R O M Â N I A
ÎNALTA CURTE DE CASAŢIE ŞI JUSTIŢIE
Completul pentru dezlegarea unor chestiuni de drept
Decizia nr. 53/2022 Dosar nr. 1242/1/2022
Pronunţată în şedinţă publică astăzi, 28 septembrie 2022
Publicat în Monitorul Oficial, Partea I nr. 1120 din 21 noiembrie 2022
S-a luat în examinare sesizarea formulată de către Curtea de Apel Bucureşti – Secţia I penală, în Dosarul nr. 29.758/3/2021 (1.148/2022), prin care s-a solicitat, în baza art. 476 alin. (1) din Codul de procedură penală raportat la art. 475 din Codul de procedură penală, pronunţarea unei hotărâri prealabile pentru dezlegarea următoarei chestiuni de drept:
” Folosirea fără drept a unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte elementele constitutive a două infracţiuni, respectiv acces ilegal la un sistem informatic, prevăzută de art. 360 alin. (1) din Codul penal, şi efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea propriu-zisă a tranzacţiei) sau doar elementele constitutive ale infracţiunii de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea efectivă a tranzacţiei) „.
Completul pentru dezlegarea unor chestiuni de drept în materie penală a fost constituit conform prevederilor art. 476 alin. (6) raportat la art. 473 alin. (8) din Codul de procedură penală şi art. 36 din Regulamentul privind organizarea şi funcţionarea administrativă a Înaltei Curţi de Casaţie şi Justiţie, republicat, cu completările ulterioare.
Şedinţa este prezidată de către preşedintele Secţiei penale a Înaltei Curţi de Casaţie şi Justiţie, domnul judecător Daniel Grădinaru.
La şedinţa de judecată participă domnul Florin Nicuşor Mihalache, magistrat-asistent în cadrul Secţiilor Unite, desemnat în conformitate cu dispoziţiile art. 38 din Regulamentul privind organizarea şi funcţionarea administrativă a Înaltei Curţi de Casaţie şi Justiţie, republicat, cu completările ulterioare.
Procurorul general al Parchetului de pe lângă Înalta Curte de Casaţie şi Justiţie este reprezentat de doamna Ecaterina Nicoleta Eucarie, procuror în cadrul Secţiei judiciare a Parchetului de pe lângă Înalta Curte de Casaţie şi Justiţie.
Magistratul-asistent a prezentat referatul cauzei, arătând că s-a depus, la dosar, raportul întocmit de către judecătorul-raportor, comunicat părţilor potrivit dispoziţiilor art. 476 alin. (9) din Codul de procedură penală.
Totodată, a învederat că, drept urmare a solicitărilor formulate în temeiul art. 476 alin. (10) raportat la art. 473 alin. (5) din Codul de procedură penală, s-au depus, la dosar, puncte de vedere asupra problemei de drept supuse dezlegării.
Preşedintele Completului pentru dezlegarea unor chestiuni de drept în materie penală, domnul judecător Daniel Grădinaru a acordat cuvântul în dezbateri.
Reprezentantul Parchetului de pe lângă Înalta Curte de Casaţie şi Justiţie, doamna procuror Ecaterina Nicoleta Eucarie, având cuvântul referitor la chestiunea de drept supusă dezlegării, în temeiul art. 475-477 din Codul de procedură penală, a susţinut că în cauză sunt îndeplinite cumulativ condiţiile de admisibilitate prevăzute de dispoziţiile art. 475 din Codul de procedură penală.
Astfel, doamna procuror a precizat că din analiza încheierii rezultă că instanţa care a formulat sesizarea este una dintre instanţele prevăzute de art. 475 din Codul de procedură penală, respectiv Curtea de Apel Bucureşti – Secţia I penală, iar cauza se află în ultimul grad de jurisdicţie, situaţie în raport cu care prima condiţie de admisibilitate, referitoare la titularul sesizării, este îndeplinită.
De asemenea, a precizat că este îndeplinită şi condiţia prevăzută de art. 475 din Codul de procedură penală, apreciind că de lămurirea chestiunii de drept depinde soluţionarea pe fond a cauzei în care a fost invocată.
Totodată, a precizat că problema de drept a cărei dezlegare se solicită nu a mai fost supusă examenului Înaltei Curţi de Casaţie şi Justiţie, nestatuându-se asupra ei printr-o hotărâre prealabilă sau printr-un recurs în interesul legii şi nu face obiectul unui asemenea recurs în curs de soluţionare.
Deşi prin Decizia nr. 15 din 14 octombrie 2013, publicată în Monitorul Oficial al României, Partea I, nr. 760 din 6 decembrie 2013, Înalta Curte de Casaţie şi Justiţie a statuat că „Folosirea la bancomat a unui card bancar autentic, fără acordul titularului său, în scopul efectuării unor retrageri de numerar, constituie infracţiunea de efectuare de operaţiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, prevăzută de art. 27 alin. (1) din Legea nr. 365/2002, în concurs ideal cu infracţiunea de acces, fără drept, la un sistem informatic comisă în scopul obţinerii de date informatice prin încălcarea măsurilor de securitate, prevăzută de art. 42 alin. (1), (2) şi (3) din Legea nr. 161/2003”, reprezentantul Ministerului Public a apreciat că nu există suficiente elemente pentru a se considera că există identitate de obiect.
În susţinerea acestui punct de vedere, reprezentantul Ministerului Public a învederat că sesizarea ce a format obiectul deciziei anterior menţionate a avut în vedere o altă situaţie de fapt faţă de cea care a determinat formularea prezentei sesizări.
Astfel, sesizarea soluţionată prin decizia anterior menţionată a avut în vedere folosirea unui card bancar, fără acordul titularului, pentru retragerea de numerar de la un bancomat, în timp ce prezenta sesizare are în vedere folosirea unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse.
Deşi în ambele cazuri este vorba de accesarea unui sistem informatic şi prelucrarea datelor, între cele două sisteme există diferenţe fundamentale. Folosirea cardului la un bancomat permite utilizatorului o interacţiune directă şi un control al sistemului informatic al băncii, însă această accesare se poate realiza doar prin introducerea codului PIN. De asemenea, folosirea cardului bancar la un bancomat, pe lângă retragerile de numerar, permite utilizatorului efectuarea şi a altor operaţiuni financiare.
Or, în cazul folosirii unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, în limita unei sume stabilite, nu este necesară introducerea codului PIN.
În raport cu aceste considerente, reprezentantul Parchetului de pe lângă Înalta Curte de Casaţie şi Justiţie, doamna procuror Ecaterina Nicoleta Eucarie, a apreciat că sunt îndeplinite condiţiile de admisibilitate ale sesizării formulate de Curtea de Apel Bucureşti – Secţia I penală în Dosarul nr. 29.758/3/2021(1.148/2022).
Constatând că nu sunt întrebări de formulat din partea membrilor completului, preşedintele Completului pentru dezlegarea unor chestiuni de drept în materie penală a declarat dezbaterile închise, iar Completul pentru dezlegarea unor chestiuni de drept în materie penală a reţinut dosarul în pronunţare asupra problemei de drept supuse dezlegării.
ÎNALTA CURTE DE CASAŢIE ŞI JUSTIŢIE – COMPLETUL PENTRU DEZLEGAREA UNEI CHESTIUNI DE DREPT ÎN MATERIE PENALĂ,
I. Titularul şi obiectul sesizării
Prin Încheierea de şedinţă din data de 27 mai 2022, pronunţată în Dosarul nr. 29.758/3/2021, având ca obiect apelul formulat de inculpatul D.C.A. împotriva Sentinţei penale nr. 307 din data de 30 martie 2022 a Tribunalului Bucureşti, Curtea de Apel Bucureşti – Secţia I penală, în temeiul art. 475 din Codul de procedură penală, a sesizat Înalta Curte de Casaţie şi Justiţie în vederea pronunţării unei hotărâri prealabile pentru dezlegarea următoarei chestiuni de drept:
” Folosirea fără drept a unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte elementele constitutive a două infracţiuni, respectiv acces ilegal la un sistem informatic, prevăzută de art. 360 alin. (1) din Codul penal, şi efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea propriu-zisă a tranzacţiei) sau doar elementele constitutive ale infracţiunii de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea efectivă a tranzacţiei)”.
II. Expunerea succintă a cauzei
Prin Sentinţa penală nr. 307 din data de 30 martie 2022, Tribunalul Bucureşti a dispus următoarele:
1. În baza art. 228 alin. (1)-art. 229 alin. (2) lit. b) din Codul penal cu aplicarea art. 396 alin. (10) din Codul de procedură penală şi art. 41 alin. (1) şi art. 43 alin. (5) din Codul penal, a condamnat pe inculpatul D.C.A. la pedeapsa de 2 ani şi 6 luni închisoare, pentru săvârşirea infracţiunii de furt calificat (faptă săvârşită în data de 16 septembrie 2021, în jurul orei 17.43).
2. În baza art. 360 alin. (1) din Codul penal cu aplicarea art. 35 alin. (1), art. 41 alin. (1) şi art. 43 alin. (5) din Codul penal (2 acte materiale săvârşite în data de 16 septembrie 2021, în intervalul orar 18.15-18.30) şi art. 396 alin. (10) din Codul de procedură penală, a condamnat pe inculpatul D.C.A. la pedeapsa de 1 an şi 6 luni închisoare, pentru săvârşirea infracţiunii de acces ilegal la un sistem informatic în formă continuată.
3. În baza art. 32 alin. (1) prin raportare la art. 250 alin. (1) din Codul penal cu aplicarea art. 35 alin. (1), art. 41 alin. (1) şi art. 43 alin. (5) din Codul penal (2 acte materiale săvârşite în data de 16 septembrie 2021, în intervalul orar 18.15-18.30) şi art. 396 alin. (10) din Codul de procedură penală, a condamnat pe inculpatul D.C.A. la pedeapsa de 2 ani închisoare, pentru săvârşirea infracţiunii de tentativă la efectuarea de operaţiuni financiare în mod fraudulos în formă continuată.
În temeiul art. 38 alin. (2) şi art. 39 alin. (1) lit. b) din Codul penal, a contopit pedepsele aplicate inculpatului, urmând ca pe lângă pedeapsa cea mai mare de 2 ani şi 6 luni închisoare să se adauge o treime din celelalte pedepse aplicate, respectiv 1 an şi 2 luni – o treime din 3 ani şi 6 luni, inculpatul urmând să execute pedeapsa rezultantă de 3 ani şi 8 luni închisoare, în regim de detenţie.
În temeiul art. 67 alin. (2) din Codul penal, a aplicat inculpatului pe lângă fiecare pedeapsă aplicată în cauză pedeapsa complementară a interzicerii exercitării drepturilor prevăzute de art. 66 alin. (1) lit. a), b) şi d) din Codul penal (dreptul de a fi ales în autorităţile publice sau în orice alte funcţii publice şi dreptul de a ocupa o funcţie care implică exerciţiul autorităţii de stat, dreptul de a alege), pe o perioadă de 3 ani, în condiţiile art. 68 alin. (1) lit. c) din Codul penal.
În temeiul art. 65 alin. (1) din Codul penal, a aplicat inculpatului pedeapsa accesorie a interzicerii exercitării drepturilor prevăzute de art. 66 alin. (1) lit. a), b) şi d) din Codul penal, pe durata prevăzută de art. 65 alin. (3) din Codul penal.
În baza art. 45 alin. (3) lit. a) din Codul penal a aplicat inculpatului pedeapsa complementară a interzicerii drepturilor prevăzute de art. 66 alin. (1) lit. a), b) şi d) din Codul penal, respectiv dreptul de a fi ales în autorităţile publice sau în orice alte funcţii publice; dreptul de a ocupa o funcţie care implică exerciţiul autorităţii de stat; dreptul de a alege pe o perioadă de 3 ani, după executarea pedepsei închisorii.
În baza art. 45 alin. (5) cu referire la art. 45 alin. (3) din Codul penal a aplicat inculpatului pedeapsa accesorie a interzicerii drepturilor prevăzute de art. 66 alin. (1) lit. a) b) şi d) din Codul penal de la rămânerea definitivă a sentinţei până la executarea sau considerarea ca executată a pedepsei principale.
Pentru a dispune astfel, prima instanţă a reţinut următoarea situaţie de fapt:
La data de 16 septembrie 2021, în jurul orei 17.43, profitând de faptul că poarta de acces în curte şi uşa de acces în imobil erau neasigurate, inculpatul D.C.A. a pătruns, fără drept, în curtea imobilului situat în municipiul Bucureşti, str. Fabrica de Chibrituri nr. xx, sectorul 5, după care a intrat, fără drept, în locuinţa persoanei vătămate O.I., ocazie cu care (în jurul orei 17.48) a sustras un rucsac de culoare albastră marca „NIKE” în interiorul căruia se aflau un portofel de culoare neagră [ce conţinea un permis de conducere emis pe numele O.I., un card de sănătate emis pe numele O.I., cardul bancar nr. XYZ, emis de societatea CREDIT EUROPE BANK (ROMANIA) – S.A., având drept titular pe O.I., un certificat de înmatriculare al autovehiculului marca DACIA LOGAN, cu numărul de înmatriculare B-00-XZY], 3 (trei) caiete studenţeşti, un set sigilat de 3 (trei) pixuri marca „BIC”, un set desigilat de 8 (opt) pixuri marca „BIC”, precum şi 2 (două) aparate de măsurat glicemia (un aparat marca ACCU CHECK şi un aparat marca ONE TOUCH), cauzând astfel în patrimoniul persoanei vătămate O.I. un prejudiciu material.
După sustragerea bunurilor din locuinţa persoanei vătămate O.I., inculpatul D.C.A. s-a deplasat la magazinul MEGA IMAGE Shop & Go, situat în municipiul Bucureşti, Şos. Viilor nr. 96, bloc CFR, parter, ap. 1 A+3, sectorul 5, unde, la ora 18.13.38, la ora 18.13.44, la ora 18.14.20 şi la ora 18.14.30, prin folosirea cardului bancar sustras, emis de societatea CREDIT EUROPE BANK (ROMANIA) – S.A., la terminalul P.O.S. al magazinului arătat anterior, a încercat, în mod repetat şi fraudulos, să efectueze o plată în valoare de 69 lei (în acest sens sunt: procesul-verbal de vizionare a imaginilor video întocmit de către organele de cercetare penală în data de 5.10.2021 – filele 115-116; copia bonului fiscal înaintată de societatea MEGA IMAGE – S.R.L. – fila 113; listingul operaţiunilor financiare comunicat de societatea CREDIT EUROPE BANK ROMANIA – S.A. – fila 104; planşa fotografică nr. 4.101.475/17.09.2021 – filele 81-83).
Ulterior, inculpatul D.C.A. s-a deplasat la staţia de alimentare cu combustibil OMV, situată în municipiul Bucureşti, Şos. Olteniţei nr. 2, sectorul 5, ocazie cu care, la ora 18.27.52 şi la ora 18.29.04, prin folosirea cardului bancar sustras, emis de societatea CREDIT EUROPE BANK (ROMANIA) – S.A., la terminalul P.O.S. al staţiei, a încercat, în mod repetat şi fraudulos, să efectueze o plată în valoare de 74,19 lei (în acest sens sunt: procesul-verbal de vizionare a imaginilor video întocmit de către organele de cercetare penală în data de 17.09.2021 – filele 99-100 dup; chitanţele de refuz al plăţii eliberate de terminalul P.O.S. – filele 117-118 dup; listingul operaţiunilor financiare comunicat de societatea CREDIT EUROPE BANK ROMANIA – S.A. – fila 104 dup; planşa fotografică nr. 4.101.475/17.09.2021 – filele 81-83 dup).
Cu privire la încadrarea juridică dată faptelor, prima instanţă a reţinut:
1. Fapta inculpatului D.C.A., constând în aceea că în data de 16 septembrie 2021, în jurul orei 17.43, profitând de faptul că poarta de acces în curte şi uşa de acces în imobil erau neasigurate, a pătruns, fără drept, în curtea imobilului situat în municipiul Bucureşti, str. Fabrica de Chibrituri nr. xx, sectorul 5, după care a intrat, fără drept, în locuinţa persoanei vătămate O.I., ocazie cu care (în jurul orei 17.48) a sustras un rucsac de culoare albastră marca „NIKE” în interiorul căruia se afla un portofel de culoare neagră, întruneşte elementele constitutive ale infracţiunii de furt calificat, prevăzută de art. 228 alin. (1)- art. 229 alin. (2) lit. b) din Codul penal cu aplicarea art. 41 alin. (1) din Codul penal.
2. Faptele inculpatului D.C.A., constând în aceea că în realizarea aceleiaşi rezoluţii infracţionale:
2.1. în data de 16 septembrie 2021, la ora 18.13.38, la ora 18.13.44, la ora 18.14.20 şi la ora 18.14.30, în timp ce se afla în magazinul Mega Image Shop & Go, situat în municipiul Bucureşti, Şos. Viilor nr. 96, sectorul 5, în lipsa consimţământului titularului O.I., prin folosirea cardului bancar nr. XYZ, emis de societatea CREDIT EUROPE BANK (ROMANIA) – S.A., la terminalul P.O.S. al magazinului arătat anterior, inculpatul a accesat, fără drept şi în mod repetat, sistemul informatic al societăţii CREDIT EUROPE BANK (ROMANIA) – S.A. în vederea efectuării în mod fraudulos a aceleiaşi plăţi în valoare de 69 lei;
2.2. în data de 16 septembrie 2021, la ora 18.27.52 şi la ora 18.29.04, în timp ce se afla în incinta staţiei de alimentare cu combustibil OMV, situată în municipiul Bucureşti, Şos. Olteniţei nr. 2, sectorul 4, în lipsa consimţământului titularului O.I., prin folosirea cardului bancar nr. XYZ, emis de societatea CREDIT EUROPE BANK (ROMANIA) – S.A., la terminalul P.O.S. al staţiei de alimentare arătate anterior, inculpatul a accesat, fără drept şi în mod repetat, sistemul informatic al societăţii CREDIT EUROPE BANK (ROMANIA) – S.A. în vederea efectuării în mod fraudulos a aceleiaşi plăţi în valoare de 74,19 lei,
întrunesc elementele constitutive ale infracţiunii de acces ilegal la un sistem informatic, prevăzută de art. 360 alin. (1) din Codul penal cu aplicarea art. 35 alin. (1) şi art. 41 alin. (1) din Codul penal (2 acte materiale).
3. Faptele inculpatului D.C.A., constând în aceea că în realizarea aceleiaşi rezoluţii infracţionale:
3.1. în data de 16 septembrie 2021, la ora 18.13.38, la ora 18.13.44, la ora 18.14.20 şi la ora 18.14.30, în timp ce se afla în magazinul Mega Image Shop & Go, situat în municipiul Bucureşti, Şos. Viilor nr. 96, sectorul 5, în lipsa consimţământului titularului O.I., prin folosirea cardului bancar nr. XYZ, emis de societatea CREDIT EUROPE BANK (ROMANIA) – S.A., la terminalul P.O.S. al magazinului arătat anterior, inculpatul D.C.A. a încercat, în mod repetat, să efectueze, în mod fraudulos, o plată în valoare de 69 lei;
3.2. în data de 16 septembrie 2021, la ora 18.27.52 şi la ora 18.29.04, în timp ce se afla în incinta staţiei de alimentare cu combustibil OMV, situată în municipiul Bucureşti, Şos. Olteniţei nr. 2, sectorul 4, în lipsa consimţământului titularului O.I., prin folosirea cardului bancar nr. XYZ, emis de societatea CREDIT EUROPE BANK (ROMANIA) – S.A., la terminalul P.O.S. al staţiei de alimentare arătate anterior, inculpatul a încercat, în mod repetat, să efectueze, în mod fraudulos, o plată în valoare de 74,19 lei,
întrunesc elementele constitutive ale tentativei la infracţiunea de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 32 alin. (1) din Codul penal raportat la art. 250 alin. (1) din Codul penal cu aplicarea art. 35 alin. (1) şi art. 41 alin. (1) din Codul penal (2 acte materiale).
Împotriva Sentinţei penale nr. 307 din data de 30 martie 2022 a Tribunalului Bucureşti a formulat apel inculpatul D.C.A.
La termenul din data de 13 mai 2022, Curtea de Apel Bucureşti – Secţia I penală a pus în discuţie, din oficiu, sesizarea Înaltei Curţi de Casaţie şi Justiţie – Completul pentru dezlegarea unor chestiuni de drept în materie penală cu privire la următoarea problemă juridică:
” Folosirea fără drept a unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte elementele constitutive a două infracţiuni, respectiv acces ilegal la un sistem informatic, prevăzută de art. 360 alin. (1) din Codul penal, şi efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea propriu-zisă a tranzacţiei) sau doar elementele constitutive ale infracţiunii de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea efectivă a tranzacţiei)”.
Prin Încheierea de şedinţă din 27 mai 2022, Curtea de Apel Bucureşti – Secţia I penală a dispus, în temeiul art. 475 din Codul de procedură penală, sesizarea Înaltei Curţi de Casaţie şi Justiţie în vederea pronunţării unei hotărâri prealabile pentru dezlegarea acestei chestiuni de drept.
III. Opinia completului care a dispus sesizarea şi punctele de vedere exprimate de procuror şi de inculpatul D.C.A.
III.1. Cu privire la admisibilitatea sesizării Înaltei Curţi de Casaţie şi Justiţie
Completul de judecată care a dispus sesizarea Înaltei Curţi de Casaţie şi Justiţie în vederea pronunţării unei hotărâri prealabile pentru dezlegarea unor chestiuni de drept a apreciat că sunt îndeplinite condiţiile de admisibilitate prevăzute de dispoziţiile art. 475 din Codul de procedură penală, respectiv Secţia I penală a Curţii de Apel Bucureşti este învestită cu soluţionarea cauzei în ultimă instanţă, Înalta Curte de Casaţie şi Justiţie nu a statuat printr-o hotărâre prealabilă sau printr-un recurs în interesul legii asupra chestiunii de drept, iar chestiunea de drept supusă dezbaterii este hotărâtoare asupra soluţiei pe fond a cauzei cu privire la latura penală.
Astfel, Curtea de Apel Bucureşti – Secţia I penală este învestită cu soluţionarea cauzei în ultimă instanţă, potrivit art. 408 din Codul de procedură penală, cu judecarea apelului declarat de inculpatul D.C.A. împotriva Sentinţei penale nr. 307 din data de 30 martie 2022 pronunţate de Tribunalul Bucureşti în Dosarul nr. 29.758/3/2021.
Chestiunea de drept pusă în discuţie de către instanţă are un caracter de noutate, întrucât Înalta Curte de Casaţie şi Justiţie nu a mai statuat asupra acesteia printr-o hotărâre prealabilă sau printr-un recurs în interesul legii şi nici nu face obiectul unui recurs în interesul legii în curs de soluţionare.
III.2. Cu privire la chestiunea de drept ce formează obiectul sesizării
Completul de judecată care a dispus sesizarea Înaltei Curţi de Casaţie şi Justiţie cu pronunţarea unei hotărâri prealabile nu a exprimat un punct de vedere, limitându-se la a indica orientările cristalizate în jurisprudenţă.
III.3. Punctele de vedere cu privire la dezlegarea chestiunii de drept exprimate în cauză de reprezentantul Ministerului Public şi de inculpat
Reprezentantul Ministerului Public şi apelantul inculpat au apreciat că sunt îndeplinite condiţiile de admisibilitate prevăzute de dispoziţiile art. 475 din Codul de procedură penală, însă nu au exprimat un punct de vedere cu privire la chestiunea de drept supusă dezlegării.
IV. Examenul jurisprudenţei în materie
IV.1. Jurisprudenţa naţională relevantă
În conformitate cu dispoziţiile art. 476 alin. (10) din Codul de procedură penală cu referire la art. 473 alin. (5) din Codul de procedură penală, s-a solicitat punctul de vedere al instanţelor de judecată asupra chestiunii de drept supuse dezlegării.
În urma consultării materialelor transmise de către instanţele de judecată s-a constatat că punctele de vedere nu sunt unitare, fiind identificate două orientări:
Într-o primă orientare, majoritară, se consideră că folosirea unui card bancar, fără drept, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte elementele constitutive a două infracţiuni, în concurs ideal, respectiv acces ilegal la un sistem informatic, prevăzută de art. 360 alin. (1) din Codul penal, şi efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea propriu-zisă a tranzacţiei).
În acest sens au fost exprimate puncte de vedere de către curţile de apel Bucureşti, Braşov, Galaţi, Iaşi, Oradea, Piteşti şi Timişoara, tribunalele Arad, Bucureşti şi judecătoriile arondate acestuia, Ialomiţa şi judecătoriile arondate acestuia, Iaşi, Ilfov, Satu Mare, Sălaj, Timiş şi Vaslui şi judecătoriile Bistriţa, Caransebeş, Călăraşi, Iaşi, Lieşti, Moldova Nouă, Paşcani, Răducăneni, Satu Mare şi Timişoara.
În argumentarea opiniei exprimate, instanţele au precizat că, în situaţia expusă, prin aceeaşi conduită ilicită se aduce atingere unor valori sociale diferite, fiind întrunite elementele constitutive ale unor infracţiuni distincte.
S-a menţionat că, în acest context, se menţin argumentele arătate în Decizia nr. 15/2013 pronunţată de Înalta Curte de Casaţie şi Justiţie – Completul competent să judece recursul în interesul legii, în sensul că „în cazul în care cardul este folosit pentru retrageri de numerar, având în vedere că accesul la sistemul informatic iniţiat prin folosirea codului PIN se epuizează prin retragerea de numerar, ia naştere un concurs ideal cu infracţiunea prevăzută de art. 27 alin. (1) din Legea nr. 365/2002. Astfel, dacă ulterior accesului fără drept la un sistem informatic, în scopul obţinerii de date informatice, prin încălcarea măsurilor de securitate, se vor efectua şi operaţiuni financiare (retrageri de sume, plăţi, transferuri etc.), infracţiunea de acces neautorizat va veni în concurs cu infracţiunea prevăzută de art. 27 alin. (1) din Legea nr. 356/2002, constând în efectuarea de operaţiuni financiare în mod fraudulos, infracţiuni aflate în concurs ideal. Făptuitorul transmite prin intermediul componentelor sistemului (tastatură) solicitări către unitatea centrală de prelucrare a sistemului, care îi vor permite posesorului nelegitim al cardului accesul către date informatice din sistemul bancar. Prin aceasta, datele informatice stocate au devenit vulnerabile, integritatea lor fiind ameninţată”.
S-a precizat că, în cazul plăţilor efectuate la POS, în modalitatea contactless, prin apropierea cardului de dispozitivul POS se asigură accesul utilizatorului cardului la sistemul informatic/datele informatice ale băncii emitente unde sunt stocate date electronice cu privire la contul bancar al titularului cardului.
Conform Directivei 2013/40/UE a Parlamentului European şi a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice şi de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului, prin sintagma „fără a avea dreptul” se înţelege accesarea, afectarea integrităţii sau interceptarea fără autorizare din partea proprietarului sau a unui alt titular de drepturi, a sistemului sau a unei părţi a acestuia sau care nu este permis în temeiul legislaţiei naţionale.
În cea de-a doua orientare, minoritară, se consideră că folosirea unui card bancar, fără drept, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte doar elementele constitutive ale infracţiunii de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea efectivă a tranzacţiei).
În acest sens au fost exprimate puncte de vedere de către Curtea de Apel Suceava şi instanţele arondate acesteia, tribunalele Argeş, Bistriţa-Năsăud, Brăila, Caraş-Severin, Covasna, Giurgiu şi Teleorman şi judecătoriile Alexandria, Năsăud, Reşiţa, Rupea, Sfântu Gheorghe, Turnu Măgurele, Videle şi Zimnicea.
În argumentarea opiniei minoritare, instanţele au precizat că dispoziţiile art. 360 alin. (1) din Codul penal definesc infracţiunea de acces ilegal la un sistem informatic ca fiind fapta de acces, fără drept, la un sistem informatic. Potrivit art. 181 alin. (1) din Codul penal, prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.
Având în vedere noţiunea de acces care caracterizează elementul material al infracţiunii de acces ilegal la un sistem informatic şi care exprimă, conform Dicţionarului explicativ al limbii române, o activitate de pătrundere, s-a apreciat că prin folosirea unui card bancar, în modalitatea contactless, nu se realizează activitatea de pătrundere a dispozitivelor sau a ansamblelor de dispozitive ce formează sistemul informatic, de natură să aducă atingere valorilor sociale ocrotite prin incriminarea faptei prevăzute de art. 360 din Codul penal, respectiv punerea în pericol a datelor informatice stocate. S-a considerat că prin utilizarea cardului bancar se realizează o acţiune de folosire a sistemului informatic aparţinând operatorului financiar, acţiune ce are limite mai restrânse decât cele aferente noţiunii de acces din perspectiva analizată.
De asemenea, în susţinerea acestei orientări, unele instanţe au arătat că în cazul în care terminalul POS este operat de către o persoană fizică, aceasta îşi dă acordul ca deţinătorul fraudulos al instrumentului de plată să interacţioneze cu sistemul informatic reprezentat de POS, tranzacţia urmând a fi autorizată. Astfel, acordul funcţionarului produce efecte, chiar dacă a fost obţinut printr-o inducere în eroare, nefiind îndeplinit elementul constitutiv al infracţiunii de acces ilegal la un sistem informatic.
Curţile de apel Alba Iulia, Bacău, Cluj, Craiova, Ploieşti şi Târgu Mureş au comunicat că nu a fost identificată practică judiciară care să prezinte relevanţă pentru problema de drept supusă dezlegării, fără a exprima un punct de vedere, iar Curtea de Apel Constanţa a transmis doar practică judiciară.
IV.2. Jurisprudenţa relevantă a Înaltei Curţi de Casaţie şi Justiţie
IV.2.1. Din perspectiva hotărârilor obligatorii, menite să asigure dezlegarea unor chestiuni de drept, a fost identificată o hotărâre care prezintă semnificaţie sub aspectul chestiunii ce formează obiectul întrebării prealabile, respectiv Decizia nr. 15 din 14 octombrie 2013, publicată în Monitorul Oficial al României, Partea I, nr. 760 din 6 decembrie 2013, prin care Înalta Curte de Casaţie şi Justiţie – Completul competent să judece recursul în interesul legii a statuat că „Folosirea la bancomat a unui card bancar autentic, fără acordul titularului său, în scopul efectuării unor retrageri de numerar, constituie infracţiunea de efectuare de operaţiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, prevăzută de art. 27 alin. (1) din Legea nr. 365/2002, în concurs ideal cu infracţiunea de acces, fără drept, la un sistem informatic comisă în scopul obţinerii de date informatice prin încălcarea măsurilor de securitate, prevăzută de art. 42 alin. (1), (2) şi (3) din Legea nr. 161/2003.”
IV.2.2. În ceea ce priveşte deciziile de speţă, în urma examenului de jurisprudenţă efectuat la nivelul Înaltei Curţi de Casaţie şi Justiţie nu au fost identificate hotărâri care să prezinte relevanţă pentru problema de drept analizată.
IV.3. Jurisprudenţa relevantă a Curţii Constituţionale
În urma examenului de jurisprudenţă la nivelul Curţii Constituţionale a României, a fost identificată Decizia nr. 353 din data de 22 mai 2018, publicată în Monitorul Oficial al României, Partea I, nr. 650 din 26 iulie 2018, referitoare la respingerea excepţiei de neconstituţionalitate a dispoziţiilor art. 250 alin. (1) şi art. 360 din Codul penal.
Prin această decizie, Curtea Constituţională a statuat că incriminarea reglementată de art. 250 alin. (1) din Codul penal protejează relaţiile sociale patrimoniale a căror bună desfăşurare depinde de utilizarea legitimă a instrumentelor de plată electronice, definite în art. 180 din Codul penal. Incriminarea reglementată de art. 360 din Codul penal protejează relaţiile sociale a căror bună desfăşurare depinde de respectarea securităţii şi integrităţii sistemelor informatice, precum şi a securităţii, integrităţii şi confidenţialităţii datelor informatice, definite în art. 181 din Codul penal, iar elementul material al infracţiunii îl constituie, în principiu, acea operaţiune de acces, fără drept, prin care se realizează o interacţiune funcţională cu sistemul informatic. Formele agravate ale infracţiunii au în vedere, pe de o parte, scopul accesului ilegal la sistemul informatic, respectiv obţinerea de date informatice [art. 360 alin. (2) din Codul penal], precum şi încălcarea măsurilor de securitate [art. 360 alin. (3) din Codul penal].
IV.4. Jurisprudenţa relevantă a Curţii Europene a Drepturilor Omului
În urma examenului de jurisprudenţă la nivelul Curţii Europene a Drepturilor Omului nu au fost identificate hotărâri care să prezinte relevanţă pentru problema de drept analizată.
V. Punctul de vedere al Parchetului de pe lângă Înalta Curte de Casaţie şi Justiţie cu privire la problema de drept ce formează obiectul sesizării
Prin punctul de vedere transmis, Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie a considerat că sesizarea formulată îndeplineşte condiţiile de admisibilitate, respectiv solicitarea aparţine unei curţi de apel învestite cu soluţionarea cauzei în ultimă instanţă (apelul declarat de inculpat), de chestiunea de drept depinde soluţionarea cauzei, deoarece vizează întrunirea elementelor de tipicitate ale uneia dintre infracţiunile care constituie obiectul acuzaţiei penale, iar problema de drept nu a fost supusă examenului Înaltei Curţi de Casaţie şi Justiţie, nestatuându-se asupra acesteia printr-o hotărâre prealabilă sau printr-un recurs în interesul legii şi nici nu face obiectul unui recurs în interesul legii în curs de soluţionare.
Cu privire la fondul sesizării, Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie apreciază că folosirea fără drept de către o persoană a unui card bancar, în modalitatea contactless, la un terminal POS pentru efectuare de plăţi, când tranzacţia se face fără PIN, întruneşte elementele de tipicitate doar ale infracţiunii de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată în funcţie de efectuarea efectivă a tranzacţiei).
În esenţă, s-a susţinut că accesul la un sistem informatic presupune o interacţiune logică cu acesta, care îi conferă agentului posibilitatea de a beneficia de resursele ori/şi funcţiile sistemului informatic, însă, ca urmare a interacţiunii unui card bancar utilizat fără drept în modalitatea contactless cu terminalul POS, s-ar produce doar un simplu canal de comunicare cu sistemul informatic, iar utilizatorul nu dobândeşte un control asupra funcţiilor şi datelor sistemului informatic al băncii la care este deschis contul bancar debitat.
VI. Opinia specialiştilor consultaţi
În conformitate cu dispoziţiile art. 476 alin. (10) raportat la art. 473 alin. (5) din Codul de procedură penală a fost solicitată specialiştilor în drept penal opinia asupra chestiunii de drept supuse examinării.
Universitatea de Vest din Timişoara – Facultatea de Drept – Centrul de Cercetări în Ştiinţe Penale a opinat în sensul că sesizarea formulată de Curtea de Apel Bucureşti – Secţia I penală nu este admisibilă, apreciind că problema de drept a fost soluţionată prin Decizia nr. 15 din 14 octombrie 2013, publicată în Monitorul Oficial al României, Partea I, nr. 760 din 6 decembrie 2013, prin care Înalta Curte de Casaţie şi Justiţie a statuat că „Folosirea la bancomat a unui card bancar autentic, fără acordul titularului său, în scopul efectuării unor retrageri de numerar, constituie infracţiunea de efectuare de operaţiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, prevăzută de art. 27 alin. (1) din Legea nr. 365/2002, în concurs ideal cu infracţiunea de acces, fără drept, la un sistem informatic, comisă în scopul obţinerii de date informatice prin încălcarea, măsurilor de securitate, prevăzută de art. 42 alin. (1), (2) şi (3) din Legea nr. 161/2003”.
Pe fondul chestiunii de drept supuse dezlegării a opinat în sensul că folosirea fără drept a unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte elementele constitutive a două infracţiuni, respectiv acces ilegal la un sistem informatic, prevăzută de art. 360 alin. (1) din Codul penal, şi efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal, în formă tentată sau consumată, în funcţie de efectuarea propriu-zisă a tranzacţiei.
În susţinerea acestei opinii s-a arătat că infracţiunea prevăzută de art. 250 din Codul penal are ca obiect juridic principal relaţiile sociale referitoare la patrimoniul persoanei titulare a instrumentului de plată fără numerar (în cazul speţei – cardul bancar), iar ca obiect juridic secundar relaţiile sociale privind încrederea publică în instrumentele de plată electronică. Interesul juridic protejat este şi acela al proprietarului instrumentului de plată electronică (emitentul, instituţia financiară etc.), dar şi al deţinătorului ori utilizatorului de drept al respectivului mijloc electronic, identificat prin intermediul datelor informatice de identificare stocate sau vehiculate în sistemul informatic al emitentului.
Aceeaşi infracţiune are ca obiect material instrumentul de plată fără numerar/instrumentul de plată electronică, astfel cum este definit de art. 180 din Codul penal şi art. 1 pct. 11 şi 12 din Legea nr. 365/2002 privind comerţul electronic, respectiv ca un instrument care permite titularului său să efectueze următoarele tipuri de operaţiuni:
– transferuri de fonduri, altele decât cele ordonate şi executate de către instituţii financiare;
– retrageri de numerar, precum şi încărcarea şi descărcarea unui instrument de monedă electronică (categorie în care includem cardurile bancare de credit sau debit).
În acelaşi timp, infracţiunea prevăzută de art. 360 din Codul penal are ca obiect juridic relaţiile sociale referitoare la sistemele informatice şi utilizarea acestora, relaţiile sociale prin care se creează un cadru sigur şi inviolabil al spaţiului informatic, precum şi relaţiile sociale privitoare la siguranţa datelor informatice.
Interesul juridic protejat este acela al proprietarului, deţinătorului sau utilizatorului de drept (legal) al sistemului informatic, dar şi al proprietarului, deţinătorului ori utilizatorului de drept al datelor informatice, stocate sau vehiculate în respectivul sistem informatic.
Obiectul material al infracţiunii de acces ilegal la un sistem informatic constă în entităţile materiale care compun sistemele informatice (elemente hardware – calculatoare, reţele de calculatoare, telefoane inteligente, tablete, echipamente periferice etc. – şi software – BIOS, sisteme de operare, programe, aplicaţii, baze de date etc.) şi în datele informatice spre care se îndreaptă atenţia făptuitorului.
Legiuitorul a inclus fiecare dintre cele două infracţiuni în două titluri diferite – art. 250 în titlul II al părţii speciale a Codului penal – Infracţiuni contra patrimoniului, cap. IV – Fraude comise prin sisteme informatice şi mijloace de plată electronice şi, respectiv, art. 360 în titlul VII – Infracţiuni contra siguranţei publice, cap. VI – Infracţiuni contra siguranţei şi integrităţii sistemelor şi datelor informatice. Deci, scopul interzicerii acestor două fapte este diferit, iar între ele poate fi stabilită o legătură mijloc-scop, infracţiunea de acces ilegal la un sistem informatic putând fi mijlocul prin care se comite infracţiunea de efectuare de operaţiuni financiare în mod fraudulos.
Utilizarea unui card în modalitatea contactless la ATM/POS presupune o accesare ilegală a unui sistem informatic şi, dacă s-a realizat retragerea de numerar sau realizarea de plăţi, se va reţine şi infracţiunea de efectuare de operaţiuni financiare în mod fraudulos în formă consumată, în concurs ideal. Dacă retragerea de numerar/plata nu s-a putut efectua din cauza refuzului băncii, blocării cardului în ATM sau altor cauze, se va reţine în concurs doar o tentativă la art. 250 alin. (1) din Codul penal.
Universitatea Titu Maiorescu – Facultatea de Drept a opinat în sensul că folosirea fără drept a unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte elementele constitutive a două infracţiuni, respectiv acces ilegal la un sistem informatic, prevăzută de art. 360 alin. (1) din Codul penal, şi efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea propriu-zisă a tranzacţiei).
În susţinerea acestei opinii s-a arătat că infracţiunea prevăzută de art. 250 alin. (1) din Codul penal prezintă mai multe variante alternative prin care poate fi comisă, acestea fiind retragerea de numerar, încărcarea sau descărcarea unui instrument de monedă electronică ori de transfer de fonduri, valoare monetară sau monedă virtuală, prin utilizarea, fără consimţământul titularului, a unui instrument de plată fără numerar sau a datelor de identificare care permit utilizarea acestuia.
Infracţiunea prevăzută de art. 360 alin. (1) din Codul penal constă în accesul, fără drept, la un sistem informatic.
Sistemul informatic este definit de legislaţia penală ca fiind orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.
Cardul bancar este definit ca „un instrument de plată electronică, respectiv un suport de informaţie standardizat, securizat şi individualizat, care permite deţinătorului său să utilizeze disponibilităţile băneşti proprii dintr-un cont deschis pe numele său la emitentul cardului ori să utilizeze o linie de credit, în limita unui plafon stabilit în prealabil, deschisă de emitent în favoarea deţinătorului cardului”.
Terminalul POS, denumirea prescurtată conform uzanţelor internaţionale a expresiei „terminalul pentru transferul electronic de fonduri la punctul de vânzare (Electronic Funds Transfer at Point of Sale)”, este un „dispozitiv ce permite, prin mijloace electronice, preluarea, prelucrarea, stocarea şi transmiterea de informaţii privind plata cu card şi/sau cu un instrument de plată de tip monedă electronică, efectuată la punctele de vânzare, de obicei cu amănuntul, ale comerciantului acceptant. Din punctul de vedere al accesului la datele administrate de o unitate centrală, prin utilizarea combinată a tehnicilor de transmisie şi prelucrare a datelor, un terminal poate opera în timp real (online) sau cu decalaj în timp (offline)”.
De asemenea, operaţiunea de autorizare a plăţii cu card este definită ca operaţiunea care constă într-un ansamblu de metode şi proceduri, prevăzute prin contract, prin care comerciantul acceptant/terminalul transmite emitentului sau procesorului informaţiile referitoare la un card şi solicită acestuia transmiterea unui răspuns privind confirmarea validităţii cardului şi acceptarea efectuării tranzacţiei.
Ca atare, efectuarea unei plăţi la un terminal POS (indiferent de metoda de plată aleasă) presupune o serie de operaţiuni care implică mai multe sisteme informatice prin care sunt prelucrate o serie de date informatice referitoare la un card bancar în vederea confirmării validităţii cardului bancar şi acceptării efectuării tranzacţiei.
Din analiza elementului material al infracţiunii prevăzute de art. 360 alin. (1) din Codul penal rezultă că pentru reţinerea acestei infracţiuni este necesar să fie accesat un sistem informatic, fără drept, fără a fi impuse anumite cerinţe specifice de securitate, cum ar fi introducerea unui cod PIN.
Plata prin intermediul unui terminal POS presupune o serie de operaţiuni informatice care implică mai multe sisteme informatice prin intermediul cărora sunt prelucrate, preluate, stocate şi transmise informaţii privind valabilitatea unui card bancar şi acceptarea unei plăţi.
Prin urmare, se poate reţine cu certitudine că efectuarea unei plăţi contactless presupune accesul la un sistem informatic, indiferent dacă se solicită sau nu introducerea unui cod PIN, singura persoană autorizată să aibă acces la respectivul sistem informatic fiind deţinătorul cardului bancar.
Universitatea Babeş-Bolyai – Facultatea de Drept a opinat în sensul că folosirea fără drept a unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte exclusiv elementele constitutive ale infracţiunii de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea propriuzisă a tranzacţiei).
În susţinerea acestei opinii s-a arătat că prin art. 360 din Codul penal se urmăreşte protecţia integrităţii datelor, caracterul accesibil al acestora şi caracterul privat al acestora. Noţiunea de acces la un sistem informatic presupune o interacţiune logică cu acesta, interacţiune care să permită, cel puţin la nivel teoretic, vizualizarea sau manipularea datelor informatice din respectivul sistem informatic. Raportat la posibilităţile extrem de limitate de accesare ale sistemului informatic pe care plata contactless la un terminal POS le permite, o astfel de conduită nu atinge pragul minim de intruziune cerut de interpretarea teleologică a noţiunii de acces fără drept la un sistem informatic.
VII. Dispoziţii legale incidente
Codul penal
Mijloace de plată fără numerar
Art. 180. –
” (1) Prin instrument de plată fără numerar se înţelege un dispozitiv, un obiect sau o înregistrare, protejat, respectiv protejată, material ori nematerial, respectiv materială ori nematerială, sau o combinaţie a acestora, altul, respectiv alta decât o monedă cu valoare circulatorie şi care, singur, respectiv singură sau împreună cu o procedură sau un set de proceduri, permite deţinătorului sau utilizatorului transferul de bani sau valoare monetară, inclusiv prin monedă electronică sau monedă virtuală.
(2) Prin instrument de plată electronică se înţelege un instrument care permite efectuarea de retrageri de numerar, încărcarea şi descărcarea unui instrument de monedă electronică, precum şi transferuri de fonduri, altele decât cele ordonate şi executate de către instituţii financiare.
(3) Prin monedă electronică se înţelege valoarea monetară stocată electronic, inclusiv magnetic, reprezentând o creanţă asupra emitentului, emisă la primirea fondurilor în scopul efectuării de operaţiuni de plată şi care este acceptată de o persoană, alta decât emitentul de monedă electronică.
(4) Moneda virtuală înseamnă o reprezentare digitală a valorii care nu este emisă sau garantată de o bancă centrală sau de o autoritate publică, nu este în mod obligatoriu legată de o monedă instituită legal şi nu deţine statutul legal de monedă sau de bani, dar este acceptată de către persoane fizice sau juridice ca mijloc de schimb şi poate fi transferată, stocată şi tranzacţionată electronic.”
Sistem informatic şi date informatice
Art. 181. –
” (1) Prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.
(2) Prin date informatice se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic.”
Efectuarea de operaţiuni financiare în mod fraudulos
Art. 250. –
” (1) Efectuarea unei operaţiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, valoare monetară sau monedă virtuală, prin utilizarea, fără consimţământul titularului, a unui instrument de plată fără numerar sau a datelor de identificare care permit utilizarea acestuia, se pedepseşte cu închisoarea de la 2 la 7 ani.
(2) Cu aceeaşi pedeapsă se sancţionează efectuarea uneia dintre operaţiunile prevăzute în alin. (1), prin utilizarea neautorizată a oricăror date de identificare sau prin utilizarea de date de identificare fictive.
(3) Transmiterea neautorizată către altă persoană a oricăror date de identificare, în vederea efectuării uneia dintre operaţiunile prevăzute în alin. (1), se pedepseşte cu închisoarea de la unu la 5 ani.”
Accesul ilegal la un sistem informatic
Art. 360. –
” (1) Accesul, fără drept, la un sistem informatic se pedepseşte cu închisoare de la 3 luni la 3 ani sau cu amendă.
(2) Fapta prevăzută în alin. (1), săvârşită în scopul obţinerii de date informatice, se pedepseşte cu închisoarea de la 6 luni la 5 ani.
(3) Dacă fapta prevăzută în alin. (1) a fost săvârşită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricţionat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.”
Convenţia Consiliului Europei privind criminalitatea informatică, adoptată la Budapesta la 23 noiembrie 2001, publicată în Monitorul Oficial al României, Partea I, nr. 343 din 20 aprilie 2004
Art. 2. – Accesarea ilegală
” Fiecare parte va adopta măsurile legislative şi alte măsuri considerate necesare pentru a incrimina ca infracţiune, potrivit dreptului său intern, accesarea intenţionată şi fără drept a ansamblului ori a unei părţi a unui sistem informatic. O parte poate condiţiona o astfel de incriminare de comiterea încălcării respective prin violarea măsurilor de securitate, cu intenţia de a obţine date informatice ori cu altă intenţie delictuală, sau de legătură dintre încălcarea respectivă şi un sistem informatic conectat la alt sistem informatic.”
Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, publicată în Monitorul Oficial al României, Partea I, nr. 279 din 21 aprilie 2003, cu modificările şi completările ulterioare
Art. 35. –
” (1) În prezentul titlu, termenii şi expresiile de mai jos au următorul înţeles:
a) prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic;
b) prin prelucrare automată a datelor se înţelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
c) prin program informatic se înţelege un ansamblu de instrucţiuni care pot fi executate de un sistem informatic în vederea obţinerii unui rezultat determinat;
d) prin date informatice se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic. În această categorie se include şi orice program informatic care poate determina realizarea unei funcţii de către un sistem informatic; (…)”.
Art. 42. (forma în vigoare din 14 octombrie 2013)
” (1) Accesul, fără drept, la un sistem informatic constituie infracţiune şi se pedepseşte cu închisoare de la 3 luni la 3 ani sau cu amendă.
(2) Fapta prevăzută la alin. (1), săvârşită în scopul obţinerii de date informatice, se pedepseşte cu închisoare de la 6 luni la 5 ani.
(3) Dacă fapta prevăzută la alin. (1) sau (2) este săvârşită prin încălcarea măsurilor de securitate, pedeapsa este închisoarea de la 3 la 12 ani.”
Legea nr. 365/2002 privind comerţul electronic, republicată în Monitorul Oficial al României, Partea I, nr. 959 din 29 noiembrie 2006, cu modificările ulterioare
Art. 27. – Efectuarea de operaţiuni financiare în mod fraudulos (forma în vigoare din 14 octombrie 2013)
” (1) Efectuarea uneia dintre operaţiunile prevăzute la art. 1 pct. 11, prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, fără consimţământul titularului instrumentului respectiv, se pedepseşte cu închisoare de la 1 la 12 ani.
(2) Cu aceeaşi pedeapsă se sancţionează efectuarea uneia dintre operaţiunile prevăzute la art. 1 pct. 11, prin utilizarea neautorizată a oricăror date de identificare sau prin utilizarea de date de identificare fictive.
(3) Cu aceeaşi pedeapsă se sancţionează transmiterea neautorizată către altă persoană a oricăror date de identificare, în vederea efectuării uneia dintre operaţiunile prevăzute la art. 1 pct. 11.
(4) Pedeapsa este închisoarea de la 3 la 15 ani şi interzicerea unor drepturi, dacă faptele prevăzute la alin. (1)-(3) sunt săvârşite de o persoană care, în virtutea atribuţiilor sale de serviciu:
a) realizează operaţii tehnice necesare emiterii instrumentelor de plată electronică ori efectuării tipurilor de operaţiuni prevăzute la art. 1 pct. 11; sau
b) are acces la mecanismele de securitate implicate în emiterea sau utilizarea instrumentelor de plată electronică; sau
c) are acces la datele de identificare sau la mecanismele de securitate implicate în efectuarea tipurilor de operaţiuni prevăzute la art. 1 pct. 11.
(5) Tentativa se pedepseşte.”
VIII. Opinia judecătorului-raportor
Judecătorul-raportor consideră că sesizarea este inadmisibilă, nefiind îndeplinite cumulativ condiţiile prevăzute de dispoziţiile art. 475 din Codul de procedură penală, întrucât problema de drept supusă dezlegării a primit deja o dezlegare prin Decizia nr. 15 din 14 octombrie 2013 din partea Înaltei Curţi de Casaţie şi Justiţie – Completul competent să judece recursul în interesul legii.
IX. Înalta Curte de Casaţie şi Justiţie
În urma examinării sesizării formulate de Curtea de Apel Bucureşti – Secţia I penală, în vederea pronunţării unei hotărâri prealabile, a raportului întocmit de judecătorul-raportor şi a problemei ce se solicită a fi dezlegată, constată următoarele:
În conformitate cu dispoziţiile art. 475 din Codul de procedură penală: „Dacă, în cursul judecăţii, un complet de judecată al Înaltei Curţi de Casaţie şi Justiţie, al curţii de apel sau al tribunalului, învestit cu soluţionarea cauzei în ultimă instanţă, constatând că există o chestiune de drept, de a cărei lămurire depinde soluţionarea pe fond a cauzei respective şi asupra căreia Înalta Curte de Casaţie şi Justiţie nu a statuat printr-o hotărâre prealabilă sau printr-un recurs în interesul legii şi nici nu face obiectul unui recurs în interesul legii în curs de soluţionare, va putea solicita Înaltei Curţi de Casaţie şi Justiţie să pronunţe o hotărâre prin care să se dea rezolvare de principiu chestiunii de drept cu care a fost sesizată”.
Din examinarea textului legal enunţat se constată că admisibilitatea unei sesizări formulate în procedura pronunţării unei hotărâri prealabile este condiţionată de îndeplinirea, în mod cumulativ, a următoarelor trei condiţii:
– să existe o cauză în curs de judecată, iar instanţa care a formulat întrebarea să fie învestită cu soluţionarea ei în ultimă instanţă;
– soluţionarea pe fond a cauzei să depindă de lămurirea chestiunii de drept ce face obiectul sesizării;
– chestiunea de drept supusă analizei să nu fi primit o rezolvare anterioară printr-o hotărâre prealabilă sau printr-un recurs în interesul legii şi să nu facă obiectul unui asemenea recurs în curs de soluţionare.
Raportând sesizarea ce face obiectul prezentei cauze la cerinţele de admisibilitate, nu sunt îndeplinite cumulativ toate aceste condiţii.
Astfel, se constată că prima condiţie este îndeplinită, deoarece solicitarea de lămurire a problemei de drept invocate aparţine unei instanţe învestite cu soluţionarea cauzei în ultimă instanţă, respectiv Curtea de Apel Bucureşti – Secţia I penală, pe rolul căreia se află înregistrat Dosarul nr. 29.758/3/2021, ce are ca obiect apelul formulat de inculpatul D.C.A. împotriva Sentinţei penale nr. 307 din data de 30 martie 2022 a Tribunalului Bucureşti.
De asemenea, cea de-a doua condiţie este îndeplinită, întrucât chestiunea de drept supusă dezlegării vizează întrunirea elementelor de tipicitate ale uneia dintre infracţiunile care constituie obiectul acuzaţiei penale, împrejurare care are efecte asupra laturii penale a cauzei.
În schimb, nu este îndeplinită ultima condiţie de admisibilitate, respectiv chestiunea de drept supusă analizei să nu fi primit o rezolvare anterioară printr-o hotărâre prealabilă sau printr-un recurs în interesul legii.
Înalta Curte de Casaţie şi Justiţie, asupra sesizării prealabile de faţă, constată că această chestiune de drept a fost soluţionată pe calea recursului în interesul legii.
Astfel, Completul competent să judece recursul în interesul legii a fost sesizat şi a soluţionat recursul în interesul legii formulat de către procurorul general al Parchetului de pe lângă Înalta Curte de Casaţie şi Justiţie prin Sesizarea nr. 11.874/2.670/III-5/2011 prin care s-a solicitat interpretarea unitară a noţiunii de acces, fără drept, la un sistem informatic, în vederea interpretării şi aplicării unitare a dispoziţiilor art. 42 alin. (1), (2) şi (3) din Legea nr. 161/2003, ce incriminau anterior Codului penal actual infracţiunea de acces, fără drept, la un sistem informatic.
Chestiunea de drept soluţionată neunitar în jurisprudenţă a fost determinată de înţelegerea diferită de către instanţele judecătoreşti a diferenţierii practice între montarea la ATM a dispozitivelor de citire a benzii magnetice a cardului autentic şi a codului PIN aferent acestuia, respectiv folosirea la bancomat a cardului falsificat ori chiar a celui autentic, fără acordul titularului său, însă soluţionarea recursului în interesul legii a făcut necesară tranşarea obligatorie de către Înalta Curte a chestiunii accesului la un sistem informatic, chestiune ce face obiectul prezentei sesizări de pronunţare a unei hotărâri prealabile.
Recursul în interesul legii sub aspectul interpretării unitare a noţiunii de acces fără drept la un sistem informatic a fost soluţionat prin Decizia nr. 15 din 14 octombrie 2013, publicată în Monitorul Oficial al României, Partea I, nr. 760 din 6 decembrie 2013, prin care Înalta Curte de Casaţie şi Justiţie a statuat că „Folosirea la bancomat a unui card bancar autentic, fără acordul titularului său, în scopul efectuării unor retrageri de numerar, constituie infracţiunea de efectuare de operaţiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, prevăzută de art. 27 alin. (1) din Legea nr. 365/2002, în concurs ideal cu infracţiunea de acces, fără drept, la un sistem informatic comisă în scopul obţinerii de date informatice prin încălcarea măsurilor de securitate, prevăzută de art. 42 alin. (1), (2) şi (3) din Legea nr. 161/2003”.
Este de notat că Decizia nr. 15 din 14 octombrie 2013 îşi produce efectele în continuare, deoarece incriminările faptei de efectuare de operaţiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, prevăzută de art. 27 alin. (1) din Legea nr. 365/2002 privind comerţul electronic şi a faptei de acces, fără drept, la un sistem informatic, prevăzută de art. 42 alin. (1), (2) şi (3) din Legea nr. 161/2003 au fost codificate de Codul penal actual în art. 250 – Efectuarea de operaţiuni financiare în mod fraudulos şi, respectiv, în art. 360 – Accesul ilegal la un sistem informatic.
Pentru a statua în sensul existenţei concursului ideal de infracţiuni, Înalta Curte a argumentat, în finalul subsecţiunii 6.3.3., că:
” Prin folosirea la ATM a cardului autentic, fără acordul titularului său, se accesează fără drept un sistem informatic, în scopul obţinerii de date informatice, prin încălcarea măsurilor de securitate, faptă incriminată de art. 42 alin. (1), (2) şi (3) din Legea nr. 161/2003.
În cazul în care cardul este folosit pentru retrageri de numerar, având în vedere că accesul la sistemul informatic iniţiat prin folosirea codului PIN se epuizează prin retragerea de numerar, ia naştere un concurs ideal cu infracţiunea prevăzută de art. 27 alin. (1) din Legea nr. 365/2002. Astfel, dacă ulterior accesului fără drept la un sistem informatic, în scopul obţinerii de date informatice, prin încălcarea măsurilor de securitate, se vor efectua şi operaţiuni financiare (retrageri de sume, plăţi, transferuri etc.), infracţiunea de acces neautorizat va veni în concurs cu infracţiunea prevăzută de art. 27 alin. (1) din Legea nr. 356/2002, constând în efectuarea de operaţiuni financiare în mod fraudulos, infracţiuni aflate în concurs ideal.
Făptuitorul transmite prin intermediul componentelor sistemului (tastatură) solicitări către unitatea centrală de prelucrare a sistemului, care îi vor permite posesorului nelegitim al cardului accesul către date informatice din sistemul bancar. Prin aceasta, datele informatice stocate au devenit vulnerabile, integritatea lor fiind ameninţată. Legătura de cauzalitate dintre acţiunea făptuitorului şi urmarea produsă datelor informatice rezultă din însăşi materialitatea faptei.”
Or, tehnologia contactless asigură aceeaşi funcţie a cardului bancar, acesta putând fi folosit la un terminal POS sau ATM, prin simpla apropiere a cardului de acestea fiind accesate aceleaşi sisteme informatice.
Ca atare, Înalta Curte a tranşat chestiunea de drept ce face obiectul prezentei sesizări de pronunţare a unei hotărâri prealabile, statuând în sensul existenţei unui concurs ideal între infracţiunea de acces ilegal la un sistem informatic, prevăzută de art. 360 din Codul penal, şi între infracţiunea de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal.
Aşadar, indubitabil, asupra chestiunii de drept Înalta Curte de Casaţie şi Justiţie a statuat, în sensul avut în vedere de art. 475 din Codul de procedură penală, prin recursul în interesul legii soluţionat prin Decizia nr. 15 din 14 octombrie 2013, obligatorie de la data publicării în Monitorul Oficial al României, Partea I, nr. 760 din 6 decembrie 2013.
Nefiind îndeplinită condiţia de admisibilitate prevăzută de art. 475 din Codul de procedură penală, şi anume ca asupra chestiunii de drept să nu fi statuat printr-o hotărâre prealabilă sau printr-un recurs în interesul legii, Înalta Curte de Casaţie şi Justiţie, în temeiul art. 477 din Codul de procedură penală va respinge ca inadmisibilă sesizarea formulată de către Curtea de Apel Bucureşti – Secţia I penală.
În consecinţă, Înalta Curte de Casaţie şi Justiţie – Completul pentru dezlegarea unor chestiuni de drept în materie penală constată că nu sunt îndeplinite condiţiile de admisibilitate reglementate de art. 475 din Codul de procedură penală, motiv pentru care, în temeiul art. 477 din Codul de procedură penală, sesizarea formulată de Curtea de Apel Bucureşti – Secţia I penală, în Dosarul nr. 29.758/3/2021(1.148/2022), va fi respinsă, ca inadmisibilă.
PENTRU ACESTE MOTIVE,
În numele legii
D E C I D E:
Respinge ca inadmisibilă sesizarea formulată de Curtea de Apel Bucureşti – Secţia I penală, în Dosarul nr. 29.758/3/2021(1.148/2022), prin care s-a solicitat pronunţarea unei hotărâri prealabile pentru dezlegarea următoarei chestiuni de drept:
” Dacă folosirea fără drept a unui card bancar, în modalitatea contactless, la un terminal POS, pentru achitarea unor produse, întruneşte elementele constitutive a două infracţiuni, respectiv acces ilegal la un sistem informatic, prevăzută de art. 360 alin. (1) din Codul penal, şi efectuarea de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea propriu-zisă a tranzacţiei) sau doar elementele constitutive ale infracţiunii de efectuare de operaţiuni financiare în mod fraudulos, prevăzută de art. 250 alin. (1) din Codul penal (în formă tentată sau consumată, în funcţie de efectuarea efectivă a tranzacţiei). „
Obligatorie de la data publicării în Monitorul Oficial al României, Partea I, potrivit art. 477 alin. (3) din Codul de procedură penală.
Pronunţată în şedinţă publică astăzi, 28 septembrie 2022.
PREŞEDINTELE SECŢIEI PENALE A ÎNALTEI CURŢI DE CASAŢIE ŞI JUSTIŢIE
judecător DANIEL GRĂDINARU
Magistrat-asistent,
Florin Nicuşor Mihalache