Efectele Deciziei nr. 15/2013, a Înaltei Curți de Casație și Justiție, în ipoteza falsificării și utilizării frauduloase a unui portofel electronic

1. Introducere

La nivel european, dar și la nivel național, tranzacțiile cu instrumente de plată fără numerar, materiale sau imateriale (virtuale), se află pe un trend ascendent^[1], această modalitate de plată asigurând un confort sporit utilizatorilor, cu risc relativ redus în privința securității financiare. Totuși, tranzacțiile prin intermediul sistemelor informatice prezintă vulnerabilități semnificative, ce pot conduce la victimizarea și păgubirea utilizatorilor; cardurile, inclusiv portofelul de monedă electronică (e-portofelul), dar și instrumentele de plată fără numerar imateriale, cum sunt cardurile și portofelele virtuale, pot deveni cu ușurință mijloace de fraudare prin falsificare – aceste instrumente de plată pot fi falsificate prin contrafacere („clonare”), fiind folosite în acest scop metode ilicite de obținere a datelor de identificare (credențiale), respectiv skimming-ul și phishing-ul.

Skimming-ul presupune montarea la bancomat (denumit și ATM) sau la terminalul POS a unui dispozitiv special de citire a datelor de pe banda magnetică a cardului, însoțit de o minicameră video sau de o tastatură modificată pentru captarea codului PIN, iar phishing-ul se manifestă sub două forme principale, respectiv crearea unui cont de poștă electronică fictiv sau simularea unui cont real și trimiterea unu mesaj de natură să determine utilizatorul să acceseze un link ce îl va redirecționa către o pagină web falsă, aflată sub controlul atacatorilor cibernetici ori realizarea unei pagini web contrafăcute, care se aseamănă cu pagina originală, sau modificarea unei pagini reale, în așa manieră încât să creeze un sentiment fals de siguranță utilizatorului care, fiind de bună-credință, introduce anumite date de interes ce vor fi folosite în mod ilegal de atacatori, în scopuri frauduloase^[2].

După natura contului bancar asociat, cardurile se împart în carduri de debit, carduri de credit, carduri virtuale, carduri preplătite și e-portofele, iar după suportul de stocare a datelor, acestea se împart în carduri cu cip, carduri cu bandă magnetică și carduri hibrid, cu bandă magnetică și cip^[3].

În legislația bancară, cardul este definit ca un dispozitiv fizic sau un instrument virtual prin intermediul căruia deținătorul poate efectua operațiuni de plată^[4].

E-portofelul sau portofelul de monedă electronică este un card cu cip sau hibrid, cu sau fără cont bancar asociat, care este încărcat cu fonduri la cumpărare în limita impusă de emitent, ulterior putând fi reîncărcat. Acesta este folosit pentru efectuarea de plăți, iar dacă este asociat un cont bancar de debit funcționează la fel ca un card de debit – este o variantă a cardului preplătit.

Portofelul de monedă electronică se prezintă sub forma unui card fizic, dar și sub forma unei aplicații sau unei pagini web. Acesta nu trebuie confundat cu portofelul cripto sau cu portofelul european pentru identitatea digitală, propus ca instrument de plată în tranzacțiile cu monedă euro digitală^[5].

Portofelul cripto are în principal o existență virtuală și un sistem de securizare mult mai complex decât portofelul de monedă electronică, fiind bazat pe cheie criptografice (publice și private) și un program de rețea; de asemenea, toate tranzacțiile cu criptomonede sunt verificate și înregistrate cronologic într-un registru digital public („blockchain”). În operațiunile cu criptomonede pot fi folosite și portofele fizice, ca cele hardware (dispozitiv autonom conectat la alte dispozitive online) sau cele de hârtie (funcționează prin intermediul unui cod QR).

În prezent, numeroase platforme financiare, care gestionează tranzacții cu portofele online, au introdus în oferta lor și cardul de debit atașat, destinat retragerii de numerar și plăților la comercianți.

În cazul monedei euro digitale, s-a optat tot pentru un portofel virtual de stocare a monedei și de tranzacționare, care probabil va avea atașat un card bancar de debit, după cum reiese din materialele explicative ale Băncii Centrale Europene^[6], moneda euro digitală fiind oricând convertibilă în numerar sau monedă electronică.

2. Sinteza deciziei

Decizia nr. 15/2013 a Înaltei Curți de Casație și Justiție^[7] rezolvă recursul în interesul legii formulat pentru interpretarea și aplicarea unitară a dispozițiilor privind accesul fără drept la un sistem informatic, falsificarea instrumentelor de plată electronică și efectuarea de operațiuni financiare în mod fraudulos, în următoarele ipoteze practice: accesul prin montarea la bancomat a dispozitivelor de citire a benzii magnetice a cardului autentic și a codului PIN aferent acestuia și accesul prin folosirea la bancomat a cardului falsificat ori chiar a celui autentic, fără acordul titularului său.

În ce privește montarea la bancomat a unor dispozitive de citire a datelor de pe banda magnetică a cardului și a codului PIN aferent, ca skimmerele, minivideocamerele și dispozitivele tip tastatură falsă, s-a constatat că această operațiune se realizează în exteriorul bancomatului, iar dispozitivele de citire sau tastatura falsă nu intră în conexiune directă cu sistemului informatic al băncii, în așa fel încât să determine o prelucrare automată a datelor prin rularea unor programe informatice, motiv pentru care infracțiunea de acces fără drept la un sistem informatic ar fi lipsită de elementul său material. Totuși, s-a reținut că deținerea acestor dispozitive de citire face parte din categoria actelor pregătitoare ale infracțiunii de acces fără drept la un sistem informatic, care prin ele însele prezintă un grad ridicat de pericol social, fiind incriminate de lege.

În ce privește folosirea la bancomat a unui card falsificat sau a unui card autentic, fără acordul titularului, instanța supremă a statuat că, în cazul retragerii de numerar de la bancomat, efectuarea de operațiuni financiare în mod fraudulos este incriminată indiferent dacă este folosit un instrument de plată electronică original sau un astfel de instrument falsificat, motivându-se că textul incriminator se referă la utilizarea unui instrument de plată electronică, în general, fără să facă distincție, iar sfera de aplicare a normei de incriminare cuprinde și efectuarea de operațiuni financiare prin simpla folosire a datelor de identificare ce permit utilizarea instrumentului de plată electronică, date care pot fi obținute fraudulos de pe un instrument de plată original și imprimate ulterior pe un instrument de plată falsificat.

Tot astfel, s-a statuat că prin folosirea unui card autentic la bancomat, fără consimțământul titularului, se accesează fără drept un sistem informatic, în scopul de a obține date informatice, prin încălcarea măsurilor de securitate, iar dacă ulterior se fac și retrageri de numerar, atunci infracțiunea de acces fără drept la un sistem informatic va intra în concurs ideal cu infracțiunea de efectuare de operațiuni financiare în mod fraudulos – prin folosirea tastaturii bancomatului se transmit anumite solicitări unității centrale de prelucrare a sistemului, care îî vor permite utilizatorului nelegitim al cardului să acceseze date informatice din sistemul bancar, fiind creată o vulnerabilitate pentru integritatea acestor date.

Referitor la folosirea unui card falsificat la bancomat, pentru retragerea de numerar, Înalta Curte a apreciat că această faptă îndeplinește elementele constitutive ale infracțiunii de efectuare de operațiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv prin folosirea datelor de identificare ce permit utilizarea acestuia, fără consimțământul titularului, în concurs ideal cu infracțiunea de acces fără drept la un sistem informatic, în scopul obținerii unor date informatice, cu încălcarea măsurilor de securitate, și cu infracțiunea de falsificare de instrumente de plată electronică, în modalitatea punerii în circulație a unor astfel de instrumente. S-a motivat în sensul că retragerea de numerar constituie un mod de punere în circulație a unui instrument de plată electronică, prin invocarea interpretării dată de instanța supremă prin Decizia nr. 5288/2006 și a funcțiilor cardului, prevăzute de Regulamentul BNR nr. 6/2006, că retragerea de numerar prin utilizarea unui instrument de plată electronică falsificat, pe care sunt imprimate datele de identificare ale unui instrument de plată electronică original, este incriminată în aceeași măsură ca retragerea de numerar prin utilizarea unui instrument de plată electronică original, fiind îndeplinit elementul material al infracțiunii de efectuare de operațiuni financiare în mod fraudulos prin folosirea unor date de identificare ce permit utilizarea unui instrument de plată electronică, fără consimțământul titularului, și că prin utilizarea la bancomat a unui card inscripționat cu datele de pe un card autentic, oricare ar fi modul de colectare a acestor date, se accesează sistemul informatic al băncii, fiind periclitată siguranța datelor. Concursul ideal de infracțiuni a fost motivat prin împrejurarea că infracțiunea de acces fără drept la un sistem informatic se epuizează în momentul retragerii de numerar, toate cele trei infracțiuni fiind comise printr-o singură acțiune, respectiv retragerea de numerar.

3. Analiza practică

Demersul nostru are în vedere încadrarea juridică actuală a operațiunilor financiare efectuate prin utilizarea unui portofel electronic falsificat, inclusiv prin raportare la recursul în interesul legii privind accesul la un sistem informatic prin utilizarea la bancomat a unui card falsificat, soluționat prin Decizia nr. 15/2013 de Înalta Curte de Casație și Justiție.

În sfera noțiunii de portofel electronic sunt incluse atât portofelul pentru monede electronice, cât și portofelul pentru criptomonede, în forma lor fizică sau virtuală. Cardul bancar de debit, dispozitivul autonom tip portofel hardware, precum și portofelul de hârtie prevăzut cu un cod QR, pot constitui reprezentarea fizică a unui portofel electronic, acestea fiind apte să stocheze efectiv monede electronice sau criptomonede. Portofelul virtual are la bază un program informatic, iar aplicațiile de pe telefonul mobil sau calculator, precum și site-urile web de tipul platformelor de tranzacționare, constituie numai o interfață digitală (partea vizibilă a instrumentului de plată imaterial), în acest caz, monedele electronice sau criptomonedele fiind stocate în memoria calculatorului sau telefonului personal ori pe un server extern; portofelele online pot avea atașat un card bancar sau nebancar, care însă nu poate fi calificat drept portofel electronic fizic, întrucât monedele electronice sau criptomonedele nu sunt stocate pe banda magnetică sau în cipul cardului atașat.

Având în vedere obiectul recursului în interesul legii, apreciem că numai portofelul electronic sub forma cardului bancar ar putea fi utilizat la un bancomat, în starea sa autentică sau falsificat; acesta ar avea caracteristicile necesare pentru accesarea sistemului informatic al băncii prin intermediul unui bancomat (ATM).

La momentul pronunțării deciziei, infracțiunea ce făcea obiectul recursului și celelalte infracțiuni concurente, respectiv accesul fără drept la un sistem informatic, efectuarea de operațiuni financiare în mod fraudulos, falsificarea instrumentelor de plată electronică și punerea în circulație a instrumentelor de plată electronică falsificate, erau reglementate de legi speciale (Legea nr. 161/2003^[8], Legea nr. 365/2002^[9]), ulterior, fiind preluate în noul Codul penal^[10] (art. 250, 311, 313, 360). În cazul efectuării de operațiuni financiare în mod faudulos și a falsificării instrumentelor de plată, noțiunea de instrument de plată electronică a fost înlocuită cu cea de instrument de plată fără numerar, iar în cazul accesului fără drept la un sistem informatic, denumirea marginală a fost modificată, infracțiunea fiind denumită „accesul ilegal la un sistem informatic” – totuși sintagma „fără drept” a fost păstrată în conținutul normativ al infracțiunii. De asemenea, punerea în circulație a instrumentelor de plată electronică falsificate are drept corespondent, în reglementarea actuală, infracțiunea de punere în circulație de valori falsificate, inclusiv instrumente de plată fără numerar, cum sunt instrumentele de plată electronică.

Conform legii penale în vigoare, ținând cont și de Decizia nr. 15/2013 a instanței supreme, ce are caracter obligatoriu, portofelul electronic în varianta cardului fizic este un instrument de plată fără numerar material, iar retragerea de numerar prin utilizarea la bancomat a unui astfel de portofel electronic, falsificat prin imprimarea datelor de identificare ale unui portofel autentic, întrunește elementele constitutive ale infracțiunii de efectuare de operațiuni financiare în mod fraudulos prin folosirea unui instrument de plată fără numerar și a datelor de identificare ce permit utilizarea acestuia [art. 250 alin. (1) din Codul penal], în concurs ideal cu infracțiunea de acces ilegal la un sistem informatic, în variantele sale agravate prevăzute de art. 360 alin. (2) și (3) din Codul penal (în scopul obținerii de date informatice, când accesul este restricționat sau interzis) și cu infracțiunea de punere în circulație a unui instrument de plată fără numerar falsificat [art. 313 alin. (1) din Codul penal].

Totuși, în situația utilizării la bancomat a unui card bancar falsificat, inclusiv a unui card tip portofel electronic, această decizie este criticabilă din perspectiva reținerii modalității de efectuare de operațiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, fără consimțământul titularului, întrucât în această ipoteză nu se poate discuta despre existența unui instrument de plată veritabil cu un titular legitim, care este în măsură să-și exprime consimțământul valabil cu privire la utilizarea instrumentului, ci de folosirea unor date de identificare de pe un instrument de plată autentic în vederea confecționării unui instrument de plată falsificat prin imprimarea acestor date pe suprafața noului suport; numai consimțământul titularului instrumentului de plată autentic este relevant în ipoteza analizată, cu privire la datele de identificare citite și stocate în mod fraudulos de către falsificator, și nu consimțământul celui care deține instrumentul de plată falsificat, fiind o cerință absurdă. În acest sens, apreciem că art. 250 alin. (1) din Codul penal se referă la folosirea unui instrument de plată autentic și a unor date informatice ce permit utilizarea acestuia, ceea ce nu exclude posibilitatea efectuării de operațiuni financiare cu un instrument de plată fără numerar, falsificat prin inscripționarea datelor de identificare colectate în mod fraudulos, fără consimțământul titularului, de pe banda magnetică a instrumentului de plată autentic.

Așadar, în opinia noastră, încadrarea corectă a faptei de retragere de numerar prin utilizarea la bancomat a unui card bancar falsificat, ar fi fost efectuarea de operațiuni financiare în mod fraudulos exclusiv prin utilizarea datelor de identificare care permit folosirea unui instrument de plată fără numerar, în concurs ideal cu celelalte infracțiuni menționate în decizia instanței de soluționare a recursului în interesul legii.

În cazul transferului de monede electronice sau criptomonede prin utilizarea datelor de identificare aferente unui portofel electronic virtual, care au fost obținute prin clonarea paginii web a platformei de tranzacționare, considerăm că trebuie să se rețină efectuarea de operațiuni financiare în mod fraudulos prin utilizarea unui instrument de plată fără numerar, inclusiv a datelor de identificare ce permit utilizarea acestuia [art. 250 alin. (1) din Codul penal] în concurs real cu accesul ilegal într-un sistem informatic în scopul de a obține date informatice, când accesul este restricționat sau interzis [art. 360 alin. (1), (2) și (3) din Codul penal]; dacă utilizatorul datelor de identificare captate este și cel care a realizat acțiunile de introducere de date informatice, care au avut ca rezultat date necorespunzătoare adevărului, respectiv pagina web clonată, în scopul de a fi utilizate în vederea producerii de consecințe juridice, respectiv afectarea dreptului de proprietate intelectuală a dezvoltatorului sau celui care deține pagina web (site-ul), atunci se va reține și infracțiunea de fals informatic prin introducerea de date informatice (art. 325 din Codul penal). De această dată, operațiunile financiare sunt efectuate chiar prin utilizarea instrumentului de plată original, fără consimțământul titularului, însă datele de identificare folosite au fost culese prin falsificarea informatică (imitare digitală) a instrumentului de plată autentic; în acest caz, se poate reține efectuarea de operațiuni financiare în mod fraudulos în ambele modalități normative, întrucât transferul de valori monetare este realizat prin intermediul unui instrument de plată veritabil ce aparține unui titular legitim, care însă nu și-a exprimat consimțământul. Cu privire la ipoteza de față, nu se mai aplică Decizia nr. 15/2013 a Înaltei Curți, ca și soluție juridică pentru încadrarea faptelor, însă pot fi luate în seamă anumite principii statuate în decizie.

4. Concluzii

Decizia nr. 15/2013 a Înaltei Curți de Casație și Justiție, care soluționează un recurs în interesul legii formulat pentru interpretarea și aplicarea unitară a dispozițiilor privind accesul fără drept la un sistem informatic, falsificarea instrumentelor de plată electronică și efectuarea de operațiuni financiare în mod fraudulos, în diverse ipoteze practice, cuprinde printre altele și dezlegări ce vizează efectuarea de operațiuni financiare prin utilizarea la bancomat a unui card bancar falsificat.

Portofelul electronic se poate prezenta sub forma unui card fizic preplătit, dar și sub forma unei aplicații sau pagini web. Decizia analizată este aplicabilă retragerii de numerar prin utilizarea la bancomat a unui card fizic falsificat, inclusiv a unui portofel electronic.

Considerăm că încadrarea stabilită de Înalta Curte, în ipoteza arătată, este criticabilă sub aspectul reținerii efectuării de operațiuni financiare în mod fraudulos prin utilizarea unui instrument de plată fără numerar, inclusiv a datelor de identificare ce permit folosirea acestuia, fiind corectă doar modalitatea privitoare la utilizarea datelor de identificare ce permit folosirea instrumentului de plată, întrucât legea se referă la acele instrumente de plată autentice, atâta vreme cât cere și consimțământul titularului, iar instrumentul de plată falsificat nu poate avea un titular legitim care să exprime un consimțământ relevant într-un asemenea caz; atunci când retragerea de numerar se realizează prin utilizarea la bancomat a unui card bancar falsificat prin inscripționarea datelor de pe cardul bancar autentic, apreciem că nu se poate reține decât efectuarea de operațiuni financiare în mod fraudulos prin utilizarea datelor de identificare care permit folosirea instrumentului de plată fără numerar, în concurs ideal cu accesul ilegal la un sistem informatic și punerea în circulație de instrumente de plată fără numerar falsificate.

Bibliografie

1. Dobrinoiu Vasile, Noul Cod penal comentat. Partea specială, Ediția a III-a, Editura Universul Juridic, București, 2016.

2. Vasilache Dan, Plăți electronice. O introducere, Editura Rosetti Educational, București, 2004.

3. Banca Națională a României, Raportul anual 2022, https://www.bnr.ro/Publication Documents.aspx?icid =3043 (accesat la 23.04.2024).

4. European Central Bank, Payments statistics: first half of 2023, https://www. ecb.europa.eu/press/stats/paysec/html/ecb.pis2023~b28d791ed8.en.html (accesat la 23.04.2024).

5. European Central Bank, Study on the payment attitudes of consumers in the euro area (SPACE), 2022, doi:10.2866/85233 (accesat la 23.04.2024).

6. European Central Bank, Digital Euro: The future of money, 2024, https://www.ecb. europa.eu/press/key/date/2024/html/ecb.sp240417~23a5e6045e.en.pdf?956366a53249ccb681d79ea7f8bb3878 (accesat la 28.04.2024).

7. Legea nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, https://legislatie.just.ro/Public/DetaliiDocument/267752 (versiune digitală, accesat la 29.04.2024).

8. Legea nr. 286 din 17 iulie 2009 privind Codul penal, legislatie.just.ro/Public/Detalii DocumentAfis/109 854 (versiune digitală, accesat la 29.04.2024).

9. Legea nr. 365 din 7 iunie 2002 privind comerțul electronic, https://legislatie.just.ro/Public/ DetaliiDocument/279868 (versiune digitală, accesat la 29.04.2024).

10. Propunere de Regulament al Parlamentului European și al Consiliului privind instituirea monedei euro digitale (COM/2023/369 final), https://eur-lex.europa.eu/resource.html?uri=cellar:6f2f669f-1686-11ee-806b-01aa75ed71a1.0015.02/DOC_1&format=PDF (versiune digitală, accesat la 24.04.2024).

11. Regulamentul BNR nr. 3 din 1 august 2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată, legislatie.just.ro/Public/DetaliiDocument/222889 (versiune digitală, accesat la 24.04.2024).

12. Decizia nr. 15 din 14 octombrie 2013 a Înaltei Curți de Casație și Justiție, în www.iccj.ro (variantă digitală, accesat la 28.04.2024).

13. https://www.ecb.europa.eu/euro/digital_euro/html/index.en.html (accesat la 28.04.2024).