Accesarea unui sistem informatic de către polițist. Depăşirea limitelor pentru care a fost acordată autorizarea

2 iulie 2021 Drept Penal

Curtea de Apel Ploiești a sesizat ÎCCJ în vederea pronunțării unei hotărâri prealabile pentru dezlegarea următoarei chestiuni de drept:

În interpretarea dispoziţiilor art. 360 alin. (1) Cod penal privind accesul ilegal la un sistem informatic, în cazul persoanelor care pot interoga oricând o bază de date conținând informaţii nepublice, o asemenea interogare neurmată de efectuarea ulterioară a unor acte specifice exercitării atribuţiilor de serviciu în legătură cu interogarea efectuată, poate reprezenta o depăşire a limitelor pentru care a fost acordată autorizarea?

În cuprinsul sesizării se arată că, problemele de drept care se ridică sunt următoarele:

Accesul fără drept presupune inexistența unui temei legal sau contractual, precum și depășirea limitelor pentru care s-a dat autorizarea, atunci accesul nu s-a făcut în interes de serviciu, ci în interes personal. Legea nu face nicio distincție cu privire la modul în care sunt încălcate măsurile de securitate (în cazul concret reținându-se că logarea la sistem s-a făcut pe baza introducerii numelui utilizatorului și parolei ce sunt înregistrate în sistem, care în momentul când sunt introduse sunt recunoscute și executate de programul informatic), fiind irelevant că parola de acces și user-ul folosite pentru autentificare sunt adevărate.

În speță, s-a reținut că aceste date au fost introduse de titularul dreptului de acces (inculpatul utilizând parola și user-ul atribuite în acest scop), cu depășirea autorizării ce i-a fost dată (să fie utilizate în exercitarea atribuțiilor de serviciu, în interes de serviciu).

Deși actele normative menționate de prima instanță în motivarea soluției de condamnare se referă la situațiile în care accesul într-un sistem informatic are loc în exercitarea atribuțiilor de serviciu, în interes de serviciu, având în vedere natura funcției publice pe care inculpatul apelat o exercită, o definire limitativă a situațiilor în care accesul are loc în exercitarea atribuțiilor de serviciu, este practic imposibilă.

Procedura privind accesarea și valorificarea principalelor baze de date/aplicații folosite de personalul Poliției Române care acționează în teren prevede că principalele situații în care se accesează aplicațiile/bazele de date sunt:

-Legitimări pentru stabilirea/certificarea identității persoanelor suspecte, urmărite, dispărute, decedate, reținute, arestate sau deținute, persoanelor reclamate sau învinuiților, inculpaților;
-Punerea în executare a mandatelor penale, a sentințelor penale sau hotărârilor judecătorești;
-Stabilirea identității persoanelor împotriva cărora au fost dispuse măsuri asigurătorii de către instanțele judecătorești;
-Soluționarea cauzelor penale, petițiilor, lucrărilor diverse sau secrete;
-Munca specială (întocmirea rapoartelor informative, documentare calificată a activității infracționale a persoanelor suspecte prin MS/DUI, întocmirea mapelor documentare, etc).

Citeste mai mult  Admisibilitatea apelului declarat pentru un inculpat decedat în cursul judecării cauzei în primă instanţă de apărătorul său ales

Prin urmare, enumerarea situațiilor în care o persoană care exercită funcția publică de polițist are acces la un sistem informatic (aplicațiile sau bazele de date), nu are decât un caracter exemplificativ, fapt care îngreunează considerabil probatoriul necesar a fi administrat pentru a demonstra că o asemenea persoană a accesat fără drept un sistem informatic.

Fiind o trăsătură caracteristică comună a tuturor infracțiunilor informatice, cerința expresă ca fapta să fie comisă „fără drept” reflectă, în mod logic, posibilitatea ca o faptă în legătură cu un sistem informatic să nu fie întotdeauna considerată o infracțiune per se, ci și un act legitim sau justificat chiar dacă nu este incidentă una din cauzele care înlătură caracterul penal al faptei.

Înțelesul expresiei „fără drept” derivă obligatoriu din contextul în care aceasta este folosită și impune o analiză atentă a principiilor sau intereselor care, eventual, pot înlătura vinovăția făptuitorului.

Potrivit art. 35 alin. (2) al Legii nr. 161/2003, acționează fără drept persoana care se află într-una din următoarele situații:

  • Nu este autorizată în temeiul legii sau al unui contract;
  • Depășește limitele autorizării;
    Nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.

În ceea ce privește elementul material al laturii obiective, acesta va fi reprezentat de acțiunea propriu-zisă de accesare a unui sistem informatic, sub formele și modalitățile la care face trimitere norma de incriminare.

Chiar dacă prevederile din legea specială definesc caracterul „fără drept” al operațiunilor de acest tip, dispozițiile art. 35 alin. (2) din legea nr. 161/2003 nu sunt prevăzute și în Codul penal intrat în vigoare la data de 01 februarie 2014 și deci nu pot completa norma de incriminare. Chiar dacă dispozițiile art. 35 alin. (2) al Legii 161/2003 pot constitui repere de ordin teoretic a căror utilizare nu poate afecta principiul legalității incriminării, întrucât transpun previzibil criteriile generale care permit aprecierea caracterului îndreptățit al unui act, noțiunea de acces fără drept se impune a fi raportată la fiecare categorie de persoane căror lege li se conferă un asemenea acces.

Accesul, în înțelesul dat de lege, desemnează intrarea în tot sau numai într-o parte a sistemului informatic. Metoda de comunicare – la distanță, inclusiv grație legăturii prin satelit sau nu, ori de aproape – nu prezintă importanță.

Citeste mai mult  Condițiile pentru existența infracțiunii de omisiune a sesizării

În forma sa cea mai simplă, accesul la un sistem informatic presupune o interacțiune a făptuitorului cu tehnica de calcul vizată prin intermediul echipamentelor sau diverselor componente ale sistemului vizat (sursă de alimentare, butoane de pornire, tastatură, mouse, joystick).

Manipularea acestor dispozitive se transformă în solicitări către Unitatea Centrală de Prelucrare (UCP) a sistemului, care va procesa date ori va rula programe de aplicații în beneficiul intrusului.

Practica a demonstrat că, în marea majoritate a cazurilor de acces ilegal la sisteme de calcul, făptuitorul acționează pentru obținerea de date informatice, care poate să însemne:

  • Captarea vizuală a acestora pe monitor;
  • Intrarea în posesia unei imprimante alfanumerice (foaia de hârtie tipărită);
  • Rularea unor programe sau aplicații care gestionează date informatice (ex. Programe de administrare a bazelor de date într-o instituție, programe de poștă electronică etc.)

În condițiile art. 360 alin. (1) C.pen și ținând cont de explicațiile de mai sus, este evident că nu se va reține existența unei infracțiuni de acces ilegal dacă accesul în sine a fost autorizat de către utilizatorul legitim al sistemului informatic vizat (sau de către proprietarul ori deținătorul legal) și acest acces este o formă de exercitare a atribuțiilor de serviciu.

În cauză, s-a reținut de prima instanță că inculpatul apelat exercită funcția de lucrător operativ al Poliției Române, fiind încadrat la Biroul de Investigații Criminale, făcând parte din categoria persoanelor care pot interoga oricând o bază de date conținând informații nepublice, cu condiția ca această interogare să aibă loc în legătură sau în exercitarea atribuțiilor de serviciu, astfel cum sunt acestea definite cu titlu exemplificativ de actele infra legale menționate anterior.

În absența unor formalități prealabile interogării propriu zise a sistemului informatic, având în vedere persoanele care desfășoară asemenea activități precum cele reținute de prima instanță, beneficiază de o parolă și un user – nume alocat în acest sens pentru un număr nedefinit de interogări ce pot fi operate inclusiv de pe un terminal mobil (deci pentru o situație operativă inopinată care poate interveni în activitatea operativă), noțiunea de depășire a limitelor autorizării nu se poate stabili decât ulterior și, de regulă, în funcție de modul în care informațiile obținute în urma interogării bazei de date au fost valorificate.

În jurisprudență cât și în alte situații de acest gen în care acuzațiile au fost formulate față de persoane care au dreptul de interogare a bazelor de date în virtutea exercitării atribuțiilor de serviciu, noțiunea de „depășire a limitelor autorizării” a fost reținută numai prin raportare la acțiunile subsecvent interogării bazei de date în baza parolei și a user – name-ului oferit de angajator.

Citeste mai mult  Sesizarea Curții Constituționale în procedura de cameră preliminară

Accesarea ab inițio a unu sistem informatic de către asemenea persoane nu poate fi considerată ilegală atâta timp cât respectivul sistem este în mod uzual folosit de către aceste categorii de funcționari (indiferent de perioada alocată acestei activități) chiar dacă datele informatice stocate sunt personalizate și semnalizate ca atare prin criptare ori protejare împotriva deschiderii/suprascrierii/modificării/restricționării accesului.

În consecință, dacă ulterior accesului la baza de date, va exista o acțiune în care informațiile astfel obținute sunt folosite, se va putea concluziona asupra unui acces ilegal sau, după caz, legal la baza de date, numai acțiunile ulterioare putând demonstra o eventuală depășire a limitelor autorizării, de natură să facă incidență norma de incriminare. În lipsa unor acțiuni ulterioare ale persoanei față de care interogarea operativă a bazei de date este asigurată de lege, tocmai pentru exercitarea în condiții optime a atribuțiilor de serviciu, va interveni o problemă de aplicare a normei de incriminare, în sensul dacă lipsa de relevanță și lipsa valorificării ulterioare în exercițiul funcțiunii a informațiilor obținute în urma interogării bazei de date poate constitui un acces ilegal la sistemul informatic.

Cum noțiunile de „fără drept” sau „depășire a limitelor autorizării” nu sunt definite concret în legea penală prin raportare la condițiile de tipicitate ale infracțiunii prevăzute de art. 460 C.pen, se impune stabilirea ariei de aplicare a normei de incriminare prin raportare concretă la cazul persoanelor care pot interoga oricând o bază de date conținând informații nepublice, când o asemenea interogare nu este urmată și de efectuarea ulterioară a unor acte specifice exercitării atribuțiilor de serviciu în legătură cu interogarea efectuată. De asemenea, se impune a fi stabilit dacă în cazul acestei categorii de funcționari, va fi reținută o depășire a limitelor legale a autorizării în cazul unei situații de fapt în care interogarea bazei de date să fie considerată necesară, însă informațiile obținute în urma interogării să nu prezinte relevanță pentru exercitarea ulterioară a atribuțiilor de serviciu și nici să nu fie valorificate în scop extraprofesional de titularul parolei de acces la baza de date, se conchide în cuprinsul sesizării.

Cuvinte cheie: >