Andrei Maxim. Falsul şi frauda informatică (partea I)

Titlul: Andrei Maxim – Falsul şi frauda informatică, Caiete de drept penal, nr. 3, 2011, p. 47-75.

În prezenta recenzie vom avea în vedere un articol apărut recent în doctrina autohtonă, articol ce tratează falsul şi frauda informatică (a se vedea textele de incriminare din Legea nr. 161/2003). În ceea ce ne priveşte, acest efort doctrinar reprezintă primul pas în direcţia potrivită vis-à-vis de subiectele menţionate.  Prin urmare, chiar dacă nu ne lăsăm convinşi de întreaga analiză cuprinsă în cele aprox. 20 de pagini (excluzând abstractul) ale materialului supus acestei recenzii, nu putem să nu remarcăm calitatea acesteia – ce se detaşează de restul literaturii de specialitate autohtone în materie.

Vom încerca aşadar să surprindem anumite aspecte delicate din cuprinsul lucrării, făcând de asemenea trimitere (acolo unde este nevoie) la puncte de vedere distincte de cele ale autorului. Din moment ce o recenzie adecvată a acestui articol necesită o întindere pe măsură, în această primă parte a recenziei ne vom referi strict la: X. Unele consideraţii generale şi I. Prolegomene (p. 48-50 din articol). Ulterior (în partea a II-a, a III-a şi a IV-a a recenziei) vom aborda şi celelalte secţiuni ale articolului: II. Infracţiunea de fals informatic (p. 52-64), III. Frauda informatică (p. 64-71) şi IV. Reformarea conceptului de document (p. 71-75).

X. Unele consideraţii generale

Prima observaţie pe care ne vedem nevoiţi să o conturăm se referă la elementele de drept comparat utilizate în susţinerea punctelor de vedere. Fără a critica alegerea făcută de autor (acesta făcând de altfel trimitere la doctrinari de o înaltă ţinută în domeniul dreptului penal – Roxin, Fiandaca, Jesheck, Liszt, Mantovani etc.), cel puţin în ceea ce priveşte problematica infracţiunilor informatice, considerăm că literatura de specialitate anglo-saxonă necesita şi ea atenţie din partea autorului (aceasta fiind în ceea ce ne priveşte etalonul de urmat în materia studiului criminalităţii informatice – practica judiciară din SUA fiind de asemenea cu un pas înaintea oricărui sistem de drept ce recunoaşte legislativ problematicile criminalităţii informatice).

I. Prolegomene (p. 48-50)

Autorul începe incursiunea în domeniul falsului şi fraudei informatice printr-o analiză sumară a unui subiect extrem de controversat la ora actuală în doctrina non-autohtonă (pentru o abordare din dreptul comparat, se poate vedea S. W. Brenner, Cybercrime Jurisdiction, Crime, Law and Social Change, vol. 46, nr. 4-5, 2006, p. 189-206). Este de precizat că în ciuda caracterului sumar al analizei în cauză, aceasta reprezintă prima analiză pertinentă în doctrina autohtonă, celelalte trimiteri la anumite aspecte ce ţin de jurisdicţionalitatea în domeniul criminalităţii informatice nefiind în măsură a răspunde la eventualele întrebări ce ar putea fi formulate în practică.

Încă de la început se invocă teza conform căreia teoria ubicuităţii pare a se dovedi insuficientă în ceea ce priveşte mediul virtual ca element de bază al criminalităţii informatice. În principiu, suntem de acord cu această formulare, însă, ne vedem nevoiţi să facem o scurtă precizare. Această teorie nu se dovedeşte insuficientă în sensul în care nu poate acoperi întreaga sferă a criminalităţii informatice. Punctul slab al acesteia se regăseşte la polul opus al gradului de aplicabilitate. Afirmăm acest lucru deoarece, ţinând cont că teoria enunţată oferă posibilitatea aplicării principiului teritorialităţii (pentru o analiză a acestora se poate vedea F. Streteanu, Tratat de drept penal – partea generală, vol. I, Ed. C.H. Beck, Bucureşti, 2008 la paginile dedicate) în momentul localizării fie a acţiunii, fie a rezultatului, sfera de aplicabilitate a acesteia în materia supusă discuţiei devine practic nemărginită. Autorul evidenţiază acest aspect ca fiind unul negativ. Exemplul oferit de acesta este următorul (vezi p. 49): o persoană situată în Bulgaria modifică de pe computerul personal date informatice de pe un site australian, de a cărui administrare se ocupă o firmă din SUA (drept observaţie, nu înţelegem necesitatea includerii firmei din SUA în acest exemplu, din moment ce aceasta nu poate fi catalogată ca fiind un eventual subiect pasiv faţă de un eventual acces fără drept) şi care se adresează unor persoane ce doresc să emigreze în Australia.

În baza acestui exemplu, autorul formulează următoarele concluzii (ibidem):

a) Site-ul web este o construcţie virtuală, localizată într-un spaţiu cibernetic, motiv pentru care nu putem discuta despre vreo limită geografică. Mai mult, datorită acestui considerent, acţiunea nu ar trebui considerată ca fiind consumată în Australia.

b) Dacă acceptăm faptul că rezultatul produs reprezintă o stare de pericol, ne aflăm în situaţia în care aplicabilitatea principiului teritorialităţii se extinde peste tot unde s-a creat o asemenea stare de pericol (e.g. prin falsul informatic se lezează valoarea socială privind încrederea publicului în anumite informaţii – ibidem). Astfel, autorul consideră că infracţiunea necesită considerată ca fiind săvârşită acolo unde există cel puţin o persoană interesată de respectivele informaţii.

c) Remediul legislativ pentru această problemă nu există momentan (p. 50 – parag. ultim şi p. 51).

Prin trimitere la aceste concluzii, ne vedem nevoiţi să formulăm următoarele opinii:

a) Deşi criminalitatea informatică oferă contur spaţiului cibernetic, considerăm că doar într-o abordare superfluă acesta ar putea fi complet detaşat de noţiunea fizică de teritoriu. Astfel, ca şi primă observaţie nu putem să nu remarcăm faptul că autorul tinde să facă o confuzie, plasând noţiunea de site web într-o construcţie abstractă ce se opune noţiunii de teritoriu. În măsura în care aceasta a fost abordarea autorului –  nefiind o eroare de interpretare, nu putem să o acceptăm. Site-ul web nu este o entitate abstractă. Ori, chiar dacă îl privim ca fiind o astfel de entitate, faptul că se află într-o conexiune intrinsecă cu unul ori mai multe sisteme informatice nu face decât ca atunci când discutăm despre un website să discutăm automat despre serverul ce îl găzduieşte. În cele din urmă, dacă x=site web iar y=sistem informatic, ajungem la următoarea concluzie: în lipsa variabilei x, y este lipsită de conţinut, nemaiputând fi privită drept o entitate abstractă în acel caz concret – fiind practic dizolvată. Prin urmare, considerăm că x devine y în ecuaţia dată, orice trimitere la y fiind de fapt o trimitere la x.

Mai mult, dacă luam spre exemplu internetul, observăm că interacţiunea cu acesta este defapt o interacţiune cu o multitudine de date informatice stocate pe anumite sisteme ce au o localizare geografică.

Ori, urmând raţionamentul de mai sus, prin trimitere la exemplul oferit de autor am putea avea următoarele ipoteze: fie www.exemplu.com.au este găzduit în Australia (ceea ce va atrage competenţa teritorială a acesteia în baza teoriei ubicuităţii – prin trimitere la locul săvârşirii acţiunii), fie site-ul în cauză este găzduit pe un server situat într-o ţară terţă. În acest din urmă caz, deşi site-ul va avea o anumită naţionalitate (ar fi interesant de analizat criteriile ce stau la baza acestei naţionalităţi), se va identifica cu un teritoriu terţ (teritoriul pe care este situat serverul ce găzduieşte respectivul site). În această ipoteză, acţiunea va fi săvârşită pe teritoriul statului terţ, indiferent de naţionalitatea site-ului.

Discuţia problematică în ceea ce priveşte realizarea acţiunii are însă un alt punct de origine, neanalizat suficient de autor. Acesta sesizează (p. 49) că în ceea ce priveşte acţiunea (ori actul de executare) se pune întrebarea dacă aceasta echivalează cu utilizarea computerului personal ori cu modificarea datelor informatice pe site-ul web aflat în discuţie. Am merge mai departe în exemplificarea acestei problematici: X foloseşte un sistem informatic din România pentru a accesa un website găzduit pe un server din Franţa utilizând o conexiune de internet provenită de la un satelit de naţionalitate turcă ce este administrat pe teritoriul pakistanez. Pentru această ipoteză (de o complexitate deosebită) este necesară o soluţie corespunzătoare, la prima vedere o aplicare tradiţionalistă a conceptului de act de executare fiind inadecvată.

Şi aceasta deoarece, în majoritatea cazurilor, în baza unei aplicări tradiţionale a principiului teritorialităţii o infracţiune informatică dobândeşte un caracter transfrontalier. Aceasta este în cele din urmă dificultatea de apreciere a locului unde s-a săvârşit infracţiunea. Chiar într-o ipoteză aparent banală – agentul hărţuieşte prin intermediul unui sistem informatic o persoană situată în aceeaşi localitate – există elemente de extraneitate: reţeaua de socializare în care se poartă discuţia este găzduită într-o ţară terţă, agentul foloseşte un proxy din ţara X, în timp ce conexiunea de internet are legătură cu ţara Y etc. Toate aceste elemente fac ca anumite semnale să fie emise ori/şi receptate din afara ţării în care este situată atât victima cât şi agresorul.

b) Acceptăm faptul că un efect concretizat într-o stare de pericol creează practic posibilitatea unei competenţe universale (impropriu formulat). Afirmăm acest lucru din simplul motiv că, din moment ce un website poate fi accesat în orice colţ al lumii (în măsura în care nu este restricţionat ori nu restricţionează accesul), efectele produse de acesta sunt universale. Prin urmare, utilizarea concepţiei tradiţionale privind actul de executare ori a noţiunii de efect (rezultat) prin trimitere la teoria ubicuităţii ar putea fi contestată în materia criminalităţii informatice datorită sferei mult prea largi de aplicabilitate. O posibililă soluţie ar fi aceea de a ţine cont doar de acele efecte substanţiale asupra unei ţări date (vezi în acest sens S. W. Brenner, B-J. Koops, Approaches to Cybercrime Jurisdiction, Journal of High Technology Law, vol. 4, nr. 1, 2004, p. 19-20). Criteriul însă, nu se dovedeşte ca fiind unul extrem de clar.

Această aplicabilitate mult prea extinsă implică cel puţin două consecinţe nefaste:

1. Ajungem în situaţia unor conflicte pozitive de competenţă dificil de soluţionat. Aşa cum bine menţionează şi autorul, Convenţia privind criminalitatea informatică se dovedeşte extrem de liberală din punctul de vedere al conţinutului, lăsând materia conflictelor de competenţă în sarcina statelor (ibidem – vezi şi art. 22 alin. 5 din Convenţie). Deşi la prima vedere această abordare ar putea soluţiona problema, considerăm că autorii Convenţiei nu au făcut decât să o ocolească, utilizând însă o strategie deficitară. Considerăm necesare în acest sens criterii obiective, susceptibile să tranşeze problematica conflictului pozitiv de competenţă într-o anumită direcţie. Fie că aceste criterii se bazează pe prejudiciul mai grav cauzat (localizarea acestuia), cetăţenia infractorului, locul în care acesta este prins, temeinicia dosarelor de urmărire penală ori posibilitatea concretă de a proba fapta, etc. criteriile folosite ar putea reprezenta un ghid util în ceea ce priveşte adjudecarea competenţei. Este de văzut în ce măsură prevederile Deciziei-cadru 2005/222/JHA (privitoare la atacurile împotriva sistemelor informatice) este în măsură se rezolve într-un mod mai corespunzător această chestiune (a se vedea art. 10(1), (2) şi (4) din Decizia-cadru).
2. Abordarea Convenţiei nu dă naştere în ceea ce ne priveşte decât la insecuritate juridică. Faptul că o multitudine de state pot cere extrădarea, nu creează decât inconvenienţe majorare pentru cel acuzat de săvârşirea unor infracţiuni informatice. Ori, aceste inconvenienţe ar putea fi practic reduse în măsura în care am concluziona că principiile tradiţionale (în special principiul teritorialităţii) nu-şi găsesc aplicabilitatea (cel puţin nu în forma tradiţională) în materia criminalităţii informatice.

c) Cu toate acestea, nu considerăm că în prezent soluţiile legislative sunt inexistente. Spre exemplu, în Arkansas se cere ca transmisiunea ce constituie infracţiune fie să provină din acest stat ori să fie primită în acest stat (Arkansas Code Annotated Section 5-27-606). O prevedere similară poate fi găsită în North Carolina General Statues Annotated Section 14-453-2. În schimb, în Hawaii şi Oklahoma, cadrul legal diferă într-o anumită măsură (vezi Hawaii Revised Statues Annotated Section 708-895 şi Oklahoma Statues Annotated Section 1957). Acestea prevăd că cel care cauzează prin orice mijloace, accesul la un computer… ori reţea computerizată într-o jurisdicţie dintr-o altă jurisdicţie este considerat că a accesat computerul… ori reţeaua computerizată, în ambele jurisdicţii. Fără a descrie prevederile din Ohio, facem trimitere la acestea (vezi Ohio Revised Code Section 2901.11(7)) deoarece diferă simţitor de mult faţă de cele descrise supra. Nu în ultimul rând, necesită văzută reglementarea din West Virginia, reglementare ce oferă cea mai extinsă aplicabilitate normelor privind criminalitatea informatică (vezi în acest sens West Virginia Code Section 61-3C-20). Astfel, cel care încalcă prevederile privind criminalitatea informatică din West Virginia şi prin aceasta accesează, […] ori încearcă să acceseze un computer, o reţea computerizată, date informatice, resurse ale computerului… ori programe informatice aflate în tot ori în parte pe teritoriul statului, ori care tranzitează acest teritoriu, va putea fi tras la răspundere.

Deşi aceste reglementări sunt privite în doctrină ca reprezentând un exces de jurisdicţie (în acest sens S. W., Cybercrime… precit., p. 196) ceea ce nu ar face ca discuţia să difere în mod substanţial de cele enumerate ante, o chestiune devine totuşi certă: soluţii legislative există. Iar exemplele oferite sunt dovada irefutabilă în acest sens. Chiar dacă acestea păstrează la rândul lor critici importante, nu vedem de ce nu ar putea reprezenta un punct de pornire în vederea identificării unui mecanism adecvat.

Spre exemplu, din moment ce la baza infracţiunilor informatice se află o infracţiune obstacol (accesul la un sistem informatic), ajudecarea competenţei ar putea ţine cont de aceasta. Prin urmare, important este locul unde se realizează accesul la sistemul informatic, nefiind astfel relevante alte interacţiuni cu alte sistem informatice. Aceasta discuţie însă, datorită complexităţii sale, ar merita o abordare doctrinară pe măsură, motiv pentru care (datorită naturii prezentei analize) ne oprim aici.

Partea a II-a a recenziei… în curând.

Cuvinte cheie: accesul neautorizat la un sistem informatic, Andrei Maxim, Caiete de drept penal, conflict pozitiv de competenta, Conventia privind criminalitatea informatica, criminalitate informatica, infractiune obstacol, infractiuni informatice, Legea 161/2003, principiul teritorialitatii, sistem informatic, teoria ubicuitatii

Materiale conexe: