Prin Decizia nr. 4/2021, publicată în M. Of. nr. 171 din 19 februarie 2021 Înalta Curte de Casație și Justiție a admis sesizarea formulată de Curtea de Apel Braşov prin care se solicită pronunţarea unei hotărâri prealabile pentru dezlegarea
chestiunii de drept: „Dacă fapta de a deschide şi utiliza un cont pe o reţea de socializare
deschisă publicului (reţea care nu solicită dovezi din care să reiasă folosirea numelui real de
către deţinătorul unui cont), furnizând ca nume de utilizator numele unei alte persoane şi
introducând date reale vizând această persoană (informaţii, fotografii, imagini video etc.)
realizează condiţiile de tipicitate ale infracţiunii de fals informatic, prevăzută de art. 325 din
Codul penal, cu referire la cerinţele ca acţiunea de introducere a unor date informatice să fie
realizată fără drept şi, respectiv, să aibă ca rezultat date necorespunzătoare adevărului”.
ÎCCJ a stabilit că: fapta de a deschide şi utiliza un cont pe o reţea de socializare deschisă publicului,
folosind ca nume de utilizator numele unei alte persoane şi introducând date personale reale
care permit identificarea acesteia, întruneşte două dintre cerinţele esenţiale ale infracţiunii de
fals informatic prevăzute în art. 325 din Codul penal, respectiv cea ca acţiunea de introducere a
datelor informatice să fie realizată fără drept şi cea ca acţiunea de introducere a datelor
informatice să aibă ca rezultat date necorespunzătoare adevărului.
În motivarea deciziei Înalta Curte arată că analiza din cauză este circumstanţiată situaţiei în care făptuitorul introduce, prin crearea unui cont într-o reţea de socializare deschisă publicului, numele şi datele personale reale ale altei persoane (date care permit identificarea – informaţii, fotografii, imagini video) fără acordul acesteia. Problema de drept vizează întrunirea sau nu a două dintre cerinţele esenţiale ataşate elementului material al laturii obiective a infracţiunii de fals informatic, acelea ca fapta să fie săvârşită fără drept şi să aibă ca rezultat date necorespunzătoare adevărului.
Prealabil verificării îndeplinirii acestor condiţii de tipicitate obiectivă, se impun anumite
consideraţii privind instrumentele juridice internaţionale care au condus la incriminarea falsului informatic, acestea prezentând relevanţă din perspectiva chestiunilor de drept asupra cărora instanţa supremă este chemată să se pronunţe.
Incriminarea falsului informatic constituie materializarea demersului de transpunere în
dreptul intern a prevederilor art. 7 din Convenţia Consiliului Europei privind criminalitatea
informatică, adoptată la Budapesta la 23 noiembrie 2001, ratificată prin Legea nr. 64/2004.
Potrivit dispoziţiilor art. 7 din Convenţia Consiliului Europei privind criminalitatea
informatică, care se referă la „falsificarea informatică”, fiecare parte va adopta măsurile
legislative şi alte măsuri care se dovedesc necesare pentru a incrimina ca infracţiune, potrivit dreptului său intern, introducerea, alterarea, ştergerea sau suprimarea intenţionată şi fără drept a datelor informatice, din care să rezulte date neautentice, cu intenţia ca acestea să fie luate în considerare sau utilizate în scopuri legale ca şi cum ar fi autentice, chiar dacă sunt sau nu sunt în mod direct lizibile şi inteligibile. O parte va putea condiţiona răspunderea penală de existenţa unei intenţii frauduloase sau a unei alte intenţii delictuale.
În Raportul explicativ al Convenţiei Consiliului Europei privind criminalitatea informatică, cu referire la art. 7, se reţin următoarele – scopul acestui articol este de a crea o infracţiune paralelă cu falsificarea de documente
tangibile, pentru completarea lacunelor din dreptul penal legate de falsurile tradiţionale, care
necesită lizibilitatea vizuală a declaraţiilor sau declaraţiilor înscrise într-un document şi care nu
se aplică datelor stocate electronic. Falsificarea computerizată presupune crearea sau modificarea neautorizată a datelor stocate, astfel încât acestea să dobândească o valoare probatorie.
Interesul juridic protejat este securitatea şi fiabilitatea datelor electronice care pot avea consecinţe pentru relaţiile juridice (paragraful 81);
– conceptele naţionale de falsificare variază foarte mult. Un concept se bazează pe
autenticitatea cu privire la autorul documentului, iar altele se bazează pe veridicitatea declaraţiei
conţinute în document. Cu toate acestea, s-a convenit că neautenticitatea se referă cel puţin la
emitentul datelor, indiferent de corectitudinea sau veridicitatea conţinutului datelor. Părţile pot
merge mai departe şi include sub termenul „autentic” autenticitatea datelor (paragraful 82);
– dispoziţia acoperă datele care echivalează cu un document public sau privat, care are
efecte juridice. Introducerea neautorizată de date corecte sau incorecte despre o situaţie care
corespunde realizării unui document fals. Modificări ulterioare (modificări, variaţii, modificări parţiale), ştergeri (ştergerea datelor dintr-un mediu de date) şi suprimarea (reţinerea, ascunderea datelor) corespund în general falsificării unui document autentic (paragraful 83);
– termenul „în scopuri legale” se referă şi la tranzacţiile juridice şi la documentele care
sunt relevante din punct de vedere juridic (paragraful 84);
– teza finală a dispoziţiei permite părţilor să solicite în plus o intenţie de fraudare sau o
intenţie necinstită similară, înainte de ataşarea răspunderii penale (paragraful 85).
Dispoziţiile art. 7 din Convenţia Consiliului Europei privind criminalitatea informatică au
fost transpuse în dreptul intern prin art. 48 din Legea nr. 161/2003 privind unele măsuri pentru
asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei. Ulterior, textul a fost preluat în art. 325 din noul Cod penal, tipicitatea faptei rămânând neschimbată, singurele modificări vizând sancţiunea ale cărei limite au fost reduse.
Astfel, potrivit art. 325 din Codul penal, „fapta de a introduce, modifica sau şterge, fără drept, date informatice ori de a restricţiona, fără drept, accesul la aceste date, rezultând date
necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecinţe
juridice, constituie infracţiune şi se pedepseşte cu închisoarea de la unu la 5 ani.”
Având în vedere că prin incriminare s-a urmărit crearea unei infracţiuni paralele cu
infracţiunile tradiţionale de fals în înscrisuri, legiuitorul a inclus-o în capitolul consacrat
„falsurilor în înscrisuri.”
Plecând tot de la apartenenţa la această categorie de infracţiuni, în ceea ce priveşte elementul material al laturii obiective, în doctrină s-a susţinut că modalitatea introducerii de date
informatice corespunde, în principiu, contrafacerii unui document, iar modificarea, ştergerea, restricţionarea accesului la datele informatice corespund conceptului de alterare a unui document digital. La o concluzie similară se ajunge şi în Raportul explicativ al Convenţiei Consiliului Europei privind criminalitatea informatică (paragraful 83). Examinând comparativ actuala reglementare naţională şi dispoziţiile art. 7 din Convenţia Consiliului Europei privind criminalitatea informatică, sub aspectul elementelor de tipicitate care interesează prezenta cauză, respectiv cerinţele ataşate elementului material al laturii obiective,
acelea ca fapta să fie săvârşită fără drept şi să aibă ca rezultat date necorespunzătoare adevărului, se constată că nu există diferenţe. Sintagma „date neautentice” a fost transpusă în dreptul intern ca „date necorespunzătoare adevărului”, însă între cele două noţiuni nu există deosebiri, terminologia folosită de legiuitor fiind corespunzătoare celei utilizate în cazul infracţiunilor de fals în înscrisuri (art. 321, art. 322 şi art. 326 din Codul penal).
Pornind de la aceste consideraţii, în ceea ce priveşte cerinţa ca acţiunea de introducere
a datelor informatice să fie realizată fără drept, se reţin următoarele:
Potrivit art. 181 alin. (2) din Codul penal, prin date informatice se înţelege orice
reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic [noţiune definită de alin. (1) al aceluiaşi articol]. Spre deosebire de Legea nr. 161/2003, care, în art. 35 alin. (2), reglementa înţelesul sintagmei „fără drept”, Codul penal, deşi a preluat toate infracţiunile din titlul III – Prevenirea şi combaterea criminalităţii informatice al cărţii I – Reglementări generale pentru prevenirea şi combaterea corupţiei din Legea nr. 161/2003, precum şi o parte din definiţiile date unor noţiuni („sistem informatic”, „date informatice”), nu cuprinde o dispoziţie similară. Având însă în vedere împrejurarea că prevederile art. 35 alin. (2) din Legea nr. 161/2003
nu au fost abrogate, ele continuă să aibă relevanţă juridică din perspectiva incriminărilor preluate în noul Cod penal. Aceasta este poziţia unitară a doctrinei, precum şi a practicii judiciare şi aceeaşi interpretare o regăsim şi în jurisprudenţa Curţii Constituţionale. Astfel, efectuând controlul de constituţionalitate cu privire la dispoziţiile art. 360 din Codul penal referitoare la infracţiunea de acces ilegal la un sistem informatic, Curtea Constituţională precizează că infracţiunea a fost preluată din Legea nr. 161/2003 şi explică cerinţa ca făptuitorul să acţioneze fără drept prin referire la art. 35 alin. (2) din acelaşi act normativ, reţinând că, „chiar dacă Codul penal nu a preluat toate definiţiile din Legea nr. 161/2003, aceasta rămâne în continuare un reper pentru înţelegerea elementelor de conţinut ale infracţiunii criticate” (Decizia nr. 183 din 29 martie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 486 din 13 iunie 2018).
Rezultă, aşadar, că cerinţa ca acţiunea de contrafacere sau alterare a datelor informatice
să fie realizată fără drept are semnificaţia atribuită prin dispoziţiile art. 35 alin. (2) din Legea nr. 161/2003, respectiv: „(…) acţionează fără drept persoana care se află în una dintre următoarele situaţii:
a) nu este autorizată, în temeiul legii sau al unui contract;
b) depăşeşte limitele autorizării;
c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii,
să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfăşura cercetări
ştiinţifice sau de a efectua orice altă operaţiune într-un sistem informatic.”
În mod evident, dispoziţiile art. 35 alin. (2) din Legea nr. 161/2003, comune unor
incriminări distincte, trebuie analizate prin prisma elementului material al laturii obiective a
fiecărei infracţiuni care are ataşată această cerinţă esenţială şi pentru care textul este aplicabil. În cazul falsului informatic, verificarea existenţei sau nu a dreptului de a introduce,
modifica sau şterge date informatice se impune a fi făcută prin raportare la persoana care are
dreptul de dispoziţie asupra acestor date, respectiv la existenţa sau nu a manifestării de voinţă a acesteia. Analiza nu poate fi realizată din perspectiva existenţei dreptului de a utiliza sistemul informatic (sau a condiţiilor în care acesta poate fi utilizat). În cazul infracţiunii prevăzute de art. 325 din Codul penal, elementul material al laturii obiective nu se referă la o intervenţie asupra unui sistem informatic, ci asupra unor date informatice. Sistemul informatic reprezintă doar mijlocul prin intermediul căruia se realizează falsul informatic, iar în măsura în care nu există o autorizare din partea titularului acestuia (în cauză, a titularului reţelei de socializare) eventual se pot ridica probleme din perspectiva unei alte incriminări, cea a accesului ilegal la un sistem informatic, prevăzută de art. 360 din Codul penal. În ipoteza supusă analizei, făptuitorul care creează un cont/profil într-o reţea de socializare deschisă publicului, introducând numele şi datele cu caracter personal reale ale altei persoane şi care permit identificarea acesteia (informaţii, fotografii, imagini video etc.), ca fiind date referitoare la propria persoană, acţionează prin încălcarea manifestării de voinţă a persoanei
a cărei identitate şi-a uzurpat-o. Informaţiile introduse cu ocazia creării contului şi cele conţinute în diferite postări se circumscriu definiţiei prevăzute de art. 181 alin. (2) din Codul penal, fiind reprezentări care pot fi prelucrate prin sistemul informatic. Aceste date informatice sunt introduse fără drept, în accepţiunea dispoziţiilor art. 35 alin. (2) lit. a) din Legea nr. 161/2003, potrivit cărora acţionează fără drept persoana care nu este autorizată, în temeiul legii sau al unui contract.
Făptuitorul nu este autorizat în temeiul legii, pentru că nu există nicio dispoziţie legală
care să permită unei persoane să introducă într-o reţea de socializare deschisă publicului date
informatice privind o altă persoană (date de identificare şi alte date cu caracter personal reale), ca fiind date privind propria persoană. Dimpotrivă, legea protejează dreptul la propria imagine (art. 73 din Codul civil), iar utilizarea, cu rea-credinţă, a numelui, imaginii sau vocii unei persoane constituie, potrivit art. 74 lit. h) din Codul civil, o atingere adusă vieţii private.
De asemenea, făptuitorul nu este autorizat în temeiul unui contract, întrucât nu a fost
mandatat în acest sens de persoana căreia îi aparţin datele informatice asupra cărora s-a acţionat, nu există acordul de voinţă al acesteia.
În consecinţă, făptuitorul care, prin contrafacerea manifestării de voinţă a unei persoane, introduce într-o reţea de socializare deschisă publicului numele şi datele cu caracter personal
reale ale acesteia (şi care permit identificarea sa), ca fiind date privind propria identitate, acţionează fără drept, în sensul dispoziţiilor art. 35 alin. (2) lit. a) din Legea nr. 161/2003. În fapt,
situaţia reprezintă o ipoteză a „furtului de identitate”, care, similar clonării paginilor web
(phishingul), intră sub incidenţa art. 7 din Convenţia Consiliului Europei privind criminalitatea informatică [Nota de îndrumare nr. 4 a Comitetului Convenţiei privind criminalitatea informatică (T-CY) referitoare la Furtul de identitate şi phishingul în legătură cu frauda, adoptată la a noua sesiune plenară a T-CY, iunie 2013].
B. În ceea ce priveşte cerinţa ca acţiunea de introducere a datelor informatice să aibă ca
rezultat date necorespunzătoare adevărului, problema de drept în discuţie este dacă aceasta poate fi considerată îndeplinită în situaţia în care datele informatice introduse de făptuitorul care şi-a uzurpat fraudulos identitatea unei alte persoane sunt reale, în sensul că acestora nu li s-au adus niciun fel de modificări. Referitor la falsul în înscrisuri, în doctrină s-a arătat că falsificarea materială include în sfera sa doar acele acţiuni care provoacă un raport de nonidentitate: în cazul contrafacerii nu va exista identitate între autorul aparent al înscrisului şi cel de facto, în cazul alterării nu va exista
identitate între conţinutul iniţial al manifestării de voinţă, cuprinsă în înscris, şi cel rezultat în
urma alterării. În abordarea clasică, falsul material a primit strict o dimensiune materială,
considerându-se că există fals doar atunci când s-a modificat realitatea materială a unui înscris
(teoria materială a falsului material). Falsul nu decurge însă, în mod automat, din diferenţele în
„materialitatea înscrisului”, ci el presupune constatarea unei inegalităţi între manifestările de
voinţă (teoria intelectuală a falsului material). Astfel, în cazul alterării, trebuie analizat dacă
există inegalitate între manifestarea de voinţă a emitentului la momentul întocmirii înscrisului şi
manifestarea de voinţă consemnată în scris după alterarea sa (de exemplu, nu va exista fals
material în situaţia în care făptuitorul alterează înscrisul pentru a corecta o eroare materială
cuprinsă în acesta, astfel încât el să corespundă cu manifestarea de voinţă reală a emitentului,
cuprinsă iniţial defectuos în înscris). În cazul contrafacerii, trebuie studiat dacă manifestarea de voinţă conţinută în înscrisul contrafăcut are sau nu un corespondent în realitatea materială.
În ceea ce priveşte falsul informatic, prin includerea condiţiei ca acţiunea de contrafacere
sau alterare a datelor informatice să fie făcută „fără drept”, legiuitorul intern, similar celui
european (care a stabilit, ca minim standard, că neautenticitatea se referă cel puţin la emitentul
datelor, indiferent de corectitudinea sau veridicitatea conţinutului datelor13), s-a raportat la teoria intelectuală a falsului material.
Crearea unui cont fără drept, uzurpând identitatea unei persoane, prin introducerea de
date reale şi care permit identificarea respectivei persoane, presupune o falsificare a manifestării
de voinţă a acesteia şi creează o percepţie contrară realităţii în privinţa titularului respectivului cont. Aşadar, datele necorespunzătoare adevărului rezultate privesc emitentul acestora şi constau în lipsa concordanţei între făptuitorul care introduce date ca fiind datele proprii şi persoana căreia acestea îi aparţin în realitate. Între datele informatice astfel contrafăcute (în modalitatea introducerii fără drept) şi realitatea obiectivă nu există corespondenţă, manifestarea de voinţă reflectată de aceste date aparţinând unei alte persoane (făptuitorului) decât celui care aparent este titular al contului (voinţa de publicare a datelor nu este reală).
În acest fel, introducerea unor date reale are ca rezultat date necorespunzătoare
adevărului.
Concluzionând, condiţia de tipicitate obiectivă analizată include şi caracterul neautentic
ori necorespunzător adevărului cu privire la emitentul datelor, astfel că ea este îndeplinită ori de câte ori datele obţinute nu sunt în concordanţă cu manifestarea de voinţă a persoanei căreia îi
sunt atribuite. Ca atare, prin introducerea într-o reţea de socializare deschisă publicului a numelui şi a altor date personale reale ale unei alte persoane şi care permit identificarea acesteia, ca şi cum ar fi date privind propria identitate, rezultă date necorespunzătoare adevărului în accepţiunea art. 325 din Codul penal, fiind întrunită această cerinţă ataşată elementului material al laturii obiective a infracţiunii de fals informatic.
Bineînţeles că pentru reţinerea infracţiunii, pe lângă cele două cerinţe esenţiale ce fac
obiectul analizei în prezenta sesizare, este necesar ca scopul activităţilor desfăşurate fără drept şi care au ca rezultat date necorespunzătoare adevărului să fie acela de a utiliza datele informatice în vederea producerii de consecinţe juridice, acesta urmând a fi verificat în funcţie de circumstanţele concrete ale fiecărei cauze.