Accesul ilegal la un sistem informatic constituie infracțiune în sistemul penal din România și este reglementat în cadrul art. 360 din Codul penal. Accesul ilegal la un sistem informatic este cuprins în structura infracțiunilor contra siguranței și integrității sistemelor și datelor informatice. Accesul ilegal la un sistem informatic a fost conturat ca ,,acces neautorizat” și ,înseamnă accesarea unui computer fără consimțământ și preluarea datelor, stocarea datelor, comunicarea cu, interceptarea sau schimbarea datelor sau a software-ului. Accesul la un sistem informatic ,presupune o interacțiune neautorizată între vinovat și dispozitivele vizate sau componentele calculatorului, de obicei, pornind computerul, folosind tastatura sau mouse-ul, imprimând un document, răsfoind dosare, deschizând fișiere, rularea software-ului și procesarea datelor în scopul obținerii de informații.
Potivit Wikipedia, un sistem informatic este un sistem care permite introducerea de date prin procedee manuale sau prin culegere automată de către sistem, stocarea acestora, prelucrarea lor și extragerea informației (rezultatelor) sub diverse forme.
Accesul ilegal la un sistem informatic – infracțiune în Codul Penal
Accesul ilegal la un sistem informatic este reglementată ca infracțiune în cadrul art. 360 din Codul penal român. Structura infracțiunii reglementate este următoarea:
- Accesul, fără drept, la un sistem informatic se pedepseşte cu închisoare de la 3 luni la 3 ani sau cu amendă (pct.1);
- Fapta prevăzută anterior, săvârşită în scopul obţinerii de date informatice, se pedepseşte cu închisoarea de la 6 luni la 5 ani (pct. 2);
- Dacă fapta prevăzută la pct. 1 a fost săvârşită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricţionat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani (pct. 3).
În urma reliefării structurii infracțiunii este necesar să precizăm următoarele aspecte:
- Accesul la un sistem informatic constituie infracțiune atunci când acesta se realizează fără drept (în mod ilegal);
- Dacă accesul se realizează în scopul obținerii datelor informatice, pedeapsa prevăzută de lege este mai mare (circumstanța agravantă);
- Când accesul fără drept se realizează când există restricție privind anumiți utilizatori, pedeapsa prevăzută de lege este mai mare (circumstanță agravantă).
Terminologie privind infracțiunea de acces ilegal la un sistem informatic
Pentru a realiza o analiză complexă aaccesului ilegal la un sistem informatic, este necesar să lămurim termenii întâlniți în cadrul legal. Ne vom raporta la Convenția Consiliului Europei din 23 noiembrie 2001 privind criminalitatea informatică, astfel:
- Sistem informatic = orice dispozitiv izolat sau ansamblu de dispozitive interconectate ori aflate în legătură, care asigură ori dintre care unul sau mai multe elemente asigură, prin executarea unui program, prelucrarea automată a datelor;
- Date informatice = orice reprezentare de fapte, informaţii sau concepte sub o formă adecvată prelucrării într-un sistem informatic, inclusiv un program capabil să determine executarea unei funcţii de către un sistem informatic;
- Furnizor de servicii = orice entitate publică sau privată care oferă utilizatorilor serviciilor sale posibilitatea de a comunică prin intermediul unui sistem informatic şi orice altă entitate care prelucrează sau stochează date informatice pentru acest serviciu de comunicaţii sau pentru utilizatorii săi;
- Date referitoare la trafic = desemnează orice date având legătură cu o comunicare transmisă printr-un sistem informatic, produse de acest sistem în calitate de element al lanţului de comunicare, indicând originea, destinaţia, itinerarul, ora, data, mărimea, durata sau tipul de serviciu subiacent.
În temeiul art. 2 din Convenția Consiliului Europei din 23 noiembrie 2001 privind criminalitatea informatică, fiecărei părți i s-a instituit obligația de a adopta măsuri legislative și alte măsuri necesare pentru incriminarea la nivel intern a accesării ilegale, intenționate și fără drept (a ansamblului sau a unei părți) a unui sistem informatic.
De asemenea, ne vom raporta și la prevederile Legii nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, dispozițiile art. 35:
- sistem informatic = orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigura prelucrarea automată a datelor, cu ajutorul unui program informatic;
- prelucrare automată a datelor = procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
- program informatic = ansamblu de instrucțiuni care pot fi executate de un sistem informatic în vederea obținerii unui rezultat determinat;
- date informatice = orice reprezentare a unor fapte, informații sau concepte într-o forma care poate fi prelucrată printr-un sistem informatic. În aceasta categorie se include și orice program informatic care poate determina realizarea unei funcții de către un sistem informatic;
Accesul ilegal la un sistem informatic – particularități ale infracțiunii
- Prin raportare la jurisprudența de la nivel intern, s-a apreciat faptul că elementul material al laturii obiective se realizează prin accesul fără drept într-un sistem informatic: staţie de lucru, server ori reţea informatică (Decizia 15/2013 referitoare la recursul în interesul legii formulat de către procurorul general al Parchetului de pe lângă Înalta Curte de Casaţie şi Justiţie prin Sesizarea nr. 11.874/2670/III-5/2011, pentru a se stabili, în vederea interpretării şi aplicării unitare a dispoziţiilor art. 42 alin. (1), (2) şi (3) din Legea nr. 161/2003, respectiv pentru interpretarea unitară a noţiunii de acces fără drept la un sistem informatic). Instanța constituțională a apreciat totodată faptul că accesul ilegal în sistemul informatic se face, de regulă, în scopul săvârşirii uneia sau mai multora dintre infracţiunile prevăzute de Legea nr. 365/2002 privind comerţul electronic, situaţie care justifică reţinerea unui concurs cu conexitate etiologică în care accesul ilegal reprezintă mijlocul prin care se realizează scopul şi anume efectuarea de operaţiuni financiare în mod fraudulos.
- Prin raportare la Decizia 183/2018 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 360 alin. (3) din Codul penal, infracţiunea de acces ilegal la un sistem informatic a fost preluată din Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, publicată în Monitorul Oficial al României, Partea I, nr. 279 din 21 aprilie 2003. Curtea Constituțională, în analiza excepțiilor de neconstituționalitate, își menține jurisprudența, care, anterior Codului penal, a reţinut incidenţa art. 42 alin. (3) din Legea nr. 161/2003 pentru fapte precum accesul, prin utilizarea frauduloasă a unui user-name şi a parolei aferente acestuia, în sistemul informatic al unei bănci, ori accesarea contului de mesagerie instalat pe calculatorul comun al făptuitorului şi al persoanei vătămate. ,,Pentru aceleaşi raţiuni, forma agravată subzistă şi atunci când nesocotirea restricţiei este facilitată de disfuncţiile sau carenţele sistemului de protecţie, care permit înlăturarea sau ocolirea/eludarea facilă a protecţiei” (Decizia 183/2018 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 360 alin. (3) din Codul penal, infracţiunea de acces ilegal la un sistem informatic).
Jurisprudență privind accesul ilegal la un sistem informatic
1.Sentința nr. 159/2017 din 12 septembrie 2017, Tribunalul Gorj:
,,Accesul ilegal la un sistem informatic, fiind o infracţiune de pericol, se consumă în momentul realizării acţiunii incriminate, urmarea imediată fiind inerentă comiterii acesteia. Fapta penală analizată poate îmbrăca, în concret, o formă continuă sau continuată de săvârşire, situaţie în care se are în vedere şi un moment al epuizării care intervine, după caz, la data încetării acţiunii ilicite sau la data comiterii ultimei acţiuni. Elementul material constă în accesul, fără drept, într-un sistem sau reţea informatică, iar accesarea sistemului constituie, în principiu, acea operaţiune prin care se realizează o interacţiune funcţională cu sistemul informatic. Urmarea imediată constă în starea de pericol pentru valoarea socială pe care legea penală o apară, respectiv securitatea sistemelor informatice. Legătura de cauzalitate între activitatea făptuitorului şi urmarea produsă trebuie să existe şi rezultă din materialitatea faptei. Ca formă de vinovăţie, accesul ilegal la un sistem informatic, în variantele prevăzute în art. 360 alin. 1 şi 3 se comite cu intenţie directă sau indirectă”.
CONCLUZIE analiză jurisprudență:
- Este o infracțiune de pericol;
- Se consumă în momentul realizării acțiunii incriminate (accesarea, fără drept, a sistemului informatic);
- Se poate comite în formă continuă sau continuată;
- Elementul material al infracțiunii este reprezentat de accesul, fără drept, într-un sistem sau reţea informatică;
- Infracțiunea are ca urmare imediată starea de pericol pentru valoarea socială ocrotită (securitatea sistemelor informatice);
- Între activitatea făptuitorului și urmarea produsă trebuie să existe legătură de cauzalitate.
2.Decizia nr. 588/2018 din 28 noiembrie 2018, Tribunalul Dolj:
,,Fapta inculpatului de a retrage suma de 1700 lei de la un ATM, folosind un card bancar emis de o instituție bancară in favoarea altei persoane, fără acordul titularului său, întruneşte elementele constitutive ale infracţiunii de accesul ilegal la un sistem informatic”.
CONCLUZIE analiză jurisprudență:
- Utilizarea unui card bancar și retragerea unei sume de bani, fără a exista acordul titularului, constituie infracțiunea de accesul ilegal la un sistem informatic.
3.Sentinta nr. 670/2017 din 29 mai 2017, Tribunalul Dambovița:
,,Se constată că, pe fondul deteriorării relaţiilor de familie, inculpata, având acces la documentele legate de deschiderea unor conturi pe numele soţului, precum şi la un dispozitiv electronic, a accesat de pe site-ul creat de bancă conturile deschise pe numele persoanei vătămate, fără acordul acestuia prin folosirea parolei la un dispozitiv, transferând în conturi proprii sume de bani. În drept, faptele inculpatei săvârşite cu vinovăţie întrunesc elementele constitutive ale infracţiunilor, acces ilegal la un sistem informatic prev. de art.360 al.1,2 şi 3 NCP şi efectuare de operaţiuni financiare în mod fraudulos prev. de art.250 al.1 NCP (…).Până la partaj soţii se pot folosi de bunurile comune, chiar dacă, în cazul de faţă, mijlocul prin care inculpata a intrat în posesia banilor a fost unul ilegal”.
CONCLUZIE analiză jurisprudență:
- Soții pot să folosească bunurile comune, numai dacă mijloacele folosirii acestora sunt legale;
- Transferul unor sume de bani în contul propriu (în relațiile dintre soți) prin utilizarea fără acord a parolelor unui dispozitiv ce aparține altei persoane constituie infracțiunea de acces ilegal la un sistem informatic.
4.Decizia nr. 49/2019 din 29 mai 2019, Tribunalul Sălaj:
,,Sub aspectul laturii obiective, instanţa reţine că elementul material al infracţiunii de acces ilegal la un sistem informatic constă în acţiunea de folosire fără vreun drept a cardului bancar emis pe numele persoanei vătămate, cardul bancar reprezentând un instrument de plată electronică în sensul art.180 Cod penal, iar serverul de internet la care a fost utilizat acest card fără drept reprezentând un sistem informatic în sensul avut în vedere de art.181 alin.1 Cod penal. Momentul consumării infracţiunii este marcat de momentul în care inculpata a accesat efectiv cardul persoanei vătămate. Urmarea imediată, ca element component al laturii obiective, se caracterizează prin crearea unei stări de nesiguranţă a sistemului informatic. Legătura de cauzalitate dintre acţiunea de accesare ilegală a sistemului informatic şi urmarea imediată rezultă din materialitatea faptei”.
CONCLUZIE analiză jurisprudență:
- Elementul material al infracţiunii de acces ilegal la un sistem informatic poate consta în acţiunea de folosire fără drept a unui card bancar;
- Serverul de internet în cadrul căruia a fost utilizat un card bancar reprezintă un sistem informatic;
- Momentul consumării infracțiunii de acces ilegal la un sistem informatic este reprezentat de momentul accesării cardului persoanei vătămate;
- Urmarea imediată a infracțiunii este caracterizat prin crearea unei stări de nesiguranță a unui sistem informatic;
5.Sentința nr. 1839/2019 din 03 decembrie 2019, Tribunalul București:
,,Cardurile bancare (de credit sau de debit) stochează pe banda lor magnetică informaţii privind numărul contului bancar, numele titularului cardului, date adiţionale privind data expirării cardului, precum şi alte date. Informaţiile din banda magnetică a cardurilor bancare sunt date informatice în sensul legii penale, iar cardul bancar este mijloc de stocare a datelor informatice. Orice folosire a unui POS reprezintă o accesare a unui sistem informatic, fie pentru a obţine date informatice din sistem, fie pentru a transmite date informatice în sistem, fie pentru a transfera date de pe un mijloc de stocare a datelor informatice (…). Folosirea la POS a cardului autentic, fără acordul titularului său, în scopul efectuării unor transferuri de fonduri, constituie infracţiunea de efectuare de operaţiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia (…). După cum s-a reţinut în practica judiciară , accesarea fără drept a sistemului informatic al băncii nu este absorbită în mod natural în elementul material al infracţiunii de efectuare de operaţiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, săvârşirea acestei infracţiuni neimplicând, ca o condiţie esenţială de existenţă, accesarea unui sistem informatic bancar prin intermediul căruia infracţiunea să fie comisă”.
CONCLUZIE analiză jurisprudență:
- Informaţiile din banda magnetică a cardurilor bancare sunt date informatice în sensul legii penale;
- Cardul bancar este mijloc de stocare a datelor informatice;
- Accesarea fără drept a sistemului informatic al băncii nu este absorbită în mod natural în elementul material al infracţiunii de efectuare de operaţiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică.
Într-o altă cauză aflată pe rolul Tribunalului Călărași, un bărbat a fost condamnat la 2 ani închisoare cu executare săvârșirea infracțiunii de acces ilegal la un sistem informatic. Bărbatul accesase, fără acord, contul de Facebook al unei foste concubine și citise mesajele existente pe respectivul cont de Facebook.