Curtea de Apel București a sesizat ÎCCJ în vederea pronunțării unei hotărâri prealabile pentru dezlegarea următoarei chestiuni de drept: Folosirea fără drept al unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte elementele constitutive a două infracţiuni, respectiv, acces la un sistem informatic, prev. de art. 360 alin. (1) C.pen. şi efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) C.pen. (în formă tentată sau consumată, în funcţie efectuarea propriu-zisă a tranzacţiei) sau doar elementele constitutive ale infracţiunii de efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) C.pen. (în formă tentată sau consumată, în funcţie efectuarea efectivă a tranzacţiei)?
În cuprinsul sesizării se arată că, într-o opinie, se consideră că într-o astfel de situație va fi reținută exclusiv infracțiunea prev. de art. 250 alin. 1 C.pen.
S-a arătat că în ceea ce privește utilizarea unui instrument de plată electronică, reținerea art. 250 alin. (1) C.pen. (efectuarea de operațiuni financiare în mod fraudulos) nu poate face obiectul unor critici. Pe de altă parte, la o analiză simplistă, se observă că această operațiune financiară are la bază o interacțiune logică directă cu terminalul POS și o interacțiune logică indirectă – prin intermediul terminalului POS – cu serverul central al unei instituții financiare. Ambele dispozitive, atât terminalul POS, cât și serverul central sunt sisteme informatice. Se pune, așadar, problema în ce măsură interacțiunea logică cu aceste două sisteme informatice poate echivala cu o accesare fără drept a acestora.
În baza unei analize mai tehnice, ar trebui înțeles că un transfer de fonduri necesită, în această ipoteză, următoarele: un deținător fraudulos al instrumentului de plată electronică (agentul), un comerciant acceptant al instrumentului de plată electronică (deținătorul terminalului POS), banca titulară a terminalului POS (unde are cont comerciantul) și banca unde se află contul ce urmează să fie debitat (unde are cont victima). Astfel, agentul interacționează cu terminalul POS care transmite instrucțiuni băncii comerciantului, care, la rândul ei, solicită băncii unde se află contul ce urmează să fie debitat autorizarea tranzacției. La final, răspunsul oferit (tranzacție aprobată ori respinsă) de aceasta din urmă bancă se întoarce în sens invers, pe același circuit, și este afișat pe monitorul terminalul POS, care finalizează procesul prin tipărirea dovezii referitoare la efectuarea tranzacției. Autorul lucrării arată că reținerea art. 360 C.pen. ar trebui exclusă de plano. În primul rând, în măsura în care terminalul POS este operat de o persoană fizică, aceasta își dă acordul ca agentul să interacționeze cu respectivul sistem informatic. Din aceste considerente, se arată că interacțiunea cu terminal POS ar fi oricum una autorizată. Acordul funcționarului ca agentul să folosească respectivul terminal de comunicații, chiar dacă a fost obținut printr-o inducere în eroare, va produce efecte juridice. Prin urmare, interacțiunea autorizată cu terminal POS va rezulta pe mai departe într-o interacțiune autorizată cu serverul central al instituției financiare.
Dincolo de lipsa acestui element constitutiv, nu putem discuta nici despre un acces la un sistem informatic, plata cu cardul intrând doar sub incidența art. 250 C.pen. Sub acest aspect, plata cu cardul se aseamănă, la nivelul interacțiunii logice cu un sistem informatic, cu transmiterea unui e-mail ori a unor date informatice către un sistem informatic (cu privire la excluderea acestor conduite de sub sfera de incidență a art. 360 C.pen.). Accesul neautorizat nu este reținut nici în dreptul italian ori spaniol, atunci când se folosește fără drept un instrument de plată electronică pentru a efectua o plată la un terminal POS. Poate acest lucru ar trebui să dea de gândit practicii judiciare autohtone, care are mult prea des tendința de a crea în mod artificial concursuri de infracțiuni.
În acest sens, este indicată decizia nr. 1030/A/2019 a Curții de Apel București, în cauza respectivă instanța reținând ambele infracțiuni în concurs.
În lucrarea la care se face referire se mai menționează că este suficient să analizăm această conduită din perspectiva valorilor sociale protejate de art. 360 C.pen. pentru a observa că soluția reținerii acestei infracțiuni se află în contradicție cu rațiunea incriminării. Astfel, infracțiunea de acces neautorizat la un sistem informatic generează o stare de pericol pentru confidențialitatea, integritatea și accesibilitatea sistemelor ori a datelor informatice. În mod evident, efectuarea unor plăți prin intermediul unui terminal POS nu este aptă în abstracto să pună în pericol aceste valori sociale. Ca ultimă soluție, pentru sceptici, s-ar putea susține existența unei tentative neidonee (G. Zlati, Tratat de criminalitate informatică, vol. I, București, Ed. Solomon, 2020, p. 207-209).
În sensul părerii contrare, respectiv reținerea unui concurs de infracțiuni, sunt opiniile majoritare exprimate cu ocazia mai multor întâlniri de practică neunitară.
La întâlnirea de practică neunitară organizată la nivelul Curții de Apel București și a instanțelor arondate pe trimestrul III 2019 (28 octombrie 2019), cu majoritate de voturi s-a opinat în sensul reținerii existenței unui concurs ideal între infracțiunile de acces ilegal la un sistem informatic și cea de efectuare de operațiuni financiare în mod fraudulos, cu mențiunea că trebuie apreciat însă de la caz la caz.
Termenul de soluționare a sesizării este 28.09.2022
Cuvinte cheie: acces ilegal la un sistem informatic > dezlegare chestiune de drept > efectuarea de operatiuni financiare în mod fraudulos