Secţiuni » Arii de practică » Business » Cyberlaw » Cybersecurity
Cybersecurity
CărţiProfesionişti
UNBR Caut avocat
UNBR Caut avocat
UNBR Caut avocat
Masterclass US Litigators
Articole Cyberlaw Cybersecurity Drept penal Opinii SELECTED

Efectuarea de operațiuni financiare în mod fraudulos prin intermediul unui terminal POS (Point of Sale). Dezlegarea unei dezlegări de drept

31 august 2022 | George ZLATI, Ștefan DELEANU
George Zlati

George Zlati

Ștefan Deleanu

Ștefan Deleanu

Curtea de Apel București a sesizat, în temeiul art. 475 CPP, Înalta Curte de Casație și Justiție în vederea pronunțării unei hotărâri prealabile pentru dezlegarea următoarei chestiuni de drept:

Folosirea fără drept al unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întrunește elementele constitutive a două infracțiuni, respectiv, acces la un sistem informatic, prev. de art. 360 alin. (1) C.pen. și efectuarea de operațiuni financiare în mod fraudulos, prevăzute de art. 250 alin. (1) C.pen. (în formă tentată sau consumată, în funcție [de] efectuarea propriu-zisă a tranzacției) sau doar elementele constitutive ale infracțiunii de efectuarea de operațiuni financiare în mod fraudulos, prevăzute de art. 250 alin. (1) C.pen. (în formă tentată sau consumată, în funcție [de] efectuarea propriu-zisă a tranzacției)?

Problema de drept vizează relația dintre art. 250 (Efectuarea de operațiuni financiare în mod fraudulos) și art. 360 Cod penal (Accesul ilegal la un sistem informatic) în ipoteza în care inculpatul utilizează un instrument de plată electronică pentru a achiziționa de la un comerciant bunuri sau servicii, iar plata este făcută prin intermediul unui terminal POS.

În context, se pune problema în ce măsură o asemenea conduită se pliază inclusiv pe elementele constitutive ale art. 360 Cod penal, consecința fiind reținerea unui concurs ideal de infracțiuni. Soluția la această problemă de drept ar trebui să se aplice mutatis mutandis și cu privire la achiziționarea de bunuri sau servicii pe Internet, folosind doar datele de identificare ale unui instrument de plată electronică.

Prin prezentul material ne propunem să reiterăm teza avansată deja în alte lucrări (G. Zlati, Tratat de criminalitate informatică, vol. 1, Ed. Solomon, București, 2020, pp. 207-210, 279-280; G. Zlati, Comentariu în G. Bodoroncea, V. Cioclei, I. Kuglay, L. Lefterache, T. Manea, I. Nedelcu, F.M. Vasile, G. Zlati, Codul penal. Comentariu pe articole, ed. 3, Ed. C.H. Beck, București, 2020, pp. 930, 1674) și să aducem argumente suplimentare în susținerea acesteia. Astfel, în ceea ce ne privește, conduita inculpatului constând în folosirea frauduloasă a unui instrument de plată electronică la un terminal POS, pentru achiziționarea de bunuri sau servicii, nu întrunește elementele constitutive ale infracțiunii prevăzute de art. 360 Cod penal.

Servicii JURIDICE.ro

Evenimente juridice

Arbitraj comercial

I. Aspecte preliminare

Cu toate că practica judiciară nu este unitară cu privire la această problemă de drept, observăm că orientarea actuală este aceea de a reține un concurs ideal între art. 250 și art. 360 Cod penal. În context, nu putem să ignorăm că în ultimii doi ani Înalta Curte de Casație și Justiție a fost nevoită să invalideze alte două curente acceptate aproape în unanimitate la nivelul practicii judiciare:

– În ceea ce privește relația dintre infracțiunea de înșelăciune (art. 244 Cod penal) și frauda informatică (art. 249 Cod penal), cu privire la fraudele online (a se vedea în acest sens, HP nr. 37/2021);

– Referitor la reținerea infracțiunii de fals informatic (art. 325 Cod penal) cu privire la crearea de conturi false prin uzurparea identității unei terțe persoane (a se vedea în acest sens, HP nr. 4/2021).

În ambele cazuri, timp de aproximativ 18 ani de la incriminarea infracțiunilor informatice prin Legea nr. 161/2003, în practica judiciară s-au interpretat în mod eronat elementele constitutive ale acestor infracțiuni.

Asemenea curente jurisprudențiale le apreciem ca fiind deosebit de îngrijorătoare. Astfel, nu poate fi ignorată realitatea potrivit căreia numeroase conduite infracționale care se raportează la sistemul informatic sau la datele informatice fie ca obiect al unei infracțiuni informatice propriu-zise, fie ca mijloc de comitere al unei infracțiuni tradiționale, sunt tot mai complexe și dificil de înțeles din punct de vedere tehnic. Tehnologiile emergente vor genera un schimb de paradigmă inclusiv în ceea ce privește modul de operare al inculpaților, urmând a trece printr-o tranziție de la criminalitatea informatică 1.0 la criminalitatea informatică 2.0. În acest context, nu putem decât să privim cu rezerve reticența practicii judiciare de a da curs unui reviriment jurisprudențial.

Apreciem că practica judiciară ar trebui să dea dovadă de o mai mare deschidere în ceea ce privește o schimbare de paradigmă în acele situații în care încadrarea juridică acceptată cu o largă majoritate ajunge în timp să fie pusă sub semnul întrebării în literatura de specialitate.

Nu în ultimul rând, nu putem ignora faptul că noțiunile de „acces” și „fără drept” nu au făcut obiectul unor analize in extenso, în ciuda faptului că o analiză în drept adecvată necesită adesea nuanțări de ordin tehnic deosebit de relevante în plan juridic. În mod regretabil, aceste noțiuni sunt apreciate ca fiind clare sub aspectul conținutului, fără a se conștientiza complexitatea analizei în drept.

Un reputat autor american în domeniul criminalității informatice evidenția această problemă acum aproximativ 20 ani, concluzionând faptul că în literatura de specialitate se asumă în mod eronat că noțiunile de “acces” și “fără drept” au un înțeles evident (a se vedea O.S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statutes, în New York University Law Review, vol. 7, 2003, p. 1598). Această concluzie a fost formulată chiar în anul în care legiuitorul român a transpus în Legea nr. 161/2003 prevederile Convenției privind criminalitatea informatică. În mod paradoxal, deși literatura de specialitate și practica judiciară din SUA au un avans de mai bine de 15 de ani (Computer Fraud and Abuse Act datând din anul 1986), dezbaterile cu privire la înțelesul acestor noțiuni sunt încă de actualitate. În schimb, în dreptul român, dezbaterile pe acest subiect încă nici nu au început cu adevărat.

Cu titlu de exemplu, facem trimitere la următoarele situații ce au generat dificultăți majore în interpretarea acestor noțiuni apreciate ca având un înțeles evident:

1. Folosirea unui dispozitiv tip skimmer la bancomat a fost apreciată timp de aproape 10 ani de zile ca fiind o conduită care se pliază pe elementele constitutive ale art. 42 din Legea nr. 161/2003 (de lege lata, art. 360 Cod penal). Cu toate acestea, era de ordinul evidenței că plasarea dispozitivului tip skimmer în fanta bancomatului se rezumă la o simplă interacțiune fizică ce nu se poate transpune într-un acces la un sistem informatic. A fost așadar necesară o intervenție a Înaltei Curți de Casație și Justiție prin RIL nr. 15/2013 pentru invalidarea unei practici judiciare majoritare (aproape unanime) în care s-a reținut în mod artificial infracțiunea de acces ilegal la un sistem informatic.

2. Accesarea cu drept a unui sistem informatic și utilizarea (exploatarea) acestuia în scop personal a ridicat de asemenea dificultăți majore în ceea ce privește interpretarea art. 360 Cod penal. Având ca premisă teza depășirii limitelor autorizării, reglementată în art. 35 alin. (2) lit. b) din Legea nr. 161/2003, în practica judiciară s-a făcut deseori confuzie între accesarea unui sistem informatic și folosirea accesului în scop personal, ulterior consumării accesului autorizat. Deși Înalta Curte de Casație și Justiție a tranșat – din punctul nostru de vedere – această problemă de drept prin considerentele HP nr. 68/2021, organele judiciare sunt tentate în continuare să pună semnul egalității între accesarea unui sistem informatic și folosirea (exploatarea) acestuia în scop personal.

Curtea de Apel București a mai sesizat recent (vezi aici) Înalta Curte de Casație și Justiție cu privire la dezlegarea unei chestiuni de drept referitoare la „retragerea de numerar cu carduri falsificate, folosind datele cardurilor copiate” (a se vedea o analiză critică în G. Zlati, Accesarea unui sistem informatic și retragerea de numerar de la bancomat. Dezlegarea unei chestiuni de drept. Inadmisibilitate?, material disponibil pe juridice.ro).

Înalta Curte de Casație și Justiției, prin HP nr. 2/2021, a respins în mod întemeiat ca inadmisibilă sesizarea Curții de Apel București. Argumentul a fost acela că, în această situație, este aplicabil RIL nr. 15/2013. Totuși, așa cum urmează a arăta infra (a se vedea, pct. III), această din urmă decizie nu a vizat conduita infracțională ce face obiectul prezentei analize și nici nu își poate găsi aplicabilitatea.

II. Chestiuni de ordin tehnic

II.1. Terminalul POS și sistemul informatic bancar

Înainte de a proceda la o analiză în drept, apreciem necesar să clarificăm câteva aspecte de ordin tehnic. Cu titlu preliminar, necesită precizat că nu există vreo controversă în a califica terminalul POS ca fiind un sistem informatic (a se vedea și G. Zlati, Tratat…, vol. 1, precit., pp. 73-74). Astfel, acesta este un dispozitiv susceptibil de a prelucra date informatice prin intermediul unui program informatic (un sistem de operare), fiind așadar îndeplinite condițiile prevăzute la art. 181 alin. (1) Cod penal.

Terminalele POS sunt dispozitive închiriate sau achiziționate de la un procesator de plăți. Acestea au rolul de a facilita procesul de comunicare între sistemele informatice ale procesatorului de plăți și instrumentul de plată electronică. Standardele bancare acceptate de majoritatea rețelelor de carduri (a se vedea aici), precum Visa sau Mastercard, reglementează tipurile de tranzacții ce pot fi efectuate prin intermediul unui terminal POS. Necesită precizat faptul că, în unele situații, acestea exclud de plano o interacțiune logică cu sistemul bancar la momentul utilizării instrumentului de plată electronică – spre exemplu, în ipoteza tranzacțiilor offline efectuate în timpul unui zbor.

Deși un terminal POS se poate afla într-o relație funcțională cu alte sisteme informatice și face parte din “ecosistemul” bancar (sistemul bancar în ansamblul său), acesta nu devine automat o parte integrantă a unui sistem informatic bancar (în accepțiunea art. 181 Cod penal). Cu alte cuvinte, faptul că terminalul POS comunică cu serverul bancar, prin intermediul altor sisteme informatice, nu ne poate face să conchidem că acest dispozitiv își pierde autonomia. Încercând o analogie, faptul că mai multe sisteme informatice fac parte din aceeași rețea locală LAN, nu se transpune în faptul că toate aceste dispozitive trebuie privite ca fiind un singur sistem informatic. În realitate, fiecare sistem informatic în parte are autonomie în raport cu celelalte dispozitive conectate la rețea. Prin urmare, în măsura în care inculpatul accesează un sistem informatic din rețeaua locală LAN, acest lucru nu înseamnă că au fost accesate toate celelalte sisteme informatice.

Ar mai trebui menționat că unele terminale POS utilizate de către comercianți nu aparțin instituțiilor bancare. De asemenea, chiar dacă un terminal POS este asociat unei anumite instituții bancare, prin intermediul acestuia se pot iniția tranzacții folosind o varietate de instrumente de plată electronică, indiferent de entitatea emitentă a acestora. De altfel, regula în materia tranzacțiilor efectuate prin intermediul unui instrument de plată electronică este aceea că terminalul POS va interacționa la nivel logic cu sisteme informatice din multiple jurisdicții și aparținând unor entități juridice diferite.

În considerentele RIL nr. 15/2013 se regăsesc două trimiteri neunitare cu privire la noțiunea de sistem informatic, ce ar putea genera confuzie. Astfel, prin sintagma “sistemul informatic bancar” ar trebui să se înțeleagă totalitatea echipamentelor interconectate din sistemul bancar internațional. Discutăm așadar despre un “ecosistem” la care participă diverse entități juridice din multiple jurisdicții. În schimb, prin sintagma “sistemul informatic al băncii” ar trebui să se înțeleagă sistemul informatic întreținut de către instituția bancară și care exclude alți operatori implicați în fluxul procesării și validării tranzacțiilor.

II.2. Procesul de verificare și autorizare a tranzacției

În măsura în care concluzionam că RIL nr. 15/2013 se referă la sistemul informatic al entității emitente a instrumentului de plată electronică, singura concluzie acceptabilă ar trebui să fie cea potrivit căreia nu discutăm despre un acces la sistemul informatic al acesteia. Astfel, interogarea transmisă către instituția bancară este făcută în urma unui flux de interogări inițiate de către terminalul POS, la solicitarea comerciantului – fie automat prin intermediul unui sistem de self-checkout, fie manual prin introducerea sumei ce face obiectul tranzacției.

(În interpretarea schemei logice, trebuie menționat că fluxul simplifică un proces de tipul “interograre-răspuns”)

Pentru o mai bună înțelegere a fluxului logic al oricărei tranzacții ce implică utilizarea unui instrument de plată electronică la un terminal POS, necesită avute în vedere următoarele etape:

i. Comerciantul este cel care inițiază procesul de plată, introduce suma de bani datorată de către utilizatorul instrumentului de plată electronică și îi indică acestuia “să apropie cardul” de terminalul POS.

ii. Terminalul POS comunică cu procesatorul de plăți (care poate să fie inclusiv o instituție bancară), căruia îi transmite informațiile asociate tranzacției. În funcție de tipul tranzacției, informațiile pot să difere – existând așadar diferențe între plata prin sistemul magnetic al instrumentului de plată electronică și sistemul EMV (cu chip).

În principiu, informațiile care se transmit au rolul de a identifica unic instrumentul de plată electronică (a se vedea specificația EMV, aici), de a descrie plata (suma, comerciantul etc.) și de a oferi diverse alte informații necesare pentru a preveni o eventuală fraudă.

iii. Procesatorul de plăți efectuează propriile verificări interne cu privire la riscul de fraudă (în special la tranzacțiile pe Internet), iar ulterior procedează la interogarea serverelor din rețeaua Visa sau Mastercard, folosind în acest sens o parte din informațiile primite de la terminalul POS.

iv. Rețelele Visa și Mastercard reprezintă o “șosea digitală” care interconectează o multitudine de procesatori de plăti și entități emitente ale instrumentelor de plată electronică (instituții bancare, EMI-uri, IFN-uri etc.), procedând la transmiterea pe mai departe a solicitării efectuate de către emitentul instrumentului de plată electronică.

v. Serverele emitentului instrumentului de plată electronică verifică tranzacția și comunică un răspuns către rețeaua de carduri Visa, Mastercard etc.

vi. Această rețea de carduri înaintează răspunsul primit către procesatorul de plăți.

vii. La rândul său, procesatorul de plăți decide în ce măsură tranzacția va fi sau nu acceptată și comunică acest răspuns către terminalul POS. În sistem se vor înregistra date mai ample care includ: ultimele 4 cifre din card, număr de referință, tipul instrumentului de plată electronică, țara emitentului etc.

viii. La final, terminalul POS va afișa comerciantului și utilizatorului instrumentului de plată electronică informații despre finalitatea tranzacției – în ce măsură aceasta a fost acceptată sau refuzată.

II.3. Diferența dintre interacțiunea logică cu un bancomat și interacțiunea logică cu un terminal POS

În ceea ce ne privește, principalul risc în legătură cu analiza problemei de drept ce a făcut obiectul sesizării Înaltei Curți de Casație și Justiție vizează o confuzie între situația retragerii de numerar de la bancomat și situația efectuării unei tranzacții prin intermediul unui terminal POS.

În cazul interacțiunii cu un bancomat, inculpatul plasează instrumentul de plată electronică într-o relație funcțională cu acesta (fie prin contactless, fie prin fanta unde se regăsește dispozitivul de citire), se autentifică prin intermediul codului PIN și dobândește un acces limitat la un set de funcții.

Acest acces îi conferă așadar inculpatului posibilitatea de a interoga diverse informații, de a afișa aceste informații pe monitorul bancomatului și de a dispune efectuarea unor operațiuni (schimbare cod PIN, retragere de numerar, consultare sold disponibil etc.).

În cazul interacțiunii cu un terminal POS, scopul inculpatului este acela de a efectua o tranzacție folosind un instrument de plată electronică, în vederea achiziționării de bunuri sau servicii. În discuțiile purtate cu comerciantul, acesta clarifică faptul că dorește să efectueze plata folosind un instrument de plată electronică. Prin urmare, comerciantul introduce suma ce face obiectul tranzacției în terminalul POS și inițiază în mod nemijlocit procesul de plată.

Inculpatul primește de la comerciant instrucțiunea de a apropia sau de a introduce instrumentul de plată electronică în terminalul POS, moment în care plata este supusă unui proces de verificare și autorizare. Ulterior finalizării acestui proces (a se vedea supra, la pct. II.2.), terminalul POS recepționează un răspuns în legătură cu această tranzacție, în urma căruia comerciantul emite bonul fiscal și finalizează tranzacția.

III. Inaplicabilitatea RIL nr. 15/2013

Nu avem rezerve în a concluziona că RIL nr. 15/2013 nu își găsește aplicabilitate cu privire la situația în care în care inculpatul a utilizat în mod fraudulos un instrument de plată la un terminal POS sau a utilizat datele de identificare ale acestuia pentru a achiziționa bunuri sau servicii pe Internet.

Astfel, în RIL nr. 15/2013 a fost analizată doar situația în care inculpatul folosește fie un instrument de plată electronică contrafăcut (clonat), fie unul sustras anterior, pentru a se autentifica în cadrul bancomatului în scopul efectuării unei retrageri de numerar. În acest caz, suntem de acord că ne aflăm în prezența accesării unui sistem informatic, deoarece interacțiunea logică pe care inculpatul o poate avea cu bancomatul îi conferă acestuia posibilitatea de a executa o varietate de funcții precum: inițierea unei operațiuni de retragere de numerar, schimbarea codului PIN, consultarea soldului disponibil (balanța de cont) etc.

Prin urmare, interacțiunea la nivel logic cu sistemul informatic nu se rezumă la o simplă comunicare de date informatice, ci se transpune într-un veritabil acces ce îi conferă inculpatului posibilitatea de a beneficia de funcțiile ori/și resursele acestuia.

În schimb, prin utilizarea în mod fraudulos a unui instrument de plată la un terminal POS sau utilizarea datelor de identificare ale acestuia pentru achiziționarea de bunuri sau servicii pe Internet, inculpatul nu procedează decât la comunicarea (transmiterea) unui set de date informatice. Faptul că această comunicare (transmitere) de date informatice determină într-un final sistemul informatic bancar să autorizeze tranzacția inițiată de către inculpat sau comerciant, prin intermediul terminalului POS, nu echivalează per se cu accesarea sistemului informatic bancar.

Nu orice manipulare a unui sistem informatic are ca situație premisă accesarea acestuia. În unele cazuri, manipularea sistemului informatic – fie că aceasta se află sub incidența art. 250 sau a art. 249 Cod penal – este rezultatul unei simple comunicări (transfer) de date informatice.

IV. Lipsa elementelor constitutive ale art. 360 Cod penal

În mod regretabil, putem identifica doar o practică judiciară izolată în sensul reținerii exclusive a art. 250 Cod penal în acele situații în care inculpatul a utilizat în mod fraudulos un instrument de plată la un terminal POS sau a utilizat datele de identificare ale acestuia pentru a achiziționa bunuri sau servicii pe Internet – a se vedea în acest sens C.A. Cluj, s. pen., dec. pen. nr. 716/A/2022; C.A. Alba Iulia, s. pen., dec. nr. 611/2020; C.A. Timișoara, s. pen., dec. nr. 106/2018; C.A. Cluj, s. pen., dec. nr. 370/2017. În ceea ce ne privește, toate aceste hotărâri ar trebui să reprezinte un punct de referință pentru practica judiciară în contextul analizei relației existente între art. 250 și art. 360 Cod penal.

În ceea ce ne privește, în ipoteza în care inculpatul utilizează în mod fraudulos un instrument de plată electronică la un terminal POS sau utilizează datele de identificare ale acestuia pentru achiziționarea de bunuri sau servicii pe Internet, nu discutăm despre un acces la un sistem informatic ci despre o simplă comunicare (transmitere) de date informatice. De asemenea, prin reducere la absurd, chiar dacă am discuta despre un acces la un sistem informatic, acesta ar fi unul autorizat (cu drept).

De altfel, observăm că instanțele fac următoarea confuzie – apreciază că prin interacțiunea cu terminalul POS inculpatul accesează serverul bancar. În realitate, inculpatul interacționează la nivel logic în mod exclusiv cu terminalul POS al comerciantului, acest sistem informatic interacționând la rândul său cu o serie de alte sisteme informatice (a se vedea analiza tehnică făcută supra, la pct. II) care la rândul lor interacționează la nivel logic cu serverul bancar.

Prin urmare, din perspectiva participației penale, inculpatul nu ar putea fi considerat autor al infracțiunii de acces ilegal la un sistem informatic. Dacă interacțiunea cu serverul bancar este cea care se află sub incidența art. 360 Cod penal, atunci necesită observat că această interacțiune la nivel logic nu este realizată în mod nemijlocit de către inculpat. Drept consecință, inculpatul ar trebui eventual să răspundă pentru o instigare improprie la această infracțiune, deoarece interacțiunea logică cu terminalul POS determină comerciantul să inițieze o interacțiune logică cu sistemul informatic al procesatorului de plăți, care la rândul său este determinat să inițieze o interacțiune la nivel logic cu serverul bancar. Observăm așadar că analiza în drept este afectată de o înțelegere defectuoasă a aspectelor de ordin tehnic.

Revenind la analiza elementelor constitutive, teza noastră este aceea că în această situație lipsește cu totul interacțiunea la nivel logic susceptibilă de a fi calificată drept un acces la un sistem informatic. Chiar dacă orice acces la un sistem informatic are ca situație premisă o interacțiune la nivel logic, nu orice astfel de interacțiune se transpune într-un acces. Astfel, în raportul explicativ al Convenției privind criminalitatea informatică s-a statuat în mod explicit (a se vedea în acest sens parag. 46) că transmiterea unui e-mail ori a unui fișier către un alt sistem informatic nu echivalează cu accesarea acestuia. Apreciem că aceasta ar trebui să fie concluzia și în ceea ce privește comunicarea (transmiterea) datelor necesare pentru efectuarea unei tranzacții.

Dacă în ipoteza retragerii de numerar de la bancomat instrumentul de plată electronică reprezintă o veritabilă cheie de acces ce permite – împreună cu codul PIN – autentificarea la bancomat, în ipoteza interacțiunii cu terminalul POS instrumentul de plată electronică este doar un mijloc de stocare a datelor informatice de pe care sunt copiate datele necesare pentru procesarea tranzacției.

Prin urmare, terminalul POS citește datele asociate instrumentului de plată electronică și le comunică mai departe în vederea procesării și autorizării tranzacției. În niciun moment însă, prin interacțiunea logică cu terminalul POS, inculpatul nu dobândește un control asupra unui sistem informatic. Printr-o interpretare contrară s-ar pune semnul egalității între accesarea unui sistem informatic și orice comunicare (transmitere) de date informatice către acesta. Or, o asemenea construcție juridică ar fi incompatibilă cu rațiunea incriminării accesului ilegal la un sistem informatic.

Suntem de acord că un acces consumat se transpune în posibilitatea inculpatului de a beneficia de funcțiile ori/și resursele sistemului informatic accesat. De altfel, am promovat această definiție a accesului cu mult înainte de RIL nr. 15/2013 (a se vedea în acest sens, G. Zlati, Sancționarea accesului neautorizat la o rețea wireless și utilizarea fără drept a serviciului de Internet, în Caiete de drept penal, nr. 2/2011, p. 102). Așadar, nu orice interacțiune la nivel logic se transpune într-un acces la sistemul informatic, fiind necesar ca inculpatul să poate beneficia de funcțiile ori/și resursele acestuia. O asemenea urmare trebuie văzută însă ca fiind posibilitatea concretă de a exercita un control (inclusiv limitat) asupra sistemului informatic. Tocmai de aceea, constituie un acces la un sistem informatic următoarele conduite:

– Autentificarea la bancomat, prin utilizarea unui instrument de plată electronică și a codului PIN asociat. În acest caz, inculpatul poate proceda la schimbarea codului PIN, poate dispune retragerea de numerar, poate alimenta contul bancar sau interoga baza de date în vederea afișării soldului disponibil (balanța contului);

– Autentificarea la serviciul de Internet Banking. În acest caz, inculpatul poate efectua diverse operațiuni în legătură cu contul bancar sau cu privire la fondurile asociate acestuia.

De asemenea, nu se poate susține că această interacțiune la nivel de logic se realizează fără drept. În primul rând, inculpatul interacționează în mod nemijlocit doar cu terminalul POS. Or, o asemenea interacțiune este autorizată de către comerciant. Chiar dacă această autorizare se datorează unei induceri în eroare cu privire la identitatea persoanei care utilizează instrumentul de plată electronică, acest lucru nu se transpune în lipsa autorizării. De asemenea, existența sau inexistența unei autorizări nu trebuie analizată în raport cu manifestarea de voință a titularului instrumentului de plată electronică.

O asemenea manifestare de voință prezintă relevanță doar pentru reținerea art. 250 Cod penal. În schimb, în ceea ce privește art. 360 Cod penal, existența sau inexistența autorizării trebuie analizată în mod exclusiv în raport cu titularul sistemului informatic. Or, în mod evident, titularul instrumentului de plată electronică nu trebuie confundat cu titularul sistemului informatic presupus a fi accesat de către inculpat.

În context, trebuie făcută distincție între interacțiunea cu terminalul POS pentru efectuarea unei plăți, interacțiunea cu bancomatul prin intermediul instrumentului de plată electronică și interacțiunea cu serviciul de Internet Banking. În ultimele două situații, interacțiunea la nivel logic se transpune într-un acces ilegal deoarece inculpatul are posibilitatea de a efectua o varietate de operațiuni în legătură cu instrumentul de plată electronică ori cu fondurile asociate contului bancar al victimei. Sub acest aspect, situația este similară cu accesarea unui cont de utilizator prin intermediul căruia se pot utiliza diverse funcții ale sistemului informatic.

Tocmai de aceea, atunci când discutăm despre autentificarea la bancomat sau la serviciul de Internet Banking, autorizarea trebuie să fie conferită de către titularul de cont sau titularul instrumentului de plată electronică, manifestarea de voință a unei terțe persoane fiind irelevantă. În schimb, în momentul efectuării unei plăți la un terminal POS nu discutăm despre o interacțiune logică similară cu autentificarea la bancomat sau la serviciul de Internet Banking. În acest caz, titularul instrumentului de plată electronică nu este și titularul terminalului POS, dreptul de folosință fiind unul precar și în limitele stabilite de către comerciant.

V. Concluzii

În măsura în care Înalta Curte de Casație și Justiție va admite sesizarea Curții de Apel București și va soluționa această problemă de drept în sensul reținerii unui concurs ideal de infracțiuni între art. 250 și art. 360 Cod penal, se va crea un precedent deosebit de periculos. Astfel, lărgirea artificială a înțelesului noțiunii de “acces” va genera probleme la nivelul practicii judiciare, cel puțin în ceea ce privește următoarele conduite:

1. Atacurile de tip denial-of-service (DoS). Inclusiv în acest caz discutăm despre transmiterea unui set de date informatice către un sistem informatic, acesta fiind pus în situația de a oferi un răspuns în detrimentul utilizatorilor legitimi puși în situația de nu a mai putea interacționa la nivel logic cu sistemul informatic suprasolicitat.

Din punctul nostru de vedere, este evident că în acest caz putem reține doar infracțiunile prevăzute la art. 362 sau art. 363 Cod penal, după caz. Cu toate acestea, modul de soluționare a dezlegării de drept se poate răsfrânge inclusiv asupra reținerii art. 360 Cod penal în această situație.

2. Transmiterea de corespondență electronică nesolicitată (SPAM). O asemenea conduită nu este per se una infracțională. Cu toate acestea, modul de soluționare a dezlegării de drept se poate răsfrânge de asemenea asupra reținerii art. 360 Cod penal.

Astfel, instanțele ar putea concluziona că transmiterea unei corespondențe electronice (un set de date informatice) determină un sistem informatic (serverul web ce găzduiește contul de poștă electronică al destinatarului) să recepționeze, interpreteze și să stocheze această corespondență electronică. De altfel, unele servere prin intermediul cărora se furnizează serviciul de poștă electronică pot avea implementate mecanisme pentru identificarea și catalogarea corespondenței electronice nesolicitate ca fiind “spam”.

Prin urmare, dacă expeditorul corespondenței nesolicitate eludează acest mecanism de protecție (e.g. evitarea folosirii unor clase de adrese IP incluse pe “liste negre”) s-ar putea susține că discutăm despre o depășire a măsurilor de securitate. Cu toate acestea, într-o asemenea situație nu poate fi identificat un acces la un sistem informatic, chiar dacă o asemenea conduită este una frauduloasă.

3. Transmiterea unei instrucțiuni “ping” către un sistem informatic, pentru a verifica în ce măsură acesta este activ sau are anumite porturi deschise. Cu toate că printr-o asemenea conduită se poate pregăti săvârșirea unui acces ilegal la un sistem informatic, discutăm despre un act de pregătire ce excedează sferei de aplicabilitate a art. 360 Cod penal. Interpretarea eronată a noțiunii de “acces” ar conduce însă la extinderea nerezonabilă a sferei de aplicabilitate a acestui text de incriminare.

4. Folosirea unui bilet contrafăcut pentru a beneficia în mod fraudulos de serviciul de transport în comun. Dispozitivul care citește biletul poate fi un sistem informatic, iar introducerea sau scanarea biletului contrafăcut determină acest sistem informatic să proceseze date informatice de o manieră necorespunzătoare. Cu toate acestea, interacțiunea inculpatului cu sistemul informatic nu se transpune în accesarea acestuia.

În concluzie, apreciem că Înalta Curte de Casație și Justiție ar trebui să admită sesizarea Curții de Apel București și să statueze că folosirea fără drept a unui card bancar, la un terminal POS, întrunește doar elementele constitutive ale art. 250 Cod penal.

Av. dr. George Zlati
Ștefan Deleanu

Citeşte mai mult despre , , , ! Pentru condiţiile de publicare pe JURIDICE.ro detalii aici.
Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

Arii de practică
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Business
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul penal al afacerilor
Dreptul sportului
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Litigation
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protective
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi

Parteneri arii de practică  Specialişti


JURIDICE.ro
Main page
Cariere
Evenimente ⁞ 
Dezbateri
Profesionişti
Lawyers Week
WinLaw.ro
VIDEO
Servicii
Flux noutăţi
Selected ⁞ 
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi / JURIDICE NEXT
RSS  Publicare comunicate profesionale
Articole
Essentials
Interviuri
Opinii
Revista de note, studii şi opinii juridice
ISSN 2066-0944
       Studii şi note de studiu
Revista revistelor
Autori  Condiţii de publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională
Înalta Curte de Casaţie şi Justiţie
       Jurisprudenţă curentă ÎCCJ
       Dezlegarea unor chestiuni de drept
       Recurs în interesul legii
Curţi de apel ⁞ 
Tribunale ⁞ 
Judecătorii

Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene

Proiecte speciale
Cărţi
Covid-19 Legal React
Creepy cases
Life
Mesaje de condoleanţe
Povestim cărţi
Războiul din Ucraina
Wisdom stories

Servicii J   Cont profesional [membership]   Catalog   Documentare   Comunicare   Revealing   Vizual   Website   Logo   Foto   Video   Talent Search   Recrutare   Evenimente   Directoare internaţionale