Consecinte practice ale greselilor de interpretare in privinta accesului la un sistem informatic
Observam cu regret faptul ca în practica judiciara se observa o tendinta de a identifica un acces fara drept la un sistem informatic în contextul în care agentul plaseaza în fanta bancomatului un skimmer, iar victima introduce ulterior un card ale carui date ajung sa fie copiate în memoria interna a skimmer-ului ori transmise prin WiFi sau bluetooth pe un tert sistem informatic ori mediu de stocare. Din nefericire, aceasta optica a ajuns sa fie împartasita chiar si de o parte a doctrinei[1], fara a se prezenta însa argumentele în baza carora s-a ajuns la o asemenea concluzie – de parca încadrarea juridica supusa prezentei discutii ar fi de ordinul evidentei.
Prin urmare, apreciem ca fiind imperios necesar a oferi o analiza sumara din care sa reiasa teza conform careia copierea datelor de pe un instrument de plata electronica, prin intermediul unui skimmer plasat în fanta bancomatului, nu atrage per se tipicitatea faptei prevazute de art. 42 din Legea nr. 161/2003 (art. 360 noul Cod penal).
În ceea ce priveste solutia oferita de Înalta Curte de Casatie si Justitie[2] ne-am expus punctul de vedere si cu o alta ocazie[3].
Se observa însa ca solutia la care am facut trimitere mai sus, nu este una singulara. Astfel, copierea de date prin intermediul skimmer-ului plasat în fanta bancomatului a fost perceputa în dese rânduri în practica judiciara ca fiind un acces neautorizat la un sistem informatic.
Astfel, prin decizia penala nr. 2094/2010 a ICCJ[4], s-a respins recursul formulat de inculpati cu privire la latura penala. În prima instanta, s-a retinut faptul ca acestia au savârsit infractiunea de acces neautorizat la un sistem informatic (bancomate) prin încalcarea masurilor de securitate, în scopul obtinerii de date informatice (conturi de carduri si parole de acces). În mod surprinzator, autorul citat a criticat în nota deciziei citate[5], faptul ca organele judiciare omit în dese rânduri sa retina si infractiunea de acces neautorizat la un sistem informatic.
Aceeasi solutie a fost data si prin decizia penala nr. 5288/2006 a ICCJ[6] unde s-a statuat faptul ca prin montarea skimmer-ului în fanta bancomatului, citirea benzii magnetice a instrumentului de plata si stocarea datelor obtinute de pe acesta implica un acces neautorizat la un sistem informatic. De asemenea, prin decizia penala nr. 57/2009[7], Curtea de Apel Galati a ajuns la aceeasi concluzie.
Apreciem toate aceste solutii de practica judiciara ca fiind eronate sub aspectul încadrarii juridice, pentru motivele ce urmeaza sa le facem cunoscute în continuare.
1. În primul rând, este util a vedea modul în care skimmer-ul ajunge sa copieze datele stocate pe instrumentul de plata electronic (cardul bancar).
În acest context, analizam doar copierea datelor stocate pe instrumentul de plata electronica în momentul în care partea vatamata doreste sa utilizeze acest instrument în vederea restragerii de numerar de la bancomat.
Aceasta întrucât, în practica judiciara, aceasta este ipoteza ce ofera de cele mai multe ori contur unor încadrari juridice îndoielnice.
Skimmer-ul introdus în fanta bancomatului este conceput în asa fel încât sa imite cu acuratete gura bancomatului, în vederea inducerii în eroare a titularului instrumentului de plata electronica.
Acest skimmer, ca dispozitiv, este format din componente susceptibile sa citeasca informatiile stocate pe banda magnetica a instrumentului de plata. Odata copiate, acestea sunt fie stocate în memoria skimmer-ului, fie sunt transmise prin WiFi în memoria unui alt dispozitiv cu care se afla într-o relatie functionala. În aceasta ultima ipoteza, agentul nu mai este nevoit sa revina la bancomat pentru recuperarea datelor obtinute de skimmer, acestea fiind practic transmise la distanta în momentul copierii datelor de pe banda magnetica.
Ceea ce este esential în toata aceasta operatiune, este faptul ca skimmer-ul nu interactioneaza la nivel logic cu bancomatul, ci doar cu banda magnetica a instrumentului de plata electronica. Mai mult, informatiile de pe banda magnetica sunt citite înainte ca instrumentul de plata electronica sa interactioneze cu vreo componenta legitima a bancomatului. Aceasta lipsa a vreunei interactiuni se datoreaza faptului ca skimmer-ul functioneaza independent, el însusi putând fi catalogat drept un sistem informatic.
2. Din punct de vedere juridic, apreciem ca instantele au ajuns sa interpreteze în mod superfluu notiunea de acces la un sistem informatic. Profitând de faptul ca legiuitorul a optat pentru transpunerea fidela a Conventiei privind criminalitatea informatica – unde lipseste o definitie legala a notiunii de acces –, unele instante au aplicat textul de incriminare prevazut de art. 42 din Legea nr. 161/2003 pentru unele situatii în care nici macar cea mai generoasa interpretare a notiunii de acces nu ar putea evoca un comportament tipic prin raportare la norma de incriminare supusa atentiei.
Dincolo de faptul ca doctrina tinde, din nefericire, sa ofere definitii atotcuprinzatoare în aceasta materie, nu se poate omite faptul ca în cele din urma, pentru a discuta despre un acces la un sistem informatic trebuie identificata o interactiune cu acesta. Or, aceasta interactiune, pentru a fi relevanta din punct de vedere penal trebuie sa fie una la nivel logic. Este evident ca atunci când accesul nu se realizeaza de la distanta, dincolo de interactiunea la nivel logic, discutam si despre o interactiune fizica între agent si componentele hardware ale sistemului informatic accesat. Totusi, chiar daca o interactiune logica poate sa implice si o interactiune fizica, doar o interactiune fizica nu poate atrage niciodata tipicitatea faptei prevazute de art. 42.
Prin urmare, nu putem decât sa ne întrebam care este interactiunea la nivel logic în ipoteza în care skimmer-ul din fanta bancomatului copiaza în mod independent datele stocate pe banda magnetica a instrumentului de plata electronica? În ceea ce ne priveste, raspunsul este mai mult decât evident. Aceasta interactiune la nivel logic nu exista, prin urmare nu putem discuta despre un acces fara drept la un sistem informatic (în speta, bancomatul).
Aceasta eroare crasa privind încadrarea juridica a faptei supusa discutiei nu denota decât coplexitatea notiunii de acces la un sistem informatic. Desi aparent o notiune simpla in abstracto, în cazuri concrete se poate observa ca lucrurile nu sunt chiar asa cum par. Aceasta aparenta simplitate s-a reflectat însa atât în doctrina, cât si în practica judiciara în materie. De exemplu, în dreptul francez nu se insista deloc în legatura cu modul în care se realizeaza accesul – preferându-se doar a se remarca faptul infractiunea poate fi comisa printr-un acces fara drept ori prin mentinerea unui astfel de acces. În dreptul român, se considera fie ca accesul este orice interactiune reusita cu un sistem informatic, fie ca acesta reprezinta capacitatea de a da comenzi, de a cauza introducerea, obtinerea, afisarea, stocarea ori diseminarea de date informatice sau folosirea în orice alt mod a resurselor unui calculator, sistem sau retea informatica sau comunicarea cu unitatile sale aritmetice, logice sau de memorie[10].
Ambele definitii sunt criticabile. În primul rând, prima se dovedeste a fi în totala contradictie cu Raportul explicativ al Conventiei privind criminalitatea informatica, unde se statueaza faptul ca anumite acte (precum trimiterea unui E-mail) nu implica un acces la un sistem informatic. Or, interactiunea reusita ar acoperi si aceste domenii excluse de sub incidenta prevederilor Conventiei. Am ajunge practic în situatia paradoxala în care legiuitorul român a transpus în mod fidel Conventia în dreptul intern, dar aplicarea acesteia s-ar face dincolo de intentia legiuitorului European. Nu dorim sa insistam în legatura cu acest aspect, însa, nu orice interactiune reusita cu un sistem informatic este susceptibila sa lezeze valoarea sociala protejata de norma de incriminare. Prin urmare, este evident ca trebuie sa ne întrebam care sunt acele interactiuni reusite susceptibila sa lezeze obiectul juridic. Or, o asemenea discutie nu evidentiaza decât problemele acestei definitii.
Ce-a de a doua definitie la care am facut trimitere este inspirata din dreptul american, unde accesul a primit o reglementare legislativa. Cu toate acestea, criticile de mai sus ramân valabile si în cazul acestei definitii – chiar daca definitia în sine prezinta o îmbunatatire a status quo.
În ceea ce ne priveste, am mai statuat la un moment dat faptul ca accesul trebuie sa fie unul propriu-zis, întelegând prin aceasta posibilitatea ca agentul, prin interactiunea logica pe care o are cu sistemul informatic sa poata beneficia (ori sa existe cel putin potential aceasta posibilitate) de functiile ori resursele sistemului informatic. Aceasta abordare ar fi din punctul nostru de vedere suficient de restrictiva pentru a nu extinde câmpul de aplicabilitate a normei de incriminare dincolo de ceea ce s-a dorit si suficient de abstracta încât sa poata suferi anumite interpretari evolutive.
Oricum, indiferent de definitia la care ne raportul, utilizarea unui skimmer nu implica si un acces la bancomat. Aceasta întrucât, asa cum am mentionat în repetate rânduri, lipseste elementul esential în ceea ce priveste accesul – o anumita forma de interactiune la nivel logic. Recomandarea noastra în acest sens, este de a renunta la asemenea încadrari juridice si la o interpretare adecvata a notiunii de acces – atât în doctrina cât si în practica judiciara. George Zlati, juridice.ro.
Distribuie
Niciun comentariu
Adaugă părerea ta!