”Crearea unui cont fără drept, uzurpând identitatea unei persoane, prin introducerea de date reale și care permit identificarea respectivei persoane, presupune o falsificare a manifestării de voință a acesteia și creează o percepție contrară realității în privința titularului respectivului cont.” Asta au susținut judecătorii Înaltei Curți de Casație și Justiție în hotărârea prin care au stabilit că deschiderea și folosirea unui cont pe o rețea de socializare cu datele altei persoane întrunește două dintre cerințele esențiale ale falsului informatic.
Magistrații au arătat că făptuitorul care, prin contrafacerea manifestării de voință a unei persoane, introduce într-o rețea de socializare deschisă publicului numele și datele cu caracter personal reale ale acesteia (și care permit identificarea sa), ca fiind date privind propria identitate, acționează fără drept. În opinia judecătorilor ÎCCJ, situația reprezintă o ipoteză a „furtului de identitate“, care, similar clonării paginilor web (phishingul), intră sub incidența art. 7 din Convenția Consiliului Europei privind criminalitatea informatică.
Însă Înalta Curte a atras atenția că pentru reținerea infracțiunii mai este necesar ca scopul activităților desfășurate fără drept să fie de a utiliza datele informatice în vederea producerii de consecințe juridice, acesta urmând a fi verificat în funcție de circumstanțele concrete ale fiecărei cauze.
Extras din decizia nr. 4 din 25 ianuarie 2021 a Înaltei Curți de Casație și Justiție, Completul pentru dezlegarea unor chestiuni de drept în materie penală, publicată în Monitorul Oficial 171/19 februarie 2021 (INTEGRAL AICI):
În ceea ce privește cerința ca acțiunea de introducere a datelor informatice să fie realizată fără drept, se rețin următoarele:
Potrivit art. 181 alin. (2) din Codul penal, prin date informatice se înțelege orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic [noțiune definită de alin. (1) al aceluiași articol]. Spre deosebire de Legea nr. 161/2003, care, în art. 35 alin. (2), reglementa înțelesul sintagmei „fără drept“, Codul penal, deși a preluat toate infracțiunile din titlul III – Prevenirea și combaterea criminalității informatice al cărții I – Reglementări generale pentru prevenirea și combaterea corupției din Legea nr. 161/2003, precum și o parte din definițiile date unor noțiuni („sistem informatic“, „date informatice“), nu cuprinde o dispoziție similară.
Având însă în vedere împrejurarea că prevederile art. 35 alin. (2) din Legea nr. 161/2003 nu au fost abrogate, ele continuă să aibă relevanță juridică din perspectiva incriminărilor preluate în noul Cod penal. Aceasta este poziția unitară a doctrinei, precum și a practicii judiciare și aceeași interpretare o regăsim și în jurisprudența Curții Constituționale. Astfel, efectuând controlul de constituționalitate cu privire la dispozițiile art. 360 din Codul penal referitoare la infracțiunea de acces ilegal la un sistem informatic, Curtea Constituțională precizează că infracțiunea a fost preluată din Legea nr. 161/2003 și explică cerința ca făptuitorul să acționeze fără drept prin referire la art. 35 alin. (2) din același act normativ, reținând că, „chiar dacă Codul penal nu a preluat toate definițiile din Legea nr. 161/2003, aceasta rămâne în continuare un reper pentru înțelegerea elementelor de conținut ale infracțiunii criticate“ (Decizia nr. 183 din 29 martie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 486 din 13 iunie 2018).
Rezultă, așadar, că cerința ca acțiunea de contrafacere sau alterare a datelor informatice să fie realizată fără drept are semnificația atribuită prin dispozițiile art. 35 alin. (2) din Legea nr. 161/2003, respectiv: „(…) acționează fără drept persoana care se află în una dintre următoarele situații:a) nu este autorizată, în temeiul legii sau al unui contract;b) depășește limitele autorizării;c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.“
În mod evident, dispozițiile art. 35 alin. (2) din Legea nr. 161/2003, comune unor incriminări distincte, trebuie analizate prin prisma elementului material al laturii obiective a fiecărei infracțiuni care are atașată această cerință esențială și pentru care textul este aplicabil. În cazul falsului informatic, verificarea existenței sau nu a dreptului de a introduce, modifica sau șterge date informatice se impune a fi făcută prin raportare la persoana care are dreptul de dispoziție asupra acestor date, respectiv la existența sau nu a manifestării de voință a acesteia.
Analiza nu poate fi realizată din perspectiva existenței dreptului de a utiliza sistemul informatic (sau a condițiilor în care acesta poate fi utilizat). În cazul infracțiunii prevăzute de art. 325 din Codul penal, elementul material al laturii obiective nu se referă la o intervenție asupra unui sistem informatic, ci asupra unor date informatice. Sistemul informatic reprezintă doar mijlocul prin intermediul căruia se realizează falsul informatic, iar în măsura în care nu există o autorizare din partea titularului acestuia (în cauză, a titularului rețelei de socializare) eventual se pot ridica probleme din perspectiva unei alte incriminări, cea a accesului ilegal la un sistem informatic, prevăzută de art. 360 din Codul penal.
În ipoteza supusă analizei, făptuitorul care creează un cont/profil într-o rețea de socializare deschisă publicului, introducând numele și datele cu caracter personal reale ale altei persoane și care permit identificarea acesteia (informații, fotografii, imagini video etc.), ca fiind date referitoare la propria persoană, acționează prin încălcarea manifestării de voință a persoanei a cărei identitate și-a uzurpat-o. Informațiile introduse cu ocazia creării contului și cele conținute în diferite postări se circumscriu definiției prevăzute de art. 181 alin. (2) din Codul penal, fiind reprezentări care pot fi prelucrate prin sistemul informatic. Aceste date informatice sunt introduse fără drept, în accepțiunea dispozițiilor art. 35 alin. (2) lit. a) din Legea nr. 161/2003, potrivit cărora acționează fără drept persoana care nu este autorizată, în temeiul legii sau al unui contract.
Făptuitorul nu este autorizat în temeiul legii, pentru că nu există nicio dispoziție legală care să permită unei persoane să introducă într-o rețea de socializare deschisă publicului date informatice privind o altă persoană (date de identificare și alte date cu caracter personal reale), ca fiind date privind propria persoană. Dimpotrivă, legea protejează dreptul la propria imagine (art. 73 din Codul civil), iar utilizarea, cu rea-credință, a numelui, imaginii sau vocii unei persoane constituie, potrivit art. 74 lit. h) din Codul civil, o atingere adusă vieții private.De asemenea, făptuitorul nu este autorizat în temeiul unui contract, întrucât nu a fost mandatat în acest sens de persoana căreia îi aparțin datele informatice asupra cărora s-a acționat, nu există acordul de voință al acesteia.
În consecință, făptuitorul care, prin contrafacerea manifestării de voință a unei persoane, introduce într-o rețea de socializare deschisă publicului numele și datele cu caracter personal reale ale acesteia (și care permit identificarea sa), ca fiind date privind propria identitate, acționează fără drept, în sensul dispozițiilor art. 35 alin. (2) lit. a) din Legea nr. 161/2003. În fapt, situația reprezintă o ipoteză a „furtului de identitate“, care, similar clonării paginilor web (phishingul), intră sub incidența art. 7 din Convenția Consiliului Europei privind criminalitatea informatică (…)
B. În ceea ce privește cerința ca acțiunea de introducere a datelor informatice să aibă ca rezultat date necorespunzătoare adevărului, problema de drept în discuție este dacă aceasta poate fi considerată îndeplinită în situația în care datele informatice introduse de făptuitorul care și-a uzurpat fraudulos identitatea unei alte persoane sunt reale, în sensul că acestora nu li s-au adus niciun fel de modificări.
Referitor la falsul în înscrisuri, în doctrină s-a arătat că falsificarea materială include în sfera sa doar acele acțiuni care provoacă un raport de nonidentitate: în cazul contrafacerii nu va exista identitate între autorul aparent al înscrisului și cel de facto, în cazul alterării nu va exista identitate între conținutul inițial al manifestării de voință, cuprinsă în înscris, și cel rezultat în urma alterării. În abordarea clasică, falsul material a primit strict o dimensiune materială, considerându-se că există fals doar atunci când s-a modificat realitatea materială a unui înscris (teoria materială a falsului material). Falsul nu decurge însă, în mod automat, din diferențele în „materialitatea înscrisului“, ci el presupune constatarea unei inegalități între manifestările de voință (teoria intelectuală a falsului material). Astfel, în cazul alterării, trebuie analizat dacă există inegalitate între manifestarea de voință a emitentului la momentul întocmirii înscrisului și manifestarea de voință consemnată în scris după alterarea sa (de exemplu, nu va exista fals material în situația în care făptuitorul alterează înscrisul pentru a corecta o eroare materială cuprinsă în acesta, astfel încât el să corespundă cu manifestarea de voință reală a emitentului, cuprinsă inițial defectuos în înscris). În cazul contrafacerii, trebuie studiat dacă manifestarea de voință conținută în înscrisul contrafăcut are sau nu un corespondent în realitatea materială.
În ceea ce privește falsul informatic, prin includerea condiției ca acțiunea de contrafacere sau alterare a datelor informatice să fie făcută „fără drept“, legiuitorul intern, similar celui european (care a stabilit, ca minim standard, că neautenticitatea se referă cel puțin la emitentul datelor, indiferent de corectitudinea sau veridicitatea conținutului datelor, s-a raportat la teoria intelectuală a falsului material.
Crearea unui cont fără drept, uzurpând identitatea unei persoane, prin introducerea de date reale și care permit identificarea respectivei persoane, presupune o falsificare a manifestării de voință a acesteia și creează o percepție contrară realității în privința titularului respectivului cont.
Așadar, datele necorespunzătoare adevărului rezultate privesc emitentul acestora și constau în lipsa concordanței între făptuitorul care introduce date ca fiind datele proprii și persoana căreia acestea îi aparțin în realitate. Între datele informatice astfel contrafăcute (în modalitatea introducerii fără drept) și realitatea obiectivă nu există corespondență, manifestarea de voință reflectată de aceste date aparținând unei alte persoane (făptuitorului) decât celui care aparent este titular al contului (voința de publicare a datelor nu este reală).
În acest fel, introducerea unor date reale are ca rezultat date necorespunzătoare adevărului.
Concluzionând, condiția de tipicitate obiectivă analizată include și caracterul neautentic ori necorespunzător adevărului cu privire la emitentul datelor, astfel că ea este îndeplinită ori de câte ori datele obținute nu sunt în concordanță cu manifestarea de voință a persoanei căreia îi sunt atribuite.
Ca atare, prin introducerea într-o rețea de socializare deschisă publicului a numelui și a altor date personale reale ale unei alte persoane și care permit identificarea acesteia, ca și cum ar fi date privind propria identitate, rezultă date necorespunzătoare adevărului în accepțiunea art. 325 din Codul penal, fiind întrunită această cerință atașată elementului material al laturii obiective a infracțiunii de fals informatic.
Bineînțeles că pentru reținerea infracțiunii, pe lângă cele două cerințe esențiale ce fac obiectul analizei în prezenta sesizare, este necesar ca scopul activităților desfășurate fără drept și care au ca rezultat date necorespunzătoare adevărului să fie acela de a utiliza datele informatice în vederea producerii de consecințe juridice, acesta urmând a fi verificat în funcție de circumstanțele concrete ale fiecărei cauze.
