Curtea de Apel Paris. Acces fraudulos la un sistem informatic prin utilizarea unui browser web. Tipicitatea faptei – Penalmente relevant - analize de drept penal

  • Abonează-te


  • Curtea de Apel Paris. Acces fraudulos la un sistem informatic prin utilizarea unui browser web. Tipicitatea faptei


    Sursa: Christian Le Stanc, Ne commet pas le délit d’accès et de maintien frauduleux dans un système de traitement automatisé de données l’internaute qui utilise un logiciel répandu pour pénétrer dans un système non protégé, Recueil Dalloz, 2003, p. 2827 şi urm.

    Înainte de a prezenta starea de fapt şi soluţia oferită în speţă de instanţele franceze, apreciem ca fiind oportună o trimitere la textele penale incidente. Pentru a oferi o imagine completă a acestei problematici, ne vom referi şi la textele de incriminare din dreptul român – atât din perspectiva Legii nr. 161/2003 cât şi din perspectiva noului Cod pen.

    Art. 323-1 Cod pen. francez:

    Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie
    d’un système de traitement automatisé de données, est puni […]

    Fraudulently accessing or remaining within all or part of an automated data processing system is punished […] (traducere oficială disponibilă aici).

    Art. 42 din Legea nr. 161/2003:

    (1) Accesul, fără drept, la un sistem informatic constituie infracţiune şi se pedepseşte […]

    Art. 360 NCP:

    (1) Accesul, fără drept, la un sistem informatic se pedepseşte […]

    I. Observaţii preliminare

    În primul rând, se poate observa cu uşurinţă faptul că legiuitorul român nu a considerat necesară o intervenţie în legătură cu tipicitatea faptei, acesta rămânând consecvent textului oferit de Convenţia privind criminalitatea informatică ori Decizia-cadru 2005/222/JAI. În ambele reglementări, accesul trebuie să se realizeze în cadrul unui sistem informatic, fără drept. Rămâne de văzut în ce măsură reglementarea franceză – ce face trimitere la modul fraudulos de accesare – oferă ori nu o aplicabilitate mai restrânsă textului de incriminare decât cea existentă în dreptul român.

    II. Starea de fapt

    Inculpatul, un jurnalist specializat pe domeniul IT, şi-a propus să detecteze breşele de securitate / vulnerabilităţile existente în cadrul sistemelor informatice aparţinând unor terţi. Scopul acestuia era de a identifica astfel de probleme în cadrul sistemelor informatice şi de a le face cunoscute părţii interesate (deţinătorul sistemului informatic / administratorul sistemelor respective).

    Utilizând doar un browser web (Netscape), a reuşit să obţină acces la site-ul societăţii Tati . Modul de operare a constat în manipularea unui fişier informatic ce avea rolul de a înregistra datele obţinute prin completarea unui chestionar. Acesta era publicat pe site de către partea vătămată, oferind astfel posibilitatea ca internauţii să-şi introducă anumite date personale. După identificarea acestei breşe de securitate, inculpatul a trimis un mesaj de atenţionare administratorului de sistem în vederea remedierii situaţiei.

    III. Soluţiile oferite de instanţele franceze

    În primă instanţă, inculpatul a fost condamnat pentru săvârşirea faptei de acces fraudulos la un sistem informatic. Curtea de Apel Paris a statuat în sens  contrar, aceasta apreciind că fapta nu este una tipică. Soluţia nu a avut în vedere latura materială a infracţiunii, în privinţa căreia nu au fost ridicate probleme de tipicitate. În acest sens, instanţa a reţinut faptul că inculpatul a accesat o parte a sistemului informatic – fişierul manipulat având rolul de a prelucra în mod automat datele personale introduse de internauţi. În plus, s-a considerat că inculpatul a păstrat accesul în cadrul respectivului sistem informatic, ceea ce este caracteristic formei alternative de săvârşire a faptei.

    Discuţia problematică s-a plasat în jurul laturii subiective. Mai exact, s-a analizat  posibilitatea existenţei elementului fraudulos. Instanţa a fost aşadar nevoită să răspundă la următoarea întrebare: a accesat inculpatul în mod fraudulos sistemul informatic? Cu alte cuvinte, a cunoscut inculpatul faptul că realizează un acces fără drept? Soluţia oferită pare să fi fost influenţată de o altă prevedere din Cod. pen. francez (art. 226-17) ce obligă la luarea tuturor măsurilor de precauţie în vederea protejării datelor cu caracter confidenţial. Tribunalul în primă instanţa a considerat acest element irelevant sub aspectul vinovăţiei inculpatului. Curtea de Apel în schimb, a considerat că datorită contextului dat, tipicitatea suferă sub aspectul elementului subiectiv. Motivarea s-a bazat pe considerentul că, din moment ce datele respective nu au fost protejate în mod corespunzător, inculpatul nu putea aprecia dacă acestea sunt ori nu publicate cu acordul părţii.

    IV. Critica soluţiei

    În ceea ce ne priveşte, nu putem achiesa soluţiei oferite de Curtea de Apel Paris. Nu dorim să insistăm în legătură cu elementul material – deoarece acesta nu a ridicat probleme în speţă – deşi, s-ar putea remarca exprimarea instanţei susceptibilă de a crea unele confuzii. În legătură cu elementul subiectiv, se pot face două observaţii.

    În primul rând, instanţa pare a concluziona în sensul că, atunci când discutăm despre o măsură de securitate precum un cod de acces, depăşirea respectivului mecanism de protecţie echivalează cu un acces fraudulos. În schimb, atunci când un asemenea mecanism este inexistent, identificarea elementului subiectiv ridică probleme. Strict din acest punct de vedere, observăm realizarea unei confuzii între caracterul privat al unor date informatice şi accesul fraudulos la un sistem informatic privat. Susţinem acest punct de vedere deoarece natura datelor informatice obţinute de inculpat este irelevantă în discuţia dată.

    Relevant este modul în care aceste date au fost obţinute. Aşadar, din moment ce nu s-a contestat manipularea unui fişier în vederea obţinerii unui acces la respectivele date informatice, apreciem că elementul fraudulos este regăsit în această ipoteză. În cele din urmă, în lipsa respectivei manipulări (nu se fac precizări în legătură cu aceasta, însă presupunem că putea fi vorba de un atac tip SQL Injection), datele respective nu erau făcute publice. Prin urmare, există o diferenţă majoră între a accesa cu drept un site şi a vizualiza în mod automat date confidenţiale făcute publice datorită unei probleme tehnice şi ipoteza în care accesarea iniţială este cu drept, însă pe lângă aceasta se realizează şi o manipulare frauduloasă a unui fişier aparţinând respectivului sistem informatic. În acest caz ultim caz, discutăm despre o depăşire a autorizării iniţiale, accesul devenind unul fraudulos (în sensul Cod. pen. francez) ori fără drept (în sensul dreptului român).

    O întrebare mai edificatoare ar fi fost următoarea: a înşelat inculpatul sistemul informatic în vederea obţinerii unor date informatice? Dacă răspunsul este unul pozitiv, intenţia (chiar directă) este prezentă, natura respectivelor date fiind astfel irelevantă (aceeaşi părere o are şi autorul la p. 2827 – ultim parag.)

    V. Concluzii

    Soluţia corectă în această speţă ar fi fost condamnarea inculpatului pentru săvârşirea infracţiunii de acces neautorizat la un sistem informatic. O discuţie interesantă era aceea dacă fapta a fost ori nu săvârşită prin încălcarea unor măsuri de securitate.

    The following two tabs change content below.
    Avocat, Baroul Cluj Avocat specializat în drept penal, îndeosebi infracţiuni de criminalitate organizată precum cele informatice. tel. 0748.149.840 / Email: contact@zlati.legal / george.zlati@protonmail.com Cărţi publicate: Codul de procedură penală comentat, ediţia 3, Ed. C.H. Beck, Bucureşti, 2020 (coautor, coordonator Mihail Udroiu) Noul Cod penal. Partea specială, Ed. Universul Juridic, Bucureşti, 2014 (în colaborare cu Sergiu Bogdan şi Doris Alina Şerban) Articole relevante (selecţie): 1. Sancţionarea accesului neautorizat la o reţea wireless şi utilizarea fără drept a serviciului de Internet. Analiză de lege lata, lege ferenda, cu trimitere la elemente de drept comparat - Caiete de drept penal, nr. 2/2011 2. Problematica violenţei exercitate într-un joc sportiv (II). Răspunderea penală a participanţilor la jocul sportiv - Caiete de drept penal, nr. 3/2011 3. Unele consideraţii cu privire la infracţiunile prevăzute de art. 5 lit. b) şi e) din Legea nr. 11/1991 privind combaterea concurenţei neloiale, Pandectele Române, nr. 9/2012 4. Unele aspecte în legătură cu infracţiunile informatice din perspectiva legislaţiei în vigoare, precum şi a noului Cod penal, Dreptul, nr. 10/2012 5. Dematerializarea obiectului material al infracţiunii în contextul evoluţiei tehnologice şi consecinţele acesteia, Dreptul, nr. 9/2013 6. Percheziţia sistemelor informatice şi a mijloacelor de stocare a datelor informatice (I), Caiete de drept penal, nr. 3/2014; 7. Percheziţia sistemelor informatice şi a mijloacelor de stocare a datelor informatice (II), Caiete de drept penal, nr. 4/2014; 8. Legitima apărare şi starea de necesitate în domeniul criminalităţii informatice (I), Dreptul, nr. 4/2015; 9. Legitima apărare şi starea de necesitate în domeniul criminalităţii informatice (II), Dreptul, nr. 5/2015. 10. Privilegiul contra autoincriminării şi criptografia, Penalmente Relevant, nr. 1/2016 11. Frauda informatică. Aspecte controversate, Caiete de Drept penal, nr. 4/2018

    Materiale conexe:

    Adaugaţi un comentariu

    Mailul Dvs. NU va fi făcut public. Completaţi câmpurile obligatorii *

    *
    *