Probleme dificile privind infracțiunile informatice (ediția 191). VIDEO+Transcript
Probleme dificile privind infracțiunile informatice
Societatea de Științe Juridice (SSJ)
București 3, str. Turturelelor 50, et. 4
Miercuri, 25 aprilie 2018, ora 19:30
Participarea în sală este rezervată membrilor și invitaților.
[restrict]
Augustin Zăbrăuțanu: Bună seara din nou la dezbateri.juridice.ro! Dragi prieteni și iubitori ai problemelor dificile de drept mereu actuale, mereu interesante. În seara aceasta, intrăm ca de obicei direct în subiect împreună cu invitații noștii: domnul Maxim Dobrinoiu, conf. univ. dr. Universitatea Nicolae Titulescu, cadru didactic asociat la Academia Tehinică Militară. Bună seara!
Maxim Dobrinoiu: Bună seara! Mulțumesc pentru invitație.
Augustin Zăbrăuțanu: Vă mulțumim că ați acceptat. Domnul avocat Alexandru Sitaru, deja obișnuit al dezbaterilor noastre în domeniul dreptului penal, mai cu seamă dreptului penal al afacerilor.
Alexandru Sitaru: Bună seara! Și eu vă mulțumesc pentru invitație.
Augustin Zăbrăuțanu: Domnilor, generic tema noastră de discuție este legată de problemele dificile ale infracțiunilor informatice, să spunem așa. Domnule Dobrinoiu, o să-l las pe domnul avocat Sitaru să ne facă o prezentare scurtă, o trece în revistă, ca să zic așa, a acestor infracțiuni informatice, urmând după aceea să intrăm în problemă tehnic, militărește bucată cu bucată să nu rămână lucruri neclarificate. Domnule avocat, care sunt infracțiunile acestea informatice, unde sunt prevăzute ele?
Alexandru Sitaru: În primul rând, aș începe prin a spune că infracțiunile informatice sunt disparate în mai multe titluri din Noul Cod penal, fiind grupate în funcție de obiectul juridic. Primele infracțiuni le găsim în Titlul 2, dedicat infracțiunilor contrapatrimoniului și cea mai reprezentativă dintre acestea aș considera-o infracțiunea de fraudă informatică pe care o regăsim la art. 249. Tot aici găsim în următoarele două articole 250 și 251 infracțiunile de efectuare a operațiunilor financiare în mod fraudulos și acceptarea operațiunilor financiare efectuate în mod fraudulos. Apoi, în Titlul 6 dedicat infracțiunilor de fals vom regăsi la art. 325 infracțiunea de fals informatic. Și în fine, în Titlul 7 dedicat infracțiunilor contra siguranței publice găsim cel mai important mănunchi de infracțiuni informatice între art. 360 și 365 vom regăsi accesul ilegal la un sistem informatic, intreceptarea ilegală a unei transmisii de date informatice. Avem alterarea integrității datelor informatice, perturbarea funcționării sistemelor informtice, transferuri neautorizat de date informatice și în cele din urmă regăsim operațiuni legale cu programe sau dispozitive informatice. Cam aceasta în linii mari ar fi prezentarea pe care presupun că v-o doreați.
Maxim Dobrinoiu: Dacă-mi permiteți, să nu uităm și de art. 374 – Pornografia infantilă, accesarea de materiale pornografice cu minori prin intermediul sistemelor informatice.
Augustin Zăbrăuțanu: Treabă serioasă.
Maxim Dobrinoiu: Este, din păcate un flagial, am putea spune, căreia îi cad în pradă copiii.
Augustin Zăbrăuțanu: Domnule profesor, înainte de a trece la o prezentare succintă a unor termeni specifici acestui domeniu, sistem informatic, program informatic, date informatice. Nu de alta, dar pentru cei care nu sunt familiarizați cu domeniul ar putea să constituie o surpriză cât se poate de neplăcută, anumite activități caracterizate de curiozitate să fie sancționate de lege ca fiind infracțiuni. Și cred că multă lume ar fi foarte surprinsă să vadă câte astfel de comportamente nepotrivite și exagerate la locul de muncă de exemplu și nu numai, între prieteni mai mult sau mai puțin apropiați, în familie chiar, mergând foarte departe cu lucrul acesta, pot face obiectul unor astfel de acuzații și până la urmă unor astfel de infracțiuni. Dar înainte de a trece la lucrul acesta, aș vrea să vă întreb fără a ne gândi neapărat la chestiunile actuale, la nivel global și ne gândim numai la Cambridge analitica și la prezența unuia dintre cei mai importanți oameni de afaceri ai lumii și ai domeniul social media în fața congresului american, dând explicații destul de strâns cu ușa despre până la urmă un acces neautorizat. Cu siguranță unor date informatice, evident ajungem aici la o altă intersecție, cea a protecților datelor personale. Trăim niște vremuri foarte interesant unde această zonă pare a fi preocuparea autorităților și de reglementare de pe o parte cu scopul de a proteja evident integritatea datelor personale. De ce credeți că s-a ajuns aici? A fost prea multă dereglementare? Este necesară o mai aspră reglementare? Este necesară o cunoaștere mai bună?
Maxim Dobrinoiu: Să nu uităm sursa de inspirație a legiuitorului român în ceea ce privește reglementarea penală a infracțiunilor informatice. Or, Convenția – Consiliul Europei, din 2001, semnată la Budapesta. Convenția la care România este parte. Și într-o primă fază exista Legea 161/2003 care dădea niște definiții foarte interesante pentru acel moment cu privire la ceea ce înseamnă sistem informatic, date informatice, ce înseamnă program informatic, ce înseamnă prelucrare automată a datelor informatice, măsuri de securitate. Noul Cod penal legiuitorul a considerat necesar să preia numai două dintre aceste definiții. Regăsim definiția „sistemului informatic”, nu are rost să o lecturăm în acest moment. Și definiția „datelor informatice”. Sigur, în Codul de procedură penală se mai regăsesc câteva aspecte. Cu toate acestea trebuie să fim corecți și să remarcăm un lucru. Tehnologia a avansat. Față de moemntul 2003 când vorbeam de sistem informatic și când ne uitam în cameră și la locul de muncă ceea ce înseamnă un sistem informatic vedeam un PC mai mic sau mai mare, eventual un laptop. Tehnologia a evoluat fantastic. Începând de la lansarea telefoanelor inteligente, vorbim de sisteme informatice. Sunt mini calculatoare. Sunt calculatoare în carcase foarte mici. Vorbim de ceasuri inteligente. Respectă toate definițiile unui sistem informatic. Televizoarele, smart TV – ne place să le agățăm în perete, ne uităm la ele. Și ele se uită la noi din când în când. Sunt și acestea sisteme informatice. Vorbim de smart carduri. Există voci care spun că smart cardurile pot fi sisteme informatice, întrucât au micro procesoare. Aici nu sunt de acord, dar totul este posibil. Undeva am senzația că legiuitorul nu a mai ținut cont de această explozie tehnilogică.
Augustin Zăbrăuțanu: Aș vrea să intervin și mă iertați. Ați ajuns la smart carduri și din punctul dumneavoastră de vedere atât timp cât nu poate funcționa cu o sursă independentă de alimentare… .
Maxim Dobrinoiu: Aceasta este, corect. El este un mijloc de stocare a datelor informatice. Dacă o să privim strict informatic.. .
Augustin Zăbrăuțanu: De sine stătător nu poate.
Maxim Dobrinoiu: Da, sigur. Și poate fi privit la un instrument de plată electronic. Însă orice altă asemănare cu un sistem informatic, eu o consider neavenită. Sigur, pot exista și alte opinii. Ținând cont și, plecând de la această expansiune tehnologică și într-o continuă dezvoltare. Vedem ce se întâmplă de la zi la zi. Vorbim de mașini inteligente. Vorbim de inteligența artificială, de roboți. Citeam în presă, s-a lansat un robot sau o formă de inteligență artificială la Cluj – casierul virtual. Sigur, este un demers lăudabil. Se pune problema de răspunderea juridică a acestuia. Este un alt aspect.
Augustin Zăbrăuțanu: În caz de lapidare.
Maxim Dobrinoiu: Sigur. În ceea ce privește restul device-urilor, dispoziților electronice interconectate sau stand alone, apar automat niște întrebări referitoare la folosirea lor. Și atunci pare foarte facil atât pentru autorități, cât și pentru avocați sau pentru judecători să meargă pe încadrări de genul acces ilegal la un sistem informatic. După părerea mea, asistăm la o forțare a normelor de Drept penal. A te gândi la un ceas, ai pus mâna pe un ceas inteligent și deja l-ai accesat. Ai accesat un sistem informatic. Sigur, poate tehnic comportă elementele pe tipicitate ale infracțiunii de acces ilegal în sistemul informatic. Dar eu consider forțat. Te duci în casa unui prieten și îți spune: „Fă-te comod, dă-ți drumul la televizor.” Ce să vezi? Televizorul este un smart TV. Dai drumul și prietenul îți spune: „Îmi pare rău, acces ilegal la un sistem informatic.” Deci cădem la un moment dat în capcana tehnologiei care ne împinge ușor-ușor către astfel de greșeli. De asemenea… și cu aceasta închei partea tehnică. Se face din ce în ce o mare confuzie între sistem informatic și serviciul de comunicație electronice. Există, sigur, opinii divergente pe subiectul acesta în ceea ce privește, de exemplu poșta electronică. Poșta electronică este un serviciu de comunicații electronice. Sigur, în spate undeva există un server care sunt stocate informații, date informatice, corespondență și există niște protocoale de stocație, dar poșta electronică este un serviciu, nu este un sistem. Și vedem foarte ușor, practica judiciară ne conduce către infracțiunea de acces ilegal la un sistem informatic când vorbim despre accesarea neautorizată a unor conturi de poștă electronică. Mă opresc în acest moment la acest aspect.
Augustin Zăbrăuțanu: Doar o singură întrebare lămuritoare. Este cunoscut faptul că legiuitorul are întotdeauna un dilei în a reuși să reglementeze eficient și în pas cu timpurile, ca să spun așa? Într-adevăr în acest domeniu, viteza cu care lucrurile se dezvoltă, dar eu aș zice nu numai aceasta. Mai ales viteza cu care se propagă în colțuri ale activității umane. Au acces oameni care probabil care acum câțiva ani chiar nu știam să deschidă un calculator. Datorită acestor căi de comunicare până la urmă extraordinar de ușoare. Până la urmă deschide un telefon care îl folosește să vorbească cu copiii, cu nepoții. Credeți că aceasta face mai dificilă pentru autorități, pentru legiuitori să fie în pas cu reglementările raportat la mersul lucrurilor în viața reală în acest domeniu?
Maxim Dobrinoiu: Sigur este foarte important ca legiuitorul, este și rolul nostru, a celor din mediul academic și al avocaților, și în general, agențiilor de aplicare a legii, a tuturor celor implicați în astfel de cazuri și pasionați de domeniu. Să vină cu soluții, să vină cu idei. Relațiile sociale care iau naștere și se dezvoltă în continuu în jurul acestor elemente de tehnologie (să spunem ca să nu particularizăm doar sisteme informatice sau date informatice) reclamă necesitatea unei atenții sporite și unei adaptări continue a legislației pentru a dresa într-adevăr nevoia de protecție socială în mod corespunzător. A ne cantona, a rămâne prinși în definiție, în sintagmei specifice anului 2003 este contra productiv. Tehnologia avansează, mijloacele și metodele folosite de făptuitori, de criminalii informatici, de infractorii cibernetici. Sunt din ce în ce mai sofisticate, ele pun în pericol ordinea de drept. Agențiile de aplicare a legii, sistemul judiciar trebuie să vină rapid din urmă, dar trebuie să se plieze în acest moment pe norme valabile în anii 2000. De ce să nu ne gândim? În loc să interpretăm, să forțăm interpretări pe accese legale la un sistem informatic. De ce să nu creăm o normă care să incrimineze accesul neautorizat la un serviciu de comunicații electronice. S-ar rezolva multe probleme. Este doar un exemplu.
Augustin Zăbrăuțanu: Domnule avocat, domnul profesor Dobrinoiu a adus în mod inevitabil în discuție chestiunea fraudelor. Spuneți-ne câte ceva despre corelația care există între frauda informatică și falsul informatic. Evident, diferențe… .
Alexandru Sitaru: Aici o chestiune interesantă ar putea fi la nivelul acestor infracțiuni în corelație între unitate sau concurs. Aici s-ar pune problema între ele. Dacă m-ați întrebat de asemănări și deosebiri între cele două infracțiuni, al capitolul asemenări aș spune că ambele vin, sunt variante de specie ale infracțiunilor de fals și de înșelăciune din dreptul comun. Tot la capitolul asemănări, cred că am putea avansa și ideea potrivit căreia au modalități normative de săvârșire asemănătoare. În schimb, la capitolul diferențe, cred că am putea enumera aici valoarea socială lezată. Cred că sunt diferențe în ceea ce privește aspectul urmării, în ceea ce privește aspectul celor două infracțiuni. De asemenea, remarcăm diferențe și în ceea ce privește scopul urmărit prin săvârșirea fiecărei infracțiuni și aș spune eu, regăsim diferențe și la nivelul subiectului pasiv al celor două infracțiuni. Dacă ne întoarcem la acea chestiune ridicată în ceea ce privește unitatea sau concursul, se întrezărește întrebarea legitimă: Dacă ne aflăm în prezența celor două infracțiuni, ce identificăm? Unitate sau concurs? Cred că în cazul unității ar putea fi aduse ca argumente la frauda informatică, adagiul care ar fi trebuit să fie făcut de legiuitor în sensul dăugării unui alt mijloc de săvârșire al acesteia la fel ca în cazul infracțiunii cu care se aseamănă și remarc aici înșelăciunea. Un alt argument în favoare unității, cred că ar putea fi redat la nivelul pedepselor. Dacă analizăm Codul penal, vom identifica faptul că la infracțiunea de fraudă informatică avem niște limite situate între 2 și 7 ani, pe când la infracțiunea de fals informatic avem limite mai mici 1 – 5 ani. Există opinii potrivit cărora în momentul în care a trasat, în care a conturat cele două infracțiuni, legiuitorul a gândit că infracțiunea de fals informatic poate să fie absorbită de infracțiunea de fraudă informatică. Tot în sprijinul unității, cred că am putea invoca și asemănarea între elementele constitutive ale celor două infracțiuni – falsul informatic și frauda informatică, cu cele ale infracțiunilor de fals în contabilitate și evaziune fiscală din vechea reglementare. Această chestiune dacă îmi aduc eu bine aminte a fost tranșată la nivelul anului 2008 de completul pentru dezlegarea recursurilor intereselor legii al Înaltei Curți. Înalta Curte, statuând faptul că infracțiunea de fals în contabilitate este absorbită de infracțiunea de evaziune fiscală pentru identitate de rațiune, spun eu. Și în cazul acesta, infracțiunea de fals informatic ar trebui absorbită de infracțiunea de fraudă informatică. În susținerea ideii că ne-am afla în fața unui concurs ideal în ceea ce privește aceste două infracțiuni, cred că ar trebui să avem în vedere faptul că modalitățile normative de săvârșire nu sunt identice. Așa cum spuneam mai devreme, ele sunt doar asemănătoare cu precizarea că infracțiunea de fraudă informatică beneficiază de o modalitate normativă suplimentară față de falsul informatic. Pornind de la această idee care este o concluzie, putem identifica în practica judiciară exista singulară a infracțiunii de fraudă informatică fără ca ea să fie însățită de fals informatic.
Maxim Dobrinoiu: Dacă-mi permiteți o completare, pentru că subiectul mă pasionează. Aș nuanța o variantă ușor mai simplă față de ceea ce a spus domnul avocat. Sigur, cu care sunt de acord cu ideile, unele dintre acestea. Observăm în practica judiciară o apetență, o înclinație în a transfera în domeniul informatic infracțiuni tradiționale care se comit cu ajutorul sistemelor informatice sau a datelor informatice. Și voi aduce foarte succint în atenție și în această dezbatere, chestiunea: Ce avem? Fraudă informatică sau înșelăciune? În două situații distincte: 1. Licitațiile fictive pe site-uri de comerț electronic. La o primă vedere, practica judiciară este împărțită. Unele instanțe merg pe varianța fraudă informatică, în timp ce altele instanțe, în mod corect după părerea mea, rețin înșelăciune comisă prin intermediul sistemelor informatice. Ce le aseamănă? Sunt ambele infracțiuni contra patrimoniului. Par a fi același lucru și cu toate acestea nu. Sunt diferite. De ce? Dacă în ceea ce privește frauda informatică, făptuitorul datorită tehnicității, modului de operare, făptuitorul acționează exclusiv asupra unor date informatice și prin aceasta crează o pagubă părții vătămate sau victimei și obține un beneficiu. Deci acționează repet, exclusiv asupra unor date informatice neavând nici o interacțiune cu victima. În cazul înșelăciunii, victima prin intermediul mesajelor de poștă electronică, prin intermediul unor postări pe site-uri de comerț electronic, a unor fotografii, făptuitorul acționează asupra psihicului victimei.
Augustin Zăbrăuțanu: La fel ca și cum ar face-o… .
Maxim Dobrinoiu: O înșelăciune tradițională.
Augustin Zăbrăuțanu: A corpului străzii.
Maxim Dobrinoiu: Sigur că da. De aceea, în ceea ce privește licitațiile fictive, sigur hakerii de Vâlcea care au reușit să păcălească atâția străini și chiar români, postând anunțuri cu privire la produse pe care nici nu le aveau în realitate. Constituie după părerea mea, se înscriu clar aceste fapte tipicitate infracțiunii de înșelăciune decât în cea de fraudă informatică.
Augustin Zăbrăuțanu: Este o treabă oarecum amuzantă. Sunt numiți acești „hakeri de Vâlcea”, am întâlnit această expresie și chiar am întrebat: „- De ce? – Pentru că se opucă de găinării.” Acesta a fost răspunsul.
Maxim Dobrinoiu: Un diminutiv care îi plasează în zona non-tehnică a infracțiunilor informatice.
Augustin Zăbrăuțanu: Exact! Deci până la urmă, aspectele de natură informatică utilizate în astfel de înșelăciune, nu sunt decât un mijloc de a realiza această activitate infracțională și nu autipicitatea infracțiunii de fraudă informatică până la urmă.
Maxim Dobrinoiu: Și mai este o cauză, o situație: „Frauda directorului executiv”. Companii, persoane de la cabinetul managerilor (secretare, persoanele din departamentele de contabilitate) care au acces la fonduri sau pot direcționa fonduri, se trezesc cu mesaje de poștă electronică, abil întocmite. Sigur, aici intervine și un fals informatic fiindcă hader-ele sunt spufate, sunt falsificate, mesajele par a veni din partea șefilor. Persoanele respective dau curs conținutului. Adesea, conținutul solicită trimiterea unor sume de bani către anumite conturi. Persoanele se execută și avem de a face cu o pagubă prin intermediul unor mijloace de comunicare, nici măcar prin sistem informatice. Mijloace de comunicare la distanță, mijloacele electronice, sms, poșta electronică, iar aceste fapte în continuare sunt înșelăciuni, nu sunt fraude informatice.
Augustin Zăbrăuțanu: Am întâlnit și eu situații în care în cursul tranzacției internaționale (vânzare de mărfuri), în general din China, transport la distanță. Pe parcursul derulării tranzacției și condiționat fiind transportul și trimiterea documentelor de transport de plată efectivă a mărfii, cumpărătorul primește de pe o adresă de e-mail aparent similară. Diferă o literă câteodată, aparent trebuie să te uiți atent în proprietăți și să-ți dai seama. Dar de obicei, are acel hader bine făcut. Plata nu se mai face în contul stabilit în contract, se face într-un alt cont la aceeași bancă americană. Oamenii plătesc, trimit detaliile și nu mai primesc niciodată documentele mărfii. Se riscă un întreg scandal. În anumite situații, am observat un lucru și mai interesant. Deși vânzătorii sunt comercianți respectabili, reali. Modul în care adresele acelea de e-mail originale sunt făcute (de genul: a,j,p,f) parcă îi incită sau parcă facilitează posibilități ulterioare de inducere în eroare a celorlalți. Nu vreau să spun că este făcută clar cu scopul acesta, dar am avut spețe care parcă te invită să confuzi lucrurile. Vorbeam de acești oameni „minunați”, mulți din Vâlcea, dar nu numai care au făcut cunoscută această zonă geografică în întreaga lume. Și mi-am amintit de anii în care activitatea de clonare a cardurilor era o treabă foarte serioasă.
Maxim Dobrinoiu: Sport.
Augustin Zăbrăuțanu: Dacă puteți să ne spuneți câte ceva despre aceste activități. Îmi amintesc, nu am mai văzut în ultima vreme băncile s-au mai diminuat. Acele sisteme aplicate peste bancomat ca exemplu și multe alteșe. Dar foarte interesant finalitatea, extragerea, fructul infracțiunii se făcea pe diverse meridiane (Mexic, Australia). Spuneam de Mexic, pentru că DIICOT reușește foarte greu să obțină datele din Mexic.
Maxim Dobrinoiu: Sigur, cooperarea națională judiciară este în pusă în pericol de faptul că nu există instrumente, iar acele state anume sunt alese, fiindcă nu sunt parte din Convenția Consiliului Europei. Deși sunt alte state extracomunitare care fac parte din această Convenție, sunt alese de către infractori acele state pentru care instrumentarea procesului penal este foarte dificilă, iar mai ales obținerea de probe. Sigur, în România se confecționeau și încă se mai confecționează dispozitive electromecanice, dar chiar și electronice, microcontrolere se atașează unor interfețe de bancomat false care se aplică la suprafața, deci în exteriorul bancomatului emită perfect o interfață de bancomat, o tastatură, o fantă de acces a cadrului. În spate, însă se găsesc niște dispozitive electronice, microcontrolere, o memorie flash, poate chiar și o mini cameră video, un element de alimentare pentru o anumită autonomie. Un astfel de dispozitiv, este capabil în jur de 200 de citiri să realizeze și să capteze, să stocheze local în memoria flash. S-a pus problema foarte mult timp care este infracțiunea aici. Nu vă ascund, supărarea pe care am avut-o ca cercetător al domeniul, văzând lejeritatea cu care instanțele mergeau pe soluția unui acces ilegal într-un sistem informatic. Iata, că de fiecare dată explicația și sistemului judiciar ceva de genul: Bancomatul este un sistem informatic (Corect!), dar prin interacțiunea cu bancomatul faptuitorii au realizat un acces în sistem (Ce să vezi?) prin încalcarea măsurilor de securitate. Toate aceste elemente sunt foarte ușor demontabile chiar și de un elev de clasa a X- a – a XI-a din ziua de astăzi. În realitate, ce se întâmpla, interacțiunea făptuitorului cu bancomatul era la suprafață, nu se interacționa logic cum cere infracțiunea tipică de acces ilegal la un sistem informatic. Copierea datelor avea loc mai de pe banda cardurilor victimelor mai înainte ca respectivele carduri să intre în sistemul informatic numit bancomat. Deci, infracțiunea era deja consumată în acel moment. Sigur, eu m-am identificat o soluție de încadrare. În opinia mea, această copiere respectă foarte bine și se încadrează pe tipicitate, infracțiune de transfer neautorizat de date informatice. Considerând bineînțeles că instrumentul de plată electronică, acel card este un instrument de stocare, un mijloc de stocare a datelor informatice. Aici suntem într-o zonă foarte ciudată din punct de vedere financiar. Saă stiți că acea bandă magnetică a cardurilor este impusă de peste Ocean. Există în acest moment un standard EMV (European MasterCard Visa) de la care s-a plecat în confecționarea cardurilor cu Chip and PIN. Acestea sunt foarte dificil, ba chiar imposibil de clonat, de falsificat. Dar în continuare existența acelei benzi magnetice conduce la posibilitatea extragerii de pe pistele ei de date de identificare asociate cardurilor. Sigur o dată obținute acele carduri, există o infracțiune cu două modalități de realizare, se numește efectuarea de operațiuni financiare în mod fradulos de tip card prezând prin folosirea instrumentului clonat la un bancomat sau la un Point of sale (POS) sau infracțiuni sau fapte de tip Carnot, prezând când folosește doar datele de indentificare a cardurilor pentru tranzacții pe internet.
Augustin Zăbrăuțanu: Spuneți mai înainte, domnule avocat, ceva despre un recurs în interesul legii. Din câte știu în 2013, Înalta Curte de Casație și Justiție a mai soluționat un RIL în acest domeniu. Discutăm noi mai înainte, aici, se încearcă clarificarea unor chestiuni sensibile. Dacă puteți să ne vorbiți puțin despre Decizia 15 din 2013 a Înaltei Curți.
Alexandru Sitaru: Sigur, până la nivelul 2013, în practica judiciară existau mai multe curente cu privire la încadrarea pe care o luau infracțiunile informatice. În anul 2013, Înalta Curte competent să soluționeze recursuri în interesul legii, a fost investit cu o cerere promovată de către procurorul general al Parchetului de pe lângă Înalta Curte de Casație și Justiție prin care se ridica din nou problema: Ce să fie ilegal la un sistem informatic?
Augustin Zăbrăuțanu: În acest domeniu al cardurilor în special.
Alexandru Sitaru: Bancomatelor. Vizându-se trei fapte aș identifica eu. Prima dintre ele viza montarea la un bancomat a unui dispozitiv autonom de citire a benzii magnetice a cardului autentic și de asemenea, a codului PIN. A doua chestiunea care prezenta interes…. .
Augustin Zăbrăuțanu: Discutăm despre sistem acela care vorbea domnul profesor mai devreme.
Alexandru Sitaru: A doua chestiune viza încadrarea juridică de care ar fi trebuit să beneficieze fapta de a folosi un card bancar falsificat în scopul retragerii de numerar și cea de-a treia… .
Augustin Zăbrăuțanu: Ca urmare a obținerii acestor date într-o modalitate sau alte modalități.
Maxim Dobrinoiu: Falsificării instrumentului real.
Alexandru Sitaru: Și cea de-a treia era legată de folosirea de data aceasta a unui card bancar autentic fără acordul titularului în scopul retragerii de numerar. Dintre cele trei fapte în practica judiciară s-a constatat că doar una singură, respectiv acea de folosire a cardului autentic fără acordul titularului în scopul de a retrage numerar avea în mod constant aceeași încadrare juridică. Pentru celelalte, instanțele considerau fie că este vorba… Sau chiar și parchetele, că pornim de la parchet, încadrarea juridică pe care o regăsim în rechizitoriu, dar și instanțele, unele dintre ele chiar fără a pune în discuție schimbarea încadrării juridice cosiderau că este vorba fie de acces ilegal la un sistem informatic, fie rețineau concursul între mai multe alte infracțiuni informatice. Așa cum ați spus dumneavoastră, în luna octombrie 2013, Înalta Curte a înțeles să dezlege această chestiune, admițând sesizarea formulată de procurorul general al Parchetului pe lângă Înalta Curte și, statuând următoarea soluție: montarea în ceea ce privește fapta de montare la bancomat a unui dispozitiv autonom care permitea citirea benzii magnetice si a codului PIN. Instanța Supremă a găsit că soluția corectă este aceea de a o încadra în dispozițiile art. 46 alin. (2) din Legea 161/2003 la acel moment. Corespondentul în reglementarea actuală fiind art. 365 alin.(2), adică operațiuni ilegale cu dispozitive sau programe informatice. În ceea ce privește folosirea la bancomat a unui card autentic fără acordul titularului în scopul retragerii de numerar Înalta Curte a considerat că aceasta întrunește elementele constitutive ale infracțiunii de efectuare de operațiuni financiare în mod fraudulos, utilizând un instrument de plată, inclusiv datele de identificare care permit identificarea acestuia, infracțiune pe care o regăseam la acel moment în art. 27 alin. (1) din Legea 365/2002, actuala reglementare corespondentul fiind art. 250 alin.(1) Cod penal. În concurs ideal cu infracțiunea de acces ilegal la un sistem infromatic reținută în ceea ce privește toate aliniatele prevăzute la momentul respectiv în Legea 161. Corespondetul acestuia fiind în momentul de față art. 360 alin. (1), (2) și (3) din Codul penal. În fine, în ceea ce privește infracțiunea sau fapta de folosire a unui card bancar falsificat în scopul retragerii de numerar, în principiu ea a primit aceeași dezlegare ca în cazul faptei de folosirea unui card bancar autentic fără acordul titularului în scopul retragerii de numerar în sensul că avem din nou efectuarea de operațiuni financiare în mod nelegal în concurs cu infracțiunea de acces ilegal la un sistem informatic. De data aceasta, Instanța Supremă a reținut și concursul cu art. 313 Cod penal în actuala reglementare. Era vorba la momentul respectiv de art. 24 alin. (2) din Legea 365, este vorba de infracțiunea de acțiunea de falsificare a instrumentelor de plată.
Augustin Zăbrăuțanu: Mă gândeam acum vreo 2-3 luni când încercam la banca mea, la reînnoirea cardului să le solicit să-mi dea un card clasic și nu noile contactless. Chiar mi-am amintit de această decizie și mă gândeam cât de înfloritoare va fi activitatea aceasta și este, după apariția cardului conctactless și practica de a nu solicita PIN până la suma de 100 de lei, am observat. Folosirea unui card autentic se încadrează foarte clar fără accesul titularului său, fără să cunoști nimic altceva și să folosești nici o altă dată cu excepția respectivului card.
Maxim Dobrinoiu: Este un pic discutabil aici, mergându-se pe modelul utilizării unui card fie clonat, fie unui card real, dar fără consimțământul titularului la un bancomat, instanța a reținut, să zicem în mod corect, în concurs ideal și infracțiunea de acces ilegal la un sisitem informatic cu referire la manevrele și interactiunea fizică și logică a făptuitorului cu acel sistem informatic reprezentat de bancomat. Extrapolând ușor, trebuie să complicăm problema și să ne gândim că acel card, acel instrument de plată electronică fie el real sau contra făcut poate fi folosit pentru o plată la un POS , la un punct de vânzare electronic. În acel moment, începem să ne gândim dacă mai subzistă și infracțiunea de acces ilegal la un sistem informatics, cu toate că din descrierea lui tehnică acel POS poate fi considerat un sistem informatic. Ce facem în situația în care… și au fost desigur dezbateri, întrebări, răspunsuri pe subiectul respectiv, ce facem cu actualele carduri contactless care, o dată plasate la o distanță suficient de mică, deci cât mai aproape de POS autorizează plata. Se mai poate vorbi de un acces ilegal la un sistem informatic în mod corect într-un sistem informatic? După părerea mea, ar fi o exagerare. Sigur, găsim opinii care concură spre ideea, sigur POS-ul în continuare este un sistem informatic chiar și de la distanță printr-o interacțiune de câțiva ml prin unde radio, prin semnale. Tehnologia are FID. A fost accesat sistemul. Din punct de vedere tehnic, eu nu aș merge pe o astfel de soluție și mai mult mi s-ar părea un pic exagerată. Revenim la capcana de care vă spuneam, vom ajunge ca orice interacțiune cu un echipament electronic s-o considerăm automat în concurs ideal și un acces ilegal la un sistem informatic pe motiv că acel device funcționează ca un sistem informatic. Este o capcană, nu aș vrea să cădem. Poate ar fi cazul să ne oprim la efectuarea de operațiuni financiare în mod fraudulos, mi se pare o infracțiune suficientă pentru a mai reține în concurs și acces ilegale la un sistem informatic.
Augustin Zăbrăuțanu: Nu vreau să fac o predicție, dar cred că tendința aceasta de a generaliza lipsa de contact așa cum o cunoaștem în mod clasic măcar contactul acela, metal pe metal, PIN cu PIN, generată de foarte multe, de această nevoie, de sincronizare a device-urilor multiple pe care le utilizăm. Cred că în timp va genera și o reconsiderare a acestor aspecte. Probabil, în zece ani nu știu câte lucruri vor mai fi legate prin fir sau prin contact direct în acest domeniu. Evident, probabil că se vor lucrurile de super hardcore, ca să spun așa, dar aceste device-uri pe care noi le folosim, eu văd tendința de a… . Nici mașina n-o mai deschidem cu cheia, nu mai scoatem cheia din buzunar. Suntem într-un punct, cum spuneam mai spre începutul dezbaterii, un punct fierbinte la nivel global, generată de această protecție, până la urmă. Și acest echilibru între protecția la care fiecare suntem îndreptățiți, a datelor noastre, a informațiilor pe care le deținem, le stocăm, le transmitem, le primim prin intermediul corespondeței, prin intermediul poștei electronice, prin intermediul nenumăratelor sisteme de messenger pe care le utilizăm. Mulți dintre noi folosim din diverse rațiuni, chiar și comunicare voce pe diverse sisteme de messenger.
Maxim Dobrinoiu: Voice Over IP.
Augustin Zăbrăuțanu: Exact! Indiferect că discutăm WhatsUp, chiar și de Facebook, Messenger ca să nu mai discutăm de celelalte mai vechi și oarecum mai cunoscute. Cum priviți această întâlnire dintre accesul ilegal la un sistem informatic comparativ cu violarea secretului corespondeței, să spunem? Tot, discutând despre chestiuni dificile că până la urmă și instanțele, și parchetele, agențiile care sunt chemate într-un fel sau altul să protejeze aceste lucruri, încearcă să găsească cea mai eficientă, corectă și legală soluție de cercetare și de sancționare a unor fapte.
Maxim Dobrinoiu: Dacă-mi permiteți mie, observăm de asemeni că și în acest caz al poștei electronice vorbim cu mare ușurință de sistem informatic. Vrem, nu vrem ajungem la sistem informatics, deși poșta electronică este mai degrabă un serviciu de comunicație electronice.
Augustin Zăbrăuțanu: Să nu fie accesat doar print-n sistem informatic, ca să zicem așa.
Maxim Dobrinoiu: Sigur, el este găzduit pe un sistem informatic, dar dacă-mi dați voie tehnic nu aș totuși să intru în prea multe detalii. Plictisim și telespectatorii și audiența din platou. Accesul presupune intrarea în tot sau numai într-o parte a sistemului informatic. Așa sună și explicațiile raportului elaborat după apariția convenției. Legiuitorul european a ținut morțiș să dea câteva explicații de orientare pentru legiuitorii naționali. Sigur, atunci când se crează o anumită legătură logic, bidirecțională între făptuitor, într-o persoană și un sistem informatic, putem vorbi de situația în care persoana respectivă este prezentă virtual în acel sistem informatic. Vă dați seama, nu putem vorbim de o prezență fizică, deci o prezență virtuală, o prezență logică. În ceea ce privește poșta electronică, tehnic – sigur acum există mai multe opinii. Eu, ca și inginer de calculatoare într-o primă fază nu accept ideea ca în ceea ce privește poșta electronică eu sunt prezent, eu ca utilizator sunt prezent cumva în server-ul de mail de la distanță. Nicidecum! Eu cer niște mesaje fie printr-un web mail, fie printr-un client de mail, iar acele mesaje în baza unor protocoale de comunicații prin mai multe servere, acele mesaje îmi sunt replicate, copii ale lor îmi sunt aduse pe o interfață prietenoasă pe calculator. Aș vedea mai degrabă în această privință în mod clar violorea secretului corespodenței, fiindcă nu este vorba de orice fel de date, ci date informatice care reflectă o corespodență, deci violarea secretului corespodenței și mai degrabă decât accesul ilegal preferat de mai toată lumea aș vedea un transfer neautorizat de date informatice prin comenzile din browser sau din clientul de mail. Eu forțez, eu dacă aș fi un utilizator neautorizat forțez (în mod ilegal, nu am dreptul să fac acest lucru) chemarea sau venirea unor mesaje, un transfer de mesaje din serverul din San Diego sau unde fiecare îl găzduiește din server. Indiferent de protocol, mesajele îmi sunt replicate, îmi sunt aduse mie ca utilizator, autorizat sau neautorizat. De aceea, eu nu aș merge pe varianta accesului ilegal. Sigur, eu o accept ca și variantă de dialog. Nu o consider corectă ca încadrarea juridică, dar instanțele au ultimul cuvânt. Dacă există și alte opinii… .
Augustin Zăbrăuțanu: Ce ziceți, domnule avocat?
Alexandru Sitaru: Cred că ar merge să extindem aici discuția și la fel o să-i ofer posibilitatea domnului profesor să mă contrazică dacă are altă opinie. Spuneam că mă duce gândul vrei/nu vrei la cauza Bărbulescu contra României. Cred că s-ar ridica o problema interesantă din perspectiva accesului ilegal la un sistem informatic.
Augustin Zăbrăuțanu: Aceasta este o poveste teribil de sensibilă, pentru că raporturile dintre angajați și angajatori sunt cât se poate de complexe și de multe ori mă gândesc dacă nu apare și o imposibilitate morală, ca să spun așa, a angajatului în a își impune protecția, în a solicita protecția secretului corespondenței, confidențialitatea naturii informaticii. Pe de altă parte, acolo se mai pun și alte întrebări. Cui îi aparțin aceste date?
Alexandru Sitaru: Dacă veți fi de acord cu propunerea mea, dacă vi se pare incitantă poate să prezentăm în câteva cuvinte să reluăm un pic ce s-a întâmplat în acea cauză. Este vorba despre domnul Bărbulescu care era angajat al unei societăți private. Acțiunea se petrece la nivelul anului 2008. Domnul Bărbulescu lucra în vânzări și la un moment dat conducerea societății solicită să deschidă, să creeze o adresă de e-mail prin intermediul căreia să țină legătura cu clienții pe care îi gestiona. Toate lucrurile bune… .
Maxim Dobrinoiu: Vă dați seama de nivelul acelei companii dacă nu și-a permis un nume de domeniu și a aplelat la bietul angajat să-și creeze un mail free, un Yahoo sau un Gmail.
Augustin Zăbrăuțanu: Da, dar acum cinstit vorbind era o practică nu știu dacă la nivelul anilor 2000 era extrem de falși și era utilizat… . Nu se utiliza, li se creaangajaților, li se cerea angajaților să-și creeze niște conturi de Yahoo, mai degrabă să poate utiliza aplicația de Messenger, pentru că Yahoo Messenger la momentul respectiv era nu singura, dar era cea mai performantă și le dădea o posibilitate foarte bună de a ține legătura cu agenți. Aproape se folosesc și astăzi, foarte multe magazine virtuale încă au rămas cu posibilitatea să contacteze agentul prin intermediul Yahoo Messenger.
Alexandru Sitaru: Domnul Bărbulescu s-a conformat solicitării conducerii societății la care activa. A creat, a deschis acel cont și l-a folosit atât în activitatea profesională, cât și în activitatea personală. În activitatea personală dacă îmi aduc bine aminte din cauza respectivă, cred că era vorba despre niște discuții pe care domnul Bărbulescu le purta cu fratele dumnealui, respectiv cu prietena sa. La un moment dat, între părți, între domnul Bărbulescu și conducerea societății intervine un conflict legat de spațiul de la muncă. Evident, conducerea societății este deranjată de reclamațiile domnului Bărbulescu, conflictul devine deschis și cei din conducere decid ca domnul Bărbulescu să fie monitorizat.
Maxim Dobrinoiu: Electronic.
Alexandru Sitaru: Să fie monitorizat electronic. Se instalează un soft Spyware care… .
Augustin Zăbrăuțanu: Fără să fie anunțat.
Alexandru Sitaru: Care monitorizează tot fluxul de informație, inclusiv corespondența pe care domnul Bărbulescu o purta fără a se face distincție că aceasta este de nivel profesional sau personal. Evident, cu toții știm ce s-a întâmplat, cazul este foarte popular. Chestiunea s-a tranșat în final după ce a trecut instanțele naționale în fața CEDO. Acum, ce cred că ar fi de interes, ținând cont de subiectul emisiunii noastre? Avem de a face în cazul domnului cu Bărbulescu cu un acces ilegal la un sistem informatic? Sunt unele opinii, le-am auzit care creditează această idee, considerând că programul informatic care a fost accesat în mod ilegal este constituit contra opiniei domnului profesor, de a cere cont de Yahoo. Eu cred că problema este destul de discutabilă și cred că ar fi bine să oferim o recomandare atât angajatorilor în contextul actual și de ce nu, să le spunem și angajaților cum ar trebui să privescă această problemă. Eu cred că lucrurile ar trebui să fie mult mai clare la acest nivel și angajatorii să nu mai solicite angajaților să-și creeze o astfel de adresă, ci să ofere ei din propria inițiativă o adresă profesională pe care angajatul să o folosească în interes profesional. Ca lucrurile să fie și mai clare, cred că în Regulament de ordin interior ar trebui însemnate anumite prevederi prin intermediul cărora angajatul să fie prevenit, informat cred că este mai corect.
Maxim Dobrinoiu: Avertizat.
Alexandru Sitaru: Avertizat asupra faptului că există monitorizarea asupra acelei căsuțe de e-mail și toate convorbirile vor putea să fie vizualizate de către angajator.
Augustin Zăbrăuțanu: Aici, iertaț-mă, vreau doar să nu ieșim dintr-o anumită specificitate a acestei spețe. Nu era problema căsuței de e-mail, ci era problema aplicației de Messenger atașată acelui cont de e-mail. Pentru că altfel și Curțile și instanțele noastre române interne au soluționat cumva chestiunea, până la urmă a tranșat-o în favoarea statului român, respectiv angajatorului în sensul că această monitorizare a fost exclusiv cu scopul de a verificat dacă angajatul respectă cărțile. A fost o chestie reglementată intern acești user, acest IT de Yaoo Messenger să fie folosit special pentru comunicările de bussiness. Evident, atunci când ai și pe laptop, dar discuția se pune doar atunci când vorbești cu familia discuția se pune: „Ce te faci cu aceste comunicări pe care le cu colegi de serviciu care nu au legătură cu serviciul?” Că te împrietenești, te duci la pescuit, la o bere și ți-e greu să faci în altă parte. De atunci lucrurile au mai evoluat în sensul că sunt mult mai multe aplicații Messenger, dar cred că dacă într-un Regulament de ordine interioară sau un alt tip de reglementare între angajat-angajator, modul de folosire este strict reglementat. Plus că este chestiuni, acestor programe de monitorizare atât timp cât există au rostul radarului. Știi că există, este treaba ta dacă îți asumi riscul că încalci regulile firmei și angajatul în momentul în care înțelege să facă treaba aceasta și se expune și el unor riscuri. Dar într-adevăr, chestiunea trebuie să fie foarte clară și adusă la cunoștința angajatului nu cu acele mici litere într-un Regulament de ordine interioara de 70 de pagini pe care nu le citește nimeni. Și aici este o discuție privind incluziunea în această limită între viața privată și viața de la serviciu este foarte complicată. Ce te faci cu adresa de e-mail accesată prin calculator firmei. Aceasta este o discuție și mai complicată când îi monitorizezi omului. Domnule profesor, ce ziceți de aceste chestiuni?
Maxim Dobrinoiu: Singura rezervă pe care aș avea vis-a-vis de încadrarea juridică nu m-aș raportat bineînțeles la accesul ilegal la un sistem informatic. În ceea ce privește utilizarea programelor de tip Spyware comportă mai mult tipicitatea infracțiunii de interceptare neautorizată a unei transmisii de date informatice. Monitorizarea înseamnă analizare de pachete, înseamnă analizare de traseu online, de comunicație până la urmă. Bineînțeles, în concurs obligatoriu cu violarea secretului corespondenței, fiindcă sunt două obiecte juridice diferite care merită ca faptele respective să fie reținute în concurs. Atât aș avea de comentat. Sigur, este interesant de ce până la urmă instanțele au dat câștig de cauză angajatorului. Cu siguranță angajatorul și-a luat niște măsuri de precauție, cum ar fi acea avertizare, a cea informare. Dar să nu uităm că orice angajat cu tot Regulamentul de ordine interioară are dreptul să se aștepte la un anumit procent de viață privată chiar și în situația în care utilizează sistemul informatic al instituției angajatoare sau organizației conexiunea de internet sau chiar contul de poștă electronică al angajatorului care aparține sau este furnizat ori pus la dispoziție de către angajator. Angajatul are dreptul să folosească acel cont de mail, inclusiv pentru comunicări private, cu caracter privat. Sigur, este și dreptul angajatorului să monitorizeze aceasta activitate, dar monitorizarea nu trebuie făcută cu țintă. Poate fi făcută și cu țintă, dar de regulă se face prin cuvinte – cheie. Se urmăresc elemente care să prevină scurgerea neautorizată de informații proprietare, drepturi de proprietare, de proprietate intelectuală, dar în momentul în care angajatorul sau persoana desemnată de angajator intră în posesia și recompune elemente de conversație privată este absolut necesar să păstrezi o discreție desăvârșită cu privire la aceste informații. Dezvăluirea lor ne-ar putea conduce cu gândul la alte fapte de natură penală.
Augustin Zăbrăuțanu: Practic, rezultatul a fost aducerea în cunoștință a faptului de către angajator folosit în interes privat această chestiune și nu a fost dezlegate de către terți. Tensiunile sunt mai complexe. Domnul profesor, n-aș vrea să încheiem dezbaterea din seara aceasta… .
Maxim Dobrinoiu: Atunci să n-o încheiem.
Augustin Zăbrăuțanu: Fără a ne referi la un subiect din ce în ce mai interesant în probă din ce în ce mai importantă sau mai bine spus o modalitate de a obține probe, astăzi, mai precis pe chestia informatică. Aș vrea să vă întreb, dacă modalitatea în care Codul de procedură penală reglementează astăzi acest instrument foarte important, pentru că toți știm că nu poți să faci o expertiză informatică până nu ai făcut o percheziție informatică prin intermediul căruia să cloneze respectivele date pentru asigura integritatea și multe alte aspecte cu asigurare evidentă a drepturilor procesuale, constituționale ale persoanelor interesate. Dacă referitor la modalitatea în care este reglementată astăzi percheziția informatică, aveți în calitatea dumneavoastră de pasionat al domeniului, atât cu pregătire tehnică, cât și juridică și cu activitate de cercetare susținută, a cărui considerați că anumite lucruri ar fi mai indicat să fie oarecum altfel.
Maxim Dobrinoiu: Sigur, orientându-mă după privirea dumneavoastră către ceas, răspunsul este unul foarte simplu. Nu am a comenta nimic în defavoarea modului în care Codul de procedură penală reglementează instituția percheziției informatice. Cred că este bine conturată, respectă în cea ma mare parte atât drepturile persoanei vizate, cât și în modalitățile concrete de obținere a datelor informatice conform scopului urmărit de autoritățile de aplicare a legii.
Augustin Zăbrăuțanu: Am întrebat și lucrul acesta și dintr-o altă perspectivă pentru a-mi putea pregăti următoare întrebare.
Maxim Dobrinoiu: Vă rog!
Augustin Zăbrăuțanu: Ca urmare a percheziției informatice se obțin niște date care de multe ori, să ne referim de exemplu la fișierele date update să spun așa, care ulterior pot fi folosite nu neapărat în cadrul unei expertize informatice, ci chiar de către organul de urmărire penală, de cercetare penală, transformându-le în niște fișiere editabile, aceste date mă refer.
Maxim Dobrinoiu: Vă gândiți la intervenție asupra acestor date?
Augustin Zăbrăuțanu: Da, cum vedeți acest lucru?
Maxim Dobrinoiu: Este periculoasă discuția. Din perspectiva mea nu.
Augustin Zăbrăuțanu: Din păcate, se întâmplă acesta.
Maxim Dobrinoiu: Nu am cunoștință despre asemenea fapte sau împrejurări în care date informatice rezultate din operațiuni de percheziții informatică sunt ulterior alterate. Ele își pierd indubitabil calitatea de probe, alterarea lor în orice mod, chiar și prin manevre necorespunzătoare.
Augustin Zăbrăuțanu: Exportarea.
Maxim Dobrinoiu: Sigur că da. Dacă manevrele nu respectă anumite tehnici, anumite proceduri clar definite, nu se respectă niște pași tehnici necesari, probele pot fi alterate și atunci ele nu mai susțin poate nici acuzarea, nici apărare. Ele nu mai sunt de folos. M-aș feri să speculez pe subiectul acesta al alterării. Nu am cunoștințe.
Augustin Zăbrăuțanu: Poate într-o altă dezbatere cu acordul dumneavoastră pe zona aceasta mai discutăm puțin, pentru că lucrurile se mai întâmplă din când în când și nu întotdeauna celeritatea trebuie să fie singura măsură a unui proces penal. Domnilor, vă mulțumesc foarte mult pentru că a-ți acceptat invitația dezbaterilor JURIDICE.ro. Pentru mine a fost o bucurie să avem această discuție. Este o temă extraordinar de interesantă. După părerea mea, excede mult cadrul unui cadru strict juridic, pentru că vedem, întâlnim lucrurile acestea în toate ungherele vieții noastre de zi cu zi. Suntem obligați, sunt asaltați de nevoie, de necesitate, de dorință, de curiozitate de a deveni membri în diverse rețele, de a fi prezenți într-un fel sau altul fără să ne dăm seama de foarte multe ori că… .
Maxim Dobrinoiu: Devenim proprii noști inamici.
Augustin Zăbrăuțanu: Cred că cu aceasta trebuie să încheiem. Vă mulțumesc dumneavoastră. Bună seara celor care ne-au urmărit. Sperăm să fi fost lucruri interesante și vă așteptăm la următoarea dezbatere JURIDICE.ro. Bună seara!
[/restrict]