România - Direcţia Naţională Anticorupţie

Publicat în Buletin Documentar nr. 3/2005 al P.N.A./D.N.A.

INFRACŢIUNILE INFORMATICE PREVĂZUTE DE LEGEA NR. 161/2003

Ionel Georgescu

I. Demersuri internaţionale

La data de 23 noiembrie 2001, statele membre ale Consiliului Europei (având ajutorul Canadei, Statelor Unite, Japoniei şi al Africii de Sud – în calitate de observatori) au redactat şi semnat^[1] "Convenţia asupra criminalităţii cibernetice"^[2]. Ulterior, în data de 28 ianuarie 2003, s-a înaintat spre semnare statelor membre "Protocolul Adiţional pentru Convenţia asupra criminalităţii cibernetice, privind incriminarea actelor de natură rasială şi xenofobă comise prin intermediul sistemelor informatice" ^[3]. România a semnat şi acest Protocol Adiţional la data de 9 octombrie 2003.

Convenţia şi Protocolul Adiţional stabilesc cadrul de bază pentru anchetarea şi sancţionarea penală a infracţiunilor comise cu ajutorul computerului, precum şi pentru cooperarea interstatală, necesară stopării acestui flagel.

Convenţia aduce în prim-plan necesitatea incriminării penale a unor fapte precum: accesul ilegal la un sistem informatic, interceptarea ilegală a transmisiilor informatice, falsul informatic, frauda informatică, pornografia infantilă pe Internet, violări ale drepturilor de proprietate şi alte drepturi conexe etc.

II. Măsurile legislative adoptate de România

Parlamentul României a încercat să transpună aceste directive prin Legea nr.161/2003^[4] privind unele măsuri pentru asigurarea transparenţei şi exercitarea demnităţilor publice a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, mai exact, prin Titlul III al Cărţii I (Prevenirea şi combaterea criminalităţii informatice, art. 34 - 67).

Scopul acestui act normativ este prevenirea şi combaterea criminalităţii informatice, prin măsuri specifice de prevenire, descoperire şi sancţionare a infracţiunilor săvârşite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului şi protecţia datelor personale (art. 34).

Actul normativ nu oferă o definiţie a "infracţiunii informatice" (cum de altfel nu o face nici Convenţia Consiliului Europei). O astfel de definiţie este în realitate foarte greu de formulat, având în vedere marea diversitate a aspectelor infracţionale care au fost descoperite până în prezent, dar şi avalanşa cotidiană a noilor acte infracţionale în acest domeniu.

Dacă "criminalitatea informatică" reprezintă "totalitatea faptelor comise în zona noilor tehnologii ..."^[5], "infracţionalitatea informatică" ar putea fi definită ca "totalitatea faptelor de natură penală^[6] comise în spaţiul informatic".

Pentru prevenirea şi descoperirea infracţiunilor informatice, legea cere concursul autorităţilor şi instituţiilor publice cu competenţe în domeniu, furnizorilor de servicii, organizaţiilor neguvernamentale, reprezentanţilor societăţii civile care promovează politici, practici, măsuri, proceduri şi standarde minime de securitate a sistemelor informatice, Ministerului Justiţiei, Ministerului Administraţiei şi Internelor, Ministerului Comunicaţiilor şi Tehnologiei Informaţiei, Serviciului Român de Informaţii şi Serviciului de Informaţii Externe (care trebuie să constituie şi să actualizeze continuu baza de date privind criminalitatea informatică), Institutului Naţional de Criminologie…

III. Infracţiuni contra confidenţialităţii şi integrităţii datelor şi sistemelor informatice

În Capitolul III, Secţiunea I, sunt reglementate infracţiunile contra confidenţialităţii şi integrităţii datelor şi sistemelor informatice.

A) Constituie infracţiune (art. 42 alin.(1)) "accesul fără drept la un sistem informatic". Fapta este mai gravă dacă "este săvârşită în scopul obţinerii de date informatice" (alin. (2)). De asemenea, fapta prevăzută de alin. (1) sau (2) are o gravitate sporită dacă "este săvârşită prin încălcarea măsurilor de securitate" (alin. (3)).

Obiectul juridic special al acestei infracţiuni îl constituie relaţiile sociale referitoare la securitatea sistemelor informatice, fie că sunt de interes şi utilitate publică, fie că aparţin sferei de interes privat.

Obiectul material al infracţiunii îl constituie chiar sistemul informatic atacat (prin "sistem informatic" se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor^[7], cu ajutorul unui program informatic^[8]).

Subiectul activ al infracţiunii poate fi orice persoană fizică ce întruneşte condiţiile de vârstă şi responsabilitate, prevăzute de legea penală.

Infracţiunea este susceptibilă de participaţie penală în toate formele sale – coautorat, instigare şi complicitate.

Subiectul pasiv este persoana fizică sau juridică căreia i s-a cauzat în acest mod un prejudiciu.

Latura obiectivă. Elementul material prin care se realizează infracţiunea constă într-o acţiune şi anume, "accesul fără drept" la un sistem informatic.

Pentru existenţa infracţiunii, fapta trebuie comisă "fără drept" şi trebuie să fie îndreptată împotriva unui "sistem informatic", aşa cum este el definit de art. 35 alin. (1) lit. a). Pentru existenţa variantei agravante, este necesară îndeplinirea unei condiţii legate de scopul săvârşirii infracţiunii, şi anume, "pentru obţinerea de date informatice" (art. 35 alin. (1) lit. d)).

"Prin date informatice se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic. În această categorie se include şi orice program informatic care poate determina realizarea unei funcţii de către un sistem informatic". Fapta reprezintă o gravitate deosebită dacă a fost săvârşită prin încălcarea măsurilor de securitate. Prin "măsuri de securitate", se înţelege folosirea unor proceduri, dispozitive sau programe informatice specializate, cu ajutorul cărora accesul la un sistem informatic este restricţionat sau interzis pentru anumite categorii de utilizatori).

Prin "acces" înţelegem "a programa, a executa un program, a intercepta, a instrui, a comunica cu ..., a depozita/arhiva/stoca) în ..., a recupera date din sau în oricare altă folosinţă a unei surse oferită de computere, incluzând date sau programe pentru computere, sisteme de computere, reţele de computere sau baze de date"^[9].

Legea precizează sfera persoanelor care acţionează "fără drept", adică persoane care se află în una din următoarele situaţii: nu sunt autorizate în temeiul legii sau al unui contract, depăşesc limitele autorizării, nu au permisiunea din partea persoanei fizice sau juridice competente potrivit legii să o acorde, de a folosi, administra sau controla un sistem informatic, ori de a desfăşura cercetări ştiinţifice sau de a efectua orice altă operaţiune într-un sistem informatic.

Urmarea imediată constă într-o stare de pericol generată prin accesul nepermis la un sistem informatic şi chiar printr-o pagubă de natură materială, dacă în urma acelui acces s-au produs titularului sistemului informatic prejudicii.

Raportul de cauzalitate rezultă ex re.

Latura subiectivă – fapta poate fi săvârşită prin intenţie directă sau indirectă.

Forme – infracţiunea este susceptibilă de tentativă, care se pedepseşte (art. 47).

Modalităţi – fapta poate fi săvârşită printr-o multitudine de modalităţi faptice.

Sancţiuni: fapta prevăzută de alin. (1) se pedepseşte cu închisoare de la 3 luni la 3 ani sau cu amendă, cea prevăzută la alin. (2) se pedepseşte cu închisoare de la 6 luni la 5 ani, iar varianta cea mai gravă se pedepseşte cu închisoare de la 3 la 12 ani.

Un exemplu privind necesitatea incriminării acestei infracţiuni: preşedintele companiei Cinenet din Simi Valley – California, Jim Jarrard ^[10] - a hotărât să lase calculatorul să meargă peste noapte pentru a termina un download de mari dimensiuni. În lipsa sa, un hacker i-a accesat PC-ul prin conexiunea DSL şi a instalat un program care i-a permis să controleze calculatorul, să fure fişiere importante şi să şteargă informaţii de pe hard-discuri. Jarrard a scăpat de catastrofă datorită unei blocări a sistemului, iar mesajul de eroare pe care l-a găsit a doua zi i-a indicat faptul că ceva nu este în regulă. El a pierdut două săptămâni cu investigaţii asupra problemei, timp în care a aflat mai mult decât dorea despre hackeri, în final trebuind să formateze hard-discul pentru a scăpa de programul auto-multiplicant al hacker-ului. Acest caz nu este nici pe departe singular. Zilnic aflăm din mass-media despre cazuri când hackeri atacă diverse site-uri sau chiar sisteme de securitate ale unor bănci sau importante instituţii, fie cu scopul de a le perturba activitatea, fie cu scopul de a săvârşi o altă infracţiune cum este cea de furt prin mijloace informatice.

B) Constituie infracţiune (art. 43) "interceptarea, fără drept, a unei transmisii de date informatice care nu este publică şi care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic", precum şi "interceptarea fără drept a unei emisii electromagnetice provenite dintr-un sistem informatic ce conţine date informatice care nu sunt publice".

Obiectul material al infracţiunii îl constituie chiar sistemul informatic atacat, mai exact transmisia de date informatice generată de acel sistem sau care este destinată unui astfel de sistem. Prin "date referitoare la traficul internaţional" se înţelege "orice date informatice referitoare la o comunicare realizată printr-un sistem informatic şi produse de acesta, care reprezintă o parte din lanţul de comunicare, indicând originea, destinaţia, ruta, ora, data, mărimea, volumul şi durata comunicării, precum şi tipul serviciului utilizat pentru comunicare" (art. 35 alin. (1) lit. f)). Această transmisie de date nu trebuie să fie publică.

Subiectul activ al infracţiunii poate fi orice persoană fizică ce întruneşte condiţiile de vârstă şi responsabilitate prevăzute de legea penală.

Infracţiunea este susceptibilă de participaţie penală în toate formele sale – coautorat, instigare şi complicitate.

Subiectul pasiv este persoana fizică sau juridică căreia i s-a cauzat în acest mod un prejudiciu.

Elementul material constă într-o acţiune, mai precis, "interceptarea" unor transmisii de date sau de emisii electromagnetice (program transmis prin interacţiunea dintre curenţii electrici şi câmpurile magnetice^[11]). Interceptarea trebuie să fie fără drept.

Raportându-ne la "Convenţia europeană asupra criminalităţii cibernetice" ^[12], în "Raportul explicativ" ^[13] al acesteia, se arată că prin termenul de "interceptare ilegală"^[14] se înţelege "violarea confidenţialităţii comunicaţiilor, fie că este vorba despre transferul unor date prin mijloace computerizate, fie că este vorba despre un transfer de date prin intermediul unui post telefonic, fax, e-mail – toate acestea intrând sub sfera de atribuţie a articolului 8 din Convenţia Europeană a Drepturilor Omului".

Urmarea imediată constă într-o stare de pericol generată prin interceptarea unor informaţii care nu sunt de ordin public şi chiar printr-o pagubă de natură materială, dacă în urma acelui acces s-au produs titularului sistemului informatic prejudicii (de exemplu, acele informaţii au fost folosite de un concurent în afaceri).

Raportul de cauzalitate rezultă ex re.

Latura subiectivă – fapta poate fi săvârşită prin intenţie directă sau indirectă.

Forme – infracţiunea este susceptibilă de tentativă, care se pedepseşte (art. 47).

Modalităţi – fapta poate fi săvârşită printr-o multitudine de modalităţi faptice.

Sancţiuni: fapta prevăzută de alin. (1) se pedepseşte cu închisoare de la 2 ani la 7, cea prevăzută la alin. (2), se pedepseşte cu închisoare de la 2 la 7 ani.

Despre necesitate incriminării acestei infracţiuni: în ultimul timp a cunoscut o amploare deosebită fenomenul interceptării cumpărăturilor on-line făcute de diverşi cetăţeni români sau străini, care au ales ca modalitate de plată cardul de credit, interceptări care au avut ca scop furtul datelor aflate pe respectivele carduri, pentru ca acestea să fie folosite ulterior de către alte persoane decât adevăraţii titulari.

În prezent, traficanţii de informaţii desfăşoară activităţi în principal, în sfera financiară şi cea de afaceri, de cele mai multe ori încercând să vândă informaţiile interceptate unor companii rivale.

C) Constituie infracţiune (conform art. 44 alin. (1)) "fapta de a modifica, şterge sau deteriora date informatice ori de a restricţiona accesul la aceste date, fără drept". De asemenea, constituie infracţiune (conf. art. 44 alin. (2)) "transferul neautorizat de date dintr-un sistem informatic" şi "transferul neautorizat de date dintr-un mijloc de stocare a datelor informatice".

Obiectul material al infracţiunii îl constituie datele informatice asupra cărora se exercită o influenţă neautorizată.

Subiectul activ al infracţiunii poate fi orice persoană care întruneşte condiţiile de vârstă şi responsabilitate prevăzută de legea penală.

Infracţiunea este susceptibilă de participaţie penală în toate formele sale – coautorat, instigare şi complicitate.

Subiectul pasiv este persoana fizică sau juridică căreia i s-a cauzat în acest mod un prejudiciu.

Latura obiectivă. Elementul material prin care se realizează infracţiunea, poate consta în una dintre următoarele acţiuni: modificare (alterarea formei iniţiale a datelor informatice), ştergerea (înlăturarea datelor informatice din sistemul informatic sau alte dispozitive pe care sunt stocate), deteriorarea (modificări aduse conţinutului respectivelor date informatice, având drept consecinţă imposibilitatea folosirii acestor date în scopul în care au fost generate) sau prin restricţionarea accesului (folosirea unor metode specifice care afectează aria de destinaţie a acelor date informatice).

Infracţiunea prevăzută de alin. (2) se săvârşeşte prin "transferul neautorizat" de date dintr-un sistem informatic sau în varianta prevăzută de art. 3, a unor date aflate într-un mijloc de stocare a datelor informatice. Transferul neautorizat presupune deturnarea datelor informatice fără permisiunea proprietarului, deţinătorului sau a cuiva autorizat de către proprietar sau deţinător către o altă persoană. Mijloacele de stocare pot fi hard-discuri interne sau externe ale unui sistem informatic, alte mijloace de stocare magnetică sau benzi perforate (unităţi floppy, CD-ROM, CR-R, DVD, unităţi zipp-drive sau orice alte dispozitive de backup).

Urmarea imediată constă într-o stare de pericol şi chiar crearea unui prejudiciu material.

Raportul de cauzalitate rezultă ex re.

Latura subiectivă – fapta poate fi săvârşită prin intenţie directă sau indirectă.

Forme – infracţiunea este susceptibilă de tentativă, care se pedepseşte (art. 47).

Modalităţi – fapta poate fi săvârşită prin acţiunea de modificare, deteriorare, restricţionare de acces sau în varianta prevăzută de alin. (2) şi (3), printr-un transfer neautorizat. Fapta în sine poate fi săvârşită printr-o multitudine de modalităţi faptice.

Sancţiuni: fapta prevăzută de alin. (1) se pedepseşte cu închisoare de la 2 ani la 7, cea prevăzută la alin. (2) şi (3), se pedepseşte cu închisoare de la 3 la 12 ani.

Despre necesitatea incriminării acestei infracţiuni cotidianul rus Vedomosti anunţa că hackerii ruşi pot paraliza orice pagină de Internet (restricţionare de acces prin metoda DDoS – Distributed Denial of Service), oferindu-se ca pentru sume ceva mai mari să blocheze accesul publicului la pagini de internet, precum cea a Kremlinului sau chiar site-ul Microsoft. Metoda DDoS constă în infectarea unui număr ridicat de computere cu anumiţi viruşi, care duc la accesarea forţată (la comandă) a unui site. Serverul ajunge astfel să nu mai facă faţă cererilor, iar accesul la pagină este blocat.

D) Constituie infracţiune (conform art. 45) "fapta de a perturba grav, fără drept, funcţionarea unui sistem informatic prin introducerea, transmiterea, modificarea, ştergerea sau deteriorarea datelor informatice sau prin restricţionarea accesului la aceste date".

Elementul material al acestei infracţiuni constă în una din următoarele operaţiuni: introducerea, transmiterea, modificarea, ştergerea, deteriorarea sau restricţionarea funcţionării unui sistem informatic.

Pentru gravitatea ei, fapta se pedepseşte cu închisoare de la 3 la 15 ani. Tentativa se pedepseşte.

În sfera de cuprindere a acestei infracţiuni se înscriu fapte grave de sabotaj computerizat sau chiar de terorism informatic.

De exemplu, în 1995, cineva a închis computerele care controlau aparatele de menţinere în viaţă a 12 pacienţi din spitalul Guy din Londra. Bolnavii în cauză au putut fi salvaţi datorită eforturilor personalului medical, care i-a menţinut în viaţă manual, atâta timp cât a durat repunerea aparatelor în stare de funcţiune.

Ne putem imagina următoarea ipoteză: un grup terorist reuşeşte virusarea sistemului informatic care coordonează traficul pe un aeroport internaţional şi astfel, preia conducerea operaţională a aeroportului, punând în pericol mii de vieţi, deşi s-ar putea afla la mii de kilometrii distanţă.

E) Legea pedepseşte şi fapta "de a produce, vinde, de a importa, distribui sau de a pune la dispoziţie, sub orice altă formă, fără drept, a unui dispozitiv sau program informatic conceput sau adaptat în scopul săvârşirii uneia dintre infracţiunile prevăzute la art. 42 - 45", precum şi fapta "de a produce, vinde, de a importa, distribui sau de a pune la dispoziţie, sub orice altă formă, fără drept a unei parole, cod de acces sau alte asemenea date informatice, care permit accesul total sau parţial la un sistem informatic, în scopul săvârşirii uneia dintre infracţiunile prevăzute de art.42-45".

Art. 46 alin. (2), prevede ca infracţiune şi fapta constând în "deţinerea, fără drept a unui dispozitiv, program informatic, parolă, cod de acces sau dată informatică dintre cele prevăzute la alin.1, în scopul săvârşirii uneia dintre infracţiunile prevăzute la art. 42 - 45".

Aceste fapte sunt pedepsite cu închisoare de la 1 la 6 ani. Tentativa se pedepseşte.

IV. Infracţiuni informatice

Art. 48 incriminează "fapta de a introduce, modifica sau şterge fără drept, date informatice ori de a restricţiona fără drept accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecinţe juridice".

Fapta se pedepseşte cu închisoare de la 2 la 7 ani. Tentativa se pedepseşte.

Art. 49 incriminează aceiaşi faptă, adăugând ca modalitate de săvârşire "împiedicarea în orice mod a funcţionării unui sistem informatic", dacă prin aceasta cauzează un prejudiciu patrimonial unei persoane, în scopul de a obţine un beneficiu material pentru sine sau pentru altul. În acest caz, pedeapsa este închisoarea de la 3 la 12 ani. Tentativa se pedepseşte.

În ce pot consta consecinţele juridice? De exemplu, în interpretarea şi modificarea unei transmisii de natură comercial-contractuală între două companii (transmisie neprotejată printr-un mijloc de criptare sau printr-o semnătură electronică), prin alterarea conţinutului comunicării, în urma căreia se produce un important prejudiciu material pentru una sau pentru ambele companii de către un angajat al unei companii rivale.

Fapta unui hacker care paralizează accesul la un site de tranzacţii on-line, aduce fără îndoială importante prejudicii materiale pentru proprietarii acelui site. De cele mai multe ori, hackerii realizează acest lucru cu intenţia de a pretinde o sumă de bani pentru deblocarea accesului la acel site.

Faţă de aceste fapte se recomandă folosirea unor mijloace tehnice şi software de securizare. Din păcate, aceste soluţii de securitate sunt şi costisitoare. De exemplu, celebrul motor de căutare Internet, Google, investeşte peste 20 milioane de dolari anual, pentru a diminua numărul de atacuri din partea hackerilor.

V. Pornografia infantilă prin sisteme informatice

Având în vedere amploarea deosebită a acestui fenomen în reţeaua internet, legiuitorul a decis incriminarea expresă a pornografiei infantile, săvârşite prin mijloace informatice, mai exact "producerea în vederea răspândirii, oferirea sau punerea la dispoziţie, răspândirea sau transmiterea, procurarea pentru sine sau pentru altul de materiale pornografice cu minori ... ori deţinerea, fără drept, de materiale pornografice cu minori". Pedeapsa este închisoare de la 3 la 12 ani. Tentativa se pedepseşte.

"Convenţia asupra criminalităţii cibernetice" defineşte în art. 9 "pornografia infantilă" ca "incluzând material pornografic (obscen, împotriva valorilor morale), care înfăţişează vizual un minor implicat într-un act sexual explicit, imagini realiste reprezentând un minor implicat într-o activitate sexuală". În acelaşi text, prin minor se înţelege "orice persoană sub 18 ani, sau în funcţie de legislaţia naţională, o persoană care nu are peste 16 ani".

Aceste prevederi răspund unei preocupări la nivel mondial pentru combaterea acestui fenomen, printre care Protocolul Organizaţiei Naţiunilor Unite asupra drepturilor copiilor.

VI. Concluzie

În lupta cu criminalitatea informatică este nevoie de un cadru legislativ bine pus la punct în ceea ce priveşte prevenirea, descoperirea şi sancţionarea acestor fapte. Prin actele internaţionale la care este parte, România este obligată să-şi dezvolte un sistem legislativ specific acestui tip de infracţiuni. Mai mult decât atât, infracţiuni vechi se săvârşesc astăzi prin mijloace moderne (furtul informatic), la distanţe de mii de kilometri, cooperarea internaţională fiind vitală pentru combaterea acestui flagel. Recent, mass-media anunţa crearea unei noi generaţii de viruşi care atacă terminale GSM şi din păcate, nu este decât o nouă direcţie a acestor atacuri. Legea nr. 161 din 2003 reprezintă un început, dar pentru a ţine pasul diversităţii infracţionale uriaşe care se desfăşoară cu o simplă tastatură şi cu un simplu clic de mouse, activitatea legislativă nu trebuie să se oprească aici.

^[1] România a semnat la data de 23.11.2001.

^[2] Council of Europe, Convention on Cybercrime, Budapest, 23.11.2001.

^[3] Additional protocol to the Convention on cybercrime, concerning the criminalisation of actes of a rasist and xenophobic nature commited through computer systems, Strasbourg, 28.01.2003.

^[4] Publicată în Monitorul Oficial al României, Partea I, nr. 279 din 21.04.2003

^[5] Tudor Amza şi Cosmin Amza, Criminalitatea informatică, Editura Lumina Lex, Bucureşti, 2003, p. 13

^[6] Art. 17 Cod penal: "Infracţiunea este fapta care prezintă pericol social, săvârşită cu vinovăţie şi prevăzută de legea penală. Infracţiunea este singurul temei al răspunderii penale".

^[7] Art. 35 alin. (1) lit. b) din Legea nr.161/2003: "prin prelucrare automată a datelor, se înţelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic".

^[8] Art. 35 alin. (1) lit. c) din Legea nr.161/2003: "prin program informatic se înţelege un ansamblu de instrucţiuni care pot fi executate de un sistem informatic, în vederea obţinerii unui rezultat determinat".

^[9] Tudor Amza şi Cosmin Amza, op.cit., p. 14.

^[10] PC World USA, prin PC World România.

^[11] Florin Marcu, Dicţionarul de neologisme, Editura Ştiinţifică, Bucureşti, 1995, p. 118.

^[12] Council of Europe, Convention on Cybercrime, Budapest, 23.11.2001

^[13] Explanatory Report, adoptat la 8 noiembrie 2001.

^[14] Aşa cum apare menţionat în art. 3 al Convenţiei (illegal interception).