Accesarea unui sistem informatic și retragerea de numerar de la bancomat. Dezlegarea unei chestiuni de drept. Inadmisibilitate?

[Madalin]

Curtea de Apel București a sesizat recent Înalta Curte de Casație și Justiție în vederea pronunțării unei hotărâri prealabile cu privire la următoarea problemă de drept: Dacă retragerea de numerar cu carduri falsificate, folosind datele cardurilor copiate [s.n.], întrunește elementele constitutive ale infracțiunii de efectuare de operațiuni financiare în mod fraudulos prev. de art. 250 alin. 1 și 2 C.pen. în concurs ideal cu infracțiunea de acces ilegal la un sistem informatic prev. de art. 360 C.pen. sau doar infracțiunea de efectuare de operațiuni financiare în mod fraudulos, prev. de art. 250 alin. 1 și 2 C.pen. (a se vedea aici încheierea din 15 oct. 2015 a Curții de Apel București, secția a II-a penală).

 

Apreciem că această sesizare trebuie respinsă ca inadmisibilă, pentru argumentele ce urmează a fi expuse la pct. II infra.

 

I. ASPECTE PRELIMINARE

 

Cu titlu preliminar, observăm că la pct. V (Dispozițiile completului de judecată) din încheierea de sesizare a ÎCCJ se face trimitere la o altă chestiune de drept decât cea evidențiată în considerente. Astfel, spre deosebire de cele consemnate la pct. V din încheiere, în considerente se pune problema dacă efectuarea unei operațiuni de retragere de numerar prin utilizarea, fără consimțământul titularului a unui instrument de plată sau a datelor de identificare care permit utilizarea acestuia [s.n.],  întrunește elementele constitutive ale infracțiunii de efectuare de operațiuni financiare în mod fraudulos prev. de art. 250 alin. 1 și 2 C.pen. în concurs ideal cu infracțiunea de acces ilegal la un sistem informatic prev. de art. 360 C.pen. sau doar infracțiunea de efectuare de operațiuni financiare în mod fraudulos, prev. de art. 250 alin. 1 și 2 C.pen.

 

Diferența constă în aceea că, într-un caz se face referire la ipoteza retragerii de numerar cu carduri falsificate, folosind datele cardurilor copiate [în sensul de instrumente de plată electronică falsificate potrivit art. 311 alin. (2) C.pen.], iar în cel de al doilea caz instanța de sesizare se raportează la retragerea de numerar prin utilizarea unui instrument de plată sau a datelor de identificare care permit utilizarea acestuia.

Cel mai probabil este o eroare materială, deoarece din expunerea succintă a cauzei (pct. II din încheierea de sesizare) reiese totuși cu evidență că trimiterea în judecată a avut în vedere următoarele fapte:

 

– Fapta de a monta un dispozitiv tip skimmer în fanta de introducere a cardurilor bancare (instrumente de plată electronică);

– Fapta de a clona cardurile bancare (falsificarea instrumentelor de plată electronică);

– Fapta de a pune în circulație cardurile bancare falsificate;

– Fapta de a efectua operațiuni financiare, constând în retrageri de numerar de la bancomat, prin utilizarea cardurilor bancare falsificate. Prin urmare, datele de identificare ale instrumentului de plată electronică au fost copiate prin intermediul dispozitivului tip skimmer și utilizate în procesul de falsificare (clonare). În vederea retragerii de numerar a fost totuși utilizat în mod nemijlocit un instrument de plată electronică și nu doar datele de identificare ale acestuia.

De aici rezultă că ceea ce ar trebui să se aibă în vedere este doar fapta prevăzută la art. 250 alin. (1) C.pen. – teza retragerii de numerar prin utilizarea unui instrument de plată electronică –, nefiind vorba despre utilizarea datelor de identificare ale acestuia [varianta de incriminare prevăzută la art. 250 alin. (2) C.pen.]. Această variantă de incriminare se reține, spre exemplu, în ipoteza efectuării de plăți online, când se introduc doar datele de identificare ale instrumentului de plată electronică, fără ca acesta să fie utilizat în mod nemijlocit (în eng., card not present transaction). În ipoteza retragerii de numerar de la bancomat discutăm însă despre o utilizate nemijlocită a instrumentului de plată electronică (în eng., card-present transaction).

 

II. INADMISIBILITATEA SESIZĂRII

 

Apreciem că sesizarea este inadmisibilă deoarece Înalta Curte de Casație și Justiție s-a mai pronunțat deja cu privire la aceste aspecte prin Decizia nr. 15/2013 (recurs în interesul legii). În soluționarea acestui recurs în interesul legii, Înalta Curte de Casație și Justiție a concluzionat următoarele:

1. Montarea la bancomat a dispozitivelor autonome de citire a benzii magnetice a cardului autentic și a codului PIN aferent acestuia (skimmere, minivideocamere sau dispozitive tip tastatură falsă) constituie infracțiunea prevăzută de art. 46 alin. (2) din Legea nr. 161/2003 [de lege lata, art. 365 C.pen. – n.n.]. Nota noastră: prin aceasta s-a exclus aplicabilitatea art. 46 din Legea nr. 161/2003 în raport cu fapta de a plasa un dispozitiv tip skimmer în fanta bancomatului.

 

2. Folosirea la bancomat a unui card bancar autentic, fără acordul titularului său, în scopul efectuării unor retrageri de numerar, constituie infracțiunea de efectuare de operațiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, prevăzută de art. 27 alin. (1) din Legea nr. 365/2002 [de lege lata, art. 250 C.pen. – n.n.], în concurs ideal cu infracțiunea de acces, fără drept, la un sistem informatic comisă în scopul obținerii de date informatice prin încălcarea măsurilor de securitate, prevăzută de art. 42 alin. (1), (2) și (3) din Legea nr. 161/2003 [de lege lata, art. 360 C.pen. – n.n.].

 

3. Folosirea la bancomat a unui card bancar falsificat, pentru retrageri de numerar [s.n.], constituie infracțiunea de efectuare de operațiuni financiare în mod fraudulos [s.n.] prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, prevăzută de art. 27 alin. (1) din Legea nr. 365/2002 [de lege lata, art. 250 C.pen. – n.n.], în concurs ideal cu infracțiunea de acces, fără drept, la un sistem informatic [s.n.] comisă în scopul obținerii de date informatice prin încălcarea măsurilor de securitate, prevăzută de art. 42 alin. (1), (2) și (3) din Legea nr. 161/2003 [de lege lata, art. 360 C.pen. – n.n.], și cu infracțiunea de falsificare a instrumentelor de plată electronică, prevăzută de art. 24 alin. (2) din Legea nr. 365/2002 [de lege lata, art. 313 alin. (2) C.pen. – n.n.].

Potrivit art. 474 ind. 1 C.proc.pen. efectele deciziei privind recursul în interesul legii încetează în cazul abrogării dispoziției legale care a generat problema de drept dezlegată, cu excepția cazului în care aceasta subzistă în noua reglementare. Sub acest aspect, observăm că abrogarea textelor de incriminare din Legea nr. 161/2003 și Legea nr. 365/2002 nu produce consecințe juridice, atât timp cât o asemenea abrogare s-a datorat preluării acestora în cuprinsul noului Cod penal [a se vedea în acest sens și G. Zlati, Tratat…, vol. I, precit.,  pp. 120-133].

 

Dacă instanța de sesizare dorește lămuriri cu privire la încadrarea juridică a faptei de a retragere numerar de la bancomat prin utilizarea unui instrument de plată electronică falsificat, răspunsul la această problemă de drept se regăsește la pct. 3 din dispozitivul Deciziei nr. 15/2013. În considerentele acestei decizii ÎCCJ a statuat următoarele: „Prin folosirea la ATM a cardului inscripționat cu datele culese de pe cardul autentic, oricare ar fi fost modul de obținere a acestora, se accesează de asemenea fără drept un sistem informatic, în scopul obținerii de date informatice, prin încălcarea măsurilor de securitate, faptă incriminată de art. 42 alin. (1), (2) și (3) din Legea nr. 161/2003” [pct. 6.4 din Decizia nr. 15/2013]. Pentru o motivare succintă a acestei încadrări juridice se poate vedea și infra, pct. III.2.

Prin urmare, apreciem că sesizarea este inadmisibilă raportat la prevederile art. 475 C.proc.pen. De aici rezultă inclusiv un alt caz de inadmisibilitate – inexistența unei veritabile probleme de drept.

 

Am puncta de asemenea cu privire la faptul că, modalitatea de formulare a problemei de drept poate genera consecințe multiple, greu de anticipat. Astfel, apreciem că trebuie realizată o distincție clară între retragerea de numerar de la bancomat (caz în care se aplică Decizia nr. 15/2013) și efectuarea unei plăți la un terminal POS sau pe Internet (ipoteză care nu a făcut obiectul recursului în interesul legii). Având în vedere că obiectul cauzei vizează în mod exclusiv retragerea de numerar de la bancomat, credem că problema de drept cu care a fost sesizată ÎCCJ trebuie restrânsă doar cu privire la această ipoteză. Făcându-se însă vorbire despre retragerea de numerar în general și trimiterea atât la varianta de incriminare prevăzută la art. 250 alin. (1) C.pen. cât și la cea prevăzută la art. 250 alin. (2) C.pen. (ce nu are vreo legătură cu retragerea de numerar de la bancomat), avem rezerve cu privire la consecințele nefaste generate de o eventuală admitere a sesizării.

 

În realitate, apreciem că practica judiciară neunitară vizează ipoteza efectuării de plăți la un terminal POS sau pe Internet (a se vedea această analiză în G. Zlati, Tratat de criminalitate informatică, vol. I, Ed. Solomon, București, 2020, pp. 207-210, 279-280; a se vedea în acest sens și practica judiciară în care s-a reținut doar infracțiunea prevăzută la art. 250 C.pen., nu și cea prevăzută la art. 360 C.pen. – C.A. Alba Iulia, s. pen., dec. nr. 611/2020; C.A. Timișoara, s. pen., dec. nr. 106/2018; C.A. Cluj, s. pen., dec. nr. 370/2017), nu și ipoteza referitoare la retragerea de numerar de la bancomat prin utilizarea fără drept a unui instrument de plată falsificat sau autentic. Cel puțin ulterior soluționării recursului în interesul legii prin Decizia nr. 15/2013, cea din urmă ipoteză nu ar trebui să ridice vreo problemă la nivel de interpretare.

 

III. ALTE PRECIZĂRI

 

Independent de inadmisibilitatea sesizării, apreciem necesar să aducem unele clarificări din punct de vedere juridic, după cum urmează:

1. Bancomatul este un sistem informatic. Instanța de sesizare s-a raportat la bancomat ca fiind un terminal în cadrul unui sistem informatic. În realitate, acesta este per se un sistem informatic aflat într-o relație funcțională cu alte sisteme informatice – cum ar fi serverele băncii [a se vedea G. Zlati, Tratat…, vol. I, precit., pp. 47-48, 72-73].

 

2. Cardul bancar este un instrument de plată electronică. O asemenea concluzie nu rezultă doar din Decizia nr. 15/2013, ci inclusiv din definiția cuprinsă în art. 180 C.pen. Observăm că prin încheierea de sesizare a ÎCCJ se face trimitere inclusiv la Regulamentul B.N.R. nr. 6/2006. Am preciza în context faptul că acest regulament a fost abrogat și înlocuit de Regulamentul B.N.R. nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată.

 

3. Retragerea de numerar implică un acces la un sistem informatic (bancomatul). Independent de cele statuate de către Înalta Curte de Casație și Justiție prin Decizia nr. 15/2013, retragerea de numerar de la un bancomat, prin utilizarea unui instrument de plată electronică, are la bază un acces la un sistem informatic [a se vedea G. Zlati, Tratat…, vol. I, precit., pp. 198-199].

 

Mai mult decât atât, instrumentul de plată electronică, alături de codul PIN, reprezintă o cheie de acces ce atrage incidența formei agravate prevăzute la art. 360 alin. (3) C.pen. Faptul că discutăm despre tipicitatea art. 360 C.pen. este evident raportat la faptul că introducerea instrumentului de plată electronică (indiferent dacă acesta este unul falsificat sau autentic) și a codului PIN aferent ia forma unei veritabile autentificări în cadrul unui sistem informatic. Prin intermediul acestei autentificări autorul dobândește un control asupra unui set de funcții ale bancomatului, putând iniția operațiuni precum o retragere de numerar, schimbarea codului PIN, verificarea soldului disponibil etc. Sub acest aspect, conduita autorului este similară cu accesarea fără drept a unui instrument de plată electronică cu acces la distanță (de exemplu, serviciul de Internet Banking).

 

4. Utilizarea dispozitivului tip skimmer nu are legătură cu accesarea sistemului informatic. Această problemă a fost de asemenea tranșată prin Decizia nr. 15/2013, în sensul că dispozitivul tip skimmer atașat fizic la un bancomat nu interacționează din punct de vedere logic cu acesta. Prin urmare, lipsind orice formă de interacțiune logică cu un sistem informatic, accesarea bancomatului prin intermediul dispozitivului tip skimmer este exclusă de plano.

Conduita de plasare a dispozitivului tip skimmer în fanta bancomatului nu reprezintă decât un act de pregătire în vederea comiterii unei alte infracțiuni, printre care art. 311 alin. (2) C.pen., art. 250 C.pen. sau art. 360 C.pen. Or, o asemenea conduită care are natura juridică a unui act pregătitor în vederea comiterii unei alte infracțiuni îndeplinește, potrivit Deciziei nr. 15/2013, doar elementele constitutive ale art. 365 C.pen.

 

5. Efectuarea de plăți online sau la un terminal POS nu implică un acces la un sistem informatic. Spre deosebire de retragerea de numerar de la bancomat, în acest caz discutăm despre o simplă comunicare (transmitere de date) efectuată cu un sistem informatic (terminalul POS ori serverul bancar). Indiferent de controversele existente la nivelul practicii judiciare [a se vedea în acest sens G. Zlati, Tratat…, vol. I, precit., pp. 207-210, 279-280] apreciem că în aceste cazuri trebuie reținută doar infracțiunea prevăzută la art. 250 alin. (1) [efectuarea de plăți la un terminal POS prin utilizarea unui instrument de plată electronică] sau alin. (2) C.pen. [efectuarea de plăți online prin introducerea datelor de identificare ale instrumentului de plată electronică], nu și art. 360 C.pen. O asemenea teză este susținută inclusiv de o parte a practicii judiciare – C.A. Alba Iulia, s. pen., dec. nr. 611/2020; C.A. Timișoara, s. pen., dec. nr. 106/2018; C.A. Cluj, s. pen., dec. nr. 370/2017.

Art. 250 C.pen. se va putea reține în concurs cu art. 360 C.pen. în situația în care autorul utilizează instrumentul de plată electronică pentru a efectua operațiuni financiare (de exemplu, retragerea de numerar) la un bancomat sau utilizează un instrument de plată cu acces la distanță (serviciul de Internet sau Mobile Banking) pentru a efectua transferuri de fonduri.

 

Sursa

Edited November 9, 2020 by Madalin