Falsul informatic și interceptarea ilegală a transmisiilor de date informatice în noua...

Falsul informatic și interceptarea ilegală a transmisiilor de date informatice în noua legislație penală

981

afilip

Considerații cu privire la falsul informatic din noua legislație penală

Evoluția accelerată a tehnologiei informației a condus la dezvoltarea și perfecționarea de noi metode și tehnici de comitere a infracțiunilor, altele decât cele clasice, cu vechime în societatea noastră, legiuitorul îndreptându-și astfel atenția asupra fenomenului de criminalitate informatică, prin adoptarea unei legislaţii adecvate, armonizate cu legislația Uniunii Europene, precum şi prin îmbunătăţirea cooperării internaţionale.

Nevoia acută de a oferi un răspuns juridic situației actuale, situație determinată de numărul mare al infracțiunilor din mediul virtual, nevoia de a crea norme și măsuri de siguranță corespunzătoare care să susțină activitatea de prevenire, combatere și anihilare a faptelor antisociale, au determinat alinierea, preluarea și transpunerea normelor de incriminare prevăzute în Convenția Consiliului Europei din 23 noiembrie 2001 privind criminalitatea informatică, a celor prevăzute în legile speciale și în Noul Cod Penal.

Scopul urmărit de norma de incriminare este acela de a reglementa prevenirea și combaterea criminalității informatice, prin măsuri specifice de prevenire, descoperire și sancționare a infracțiunilor săvârșite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului și protecția datelor personale.[1]

Locul infracțiunilor informatice în peisajul juridic penal a devenit în scurt timp la fel de important ca acela al infracțiunilor clasice deosebit de grave, gravitatea acestora fiind accentuată de ușurința comiterii și camuflării lor, de caracterul preponderant transfrontalier datorat mediului Internet și de potențialul devastator al efectelor acestor acțiuni.[2]

În contextul arătat mai sus și din dorința de a sistematiza infracțiunile informatice, legiuitorul român a considerat indispensabilă integrarea acestor infracțiuni în textul Noului Cod Penal, preluând, în principiu, toate infracțiunile prevăzute de legile speciale.

Astfel, odată cu intrarea în vigoare a noii legi penale, sunt reglementate infracțiuni care nu au corespondent în Codul Penal anterior, cum sunt cele prezentate în Titlul VI. Cap. III – Falsuri în înscrisuri, respectiv introducerea infracţiunii de falsificare a unei înregistrări tehnice (art. 324), a infracţiunii de fals informatic (art. 325) şi infracţiunile de fals comise în legătură cu autoritatea unui stat străin (art. 328).

Falsificarea informatică este una dintre cele mai grave fapte ilicite în legătură cu activitățile și serviciile societății informaționale, deoarece este de natură să submineze însăși încrederea în capacitatea societății informaționale de a asigura securitatea raporturilor juridice născute, modificate și stinse prin intermediul serviciilor specifice.[3] Astfel, potrivit art. 325, infracțiunea de fals informatic este definită ca fiind:
Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se pedepsește cu închisoarea de la unu la 5 ani.

Textul juridic a fost preluat și transpus în legea penală, de legiuitorul român din legea specială nr.161/2003:
Art. 48 statuează:
Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se pedepsește cu închisoare de la 2 la 7 ani.[4]

La o primă analiză putem afirma că, în raport cu articolul 48 din Legea nr. 161/2003, noua reglementare nu aduce modificări în structura acțiunilor ci doar o reducere a limitelor speciale a pedepsei.

Prin reglementarea acestei infracțiuni, legiuitorul a avut ca obiectiv protejarea securității juridice, prin încriminare acelor acţiuni și fapte care pot, prin modificarea datelor informatice, să atragă după sine consecințe juridice nedorite.

În concret, putem afirma că practica judiciară conțină să înregistreze tot mai multe cazuri în care infracțiunea de falsificare (infracțiune care nu de mult era inclusă în șablonul infracțiunilor tradiționale) se săvârșește în mediul virtual, datorită oportunităților oferite de tehnologiile tot mai avansate pe care indivizii societății moderne le au la dispoziție.

Un alt aspect important de notat, privind infracțiunea de fals informatic, este acela că numărul tot mai mare a acestora este dat de avantajele spațiului virtual, de faptul că mijloacelor folosite oferă autorului un grad ridicat de anonimitate și în același timp reduc semnificativ șansele de a fi descoperit și tras la răspundere. Toate acestea au determinat ca infracțiunea de fals informatic să fie reglementată ca infracțiune cu caracter special în raport cu infracțiunile clasice de fals.

O problemă întâlnită în practica judiciară se referă la autonomia infracțiunii de fals informatic, problemă raportată la situația în care infracțiunea de fals informatic este în mod natural absorbită de infracțiunea de fraudă informatică[5] în acele situații în care scopul faptei penale este obținerea unui beneficiu material pentru sine sau pentru altul.[6]

Diferența dintre cele doua infracțiuni se află chiar în norma de incriminare. Astfel dacă pentru reținerea infracțiunii de frauda informatică, infracțiunea este săvârșită „în scopul de a obţine un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane”, pentru existența infracțiunii de fals informatic ar fi necesar ca fapta de a introduce, modifica, șterge date informatice să fie comisă cu scopul ca aceste modificări, în sens larg, să fie producătoare de consecințe juridice, fără însă a se urmări în mod direct obținerea unui beneficiu material.

De reținut însă este faptul că, pentru existența infracțiunii de fals informatic, acțiunile ce formează elementul material: introducerea, modificare, ștergerea, sau restricționarea accesului la datele informatice, trebuie să se facă fără drept. Astfel art. 35 alin. (2) – Legea nr. 161/2003 statuează:
(2) în sensul prezentului titlu, acționează fără drept persoana care se află în una dintre următoarele situații:
a) nu este autorizată, în temeiul legii sau al unui contract;
b) depășește limitele autorizării;
c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.

Actele prin care se săvârșește infracțiunea respectiv introducerea, modificarea sau ștergerea datelor informatice, poate fi realizată fie prin metode software ce implică modificarea datelor informatice utilizând comenzi, programe sau accesul la acestea, fără a interveni asupra echipamentului ce stochează datele, fie prin metode hardware respectiv prin aplicarea unor stimuli cu scopul de a distruge, degrada dispozitivele de stocare.

Astfel, distrugerea datelor informatice prin metodele software reprezintă o modificare prin care integritatea datelor este distrusă sau acestea devin inutilizabile, deținătorul ne mai putând folosi sau utiliza aceste date iar prin cele hardware, datele sunt doar deteriorate, fără a se utiliza operațiuni de modificare și fără ca sistemul să devină inutilizabil, toate acestea reflectând efectele negative asupra datelor în ceea ce privește capacitatea lor de a funcționa.

În practica judiciară locală, dar și internațională, cele mai întâlnite metode de realizare a falsului informatic sunt: simularea hiperconexiunilor și a web-ului. Folosite „ingenios” alături de ingineria social, aceste atacuri sunt cunoscute sub numele de Phishing.[7]

Phishing-ul sau înșelăciunea electronică, una dintre cele mai mediatizate infracțiuni informatice, este o formă de activitate infracțională, ce constă în obținerea de date cu caracter confidențial, (ca numere de cont, numere de card, coduri PIN, parole de acces, s.a.) prin clonarea unor pagini web, ce imită paginile oficiale ale unor instituții bancare sau de altă natură, ce sunt transmise prin metoda spam unui număr foarte mare de utilizatori ai serviciilor de e-mail, destinatarii fiind invitați sub diferite motive să acceseze un link și aici să introducă datele de securitate ale conturilor.

Pentru reținerea faptei, nu este esențială utilizarea efectivă a datelor informatice ci doar obținerea lor în vederea realizării scopului, cerut de norma de incriminare, respectiv: „de a fi utilizate în vederea producerii unei consecințe juridice”.

Grupul de lucru antiînșelăciune (APWG), o organizație creată de către forțele de apărare a legii și organizații comerciale, raportează o creștere permanentă a acestor tipuri de atacuri.[8]

O analiză mai atentă asupra faptei, relevă însă că numai două activități pot fi privite și încadrate juridic ca falsuri informatice, respectiv contrafacerea unei pagini web originale și, eventual, modificarea conținutului câmpului de expediție al mesajului e-mail de inducere în eroare.[9]

Conștientizarea existenței pericolului social al faptelor penale de natură informatică, a determinat schimbarea modului tradițional de incriminare a acestor fapte, noua reglementare legală urmărind protejarea, garantarea confidențialității și integrității sistemelor informatice și a datelor stocate pe acestea, prin crearea unei conexiuni între actele normative și tehnologie.

Interceptarea ilegală a unei transmisii de date informatice

Evoluția tehnicii din ultimii ani și utilizarea calculatoarelor în toate domeniile socio economice, pe lângă componenta de progres adusă societății moderne, aduce totodată, și inconveniente legate de comiterea unor infracțiuni în aceasta sferă. Și cum orice monedă are și reversul ei ne aflăm în situația în care, atât fluxul de informație, fie ea publică sau confidențială, transmisă în timp real, cât și mijloacele folosite, sunt supuse contrafacerii, furtului, interceptării, fraudei s.a. În acest sens s-a născut nevoia incriminării actelor antisociale în materia dinamicii informației, incriminare ce va suferi modificări de a lungul vremurilor, datorită update–ului permanent a celebrului „modus operandi” folosit de infractor.

Modelele societății informaționale au influențat inevitabil și activitățile de legiferare și de aplicare a dreptului[10], care s-a poziționat, față de societatea informațională, pe două seturi de coordonate, dobândind deopotrivă calitatea de beneficiar al tehnologiei informatice și aplicațiilor asociate[11], cât și pe cea de factor de regularizare și configurare a societății informaționale[12].

Gravitatea și amploarea fenomenului infracțional prin intermediul sistemelor informatice a determinat o activitate de legiferare în materie penală, la nivel național, menită sa incrimineze faptele care, în mod specific, aduc atingere societății informaționale și securității informatice.[13]

Toate acestea precum și dificultatea controlării infracțiunilor informatice, au condus la schimbarea modului clasic în care sunt analizate infracțiunile în sistemul actual de justiție penală, creând un nou cadru legislativ în materie ce a determinat legiuitorul să acorde o atenție deosebită domeniului criminalității informatice.
Astfel, prin legea de aplicare[14] a Noului Cod Penal [15] intrat în vigoare la 1 februarie 2014 legiuitorul preia, modifică și abrogă textele ce incriminau infracțiunile informatice principale, prevazute anterior de Legea 161/2003 si de alte legi speciale.

Prin aceasta, în mod justificat, s-a dorit obținerea unui cadru legislativ coerent, pentru a se evita eventualele suprapuneri de norme în vigoare, transpunerea reglementărilor adoptate la nivelul Uniunii Europene în cadrul legislativ penal naţional, precum și armonizarea dreptului penal material român cu sistemele celorlalte state membre ale Uniunii Europene, ca o premisă a cooperării judiciare în materie penală bazată pe recunoaştere şi încredere reciprocă[16].

Plecând de la aceste aspecte și văzând mijloacele avansate ale tehnicii din ultimii ani, când cu o ușurință demnă de invidiat este posibilă punerea sub ascultare și de asemeni supravegherea sistemelor de transmisie de date la distanţă precum si interceptarea de date în curs de transmisie s-a decis o dată cu intrarea în vigoare a Noului Cod Penal, preluarea integrală și fără modificări a textului incriminator, prevazut de art. 43[17] din Legea nr. 161/2003: Prevenirea și combaterea criminalității informatice, – Infracțiuni contra confidențialității și integrității datelor și sistemelor informatice. Măsura, dacă i se poate spune așa a fost luată în scopul eliminării unei noi amenințări curente și substanțiale adusă realității sociale și economice.

Incriminarea acestei fapte a fost necesară dat fiind fenomenul interceptării cumpărăturilor on-line făcute de diverşi cetăţeni români sau străini ce au ales ca modalitate de plată cardul de credit, interceptări făcute în scopul furtului datelor aflate pe respectivele carduri, pentru ca acestea să fie folosite ulterior de către alte persoane decât adevăraţii titulari[18]. La momentul prezent, traficanţii de informaţii desfăşoară activităţi cu precădere în sfera financiară şi cea de business, de cele mai multe ori încercând să vândă informaţiile interceptate unor companii rivale.

Astfel, potrivit dispozițiilor art. 43 – Interceptarea ilegală a unei transmisii de date informatice, acțiunea ilegală de interceptare este definită de legea penală după cum urmează:
(1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic constituie infracțiune și se pedepsește cu închisoarea de la 2 la 7 ani.
(2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic ce conține date informatice care nu sunt publice.

Este bine cunoscut faptul că textul prevăzut la articolul mai sus menționat a fost preluat din Convenția europeană în domeniul criminalității informatice, care inițial fusese prevăzut în Recomandarea 89/9 a Comitetului european pentru probleme criminale.[19]
Art. 361 statuează:
(1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic se pedepsește cu închisoarea de la unu la 5 ani.
(2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic, ce conține date informatice care nu sunt publice.

Comparând textul incriminator prevăzut de norma legală anterioară (Legea 161/2003) cu cel din Noul Cod Penal, constatăm faptul că legiuitorul reduce limitele speciale prevăzute pentru această infracțiune, respectiv noua pedeapsa fiind închisoarea de la 1 la 5 ani, și tot ca element de noutate se incriminează și tentativa, potrivit art 366.

Pentru a putea clarifica înțelesul unor termeni și pentru a evita totodată eventuale interpretări ale textului incriminator, Noul Cod penal definește noțiunile de sistem informatic și date informatice prin art. 181[20] :
Aliniatul (1) Prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic, respectiv aliniatul (2) Prin date informatice se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic.

De menționat este faptul că, definițiile acestor noțiuni se regăsesc în textul reglementat de Convenția privind criminalitatea informatică[21] fiind prevazute la art.1 alin. (1) litera a) si b), precum și din norma legală a Legii nr. 161/2003, prevazute la art 35 alin (1).

Convenția europeană privind criminalitatea informatică[22], prevede în mod expres că interceptarea trebuie să fie efectuată prin mijloace tehnice. În schimb, legiuitorul român în textul articolului 361 nu a prevăzut în mod expres ca realizarea interceptării să fie făcută prin mijloace tehnice, considerând a fi lipsită de relevanță și importanță o astfel de prevedere, având în vedere faptul că acțiunea incriminată de interceptare nu poate fi realizată în viziunea acestuia decât prin mijloace exclusiv tehnice.

Așa cum reiese din textul de incriminare a infracțiunii, interceptarea ilegală presupune accesarea intenționată și fără drept a datelor informatice, date ce nu sunt publice și nu sunt destinate, provenite sau aflate în interiorul unui sistem informatic, inclusiv a emisiilor electromagnetice provenind de la un sistem informatic care transportã asemenea date.

Pentru ca infracțiunea să existe în materialitatea ei este necesară interconectarea dintre sistemele informatice, respectiv sistemul informatic în legătură cu activitatea de interceptare ilegală trebuie să fie interconectat cu un alt sistem informatic, deoarece numai în cadrul unor comunicări între sisteme informatice diferite este posibilă realizarea acesteia, reglementarea legală protejând transmisiile de date informatice din cadrul sau între sistemele informatice, indiferent de modul cum acesta se realizează.

Astfel, infracțiunea de interceptare ilegală a unei transmisii de date informatice, trebuie să se realizeze în mod intenționat și nu din eroare de către făptuitor, prin utilizarea mijloacelor tehnice, având în vedere ca este vorba de o infracțiune privind date informatice ce se aflată în curs de transmitere între sistemele informatice, interconectate sau în interiorul sistemului informatic. Important de reținut este ca datele informatice să nu fie stocate pe un sistem informatic, deoarece, în această situație nu mai putem pune în discuție activitatea ilegală de interceptare (ca și activitate incriminată) ci de o accesare ilegală a acestora.

Interceptarea prin mijloace tehnice cuprinde ascultarea conţinutului comunicaţiilor, obţinerea conţinutului datelor, fie direct, accesând sistemul informatic şi folosindu-l, fie indirect, recurgând la procedee electronice de ascultare clandestine.

De exemplu, este interceptată o transmisie a unui mesaj prin intermediul poştei electronice (e-mail) sau este interceptată o conversaţie prin intermediul sistemului chat. De asemenea se mai poate comite această infracţiune prin ascultarea şi înregistrarea unei convorbiri între două persoane ce are loc prin intermediul sistemelor informatice.

Aliniatul (2) al articolului 361, prevede o alta cerință esențială pentru existența infracțiunii si anume ca datele să nu fie publice.

Infracțiunea de interceptare ilegală presupune, ca modalitate uzuală, folosirea unor programe și aplicații, în general ele însele având caracter ilegal, chiar aflate în concurs în situația dată, pentru a intercepta transmisii de date informatice, precum parole sau coduri de acces, date de securitate ale instrumentelor de plată electronică, date confidențiale s.a.

Putem afirma că infracțiunea de interceptare ilegală a datelor informatice poate constitui un mijloc de comitere a infracțiunii de acces, fără drept, la un sistem informatic.

De exemplu, prin folosirea unui program de tip trojan, se pot obține numele de user și parola de acces la un cont de e-mail și, utilizând aceste date, se accesează fără drept contul respectiv pentru obținerea unor date personale. Infracțiunea de interceptare ilegală a unei transmisii de date informatice poate fi văzută ca incriminare completatoare în raport cu accesul, fără drept, la un sistem informatic, în numeroase situații putând exista între cele două infracțiuni o legătură consecvențională.[23]

Astfel scopul săvârșirii infracțiuni prevazute de art. 361. este acela de a obține ilegal date informatice, care de cele mai multe ori sunt folosite ulterior de făptuitor pentru comiterea de infracțiuni contra patrimoniului, interceptarea având un caracter dinamic.

De menționat este și faptul că, nu prezintă relevanță forma în care datele informatice sunt interceptate, respectiv dacă acestea sunt criptate și în consecință inutilizabile făptuitorului. De asemenea trebuie avut în vedere faptul că normele de incriminare nu fac nicio distincție, după cum datele interceptate sunt sau nu utilizabile de către făptuitor și nu condiționează existența infracțiunii de utilizarea ulterioară a datelor informatice interceptate.[24]

Concluzionând, putem afirma faptul că incriminarea interceptării ilegale este o măsură, atât tehnică cât și juridică, Noul Cod penal român venind cu schimbări importante în ceea ce privește categoria infracțiunilor informatice, tratându-le cu mare strictețe, reușind corelarea prevederilor legale cu tehnologia actuală și noile metode de comitere a aestui tip de delicte .

[1] A se vederea prevederile art. 34 din Legea nr. 161/2003, TITLUL III, Prevenirea și combaterea criminalității informatice
[2] A se vedea rezumatul Tezei de doctorat – Florin Encescu, Criminalitatea Informatică, 2010, pg.7
[3] A se vedea Mihai Axinte – Dreptul societății informaționale, Ed. Universul Juridic, București 2012 , p.245
[4] Prin art. 130 pct. 2 din Legea nr. 187/2012. Capitolul III al Titlului III din cadrul Cărții I, Sectiunea a2-a, „Infracțiuni informatice”, art. 48 se abrogă.
[5] A se vedea prevederile art. 249 din Noul Cod penal la adresa http://legeaz.net/
[6] A se vedea http://www.criminalitatea-informatica.ro/legislatie/falsul-informatic-in-noul-cod-penal/
[7] A se vedea M.Dobrinoiu, Noul Cod Penal comentat, Partea specială, Ed. a II-a, revizuită și adăugită, Ed. Universul Juridic, București 2014, p.669
[8] https://ro.wikipedia.org
[9] A se vedea M.Dobrinoiu, Noul Cod Penal comentat, Partea specială, Ed. a II-a, revizuită și adăugită, Ed. Universul Juridic, București 2014, p.669
[10] A se vedea Henry R. Cheeseman, Contemporary Business Law and Online Commerce Law (6th Edition), Ed. Prentice Hall, 2008
[11] A se vedea Richard Susskind, The Future of Law: Facing the Challenges of Information Technology, Ed. Oxford University Press, 1998, p.47-63.
[12] A se vedea Alan Davidson, The Law of Electronic Commmerce, Ed. Cambridge University Press, 2009; Roger LeRoy Miller, Franck B. Cross, The Legal and E-Commerce Environment Today: Business in its Ethical, Regulatory and International Setting, Ed. South –Western College/West, 2004; M. Ethan Katsh, The Electronic Media and the Transformation of Law, Ed. Oxford University Press, 1999.
[13] A se vedea Mihai Axinte, Dreptul societății informaționale, Ed. Universul Juridic, București 2012, p. 238
[14] A se vedea prevederile din Legea nr.187/2012
[15] A se vedea prevederile Noului Cod Penal la adresa http://legeaz.net/
[16] A se vedea expunerea de motive, disponibilă la adresele www.just.ro și www.cdep.ro.
[17] Art. 43 din Legea nr. 161/2003 a fost abrogat prin art. 130 pct. 1 din Legea nr. 187/2012
[18] A se vedea A.Boroi,C.Voicu,F.Sandu, Drept penal al afacerilor, Ed. Rosetti, Bucureşti 2002, p.361
[19] A se vedea Raportul explicativ la Convenția europeană în domeniul criminalității informatice, art.3 Intercepția ilegală, paragraful 52.
[20] A se vedea prevederile Noului Cod penal la adresa http://legeaz.net/
[21] A se vedea prevederile art.1 lit.a) și b) din Convenția europeană în domeniul criminalității informatice
[22] A se vedea prevederile art. 3 din Convenția europeană privind criminalitatea informatică
[23] A se vedea http://www.criminalitatea-informatica.ro/legislatie/interceptarea-ilegala-in-noul-cod-penal/
[24] A se vedea Mihai Axinte – Dreptul societății informaționale, Ed. Universul Juridic, București 2012 , p. 243
Autor:
Gabriela Alexandra Filip a absolvit studiile liceale in cadrul Colegiului National “Roman-Voda”. A venit in Bucuresti urmand Facultatea de Marketing si Afaceri Economice Internationale.
Dupa finalizarea studiilor economice, a urmat cursurile Facultatii de Drept si Administratie Publica, specializarea drept, pe care a si absolvit-o in anul 2014.
In prezent este consilier juridic, tot in cadrul unei corporatii din domeniul IT si continua sa se perfectioneze in acest domeniu.

Material publicat în Cybersecurity Trends 2/2016