Furtul de date (Phishing) – Context și consecințe penale

Contextul financiar

Phishing-ul este o tactică cibernetică folosită de atacatori pentru a înșela persoanele să dezvăluie informații personale, financiare sau confidențiale.

Această practică înșelătoare poate apărea pe diverse platforme online, site-uri frauduloase care seamănă îndeaproape cu cele ale instituțiilor legitime, e-mailuri – care par să provină din surse de încredere – mesaje text care creează un sentiment de urgență, precum și interacțiuni social-media care promovează un fals sentiment de securitate.

Metodele utilizate de acești infractori cibernetici sunt atent concepute pentru a transmite o aparență de autenticitate, ceea ce le crește semnificativ șansele de a induce în eroare victimele.

Metodele de phishing sunt îngrijorătoare în domeniul financiar, deoarece vizează informații sensibile legate de conturile bancare, cardurile de credit și alte servicii financiare. Manipulând utilizatorii care nu suspectează că își dezvăluie datele confidențiale precum:

• numele de utilizator și parola pentru conturile online,

• detaliile cardurilor bancare (număr, cod CVV, data expirării),

• datele de autentificare pentru platforme de plăți online sau aplicații bancare,

atacatorii pot accesa în mod ilicit resurse financiare valoroase, fapt ce conduce la daune considerabile aduse victimei, dar și pierderea încrederii în serviciile digitale.

Atacatorii pot crea site-uri web false care imită cu fidelitate site-urile oficiale ale băncilor sau ale altor instituții, trimițând victimei un e-mail sau mesaj SMS care o îndeamnă să acceseze aceste site-uri pentru a „actualiza” informațiile sale financiare sau pentru a „rezolva” o problemă urgentă. Odată ce victima furnizează datele solicitate, atacatorii pot efectua operațiuni financiare frauduloase în numele acestora.

Tehnici comune de phishing în scopuri financiare

1. Phishing prin e-mail

Una dintre cele mai comune metode de phishing implică utilizarea de e-mailuri frauduloase care imită în mod convingător comunicările emise în mod obișnuit de instituțiile financiare, cum ar fi instituțiile de credit. Aceste mesaje înșelătoare sunt concepute pentru a părea oficiale și de încredere, oferind adesea branding-ul și logo-urile instituției. O tactică frecventă include încorporarea unui hyperlink care direcționează destinatarul către un site web asemănător cu banca legitimă sau cu platforma serviciului financiar.

Obiectivul principal al acestor e-mailuri de phishing este de a induce în eroare destinatarul în a crede că interacționează cu instituția bancară autentică, stimulând astfel încrederea nejustificată. Aceste e-mailuri conțin adesea notificări alarmante și urgente care evocă sentimente de anxietate și frică. De exemplu, un e-mail de phishing poate indica: “Contul tău va fi blocat dacă nu confirmi informațiile imediat, este necesară o acțiune imediată pentru a evita blocarea tranzacției”.

2. Phishing prin site-uri false/telefon

Atacatorii creează site-uri web care copiază designul și adresa URL ale unui site legitim, cum ar fi o instituție bancară. Când utilizatorul ajunge pe acest site fals poate fi invitat să introducă informații financiare, cum ar fi datele de autentificare bancară, detaliile cardului de credit sau alte date sensibile. Astfel, infractorul dobândește acces direct la conturile victimei.

Phone spoofing-ul implică falsificarea numărului de telefon al apelantului, astfel încât acesta să apară ca provenind de la o bancă sau de la o instituție financiară cunoscută. Atacatorul poate apela victima pretinzând că este un reprezentant al băncii care solicită informații sensibile, cum ar fi codurile de activare ale aplicațiilor bancare, codurile de autorizare, datele cardului. Aceste apeluri au aparența autenticității, iar atacatorul poate folosi tehnici de manipulare pentru a convinge victima să furnizeze informațiile solicitate.

3. Phishing prin SMS:

Un alt tip de phishing este „smishing”, care utilizează mesaje SMS pentru a trimite link-uri malițioase sau coduri care redirecționează victima către site-uri false. Aceste mesaje pot pretinde că sunt de la bănci sau organizații financiare și pot include instrucțiuni care încurajează utilizatorul să își actualizeze datele personale sau să răspundă cu informații confidențiale.

Perspectiva penală a fraudei de tip phishing în legislația română

În România, legislația penală reglementează în mod explicit frauda informatică și înșelăciunea prin intermediul tehnologiilor informației.

Frauda informatică este reglementată în Codul penal, iar phishing-ul poate constitui infracțiune de înșelăciune sau fraudă informatică, ce sunt pedepsite cu închisoare de la 2 la 7 ani, iar în anumite circumstanțe, sancțiunile pot fi chiar mai severe, în funcție de gravitatea faptei și de prejudiciile cauzate victimelor.

Conform Codului penal:

• Articolul 244 – Înșelăciunea^[1]: Acesta prevede pedeapsa cu închisoare de la 6 luni la 3 ani sau cu amendă pentru persoanele care induc în eroare o altă persoană pentru a obține un folos patrimonial.

În cazul phishing-ului, infractorul, inducând victima în eroare prin diverse metode (de exemplu, mesaje false ce pretind a fi din partea unei bănci), poate fi acuzat de înșelăciune.

Infracțiunea de înșelăciune necesită nu numai un element subiectiv, care reflectă dorința intenționată a făptuitorului de a induce în eroare și de a exploata victima, ci și un element obiectiv, respectiv crearea unei ipostaze înșelătoare, realizată prin prezentarea de informații false, prin omiterea detaliilor relevante, care ar dezvălui adevărata natură a situației. Această dualitate, a intenției și a acțiunii, subliniază natura premeditată și frauduloasă a schemelor de phishing, subliniind implicațiile lor grave în era digitală.

• Articolul 249 – Frauda informatică^[2]: Acest articol se referă la utilizarea de tehnici informatice pentru a obține un folos material sau financiar prin înșelăciune. Frauda informatică este sancționată mai sever, cu închisoare de la 2 la 7 ani.

Phishing-ul realizat prin mijloace informatice reprezintă o formă complexă de criminalitate cibernetică ce poate atrage răspunderea penală sub multiple aspecte juridice.

Evoluția acestei infracțiuni a fost strâns corelată cu progresul tehnologic și expansiunea utilizării internetului, determinând o creștere semnificativă a complexității și diversificării metodelor utilizate de infractori.

În esență, această metodă implică utilizarea unor tehnici frauduloase pentru a obține acces neautorizat la datele confidențiale ale victimelor, fiind astfel susceptibilă de a fi încadrată la infracțiuni informatice specifice, precum accesul ilegal la un sistem informatic, prevăzut de legislația penală în vigoare. Această infracțiune presupune pătrunderea fără drept într-un sistem informatic, cu sau fără încălcarea măsurilor de securitate, în scopul de a accesa, modifica sau utiliza datele stocate în acesta.

De exemplu, un atacator poate modifica interfața unei pagini web pentru a imita identitatea unei instituții financiare, astfel încât victima să fie determinată să furnizeze date personale sau bancare. Această acțiune nu doar că reprezintă o inducere în eroare, dar afectează și integritatea datelor informatice, constituind astfel o încălcare gravă a normelor de securitate cibernetică.

Având în vedere pericolul social ridicat al faptei și impactul negativ asupra securității și încrederii în mediul digital, phishing-ul nu este doar o încălcare a normelor de securitate cibernetică, ci și o infracțiune cu implicații juridice, sancționată corespunzător de legislația penală.

Infractorii care comit fraude prin phishing pot fi supuși confiscării echipamentelor utilizate pentru a comite fapta (de exemplu, computere, servere, telefoane mobile), iar prejudiciile financiare cauzate victimelor pot fi recuperate prin acțiuni legale în instanțele civile. Autoritățile, cum ar fi Poliția Română și Direcția de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism colaborează cu organizații internaționale pentru identificarea atacatorilor cibernetici.

Cele două infracțiuni fac parte din același titlu al părții speciale a Codului penal, având același obiect juridic, respectiv buna-credință și încrederea pe care trebuie să se întemeieze relațiile patrimoniale.

Din perspectiva semantică, conceptul de fraudă este comprehensiv definit prin prisma actului de înșelăciune, care implică inducerea intenționată a unei persoane în eroare sau a unei entități. Această acțiune frauduloasă se bazează pe utilizarea unor manopere dolosive, care sunt, de regulă, strategii sau tehnici elaborate pentru a masca adevărata intenție. Scopul principal al acestor manopere este de a obține beneficii necuvenite, fie ele materiale, financiare sau de altă natură, afectând astfel integritatea și corectitudinea relațiilor comerciale sau sociale.

Frauda nu se limitează doar la un simplu act de înșelăciune; ea se manifestă într-o varietate de forme, inclusiv, dar fără a se limita la: falsificare, escrocherie sau manipularea informațiilor. Aceste acte sunt de obicei motivate de dorința de a profita de naivitatea sau vulnerabilitatea victimei, punând în evidență o relație disfuncțională între autor și victimă.

În practica Înaltei Curți de Casație și Justiție^[3] infracțiunea de fraudă informatică este considerată ca reglementare specială în raport cu infracțiunea de înșelăciune. Astfel, prin Decizia nr. 2.106 din 14 iunie 2013^[4], Înalta Curte de Casație și Justiție – Secția penală a reținut că infracțiunea de fraudă informatică, prevăzută în art. 49 din Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, constă în fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau ștergerea de date informatice, prin restricționarea accesului la aceste date ori prin împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul.

De asemenea, în considerentele Deciziei nr. 85/RC/2020^[5], Înalta Curte de Casație și Justiție a apreciat că instanța de apel a reținut corect că infracțiunea de fraudă informatică este o variantă a infracțiunii de înșelăciune săvârșită în spațiul virtual, cea de-a doua fiind norma generală, iar prima menționată constituind norma specială.

În literatura de specialitate, se argumentează că frauda informatică reprezintă o formă specifică a infracțiunii de înșelăciune, definită prin elementul material ce constă în acțiunea de a prezenta o situație în mod nereal. Această acțiune presupune un proces prin care făptuitorul comunică, expune sau descrie unei alte persoane o anumită situație de fapt, modificând sau distorsionând elementele acesteia, astfel încât să creeze o percepție diferită de realitatea obiectivă. Prin acest demers, se conferă situației respective o aparență falsificată sau alterată, fie prin omisiunea unor detalii esențiale, fie prin adăugarea unor elemente inexacte, având ca rezultat inducerea în eroare. Această modificare deliberată a realității poate avea consecințe juridice, sociale sau psihologice, în funcție de contextul în care este realizată și de scopul urmărit de făptuitor^[6]. Este esențial ca această formă de fraudă să fie recunoscută ca atare, ori de câte ori fapta respectivă întrunește elementele constitutive ale infracțiunii de înșelăciune^[7].

Concluzie

Frauda informatică a devenit o amenințare tot mai complexă, necesitând măsuri de prevenție și combatere din partea autorităților, instituțiilor financiare și utilizatorilor, precum și adaptarea continuă a legislației în domeniul criminalității informatice pentru a răspunde noilor provocări impuse de mediul digital.

La nivel european, există o preocupare constantă a legiferării în domeniul criminalității informatice^[8], fenomenul atrăgând atenția atât din punct de vedere a cazuisticii, cât și a întinderii.

Analiza fenomenului de fraudă necesită o înțelegere profundă a contextului social, economic și legal în care are loc, precum și a implicațiilor sale etice. Studii recente în domeniul criminologiei sugerează că prevenirea fraudei implică nu doar măsuri punitive, ci și educație și conștientizare a riscurilor asociate, contribuind astfel la construirea unei societăți mai sigure și mai echitabile.

Această abordare integrată și multidisciplinară este esențială pentru adresarea complexității fenomenului de fraudă în societatea contemporană.