercetări privind utilizarea metodelor steganografice și criptografice în vederea creșterii securității sistemelor cyber-fizice”, disponibil aici, accesat la 13 iulie 2019.
[13] A se vedea, pe larg, United Nations, Counter-Terrorism Implementation Task Force, Working Group Compendium, ,,Countering the Use of the Internet for Terrorist Purposes – Legal and Technical Aspects”, May 2011, disponibil pe site-ul aici, accesat la 2 iulie 2019; DCSINT Handbook No. 1.02, Cyber Operations and Cyber Terrorism, 2005, disponibil aici, accesat la 13 iulie 2019.
[14] În același sens, O. Iordan, G. Dinu, ,,Terorismul – de la graffiti la ofensiva cibernetică”, în Revista Intelligence, iulie 2017, disponibil și pe site-ul https://intelligence.sri.ro/terorismul-cibernetic-de-la-graffiti-la-ofensiva-cibernetica/, accesat la 3 august 2019; J. Brickey, ,,Defining Cyberterrorism: Capturing a Broad Range of Activities in Cyberspace”, august 2012, disponibil aici, accesat la 24 august 2019.
Pentru o altă opinie, a se vedea A.-C. Moise, ,,Dimensiunea criminologică a criminalității din cyber spațiu”, Editura CH Beck, 2015, p. 331 și urm.; S.S.-E. Olănescu, A.V. Olănescu, ,,Cyberterrorism: The Latest Crime Against International Public Order”, disponibil aici, accesat la 24 august 2019; G.R. Murray, C.D. Albert, K. Davies, C. Griffith, J. J. Heslen, L. Y. Hunter, N. Jilani-Hyler, S. Ratan, ,,Toward Creating a New Research Tool: Operationally Defining Cyberterrorism”, disponibil aici, accesat la 24 august 2019.
[15] În același sens, a se vedea și Study Group Report on International Law & Cyber Terrorism din 31 iulie 2016, p. 24.
[16] A se vedea Study Group Report on International Law & Cyber Terrorism din 31 iulie 2016, nota de subsol 3.
[17] J. Rollins, C. Wilson, ,,Terrorist Capabilities for Cyberattack: Overview and Policy Issues”, 2007, disponibil aici, accesat la 13 iulie 2019.
[18] A se vedea comunicatul de presă al CENTCOM, disponibil pe site-ul aici, accesat la 28 iulie 2019.
[19] În ultima perioadă s-a trecut de la internetul populației la internetul lucrurilor (the Internet of the Things – IoT), care cuprinde toate dispozitivele care pot detecta aspecte ale lumii reale, cum ar fi: temperatura, lumina, prezența sau absența unor persoane sau obiecte etc. IoT colectează aceste informații și, pe baza acestora, acționează. Dispozitivele inteligente folosesc tehnologia internet prin Wi-fi pentru a comunica între ele, sau uneori direct prin Cloud. În mod ideal, punctul de acces central îl detine utilizatorul, prin intermediul smartphone-ului, tabletei sau a laptopului oriunde ar fi. A se vedea, pe larg, aici, accesat la 29 iunie 2019.
[20] Conform Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora, infrastructurile critice sunt elemente sau sisteme esențiale pentru menținerea funcțiilor sociale vitale, a sănătății, siguranței, securității și bunăstării sociale sau economice a persoanelor. Infrastructura critică europeană (ICE) este o infrastructură critică din țările UE, a cărei perturbare sau distrugere ar avea un impact semnificativ asupra a cel puțin două țări din UE (de exemplu, centralele de producție a energiei electrice sau conductele de distribuție a petrolului)”.
Consiliul de Securitate al ONU a adoptat, în ședinta din 13 februarie 2017, Rezoluția nr. 2341 (2017) privind atacurile teroriste asupra infrastructurilor critice (publicată aici, accesat la 31 iulie 2019), potrivit căreia fiecare stat își determină ce anume domeniu constituie infrastructură critică și invită statele membre să se asigure că acestea au stabilit răspuderea penală pentru atacurile teroriste destinate distrugerii sau dezactivării infrastructurilor critice, precum și planificarea, instruirea, finanțarea și sprijinul logistic pentru astfel de atacuri.
În România, Centrul Național de Coordonare a Protecției Infrastructurilor Critice se află în structura Ministerului Administrației și Internelor (disponibil aici, accesat la 3 august 2019); cu privire la rolul Serviciului Român de Informații, a se vedea, pe larg, S.R.I., ,,Protecția infrastructurilor critice”, disponibilă aici (accesat la 3 august 2019).
Referitor la cadrul normativ privind desemnarea infrastructurilor critice în alte state se vedea, pe larg, Interpol – United Nations Security Council, ,,The protection of critical infrastructures against terrorist attacks: compendium of good practices”, disponibil aici (accesat la 3 august 2019).
[21] La începutul lunii mai 2019, cercetătorii au creat un program malware pe bază de AI care poate fi folosit pentru a accesa ilegal aparatele de scanare CT din spital, generând imagini false de cancer care au înșelat chiar și pe cei mai calificați medici. Dacă sunt introduse în rețelele de spitale de astăzi, oamenii sănătoși ar putea fi tratați cu radiații sau chimioterapie pentru tumorile inexistente, în timp ce pacienții cu cancer de stadiu incipient ar putea fi trimiși acasă cu diagnostice false. Informațiile medicale de astăzi despre tratamentul cancerelor, cheagurilor de sânge, leziunilor cerebrale și virușilor ar putea fi manipulate, corupte și distruse. A se vedea, pe larg, ,,From drone swarms to modified E. Coli: say hello to a new wave of cyberattacks”, disponibil aici (accesat la 13 iulie 2019).
[22] U. Sieber, ,,International cooperation against terrorist use of the internet”, în Revue internationale de droit pénal, 2006/3-4 (Vol. 77), p. 395, disponibil aici. (accesat la 23 iunie 2019).
[23] A se vedea Study Group Report on International Law & Cyber Terrorism din 31 iulie 2016, p. 18.
[24] A se vedea, pe larg, G. Weimann, ,,Cyberterrorism How Real Is the Threat?” disponibil aici (accesat la 4 august 2019).
[25] Publicată în Monitorul Oficial al României, Partea I, nr. 1161 din 8 decembrie 2004, cu modificările și completările ulterioare.
[26] La 13 aprilie 2019, litera q) din alineatul (1), articolul 32, Capitolul IV a fost modificată de Punctul 27, Articolul I din Legea nr. 58 din 8 aprilie 2019, publicată în Monitorul Oficial al României, Partea I, nr. 271 din 10 aprilie 2019. În forma inițială, art. 32 lit. q) avea următorul conținut: ,,fraude comise prin sisteme informatice şi mijloace de plată electronice şi infracțiuni contra siguranței şi integrității sistemelor şi datelor informatice”.
[27] Articolul 360 Accesul ilegal la un sistem informatic
(1) Accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.
(2) Fapta prevăzută în alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoarea de la 6 luni la 5 ani.
(3) Dacă fapta prevăzută în alin. (1) a fost săvârșită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.
[28] Articolul 361 Interceptarea ilegală a unei transmisii de date informatice
(1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic se pedepsește cu închisoarea de la unu la 5 ani.
(2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic, ce conține date informatice care nu sunt publice.
[29] Articolul 362 Alterarea integrității datelor informatice
Fapta de a modifica, șterge sau deteriora date informatice ori de a restricționa accesul la aceste date, fără drept, se pedepsește cu închisoarea de la unu la 5 ani.
[30] Articolul 363 Perturbarea funcționării sistemelor informatice
Fapta de a perturba grav, fără drept, funcționarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin restricționarea accesului la date informatice, se pedepsește cu închisoarea de la 2 la 7 ani.
[31] Articolul 364 Transferul neautorizat de date informatice
Transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare a datelor informatice se pedepsește cu închisoarea de la unu la 5 ani.
[32] Articolul 365 Operațiuni ilegale cu dispozitive sau programe informatice
(1) Fapta persoanei care, fără drept, produce, importă, distribuie sau pune la dispoziție sub orice formă:
a) dispozitive sau programe informatice concepute sau adaptate în scopul comiterii uneia dintre infracțiunile prevăzute în art. 360-364;
b) parole, coduri de acces sau alte asemenea date informatice care permit accesul total sau parțial la un sistem informatic, în scopul săvârşirii uneia dintre infracțiunile prevăzute în art. 360-364,se pedepseşte cu închisoare de la 6 luni la 3 ani sau cu amendă.
(2) Deținerea, fără drept, a unui dispozitiv, a unui program informatic, a unei parole, a unui cod de acces sau a altor date informatice dintre cele prevăzute în alin. (1), în scopul săvârşirii uneia dintre infracțiunile prevăzute în art. 360-364, se pedepseşte cu închisoare de la 3 luni la 2 ani sau cu amendă.
[33] Articolul 366 Sancționarea tentativei
Tentativa la infracțiunile prevăzute în prezentul capitol se pedepseşte.
[34] A se vedea și M. Dobrinoiu, ,,Infractiunea de interceptare ilegala a unei transmisii de date informatice”, disponibil aici (accesat la 4 august 2019).
[35] În același sens, cu privire la interceptare ilegală a unei transmisii de date informatice, a se vedea M. Dobrinoiu, op. cit. supra.
[36] Cu privire la răspunderea persoanei juridice în dreptul român și în dreptul comparat, a se vedea V. Păvăleanu, ,,Răspunderea penală a persoanei juridice în România și în dreptul comparat”, disponibil aici (accesat la 4 august 2019).
[37] În același sens este și art. 10 din Directiva 40/2013 privind atacurile împotriva sistemelor informatice, care reglementează Răspunderea persoanelor juridice:
(1) Statele membre iau măsurile necesare pentru a garanta angajarea răspunderii persoanelor juridice pentru oricare dintre infracțiunile prevăzute la articolele 3-8, săvârșite în beneficiul lor de către orice persoană, acționând fie în nume propriu, fie ca parte a unui organism al persoanei juridice și având o funcție de conducere în cadrul persoanei juridice, în temeiul: (a) unei împuterniciri din partea persoanei juridice; (b) unei prerogative de a lua decizii în numele persoanei juridice; (c) unei prerogative de a exercita controlul în cadrul persoanei juridice.
(2) Statele membre adoptă măsurile necesare pentru a garanta angajarea răspunderii persoanelor juridice în cazul în care nesupravegherea sau neexercitarea controlului, imputabile unei persoane menționate la alineatul (1), a permis săvârșirea, de către o persoană aflată în subordine, a oricăreia dintre infracțiunile menționate la articolele 3-8, în beneficiul acelei persoane juridice.
(3) Răspunderea persoanelor juridice în temeiul alineatelor (1) și (2) nu exclude procedurile penale îndreptate împotriva persoanelor fizice care sunt autori, instigatori sau complici la oricare dintre infracțiunile prevăzute la articolele 3-8.
[38] Curtea Constituțională a României, Decizia nr. 156 din 27 martie 2018, paragr. 29, referitoare la excepția de neconstituționalitate a dispozițiilor art. 135 alin. (1) din Codul penal, publicată în Monitorul Oficial al României, Partea I, nr. 474 din 8 iunie 2018.
[39] Ibidem, paragr. 32.
[40] Ibidem, paragr. 33-35.
[41] Pentru opinia că există infracțiunea de terorism cibernetic și în cazul în care efectele atacurilor informatice sunt destul de distructive pentru a genera temeri comparabile cu un act tradițional de terorism, chiar dacă sunt săvârșite de infractorii obișnuiți, a se vedea J. Rollins, C. Wilson, Terrorist Capabilities for Cyberattack: Overview and Policy Issues, 2007, citat supra; C. Wilson ,,Computer Attack and Cyber Terrorism: Vulnerabilities and Policy Issues for Congress”, 2003, dispinibil aici (accesat la 14 iulie 2019).
[42] DCSINT Handbook No. 1.02, Cyber Operations and Cyber Terrorism, 2005, p. 8-11, cit.supra.
[43] A se vedea, pe larg, informațiile postate aici (accesat la 14 iulie 2019).
[44] A se vedea informațiile publicate aici (accesat la 14 iulie 2019).
[45] Este cunoscut cazul sectei Aum Shinrikyo, care în 2005 a desfășurat atacul cu gaz sarin la metroul din Tokio, care a obținut un subcontract de acordare a asitenței tehnice Poliției Metropolitane. Statutul de insider a permis organizației accesul la date sensibile care au putut fi exploatate în continuare pentru a încălca integritatea bazei de date a poliției metropolitane. A se vedea pe larg United Nations, Counter-Terrorism Implementation Task Force, Working Group Compendium, ,,Countering the Use of the Internet for Terrorist Purposes – Legal and Technical Aspects”, May 2011, p. 38, cit. supra.
[46] În același sens Study Group Report on International Law & Cyber Terrorism, 2016, p. 31.
[47] În acest sens, exemplificăm cu cazul Younes Tsouli, un marocan rezident în UK, care a fost condamnat la 16 ani închisoare pentru că, sub pseudonimul Irhabi 007 (irhabi, în limba arabă, înseamnă terorist), în perioada 2003-11 septembrie 2005, când a fost reținut de autoritățile din UK, a accesat în mod ilegal sistemele informatice ale mai multor guverne și universități pentru a posta mesaje cu conținut terorist, inclusiv tutoriale despre fabricarea și detonarea vestelor cu explozibili. A se vedea informațiile postate de poliția metropolitată aici, accesat la 2 iulie 2019.
[48] A se vedea pe larg M. Dobrinoiu, op. cit. supra.
[49] Ibidem.
[50] Ibidem.
[51] Ibidem.
[52] A se vedea, pe larg, D.E. Denning, ,,Stuxnet: What Has Changed?” disponibil aici; L. Franceschi-Bicchierai, ,,The History of Stuxnet: The World’s First True Cyberweapon”, și aici, accesat la 29 iunie 2019.
[53] Acest atac, dacă poate fi atribuit unui stat, pare a fi un atac de război cybernetic (Cyberwarfare) care este un fenomen complex și ridică numeroase întrebări cu privire la definiții, diferențe cu referire la alte războaie și, în final, ceea ce implică compatibilitatea cu jus bellum și jus in bello dreptul internațional. A se vedea, pe larg: E.E. Artese, V. Vitkov, ,,Cyberwarfare and Collateral Damages”, publicat aici, accesat la 30 iunie 2019.
[54] A se vedea pe larg R. Bejtlich, ,,Duqu 2.0 The Most Sophisticated Malware Ever Seen” (updated september 2018), disponibil aici, accesat la 24 august 2019.
[55] ,,The Mystery of Duqu 2.0 a sophisticated cyberespionage actor returns” disponibil aici, accesat la 24 august 2019.
[56] Spear phishing este o metodă de phishing care folosește informații personale despre o persoană, un grup de indivizi sau o organizație, pentru a face un e-mail de phising mai credibil și personalizat. A se vedea, pe larg, datele disponibile aici, accesat la 24 august 2019.
[57] Pentru dezvoltarea acestui subiect, a se vedea P. Maynard, K. McLaughlin, S. Sezer, ,,Modelling Duqu 2.0 Malware using Attack Trees with Sequential Conjunction”, disponibil aici, accesat la 24 august 2019.
[58] A se vedea, pe larg: Supreme Court of Queensland, cazul R v. Boden [2002] QCA 164, hotărârea din 10 mai 2002, disponibilă pe site-ul https://www.queenslandjudgments. com.au/case/id/47259, precum și M. Abrams, J. Weiss, ,,Malicious Control System Cyber Security Attack Case Study – Maroochy Water Services, Australia”, disponibil aici, accesate la 29 iunie 2019, J. Slay și M. Miller, ,,Lessons learned from the Maroochy Water breach” disponibil aici, accesat la 29 iunie 2019.
[59] Autorul a fost pus sub supraveghere, iar la data de 23 aprilie 2000, ora 22.00, când a fost oprit autovehiculul în care se afla, a fost identificat un laptop care avea instalat un program aparținând companiei care a implementat sistemul informatic. Cu ocazia percheziției laptopului s-a stabilit că sistemul a fost reinstalat pe computer la 29 februarie 2000, cu o seară înainte de atacul de la pompa nr. 4, și era programat să acceseze pompa nr. 4. Mai precis, sistemul era dezvoltat de companie numai pentru a fi folosit să schimbe configurațiile în sistemele PDS și nu avea altă utilitate. Între 7 și 19 aprilie, sistemul a fost folosit de 31 de ori, iar ultima accesare a fost la 23 aprilie, ora 21.30.
[60] A se vedea C. Wilson, op. cit., 2005, cit. supra.
[61] Cu privire la incidentele cibernetice majore, a se vedea informațiile publicate aici, accesat la 4 august 2019.
[62] A se vedea aici, accesat la 2 iulie 2019.
[63] A se vedea, pe larg, R. Ottis, ,,Analysis of the 2007 Cyber Attacks Against Estonia from the Information Warfare Perspective”, disponibil aici, accesat la 2 iulie 2019.
De menționat că în 14 mai 2008, în Estonia s-a înființat Cooperative Cyber Defence Centre of Excellence (CCDCOE), cu sediul în Tallinn. A se vedea informațiile publicate aici, accesat la 5 august 2019.
[64] A se vedea, pe larg: C. Bronk, E. Tikk-Ringas, ,,Hack or attack? Shamoon and the Evolution of cyber-conflict”, disponibil aici, accesat la 4 august 2019; J. Haglund, ,,A Case Study of Four Recent High-Impact Malware Attacks”, 2017, disponibil aici, accesat la 4 august 2019.
[65] A se vedea și G.-I. Ioniță, ,,Infracțiunile din sfera criminalității informatice-Încriminare, investigare, prevenire și combatere”, Ediția a III-a, Editura Universul Juridic, 2018, p. 162.
[66] U. Sieber, op. cit.
[67] Ibidem.
[68] A se vedea C. Wilson, ,,Computer Attack and Cyber Terrorism: Vulnerabilities and Policy Issues for Congress”, op. cit. supra. Autorul dă ca exemplu, la nota de subsol 25, că în timp ce cel mai scump dezastru natural generat de Uraganul Andrew a generat daune SUA de circa 25 de miliarde de USD, virusul Love Bug a costat utilizatorii de computer din întreaga lume între 3 și 15 miliarde de USD și a fost creat de un student din Filipine având la dispoziție echipamente informatice nescostisitoare.
[69] S.A. Jalil, op. cit. supra.
[70] D.C. Alexander, ,,Cyber Threats Against the North Atlantic Treaty Organization (NATO) and Selected Responses”, octombrie 2014, disponibil aici, accesat la 13 iulie 2019.
[71] A se vedea S.A. Jalil, op. cit. supra.
[72] Publicată în Monitorul Oficial al României, Partea I, nr. 938 din 22 noiembrie 2016.
[73] Publicată în Monitorul Oficial al României, Partea I, nr. 472 din 7 iunie 2018.
[74] S. Bodin, M. Echilley, O. Quinard-Thibault, ,,International cooperation in the face of cyber-terrorism:current responses and future issues”, disponibil aici, accesat la 3 august 2019.
[75] Mecanismului integrat al UE pentru un răspuns politic la situații de criză („IPCR”), aprobat de Consiliu la 25 iunie 2013 și menționat la art. 1 alin. (2) din Decizia 2014/415/UE. IPCR ar trebui să permită coordonarea rapidă și răspunsul rapid la nivelul politic al Uniunii în cazul crizelor care au un impact amplu sau o semnificație politică amplă, indiferent dacă originea lor se situează sau nu în interiorul sau în afara Uniunii. A se vedea Decizia de punere în aplicare (UE) 2018/1993 a Consiliului din 11 decembrie 2018 privind mecanismul integrat al Uniunii pentru un răspuns politic la crize, publicată în Jurnalul Oficial al Uniunii Europene nr. L320/28 din 17 decembrie 2018.
[76] Cu privire la multiplele definiții ale terorismului, a se vedea pe larg R. Jurj-Tudoran, ,,Particularitățile subiectului activ al infracțiunii de terorism”, publicat în revista Pro Lege nr. 1/2017, disponibil aici (accesat la 3 august 2019).
Procuror Remus Jurj-Tudoran
*Mulțumim Revistei Pro Lege.
Homepage J JURIDICE Cariere Evenimente Dezbateri Profesionişti Lawyers Week Video |