Frauda informatica
Frauda informatică
Definiție
Frauda informatică este reglementată de articolul 249 din Codul Penal al României și se referă la folosirea sistemelor informatice pentru obținerea unor foloase materiale necuvenite, prin introducerea, modificarea sau ștergerea datelor informatice, ori prin restricționarea accesului la aceste date. Această infracțiune reflectă nevoia de protecție a sistemelor informatice într-o lume tot mai dependentă de tehnologie și de datele stocate în format digital.
Elementele constitutive
Subiect activ: poate fi orice persoană care utilizează sisteme informatice în mod fraudulos.
Subiect pasiv: persoana sau entitatea păgubită, adesea instituții financiare, companii, dar și persoane fizice.
Acțiunea
- Introducerea de date false în sistemele informatice;
- Modificarea, ștergerea sau restricționarea accesului la datele existente;
- Folosirea frauduloasă a datelor sau a sistemului pentru obținerea unui beneficiu patrimonial.
Urmarea: obținerea de foloase patrimoniale necuvenite sau cauzarea unui prejudiciu patrimonial unei alte persoane.
Sancțiuni
Art. 249 prevede pedepse cu închisoarea de la 2 la 7 ani pentru frauda informatică, însă gravitatea pedepsei poate crește în funcție de valoarea prejudiciului sau de consecințele asupra persoanei afectate.
Aspecte practice
Aplicarea legii în cazurile de fraudă informatică este deosebit de complexă din cauza naturii tehnice a acestei infracțiuni. Identificarea făptuitorilor, stabilirea probelor digitale și colaborarea internațională în cazurile de infracțiuni cibernetice sunt provocări frecvente. Infracțiunea de fraudă informatică este adesea asociată cu alte infracțiuni, cum ar fi spălarea de bani, accesul ilegal la un sistem informatic și falsul în documente informatice.
Art. 249 Cod penal – Frauda informatică
Introducerea, transmiterea, modificarea sau ştergerea de date informatice, restricţionarea accesului la aceste date ori împiedicarea în orice mod a funcţionării unui sistem informatic, în scopul de a obţine un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane, se pedepseşte cu închisoarea de la 2 la 7 ani.
Conform art. 252, tentativa la infracţiunile prevăzute în art. 249-Frauda informatică– se pedepseşte. Conform art. 256^1, dacă faptele prevăzute la art. 249 au produs consecinţe deosebit de grave, limitele speciale ale pedepsei prevăzute de lege se majorează cu jumătate.
Infracțiunea Frauda informatică se referă la acțiunea:
- de a introduce, modifica sau șterge date informatice,
- de a restricționa accesul la aceste date sau
- de a împiedica funcționarea unui sistem informatic,
- cu intenția de a obține un beneficiu material pentru sine sau pentru altcineva,
- dacă aceste acțiuni cauzează o pierdere unei persoane.
Fraudele patrimoniale săvârşite prin sisteme informatice şi mijloace de plată electronice sunt corelate cu prevederile în materie cuprinse în:
- Legea nr.161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei,
- Legea nr.365/2002 privind comerţul electronic.
Obiectul infracţiunii Frauda informatică
Obiectul juridic special
- îl constituie relațiile sociale care protejează patrimoniul unei persoane în contextul prezenței acesteia în spațiul cibernetic,
- reprezentată prin volumul de date stocate într-un sistem informatic sau vehiculate într-o rețea,
- aceste relații se referă la buna-credință și încrederea necesare în procesarea și stocarea datelor în sistemele informatice.
Obiectul material
- îl constituie suporturile fizice pe care sunt stocate datele sau programele informatice, cum ar fi hard-diskurile, floppy-discurile, CD-urile, memory-stick-urile etc,
- într-un sens mai larg, obiectul material se referă la întregul sistem informatic.
Conform art. 181 Cod Penal:
- un sistem informatic este definit ca orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor cu ajutorul unui program informatic,
- prin date informatice se înțelege orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic.
Subiecţii infracţiunii
Subiectul activ (autorul)
- poate fi orice persoană responsabilă penal,
- manipulările frauduloase de acest gen sunt, în general, realizate de iniţiaţi în domeniul calculatoarelor ori de persoane care, prin natura serviciului, au acces la date şi sisteme informatice,
- participaţia este posibilă în toate formele sale (coautorat, instigare sau complicitate).
Subiectul pasiv va fi persoana fizică sau juridică:
- prejudiciată în propriile interese şi
- faţă de care se produce o pagubă în urma contrafacerii sau alterării datelor informatice, restricţionării accesului la acestea ori împiedicării în orice mod a funcţionării unui sistem informatic.
- Subiect pasiv adiacent (secundar) poate fi şi deţinătorul de drept ori persoana fizică sau juridică ce foloseşte autorizat sistemul informatic.
Latura obiectivă
Elementul material al infracţiunii se realizează printr-o acţiune alternativă:
- de introducere, modificare sau ştergere de date informatice,
- de restricţionare a accesului la aceste date ori
- de împiedicare în orice mod a funcţionării unui sistem informatic.
Elementul material al infracţiunii informatice se realizează prin acțiuni care afectează integritatea și accesibilitatea datelor informatice și a sistemelor informatice.
Aceste acțiuni includ
Introducerea de date informatice
presupune inserarea de date informatice într-un sistem informatic, care nu existau anterior în respectivul sistem. Datele pot fi inserate în mod direct de către făptuitor prin utilizarea tastaturii ori a altor echipamente periferice de intrare
Exemplu: tastatura, scanner-ul sau memoria Flash, etc
Modificarea datelor informatice
constă în acţiunea făptuitorului de a introduce noi secvenţe sau de a şterge anumite porţiuni ale datelor informatice, rezultând noi date care diferă de cele inițiale și nu corespund adevărului.
Acțiunile trebuie să aibă efecte negative asupra funcționalității datelor:
- implică efecte negative asupra stării datelor,
- priveşte capacitatea lor de a funcţiona în maniera prevăzută de persoana care dispune de ele,
- sunt excluse modificările, ştergerile etc. care nu au asemenea consecinţe,
Exemplu: ștergerile care merg până la a perfecţiona programul sau datele din punctul de vedere al finalităţii lor subiective.
Ștergerea de date informatice
Este acțiunea de eliminare:
- în tot sau în parte, a reprezentării binare a datelor informatice vizate (secvenţele logice de „0” şi „1”, corespunzătoare impulsurilor electromagnetice „magnetizat” – „demagnetizat”)
- totală sau parțială a datelor de pe mediile de stocare (hard-disk, CD, floppy-disk, memory-stick),
- ceea ce poate duce la dispariția datelor.
Ștergerea prin comenzi software (delete, format) nu elimină definitiv datele, acestea putând fi recuperate.
Ștergerea de date:
- este rezultatul unor comenzi software de tipul delete sau format,
- în respectivul moment datele – care sunt organizate sub formă de pachete de informaţii de tip octet şi se găsesc aleatoriu, fragmentat, pe suportul de stocare (de exemplu, hard-disk):
- vor continua să existe fizic în mediile de depozitare, însă sistemul de operare va „marca” în mod corespunzător aceste locaţii ca fiind „libere” şi deci posibil a fi supraimprimate cu noi date informatice.
Tot acest proces este netransparent pentru un utilizator, acesta fiind „convins” ca prin acţiunea sa datele au fost şterse ori modificate. Tehnologia permite recuperarea de date informatice de pe medii de stocare chiar distruse sau formatate.
Ştergerea prin distrugerea de obiecte materiale prin distrugerea:
- suportului de date,
- de supraimprimarea pe benzi sau platane magnetice (floppy-disk).
Distrugerea de date poate fi şi rezultatul unor:
- atingeri concrete ale unor instalaţii informatice de bombe (acte de terorism),
- acte specifice de sabotaj, elaborate sau foarte simple,
- ştergerea de date cu magneţi sau prin inserarea de programe incidente, bombe logice etc.
Cele mai periculoase sunt programele virus care se reproduc şi se pun în lucru în alte programe şi fişiere de date ca programe de distrugere.
Restricționarea accesului la date informatice
Restricționarea se face prin acțiuni care împiedică utilizatorii autorizați să acceseze datele în forma lor inițială.
Restricționarea poate fi:
- fizică (blocarea porturilor de intrare/ieșire) sau
- logică (modificarea tabelei de alocare a fișierelor).
Restricţionarea accesului la datele informatice este rezultatul uneia sau mai multor acţiuni exercitate de către făptuitor asupra sistemelor de calcul sau mediilor de stocare, astfel încât:
- utilizatorul de drept nu le mai poată regăsi în forma lor iniţială ori prin procedurile standard de operare a sistemelor de calcul,
- datele nu mai sunt accesibile persoanelor autorizate, nemaiputându-se servi de ele.
În cazul restricţionării „fizice” făptuitorul acţionează direct pentru blocarea accesului la resursele unui sistem prin dezafectarea porturilor de intrare/ieşire.
În cazul restricţionării „logice” făptuitorul modifică tabela de alocare a fişierelor FAT (File Allocation Table) care este o componentă a sistemului de operare.
Aceasta alocă fiecărui fişier unul sau mai multe porţiuni pe suportul de stocare, gestionând o listă (tabelă de alocare) ce conține adresele necesare pentru regăsirea fișierelor (datelor).
Împiedicarea funcționării sistemului informatic
Împiedicarea se poate face prin orice act care face imposibilă utilizarea unui sistem informatic, parțial sau total, temporar sau permanent.
Exemplu: includerea blocării tranzacțiilor bursiere sau atacurile de tip Botnet.
Un Botnet este o reţea virtuală:
- care reuneşte într-un mediu comun de comunicare sisteme informatice preluate sub controlul făptuitorului, prin infectarea cu viermi informatici sau aplicaţii de tip Cal Troian, şi
- care acţionează conform instrucţiunilor transmise de acesta, independent de voinţa sau cunoştinţa utilizatorilor de drept.
Frauda poate avea mai multe forme şi adesea se poate confunda cu înşelăciunea tradiţională, mijlocul de realizare fiind computerul.
Cu toate acestea, atât în doctrină, cât și în practica judiciară, s-a convenit că:
- particularitățile spațiului cibernetic și ale componentelor sale (sisteme, echipamente, rețele, internet) în comparație cu anumite infracțiuni „tradiționale”
- justifică abordări juridice noi și specializate pentru tratarea acestor fapte antisociale, așa cum este și cazul de față.
De-a lungul timpului, unele instanțe au preferat să clasifice faptele ca fraudă informatică, în loc de înșelăciune, bazându-se exclusiv pe specificitatea infracțiunii informatice în contextul mediului său de manifestare – spațiul cibernetic.
Forme comune ale infracțiunii Frauda informatică
Frauda „momește și schimbă”
este întâlnită cel mai des în cazul activităţilor de comerţ electronic, prin intermediul magazinelor online (de exemplu, eBay).
Implică publicitatea unui produs inexistent sau de calitate inferioară pe platforme de comerț electronic, urmată de oferirea unui produs diferit ca “consolare”.
Este o formă de fraudă în care făptuitorul ademeneşte potenţiali clienţi făcând publicitate (preţ foarte mic, profitabilitatea afacerii etc.) unor produse, care:
- fie nu există în realitate,
- fie sunt ulterior schimbate cu produse aparent similare, dar cu calităţi net inferioare.
Clientului i se prezintă posibilitatea de a achiziţiona un anumit produs la un preţ foarte mic, însă în momentul onorării comenzii, acestuia:
- i se comunică faptul că produsul „nu mai există în stoc” şi
- i se oferă o altă posibilitate, un alt produs (contrafăcut) ca o „consolare” pentru „inexistenţa” celui original prezentat în anunţ.
Caracteristic pentru această fraudă este faptul că în niciun moment autorul nu are de gând (nu intenţionează) să vândă produsul momeală.
Fapta se realizează cel mai adesea:
- prin intermediul sistemelor informatice şi al reţelei internet,
- prin mesaje de poştă electronică (e-mail) sau
- prin intermediul unei (bine alcătuite) pagini de web.
Trucuri bazate pe încredere (Confidence Tricks)
se bazează pe intenţia de a induce în eroare o persoană sau un grup de persoane (denumite „ţinte”) cu privire la posibilitatea de a câştiga importante sume de bani sau de a realiza ceva însemnat.
Înșelăciunea se exploatează dorința victimei de înavuțire rapidă, folosind complici:
- pentru a conferi credibilitate schemei,
- care va acţiona psihologic asupra ţintei inducându-i artificial senzaţia că „jocul”, „acţiunea” etc. sunt cât se poate de reale şi profitabile, ele însuşi „având încredere în autor”,
- se baza pe exploatarea anumitor laturi ale personalităţii umane, cum ar fi lăcomia sau necinstea.
Victimelor le sunt exploatate dorinţele:
- de „înavuţire rapidă”,
- de „câştiguri de bani fără efort” sau
- de investiţii „prea bune ca să fie adevărate”.
Exemplu:
- ţinta va fi convinsă de către făptuitor că va câştiga o importantă sumă de bani participând la înşelarea unei a treia persoane, care, de fapt, este în legătură cu infractorul şi participă în complicitate la realizarea acestei acţiuni.
- victima este cea care pierde „jocul”,
- abordarea victimei de către infractor şi chiar desfăşurarea acţiunii se vor face prin intermediul mijloacelor electronice (e-mail, pagină web etc.).
Fraude informatice „cu avans” (Advanced Fee Fraud)
prin care victimele sunt ademenite să transfere bani pentru a facilita un presupus transfer bancar major, bazat pe scenarii fictive de afaceri sau moșteniri.
Acest gen de fraude sunt adesea cunoscute sub denumirea de „transferuri nigeriene” sau „scrisori nigeriene” ori, pur şi simplu, „înşelătorii 419” (după numărul articolului din Codul penal al Nigeriei, care încriminează astfel de fapte).
În acest caz, victimele sunt oameni bogaţi sau investitori din Europa, Asia Australă sau America de Nord. Mijloacele de comitere variază de la scrisorile expediate prin poştă sau faxuri la e-mail sau pagini web.
Schema de operare
A. O persoană (investitor, om de afaceri etc.) este contactată conform următorului șablon:
„(…) sunt un oficial cu rang înalt din Nigeria și doresc să transfer fonduri semnificative în străinătate.
Vă solicit ajutorul pentru a folosi conturile dvs. bancare în acest scop, oferindu-vă în schimb un comision de 10–20% din suma transferată (…)”. Așa-zisa afacere este prezentată în detaliu, ca un „delict nesemnificativ” (de genul infracționalității gulerelor albe), care promite „câștiguri importante”.
Introducerea aproape subliminală a ideii de „mică ilegalitate” are rolul de a descuraja victima să raporteze autorităților atunci când realizează că a fost deposedată de lichiditățile sau economiile sale, oferind detalii bancare unor necunoscuți.
Aceste înșelăciuni își au originea în Nigeria și sunt elaborate astfel încât adresele de e-mail, site-urile web, numerele de telefon sau fax etc. să pară a fi ale unor centre de afaceri, firme sau chiar instituții guvernamentale locale.
Există și cazuri în care, prin corespondența electronică, autorii solicită direct victimelor sume de bani lichizi pentru așa-zisele „mituiri ale altor oficiali ori ale personalului bancar care va asigura transferul mare” etc.
B. Într-o altă variantă a fraudei, victima primește un e-mail
de la un presupus avocat sau reprezentant al unei firme de administrare valori mobiliare sau imobiliare, care o informează despre decesul unei „rude foarte îndepărtate” de care nu știa și care i-ar fi lăsat o moștenire considerabilă.
Autorul solicită ulterior detaliile conturilor bancare pentru „transferul bancar al lichidităților moștenite” (sume exorbitante menite să inhibe instinctul de apărare).
C. În cea mai recentă versiune a acestui tip de fraudă, autorul se oferă să cumpere unul dintre produsele scumpe postate de victimă pe un site de vânzări și cumpărări online (de exemplu, eBay),
printr-un ordin de plată, cec sau alt instrument oficial emis de o autoritate bancară.
În mod „accidental”, cecul va avea o sumă mai mare decât valoarea produsului „cumpărat”, motiv pentru infractor să-i solicite victimei, prin e-mail, să-i returneze diferența de bani, telegrafic, la o terță adresă, după confirmarea primirii coletului.
De regulă, cecul pare valabil după una sau două zile, dar falsul devine evident abia după aproape o săptămână, timp în care victima a trimis și produsul, și „restul de bani” infractorului.
Frauda „depozitelor false”
este o altă metodă de fraudare prin intermediul sistemelor informatice, prin care, după câștigarea unei licitații online, infractorii propun utilizarea unui serviciu escrow fals pentru a securiza bunurile, care sunt apoi sustrase.
Autorul, după ce câştigă o licitaţie de produse pe un site internet specializat (de genul eBay sau AltaVista):
- solicită victimei utilizarea unui site (sau serviciu) de escrow „sigur”, „neutru” care să „depoziteze” bunurile (în general echipamente electronice) până la perfectarea aranjamentelor financiare,
Site-ul de escrow este creat şi controlat de infractor, iar la primirea bunurilor „în gaj”, respectiva pagină web este închisă (dezactivată), iar contul şters.
Frauda „salam”
se realizează prin rotunjirea în minus a sumelor din conturile bancare ale clienților, cu diferențele transferate către un cont specific al infractorului.
Aceste acțiuni infracționale subliniază necesitatea unor măsuri de securitate riguroase pentru protejarea datelor și sistemelor informatice împotriva accesului neautorizat și manipulării frauduloase. Este o operaţiune care necesită accesul în sistemul informatic al unei instituţii bancare.
Autorul:
- accesează aplicaţia informatică de gestionare conturi clienţi sau pe cea de facturare şi
- modifică anumite linii din program în aşa fel încât produce o rotunjire în minus a sumelor rezultate din calculele bancare specifice, diferenţele fiind direcţionate către un anumit cont.
Numele fraudei este sugestiv pentru operaţiunea de obţinere, sumare şi transfer a tuturor procentelor rezultate din rotunjirile aritmetice impuse prin soft.
Urmarea imediată constă în crearea unui prejudiciu patrimonial (o pagubă) unei persoane.
Raportul de cauzalitate între activitatea făptuitorului şi urmarea produsă trebuie dovedită.
Latura subiectivă
Infracţiunea de frauda informatică se comite numai cu intenţie directă calificată prin scop. Acţiunea făptuitorului se realizează în scopul de a obţine un beneficiu material pentru sine sau pentru altul. Nu este necesară realizarea efectivă a acestui beneficiu, ci numai urmărirea realizării acestuia.
Forme de realizare a infracțiunii Frauda informatică
Actele pregătitoare, deşi posibile, nu sunt incriminate şi ca atare nu sunt pedepsite.
Tentativa se pedepseşte (art. 252 Cod penal).
Infracţiunea se consideră consumată atunci când făptuitorul:
- a introdus, modificat ori şters în vreun fel datele dintr-un sistem informatic ori
- a restricţionat accesul la aceste date sau a împiedicat în orice mod funcţionarea unui sistem informatic şi
- a cauzat prin aceasta un prejudiciu patrimonial unei persoane.
Sancţionarea infracțiunii Frauda informatică
Pedeapsa prevăzută pentru persoana fizică este închisoarea de la 2 la 7 ani. Dispoziţiile art. 62 alin. (1) se aplică în mod corespunzător (dacă prin infracţiunea săvârşită s-a urmărit obţinerea unui folos patrimonial, pe lângă pedeapsa închisorii, se poate aplica şi pedeapsa amenzii).
Potrivit dispoziţiilor art. 112^1 Cod penal, instanţa va putea dispune măsura de siguranţă a confiscării extinse dacă va constata îndeplinirea condiţiilor legale.