Aspecte Juridice Privind Criminalitatea Informatica
INTRODUCERE – MOTIVAȚIE ȘI ARGUMENTARE
Criminalitatea informatică este o temă de actualitate, care oferă nenumărate posibilități de cercetare, atât datorită multitudinii de infracțiuni pe care le cuprinde acest fenomen, cât și datorită evoluției continue a tehnologiei.
Dată fiind complexitatea domeniului, fenomenul criminalității informatice a reușit să prindă din ce în ce mai mult contur în ultimii ani, în ciuda activităților de prevenire, fapt care a dus chiar și la crearea unor noi meserii, cum ar fi cea de specialist în securitate IT.
În prezent, infracțiunile informatice ocupă un loc important în peisajul juridic penal, pote chiar mai important decât unele infracțiuni clasice, deosebit de grave. Ușurința comiterii infracțiunilor informatice, evoluția lor rapidă și caracterul lor global, datorat Internetului, face ca acest tip de fapte să fie din ce în ce mai amenințătoare și greu de prevenit.
Conform declarației din presa centrală a șefului Serviciului de Combatere a Criminalității Informatice, Virgil Spiridon, din cadrul Inspectoratului General al Poliției, din luna mai 2012, criminalitatea informatică din România crește anual cu 5-10 procente. Pornind de la această premisă, scopul lucrării de față este de a analiza cele mai periculoase ramuri ale criminalității informatice și de a vedea cum ar putea fi acest fenomen controlat și prevenit la nivel național.
Plecând de la baza teoretică pe care o voi prezenta în prima parte a lucrării, voi dezvolta cercetarea pentru a observa care ar putea fi măsurile de prevenție la nivel național. Pentru o înțelegere mai bună a fenomenului, voi realiza și un interviu cu un specialist în securitate IT.
În primul capitol al lucrării, “Aspecte generale privind criminalitatea informatică”, voi oferi o serie de date teoretice legate de apariția și evoluția fenomenului de criminalitate informatică și de tipurile de infracțiuni. Voi aborda totodată și o serie de noțiuni legate de criminalitate, la modul general, și voi expune principalele caracteristici ale criminalității informatice. Voi continua apoi cu datele teoretice și voi încerca să evidențiez următoarele aspecte ale acestui domeniu, punând accent atât pe reglementarea internațională, cât și pe cea internă.
În cel de-al doilea capitol, “Aspecte juridice privind criminalitatea informatică”, voi anliza normele penale care incriminează infracțiunile informatice, modalitățile de combatere și voi trece la analiza unui caz de criminalitate informatică, pentru a vedea concret cum ar fi putut fi prevenit un jaf cibernetic de proporții.
În cel de-al treilea capitol, “Factori determinanți în producerea infracțiunilor informatice”, voi încerca să expun principalii factori care determină acest fenomen și voi vorbi cu un specialist în securitate IT, pentru a afla și părerea unui profesionist, în acest sens.
Cel de-al patrulea capitol se va intitula “Măsuri de prevenire a criminalității informatice” și va cuprinde propuneri de lege ferenda și, după cum îi spune și titlul, o serie de măsuri de prevenire, care ar putea ajuta la scăderea numărului de infracțiuni informatice.
Așa cum este de așteptat, voi încheia lucrarea de față cu o serie de concluzii.
ASPECTE GENERALE PRIVIND CRIMINALITATEA INFORMATICĂ
1.1. Apariția și evoluția fenomenului
Pentru a putea vorbi despre criminalitatea informatică, trebuie să stabilim mai întâi anumite lucruri legate de fenomenul criminalității în general. Criminalitatea a apărut ca și fenomen social, încă din cele mai vechi timpuri. Tocmai de aceea, “primele preocupări pentru pedepsirea unor comportamente individuale considerate de comunitate ca fiind periculoase au fost determinate de necesitatea autoprotejării comunităților umane”.
Pe măsură ce comunitățile umane au evoluat și tehnologia a început să ocupe un loc din ce în ce mai important în viața noastră de zi cu zi, și amenințările au crescut. Azi, putem spune că de la apariția primului calculator elecromecanic, celebrul Z3 proiectat de inginerul german Konrad Zuse în 1941, și până în prezent, sistemul informatic a devenit indispensabil în viețile noastre. De la accesul rapid la informație, până la locurile de muncă create și sistemele informatice pe care le folosim în mai toate domeniile – domeniul bancar, educație, sănătate, securitate etc. – avantajele noilor tehnologii sunt absolut indiscutabile.
Dar cum fiecare lucru bun atrage după sine și un lucru mai puțin bun, putem spune că dezvoltarea tehnologiilor a dus la schimbări sociale și politice, însă, așa cum probabil era de așteptat, a provocat și dezvoltarea și specializarea activităților criminale. Astfel a apărut criminalitatea informatică, adică criminalitatea prin intermediul sistemelor informatice, fie ele calculatoare, telefoane mobile etc.
În ultimii ani, mai mulți specialiști au încercat să definească fenomenul criminalității informatice, apărând astfel mai multe teorii asupra subiectului, tocmai datorită faptului că este un subiect relativ nou și complex. Una dintre aceste definiții ale criminalității informatice este “orice acțiune ilegală în care un calculator constituie instrumentul sau obiectul delictului, altfel spus orice infracțiune al cărei mijloc sau scop este influențarea funcției unui calculator”.
Ce este și mai grav este că indiferent de natura sistemelor informatice, de cât de performante sunt ele, acestea au rămas până în zilele noastre vulnerabile la atacuri. Și, tocmai din cauza acestei vulnerabilități, infracțiunile informatice au ajuns să poată pună în pericol chiar și siguranța mondială.
În ceea ce privește evoluția criminalității informatice, pot fi subliniate mai multe etape. “Prima etapă, specifică începutului anilor ‘80, a fost caracterizată de piratarea de software-uri, de falsificarea cărților de credit și de alte astfel de infracțiuni. A doua etapă, specifică sfârșitului anilor ‘80, s-a remarcat prin deturnări de fonduri, dar și prin hackerii care piratau N.A.S.A, C.I.A. ori alte ținte asemenea. Cea de-a treia etapă, specifică anilor ‘90, a fost caracterizată de specializarea infractorilor, de apariția profesioniștilor în piraterie și de sabotajele informatice. A patra etapă, cea din prezent, este caracterizată de apariția unei noi amenințări – cyberterorismul – în condițiile în care computerele au penetrat toate sectoarele vieții sociale și le controlează pe cele mai importante dintre ele, precum transporturile, apărarea, etc.”.
După cum putem remarca, dezvoltarea tehnologiilor, dar și a Internetului, a accentuat astfel insecuritatea sistemelor. “Infractorii, mai mult sau mai puțin organizați, sunt interesați de tehnologie din cel puțin trei motive: asigurarea comunicațiilor (telefon mobil, poștă electronică), coordonarea activităților (trafic de stupefiante, spălare de bani etc.) și scopuri teroriste (punerea în discuție a credibilității instituțiilor statului și a securității sistemelor informatice)”.
1.2. Clasificarea infracțiunilor informatice
În ceea ce privește clasificarea infracțiunilor informatice, mai multe organizații și instituții internaționale au încercat, de-a lungul timpului, să elaboreze o serie de liste oficiale pentru a împărți și a caracteriza infracțiunile informatice. Consiliul Europei este una dintre primele organizații internaționale care au luat măsuri în acest sens, încă de la mijlocul anilor ‘80. Astfel, infracțiunile informatice au fost clasificate după următoarea listă: “frauda informatică, falsul informatic, fapte ce prejudiciază datele sau programele pentru calculator, sabotajul informatic, accesul neautorizat, interceptarea neautorizată, reproducerea neautorizată a unui program pentru calculator, reproducerea neautorizată a unei topografii, alterarea de date sau de programe pentru calculator, spionajul informatic, utilizarea neautorizată a unui calculator și utilizarea neautorizată a unui program protejat”.
Pentru a înțelege mai bine ce presupun aceste infracțiuni, e cazul să le analizăm, pe scurt, pe fiecare în parte:
Frauda informatică – Majoritatea activelor administrate cu sisteme informatice, precum fondurile electronice, depozitele sau mobile-banking-ul, au devenit ținta atacurilor, la fel ca orice altă formă tradițională de proprietate. De aceea, specialiștii au încercat să formuleze niște caracteristici pentru acest tip de fraudă. Prin urmare, frauda informatică este definită ca “intrarea, alterarea, ștergerea sau supraimprimarea de date sau de programe pentru calculator, care cauzează un prejudiciu economic sau material, în intenția de a obține un avantaj
economic nelegitim pentru sine însuși sau pentru altul”.
Falsul informatic – Prin fals informatic înțelegem “intrarea, alterarea, ștergerea sau supraimprimarea de date sau de programe pentru calculator, care, conform dreptului național, ar constitui infracțiunea de falsificare. Obiectul juridic al infracțiunilor este reprezentat de aceleași valori care sunt protejate și de dreptul tradițional în materie de fals”.
Fapte ce prejudiciază datele sau programele pentru calculator – Prin acest tip de infracțiuni înțelegem ștergerea, modificarea ori pur și simplu punerea în pericol a datelor, a informațiilor sau a programelor de pe un calculator. Ștergerea de date ajunge să echivaleze astfel cu distrugerea de obiecte materiale. În alte cazuri, datele nu mai sunt accesibile persoanelor autorizate. “În majoritatea cazurilor, autorul caută să aducă daune. Intenția de a scoate dintr-un asemenea act un profit ilicit nu este necesară și nici tipică acestui comportament delictual. Daunele informatice sunt adesea motivate de răzbunare (…) însă motivațiile politice sau ideologice sunt și ele caracteristice”.
Sabotajul informatic – Prin sabotaj informatic înțelegem împiedicarea funcționării normale a unui sistem informatic. “Infracțiunea se săvârșește cu intenție directă sau indirectă. Autorul acestei infracțiuni are ca obiectiv împiedicarea funcționării unui sistem informatic sau de telecomunicații, fără să-l intereseze tipul de sistem”.
Accesul neautorizat – După cum înțelegem chiar din denumirea sa, această infracțiune constă în accesul fără autorizație într-un sistem informatic, de cele mai multe ori cu scopul de a prealua anumite date importante, prin încălcarea regulilor de securitate. Astfel a apărut și un personaj foarte mediatizat în ultimii ani, hacker-ul. Definiția hacker-ului o regăsim chiar și în Dicționarul Explicativ al Limbii Române, ediția 2009. El este definit ca fiind “O persoană care încearcă să obțină, în mod ilegal, controlul unui sistem de securitate, computer sau rețea, cu scopul de a avea acces la informații confidențiale sau avantaje materiale”.
Interceptarea neautorizată – Noile tehnologii și, până la urmă, evoluția infracțiunilor informatice au dus la apariția unor noi activități, similare cu tradiționalul spionaj. Este vorba despre ascultare, supraveghere, mai exact interceptare de date. Această infracțiune se practică în special de la distanță, dar, la fel ca infracțiunea de acces neautorizat, “nu poate fi sancționată decât dacă este comisă intenționat”.
Reproducerea neautorizată a unui program pentru calculator – Având în vedere că ținta principală a multor infracțiuni informatice este accesul la programele unui alt calculator, adesea la distanță, această infracțiune poate fi definită ca fiind “reproducerea, difuzarea sau comunicarea în public, fără drept, a unui program pentru calculator, protejat de lege”. În această subcategorie intră, fără doar și poate, și pirateria software. Pirații Internetului aduc mari prejudicii producătorilor de programe pe calculator, estimându-se, la nivel mondial, că pentru un program existent pe piață, sunt cel puțin alte două copii.
Există cinci forme de bază ale pirateriei software: Softlifting (atunci când de pe un soft original se fac mai multe copii), Hard Disk Loading (când pe un computer nou, care urmează a fi vândut, se instalează ilegal programe piratate), Contrafacere (când se piratează, cu scopul vânzării, niște programe originale), Bulletin Board Piracy sau BBP (când un program original este distribuit mai multor persoane, prin intermediul unui modem, de exemplu) și Închiriere (când un program este instalat pe un calculator care urmează să fie închiriat sau folosit de mai multe persoane).
Reproducerea neautorizată a unei topografii – Prin această infracțiune înțelegem “reproducerea fără drept a topografiei protejate de lege a unui produs semiconductor fabricat cu ajutorul acestei topografii”.
Alterarea de date sau de programe pentru calculator – Orice modificare adusă unui program pe calculator, fără drept, dar cu intenție, se consideră ca fiind o infracțiune de alterare a datelor.
Spionajul informatic – Prin spionaj informatic înțelegem obținerea prin mijloace ilegale a unor date, “secrete comerciale sau industriale, în intenția de a cauza un prejudiciu economic persoanei care deține dreptul asupra secretului sau de a obține pentru sine sau pentru altcineva avantaje economice”.
Utilizarea neautorizată a unui calculator – După cum înțelegem chiar din denumirea sa, această infracțiune constă în utilizarea fără drept a unui sistem sau a unei rețele informatice, de cele mai multe ori pentru a obține anumite beneficii sau avantaje economice. “Forma de vinovăție cu care se comite această infracțiune este intenția”.
Utilizarea neautorizată a unui program protejat – Obiectul juridic al acestei infracțiuni este același cu cel al infracțiunii de reproducere neautorizată a unui program pentru calculator. Scopul este acela de a obține un avantaj economic ilicit ori de a produce un prejudiciu persoanei care deține programul protejat.
Pe de altă parte, în studiul “Aspecte legale ale criminalității informatice, în cadrul societății informaționale”, pe care prof. dr. Ulrich Sieber, de la Universitatea din Wurzburg, Germania, l-a publicat în ianuarie 1998, pentru Comisia Europeană, sunt prezentate și alte categorii de infracțiuni informatice. Acestea sunt: atingeri aduse dreptului la viața privată, infracțiuni cu caracter economic și alte infracțiuni, precum infracțiuni contra vieții ori infracțiuni legate de crima organizată.
La rândul lor, majoritatea infracțiunilor despre care prof. dr. Ulrich Sieber vorbește pe larg în studiul său, pot fi împărțite în câteva subcategorii. În cazul infracțiunilor economice se poate vorbi despre hacking, sau penetrarea sistemelor informatice, spionaj informatic, sabotaj informatic, pirateria programelor pentru calculator și frauda informatică. În plus, în cazul ultimei categorii de infracțiuni, prof. dr. Ulrich Sieber subliniază și problema difuzării de materiale pornografice pe Internet, și mai ales a pornografiei infantile.
2.1. Cyber-terorismul
În ultimii ani, în contextul înmulțirii cazurilor de criminalitate informatică, la nivel mondial a început să se vorbească din ce în ce mai mult de terorism informațional. Fenomenul, denumit de specialiști “cyber-terorism” vizează “pătrunderea în sistemele de telecomunicații și rețelele de calculatoare ale operatorilor publici sau privați, prin introducerea unor semnale prin care pot declanșa catastrofe – în sistemul energetic, de transport, bancar etc. – pot bruia mesaje radio sau TV, răspândind panică sau incitând la violență”.
De asemenea, multe grupuri extremiste apelează la folosirea Internetului în scopul proliferării unor concepții extremiste. Sunt nenumărate și binecunoscute cazurile recente, care au avut în centru site-uri franceze ori americane, atacate de gruparea extremistă Stat Islamic. După ce site-urile mai multor instituții importante au fost sparte de hackerii Statului Islamic, paginile web afișau mesaje de susținere pentru extremismul islamic, fapt care a dus la teamă și panică în rândul populației. Chiar și conturile oficiale de pe rețelele de socializare au fost vizate de hackeri, unul dintre cele mai recente exemple fiind contul de Twitter al Comandamentului Central American. Atacul cibernetic, care a avut loc în luna ianuarie a acestui an, s-a soldat cu amenințări grave la adresa trupelor americane.
Pe lângă spargerea site-urilor, și virușii informatici sunt o amenințare reală a zilelor noastre. Destinați să distrugă baze de date cu caracter de stat, adesea secret, virușii informatici pun în pericol întreaga siguranță a sistemelor informatice internaționale.
Dacă la sfârșitul anului 2001 erau peste 100 de mii de viruși identificați, adică găsiți pe un alt computer decât cel pe care au fost creați, astăzi cifrele depășesc 400 de milioane.
Evoluția numărului de viruși, din 1984, până în 2015.
Sursa: http://www.av-test.org/en/statistics
Evoluția numărului de viruși, din iulie 2014, până în iunie 2015.
Sursa: http://www.av-test.org/en/statistics
O altă metodă la care apelează cyber-teroriștii este cea a “criptării solide”. Mai exact, cei din spatele acestor atacuri dau naștere unor mesaje criptate, imposibil sau foarte greu de descifrat de către autorități. “Aceste criptări indescifrabile oferă posibilitatea teroriștilor, traficanților de droguri sau de arme, sau oricărui răufăcător să-și comunice intențiile distructive, fără niciun risc de a fi interceptați sau de a păstra într-o arhivă electronică dovezile intențiilor lor criminale, fără a putea fi deslușite în niciun fel. Specialiștii în domeniu consideră noua utilizare a criptării ca fiind deosebit de periculoasă – fapt care îi determină să o includă în categoria armelor de distrugere în masă”. Se estimează, astfel, că un atac bazat pe o tehnică de criptare ar putea avea consecințe catastrofale asupra sistemelor bancare, de transport, de energie etc.
Din păcate, pe cât de utilă ne este revoluția aceasta a tehnologiei, la fel este și periculoasă. Mai ales în ultimii ani, în ciuda eforturilor de prevenție ale autorităților mondiale, despre care vom vorbi puțin mai târziu, Internetul le-a oferit grupărilor teroriste o mulțime de posibilități.
Pe lângă cyber-teroriști, putem vorbi și despre cyber-războinici. Ei sunt reprezentați de trupe care se luptă practic pentru informații, dar nu sunt teroriști. “Și nu orice informații, ci date care joacă rol crucial și care stabilesc cine va câștiga și cine va pierde. Navele de război, tancurile, avioanele de luptă, toate operează în grupuri unite unele cu celelalte în rețele de informație. Sediile centrale primesc atât de multe date încât un obiectiv important e sortarea lor suficient de rapidă pentru a fi utile… Se spune că SUA ar avea cele mai impresionante forțe de cyber-războinici, dar China a declarat în mod public că vede cyber-războiul ca fiind cea mai puternică armă a sa într-un potențial război cu America”.
Dar să revenim la cyber-teroriști. “Factorii care determină organizațiile teroriste, extremiste și separatiste de a recurge la cyber-terorism, pot fi grupați în patru categorii”. Prima este reprezentată de posibilitatea păstrării anonimatului celor care emit mesajele. A doua categorie de factori determinanți ține de caracterul descentralizat al rețelei de Internet. Cea de-a treia categorie vizează dependența crescândă a instituțiilor statului de rețelele computerizate. Și, nu în ultimul rând, cea de-a patra categorie de factori determinanți ține de numărul din ce în ce mai mare de utilizatori de Internet.
Din păcate, “fenomenul terorismului prin Internet capătă proporții îngrijorătoare, din cauză că tot mai multe persoane au acces relativ ușor la informații sensibile. Tocmai de aceea, specialiștii sunt de părere că una dintre cauzele creșterii numărului de atentate prin utilizarea explozivilor o constituie Internetul”.
Cele mai eficiente măsuri de prevenire a cyber-terorismului țin de menținerea și sporirea sistemelor informatice, de protejarea datelor de importanță majoră națională și de îmbunătățire a colaborării autorităților din întreaga lume. Și controlul rețelei de Internet ar ajuta mult în acest caz, mai ales controlul mesajelor criptate, dar și contracararea atacurilor. Este nevoie de foarte multă atenție și de o analiză atentă a acestui fenomen, deoarece amenințările sunt din ce în ce mai grave și din ce în ce mai prezente în viețile noastre.
Elemente de drept comparat
La nivel internațional, Convenția Consiliului Europei, semnată la Budapesta, în 23 noiembrie 2001, oferă cele mai importante aspecte cu privire la modul de protecție a libertății și securității pe Internet. Convenția a fost deschisă semnării atât statelor membre ale Consiliului Europei, cât și celorlalte state și a fost rezultatul a patru ani de consultări între experții statelor membre ale Consiliului Europei, SUA, Canada și Japonia. Inițial, 32 de state membre au semnat convenția, la care s-au adăugat și SUA, Canada, Japonia și Africa de Sud. Australia, Republica Dominicană, Mauritius, Panama și Sri Lanka au ratificat, de asemenea, această convenție. În plus, în ultimii ani mai multe state au fost invitate să semneze convenția, printre care și Columbia, Mexic, Argentina, Chile, Maroc, Costa Rica, Senegal și Philippine. În data de 25 iunie 2015 numărul statelor care ratificaseră Convenția ajunsese la 46.
Convenția de la Budapesta este principalul instrument creat pentru a facilita comunicarea și cooperarea internațională în lupta împotriva criminalității informatice. Convenția cuprinde atât definiții, proceduri și reguli clare, cât și anumite date și instrumente procedurale. La modul general, “Convenția Consiliului Europei se referă la patru categorii de infracțiuni: infracțiuni împotriva confidențialității, integrității și disponibilității datelor, infracțiuni în legătură cu mediul informatic, pornografia infantilă prin sisteme informatice și infracțiuni care aduc atingere proprietății intelectuale și drepturilor conexe”.
Scurt istoric al reglementărilor internaționale
De-a lungul timpului, cu mult înaintea elaborării Convenției de la Budapesta, Consiliul Europei a inițiat mai multe demersuri în scopul reglementării activității în spațiul cibernetic. Recomandările făcute de Consiliul Europei, mai exact de Comitetul de Miniștri, au venit în întâmpinarea nevoilor juridice de la acea vreme. Comitetul de Miniștri este organul decisional al Consiliului Europei. Acesta este format din miniștrii afacerilor externe ai celor 47 de state membre sau din reprezentanții diplomatici permanenți (ambasadori), acreditați pe lângă Consiliul Europei.
Iată câteva dintre cele mai importante recomandări ale Consiliului Europei, cu privire la reglementarea activității din spațiul cibernetic:
Recomandarea R(85)10, adoptată la 28 iunie 1985, cuprinde elemente practice de aplicare a regulilor Convenției europene de asistență judiciară în materie penală, în cazurile care privesc interceptarea telecomunicațiilor;
Recomandarea R(86)9, adoptată la 22 mai 1986, cu privire la drepturile de autor și politicile culturale;
Recomandarea R(87)15, adoptată la 17 septembrie 1987, care reglementa folosirea datelor personale în activitatea poliției;
Recomandarea R(88)2, adoptată la 18 ianuarie 1988, privește măsurile de combatere a pirateriei, în contextul existenței drepturilor de autor și a drepturilor conexe;
Recomandarea R(89)9, adoptată la 13 septembrie 1989, cu privire la infracțiunile realizate cu ajutorul computerului;
Recomandarea R(95)4, adoptată la 7 februarie 1995, cu privire la protecția datelor personale, în aria telecomunicațiilor, referindu-se în special la serviciile de telefonie;
Recomandarea R(95)13, doptată la 11 septembrie 1995, cu privire la problemele de procedură penală legate de tehnologiile informatice;
Pe lângă aceste recomandări, în iunie 1997, cu ocazia summitului G8 din Denver, miniștrii statelor membre, reuniți în cadrul evenimentului, au abordat și subiectul criminalității informatice și au pus bazele unui document important, document care cuprindea 10 principii și direcții de acțiune pentru combaterea criminalității informatice. Iată care au fost cele 10 principii:
Nu trebuie să existe niciun loc sigur pentru cei care comit abuzuri prin intermediul tehnologiei informatice;
Investigatiile și pedepsele aplicate în cazul infracțiunilor internaționale, realizate prin intermediul tehnologiei informatice trebuie să fie analizate de toate statele implicate, indiferent de locul în care a avut loc infracțiunea;
Reprezentații legii trebuie să fie instruiți pentru a putea face față infracțiunilor realizate prin intermediul tehnologiei informatice;
Sistemele juridice trebuie să protejeze confidențialitatea, integritatea și disponibilitatea datelor și sistemelor și să se asigure că abuzurile sunt pedepsite;
Sistemele juridice ar trebui să permită păstrarea și accesul rapid la datele electronice, care sunt adesea esențiale pentru investigarea cu succes a infracțiunilor informatice;
În cazurile de criminalitate informatică internațională, statele implicate trebuie să lucreze împreună pentru colectarea și schimbul de probe, având ca scop final soluționarea cazurilor;
Accesul la baze de date elecronice, în scopul soluționării unor cazuri, trebuie să se poată realiza liber, fără acordul statului pe teritoriul căruia se află respectivele baze de date;
Trebuie dezvoltat regimul juridic privind folosirea datelor electronice în anchete;
În măsura în care este posibil, sistemele informatice și de telecomunicații ar trebui să fie concepute să prevină și să detecteze din timp abuzurile;
Activitatea din acest domeniu ar trebui să fie coordonată de mai multe instituții specializate în domeniu, pentru a se asigura corectitudinea și relevanța rezultatelor finale.
Iată și cele 10 direcții de acțiune, recomandate în cadrul summitului G8 din Denver, din 1997:
Trebuie să se apeleze la personal calificat, ori de câte ori este vorba de criminalitate informatică, și să se stabilească un centru de contact la nivel internațional, care să fie disponibil oricând;
Trebuie să se ia măsurile necesare pentru a avea asigurarea că există suficienți specialiști în domeniu, care să lupte împotriva criminalității informatice și să ofere asistență organelor de drept atunci când e nevoie;
Trebuie să fie analizate sistemele juridice, pentru a ne asigura că acestea incriminează corespunzător abuzurile informatice sau de telecomunicații;
Trebuie să se negocieze o serie de acorduri de asistență și cooperare între state, pentru a soluționa infracțiunile informatice;
Trebuie să se dezvolte soluții viabile care să permită anchetele transfrontaliere și investigațiile datelor, atunci când acestea sunt localizate;
Trebuie să se elaboreze proceduri pentru a obține date, dacă acestea sunt necesare, de la cei responsabili cu sistemele de telecomunicații;
Trebuie să existe o colaborare cu cei din industria IT, pentru ca cele mai noi tehnologii să poată fi puse în slujba celor care luptă cu criminalitatea informatică;
Trebuie să ne asigurăm că putem face față tuturor cerințelor, mai ales în cazuri urgente care privesc criminalitatea informatică;
Trbuie să creștem nivelul standardelor internaționale în ceea ce privește sistemul informatic;
Trebuie să se dezvolte anumite standarde în ceea ce privește transmiterea datelor folosite în investigații;
Statele care fac parte din G8 (Grupul celor Opt) – Canada, Franța, Germania, Italia, Japonia, Regatul Unit al Marii Britanii și al Irlandei de Nord, Rusia și Statele Unite ale Americii – au fost printre primele care au propus armonizarea legislației referitoare la infracțiunile informatice. Acest lucru s-a datorat faptului că tot aceste state aveau și cea mai îndelungată experiență în utilizarea Internetului.
Tot în 1997, Grupul celor Opt a declarat război mai multor tipuri de criminalitate informatică – infracțiunilor legate de spionaj, furtului electronic de orice fel (furtul de informații de pe cardurile bancare, pirateria drepturilor de autor, spălarea de bani), traficului de droguri organizat cu ajutorul sistemelor informatice și pornografiei infantile. Chiar dacă nu se puseseră de acord asupra tuturor aspectelor legate de criminalitatea informatică, majoritatea statelor europene, precum și statele care făceau parte din G8 realizau nevoia unor măsuri urgente împotriva acestui fenomen, care era în continuă evoluție.
Până la începutul anilor 2000, strategia statelor care se confruntau cu fenomenul criminalității informatice s-a bazat mai ales pe reglementări, acorduri și strategii care să le permită cooperarea. Se acorda o mare atenție perfecționării specialiștilor, se făceau eforturi pentru realizarea unui cadru legal și se dorea chiar înființarea unei organizații care să funcționeze în acest scop. Toate aceste eforturi au dus la apariția celei mai importante convenții internaționale, Convenția Consiliului Europei privind Criminalitatea Informatică, semnată la Budapesta.
Reglementări internaționale
Principalele diferențe care există între codurile penale ale diferitelor state, în ceea ce privește reglementarea criminalității informatice, sunt date mai ales de nivelul diferit de dezvoltare al tehnologiilor informatice. Unele state sunt abia la începutul erei tehnologiilor informatice și nu au reglementat în niciun fel această materie. Pe de altă parte, în statele dezvoltate, codurile penale conțin într-o măsură destul de mare reglementări cu privire la fenomenul criminalității informatice ori la infracțiunile informatice. Sunt unele țări în ale căror coduri penale există chiar liste detaliate de activități infracționale reglementate prin legi administrative.
În cele ce urmează voi încerca să realizez o analiză a principalelor prevederi și sancțiuni ale codurilor penale din mai multe state.
Africa de Sud
În Africa de Sud este în vigoare Legea Comunicațiilor Electronice și Tranzacțiilor, din 2 august 2002. Capitolul VIII al acestei legi face referire chiar la criminalitatea informatică și sunt menționate mai multe tipuri de infracțiuni și pedepsele aferente acestora. Accesul neautorizat și interceptarea datelor sunt principalele infracțiuni informatice la care se face referire, iar pedeapsa maximă menționată este cu închisoarea până la cinci ani.
Legislația Africii de Sud respectă așadar o parte din prevederile Convenției de la Budapesta și incriminează chiar și tentativa.
China
Se spune despre China că ar ocupa locul al doilea în topul criminalității informatice, după Statele Unite ale Americii. Cu toate acestea, China refuză să ratifice Convenția de la Budapesta. Diferența majoră dintre cele două puteri este dată însă de faptul că China este una dintre țările care produce importante resurse informatice de ultimă generație, însă nivelul de trai este destul de scăzut, ceea ce “facilitează proliferarea diferitelor forme de manifestare a criminalității informatice”.
În ceea ce privește cadrul legal, în China majoritatea aspectelor legate de criminalitatea informatică sunt acoperite de diferite legi și reglementări. Cele mai importante organizații responsabile de securitatea internă și externă sunt Biroul Securității Publice (PSB), responsabil de securitatea internă și Ministerul pentru Securitatea Statului (MSS), care se ocupă de securitate externă.
Codul penal al Republicii Chineze face referire la infracțiunile de spionaj, de sabotaj, la crearea de viruși informatici, la fraudele financiare și deturnările de fonduri, realizate cu ajutorul tehnologiilor informatice, dar și la pătrunderea neautorizată în baze de date. Legislația menționează o pedeapsă minimă de cinci ani cu închisoare.
Și de această dată sunt acoperite prevederile Convenției de la Budapesta cu privire la infracțiunile legate de securitatea și confidențialitatea datelor, dar și la infracțiunile ce au legătură cu mediul informatic.
Japonia
În Japonia, legea 128 din 1999, privind accesul neautorizat în sistemele informatice, prevede sancțiuni pentru mai multe tipuri de acțiuni. În primul rând, sunt pedepsite accesul neautorizat în sisteme informatice, obținerea ilegală de date, utilizarea ilegală a unor sisteme informatice, pătrunderea ilegală în computere sau rețele de date sau solicitarea unui specialist să facă aceste lucruri ilegal, contra cost. Toate acestea se pedepsesc cu închisoare de până la un an sau cu amendă.
Remarcăm că legislația Japoniei în materie de criminalitate informatică se axează mai mult pe accesul ilegal la computere sau rețele informatice.
Regatul Unit al Marii Britanii și al Irlandei de Nord
Regatul Unit al Marii Britanii și al Irlandei de Nord are o legislație bogată în ceea ce privește criminalitatea informatică, una dintre cele mai importante legi fiind legea pentru prevenirea abuzurilor asupra computerelor, din 1990, creată special pentru a preveni accesarea neautorizată a sistemelor informatice.
În această lege sunt menționate mai multe infracțiuni, printre care accesul neautorizat la un computer sau modificările neautorizate aduse unui sistem informatic. Activitățile de hacking, fraudele, virușii informatici lansați cu intenția de a accesa anumite informații confidențiale, toate sunt legiferate, chiar dacă nu există intenție, și se pedepsesc, în funcție de gravitatea faptelor, cu închisoare de până la cinci ani.
Franța
Franța a ratificat Convenția Consiliului Europei privind combaterea criminalității informatice la 10 ianuarie 2006.
În Codul Penal francez, principalele infracțiuni informatice la care se face referire sunt accesul în mod fraudulos la un sistem informatic, modificarea neautorizată a unui sistem informatic, accesarea și distribuirea neautorizată a unor date confidențiale sau tentativa acestor delicte. Franța pedepsește tentativa cu aceleași pedepse cu care sunt pedepsite și infracțiunile consumate. Pedeapsa maximă menționată în aceste cazuri este, în funcție de gravitatea faptelor, de închisoare până la cinci ani sau amendă de până la 75.000 de euro.
Germania
Codul Penal al Germaniei face referire la trei mari categorii de infracțiuni informatice – spionajul de date, alterarea datelor și sabotajul. În funcție de gravitatea faptelor, pedeapsa maximă cu închisoarea este de până la cinci ani sau amendă. Atât în cazul infracțiunilor de sabotaj, cât și în cazul celor de alterare a datelor, tentativa se pedepsește.
Legislația germană cu privire la criminalitatea informatică este foarte concretă și respectă îndeaproape recomandările și prevederile Convenției Consiliului Europei.
Italia
Italia a ratificat Convenția Consiliului Europei privind combaterea criminalității informatice la 27 februarie 2008. Ifracțiunile informatice menționate în Codul Penal italian sunt accesul neautorizat într-un computer sau într-un sistem de telecomunicații, posesia ilegala de date obținute prin accesul ilegal la o bază de date și difuzarea de programe care țintesc întreruperea sau afectarea unui sistem informatic. Pedepsele prevăzute de lege în cazul acestor infracțiuni informatice sunt, în funcție de gravitatea faptei, de până la cinci ani de închisoare.
Legislația italiană pune accent pe incriminarea infracțiunilor ce țin de securitatea datelor, de confidențialitate și de integritatea sistemelor informatice.
Rusia
La fel ca și China, Rusia, o altă sursă majoră de criminalitate informatică la nivel mondial, refuză să ratifice Convenția de la Budapesta.
Codul Penal al Rusiei include un singur capitol referitor la infracțiunile informatice, capitol intitulat “Infracțiuni de natură informatică”. Cele trei articole menționate în acest capitol fac trimitere la accesul neautorizat într-un computer sau într-o rețea informatică; producerea, reproducerea, folosirea sau distribuirea ilegală de programe pentru calculatoare și violarea regulilor de operare a sistemelor informatice.
Ceea ce iese în evidență în cazul Rusiei sunt pedepsele pentru aceste infracțiuni. În funcție de gravitatea faptei, inculpatul poate primi pedeapsa cu închisoarea, de până la șapte ani, restrângerea anumitor drepturi sau amendă de până la 800 de salarii minime pe economie, la care se adaugă confiscarea veniturilor.
Statele Unite ale Americii
Codul Penal al Statelor Unite ale Americii reglementează mai ales accesul ilegal la un sistem informatic și frauda informatică. Legislația americană este foarte bogată în ceea ce privește criminalitatea informatică, asta deoarece Statele Unite au o lungă istorie legată de tehnologiile informatice.
Pedepsele diferă însă, de la stat la stat, fiecare având un cod propriu care reglementează infracțiunile informatice. Cele mai grave fapte sunt pedepsite cu închisoarea de până la 15 ani, dar și cu amenzi impresionante.
Canada
Codul Penal al Canadei incriminează mai ales accesul neautorizat la rețele de date, interceptarea datelor sau distribuirea neautorizată a unor informații confidențiale. Așadar, securitatea și integritatea datelor sunt puse în prim plan.
Remarcăm că falsul sau frauda informatică sunt acoperite mai degrabă de dreptul comun. În ceea ce privește pedepsele, acestea pot ajunge până la zece ani de închisoare, în cazurile grave.
Australia
Australia a ratificat Convenția Consiliului Europei privind combaterea criminalității informatice la 1 martie 2013.
În Australia, legea criminalității informatice, din 2001, prevede pedepse pentru o serie de infracțiuni precum accesul neautorizat la baze de date, modificarea neautorizată a datelor, perturbarea unor comunicații, degradarea unor date obținute fraudulos, producerea și distribuirea de programe în scopul prejudicierii unor persoane sau instituții, dar și sabotajul informatic.
Pedepsele pot ajunge până la zece ani de închisoare, în cazurile grave.
Reglementări interne
România a ratificat, prin legea 64/2004, Convenția Consiliului Europei privind combaterea criminalității informatice și și-a armonizat legislația internă privind criminalitatea informatică, cu această Convenție.
Principalele dispoziții de drept intern se regăsesc în Legea nr. 161/2003, legea privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției. Această lege cuprinde atât dispoziții generale, aspecte de ordin procedural și elemente ce țin de cooperarea internațională, cât și aspecte despre prevenirea criminalității informatice.
“Legea-cadru nr. 161/2003 a preluat practic structura Convenției Consiliului Europei privind criminalitatea informatică, incluzând dispoziții de ordin substanțial, precum infracțiunile contra confidențialității și integrității datelor și sistemelor informatice, pornografia infantilă prin sisteme informatice, dar și dispoziții de ordin procedural, dispoziții ce vizează cooperarea internațională, prevederi care se completează cu cadrul juridic general în domeniu, cu modificările și completările ulterioare”.
Spre diferență de Convenție, legea 161/2003 reglementează trei categorii de infracțiuni:
Infracțiuni contra confidențialității și integrității datelor și sistemelor informatice:
Infracțiunea de acces ilegal la un sistem informatic
Infracțiunea de interceptare ilegală a unei transmisii de date
Infracțiunea de alterare a integrității datelor
Infracțiunea de perturbare a funcționării sistemelor informatice
Infracțiunea de a realiza operațiuni ilegale cu dispozitive sau programe informatice
Infracțiuni informatice:
Infracțiunea de fals informatic
Infracțiunea de fraudă informatică
Pornografia infantilă prin sisteme informatice:
Infracțiunea de pornografie infantilă prin intermediul sistemelor informatice
În funcție de gravitatea faptelor, infracțiunile informatice se pedepsesc la noi în țară cu până la 10 ani de închisoare și interzicerea exercitării unor drepturi.
Pentru o mai bună înțelegere a acestor prevederi, articolul 35 din legea 161/2003 definește toți termenii folosiți, după cum urmează. Toți acești termeni se regăsesc și în textul Convenției de la Budapesta.
Art. 35. (1) În prezentul titlu, termenii și expresiile de mai jos au următorul înțeles:
a) prin sistem informatic se înțelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic;
b) prin prelucrare automată a datelor se înțelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
c) prin program informatic se înțelege un ansamblu de instrucțiuni care pot fi executate de un sistem informatic în vederea obținerii unui rezultat determinat;
d) prin date informatice se înțelege orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic;
e) prin furnizor de servicii se înțelege:
1. Orice persoană fizică sau juridică ce oferă utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
2. Orice altă persoană fizică sau juridică ce prelucrează sau stochează date informatice pentru persoanele prevăzute la pct. 1 și pentru utilizatorii serviciilor oferite de acestea;
f) prin date referitoare la traficul informațional se înțelege orice date informatice referitoare la o comunicare realizată printr-un sistem informatic și produse de acesta, care reprezintă o parte din lanțul de comunicare, indicând originea, destinația, ruta, ora, data, mărimea, volumul și durata comunicării, precum și tipul serviciului utilizat pentru comunicare;
g) prin date referitoare la utilizatori se înțelege orice informație care poate conduce la identificarea unui utilizator, incluzând tipul de comunicație și serviciul folosit, adresa poștală, adresa geografică, numere de telefon sau alte numere de acces și modalitatea de plată a serviciului respectiv, precum și orice alte date care pot conduce la identificarea utilizatorului;
h) prin măsuri de securitate se înțelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricționat sau interzis pentru anumite categorii de utilizatori;
i) prin materiale pornografice cu minori se înțelege orice material care prezintă un minor având un comportament sexual explicit sau o persoană majoră care este prezentată ca un minor având un comportament sexual explicit ori imagini care, deși nu prezintă o persoană reală, simulează, în mod credibil, un minor având un comportament sexual explicit.
(2) În sensul prezentului titlu, acționează fără drept persoana care se află în una dintre următoarele situații:
a) nu este autorizată, în temeiul legii sau al unui contract;
b) depășește limitele autorizării;
c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.
Pe lângă 161/2003, la noi în țară se discută de ceva vreme și despre introducerea Legii securității cibernetice. Cu toate acestea, Curtea Constituțională a decis, la începutul anului, că această lege este neconstituțională, motivația principală fiind aceea că are deficiențe de respectare a normelor de tehnică legislativă, precum și lipsă de coerență și claritate. “Curtea a reținut că întregul act normativ suferă de deficiențe sub aspectul respectării normelor de tehnică legislativă, coerență, claritate, previzibilitate, precum și sub aspectul respectării procedurii legislative, prin lipsa avizului Consiliului Suprem de Apărare a Țării, elemente de natură a determina încălcarea art.1 alin.(5) din Constituție, care consacră principiul legalității, și a prevederilor art.119 din Legea fundamentală, referitoare la atribuțiile CSAT. Astfel, Curtea a constatat neconstituționalitatea mai multor prevederi ale legii, printre care cele privind definirea noțiunii de «deținători de infrastructuri cibernetice» (art.2 din lege), desemnarea Serviciului Român de Informații ca autoritate națională în domeniul securității cibernetice (art.10), lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite accesul reprezentanților autorităților competente la datele deținute, relevante în contextul solicitării (art.17), lipsa reglementării prin lege a criteriilor în funcție de care se realizează selecția infrastructurilor cibernetice de interes național, cât și a modalității prin care se stabilesc acestea (art.19), autoritatea care efectuează auditarea de securitate cibernetică (art.20 lit.c), lipsa reglementării prin lege a circumstanțelor în care este necesară notificarea, precum și a conținutului acesteia (art.20 lit.c), lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autoritățile competente și care sunt susceptibile a prejudicia drepturi sau interese legitime (art.16-23), lipsa predictibilității normelor referitoare la procedurile de monitorizare și control, respectiv a celor privind constatarea și sancționarea contravențiilor (art.27, 28, 30), lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite autorităților competente să efectueze inspecții, inclusiv inopinate, la orice instalație, incintă sau infrastructură”, se arată în comunicatul de presă oficial al Curții Constituționale, din 21 ianuarie 2015.
2. ASPECTE JURIDICE PRIVIND CRIMINALITATEA INFORMATICĂ
2.1 Norme penale care incriminează infracțiunile informatice
Conform noului Cod Penal, ediția a doua, actualizată la 9.09.2014, iată care sunt articolele principale care incriminează fapte ce au legătură cu domeniul informatic:
Articolele 180 și 181 definesc noțiunile de sistem informatic, date informatice și instrument de plată electronică.
Art. 180 – Instrument de plată electronică
Prin instrument de plată electronică se înțelege un instrument care permite titularului să efectueze retrageri de numerar, încărcarea și descărcarea unui instrument de monedă electronică, precum și transferuri de fonduri, altele decât cele ordonate și executate de către instituții financiare.
Art. 181 – Sistem informatic și date informatice
(1) Prin sistem informatic se înțelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.
(2) Prin date informatice se înțelege orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic.
Titlul I – Infracțiuni contra persoanei
Capitolul VI – Infracțiuni contra libertății persoanei
Art. 208 – Hărțuirea
(1) Fapta celui care, în mod repetat, urmărește, fără drept sau fără un interes legitim, o persoană ori îi supraveghează locuința, locul de muncă sau alte locuri frecventate de către aceasta, cauzându-i astfel o stare de temere, se pedepsește cu închisoare de la 3 la 6 luni sau cu amendă.
(2) Efectuarea de apeluri telefonice sau comunicări prin mijloace de transmitere la distanță, care, prin frecvență sau conținut, îi cauzează o temere unei persoane, se pedepsește cu închisoare de la o lună la 3 luni sau cu amendă, dacă fapta nu constituie o infracțiune mai gravă.
(3) Acțiunea penală se pune în mișcare la plângerea prealabilă a persoanei vătămate.
Titlul II – Infracțiuni contra patrimoniului
Capitolul I – Furtul
Art. 230 – Furtul în scop de folosință
(1) Furtul care are ca obiect un vehicul, săvârșit în scopul de a-l folosi pe nedrept, se sancționează cu pedeapsa prevăzută în art. 228 sau art. 229, după caz, ale cărei limite speciale se reduc cu o treime.
(2) Cu pedeapsa prevăzută în alin. (1) se sancționează folosirea fără drept a unui terminal de comunicații al altuia sau folosirea unui terminal de comunicații racordat fără drept la o rețea, dacă s-a produs o pagubă.
Capitolul IV – Fraude comise prin sisteme informatice și mijloace de plată electronice
Art. 249 – Frauda informatică
Introducerea, modificarea sau ștergerea de date informatice, restricționarea accesului la aceste date ori împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane, se pedepsește cu închisoarea de la 2 la 7 ani.
Art. 250 – Efectuarea de operațiuni financiare în mod fraudulos
(1) Efectuarea unei operațiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, prin utilizarea, fără consimțământul titularului, a unui instrument de plată electronică sau a datelor de identificare care permit utilizarea acestuia, se pedepsește cu închisoarea de la 2 la 7 ani.
(2) Cu aceeași pedeapsă se sancționează efectuarea uneia dintre operațiunile prevăzute în alin. (1), prin utilizarea neautorizată a oricăror date de identificare sau prin utilizarea de date de identificare fictive.
(3) Transmiterea neautorizată către altă persoană a oricăror date de identificare, în vederea efectuării uneia dintre operațiunile prevăzute în alin. (1), se pedepsește cu închisoarea de la unu la 5 ani.
Art. 251 – Acceptarea operațiunilor financiare efectuate în mod fraudulos
(1) Acceptarea unei operațiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, cunoscând că este efectuată prin folosirea unui instrument de plată electronică falsificat sau utilizat fără consimțământul titularului său, se pedepsește cu închisoarea de la unu la 5 ani.
(2) Cu aceeași pedeapsă se sancționează acceptarea uneia dintre operațiunile prevăzute în alin. (1), cunoscând că este efectuată prin utilizarea neautorizată a oricăror date de identificare sau prin utilizarea de date de identificare fictive.
Titlul V – Infracțiuni de corupție și de serviciu
Cap. II Infracțiuni de serviciu
Art. 302 – Violarea secretului corespondenței
(1) Deschiderea, sustragerea, distrugerea sau reținerea, fără drept, a unei corespondențe adresate altuia, precum și divulgarea fără drept a conținutului unei asemenea corespondențe, chiar atunci când aceasta a fost trimisă deschisă ori a fost deschisă din greșeală, se pedepsesc cu închisoare de la 3 luni la un an sau cu amendă.
(2) Interceptarea, fără drept, a unei convorbiri sau a unei comunicări efectuate prin telefon sau prin orice mijloc electronic de comunicații se pedepsește cu închisoare de la 6 luni la 3 ani sau cu amendă.
(3) Dacă faptele prevăzute în alin. (1) și alin. (2) au fost săvârșite de un funcționar public care are obligația legală de a respecta secretul profesional și confidențialitatea informațiilor la care are acces, pedeapsa este închisoarea de la unu la 5 ani și interzicerea unor drepturi.
(4) Divulgarea, difuzarea, prezentarea sau transmiterea, către o altă persoană sau către public, fără drept, a conținutului unei convorbiri sau comunicări interceptate, chiar în cazul în care făptuitorul a luat cunoștință de aceasta din greșeală sau din întâmplare, se pedepsește cu închisoare de la 3 luni la 2 ani sau cu amendă.
(5) Nu constituie infracțiune fapta săvârșită:
a) dacă făptuitorul surprinde săvârșirea unei infracțiuni sau contribuie la dovedirea săvârșirii unei infracțiuni;
b) dacă surprinde fapte de interes public, care au semnificație pentru viața comunității și a căror divulgare prezintă avantaje publice mai mari decât prejudiciul produs persoanei vătămate.
(6) Deținerea sau confecționarea, fără drept, de mijloace specifice de interceptare ori de înregistrare a comunicațiilor se pedepsește cu închisoare de la 3 luni la 2 ani sau cu amendă.
(7) Pentru faptele prevăzute la alin. (1), acțiunea penală se pune în mișcare la plângerea prealabilă a persoanei vătămate.
Titlul VI – Infracțiuni de fals
Cap. I – Falsificarea de monede, timbre sau de alte valori
Art. 311 – Falsificarea de titluri de credit sau instrumente de plată
(1) Falsificarea de titluri de credit, titluri sau instrumente pentru efectuarea plăților sau a oricăror altor titluri ori valori asemănătoare se pedepsește cu închisoarea de la 2 la 7 ani și interzicerea exercitării unor drepturi.
(2) Dacă fapta prevăzută în alin. (1) privește un instrument de plată electronică, pedeapsa este închisoarea de la 3 la 10 ani și interzicerea exercitării unor drepturi.
(3) Tentativa se pedepsește.
Art. 313 – Punerea în circulație de valori falsificate
(1) Punerea în circulație a valorilor falsificate prevăzute în art. 310 – 312, precum și primirea, deținerea sau transmiterea acestora, în vederea punerii lor în circulație, se sancționează cu pedeapsa prevăzută de lege pentru infracțiunea de falsificare prin care au fost produse.
(2) Punerea în circulație a valorilor falsificate prevăzute în art. 310 – 312, săvârșită de către autor sau un participant la infracțiunea de falsificare, se sancționează cu pedeapsa prevăzută de lege pentru infracțiunea de falsificare prin care au fost produse.
(3) Repunerea în circulație a uneia dintre valorile prevăzute în art. 310 – 312, de către o persoană care a constatat, ulterior intrării în posesia acesteia, că este falsificată, se sancționează cu pedeapsa prevăzută de lege pentru infracțiunea de falsificare prin care au fost produse, ale cărei limite speciale se reduc la jumătate.
(4) Tentativa se pedepsește.
Art. 314 – Deținerea de instrumente în vederea falsificării de valori
(1) Fabricarea, primirea, deținerea sau transmiterea de instrumente sau materiale cu scopul de a servi la falsificarea valorilor sau titlurilor prevăzute în art. 310, art. 311 alin. (1) și art. 312 se pedepsește cu închisoarea de la unu la 5 ani.
(2) Fabricarea, primirea, deținerea sau transmiterea de echipamente, inclusiv hardware sau software, cu scopul de a servi la falsificarea instrumentelor de plată electronică, se pedepsește cu închisoarea de la 2 la 7 ani.
(3) Nu se pedepsește persoana care, după comiterea vreuneia dintre faptele prevăzute în alin. (1) sau alin. (2), înainte de descoperirea acestora și înainte de a se fi trecut la săvârșirea faptei de falsificare, predă instrumentele sau materialele deținute autorităților judiciare ori încunoștințează aceste autorități despre existența lor.
Cap. III – Falsuri în înscrisuri
Art. 324 – Falsificarea unei înregistrări tehnice
(1) Falsificarea unei înregistrări tehnice prin contrafacere, alterare ori prin determinarea atestării unor împrejurări necorespunzătoare adevărului sau omisiunea înregistrării unor date sau împrejurări, dacă a fost urmată de folosirea de către făptuitor a înregistrării ori de încredințarea acesteia unei alte persoane spre folosire, în vederea producerii unei consecințe juridice, se pedepsește cu închisoare de la 6 luni la 3 ani sau cu amendă.
(2) Cu aceeași pedeapsă se sancționează folosirea unei înregistrări tehnice falsificate în vederea producerii unei consecințe juridice.
(3) Prin înregistrare tehnică, în sensul prezentului articol, se înțelege atestarea unei valori, greutăți, măsuri ori a desfășurării unui eveniment, realizată, în tot sau în parte, în mod automat, prin intermediul unui dispozitiv tehnic omologat și care este destinată a proba un anumit fapt, în vederea producerii de consecințe juridice.
Art. 325 – Falsul informatic
Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se pedepsește cu închisoarea de la unu la 5 ani.
Titlul VII – Infracțiuni contra siguranței publice
Capitolul VI – Infracțiuni contra siguranței și integrității sistemelor și datelor informatice
Art. 360 – Accesul ilegal la un sistem informatic
(1) Accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.
(2) Fapta prevăzută în alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoarea de la 6 luni la 5 ani.
(3) Dacă fapta prevăzută în alin. (1) a fost săvârșită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.
Art. 361 – Interceptarea ilegală a unei transmisii de date informatice
(1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic se pedepsește cu închisoarea de la unu la 5 ani.
(2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic, ce conține date informatice care nu sunt publice.
Art. 362 – Alterarea integrității datelor informatice
Fapta de a modifica, șterge sau deteriora date informatice ori de a restricționa accesul la aceste date, fără drept, se pedepsește cu închisoarea de la unu la 5 ani.
Art. 363 – Perturbarea funcționării sistemelor informatice
Fapta de a perturba grav, fără drept, funcționarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin restricționarea accesului la date informatice, se pedepsește cu închisoarea de la 2 la 7 ani.
Art. 364 – Transferul neautorizat de date informatice
Transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare a datelor informatice se pedepsește cu închisoarea de la unu la 5 ani.
Art. 365 – Operațiuni ilegale cu dispozitive sau programe informatice
(1) Fapta persoanei care, fără drept, produce, importă, distribuie sau pune la dispoziție sub orice formă:
a) dispozitive sau programe informatice concepute sau adaptate în scopul comiterii uneia dintre infracțiunile prevăzute în art. 360 – 364;
b) parole, coduri de acces sau alte asemenea date informatice care permit accesul total sau parțial la un sistem informatic, în scopul săvârșirii uneia dintre infracțiunile prevăzute în art. 360 – 364, se pedepsește cu închisoare de la 6 luni la 3 ani sau cu amendă.
(2) Deținerea, fără drept, a unui dispozitiv, a unui program informatic, a unei parole, a unui cod de acces sau a altor date informatice dintre cele prevăzute în alin. (1), în scopul săvârșirii uneia dintre infracțiunile prevăzute în art. 360 – 364, se pedepsește cu închisoare de la 3 luni la 2 ani sau cu amendă.
Art. 366 – Sancționarea tentativei
Tentativa la infracțiunile prevăzute în prezentul capitol se pedepsește.
Titlul VIII – Infracțiuni care aduc atingere unor relații privind conviețuirea socială
Cap. I – Infracțiuni contra ordinii și liniștii publice
Art. 374 – Pornografia infantilă
(1) Producerea, deținerea în vederea expunerii sau distribuirii, achiziționarea, stocarea, expunerea, promovarea, distribuirea, precum și punerea la dispoziție, în orice mod, de materiale pornografice cu minori se pedepsesc cu închisoarea de la un an la 5 ani.
(2) Dacă faptele prevăzute în alin. (1) au fost săvârșite printr-un sistem informatic sau alt mijloc de stocare a datelor informatice, pedeapsa este închisoarea de la 2 la 7 ani.
(3) Accesarea, fără drept, de materiale pornografice cu minori, prin intermediul sistemelor informatice sau altor mijloace de comunicații electronice, se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.
(4) Prin materiale pornografice cu minori se înțelege orice material care prezintă un minor având un comportament sexual explicit sau care, deși nu prezintă o persoană reală, simulează, în mod credibil, un minor având un astfel de comportament.
(5) Tentativa se pedepsește.
Titlul IX – Infracțiuni electorale
Art. 388 – Frauda la votul electronic
Tipărirea și utilizarea de date de acces false, accesarea frauduloasă a sistemului de vot electronic sau falsificarea prin orice mijloace a buletinelor de vot în format electronic se pedepsesc cu închisoarea de la unu la 5 ani.
Art. 391 – Falsificarea documentelor și evidențelor electorale
(1) Falsificarea prin orice mijloace a înscrisurilor de la birourile electorale se pedepsește cu închisoarea de la unu la 5 ani și interzicerea exercitării unor drepturi.
(2) Cu aceeași pedeapsă se sancționează și înscrierea în copia de pe lista electorală permanentă ori de pe lista electorală complementară a unor persoane care nu figurează în această listă.
(3) Introducerea în uz sau folosirea unui program informatic cu vicii care alterează înregistrarea ori însumarea rezultatelor obținute în secțiile de votare sau determină repartizarea mandatelor în afara prevederilor legii se pedepsește cu închisoarea de la 2 la 7 ani și interzicerea exercitării unor drepturi.
2.2 Modalități de combatere
Este destul de greu să vorbim despre modalitățile de combtere ale criminalității informatice, în contextul în care fenomenul se dezvoltă pe zi ce trece, odată cu dezvoltarea tehnologiei informației. În acest context, “acțiunile de combatere a criminalității informatice trebuie să implice toate statele lumii, deoarece, prin natura ei, aceasta este o problemă internațională. Datorită multiplelor forme cu caracter global a acțiunilor de tip criminalitate informatică, cooperarea internațională, efortul internațional în prevenirea și combaterea acestora reprezintă stări de fapt ce trebuie să persiste la nivelul întregii umanități. Efortul internațional concentrat în combaterea criminalității informatice nu poate avea decât beneficii”.
Astfel, pentru ca modalitățile de combatere să fie eficiente, e necesară nu numai cooperarea la nivel internațional, dar și o imagine comună asupra infracțiunilor de acest tip.
Armonizarea internațională a cadrului legislativ este absolut necesară pentru combaterea infracțiunilor informatice. Cu toate acestea, și legislația ar trebui să fie în permanență actualizată, deoarece tehnologiile avansează pe zi ce trece. Această armonizare a legislației ar ajuta și statele în care criminalitatea informatică atinge încă cote alarmante, tocmai deoarece infractorii profită de lipsa legislativă.
În plus, “armonizarea legislativă facilitează activitatea agențiilor guvernamentale implicate în prevenirea și combaterea actelor de criminalitate informatică, prin stabilirea clară a tipurilor de infracțiuni și a modalităților de combatere. Armonizarea legislativă permite de asemenea detectarea și stabilirea vinovatului și chiar extrădarea sa, în condițiile în care statele au foarte clar definite aceste detalii.”
În concluzie, principalele măsuri care s-ar putea lua, ca și modalități de combatere a criminalității informatice ar putea fi următoarele:
Revizuirea și actualizarea legislațiilor naționale și internaționale;
Cooperarea și schimbul de experiență între state;
Educarea publicului cu privire la măsurile de securitate;
Dezvoltarea unor noi tehnologii care să fie eficiente și în prevenirea infracțiunilor informatice;
Comunicarea între specialiștii din domeniul securității informatice și cei care produc hardware și software de ultimă generație;
Instruirea de noi specialiști în domeniul securității informatice;
Instruirea personalului din sistemul judiciar cu privire la acest tip de infracțiuni;
2.3 Studiu de caz – Analiza modului de operare al grupării cibernetice infracționale Carbanak
Anul trecut, un jaf fără precedent a uimit întreaga lume. Gruparea ciberneti-că infracțională Carbanak a reușit să fure, în decurs de doar doi ani, un miliard de dolari, de la peste 100 de instituții financiare, din întreaga lume.
Pentru ca cei implicați în această grupare să fie prinși, a fost necesară colaborarea mai multor instituții de aplicare a legii, din aproape 30 de țări, plus implicarea directă a unor specialiști de la Kaspersky Lab, Interpol și Europol.
Conform informațiilor apărute atât în presa națională, cât și în cea internațională, în spatele acestei grupări se aflau infractori cibernetici din mai multe state, precum Rusia, Ucraina sau China. Ceea ce i-a uimit pe anchetatori a fost modul de operare al acestor infractori, ei furând sumele de bani direct de la bănci, fără să mai atace, cum se întâmpla până atunci, utilizatorii individuali. Specialiștii de la Kaspersky au catalogat modul lor de operare ca făcând parte dintr-o nouă eră a criminalității informatice, când infractorii nu mai au nevoie de utilizatorii de carduri ori de conturi bancare pentru a fura, ci atacă direct băncile.
Astfel, în decurs de doar doi ani, gruparea Carbanak a furat de la organizații financiare din România, Rusia, Statele Unite ale Americii, Germania, China, Ucraina, Canada, Taiwan, Franța, Spania, Norvegia, Islanda, Irlanda, India, Regatul Unit al Marii Britanii, Polonia, Australia, Cehia, Nepal, Maroc, Suedia, Brazilia și Bulgaria.
În medie, fiecare jaf dura între două și patru luni, din momentul în care infractorii infectau primul computer și până când intrau în posesia banilor furați. Fiecare bancă era jefuită cu sume între 2,5 milioane de dolari și 10 milioane.
Modul de operare al grupării nu era chiar atât de complicat. Infractorii spărgeau conturile personale ale angajaților și le infectau computerele cu viruși Carbanak. Apoi ajungeau în rețeaua internă de date și spărgeau conturile administratorilor pentru a putea obține chiar și imagini de supraveghere video de la bancă. Tot ceea ce se întâmpla în birouri ori săli de ședințe ajungea, prin doar câteva clickuri la infractorii cibernetici din grupare. Transferurile de bani erau și ele atent supravegheate.
Cum se furau banii
Odată ajunși în rețeaua internă a băncii, pirații își transferau direct în conturi sume importante de bani. Bineînțeles că nu se foloseau de conturile lor personale, ci de conturi-fantomă de la bănci din China sau Rusia.
În alte cazuri, pirații se infiltrau chiar în sistemele de contabilitate și făceau tranzacții frauduloase. Dacă într-un cont erau doar 500 de dolari, ei îi schimbau valorea și adăugau cinci mii. Puteau să își extragă apoi diferența, fără ca posesorul contului să își dea seama, pentru că suma inițială rămânea întotdeauna în cont. Astfel, ei au reușit să fure direct din bancă, fără să mai atace utilizatorii, însă s-au folosit de conturile acestora din urmă.
Un alt aspect interesant e că din sistemul intern al băncilor, ei puteau programa chiar și bancomatele. Astfel, fără ca nimeni să bănuiască, ei programau ca sume importante de bani să fie eliberate la anumite bancomate, în anumite momente. Un alt membru al grupării aștepta pur și simplu în fața bancomatului și, fără să facă nimic, primea banii.
În concluzie, ei au reușit să organizeze o rețea aproape perfectă, care a bifat aproape toate infracțiunile importante stipulate în Convenția Consiliului Europei privind criminalitatea informatică:
Au accesat ilegal mai multe sisteme informatice
Au interceptat transmisii de date
Au perturbat funcționarea rețelelor și au alterat integritatea datelor
Au realizat operațiuni ilegale, cu ajutorul mai multor programe informatice
Au fraudat sistemele electronice de date
Au falsificat datele
Cum s-ar fi putut evita cazul Carbanak
În primul rând, această serie de atacuri cibernetice ar fi putut fi evitată dacă instituțiile financiare ar fi avut sisteme de securitate bine controlate.
Chiar dacă specialiștii din acest sector se străduiesc de ani de zile să prevină fraudele și să îmbunătățească sistemele de detecție și mecanismele de protecție împotriva atacurilor, cumva, instituțiile financiare care au fost atacate de gruparea Carbanak nu au reușit să detecteze atacurile decât foarte târziu, după săptămâni întregi de vulnerabilitate, timp în care infractorii cibernetici se aflau deja în sistemul intern al băncii.
Probabil că tocmai din acest motiv sistemele interne nu erau atât de sigure – nimeni nu s-a gândit că într-o bună zi atacatorii vor ajunge să fure direct dintr-o bancă, de la distanță. Însă în contextul actual, când tehnologiile evoluează constant, iar infractorii cibernetici devin tot mai specializați, aceste detalii ar trebui luate foarte serios. Mai exact, ceea ce părea absolut imposibil cu câțiva ani în urmă, acum se întâmplă, ajungându-se astfel la jaful perfect.
De asemenea, pe lângă sistemele interne ale instituțiilor, și conturile angajaților ar fi trebuit mai bine protejate. Să nu uităm că, în acest caz, totul a pornit de la spargerea conturilor personale ale angajaților.
Pe lângă faptul că sistemele de detecție nu au funcționat nici când infractorii au accesat neautorizat rețeaua internă a băncilor, sistemele de protecție au eșuat și ele. Presa internațională a scris că toate operațiunile băncilor funcționau normal și nimeni nu și-a dat seama că în sistem există un virus sau că totul era atent supravegheat de gruparea Carbanak.
Partea bună a acestui caz, dacă putem vorbi despre un aspect pozitiv, este că acum specialiștii în securitate IT și-au dat seama că ceea ce odată părea imposibil, azi este realizabil, iar investițiile în securitate sunt absolut obligatorii. Rămâne de văzut însă dacă acest jaf cibernetic de proporții va rămâne în istorie ca un caz izolat sau dacă, cu trecerea anilor, va ajunge să fie doar un punct de plecare în analiza noii generații de infractori cibernetici.
3. FACTORI DETERMINANȚI ÎN PRODUCEREA INFRACȚIUNILOR INFORMATICE
Infracțiunile informatice au la bază mai mulți factori determinanți. În primul rând, trebuie să vorbim despre vulnerabilitatea sistemelor informatice, care la rândul său ține de o serie de elemente.
Odată cu evoluția noilor tehnologii, au apărut și diverși factori de risc precum procesoarele de ultimă generație, echipamentele de memorare sau terminalele de la distanță. Toate acestea sunt vulnerabile prin prisma construcției lor, pot fi ușor modificate sau înlocuite și oricine are dorința de a afla cum funcționează, o poate face cu ușurință, de pe Internet. Chiar și sistemele de securitate sunt acum analizate îndeaproape pe diverse grupuri sau forumuri de pe Internet, astfel încât acest gen de detalii tehnice nu mai reprezintă un secret pentru niciun pasionat de IT.
Dincolo de elementele acestea fizice, există și alt gen de factori determinanți care duc la producerea infracțiunilor informatice, aceștia fiind caracterul transfrontalier al acestor infracțiuni, lipsa unei legislații comune la nivel internațional și complexitatea infracțiunilor informatice.
Mai exact, profitând de lipsa legislației din unele state, infractorii țintesc exact acolo unde știu că nu pot fi prinși. În plus, ei se folosesc adesea de servere amplasate de jur împrejurul lumii, tocmai pentru a se asigura că își vor pierde urma și că nimeni nu le va identifica adevărata locație. Mai mult decât atât, faptul că în cazul acestori tipuri de infracțiuni dovezile fizice sunt foarte greu de obținut, nu face decât să contribuie la înlesnirea atacurilor cibernetice.
Din păcate, cumulul acestor factori dovedește încă o dată, dacă mai era nevoie, că infracțiunile informatice sunt greu de prevenit și mai ales de stopat.
3.1. Interviu cu un specialist în securitate cibernetică
Pentru o mai bună înțelegere a fenomenului de criminalitate informatică am ales să stau de vorbă cu unul dintre specialiștii în securitate IT de la noi din țară. Robert Brătulescu este în prezent consultant IT la EBS România.
După cum probabil știi deja, proiectul de lege privind securitatea cibernetică din România a fost respins de Senat, după ce Curtea Constituțională l-a declarat neconstituțional. Cât de importantă crezi că este legiferarea securității cibernetice la noi în țară, în contextul actual?
La momentul actual nu cred că este ceva critic pentru România. Impactul pe care l-ar avea ar putea fi evitat prin alte metode.
În ciuda noilor tehnologii și a măsurilor de prevenție, luate la nivel internațional, atacurile cibernetice devin din ce în ce mai dese și mai agresive. Cum explici acest fenomen?
Din punct de vedere al securității, atunci când apare o problemă, se caută o soluție permanentă de prevenire. Ideea nu este una greșită, dar îi obligă pe cei implicați în atacuri cibernetice să vină cu ceva nou. Ba mai mult, li se arată ce anume nu funcționează și astfel aceștia se pot axa pe alte căi.
Țara noastră s-a remarcat în ultima perioadă prin numărul mare al specialiștilor IT. Cu toate acestea, crezi că avem suficienți specialiști și în securitate IT?
Deși numărul de români care lucrează în IT este unul destul de mare, bazându-mă pe statistica Microsoft, consider că specialiști sunt undeva sub 2000. Și deși numărul nu este unul chiar mare, specialiști în securitate sunt undeva la 150. Anul acesta la „Hacking Windows Infrastructure Masterclass” Microsoft oferă între 8 și 18 locuri, și numai dacă termini nivelul 3 vei deveni CSEN (Certified Security Engineer). Mi se pare un număr foarte mic de locuri.
Care crezi că au fost principalii factori care au declanșat explozia de atacuri informatice, cu care țara noastră s-a confruntat în anii trecuți, și care crezi că sunt motivele pentru care atacurile au scăzut în ultima perioadă, după cum declară și autoritățile…
În primul rând aș zice infrastructura; care poate nu ar fi cauza de start dar este motivul care ajută cel mai mult. Suntem pe locul 5 în lume și 2 în Europa la viteza de Internet. Cât despre determinare? Ținând cont că este vorba în mare parte de tineri, este simplu: isteți, fără bani sau ocupație… și sincronizarea a fost perfectă! Era un început pentru toată lumea. Nu știai la ce să te aștepți.
Cum crezi că vor evolua atacurile cibernetice în România? Dar la nivel internațional?
Acum că lumea devine din ce în ce mai cunoscătoare de fenomenul Internet și deja se știe la nivel mondial și de infractorii cibernetici, consider că pe viitor numărul acestora va scădea. Totuși, în prezent, hacking-ul este în continuă creștere, atâta timp cât din ce în ce mai multe informații importante se păstrează on-line. Ținând cont de principalele ținte (furtul proprietăților intelectuale a firmelor, confiscarea conturilor bancare on-line, crearea și distribuirea de viruși pe alte computere, postarea de informații comerciale confidențiale pe Internet și distrugerea infrastructurii naționale critice unei țări), în România rata de atacuri va rămâne scăzută încă o perioadă bună de timp.
Cât de vulnerabilă este România în războiul informațional din prezent?
România se plasează destul de bine, față de țări precum SUA, China, Germania, Marea Britanie și Brazilia care sunt considerate, în termeni specializați, „sitting ducks” (adică făra protecție împotriva unui atac sau a altor surse de pericol). Noi ne putem mândri cu niște sisteme de apărare destul de bune.
Consideri că cyber-terorismul este o amenințare reală a zilelor noastre? Vezi vreo soluție în acest sens?
Da, chiar este o amenințare reală. Nivelele la care au ajuns acești oameni sunt mult peste așteptările tuturor și este foarte probabil să se ajungă la o catastrofă dacă în următorii ani nu se primează oprirea acestora.
Suntem dependenți de dispozitivele mobile conectate la Internet, iar datele noastre personale sunt și ele depozitate acum pe Internet, la un click distanță. Cum vezi această dependență și acest trend de stocare a datelor online, în contextul în care securitatea informatică reprezintă o problemă reală?
Față de alte probleme legate de securitate, acest topic mi se pare prea puțin important. Dacă nu vrei să știe lumea informații despre tine – nu le completa peste tot. Atâta timp cât există companii sau bănci, ținta marilor cyber-teroriști nu va fi să afle data ta de naștere.
Am auzit mai multe teorii conform cărora hackerii ar fi cei care revoluționează domeniul IT, iar crackerii ar fi cei care aduc prejudicii concrete în domeniu. Cu toate acestea, în cultura populară hackerii sunt figurile negative. Care e părerea ta în acest sens?
Nu aș putea spune că revoluționează domeniul. Ei lucrează pe baza metodelor de securitate existente. E ca și cum ai ști că sunt gardieni la ușă, deci intri pe geam. În schimb, ei ajută destul de mult. Lupta dintre Security Engineers și hackeri revoluționează domeniul IT. Unul vine cu soluția, altul arată unde e incompletă. Se repară, se mai descoperă ceva. Un fel de șoarecele și pisica. De ce sunt ei figurile negative? Nu pentru abilitățile lor, ci pentru modul în care și le folosesc; mai ales pentru că există companii care plătesc hackerii să le testeze securitatea infrastructurii încercând toate metodele.
4. MĂSURI DE PREVENIRE A CRIMINALITĂȚII INFORMATICE
După cum am mai amintit, pe măsură ce tehnologiile au evoluat, incluzând aici accesul de la distanță la echipamente de ultimă generație, și provocările legate de securitate au crescut. Tocmai de aceea se impune să subliniem și principalele măsuri de securitate în sistemele informatice. Așadar, iată care ar fi acestea:
Folosirea parolelor
Parolele reprezintă “prima linie de apărare împotriva intruziunilor”. Însă este esențial pentru protecția unui computer ca parola aleasă de utilizator să fie una complexă, pentru că cele foarte simple pot fi sparte ușor de către infractorii cibernetici. Trebuie să menționăm aici și faptul că multe sisteme permit mai multe încercări de a introduce parola, asta în cazul în care utilizatorul principal tastează greșit sau nu-și mai aduce aminte parola aleasă. Însă cele mai eficiente sisteme îți permit introducerea parolei doar de câteva ori, după care se blochează, tocmai pentru a detecta încercările repetate de acces la un sistem.
Testarea identității
“În general, identitatea poate fi stabilită prin ceva ce persoana cunoaște, cum ar fi o parolă; prin ceva ce persoana posedă, cum ar fi o cheie; sau prin ceea ce persoana este sau face – anumite aspecte fizice intrinseci. Cea de-a treia opțiune însă este practic imună la asemenea evenimente nedorite”.
Dacă parolele pot fi furate sau uitate, cheile pot fi copiate sau pierdute, testarea identității unei persoane este ceva ce nu poate fi furat, uitat, pierdut sau copiat. Fiecare dintre noi suntem unici – tocmai de aceea semnăturile sau impresiunile digitale sunt folosite pentru a identifica persoanele, atunci când vorbim de acces la rețele de date. La fel se întâmplă și în cazul scanării retinei ori scanării vibrațiilor din voce.
Criptografierea
Criptografia face referire la securizarea unui anumit mesaj. “Un mesaj a cărui substanță poate fi înțeleasă prin simpla citire se numește text curat. Deghizarea mesajului pentru a-i ascunde substanța se numește incriptare. Un mesaj incriptat este cunoscut ca text cifrat. Operația de convertire a textului cifrat în textul curat original se numește decriptare”.
Criptografia este, așadar, o metodă eficientă de a securiza un mesaj, pentru ca acesta să nu poată fi accesat neautorizat, modificat sau falsificat.
Educația utilizatorilor, legislația și pedepsele
Dincolo de aceste trei măsuri de securitate, prevenirea criminalității informatice se poate face cel mai bine prin educarea constantă a celor care utilizează sisteme informatice, de la persoanele fizice, până la marile corporații și industrii. Factorul educațional și pregătirea specialiștilor din acest domeniu sunt cele două elemente-cheie care pot ajuta la prevenirea criminalității informatice.
Totodată, se impune și ca legislația să fie mereu actualizată, iar pedepsele să fie pe măsura faptelor comise, pentru a ne asigura că pe viitor vom reuși să stopăm acest fenomen, atât la nivel național, cât și la nivel internațional.
4.1. Propuneri de lege ferenda
Legea 161/2003 reglementează, prin capitolul al doilea, articolele 36-41 și prevenirea criminalității informatice, după cum urmează:
Art. 36 – Pentru asigurarea securității sistemelor informatice și a protecției datelor personale, autoritățile și instituțiile publice cu competențe în domeniu, furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile desfășoară activități comune și programe de prevenire a criminalității informatice.
Art. 37 – Autoritățile și instituțiile publice cu competențe în domeniu, în cooperare cu furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile promovează politici, practici, măsuri, proceduri și standarde minime de securitate a sistemelor informatice.
Art. 38 – Autoritățile și instituțiile publice cu competențe în domeniu, în cooperare cu furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile organizează campanii de informare privind criminalitatea informatică și riscurile la care sunt expuși utilizatorii de sisteme informatice.
Art. 39 – (1) Ministerul Justiției, Ministerul de Interne, Ministerul Comunicațiilor și Tehnologiei Informației, Serviciul Român de Informații și Serviciul de Informații Externe constituie și actualizează continuu baze de date privind criminalitatea informatică.
(2) Institutul Național de Criminologie din subordinea Ministerului Justiției efectuează studii periodice în scopul identificării cauzelor care determină și a condițiilor ce favorizează criminalitatea informatică.
Art. 40 – Ministerul Justiției, Ministerul de Interne, Ministerul Comunicațiilor și Tehnologiei Informației, Serviciul Român de Informații și Serviciul de Informații Externe desfășoară programe speciale de pregătire și perfecționare a personalului cu atribuții în prevenirea și combaterea criminalității informatice.
Art. 41 – Proprietarii sau administratorii de sisteme informatice la care accesul este interzis sau restricționat pentru anumite categorii de utilizatori au obligația de a avertiza utilizatorii cu privire la condițiile legale de acces și utilizare, precum și cu privire la consecințele juridice ale accesului fără drept la aceste sisteme informatice. Avertizarea trebuie să fie accesibilă oricărui utilizator.
Posibile modificări ale textului de lege
Ceea ce remarcăm este că formularea acestor articole este una destul de neclară și, cel puțin pentru art. 37, ar trebui menționate o parte din procedurile la care se face referire. Textul ar puta fi regândit astfel – “Autoritățile și instituțiile publice cu competențe în domeniu, în cooperare cu furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile promovează politici, practici, măsuri, proceduri și standarde de securitate a sistemelor informatice, precum identificarea utilizatorului și a tipului de acces, refuzul accesului în cazul unei parole introduse greșit de mai mult de cinci ori sau implementarea codurilor de autentificare”.
Și pentru art. 41 s-ar putea specifica concret când ar trebui ca utilizatorii să fie avertizați de consecințele juridice ale accesului neautorizat la sistemele informatice. Textul ar putea fi regândit astfel – “Proprietarii sau administratorii de sisteme informatice la care accesul este interzis sau restricționat pentru anumite categorii de utilizatori au obligația de a avertiza utilizatorii cu privire la condițiile legale de acces și utilizare, precum și cu privire la consecințele juridice ale accesului fără drept la aceste sisteme informatice. Avertizarea trebuie să fie accesibilă oricărui utilizator, în momentul în care acesta primește accesul la sistem”. În acest fel, proprietarii sau administratorii de sisteme informatice și-ar putea lua toate măsurile de precauție, tocmai pentru ca nimeni să nu invoce mai târziu faptul că avertizarea nu a fost clară.
Art. 51, din cadrul aceleiași legi, menționează: (1) Constituie infracțiune și se pedepsește cu închisoare de la 3 la 12 ani și interzicerea unor drepturi producerea în vederea răspândirii, oferirea sau punerea la dispoziție, răspândirea sau transmiterea, procurarea pentru sine sau pentru altul de materiale pornografice cu minori prin sisteme informatice ori deținerea, fără drept, de materiale pornografice cu minori într-un sistem informatic sau un mijloc de stocare a datelor informatice.
Consider că acest articol ar putea suferi două modificări importante, după cum urmează – “Constituie infracțiune și se pedepsește cu închisoare de la 3 la 12 ani și interzicerea unor drepturi producerea, răspândirea, oferirea sau punerea la dispoziție, procurarea pentru sine sau pentru altul de materiale pornografice cu minori prin sisteme informatice ori deținerea de materiale pornografice cu minori într-un sistem informatic sau un mijloc de stocare a datelor informatice”. În primul rând, în art. 51 este incriminată producerea în vederea răspândirii, însă și simpla producere, pentru sine, a acestui gen de materiale ar trebui legiferată. Apoi, este menționată deținerea fără drept de materiale pornografice cu minori. Consider că expresia “fără drept” nu își are locul în textul legii, deoarece nu poate fi vorba de deținere de materiale pornografice cu minori, cu drept.
CONCLUZII
În primul capitol al lucrării de față, capitol intitulat “Aspecte generale privind criminalitatea informatică” am oferit o serie de date teoretice referitoare la apariția și evoluția fenomenului de criminalitate informatică, dar și la tipurile de infracțiuni care sunt acoperite de acest fenomen. Am clasificat principalele infracțiuni informatice și am ales să punctez câteva lucruri despre cyber-terorism, un fenomen grav și extrem de periculos, care a luat amploare în ultimii ani și care trebuie stopat cât mai repede, deoarece reprezintă o amenințare mondială. În cel de-al treilea subcapitol al primului capitol am analizat legislația internă și internațională.
Am continuat cu capitolul “Aspecte juridice privind criminalitatea informatică”, în care am punctat normele penale care incriminează infracțiunile informatice, posibilele modalități de combatere ale acestui fenomen și am analizat, pe scurt, unul dintre cele mai importante cazuri de criminalitate informatică, jaful fără precedent comis de gruparea cibernetică infracțională Carbanak, jaf care afectat peste 100 de instituții financiare din mai multe țări.
Capitolul al treilea, “Factori determinanți în producerea infracțiunilor informatice” cuprinde informații despre vulnerabilitatea sistemelor informatice și despre cumulul de factori care duc la producerea acestor infracțiuni. Tot în cadrul acestui articol am realizat și un interviu cu un consultant IT, specializat în securitate cibernetică – Robert Brătulescu de la EBS România.
Ultimul capitol al lucrării, “Măsuri de prevenire a criminalității informatice” cuprinde câteva propuneri legate de măsurile de prevenire ale acestui fenomen, cât și informații despre securitatea din sistemele informatice. La final, am analizat o serie de articole din legislația internă, mai exact din legea 161/2003, care reglementează infracțiunile de criminalitate informatică, și am oferit și câteva propuneri de lege ferenda.
Concluzia finală a lucrării de față este că în ciuda amplorii pe care a luat-o fenomenul de criminalitate informatică în ultimii ani, există suficiente resurse pentru a putea preveni și stopa acest gen de infracțiuni pe viitor.
O atenție deosebită trebuie acordată legislației internaționale, având în vedere caracterul transfrontalier al criminalității informatice și faptul că acest gen de infractori se folosesc adesea de instrumente aflate la distanță, de jur împrejurul lumii, pentru ca nimeni să nu le afle locația.
Și cyber-terorismul trebuie să fie o prioritate pentru specialiști, deoarece este una dintre cele mai periculoase amenințări mondiale de la această oră.
Și pentru că vorbeam de specialiștii din domeniu, este esențial și pentru țara noastră, și la nivel mondial, să existe astfel de specialiști, cât mai bine instruiți, pentru a putea face față oricăror amenințări, oricând.
BIBLIOGRAFIE
DOBRINOIU, MAXIM, Infracțiuni în domeniul informatic, C.H. Beck, București, 2006
DUNNIGAN, JAMES, Noua amenințare mondială: cyber-terorismul, Curtea Veche, București, 2010
Noul Cod Penal, ediția a 2-a, reactualizată la 9.09.2014, Rosetti Internațional
OPREA, DUMITRU, Protecția și securitatea informațiilor, Polirom, București, 2003
PFLEEGER, CHARLES; PFLEEGER, SHARI LAWRENCE, Security in Computing, Prentice Hall Profesional, 2010
SANDU, FLORIN; IONIȚĂ, GHEORGHE IULIAN, Criminologie teoretică și aplicată, Universul Juridic, București, 2005
SIEBER, ULRICH, Studiul “Aspecte legale ale criminalității informatice, în cadrul societății informaționale”
SIMION, RALUCA; ZAINEA, MARIANA, Infracțiuni în domeniul informatic, C.H. Beck, București, 2009
UDROIU, MEDA; POPA, CRISTIAN, Securitatea informației electronice, Editura Universitară, București, 2009
VASIU, IOANA, Criminalitatea informatică, Nemira, București, 1998
Site-uri:
http://www.oas.org/juridico/english/COMCRIME%20Study.pdf
http://www.coe.int/t/dghl/cooperation/economiccrime/organisedcrime/Rec_1985_10.pdf
http://www.coe.int/t/dghl/standardsetting/media/Doc/CM/Rec%281986%29009_en.asp
http://www.coe.int/t/dghl/standardsetting/media/Doc/CM/Rec%281988%29002_en.asp
http://www.coe.int/t/dghl/standardsetting/dataprotection/EM/EM_R%2895%294_EN.pdf
http://www.coe.int/t/dghl/standardsetting/media/Doc/CM/Rec%281995%29013_en.asp
http://www.cybercrimelaw.net/South-Africa.html
http://www.cybercrimelaw.net/China.html
http://www.cybercrimelaw.net/Japan.html
http://www.cybercrimelaw.net/UK.html
http://www.cybercrimelaw.net/France.html
http://www.cybercrimelaw.net/Germany.html
http://www.cybercrimelaw.net/Italy.html
http://www.crime-research.org/library/Criminal_Codes.html
http://www.cybercrimelaw.net/US.html
http://www.cybercrimelaw.net/Canada.html
http://www.cybercrimelaw.net/Australia.html
http://www.cdep.ro/pls/legis/legis_pck.htp_act_text?idt=47846
http://www.av-test.org/en/statistics
http://conventions.coe.int
http://coe.mae.ro/
http://www.giodo.gov.pl/237/id_art/52/j/en/
http://itlaw.wikia.com/wiki/Recommendation_No._R_%2889%29_9
http://cryptome.org/jya/g8crime-doj.htm
http://www.crime-research.org/library/Criminal_Codes.html
http://www.legi-internet.ro/legislatie-itc/criminalitate-informatica/prevederi-legislative-privind-prevenirea-si-combaterea-criminalitatii-informatice/legea-1612003-pentru-prevenirea-si-sanctionarea-coruptiei.html
http://www.ccr.ro/files/statements/Comunicat_presa_21_ianuarie_2015.pdf
http://www.capital.ro/carbanak-romania-si-alte-30-de-tari-atacate-intr-o-operatiune-de-frauda-cibernetica-fara-precedent.html
http://money.cnn.com/2015/02/15/technology/security/kaspersky-bank-hacking/
http://www.kaspersky.com/about/news/virus/2015/Carbanak-cybergang-steals-1-bn-USD-from-100-financial-institutions-worldwide
http://securityintelligence.com/carbanak-how-would-you-have-stopped-a-1-billion-apt-attack/#.VZOQ4VJHONn
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Aspecte Juridice Privind Criminalitatea Informatica (ID: 126447)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.