Secţiuni » Arii de practică » Litigation » Drept penal
Drept penal
DezbateriCărţiProfesionişti

Raportul dintre infracțiunea de fraudă informatică, prevăzută de art. 249 Cod penal și infracțiunea de efectuarea de operațiuni financiare în mod fraudulos, prevăzută de art. 250 Cod penal
07.01.2022 | Marius PETER

Secţiuni: Articole, Cyberlaw, Drept penal, RNSJ, Selected, Studii
JURIDICE - In Law We Trust
Marius Peter

Marius Peter

Incriminarea în legislația penală națională a infracțiunilor de fraudă informatică și efectuarea de operațiuni financiare în mod fraudulos nu reprezintă o creație a legiuitorului român[1], iar pentru identificarea corectă a faptelor circumscrise elementului material al acestor infracțiuni, prevăzute în prezent la art. 249 și respectiv art. 250 din actualul Cod penal, și implicit pentru stabilirea unui raport corect între acestea, se impune a fi făcută o succintă trecere în revistă a actelor normative avute în vedere de legiuitorul național la elaborarea celor două norme de incriminare și a evoluției în timp a celor două incriminări.

I. 1. Frauda informatică

Fără a intra în detalii despre evoluția din perspectivă istorică a noțiunii de „criminalitate informatică” în legislația națională[2], este important de menționat că frauda informatică a fost incriminată anterior intrării în vigoare a noului Cod penal, prin Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției.

La prima vedere, opțiunea legiuitorului de a incrimina fapte care se circumscriu conceptului de criminalitate informatică într-o lege menită să asigure în principal prevenția și sancționarea faptelor de corupție (în exercitarea demnităților publice și în mediul de afaceri), ar putea părea cel puțin interesantă. Explicația opțiunii legiuitorului ar putea fi găsită, cel puțin în parte, în expunerea de motive[3] la respectiva lege.

După ce în deschiderea expunerii de motive la Legea nr. 161/2003 se constată că, privită ca fenomen social, corupția este un obstacol în calea democrației, dezvoltării economice, sociale și politice a unui stat, se menționează cu referire la respectiva lege, că aceasta este o reglementare complexă care, pe lângă dispozițiile ce se circumscriu pentru prevenirea, descoperirea și sancționarea faptelor de corupție, cuprinde dispoziții și din alte materii conexe absolut indispensabile realizării scopului urmărit prin acest act normativ.

Prin urmare, în opinia legiuitorului național, faptele de natură penală care s-ar putea încadra, sau cel puțin ar avea legătură cu fenomenul criminalității informatice, constituie un domeniu conex, dar absolut indispensabil realizării scopului Legii nr. 161/2003, respectiv a prevenirii și sancționării corupției. Este de presupus că, în contextul procedurilor de preaderare la blocul comunitar (pe care le parcurgea România la momentul adoptării legii), fenomenul criminalității informatice trebuia privit și din această perspectivă.

În esență, se poate reține că Legea nr. 161/2003 este structurată în două părți, respectiv Cartea I, care cuprinde reglementări generale pentru prevenirea și combaterea corupției și Cartea II, care cuprinde modificarea unor reglementări în scopul prevenirii și combaterii corupției.

Relevant pentru tema adusă în discuție este că prima parte a actului normativ, respectiv Cartea I, este structurată în cinci părți: Titlul I – Transparența informațiilor referitoare la obligațiile bugetare restante; Titlul II – Transparența în administrarea informațiilor și serviciilor publice prin mijloace electronice; Titlul III – Prevenirea și combaterea criminalității informatice; Titlul IV – Conflictul de interese și regimul incompatibilităților în exercitarea demnităților publice și funcțiilor publice; și Titlul V – privind grupurile de interes economic.

Deși, așa cum am arătat, pare cel puțin interesantă opțiunea legiuitorului de a include în același act normativ prevederi referitoare la prevenirea și combaterea criminalității informatice, alături de prevederi referitoare la transparența informațiilor referitoare la obligațiile bugetare restante, ori la conflictul de interese și regimul incompatibilităților în exercitarea demnităților și funcțiilor publice,  opțiunea legiuitorului apare oarecum justificată în contextul în care, cu ocazia adoptării legii, s-a avut în vedere că dezvoltarea tehnologiei informației și continua globalizare a rețelelor informatice au condus la un progres necontestat al societății și la asigurarea transparenței în viața publică, dar au determinat și apariția unei noi forme de criminalitate: criminalitatea informatică[4].

În acest context, deoarece la acel moment, eforturile comunității internaționale de a stabili faptele care trebuie să fie incriminate în legislațiile naționale din acest domeniu, precum și de a defini proceduri specifice pentru identificarea și sancționarea acestora, fuseseră concretizate în Convenția europeană privind criminalitatea informatică (în continuare „Convenția”)[5], semnată de România la 23.11.2001, legiuitorul național a înțeles ca prin normele prevăzute de Titlul III din Legea nr. 161/2003, că creeze cadrul legal necesar, din perspectiva ratificării acestei convenții (chiar anterior ratificării, prin Legea nr. 64/2004).

Prin urmare, indiferent dacă includerea unui titlu referitor la prevenirea și combaterea criminalității informatice într-o lege care are ca principal scop combaterea corupției este justificată într-o mai mare sau mai mică măsură, consider că motivul real pentru care legiuitorul a incriminat faptele prevăzute de art. 42 – 47 din Legea nr. 161/2003 (grupate în Secțiunea 1, din Capitolul III, Titlul III, Cartea I-a a Legii 161/2003, secțiune denumită infracțiuni contra confidențialității și integrității datelor și sistemelor informatice), precum și pe cele prevăzute de art. 48-50 a aceleiași legi (grupate în Secțiunea 2, denumită infracțiuni informatice), a fost acela de a pune în practică cele convenite prin aderarea României la Convenția ratificată prin Legea nr. 64/2004.

Așadar, în demersul de identificare a faptelor circumscrise elementului material al infracțiunilor menționate, se impune o analiză, din această perspectivă, a prevederilor Convenției (în continuare „Convenția”).

Art. art. 8 din Convenție, având denumirea marginală frauda informatică, prevede că fiecare parte va adopta măsurile legislative şi alte măsuri care se dovedesc necesare pentru a incrimina ca infracțiune, potrivit dreptului său intern, fapta intenționată şi fără drept de a cauza un prejudiciu patrimonial unei alte persoane: a) prin orice introducere, alterare, ștergere sau suprimare a datelor informatice; b) prin orice formă care aduce atingere funcționării unui sistem informatic, cu intenția frauduloasă sau delictuală de a obține fără drept un beneficiu economic pentru el însuși sau pentru altă persoană.

Pe de altă parte, potrivit prevederilor art. 49 din Legea nr. 161/2003 (articol conținut în Secțiunea denumită infracțiuni informatice), fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau ștergerea de date informatice, prin restricționarea accesului la aceste date ori prin împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul, constituie infracțiune şi se pedepsește cu închisoare de la 3 la 12 ani.

Deși articolul 49 din Legea nr. 161/2003 nu a împrumutat denumirea marginală a art. 8 din Convenție (frauda informatică), din conținutul expunerii de motive a acestei legi, din denumirea secțiunilor în care au fost plasate, pe de o parte art. 7 și art. 8 din Convenție, iar pe de altă parte, art. 48 și art. 49 din Legea nr. 161/2003 (cea de infracțiuni informatice), dar mai ales din similitudinea conținutul acestora, se poate concluziona în sensul că prin art. 49 din Legea nr. 161/2003 au fost incriminate în legislația internă faptele descrise la art. 8 din Convenție, fapte grupate generic ca modalități alternative ale infracțiunii de fraudă informatică.

În contextul în care expunerea de motive la Legea nr. 161/2003 nu excelează prin acuratețe juridică și claritate, iar preambulul Convenției are un caracterul de generalitate, pentru a identifica în mod corect faptele care se circumscriu elementului material al acestei infracțiuni este necesar să se recurgă la o analiză mai atentă a Raportului explicativ[6] al Convenției din 2001 privind criminalitatea informatică (în continuare „Raportul explicativ”).

Așa cum rezultă din par. 80 din Raportul explicativ, frauda informatică (alături de falsificarea informatică) vizează anumite infracțiuni referitoare la sistemele informatice (sau în legătură cu acestea), ca tipuri specifice de manipulare a unui sistemului informatic sau a datelor informatice. Nu insistăm asupra noțiunilor de „sistem informatic” sau ”date informatice”, acestea fiind definite la art. 1 lit. a) și lit. b) din Convenție și explicate în Raportul explicativ la par. 23-25. Definițiile acestor noțiuni au fost preluate de Legea nr. 161/2003, la art. 35 alin. 1 lit. a) și d).

La par. 86 – 88 din Raportul explicativ[7] se încearcă o definire a elementului material al infracțiunii de fraudă informatică în viziunea semnatarilor Convenției.

De reținut sub acest aspect că, deși odată cu dezvoltarea tehnologică, frauda informatică trebuie privită în contextul mai general al infracțiunilor economice (fiind amintite aici cu titlu de exemplu fraudele comise prin carduri de credit), precum și că, această infracțiune nu trebuie înțeleasă ca fiind doar o altă formă de incriminare a faptelor comise în legătură cu mijloacele electronice de plată sau cu tranzacțiile comerciale efectuate prin intermediul sistemelor informatice.

Din conținuturile par. 86 și 87 al Raportului explicativ se poate desprinde concluzia că de esența infracțiunii de fraudă informatică este manipularea unor date informatice – art. 8 lit. a) din Convenție, ori manipularea unui sistem informatic – art. 8 lit. b) din Convenție.

Noțiunea de manipulare a datelor informatice constă, în accepțiunea Convenției, într-o faptă intenționată, comisă fără drept, care are ca rezultat un prejudiciu patrimonial, și care presupune orice introducere, alterare, ștergere sau suprimare de date informatice. De asemenea, noțiunea de manipulare a unui sistem informatic constă într-o faptă intenționată, comisă fără drept, care are ca rezultat un prejudiciu patrimonial, și care aduce atingere, în orice fel, funcționării unui sistem informatic.

Așadar, cele două forme alternative ale infracțiunii de fraudă informatică prevăzută de art. 8 lit. a) și b) din Convenție, nu presupun în mod obligatoriu o tranzacție financiară, o plată sau orice alt gen de operațiune comercială efectuate prin intermediul sistemelor informatice, dar nici nu exclude posibilitatea ca prin fapta autorului de a manipula datele informatice ori sistemul informatic, să se producă unul dintre aceste rezultate, ceea ce înseamnă că infracțiunile care au ca element material efectuarea unor astfel de operațiuni (cum ar fi infracțiunea prevăzută de art. 250 Cod penal – efectuarea de operațiuni financiare în mod fraudulos), nu exclud de plano reținerea infracțiunii de fraudă informatică.

Prin urmare, având în vedere descrierea faptelor care ar intra sub incidența fraudei informatice, din perspectiva Convenției, se poate spune că spre deosebirea de infracțiunile care vizează efectuarea unor operațiuni financiare, sau a altor operațiuni comerciale prin intermediul sistemelor informatice, infracțiunea de fraudă informatică, în prima formă alternativă de incriminare, are ca obiect material chiar datele asupra cărora se acționează în modalitățile prevăzute de textul de incriminare (introducere, alterare, ștergere sau suprimare), în măsura în care aceste date pot fi considerate bunuri mobile incorporale cu valoare economică[8]. În această modalitate a infracțiunii (prevăzută de art. 8 lit. a din Convenție), caracterul de bun mobil incorporal este esențial, raportat la condiția impusă de textul de incriminare referitoare la producerea unui prejudiciu patrimonial. Dacă datele asupra cărora se acționează în modalitățile arătate nu au o valoare economică, deci nu pot fi încadrate în categoria bunurilor mobile incorporale, consider că nu se poate reține infracțiunea de fraudă informatică, deoarece ar lipsi unul dintre elementele de tipicitate.

Din această perspectivă distincția dintre infracțiunea de fraudă informatică și infracțiunile care presupun efectuarea unor operațiuni financiare sau comerciale prin intermediul sistemelor informatice devine și mai clară, având în vedere faptul că titularii celor două valori sociale pot fi persoane sau entități diferite. Este evident că datele informatice ca bunuri incorporale, pot aparține, sau pot fi administrate de entitatea care gestionează sistemul informatic, pe când sumele de bani, sau valorile reprezentate (la nivel logic) de aceste date informatice pot aparține altor persoane (de fapt de cele mai multe ori aparțin altor persoane sau entități), respectiv a celor care beneficiază de serviciile oferite de entitatea care administrează sistemul informatic.

În concret, recurgând la un exemplu cât se poate de simplu, este evident că o sumă de bani transferată fraudulos din contul unei persoane, prin accesarea fără drept a serverului unei bănci, aparține titularului de cont (respectiv a clientului băncii care beneficiază de serviciile bancare), pe când datele informatice prin care este reprezentată la nivel logic această sumă de bani, date gestionate pe serverul băncii și care sunt alterate, modificate sau șterse prin aceeași acțiune care au avut ca rezultat transferul sumei de bani, aparțin băncii, ca proprietar al serverului dar și a datelor stocate pe acesta, date care prin valoarea serviciilor oferite de bancă dobândesc caracterul de bunuri mobile incorporale.

În exemplul dat nu poate fi vorba de o singură infracțiune decât în situația în care autorul a acționat prin uzurparea identității titularului contului din care a efectuat transferul sumei de bani, adică a utilizat serviciul oferit de bancă în numele titularului de cont, fără acordul acestuia. Dacă însă autorul a acționat direct asupra datelor informatice stocate pe serverul băncii, fără să utilizeze datele de identificate ale titularului de cont, dar rezultatul acțiunilor sale a fost transferul acelei sume de bani, se pare că suntem în prezența ambelor infracțiuni, aducându-se atingere ambelor valori patrimoniale ocrotite de cele două incriminări (valoarea patrimonială a datelor informatice ca bunuri mobile incorporale, ori a sistemului informatic a cărui funcționare a fost afectată – ce aparțin băncii; precum și valoarea nominală a sumei de bani transferată – ce aparține titularului de cont).

În ceea ce privește relația dintre paguba produsă și beneficiul material urmărit de autor, în doctrina de specialitate[9], s-a susținut că producerea unei pagube se identifică, la nivel de conținut, cu beneficiul urmărit de agent.

Am serioase rezerve cu privire la această opinie, deoarece nu se poate identifica nici un element care să ne conducă la concluzia că prin incriminarea fraudei informatice s-ar fi urmărit sancționarea acelor fapte care au avut ca rezultat producerea unei pagube care se identifică, ori este în strânsă legătură cu beneficiul material urmărit de autor.

Se poate foarte ușor imagina o situație în care autorul este plătit de către un terț (de exemplu un concurent al furnizorului de servicii informatice vizat de autor), în scopul manipulării datelor ori a sistemului informatic aflat în posesia ori administrarea furnizorului de servicii informatice. În această situație, prin manipularea sistemului informatic de către autor, paguba se produce în patrimoniul furnizorului de servicii și constă într-un prejudiciu economic materializat în afectarea serviciilor prestate de acesta și implicit în scăderea valorii comerciale a acestora, iar beneficiul material urmărit de autor constă în suma de bani promisă acestuia de către terț.

Un argument în plus în a concluziona că infracțiunea de fraudă informatică are un caracter autonom față de celelalte infracțiuni referitoare la efectuarea de tranzacții financiare sau a altor operațiuni comerciale prin intermediul sistemelor informatice, este chiar evoluția normelor europene în această materie.

Relevante sub acest aspect, după ratificarea de către România a Convenției din 2001 privind criminalitatea informatică, prin Legea nr. 64/2004, Consiliul Uniunii Europene a adoptat Decizia-Cadru 2005/222/JAI/24-feb-2005, privind atacurile împotriva sistemelor informatice, aceasta fiind înlocuită ulterior de Directiva 2013/40/UE/12-aug-2013, privind atacurile împotriva sistemelor informatice.

În ambele acte se reia practic norma de incriminare a infracțiunii de fraudă informatică din Convenția din 2001 privind criminalitatea informatică (art. 4 și 5 din Directiva 2013/40/UE și respectiv art. 3 și 4 din Decizia-Cadru 2005/222/JAI), iar din conținutul ambelor acte se desprinde intenția clară a legiuitorului comunitar de a institui norme de prevenire și combatere a faptelor care vizează sistemele informatice și implicit datele informatice procesate/stocate prin intermediul acestora, fără a face nici un fel de referire la tranzacții financiare sau la orice fel de alte operațiuni comerciale efectuate prin intermediul acestor sisteme informatice.

Ambele modalități ale infracțiunii de fraudă informatică prevăzute de art. 8 lit. a) și b) din Convenție (respectiv fraudele care vizează date informatice, ori cele care vizează funcționarea sistemului informatic) au fost preluate în art. 249 Cod penal, articol de lege inclus în Titlul II al părții speciale – infracțiuni contra patrimoniului, la Capitolul IV – fraude comise prin mijloace informatice și mijloace electronice de plată.

Prin urmare, autonomia infracțiunii de fraudă informatică este dată, printre altele, și de obiectul juridic vizat, adică de valoarea socială ocrotită, care este alta decât în cazul infracțiunilor care presupun efectuarea de tranzacții financiare sau orice altfel de operațiuni comerciale, prin intermediul sistemelor informatice.

Din această perspectivă consider că denumirea capitolului din Codul penal în care a fost inclusă infracțiunea prevăzută de art. 249 Cod penal este inexactă, tocmai în considerarea celor arătate, în sensul că infracțiunile pe care le include nu vizează doar fraude comise prin sisteme informatice și mijloace electronice de plată, ci și fraude comise asupra sau împotriva sistemelor informatice, cel puțin în ceea ce privește infracțiunea de fraudă informatică.

O problemă interesantă pe care practica judiciară va trebui să o rezolve este stabilirea încadrării juridice a faptei autorului care utilizează cu rea credință un instrument de acces la datele puse la dispoziție de un agent economic (văzut ca furnizor de servicii informatice), instrument pus de acesta la dispoziția lui chiar de administratorului sistemului informatic și a datelor informatice (orice fel de aplicație soft sau orice alt gen de dispozitiv hardware care se încadrează în categoria sistemelor informatice), iar prin acțiunea sa, autorul realizează o manipulare a datelor informatice sau a sistemelor informatice în sensul infracțiunii de fraudă informatică, prevăzut de art. 8 lit. a) și b) din Convenție, și preluat de art. 249 Cod penal.

Ne putem imagina situația în care utilizatorul unei biblioteci on-line, folosindu-se de propriile date de acces la sistemul informatic (de ex: propriul user și parolă) și acționând sub identitate reală dar cu rea credință, ar reuși strict utilizând interfața web, ori aplicațiile puse la dispoziție de bibliotecă, să introducă, transmită, modifice sau să șteargă date informatice, restricționeze accesul celorlalți utilizatori la datele bibliotecii, ori să împiedice în orice mod funcționarea sistemului informatic pe care se află datele bibliotecii, în sensul prevederilor art. 249 Cod penal.

Întrebarea care se pune e dacă în condițiile în care, acționând în maniera descrisă mai sus, scopul autorului ar fi de a obține un beneficiu material pentru sine sau pentru altul (ar putea acționa, de exemplu, în scopul însușirii unor cărți împrumutate), iar acțiunile sale ar fi cauzat o pagubă bibliotecii (paguba ar putea consta atât în contravaloarea cărților însușite pe nedrept de autor, cât și în afectarea serviciilor oferite de către bibliotecă celorlalți utilizatori), autorul ar răspunde pentru infracțiunea prevăzută de art. 249 Cod penal?

Cu alte cuvinte, ne aflăm în prezența infracțiunii de fraudă informatică, prevăzută de art. 249 Cod penal, în situațiile în care, prin fapta autorului se produce o pagubă în patrimoniul persoanei vătămate, scopul urmărit de autor este obținerea unui beneficiu material, dar acesta acționează strict prin mijloace puse la dispoziție de administratorul datelor și a sistemului informatic?

La o primă vedere, deși cel puțin aparent, ar fi îndeplinite toate elementele de tipicitate a infracțiunii prevăzută de art. 249 Cod penal, cred că ar exista serioase dificultăți în a se reține comiterea infracțiunii.

Pe de o parte, deoarece autorul a acționat strict prin mijloacele puse la dispoziție de administratorul datelor, ar fi deosebit de dificil a dovedi că a acționat cu rea credință și cu intenția de a produce o pagubă în patrimoniului furnizorului de servicii informatice. Pe de altă parte, ar fi cel puțin injustă sancționarea unui utilizator a serviciilor informatice puse la dispoziția acestuia, pentru lipsa de diligență a furnizorului acestor servicii în luarea unor minime măsuri de securitate și protecție a datelor și a sistemului informatic.

I. 2. Efectuarea de operațiuni financiare în mod fraudulos

Infracțiunea prevăzută de art. 250 alin. 1 Cod penal constă în efectuarea unei operațiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, valoare monetară sau monedă virtuală, prin utilizarea, fără consimțământul titularului, a unui instrument de plată fără numerar sau a datelor de identificare care permit utilizarea acestuia.

De esența acestei infracțiuni este utilizarea unui instrument de plată fără numerar, iar ca element de noutate, de menționat introducerea printre elementele care fac obiectul operațiunilor vizate și moneda virtuală, noțiune definită de art. 180 alin. 4 Cod penal, după modificarea adusă de legea nr. 207/2021, ca urmare a adoptării de către legiuitorul comunitar a Directivei 713/17-apr-2019, privind combaterea fraudelor și a contrafacerii în legătură cu mijloacele de plată fără numerar, Directivă care a înlocuit Decizia-Cadru 2001/413/JAI.

Fără a intra în detalii, consider că distincția dintre monedă electronică și cea de monedă virtuală este una deosebit de importantă, aceasta fiind în măsură să pună serioase probleme în practica judiciară în contextul vidului de reglementare în materia efectuării de tranzacții cu monede virtuale (cryptomonede) sau crypto-active în general, tranzacții care în ultimul timp au cunoscut o tot mai mare răspândire.

Astfel cum rezultă din textul de incriminare, elementul material al infracțiunii prevăzută de art. 250 alin. 1 Cod penal, constă în una dintre cele trei variante prevăzute de textul de incriminare, respectiv: efectuare unei operațiuni de retragere numerar; încărcare sau descărcare a unui instrument de monedă electronică; transfer de fonduri, monedă sau fonduri care pot avea valoare monetară (monedă electronică) sau pot consta în monedă virtuală.

Așadar, pentru a se putea reține această infracțiune trebuie să existe cel puțin una dintre acțiunile care au avut ca rezultat o retragere de numerar, o încărcare/descărcare, cu monedă electronică, a unui instrument de plată electronică, sau un transfer de fonduri care poate avea ca obiect valoare monetară (monedă electronică) ori monedă virtuală (dacă acceptăm că moneda virtuală poate fi circumscrisă noțiunii de „fonduri”).

După verificarea celor trei modalități în care poate fi comisă infracțiunea, trebuie verificate cele două condiții de tipicitate impuse cumulativ de textul de incriminare, respectiv faptă că fie comisă fără consimțământul titularului, și prin utilizarea unui instrument de plată fără numerar, ori a datelor de identificare care permit utilizarea acestuia.

Nu intru în detalii cu privire la verificarea condiției care impune ca fapta să fie comisă fără consimțământul titularului deoarece, pe de o parte, aceasta nu ridică probleme deosebite în practică, iar pe de altă parte, nu consider că această condiție prezintă relevanță (prea mare) în ceea ce privește raportul dintre această infracțiune și cea de fraudă informatică prevăzută de art. 249 Cod penal.

În ceea ce privește însă condiția impusă de legiuitor, ca autorul să acționeze (într-una dintre cele trei modalități prevăzute), prin utilizarea unui instrument de plată fără numerar (ori a datelor de identificare care permit utilizarea acestuia), consider că aceasta este esențială pentru a distinge între această infracțiune și ce de fraudă informatică prevăzută de art. 249 Cod penal.

Important de menționat sub acest aspect este faptul că modalitățile de comitere a infracțiunii de fraudă informatică prevăzută de art. 249 Cod penal, în varianta fraudării datelor informatice, presupune introducerea, transmiterea, modificarea sau ștergerea acestora, fără nici o limitare cu privire la obiectele sau la valorile reprezentate logic de datelor informatice asupra cărora se acționează, precum nici a mijlocului utilizat de către autor.

Astfel, dacă în cazul infracțiunii prevăzute de art. 250 Cod penal, datele informatice vizate de autor pot să reprezinte la nivel logic numai fonduri bănești, sau eventual cryptomonede, în cazul infracțiunii de fraudă informatică prevăzută de art. 249 Cod penal, aceste date informatice pot reprezenta la nivel logic și alte valori cu conținut patrimonial, din orice alt domeniu (creații literare, opere științifice, proiecte sau documentații tehnice sau de arhitectură, studii de cercetare, etc.).

De asemenea, dacă mijloacele prin care autorul acționează asupra datelor informatice în cazul infracțiunii prevăzută de art. 250 Cod penal, se limitează la instrumente de plată fără numerar, sau la utilizarea unor date de identificare care permit utilizarea acestor instrumente, în cazul infracțiunii prevăzută de art. 249 Cod penal, nu există nici o limitare din acest punct de vedere.

În cazul infracțiunii de fraudă informatică prevăzută de art. 249 Cod penal, spre deosebire de infracțiunea de efectuarea de operațiuni financiare în mod fraudulos, prevăzută de art. 250 Cod penal, autorul poate utiliza orice fel de mijloace. Modalitatea prin care acesta manipulează datele sau sistemul informatic, în cazul fraudei informatice, poate fi, cel puțin de principiu, o aplicație pusă la dispoziție de către administratorului datelor vizate, aplicație pe care autorul o folosește în mod fraudulos, sau poate fi orice alt mijloc informatic al său (program informatic scris de autor ori procurat de acesta în scopul manipulării datelor informatice), mijloace prin care acesta poate acționa asupra datelor informatice, eludând sistemele de protecție și securitate a administratorului datelor.

Ca o consecință, se poate considera că întotdeauna când autorul folosește un serviciu pus la dispoziție de către entitatea care administrează datele informatice, date care la nivel logic reprezintă fonduri bănești (monedă electronică) sau monedă virtuală (acest serviciu concretizându-se în orice instrument de plată fără numerar – card bancar, aplicație de tranzacționare on-line, portofel electronic, etc), avem de a face cu infracțiunea prevăzută de art. 250 Cod penal, iar din această perspectivă (doar din aceasta), infracțiunea de efectuare de operațiuni financiare în mod fraudulos are un caracter special față de infracțiunea de fraudă informatică.

În situația în care dimpotrivă, autorul nu folosește vreun serviciu (concretizat prin utilizarea unei aplicații soft, sau echipament hardware) pus la dispoziția utilizatorilor pentru accesarea sau utilizarea datelor, nefiind îndeplinită condiția prevăzută de art. 250 Cod penal (de utilizare a unui instrument de plată fără numerar), consider că ne aflăm în prezența infracțiunii de fraudă informatică prevăzută de art. 249 Cod penal, chiar dacă datele informatice asupra cărora se acționează reprezintă la nivel logic fonduri bănești (monedă electronică) sau monedă virtuală, iar rezultatul acțiunii autorului poate fi asimilată unei „operațiuni financiare” în sens larg (transfer de active de la un deținător la altul).

Cu alte cuvinte, dacă autorul utilizează aplicația de internet banking pusă la dispoziție de către bancă, prin uzurparea identității titularului contului, se va reține infracțiunea de efectuare de operațiuni financiare în mod fraudulos, prevăzută de art. 250 alin. 1 Cod penal. Dimpotrivă, dacă același autor va acționa asupra acelorași datelor administrate de bancă (prin modificarea directă a datelor informatice ce reprezintă la nivel logic valorile soldurilor unor conturi – de exemplu), iar activitatea sa va avea același rezultat ca și în cazul în care ar fi folosit aplicația de internet banking (de exemplu, ar opera o modificare a datelor informatice în sensul debitării contului unui utilizator și a creditării cu aceeași valoare monetară, a contului său sau al altei persoane), ne vom afla (și sau doar?) în prezența infracțiunii de fraudă informatică, prevăzută de art. 249 Cod penal.

Această distincție este cu atât mai importantă cu cât constituie un criteriu determinant în identificarea subiectului pasiv al infracțiunii, cu efecte directe asupra criteriului de identificare a patrimoniului în care s-a produs o pagubă în sensul prevederilor art. 249 Cod penal.

Dacă în cazul infracțiunii prevăzută de art. 250 alin. 1 Cod penal, subiectul pasiv al infracțiunii este titularul valorii reprezentată la nivel logic prin datele informatice asupra cărora s-a acționat (de exemplu, titularul contului bancar din care s-a efectuat operațiunea financiară în mod fraudulos), iar prejudiciul se produce în patrimoniul acestuia, fără nici o legătură cu patrimoniul în care se află datele informatice care reprezintă la nivel logic sumele care au constituit obiectul operațiunii financiare efectuate, în cazul infracțiunii prevăzută de art. 249 Cod penal, lucrurile s-ar putea să nu stea așa de simplu.

În cazul infracțiunii de fraudă informatică, prevăzută de art. 249 Cod penal, subiectul pasiv al infracțiunii este deținătorul datelor informatice manipulate, ori a sistemului informatic a cărei funcționare a fost împiedicată în orice mod, prin fapta autorului iar paguba se creează în patrimoniul acestuia.

Așadar, în cazul reținerii infracțiunii de fraudă informatică, cel care se va constitui parte civilă în procesul penal va fi administratorul datelor informatice manipulate, și nu titularul de cont bancar, a cărui sold a fost modificat la nivel logic prin fapta autorului, spre deosebire de cazul infracțiunii de efectuare de operațiuni financiare în mod fraudulos, în care parte civilă în procesul penal se va constitui chiar titularul contului bancar prejudiciat prin fapta autorului. Această distincție este importantă sub acest aspect în primul rând pentru că nu există nici o rațiune pentru care, de exemplu, titularul unui cont bancar ar trebui să aibă calitate de parte civilă într-un proces penal, cu tot ce decurge din această calitate, în cazurile în care au fost manipulate datele informatice ale băncii la care acesta și-a deschis contul, fără nici o legătură cu utilizarea mijloacelor de plată puse la dispoziția titularului de cont prejudiciat. Cea care va trebui să depună toate diligențele, sub aspect civil, pentru recuperarea prejudiciul poate fi doar banca, în calitatea sa de administrator al datelor informatice care au făcut obiectul infracțiunii.

Titularul de cont va dobândi calitatea de parte civilă doar în cazul comiterii infracțiunii de efectuare de operațiuni financiare în mod fraudulos, în considerarea identității lui, identitate care a fost uzurpată de către autor, acțiunea acestuia vizând direct persoana prejudiciată.

Chiar și pornind doar de la această analiză  sumară a criteriilor de identificare a subiecților pasivi ai celor două infracțiuni, ajungem la concluzia că opinia exprimată, nu fără argumente solide totuși, în doctrina de specialitate, în sensul că infracțiunea prevăzută de art. 250 Cod penal, nu este nimic altceva decât o formă particulară de fraudă informatică[10] ar trebui nuanțată.

II. Drept comparat

În demersurile pe care statele Uniunii Europene le-au făcut, pe de o parte pentru armonizarea legislațiilor naționale cu normele comunitare, iar pe de altă parte, pentru actualizarea cadrului legislativ în acord cu schimbările tehnologice, pot fi identificate două tendințe[11].

O primă tendință ar fi aceea de a include noile incriminări specifice criminalității informatice în textele de incriminare existente pentru infracțiunile tradiționale, prin modificarea în acest sens a normelor de incriminare existente.

A doua opțiune ar fi aceea de a crea texte de incriminare distincte, cu riscul apariției unei expansiuni cantitative a dreptului penal[12].

Tocmai de aceea, în dreptul comparat se observă inclusiv tendința de a nu incrimina frauda informatică în mod distinct, ci de a adapta textele de incriminare tradiționale, astfel încât acestea să acopere și ceea ce se înțelege prin fraudă informatică.

Astfel, de exemplu în dreptul luxemburghez, deși prin Legea nr. 133/2014 a fost modificat Codul penal în vederea transpunerii prevederilor Convenției privind criminalitatea informatică, se observă că legiuitorul nu a introdus noi texte de incriminare, ci a modificat texte de incriminare tradiționale, introducând noțiunea de „cheie informatică” în cuprinsul art. 461 care incriminează furtul, art. 470 care incriminează șantajul, art. 491 care incriminează abuzul de încredere și art. 496 care incriminează înșelăciunea. Prin urmare, frauda informatică nu beneficiază de un text autonom de incriminare.

De asemenea, în dreptul francez nu există infracțiunea de fraudă informatică, dar conduitele specifice fraudei informatice sunt totuși sancționate prin raportare la infracțiunile de înșelăciune și furt, în completare cu celelalte texte de incriminare privitoare la infracțiunile informatice[13].

Aceeași politică penală a fost urmată și de către Ucraina și Spania, state în care nu a fost incriminată conduita prevăzută de art. 8 din Convenția privind criminalitatea informatică.

Cu toate că varianta prin care se evită introducerea unor noi texte de incriminare și asimilarea conduitelor prevăzute de art. 8 din Convenție prin modificarea normelor existente are avantajul de a nu extinde cantitativ legislațiile penale ale statelor respective, aceasta prezintă și unele dezavantaje.

Discuțiile care se poartă în doctrina de specialitate sub acest aspect[14] vizează în principal limitele până la care pot fi extinse incriminările conduitelor tradiționale (în principal cele de furt și înșelăciune), în așa fel încât să circumscrie și noile conduite descrise de art. 8 din Convenție (frauda informatică), dar în același timp să nu fie afectate conceptele tradiționale specifice incriminărilor existente.

Se poate menționa, cu titlu de exemplu, din această perspectivă că există unele dificultăți în asimilarea infracțiunii de fraudă informatică, în sensul prevederilor 8 din Convenția privind criminalitatea informatică, la infracțiunea de înșelăciune, raportat la conceptul de inducere în eroare a unei persoane, concept destul de dificil de aplicat unui sistem informatic.

De asemenea, există unele discuții cu privire la posibilitatea asimilării fraudei informatice la infracțiunea tradițională de furt, raportat la caracterul de bun mobil corporal ce poate face obiectul material al acestei infracțiuni și la calificarea naturii juridice a datelor informatice.

Spre deosebire de această primă variantă de politică penală, alte state precum Germania, Austria, Elveția, Italia, Portugalia și România au preferat incriminarea distinctă a infracțiunii de fraudă informatică.

Un element comun care contribuie în sens pozitiv la claritatea textului de incriminare, cu consecințe în identificarea mai ușoară a conduitelor infracționale vizate de această infracțiune, este referirea pe care o face norma penală (direct sau indirect), la conceptul de manipulare a sistemului informatic, concept menționat expres la par. 80 din Raportul explicativ al Convenției privind criminalitatea informatică.

Astfel, în legislația italiană, frauda informatică este incriminată de art. 640 Cod penal italian, și constă în fapta celui care afectând în orice fel funcționarea unui sistem informatic sau de telecomunicații ori intervenind fără drept în orice mod asupra datelor, informațiilor sau programelor conținute într-un sistem informatic sau de telecomunicații sau legate de acesta, obține pentru sine sau pentru alții un folos nemeritat în dauna altuia.

În același sens, norma penală germană, la art. 263a Cod penal german, face referire la influențarea rezultatului unui proces de prelucrare a datelor prin configurarea incorectă a programului, prin utilizarea de date incorecte sau incomplete, prin utilizarea neautorizată de date sau, în alt mod, prin exercitarea altei influențe neautorizate asupra procesării, norma penală austriacă, la art. 148a Cod penal austriac, face referire expresă la influențarea rezultatului unei prelucrări electronice a datelor, norma penală portugheză, la art. 221 Cod penal portughez, face referire la intervenția în rezultatul procesării datelor, iar norma penală elvețiană, la art. 147 Cod penal elvețian, vorbește despre influențarea procesului de procesare ori transmitere a datelor informatice.

Spre deosebire de aceste state, care au făcut referire în conținutul textului de incriminare a fraudei informatice, la conceptul de manipulare a datelor ori a sistemului informatic, ca o condiție de tipicitate obiectivă a acestei infracțiuni, legiuitorul național s-a limitat, în cuprinsul art. 249 Cod penal, la a enumera strict modalitățile alternative prin care poate fi comisă infracțiunea, modalități preluate de la art. 8 lit. a) și b) din Convenție, și la a menționa cele două condiții care presupun scopul autorului de a obține un beneficiu material precum și producerea unei pagube.

Consider că limitarea legiuitorului național la o simpla preluare prin traducere a art. 8 din Convenție, în conținutul art. 249 Cod penal, fără a face nici o un element de legătură între conduita incriminată și tot ceea ce poate fi circumscris unei activități de manipulare a datelor sau a sistemului informatic, în sensul par. 80 din Raportul explicativ al Convenției privind criminalitatea informatică, a creat unele dificultăți în interpretarea acestei norme de incriminare, cu efecte negative în ceea ce privește practica judiciară care a avut (și are în continuare) un caracter neunitar raportat la această infracțiune.

III. Practică judiciară

În considerarea rolului său de unificator al practicii judiciare naționale, Înalta Curte de Casație și Justiție a pronunțat la data de 07.06.2021 Decizia nr. 37/2021, pentru dezlegarea de principiu a unei chestiuni de drept, răspunzând la întrebarea, dacă publicarea de anunțuri fictive online care a avut drept consecință producerea unei pagube, fără ca prin această activitate să se intervină asupra sistemului informatic sau asupra datelor informatice prelucrate de acesta, realizează condiţiile de tipicitate ale infracţiunii de fraudă informatică, prevăzute de art. 249 din Codul penal (în modalitatea alternativă a «introducerii de date informatice»), sau ale infracţiunii de înșelăciune, prevăzute de art. 244 alin. 2) din Codul penal (în modalitatea alternativă «prin alte mijloace frauduloase»)?

Deși cât se poate de previzibil, răspunsul instanței supreme are meritul de a pune capăt unei practici judiciare neunitare, sau chiar mai mult, a unei practici judiciare tot mai des întâlnită în ultima vreme și care începea să se contureze în sensul contrar dezlegării date prin decizia menționată.

Prin Decizia nr. 37/2021, publicată în Monitorul Oficial nr. 707 din 16.07.2021, instanța supremă a statuat cu caracter obligatoriu că publicarea de anunțuri fictive online care a avut drept consecință producerea unei pagube, fără ca prin această activitate să se intervină asupra sistemului informatic sau asupra datelor informatice prelucrate de acesta, realizează condițiile de tipicitate ale infracţiunii de înșelăciune, prevăzute de art. 244 Cod penal.

Fără a insista asupra considerentelor acestei decizii, consider că distincția între infracțiunea de fraudă informatică, prevăzută de art. 249 Cod penal și cea de înșelăciune, prevăzută de art. 244 Cod penal, este cât se poate de clară, și are la bază, ca element esențial, tocmai identificarea acelor conduite infracționale care presupun manipularea unui sistem informatic, în sensul Convenției privind criminalitatea informatică. Din această perspectivă, simpla inducere în eroare a unei persoane, nu este suficientă pentru reținerea fraudei informatice.

Cu alte cuvinte, inducerea în eroare a unei persoane, în scopul obținerii unui folos patrimonial, cu consecința producerii unei pagube în patrimoniul acesteia, chiar dacă se realizează prin mijloace și sisteme informatice, rămâne o simplă înșelăciune, în sensul prevederilor art. 244 Cod penal. Dacă fapta autorului nu presupune și manipulare a datelor sau a sistemului informatic, adică o activitate efectuată asupra datelor informatice ori a sistemului informatic, nu doar prin intermediul acestora, nu sunt îndeplinite condițiile de tipicitate obiectivă a infracțiunii prevăzută de art. 249 Cod penal.

Deși prin Decizia nr. 37/2021 a fost oarecum tranșată problema distincției dintre frauda informatică și înșelăciune, distincțiile dintre infracțiunea prevăzută de art. 249 Cod penal și celelalte infracțiuni incluse generic în categoria infracțiunilor informatice, ridică în continuare probleme în practica judiciară.

Menționăm doar cu titlu de exemplu, sub acest aspect, Decizia nr. 641/2021 din 11.11.2021 a Curții de apel Alba Iulia[15], decizie prin care a fost menținută încadrarea juridică dată faptelor inculpatei reținute prin actul de sesizare.

S-a apreciat astfel că faptele inculpatei, care în baza aceleiaşi rezoluţii infracţionale, în perioada ianuarie 2013 – iulie 2016, în calitate de ofiţer de cont în cadrul unei unități bancare a efectuat în mod repetat, fără drept – respectiv, fără o solicitare din partea titularilor de cont – operațiuni de introducere, modificare sau ştergere ale datelor informatice, referitoare la operaţiuni neautorizate de retragere numerar, transfer numerar, închidere depozite, răscumpărare unităţi de fond – în conturile persoanelor vătămate, în scopul însușirii sau folosirii sumelor de bani, producând pagube materiale titularilor conturilor în cuantum total de 265.069,5 lei şi 53.759,65 euro, sume care au fost reconstituite în conturile persoanelor vătămate de partea civilă sau achitate de inculpată, întrunesc elementele constitutive ale infracţiunii de fraudă informatică, prevăzută de art. 249 Cod penal, cu aplic. art. 35 alin. 1 Cod penal (270 de acte materiale).

Prin aceeași decizie, în sarcina aceleiași inculpate, s-a reținut că faptele acesteia, care în baza aceleiaşi rezoluţii infracţionale, în perioada ianuarie 2016 – iulie 2016, în calitate de ofiţer de cont în cadrul unei unități bancare, a efectuat, fără drept (fără o solicitare efectuată de persoanele îndreptăţite, în condiţiile legii) operaţiuni de introducere, modificare sau ştergere ale datelor informatice, operaţiuni care atestau depunerea unor sume de bani de către persoane ce nu erau prezente la momentul efectuării sau persoane neidentificate, în conturile deţinute de persoanele vătămate, în vederea realizării scopului infracţional de însuşire şi folosire a unor sume de bani retrase din conturile altor persoane vătămate, ori pentru a împiedica descoperirea unor operaţiuni neautorizate anterioare, întrunesc elementele constitutive ale infracţiunii de fals informatic, prevăzut de art. 325 Cod penal, aplicarea art. 35 Cod penal (59 acte materiale).

Cele două infracțiuni au fost reținute în concurs.

La prima vedere, aceste încadrări juridice date faptelor care au făcut obiectul cauzei respective par a fi cel puțin discutabile, raportat la faptul că distincția dintre infracțiunea prevăzută de art. 249 Cod penal – frauda informatică, și cea prevăzută de art. 325 Cod penal – falsul informatic, s-a făcut pe baza criteriului tipului de operațiune bancară efectuată de către inculpată, fără drept, în calitate de funcționar bancar (frauda informatică a fost reținută pentru operațiunile de retragere numerar, transfer numerar, închidere depozite, răscumpărare unităţi de fond, iar falsul informatic s-a reținut pentru operațiunea de depunere numerar).

Or, nu rezultă în nici un fel că acest criteriu ar putea fi avut în vedere la analiza tipicității infracțiunii prevăzută de art. 249 Cod penal.

O altă decizie interesantă în care instanța de judecată a fost chemată să distingă între infracțiunile de fraudă informatică, prevăzută de art. 249 Cod penal, efectuarea de operațiuni financiare în mod fraudulos, prevăzută de art. 250 alin. 1 Cod penal și de acces fără drept la un sistem informatic, prevăzută de art. 360 Cod penal, este Decizia nr. 1245/2021, pronunțată la 20.10.2021, de Curtea de Apel Cluj[16].

S-a reținut de către instanță, ca stare de fapt, că numiții AA și BB, au împreună o fiică pe nume AB, care suferă de „scolioză”, boală care necesită pentru vindecare o intervenţie chirurgicală, iar pentru plata tratamentului medical persoanele vătămate au demarat o campanie de strângere de fonduri, prin intermediul platformei de socializare Facebook. În acest sens inculpatul, în data de 19.02.2021, a luat legătura cu persoana vătămată AA pe aplicaţia „Whatsapp”, care folosea numărul de telefon N1, iar inculpatul folosind numărul de telefon N2. În acea împrejurare inculpatul s-a oferit să ajute cu o donaţie de 24.655 de euro. Persoana vătămată AA a postat anunţuri în presă şi pe internet, în vederea obţinerii de donaţii, scop în care a publicat codurile IBAN a două conturi bancare deschise în lei şi euro.

În continuarea conversației, inculpatul i-a solicitat persoanei vătămate o poză cu cardul bancar emis de BCR, aspect cu care aceasta nu a fost de acord, dar a transmis o poză cu buletinul soţului ei BB care este titularul celor două conturi bancare, care aveau soldurile de aproximativ 57.620 lei şi respectiv, aproximativ 600 euro.

În continuare, folosindu-se de aceste date personale, inculpatul a apelat call-center-ul băncii şi a solicitat schimbarea datelor de acces la aplicaţia folosită de clienţii băncii pentru a avea acces la conturile lor. Acesta a furnizat operatorului numele persoanei vătămate BB, codul numeric personal al acestuia, iar deoarece nu i-a putut furniza ultimele şase cifre de pe partea din faţă a cardului, motivând că nu îl are asupra sa, a fost întrebat cu privire la locul naşterii. Răspunsul fiind corect, operatorul din call-center a procedat la schimbarea numărul de telefon al persoanei vătămate din sistemul informatic, cu numărul inculpatului.

Având control deplin asupra aplicaţiei informatice inculpatul şi-a transferat în contul său bancar deschis suma de 601 euro, într-o singură tranşă, şi 57.620 lei, în trei tranşe.

Având în vedere această stare de fapt, în sarcina inculpatului au fost reținute, în concurs, comiterea infracțiunilor de acces fără drept la un sistem informatic în formă continuată (4 acte materiale), prevăzută de art. 360 alin. 1 și 3 și art. 35 Cod penal, efectuare de operaţiuni financiare în mod fraudulos, în formă continuată (4 acte materiale), prevăzută de art. 250 alin. 1 și art. 35 Cod penal și fraudă informatică prevăzută de art. 249 Cod penal.

Fără a face vreo analiză cu privire la elementele de tipicitate a infracțiunilor prevăzute de art. 360 Cod penal, consider că raportat la starea de fapt descrisă, s-a reținut în mod corect comiterea de către inculpat a infracțiunii de efectuare de operațiuni financiare în mod fraudulos, prevăzută de art. 250 alin. 1 Cod penal (fapta inculpatului care, uzurpând identitatea persoanei vătămate, a efectuat prin intermediul aplicației bancare, patru transferuri de bani, fără drept, din contul persoanei vătămate în contul său).

În ceea ce privește infracțiunea de fraudă informatică, prevăzută art. 249 Cod penal, aceasta a fost reținută în sarcina inculpatului, în considerarea faptei acestuia, care la data de 19.02.2021, a restricționat accesul părţii civile la aplicația de internet a băncii şi a introdus un alt număr de telefon de validare a unei tranzacții de retragere de numerar, în scopul de a obține pentru sine un beneficiu material şi de a cauza o pagubă în sumă de 69.912 lei.

Consider că ar trebui să privim cu oarecare rezerve reținerea acestei infracțiuni, raportat la starea de fapt descrisă.

Cu alte cuvinte, este discutabil, pe de o parte din perspectiva Deciziei nr. 37/2021 a Înaltei Curți de Casație și Justiție, dacă fapta inculpatului de a-l determina, prin inducere în eroare, pe operatorul call-center să schimbe, în aplicația bancară, numărul de telefon al titularului de cont cu numărul său de telefon, întrunește elementele de tipicitate a infracțiunii de fraudă informatică, sau doar pe cele ale infracțiunii de înșelăciune.

Pe de altă parte, este discutabil dacă această conduită a inculpatului ar putea să fie circumscrisă unei activități de manipulare a unor date informatice ori a unui sistem informatic, în sensul par. 80 din Raportul explicativ al Convenției privind criminalitatea informatică.

IV. Concluzii

Infracțiunile de fraudă informatică și de efectuare de operațiuni financiare în mod fraudulos, sunt incriminate potrivit Codului penal, la art. 249 și respectiv la art. 250, succesiv, deschizând Capitolul IV, intitulat Fraude comise prin sisteme informatice și mijloace de plată electronice, al Titlului II – Infracțiuni contra patrimoniului, din Partea specială a Codului penal.

Analizând cele două incriminări, prin raportare la voința legiuitorului comunitar transpusă în legislația internă, consider, ca o chestiune prealabilă, că denumirea Capitolului IV din Titlul II al părții speciale din noul Cod penal este cel puțin inexactă. Din perspectiva elementului material al infracțiunii de fraudă electronică, prevăzută de art. 249 Cod penal, astfel cum acestea rezultă din Convenția din 2001 privind infracțiunile informatice, ratificată de România prin Legea nr. 64/2004, infracțiunea de fraudă informatică, prevăzută de art. 249 Cod penal, nu este doar o infracțiune comisă prin sisteme informatice, ci mai cu seamă o infracțiune comisă împotriva sau asupra unor sisteme informatice.

Această caracteristică a infracțiunii de fraudă informatică, prevăzută de art. 249 Cod penal, spre deosebire de infracțiunea prevăzută de art. 250 Cod penal, rezultă din Raportul explicativ al Convenție, potrivit căruia, frauda informatică incriminează faptele prin care se manipulează datele de intrare ale unui sistem informatic, sau se manipulează ale programe sau interfețe ale acestor sisteme informatice[17].

Prin urmare, infracțiunea prevăzută de art. 249 Cod penal, protejează valorile sociale referitoare la încrederea membrilor societății în serviciile furnizate de administratorii sistemelor informatice și implicit în datele puse la dispoziție de către aceștia (servicii care deși le includ pe cele ce presupun operațiunile financiare sau comerciale de orice matură, nu le exclud pe cele de altă natură – cum ar fi serviciile referitoare la activitățile instituțiilor culturale, ale bibliotecilor publice, ale cluburilor sau organizațiilor private, etc.).

Pe de altă parte, infracțiunea prevăzută de art. 250 alin 1 Cod penal, circumscrie în elementul său material o sferă mult mai redusă de fapte. Sub acest aspect este important de menționat că, pe de o parte, faptele care intră în tipicitatea acestei infracțiuni nu vizează în nici un fel sistemele informatice ori datele informatice, ci valoarea economică (sau patrimonială) a fondurilor (exprimate în valoare monetară sau în monedă virtuală), fonduri avute în vedere de autor și care sunt reprezentate la nivel logic prin date informatice și sunt stocate și procesate într-un sistem informatic.

Cu alte cuvinte, autorul care comite infracțiunea prevăzută de art. 250 alin. 1 Cod penal, nu vizează manipularea unor date informatice, restricționarea accesului la aceste date, sau împiedicarea în orice mod a funcționării unui sistem informatic (în scopul obținerii unui beneficiu material pentru sine sau pentru altul, cauzându-se astfel o pagubă) în sensul prevederilor art. 249 Cod penal, ci urmărește efectuarea unui transfer de fonduri, în condițiile și prin modalitățile prevăzute de art. 250 Cod penal.

Din punct de vedere al normei de incriminare prevăzută de art. 249 Cod penal, s-ar impune după părerea mea, o intervenție legislativă în sensul modificării acestui text de lege, prin introducerea unei mențiuni referitoare la activitatea de manipulare a datelor informatice ori a sistemului informatic, în sensul prevăzut de par. 80 din Raportul explicativ al Convenției privind criminalitatea informatică, după ce în prealabil ar fi definită legislativ această sintagmă. În acest fel, în urma verificării condiției ca fapta dedusă judecății se circumscrie sau nu, unei activități de manipulare a datelor sau a sistemului informatic, reținerea infracțiunii de fraudă informatică ar fi mult mai predictibilă.

Distincția dintre cele două infracțiuni este importantă și pentru identificarea subiectului pasiv al infracțiunii, cu toate efectele care decurg din aceasta. Astfel, în cazul infracțiunii de fraudă informatică, prevăzută de art. 249 Cod penal, subiectul pasiv al infracțiunii ar trebui să fie deținătorul (cu orice titlu, sau nu?) a datelor manipulate ori a sistemului informatic a cărui funcționare a fost împiedicată în orice mod. Din această perspectivă, spre deosebire de frauda informatică, în cazul infracțiunii de efectuare de operațiuni financiare în mod fraudulos, subiectul pasiv al infracțiunii nu are (o prea mare) legătură cu administratorul sistemului informatic ori a datelor asupra cărora acționează autorul, acesta fiind de fapt titularul fondurilor (concretizate în monedă electronică sau în monedă virtuală) transferate. Nu se poate exclude o eventuală formă de răspundere a administratorului sistemului informatic sau a datelor informatice față de titularul fondurilor (reprezentate la nivel logic de datele informatice asupra cărora a acționat autorul), dar această răspundere nu poate fi angajată în temeiul prevederilor art. 250 Cod penal.

Cu alte cuvinte, în cazul incriminării prevăzute de art. 250 alin. 1 Cod penal, subiectul pasiv al infracțiunii este persoana prejudiciată de retragerea de numerar, de încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri (exprimate în valoare monetare sau virtuală), adică persoana care deține aceste valori reprezentate la nivel logic prin datele asupra cărora a acționat autorul (de exemplu, titularul unui cont bancar asupra căruia a fost efectuată o operațiune financiară frauduloasă, de către autor). Spre deosebire  de aceasta, în cazul incriminării prevăzută de art. 249 Cod penal, subiectul pasiv al infracțiunii este persoana prejudiciată de manipularea datelor informatice (prin introducere, transmitere, modificare sau ștergere), sau persoana deținătoare a sistemelor informatice a căror funcționare a fost împiedicată în orice mod, persoană care nu are nici o legătură cu titularul valorilor reprezentate logic prin acele date.

Altfel spus, titularul unui cont bancar în care acesta a depus o anumită sumă de bani (reprezentată logic sub forma unor date informatice în sistemul informatic al băncii), ori titularul unui drept de autor al unei cărți (publicată în format electronic și a cărei reprezentare logică este stocată sub forma datelor informatice în sistemul informatic a unei biblioteci publice), sau orice altă persoană ce deține un bun sau un drept ce pot fi reprezentate logic prin date informatice, sunt persoane total distincte de persoanele care dețin sistemele informatice pe care sunt stocate datele informatice respective (banca, biblioteca, sau orice altă entitate care oferă servicii informatice).

Or, cel puțin sub acest aspect, trebuie să se facă o distincție clară între cele două incriminări. Opinia exprimată în doctrina de specialitate, opinie îmbrățișată, cel puțin până la acest moment și de o mare parte a practicii judiciare, în sensul că infracțiunea prevăzută de art. 250 Cod penal, este doar o formă specială a infracțiunii prevăzută de art. 249 Cod penal, și că cele două incriminări ar fi într-o oarecare măsură redundante, motiv pentru care s-ar impune renunțarea la una dintre ele[18], este după părerea mea greșită.

Mai mult, consider că pot fi identificate situații în care, deși autorul realizează o manipulare a unor date informatice, sau a unui sistem informatic, în scopul obținerii unui beneficiu pentru sine sau pentru altul, cauzându-se o pagubă unei alte persoane, fapta acestuia ar putea fi greu circumscrisă infracțiunii de fraudă informatică, prevăzută de art. 249 Cod penal, și cu atât mai puțin infracțiunii de efectuarea de operațiuni financiare în mod fraudulos, prevăzută de art. 250 alin. 1 Cod penal (situația utilizatorului unui serviciu informatic, care fără să depășească limitele serviciului pus la dispoziție administratorul sistemului informatic, dar acționând cu rea-credință și în scopul obținerii unui beneficiu material, reușește să manipuleze datele informatice, cauzând prin acțiunea sa o pagubă).

În aceste situații, dacă pentru a manipula datele informatice, autorul utilizează strict interfața pusă la dispoziție de furnizorul serviciului, ar fi greu reținut în sarcina sa infracțiunea prevăzută de art. 249 Cod penal, deoarece practic autorul nu a făcut altceva decât să „profite” de o vulnerabilitate a sistemului informatic pe care era îndreptățit să-l acceseze.


[1] George Zlati – Tratat de criminalitate informatică, Vol. I, Editura Solomon, p. 291
[2] Idem, pp. 5 – 14
[3] Disponibil aici
[4] Expunerea de motive la Legea nr. 161/2003 – disponibilă aici
[5] Convenția Consiliului Europei privind criminalitatea informatică – Budapesta, 23.11.2001 – disponibilă aici
[6] Explanatory Report to the Convension on Cybercrime – disponibil aici
[7] 86. With the arrival of the technological revolution the opportunities for committing economic crimes such as fraud, including credit card fraud, have multiplied. Assets represented or administered in computer systems (electronic funds, deposit money) have become the target of manipulations like traditional forms of property. These crimes consist mainly of input manipulations, where incorrect data is fed into the computer, or by programme manipulations and other interferences with the course of  data processing. The aim of this article is to criminalise any undue manipulation in the course of data processing with the intention to effect an illegal transfer of property.
87. To ensure that all possible relevant manipulations are covered, the constituent elements of „input”, „alteration”, „deletion” or „suppression” in Article 8(a) are supplemented by the general act of „interference with the functioning of a computer programme or system” in Article 8(b). The elements of „input, alteration, deletion or suppression” have the same meaning as in the previous articles. Article 8(b) covers acts such as hardware manipulations, acts suppressing printouts and acts affecting recording or flow of data, or the sequence in which programs are run.
88. The computer fraud manipulations are criminalised if they produce a direct economic or possessory loss of another person’s property and the perpetrator acted with the intent of procuring an unlawful economic gain for himself or for another person. The term „loss of property”, being a broad notion, includes loss of money, tangibles and intangibles with an economic value.
[8] Valeriu Stoica, Noțiunea de bun incorporal în dreptul civil român
[9] George Zlati – Tratat de criminalitate informatică, Vol. I, Editura Solomon, p. 328
[10] George Zlati – Tratat de criminalitate informatică, Vol. I, Editura Solomon, p. 296
[11] Idem, pp. 309 – 310
[12] Idem, p. 309
[13] Idem, p. 310
[14] George Zlati – Tratat de criminalitate informatică, Vol. I, Editura Solomon, pp. 311 – 312
[15] Decizie nr. 641/2021 din 11-nov-2021 Curtea de Apel Alba Iulia, Secția penală. (access: 2022-01-06 08:13)
[16] Decizie nr. 1245/2021 din 20-oct-2021 Curtea de Apel Cluj, Secția penală. (access: 2022-01-06 08:46)
[17] Explanatory Report to the Convension on Cybercrime – disponibil aici – parag. 86
[18] George Zlati – Tratat de criminalitate informatică, Vol. I, Editura Solomon, p. 472


Judecător Marius Peter, Curtea de Apel Alba Iulia

Cuvinte cheie: , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti