Curtea de Apel Paris. Acces fraudulos la un sistem informatic prin utilizarea unui browser web. Tipicitatea faptei

Sursa: Christian Le Stanc, Ne commet pas le délit d’accès et de maintien frauduleux dans un système de traitement automatisé de données l’internaute qui utilise un logiciel répandu pour pénétrer dans un système non protégé, Recueil Dalloz, 2003, p. 2827 şi urm.

Înainte de a prezenta starea de fapt şi soluţia oferită în speţă de instanţele franceze, apreciem ca fiind oportună o trimitere la textele penale incidente. Pentru a oferi o imagine completă a acestei problematici, ne vom referi şi la textele de incriminare din dreptul român – atât din perspectiva Legii nr. 161/2003 cât şi din perspectiva noului Cod pen.

Art. 323-1 Cod pen. francez:

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie
d’un système de traitement automatisé de données, est puni […]

Fraudulently accessing or remaining within all or part of an automated data processing system is punished […] (traducere oficială disponibilă aici).

Art. 42 din Legea nr. 161/2003:

(1) Accesul, fără drept, la un sistem informatic constituie infracţiune şi se pedepseşte […]

Art. 360 NCP:

(1) Accesul, fără drept, la un sistem informatic se pedepseşte […]

I. Observaţii preliminare

În primul rând, se poate observa cu uşurinţă faptul că legiuitorul român nu a considerat necesară o intervenţie în legătură cu tipicitatea faptei, acesta rămânând consecvent textului oferit de Convenţia privind criminalitatea informatică ori Decizia-cadru 2005/222/JAI. În ambele reglementări, accesul trebuie să se realizeze în cadrul unui sistem informatic, fără drept. Rămâne de văzut în ce măsură reglementarea franceză – ce face trimitere la modul fraudulos de accesare – oferă ori nu o aplicabilitate mai restrânsă textului de incriminare decât cea existentă în dreptul român.

II. Starea de fapt

Inculpatul, un jurnalist specializat pe domeniul IT, şi-a propus să detecteze breşele de securitate / vulnerabilităţile existente în cadrul sistemelor informatice aparţinând unor terţi. Scopul acestuia era de a identifica astfel de probleme în cadrul sistemelor informatice şi de a le face cunoscute părţii interesate (deţinătorul sistemului informatic / administratorul sistemelor respective).

Utilizând doar un browser web (Netscape), a reuşit să obţină acces la site-ul societăţii Tati . Modul de operare a constat în manipularea unui fişier informatic ce avea rolul de a înregistra datele obţinute prin completarea unui chestionar. Acesta era publicat pe site de către partea vătămată, oferind astfel posibilitatea ca internauţii să-şi introducă anumite date personale. După identificarea acestei breşe de securitate, inculpatul a trimis un mesaj de atenţionare administratorului de sistem în vederea remedierii situaţiei.

III. Soluţiile oferite de instanţele franceze

În primă instanţă, inculpatul a fost condamnat pentru săvârşirea faptei de acces fraudulos la un sistem informatic. Curtea de Apel Paris a statuat în sens  contrar, aceasta apreciind că fapta nu este una tipică. Soluţia nu a avut în vedere latura materială a infracţiunii, în privinţa căreia nu au fost ridicate probleme de tipicitate. În acest sens, instanţa a reţinut faptul că inculpatul a accesat o parte a sistemului informatic – fişierul manipulat având rolul de a prelucra în mod automat datele personale introduse de internauţi. În plus, s-a considerat că inculpatul a păstrat accesul în cadrul respectivului sistem informatic, ceea ce este caracteristic formei alternative de săvârşire a faptei.

Discuţia problematică s-a plasat în jurul laturii subiective. Mai exact, s-a analizat  posibilitatea existenţei elementului fraudulos. Instanţa a fost aşadar nevoită să răspundă la următoarea întrebare: a accesat inculpatul în mod fraudulos sistemul informatic? Cu alte cuvinte, a cunoscut inculpatul faptul că realizează un acces fără drept? Soluţia oferită pare să fi fost influenţată de o altă prevedere din Cod. pen. francez (art. 226-17) ce obligă la luarea tuturor măsurilor de precauţie în vederea protejării datelor cu caracter confidenţial. Tribunalul în primă instanţa a considerat acest element irelevant sub aspectul vinovăţiei inculpatului. Curtea de Apel în schimb, a considerat că datorită contextului dat, tipicitatea suferă sub aspectul elementului subiectiv. Motivarea s-a bazat pe considerentul că, din moment ce datele respective nu au fost protejate în mod corespunzător, inculpatul nu putea aprecia dacă acestea sunt ori nu publicate cu acordul părţii.

IV. Critica soluţiei

În ceea ce ne priveşte, nu putem achiesa soluţiei oferite de Curtea de Apel Paris. Nu dorim să insistăm în legătură cu elementul material – deoarece acesta nu a ridicat probleme în speţă – deşi, s-ar putea remarca exprimarea instanţei susceptibilă de a crea unele confuzii. În legătură cu elementul subiectiv, se pot face două observaţii.

În primul rând, instanţa pare a concluziona în sensul că, atunci când discutăm despre o măsură de securitate precum un cod de acces, depăşirea respectivului mecanism de protecţie echivalează cu un acces fraudulos. În schimb, atunci când un asemenea mecanism este inexistent, identificarea elementului subiectiv ridică probleme. Strict din acest punct de vedere, observăm realizarea unei confuzii între caracterul privat al unor date informatice şi accesul fraudulos la un sistem informatic privat. Susţinem acest punct de vedere deoarece natura datelor informatice obţinute de inculpat este irelevantă în discuţia dată.

Relevant este modul în care aceste date au fost obţinute. Aşadar, din moment ce nu s-a contestat manipularea unui fişier în vederea obţinerii unui acces la respectivele date informatice, apreciem că elementul fraudulos este regăsit în această ipoteză. În cele din urmă, în lipsa respectivei manipulări (nu se fac precizări în legătură cu aceasta, însă presupunem că putea fi vorba de un atac tip SQL Injection), datele respective nu erau făcute publice. Prin urmare, există o diferenţă majoră între a accesa cu drept un site şi a vizualiza în mod automat date confidenţiale făcute publice datorită unei probleme tehnice şi ipoteza în care accesarea iniţială este cu drept, însă pe lângă aceasta se realizează şi o manipulare frauduloasă a unui fişier aparţinând respectivului sistem informatic. În acest caz ultim caz, discutăm despre o depăşire a autorizării iniţiale, accesul devenind unul fraudulos (în sensul Cod. pen. francez) ori fără drept (în sensul dreptului român).

O întrebare mai edificatoare ar fi fost următoarea: a înşelat inculpatul sistemul informatic în vederea obţinerii unor date informatice? Dacă răspunsul este unul pozitiv, intenţia (chiar directă) este prezentă, natura respectivelor date fiind astfel irelevantă (aceeaşi părere o are şi autorul la p. 2827 – ultim parag.)

V. Concluzii

Soluţia corectă în această speţă ar fi fost condamnarea inculpatului pentru săvârşirea infracţiunii de acces neautorizat la un sistem informatic. O discuţie interesantă era aceea dacă fapta a fost ori nu săvârşită prin încălcarea unor măsuri de securitate.

Cuvinte cheie: acces fara drept, accesul neautorizat la un sistem informatic, art. 323-1 Cod penal francez, art. 360 noul cod penal, art. 42 din Legea 161/2003, Conventia privind criminalitatea informatica, decizia-cadru 2005/222/JAI, depasirea limitelor autorizarii, Legea 161/2003, sistem informatic

Materiale conexe: