ÎCCJ, decizie (scj.ro #232885)
ÎCCJ, decizie (scj.ro #232885) (Înalta Curte de Casație și Justiție)
Recurs în casație. Cazul prevăzut în art. 438 alin. (1) pct. 7 din C. proc. pen. Fals informatic. Tipicitate
Cuprins pe materii:
Drept procesual penal. Partea specială. Judecata. Căile extraordinare de atac. Recursul în casație
Indice alfabetic:
- drept procesual penal
- recurs în casație
- drept penal
- fals informatic
C. proc. pen.
, art. 438 alin. (1) pct. 7
C.pen.,
art. 325 alin. (1)
Arogarea unei identități fictive prin simpla furnizare a unui nume nereal cu ocazia deschiderii și/sau utilizării unui cont pe o platformă comercială online deschisă publicului care nu solicită dovezi privind identitatea deținătorului, nu realizează condiția de tipicitate a infracțiunii de fals informatic cu referire la cerința ca acțiunea să aibă ca rezultat date necorespunzătoare adevărului în sensul normei de incriminare, întrucât nu produce consecințe juridice, falsul cu privire la identitate fiind sancționat doar în raport cu o instituție publică sau în ipoteza unui furt de identitate când afectează drepturile unui terț.
Tipicitatea obiectivă a falsului informatic prevăzut de art.
325 C. pen. presupune ca datele nereale introduse să reprezinte date asupra cărora sistemul informatic face dovada autenticității lor, or proba identității nu se poate face decât cu acte de identitate corespunzătoare, acte care în cauză nu au fost solicitate de proprietarul/administratorul platformei, astfel încât nici datele înscrise nu au aptitudinea de a atesta veridicitatea lor.
I.C.C.J., Secția penală, decizia nr. 239/RC din 24 aprilie 2025
I.
Prin sentința penală nr. 835 din 28.06.2024, Judecătoria Constanța a condamnat pe inculpata A la pedeapsa rezultantă de 1 an și 10 luni închisoare pentru săvârșirea în concurs real a infracțiunilor de înșelăciune în formă continuată, prevăzută de art. 244 alin. (2) din Codul penal, și fals informatic, prevăzută de art. 325 alin. (1) din Codul penal, ambele cu aplicarea art. 35 alin. (1) din Codul penal și art. 396 alin. (2) și (10) din C. proc. pen., făcându-se aplicarea art. 91 și următoarele din Codul penal.
II.
Prin decizia penală nr. 1260/P din data de 19 decembrie 2024, Curtea de Apel Constanța - Secția penală și pentru cauze penale cu minori și de familie, în baza art. 421 alin. (1) pct.1 lit. b) din C. proc. pen., a respins, ca nefondat, apelul declarat de inculpata A.
Curtea de apel a reținut că faptele inculpatei A, care, în data de 01.06.2022, în perioada 19-22.08.2022 și în data de 16.10.2022 a creat conturi false pe platforma Y și sub diferite nume, a efectuat mai multe comenzi, iar ulterior a solicitat returnarea produselor cu predare la E, beneficiind de facilitatea fast-refund, sens în care, folosindu-se de codurile de retur primite on-line, a depus în casetele E alte produse fără valoare, prejudiciul material cauzat fiind estimat la suma de 19.770 lei, întrunesc elementele constitutive ale infracțiunilor de înșelăciune, prevăzute și pedepsite de art. 244 alin. (1) și (2) din Codul penal, cu aplicarea art. 35 alin. (1) din Codul penal (trei acte materiale) și fals informatic, prevăzute și pedepsite de art. 325 din Codul penal, cu aplicarea art. 35 alin. (1) din Codul penal (trei acte materiale), ambele cu aplic. art. 38 alin. (1) din Codul penal.
III.
Împotriva acestei decizii, inculpata A a declarat recurs în casație, susținând că a fost condamnată pentru o faptă care nu este prevăzută de legea penală, întrucât lipsește elementul material al infracțiunii de fals informatic, prevăzute de art. 325 din Codul penal, precum și cerința esențială atașată elementului material constând în aceea ca acțiunea de introducere, modificare, ștergere de date sau restricționare a accesului la aceste date să se facă fără drept.
În concret, a susținut că simpla creare de conturi noi pe platforma Y - pentru a beneficia de vouchere de client nou nu întrunește elementele constitutive ale infracțiunii de fals informatic, pentru următoarele motive: nu s-au folosit date informatice fără drept și nu a introdus, modificat, șters sau restricționat date informatice care să fi aparținut unei alte persoane; crearea unor conturi noi, fără încălcarea unor condiții de acces la un sistem informatic protejat și fără introducerea unor date de identificare false (în sensul legii penale), nu poate constitui fals informatic; mai mult, platforma Y nu solicită dovezi de identificare (CI, CNP etc.) pentru crearea unui cont obișnuit de utilizator, deci nu se poate susține că a existat o introducere neautorizată de date informatice aparținând unei alte persoane; nu a încălcat politicile de securitate ale niciunui site/sistem informatic.
Analizând recursul în casație declarat de inculpata A,
Înalta Curte a reținut că situația de fapt valorificată prin decizia recurată constă, în esență, în aceea că inculpata A a creat succesiv trei conturi pe platforma Emag completând rubricile referitoare la numele titularului de cont și domiciliu cu mențiuni fictive pentru ca, subsecvent creării acestor conturi, să lanseze mai multe comenzi și să solicite returnarea produselor și beneficiul fast-refund, fiindu-i restituită contravaloarea lor ca efect al depunerii în casetele E prin utilizarea codurilor de retur primite on-line, fără ca inculpata să restituie bunurile respective, ci obiecte fără valoare.
Potrivit art. 325 din Codul penal, constituie infracțiunea de fals informatic fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice.
Prioritar, s-a reținut că, în modalitatea alternativă a introducerii de date informatice, realizarea elementului material al infracțiunii de fals informatic presupune inserarea de date într-un sistem informatic așa cum sunt acestea definite de art. 181 din Codul penal, astfel încât crearea unui cont pe o platformă de vânzări online constituie o introducere a unor date într-un sistem informatic, datele aferente contului fiind prelucrate cu ajutorul unui program informatic și stocate în spațiile de stocare aparținând unei rețele de dispozitive interconectate.
Cât privește celelalte condiții de tipicitate obiectivă, din interpretarea literală a textului incriminator a rezultat că, pentru întregirea elementului material al infracțiunii de fals informatic, norma penală impune constatarea întrunirii următoarelor cerințe esențiale: introducerea datelor să aibă loc sau să se efectueze fără drept și să aibă ca rezultat date informatice necorespunzătoare adevărului având aptitudinea de a produce consecințe juridice.
În ce privește prima cerință esențială, Înalta Curte a reținut că înțelesul sintagmei „fără drept” din cuprinsul normei de incriminare nu poate fi decât cel explicat în art. 35 alin. (2) din Capitolul I, Titlul III „Prevenirea și combaterea criminalității informatice” din Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției.
Astfel, în contextul exigențelor de unitate terminologică impuse de prevederile art. 37 alin. (1) și (2) din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, în absența unei consacrări în norma de incriminare, semnificația sintagmei analizate se stabilește în acord cu înțelesul „atribuit prin actul normativ care o instituie”. Sub acest aspect, s-a apreciat că Titlul III din actul normativ amintit constituie materializarea demersului de transpunere în dreptul intern a prevederilor art. 7 din Convenția Consiliului Europei privind criminalitatea informatică, adoptată la Budapesta la 23 noiembrie 2001, ratificată prin Legea nr. 64/2004, domeniul reglementării fiind expres stipulat în art. 34 din Capitolul 1 care prevede că „... reglementează prevenirea și combaterea criminalității informatice, prin măsuri specifice de prevenire, descoperire și sancționare a infracțiunilor săvârșite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului și protecția datelor personale.”.
Astfel, potrivit art. 35 alin. (2) din actul normativ menționat „(2) În sensul prezentului titlu, acționează fără drept (n.n. asupra unui sistem informatic) persoana care se află în una dintre următoarele situații: a) nu este autorizată, în temeiul legii sau al unui contract;/b) depășește limitele autorizării;/c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic”.
Instanța supremă a apreciat că se impune a se analiza dacă fapta unei persoane de a deschide și de a utiliza un cont pe o platformă de comerț online deschisă publicului furnizând un nume fictiv se încadrează în vreuna dintre ipotezele legale expuse, efectuarea unei operațiuni într-un sistem informatic fiind licită atunci când o persoană este autorizată în temeiul legii sau al unui contract și acționează în limitele autorizării ori are permisiunea persoanei competente să folosească, să administreze sau să controleze un sistem informatic, să desfășoare cercetări științifice ori să efectueze orice altă operațiune în cadrul sistemului informatic.
Realizând o atare examinare a constatat că într-o astfel de ipoteză nu se identifică o condiție legală de autorizare, prima teză a lit. a) din art. 35 alin. (2) din Legea nr. 161/2003 fiind inaplicabilă, pentru aceleași considerente nefiind incidentă nici ipoteza reglementată la lit. b) care are drept premisă preexistența unei autorizări speciale, ale cărei limite sunt depășite prin raportare la
„autorizarea în temeiul legii”.
Această din urmă concluzie se desprinde din considerentele Deciziei nr. 4/2021, pronunțată de instanța supremă în dezlegarea unor chestiuni de drept în materie penală într-o situație similară privind deschiderea unui cont pe o rețea de socializare deschisă publicului cu deosebirea că datele privind utilizatorul erau reale și aparțineau unei alte persoane, chestiune asupra căreia vom reveni.
În ceea ce privește teza a II-a a lit. a) a art. 35 alin. (2) din Legea nr. 161/2003, respectiv lipsa unei autorizări în temeiul unui contract sau lit. c) a art. 35 alin. (2) din Legea nr. 161/2003, acestea nu sunt incidente în cazul unei platforme de comerț electronic având în vedere că nu se pune problema preexistenței unui contract, permisiunea de utilizare fiind generală prin natura acestui serviciu, administratorul operând cu premisa de adresabilitate generală, orice persoană putând utiliza o astfel de platformă independent de crearea unui cont. Referitor la situația punctuală a creării unui cont de utilizator s-a observat că această operațiune necesită completarea unor rubrici și acordul privind termenii și condițiile de utilizare a platformei.
În consecință, singura ipoteză care poate conduce la eventuala concluzie a unei acțiuni
„fără drept”
este cea prevăzută de lit. b) a art. 35 alin. (2) din Legea nr. 161/2003, care are drept premisă preexistența unui contract care permite utilizarea platformei ale cărui limite sunt depășite de utilizator.
Or, cu privire la cele trei conturi create de inculpata A s-a reținut că doar o parte dintre datele referitoare la utilizator furnizate de inculpata A au fost fictive, respectiv cele privind numele și prenumele, fără însă a se identifica termenii sau condițiile de utilizare/clauza contractuală încălcată prin crearea unui cont personal utilizând un nume fictiv, astfel încât nu este îndeplinită premisa acționării fără drept asupra unui sistem informatic reglementată de art. 35 alin. (2) lit. b) din Capitolul I, Titlul III din Legea nr. 161/2003 în condițiile în care instanța de recurs în casație nu este abilitată să reevalueze probatoriul administrat sub acest aspect.
S-a reținut, de asemenea, că Înalta Curte de Casație și Justiție - Completul pentru dezlegarea unor chestiuni de drept a statuat în considerentele Deciziei nr. 4/2021 că îndeplinește cerința esențială atașată elementului material ca acțiunea să fie „fără drept” crearea unui cont într-un sistem informatic - platformă digitală de socializare - prin introducerea unor date reale cu caracter personal prin încălcarea manifestării de voință a persoanei a cărei identitate a fost uzurpată în lipsa unei dispoziții legale sau a unui contract cu persoana căreia îi aparțin datele, situație ce nu se regăsește în datele factuale reținute prin decizia recurată în contextul în care nu s-a reținut că numele și prenumele folosite ar aparține altor persoane pentru a fi incidentă ipoteza unui „furt de identitate”, iar instanța de recurs în casație nu este abilitată să reevalueze probatoriul administrat nici sub acest aspect.
Independent de îndeplinirea sau nu a condiției privind acționarea fără drept asupra unui sistem informatic, Înalta Curte a constatat că în cauză nu este realizată condiția de tipicitate constând în aceea ca acțiunea subsumată elementului material să aibă ca rezultat date informatice necorespunzătoare adevărului având aptitudinea de a produce consecințe juridice.
În ce privește această cerință esențială trebuie subliniat faptul că spre deosebire de noțiunea de fals în înțelesul său obișnuit ce include tot ceea ce nu corespunde adevărului, norma penală incriminează falsificarea exclusiv atunci când falsul are aptitudinea de a produce consecințe juridice, legea penală nu incriminează orice denaturare a adevărului, ci doar pe aceea care poate aduce atingere uneia dintre valorile sociale ocrotite - patrimoniul, persoana, etc., această din urmă cerință esențială privind potențialul acțiunii de falsificare de a produce consecințe juridice fiind de esența oricărei infracțiuni de fals.
Ca atare, în lipsa unui astfel de potențial fapta este lipsită de conotație penală independent de scopul urmărit de făptuitor, nefiind susceptibilă de a pune în pericol valoarea socială ocrotită de norma penală atunci când datele informatice necorespunzătoare adevărului nu sunt apte
in abstracto
să producă consecințe juridice, fapta fiind idonee astfel încât cerința legală privind scopul utilizării datelor necorespunzătoare adevărului din cuprinsul normei de incriminare are o dublă valență, obiectivă și subiectivă.
Relevant sub acest aspect este argumentul de interpretare teleologică ce se desprinde din Raportul explicativ al Convenției Consiliului Europei privind criminalitatea informatică, cu referire la art. 7, argument avut în vedere și în dezlegarea obligatorie dată de instanța supremă prin Decizia nr. 4/2021 deja menționată potrivit căruia:
- scopul incriminării a fost acela de a crea o infracțiune paralelă cu falsificarea de documente tangibile, pentru completarea lacunelor din dreptul penal legate de falsurile tradiționale, care necesită lizibilitatea vizuală a declarațiilor sau declarațiilor înscrise într-un document și care nu se aplică datelor stocate electronic. Falsificarea computerizată presupune crearea sau modificarea neautorizată a datelor stocate, astfel încât acestea să dobândească o valoare probatorie. Interesul juridic protejat este securitatea și fiabilitatea datelor electronice care pot avea consecințe pentru relațiile juridice (paragraful 81);
- dispoziția acoperă datele care echivalează cu un document public sau privat, care are efecte juridice. Introducerea neautorizată de date corecte sau incorecte despre o situație care corespunde realizării unui document fals. Modificări ulterioare (modificări, variații, modificări parțiale), ștergeri (ștergerea datelor dintr-un mediu de date) și suprimarea (ascunderea datelor) corespund în general falsificării unui document autentic (paragraful 83).
Legiuitorul român a păstrat rațiunea incriminării prin aceea că a inclus infracțiunea de fals informatic în categoria infracțiunilor „Falsuri în înscrisuri” reglementate în cuprinsul Capitolul III al Titlului VI din Codul Penal, al căror obiect juridic generic comun,
ratio legis,
impune ca interpretarea falsului informatic să fie consonantă cu interpretarea celorlalte infracțiuni de fals în înscrisuri. În contextul în care infracțiunea de fals informatic completează capitolul falsurilor în înscrisuri, obiectul juridic special al infracțiunii ce face obiectul acuzației este reprezentat de relațiile sociale care se nasc și se dezvoltă în legătură cu încrederea publică în autenticitatea datelor informatice stocate, ceea ce presupune ca datele informatice protejate să aibă aptitudinea, chiar prin natura lor, de a produce consecințe juridice.
Or, deși informațiile introduse cu ocazia creării unui cont de utilizator se încadrează în noțiunea de date informatice fiind prelucrate printr-un sistem informatic, norma de incriminare protejează exclusiv acele date care se bucură de ocrotirea legii penale prin intermediul incriminării faptei de fals analizate, date asupra cărora sistemul informatic are aptitudinea de a face dovada realității și autenticității lor, respectiv cele cu privire la care înscrierea în sistemul informatic le conferă forță probantă, date a căror autenticitate și/sau realitate este atestată de sistemul informatic.
Referitor la situația de fapt reținută în cuprinsul deciziei recurate s-a constatat că aceasta vizează, în esență, un fals privind identitatea comis în mediul online, or, infracțiunea de fals privind identitatea este incriminată doar în ipoteza în care atribuirea unei identități nereale se realizează în fața unei persoane dintre cele prevăzute la art. 175 din Codul penal, respectiv într-un context care prin natura sa este generator de consecințe juridice, cerință legală valabilă indiferent dacă prezentarea se realizează în mediul real sau digital, ceea ce nu este cazul în speță.
Prin urmare, arogarea unei identități fictive pe o platformă online nu este de natură prin ea însăși să producă consecințe juridice, identitatea utilizatorului unui cont nefiind relevantă în raporturile juridice căreia utilizarea acesteia îi dă naștere, în condițiile în care deținătorul unui cont beneficiază de drepturi și are obligații în virtutea calității sale de client, iar nu a identității, raporturile juridice neavând caracter
intuituu personae
, datele de identificare referitoare la numele utilizatorului nefiind menite a face dovada unei situații faptice relevante.
Ca urmare, cerința esențială constând în aceea ca fapta de introducere de date într-un sistem informatic să aibă ca rezultat date informatice necorespunzătoare adevărului în sensul infracțiunii de fals informatic, trebuie să fie interpretată limitat la obiectul juridic și la ratio legis al incriminării. Datele necorespunzătoare adevărului, stricto sensu, trebuie să se refere la date a căror necorespondență cu adevărul să fie prin natura lor apte să genereze consecințe juridice.
Cu alte cuvinte, operând comparația cu celelalte infracțiuni de falsuri în înscrisuri, necorespondența datelor cu realitatea trebuie să fie similară cu situația necorespondenței unui înscris oficial sau a unui înscris sub semnătură privată cu realitatea asupra căruia înscrisul respectiv are forță probantă, respectiv să aibă aptitudinea de a proba un element factual, să creeze aparența de realitate/autenticitate asupra unei chestiuni relevante cu consecințe asupra drepturilor sau intereselor legitime ale unei persoane.
Ca atare, este necesar ca datele nereale introduse să reprezinte date asupra cărora sistemul informatic face dovada autenticității lor, or proba identității nu se poate face decât cu acte de identitate corespunzătoare, acte care nu sunt solicitate de proprietarul/administratorul platformei, în contextul în care identitatea nu este verificată corespunzător pentru a fi certificată astfel încât nici datele înscrise nu au aptitudinea de a atesta veridicitatea lor.
Astfel, deși datele informatice privind numele utilizatorului nu au corespondent în realitate, acestea nu creează premisele producerii de consecințe juridice și prin aceasta nu au aptitudinea de a crea o stare de pericol pentru încrederea publică ce se acordă veridicității/autenticității datelor informatice prelucrate, constituind simple date mincinoase.
Situația ar fi fost diferită în ipoteza în care s-ar fi solicitat atașarea unui act ce servește la identificare/legitimare și care ar conferi datelor furnizate aptitudinea de a atesta identitatea și de a produce consecințe juridice prin chiar natura sa, practică uzitată de altfel de unele aplicații, cele bancare, de exemplu.
Arogarea unei identități fictive prin simpla furnizare a unui nume nereal cu ocazia deschiderii și/sau utilizării unui cont pe o platformă comercială online deschisă publicului și care nu solicită dovezi privind identitatea deținătorului, nu realizează condiția de tipicitate a infracțiunii de fals informatic cu referire la cerința ca acțiunea să aibă ca rezultat date necorespunzătoare adevărului în sensul normei de incriminare întrucât nu produce consecințe juridice, falsul cu privire la identitate fiind sancționat doar în raport de o instituție publică sau în ipoteza unui furt de identitate când afectează drepturile unui terț.
Cu privire la acest din urmă aspect, instanța supremă a statuat în interpretarea obligatorie a normei de incriminare, prin Decizia nr. 4/2021 mai sus amintită că crearea unui cont prin uzurparea identității unei persoane, prin introducerea de date reale care permit identificarea respectivei persoane, echivalează cu o falsificare a manifestării de voință a acesteia și creează o percepție contrară realității în privința titularului respectivului cont și realizează cerința esențială privind datele necorespunzătoare adevărului. Relevantă pentru cauza de față în privința tipicității faptei cu referire la condiția privind producerea de consecințe juridice în sensul precizat în cele ce preced, este precizarea din cuprinsul deciziei menționate conform căreia „pe lângă cele două cerințe menționate ce fac obiectul analizei în prezenta sesizare, este necesar ca scopul activităților desfășurate fără drept și care au ca rezultat date necorespunzătoare adevărului să fie acela de a utiliza datele informatice în vederea producerii de consecințe juridice, acesta urmând a fi verificat în funcție de circumstanțele concrete ale fiecărei cauze”.
În condițiile în care platforma Y permite crearea de conturi prin folosirea unei căsuțe de poștă electronică, iar ansamblul datelor referitoare la utilizatori în sensul art. 35 alin. (1) lit. g) din Legea nr. 161/2003, respectiv tipul de comunicație și serviciul folosit, adresa poștală, adresa geografică, numere de telefon sau alte numere de acces și modalitatea de plată a serviciului, permiteau identificarea sa ca utilizator, iar datele privind numele și prenumele folosite, deși nereale, nu aparțineau altor persoane, faptele, în modalitatea reținută, nu realizează cerințele esențiale ca introducerea datelor să aibă loc fără drept și ca datele informatice necorespunzătoare adevărului să aibă aptitudinea de a produce consecințe juridice, critica inculpatei sub acest aspect fiind fondată.
Pentru considerentele expuse, instanța supremă a admis recursul în casație formulat de inculpată, a casat decizia penală atacată și, în parte, sentința primei instanțe, sub aspectul soluției pronunțate cu privire la infracțiunea de fals informatic și rejudecând exclusiv sub acest aspect, în baza art. 396 alin. (1) și (5) din C. proc. pen. raportat la art. 16 alin. (1) lit. b) teza I din C. proc. pen., s-a dispus achitarea inculpatei A pentru săvârșirea infracțiunii prevăzute de art. 325 alin. (1) din Codul penal.