Accesul ilegal la un sistem informatic. Articolul 360 Noul Cod penal
A. Concept și reglementare
Infracțiunea de acces ilegal la un sistem informatic deschide capitolul VI din Codul penal intitulat Infracțiuni contra siguranței și integrității sistemelor și datelor informatice. Incriminarea acestei infracțiuni în fruntea capitolului se datorează faptului că prezenta infracțiune este o veritabilă infracțiune de bază prin intermediul căreia se comit celelalte infracțiuni incriminate în prezentul capitol. Astfel infracțiunea de acces ilegal la un sistem informatic constă în:
- Accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.
- Fapta prevăzută în alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoarea de la 6 luni la 5 ani.
- Dacă fapta prevăzută în alin. (1) a fost săvârșită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.”
B. Subiectul activ. Participația penală. Subiect pasiv
B1.Subiectul activ nemijlocit
În cazul acestei infracțiuni, subiectul activ nu este calificat, putând avea această calitate orice persoană fizică sau juridică cu capacitate penală. În doctrină[1] s-a susținut că, de regulă, subiectul activ este o persoană care are cunoștințe avansate în domeniul calculatoarelor și este familiarizat cu sistemele de securitate informatică și cu vulnerabilitățile acestora ori persoane care sunt angajate în cadrul societăților care dețin sisteme informatice
B2. Participația penală
Participația penală reprezintă ipoteza în care, la comiterea unei fapte prevăzute de legea penală contribuie mai multe persoane fizice sau juridice, care în acest caz este posibilă sub toate formele: coautorat, instigare și complicitate
B3. Subiectul pasiv[2] – este persoana fizică sau juridică ce are în proprietatea sistemele informatice și ale cărei drept la integritatea confidențialitatea și sau disponibilitatea sistemelor sau datelor informatice a fost încălcat sau periclitat.
C. Situația premisă[3]
Pentru existența infracțiunii se cere ca situație premisă, existența unui sistem informatic precum și a rețelelor de calculatoare și/sau a unor date informatice pe care subiectul activ le accesează fără drept, neautorizat ori prin depășirea autorizări.
D. Latura obiectivă – Elementul material. Urmarea imediată. Raportul de cauzalitate
D1. Elementul material
Elementul material (verbum regens) presupune actul de conduită incriminat de norma penală, pe îl o comite făptuitorul, care în acest caz constă în:
Varianta tip[4]
– prin accesare se înțelege operațiunea prin care se realizează o interacțiune funcțională cu sistemul informatic intrarea în tot sau în parte pentru un sistem informatic capacitatea de a lansat comenzi de accesa date informatice sau de a efectua alte operațiuni informatice, fie direct prin intermediul tastaturii sistemului informatic, fie de la distanță prin intermediul unei rețele informatice.
Cerință esențială: Accesul trebuie să se realizeze fără drept sau fără autorizare, în caz contrar fapta nu va întruni elementele de tipicitate ale acestei infracțiuni. În ipoteza în care există autorizarea, iar subiectul activ o depășește, este îndeplinită această condiție.
În doctrină[5], s-a susținut că acționează fără drept persoana care nu este autorizată în temeiul legii sau în temeiul unui contract, depășește limitele autorizării, nu are permisiunea din partea persoanei fizice sau juridice competente potrivit legii, să o acorde, de a folosi administra sau controla un sistem informatic ori de a desfășura alte activități sau de a efectua orice altă operațiune între un sistem informatic.
S-a susținut că numai interacțiunea de ordin logic are semnificația accesării sistemului informatic, fiind singura care conferă făptuitorului posibilitatea de „a da comenzi, de a cauza introducerea, obținerea, afișarea, stocarea ori diseminarea de date informatice sau folosirea în orice alt mod a resurselor unui calculator, sistem ori rețea informatică sau comunicarea cu unitățile sale aritmetice logice ori de memorie.” [6] Astfel vor fi întrunite elementele de tipicitate ale infracțiunii numai în ipoteza în care prin acțiunea întreprinsă, făptuitorul beneficiază de resursele și/sau funcțiile sistemului informatic.
În soluționarea unui RIL[7], Înalta Curte a conchis că „accesul fără drept la un sistem informatic presupune o interacțiune a făptuitorului cu tehnica de calcul. Prin intermediul echipamentelor, agentul trimite solicitări către UCP (unitatea centrală de prelucrare) a sistemului, care va procesa date ori va rula programe de aplicații în beneficiul intrusului.”
În literatura de specialitate[8] s-a susținut ideea conform căreia nu întrunește elementele de tipicitate ale prezentei infracțiuni accesarea fără drept a unui mijloc de stocare a datelor informatice, dacă aceasta se realizează prin utilizarea unui sistem informatic accesat legitim.
Prima variantă agravată
Se va reține această variantă agravată atunci când fapta tip a fost comisă în scopul de a obține date informatice. În doctrină s-a susținut că sintagma „a obține date informatice” nu se rezumă numai la vizualizarea acestora, ci poate consta în preluarea, transferul datelor informatice[9] , precum și copierea sau alterarea datelor informatice, comiterea de fraude, spionaj, falsuri informatice, plasarea de contaminați informatici, obținerea de parole de acces, utilizarea unor servicii fără plată, etc.[10]
În literatura de specialitate[11] s-a susținut că se va reține această variantă agravată și în situația în care mijlocul de acces constă în utilizarea unor date reale, care însă sunt folosite sau obținute în mod nelegitim.
Spre exemplu, fapta unei paznic din cadrul unui spital, de a accesa fără drept calculatorul unei asistente, în lipsa acesteia și fără a avea acordul ei, cu scopul de a-și nota datele de identificare ale unor persoane pe care ulterior să le valorifice.
A doua variantă agravată
Această variantă presupune săvârșirea formei tip cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori. Astfel, subiectul activ pătrunde dincolo de sistemul de securitate pe care subiectul pasiv îl folosește pentru a-și proteja sistemele și datele informatice (atât securitatea fizică cât și protejarea datelor și programelor informatice)[12]
În doctrină[13] s-a susținut că se va reține săvârșirea acestei variante agravate și atunci când nesocotirea este facilitată de disfuncțiile sau de carenele sistemului de protecție, care permit înlăturarea, ocolirea, eludarea sistemului de protecție.
Spre exemplu, victima îi permite făptuitorului să efectueze un apel de pe telefonul ei, sens în care îi comunică codul de deblocare, pe care făptuitorul îl notează; ulterior, fără consimțământul persoanei vătămate, făptuitorul urmărește accesarea telefonului persoanei vătămate, sens în care folosește codul, reușind astfel să treacă de sistemul de deblocare.
Într-o speță[14] s-a reținut că inculpata a comis, printre altele și infracțiunea de acces ilegal la un sistem informatic, constând în aceea că, în calitate de funcționar bancar, a alocat clientului AG un card de debit atașat contului curent, fără ca, în realitate, să existe o solicitarea din partea acestuia. Apoi, inculpata, prin introducerea în fals a unei solicitări din partea titularului de cont AG, a lichidat neautorizat contul de depozit al acestuia, suma de 11.048 euro fiind transferată în contul curent. Ulterior, inculpata a lichidat neautorizat în același mod un alt cont de depozit al aceleiași persoane, AG suma de 10.596,46 euro fiind transferată automat în contul curent.
La data de 09.04.2014 inculpata, folosind parola de acces a martorei CM, a accesat fără drept sistemul informatic al unității bancare și a intrat în contul acesteia, obținând astfel cardul emis pe numele lui AG, după care a efectuat la diferite interval de timp un număr de 50 de operații de retragerea de numerar de la ATM-uri din contul lui AG. Astfel, instanța constată că inculpata a introdus datele informatice prin accesarea sistemului informatic în versiunea la care avea acces, scopul introducerii acestor date fiind acela ca, prin utilizarea serviciilor alocate clienților, să utilizeze resursele financiare ale acestora în interes personal.
Într-o altă speță[15], s-a reținut comiterea infracțiunii de acces ilegal la un sistem informatic în formă continuată constând în fapta inculpatului care, găsind cardul bancar de tip contactless al persoanei vătămate, a efectuat mai multe operațiuni de plată atât online, folosind codul CVV imprimat pe spatele cardului cât și plata la POS pentru diverse servicii sau bunuri. Așadar, sub aspectul laturii obiective, instanța de fond a reținut că elementul material al infracțiunii de acces ilegal la un sistem informatic constă în acțiunea de folosire fără vreun drept a cardului bancar emis pe numele persoanei vătămate, cardul bancar reprezentând un instrument de plată electronică în sensul art. 180 Cod penal, iar dispozitivul POS și serverul de internet la care a fost utilizat acest card fără drept reprezentând un sistem informatic în sensul avut în vedere
D2. Urmarea imediată
Urmarea imediată[16] diferă în funcție de variantele infracțiunii. În ceea ce privește varianta tip, aceasta constă în pericolul creat cu privire la siguranța sistemului informatic și a datelor informatice, a resurselor acestora, aducând astfel atingere valorilor ocrotite prin obiectul juridic, respectiv confidențialitatea, integritatea și disponibilitatea datelor și sistemelor informatice. În cazul primei variante agravate, urmarea imediată a primei variante este dublată de pericolul social care se produce protecției datelor informatice stocate sau prelucrate. La cea de-a doua variantă agravată, suplimentar față de cea a formei tip, se creează o stare de pericol pentru siguranța sistemelor și datelor informatice.
D3. Raportul de cauzalitate
Între fapta comisă și urmarea imediată trebuie să existe un raport de cauzalitate, care în acest caz rezultă din materialitatea faptei la forma tip, iar la forma agravată, trebuie dovedită forțarea stemelor de securitate (parole, coduri de acces, etc).[17]
E. Latura subiectivă. Element subiectiv.
E1. Element subiectiv
Sub aspect subiectiv, infracțiunea se poate comite cu intenție directă sau indirectă[18]. În ceea ce privește prima varianta agravată, aceasta legiuitorul a prevăzut o condiție esențială care constă în scopul accesării ilegale și anume obținerea datelor informatice.
F. Formele infracțiunii.
F1. Actele pregătitoare. Tentativa
Actele pregătitoare sunt posibile dar nu sunt incriminate. Dacă activitățile întreprinse pentru a facilita comiterea infracțiunii de acces ilegal la un sistem informatic, întrunesc elementele de tipicitate ale unei infracțiuni, se va reține concursul.
Tentativa este posibilă și incriminată, la oricare dintre variantele acestei infracțiuni.
F2. Consumarea. Epuizarea
Consumarea are loc la momentul la care făptuitorul realizează acțiunile prevăzute în elementul material.
Infracțiunea este susceptibilă de a fi comisă în formă continuată, ceea ce înseamnă comiterea mai multor acte materiale (care, fiecare privit individual, să întrunească elementele de tipicitate ale acestei infracțiuni,indiferent dacă la forma tip sau la cele agravate) la diferite intervale de timp dar în baza aceleiași rezoluții infracționale, caz în care momentul epuizării este marcat de ultimul act material.