ÎNAPOI LA REZULTATE Înalta Curte de Casație și Justiție
Sursă originală
ÎCCJ

ÎCCJ, decizie (scj.ro #232886)

CAMERĂ
other
Citează această cauză
ÎCCJ, decizie (scj.ro #232886) (Înalta Curte de Casație și Justiție)

Recurs în casație. Cazul prevăzut în art. 438 alin. (1) pct. 7 din C. proc. pen. Accesul ilegal la un sistem informatic. Tipicitate

Cuprins pe materii:

Drept procesual penal. Partea specială. Judecata.

Căile extraordinare de atac. Recursul în casație

Drept penal. Partea specială.

Acces ilegal la un sistem informatic

Indice alfabetic:

- drept procesual penal

- recurs în casație

- drept penal

- acces ilegal la un sistem informatic

, art. 438 alin. (1) pct. 7

art. 360

Nu întrunește elementele constitutive ale infracțiunii de acces ilegal la un sistem informatic, prevăzută de art. 360 C. pen, fapta persoanei care, ulterior accesării în mod legal a sistemului informatic, interoghează baza de date integrată acestuia în alt scop decât acela al exercitării atribuțiilor de serviciu, întrucât legiuitorul nu a incriminat folosirea fără drept a unui sistem informatic.

I.C.C.J., Secția penală, decizia nr.  163/RC din 20 martie 2025

I.

Prin sentința penală nr. 48/12.12.2023 Tribunalul Militar Timișoara, în baza art. 396 alin. (1) și (2) C. proc. pen., l-a condamnat pe inculpatul plt. C, între altele, la pedeapsa de 2 ani și 3 luni închisoare, pentru participație improprie la săvârșirea infracțiunii de acces ilegal la un sistem informatic, faptă prevăzută și pedepsită de art. 52 alin. (3) C. pen. raportat la art. 360 alin. (1), (2) și (3) C. pen.

Cu privire la infracțiunea de acces ilegal la un sistem informatic, instanța de fond a reținut, în esență, că sunt întrunite condițiile de tipicitate obiectivă a infracțiunii, întrucât inculpatul a acționat cu depășirea limitelor autorizării [în sensul art. 35 alin. (2) lit. b din Legea nr.  161/2003], accesul nefiind făcut în interes de serviciu, ci în interes personal.

S-a reținut că scopul urmărit de inculpat prin accesarea bazei de date a fost unul exclusiv personal, vindicativ, constând în obținerea datelor de identitate complete ale numitului G, în vederea îndeplinirii unui act abuziv (sancționarea vădit nelegală a unei persoane nevinovate prin contrafacerea unui proces-verbal de contravenție în care s-au consemnat date nereale), accesul fiind realizat deci fără drept.

Întrucât pătrunderea în Registrul Național de Evidență a Persoanelor s-a făcut în scopul obținerii de date informatice (datele cu caracter personal ale numitului G), s-a apreciat că este îndeplinită și cerința scopului special al formei agravate incriminate în art. 360 alin. (2) C. pen.

S-a mai reținut că procedura de autentificare într-un sistem informatic reprezintă o măsură de securitate, iar în concret depășirea acesteia prin introducerea în mod neautorizat (în scop personal, de răzbunare) a unor credențiale conduce în mod automat la incidența dispozițiilor art. 360 alin. (3) C. pen.

În ceea ce privește urmarea imediată, s-a reținut că aceasta este reprezentată de starea de pericol pentru relațiile sociale referitoare la încrederea publică de care se bucură bazele electronice de date, iar aceasta s-a produs în momentul logării în aplicație, moment la care utilizatorul a putut beneficia de resursele sistemului informatic. Legătura de cauzalitate între acțiunea inculpatului și rezultatul socialmente periculos rezultă din materialitatea faptei.

Sub aspectul laturii subiective s-a reținut că inculpatul a acționat cu intenție directă.

II.

Prin decizia penală nr. 42 din 15.05.2024 pronunțată de Curtea Militară de Apel București, a fost respins, ca nefondat, apelul declarat de inculpatul plt. C.

III.

Împotriva deciziei penale nr. 42 din data de 15.05.2024 pronunțată de Curtea Militară de Apel București, inculpatul C a declarat recurs în casație, invocând cazul de casare prevăzut de art. 438 alin. (1) pct. 7 C. proc. pen., prin prisma căruia a solicitat, în temeiul art. 16 alin. (1) lit. b teza I C. proc. pen., achitarea sa sub aspectul săvârșirii infracțiunii de acces fără drept, la un sistem informatic, în forma participației improprii, prevăzută de art. 52 alin. (3) raportat la art. 360 alin. (1), (2) și (3) C. pen.

Recurentul a susținut că accesul la sistemul informatic nu s-a realizat fără drept de către inculpat, în condițiile în care acesta, în calitate de subofițer operativ în cadrul Inspectoratului de Jandarmi Județean Hunedoara avea dreptul de a accesa baza de date a Direcției pentru Evidența Persoanelor și Administrarea Bazelor de Date pentru a verifica persoane în vederea stabilirii datelor de identificare ale acestora.

Examinând recursul în casație declarat de inculpatul C, Înalta Curte a apreciat că acesta este fondat, pentru următoarele considerente:

Ceea ce s-a invocat de recurentul inculpat ca temei al incidenței dispozițiilor art. 438 alin. (1) pct. 7 C. proc. pen. vizează, în mod concret, lipsa cerinței esențiale atașate elementului material al infracțiunii de acces ilegal la un sistem informatic prevăzute de art. 360 alin. (1) C. pen., în sensul că fapta nu a fost săvârșită ,,fără drept”.

Instanța de apel a reținut, în esență, că inculpatul plt. C, la data de 11 aprilie 2021, urmărind un interes personal (dorința de răzbunare) și dorind să afle datele cu caracter personal ale numitului G, în vederea completării procesului-verbal de constatare și sancționare a contravențiilor seria JO nr. (...)/11.04.2021, a determinat pe plt. adj. șef N (care a acționat fără vinovăție) să acceseze baza de date evidența persoanelor administrată de D.E.P.A.B.D. (sistem informatic la care accesul este restricționat, prin intermediul unor proceduri, dispozitive sau programe specializate), să vizualizeze și să-i comunice numele și prenumele persoanei vătămate, data nașterii, codul numeric personal, seria și numărul cărții de identitate, denumirea autorității care a eliberat actul de identitate și data emiterii, precum și adresa de domiciliu a numitului G.

Art. 360 C. pen. reglementează infracțiunea de acces ilegal la un sistem informatic, într-o variantă de bază, ce interzice accesul, fără drept, la un sistem informatic [alin. (1)], și două variante agravate, care constau în comitere faptei descrise în alin. (1) în scopul obținerii de date informatice [alin. (2)] ori cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, respectiv prin încălcarea unor norme de securitate [alin. (3)].

Infracțiunea  prevăzută de art. 360 a fost preluată de Codul penal din Legea nr. 161/2003 care, în cartea I, titlul III, capitolul P și contravenții, art. 42 cuprindea infracțiunile contra confidențialității și integrității datelor și sistemelor informatice, infracțiunile informatice și pornografia infantilă prin sisteme informatice, dispoziții care au fost abrogate, ulterior, prin art. 130 pct. 3 din Legea nr. 187/2012 pentru punerea în aplicare a Legii nr. 286/2009 privind C. pen. Codul penal nu a preluat și toate definițiile din Legea nr. 161/2003, astfel încât, trebuie analizat dacă, în aceste condiții, sintagma „fără drept” din textul art. 360 C. pen. se completează cu dispozițiile art. 35 alin. (2) din Legea nr.  161/2003, o lege extrapenală, care stabilesc,

inter alia

, că acționează fără drept persoana care depășește limitele autorizării.

În analiza întreprinsă, Înalta Curte a avut în vedere Decizia nr. 183/2018 a Curții Constituționale prin care s-a reținut că deși Codul penal nu a preluat toate definițiile din Legea nr.  161/2003, aceasta rămâne în continuare un reper pentru înțelegerea elementelor de conținut ale infracțiunii criticate, iar practica și jurisprudența anterioară își păstrează actualitatea, întrucât noua reglementare nu aduce modificări conținutului infracțiunii.

Analizând tipicitatea obiectivă a acțiunii efectuate de plt. adj. șef N la instigarea inculpatului C, din perspectiva întrunirii condiției „fără drept”, Înalta Curte are o rezervă în a aprecia că, o atare mențiune, din considerentele deciziei sus amintite a Curții Constituționale, are aptitudinea de a conduce la concluzia că textul art. 35 alin. (2) din Legea nr. 161/2003 completează și explicitează dispozițiile art. 360 alin. (1) C. pen., întrucât în Codul penal nu se face nicio trimitere la Legea nr. 161/2003, astfel încât lipsește fundamentul legal al a reținutrii caracterului acesteia din urmă de a fi normă completatoare pentru infracțiunile reglementate de cod.

În ceea ce privește considerentele Curții Constituționale, care, analizând, exigențele de constituționalitate ale art. 360 C. pen., din perspectiva sintagmei „asupra unui sistem informatic” a stabilit că art. 35 alin. (2) din Legea nr. 161/2003 rămâne un reper pentru înțelegerea elementelor de conținut ale infracțiunii, Înalta Curte a constatat că un principiu necesar a fi analizat, pentru a stabili dacă dispozițiile art. 360 alin. (1) C. pen. pot fi interpretate în lumina art. 35 alin. (2) din Legea nr.  161/2003, este acela al legalității incriminării, pornind de la art. 7 paragraful 1 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale, care, pe lângă interzicerea, în mod special, a extinderii conținutului infracțiunilor existente asupra unor fapte care, anterior, nu constituiau infracțiuni, prevede și principiul potrivit căruia legea penală nu trebuie interpretată și aplicată extensiv în defavoarea acuzatului, de exemplu, prin analogie.

Rezultă că legea penală trebuie să definească în mod clar infracțiunile și pedepsele aplicabile. Această cerință este îndeplinită atunci când un justițiabil poate cunoaște, din însuși textul normei juridice pertinente, la nevoie prin interpretarea acesteia de către instanțe și cu sprijinul unei asistențe juridice adecvate, care sunt actele și omisiunile ce pot angaja răspunderea sa penală și care este pedeapsa pe care o riscă. [Hotărârea din 15 noiembrie 1996, pronunțată în R împotriva Franței, paragraful 29].

Astfel, valorificând jurisprudența Curții Constituționale prin prisma principiului legalității incriminării, astfel cum este dezvoltat de jurisprudența Curții Europene a Drepturilor Omului, Înalta Curte constată că se impune a se diferenția între calificarea de reper pentru înțelegerea elementului material al infracțiunii prevăzute de art. 360 C. pen., pe care Decizia nr. 183/2018 o dă dispozițiilor Legii nr. 161/2003, respectiv aceea de mecanism de orientare, și  noțiunea de supliment de incriminare, acesta din urmă fiind în contradicție cu exigențele principiului legalității incriminării.

Nu mai puțin, în aprecierea tipicității obiective a faptelor imputate inculpatului C, relevă Înalta Curte, sub un prim aspect, că art. 360 C. pen. are ca obiect de ocrotire sistemul informatic, iar sub un al doilea aspect că este o infracțiune de pericol, care se consumă de îndată ce agentul accesează sistemul informatic, fiind fără relevanță, sub aspectul acestei incriminări, conduita sa ulterioară, respectiv acțiunile pe care le întreprinde după ce accesează sistemul informatic.

Pe cale de consecință, din această perspectivă, nu au nicio relevanță dispozițiile Legii nr. 363/2018 privind protecția persoanelor fizice (în vigoare la 11.04.2021), dar și prelucrarea lor în scopul realizării activităților de menținere și asigurare a ordinii și siguranței publice de către autoritățile competențe, în limitele competențelor stabilite, întrucât acestea protejează datele cu caracter personal și, în niciun caz, sistemul informatic. În esență, premisa care nu trebuie ignorată este aceea a obiectului de ocrotire a normei de incriminare, infracțiunea de „acces ilegal la un sistem informatic” fiind inclusă în titlul V capitolul VI, cu denumirea „infracțiuni contra siguranței și integrității sistemelor și datelor informatice”. Or, pornind de la această premisă, pentru conturarea tipicității obiective a infracțiunii de „acces ilegal la un sistem informatic”, nu au relevanță, în egală măsură, nici dispozițiile art. 3 lit. h din Protocolul de Cooperare nr. 84262/10.12.2008 - 5070706/10.12.2008 încheiat între R.N.E.P. și Inspectoratul General al Jandarmeriei Române, întrucât acestea prevăd că pentru cazurile în care se constată utilizarea abuzivă a informațiilor din bazele de date, în afara atribuțiilor de serviciu, prin încălcarea prevederilor legale care reglementează domeniul protecției datelor cu caracter personal, Jandarmeria Română  va informa în scris Centrul Național de Administrare a Bazelor de Date privind Evidența Persoanelor cu privire la măsurile administrative luate față de utilizatorii în cauză, solicitând în același timp revocarea drepturilor de acces a acestora la bazele de date. Cu alte cuvinte, prin intermediul acestora se instituie interdicția accesului la date cu caracter personal în alte scopuri decât cele necesare îndeplinirii atribuțiilor de serviciu.

Prin Decizia nr. 68/2021, Înalta Curte de Casație și Justiție – Completul pentru dezlegarea unor chestiuni de drept a respins, ca inadmisibilă, sesizarea formulată de Curtea de Apel Ploiești, Secția penală și pentru cauze cu minori și de familie, prin care s-a solicitat pronunțarea unei hotărâri prealabile pentru dezlegarea de principiu a următoarei chestiuni de drept:  ,,În interpretarea dispozițiilor art. 360 alin. (1) C. pen. privind accesul ilegal la un sistem informatic, în cazul persoanelor care pot interoga oricând o bază de date conținând informații nepublice, o asemenea interogare neurmată de efectuarea ulterioară a unor acte specifice exercitării atribuțiilor de serviciu în legătură cu interogarea efectuată poate reprezenta o depășire a limitelor pentru care a fost acordată autorizarea.” A reținut însă Înalta Curte de Casație și Justiție că ceea ce se solicită este a se stabili dacă, ,,în cazul persoanelor care pot interoga oricând o bază de date conținând informații nepublice, o asemenea interogare neurmată de efectuarea ulterioară a unor acte specifice exercitării atribuțiilor de serviciu în legătură cu interogarea efectuată poate reprezenta o depășire a limitelor pentru care a fost acordată autorizarea”, respectiv dacă, în această situație particulară ce formează obiectul cauzei cu care a fost învestită instanța de trimitere, faptele imputate inculpatului întrunesc sau nu elementele de tipicitate obiectivă ale infracțiunii prevăzute de art. 360 alin. (1) C. pen. privind accesul ilegal la un sistem informatic.

Or, analiza depășirii limitelor autorizării implică, pe de o parte, stabilirea existenței autorizării legale sau contractuale, iar, pe de altă parte, determinarea conținutului acesteia, singurul în măsură să furnizeze criteriile obiective în raport cu care se poate concluziona asupra caracterului legal sau ilegal al accesului la sistemul informatic.

În acest sens, organul judiciar verifică, în temeiul actelor normative care reglementează competențele și atribuțiile de serviciu, al regulamentelor interne ori al fișelor postului, limitele autorizării, precum și conduita materială efectivă a agentului.

Toate aceste aspecte au natură strict factuală, diferă de la caz la caz și urmează a fi stabilite de instanța învestită pe baza materialului probator administrat.

Prin urmare, chiar dacă s-ar admite că este incriminată acțiunea agentului care accesează sistemul informatic cu depășirea limitelor autorizării, în cazul plt. adj. șef N nu s-a stabilit care era conținutul autorizării de a accesa sistemul informatic, fiind relevat doar faptul că inculpatul l-a instigat pe acesta să acceseze baza de date D.E.P.A.B.D. în interesul său personal, aspect care, din perspectiva infracțiunii prevăzute de art. 360 C. pen. nu prezintă nicio relevanță atâta vreme cât respectivul jandarm poate interoga baza de date doar în interesul său de serviciu, și nu în interesul de serviciu al altei persoane. Prin urmare, dacă s-ar admite că este incriminat accesul la sistemul informatic cu depășirea limitelor autorizării, iar scopul urmărit, altul decât cel de serviciu, ar reprezenta o astfel de depășire, ar fi lipsit de orice semnificație faptul că interesul colegului la solicitarea căruia se întreprinde accesul este unul care ține de exercitarea atribuțiilor de serviciu ale acestuia sau de un interes personal, câtă vreme titularul credențialelor trebuie să le utilizeze doar în interesul său de serviciu și nu al altuia și câtă vreme respectivul titular nu ar avea posibilitatea sau competența de a verifica dacă informația cerută este necesară pentru exercitarea atribuțiilor de serviciu ale solicitantului, mai ales în condițiile în care este posibil și chiar probabil ca aceste din urmă aspecte să țină de secretul de serviciu.

Înalta Curte mai a reținut că nu s-a stabilit dacă jandarmul care a procedat la interogarea bazei de date D.E.P.A.B.D. era autentificat în sistemul informatic anterior interogării bazei de date D.E.P.A.B.D., aspect relevant pentru stabilirea tipicității faptei. În acest sens, sunt relevante, considerentele Deciziei nr. 68/2021 a Înaltei Curți - Completul pentru dezlegarea unor chestiuni de drept, în cuprinsul cărora s-a arătat că accesul fără drept la un sistem informatic, prevăzută de art. 360 alin. (1) C. pen., se consumă în momentul realizării elementului material al laturii obiective, respectiv al accesului, când autorul, interacționând la nivel logic cu sistemul informatic, beneficiază de resursele ori/și de funcțiile lui și când se produce urmarea imediată constând în lezarea relațiilor sociale privind siguranța/securitatea sistemelor și datelor informatice prin asigurarea confidențialității, integrității și accesibilității acestora.

Înalta Curte a reținut că, în cazul accesării unei baze de date, accesul la un sistem informatic are loc la momentul autentificării.

Concluzia care se desprinde este aceea că infracțiunea prevăzută de art. 360 C. pen. se consumă în momentul accesării sistemului informatic. Odată ce plt. adj. șef N accesase, în mod legal, sistemul informatic care conținea baza de date D.E.P.A.B.D., conduita sa ulterioară – inclusiv interogarea bazei de date în scop personal – excedează normei de incriminare pentru că legiuitorul nu a incriminat „folosirea” fără drept a unui sistem informatic sau „accesarea fără drept a datelor informatice”, ci accesul la sistemul informatic, care a precedat, care a fost preexistent interogării bazei de date la solicitarea inculpatului C. Pe de altă parte, astfel cum s-a arătat și în doctrină (M. Dobrinoiu, op.cit., p. 73) bazele de date (colecțiile de informații, evidențele electronice) reprezintă seturi de date informatice care, însă, nu se circumscriu programelor informatice indispensabile existenței și funcționării unui sistem informatic și nu se circumscriu noțiunii de „sistem informatic” astfel cum este definit de art. 181 C. pen., astfel încât o eventuală interacțiune ,,neautorizată” a unui utilizator cu aceste seturi structurate de date nu este de natură să atragă, din punct de vedere tehnic și obiectiv, tipicitatea infracțiunii prevăzute la art. 360 C. pen.”.

Și în considerentele Deciziei nr. 68/2021 a  Înaltei Curți – Completul pentru dezlegarea unor chestiuni de drept, s-a arătat că nu are nicio relevanță în ceea ce privește caracterizarea faptei ca infracțiune, conduita ulterioară a agentului în raport cu informațiile obținute prin accesarea sistemului informatic, sub aspectul folosirii sau nefolosirii lor ori al scopului în care au fost efectiv utilizate (în cadrul activității de serviciu sau fără legătură cu aceasta), deoarece aceasta intervine după momentul consumării infracțiunii. În concret, orice acțiune ulterioară (de exemplu, divulgarea unor informații) va fi sancționată doar dacă este incriminată de legiuitor ca o infracțiune de sine stătătoare (de exemplu, favorizarea făptuitorului, compromiterea intereselor justiției etc.). După cum arată și considerentele Deciziei nr. 68/2021, existența infracțiunii prev. de art. 360 C. pen. nu poate depinde de conduita ulterioară a autorului, respectiv de scopul în care urmează a fi utilizate informațiile obținute.

Concluzionând, Înalta Curte a apreciat că fapta plt. adj. șef N de a interoga o bază de date la care se conectase în mod legal, nu este prevăzută de legea penală, chiar dacă interogarea s-a făcut în alt scop decât acela al exercitării atribuțiilor proprii de serviciu, astfel încât nici acțiunile inculpatului C nu pot fi apreciate ca întrunind elementele de tipicitate obiectivă ale instigării la infracțiunea de „acces ilegal la un sistem informatic” astfel cum este prevăzută de art. 360 C. pen.

În sinteză, Înalta Curte a reținut că dispozițiile legale ale art. 360 C. pen. nu incriminează accesul cu depășirea limitelor autorizării, că dispozițiile art. 35 alin. (2) din Legea nr.  161/2003 nu au calitatea de normă completatoare pentru C. pen., ci doar aceea de mecanism de orientare, în lumina Deciziei nr.183/2018 a Curții Constituționale, dar și că, inclusiv în situația în care s-ar admite că o atare acțiune este incriminată, ea nu poate fi determinată decât în condițiile evocate de Decizia nr. 68/2021 a Înaltei Curți, adică de conținutul concret al autorizării care, în speță, nu este identificat, singurele trimiteri fiind făcute la norme cu un obiect diferit de ocrotire, respectiv protecția datelor cu caracter personal și nu sistemul informatic. Mai mult, infracțiunea de acces ilegal la un sistem informatic se consumă la momentul interacțiunii logice cu sistemul informatic, fiind lipsită de relevanță, pentru a reținerea acestei infracțiuni, atât conduita ulterioară a agentului, cât și scopul accesării, depășirea limitelor accesării lipsind, în condițiile în care nu s-au accesat fișiere, foldere sau baze de date care erau interzise agentului.

Pentru considerentele expuse, Înalta Curte a admis recursul în casație declarat de inculpatul C. A casat, în parte, decizia penală recurată și, rejudecând în aceste limite, în baza art. 448 alin. (1) pct. 2 lit. a C. proc. pen., art. 396 alin. (5) raportat la art. 16 alin. (1) lit. b teza I C. proc. pen., a achitat pe inculpatul C pentru participație improprie la săvârșirea infracțiunii de acces ilegal la un sistem informatic, faptă prevăzută și pedepsită de art. 52 alin. (3) C. pen. raportat la art. 360 alin. (1), (2) și (3) C. pen.

§ Cauze similare

Grupate prin similitudine semantică

5 cauze
Sursă