George Zlati, avocat: Accesarea telefoanelor, a Facebook-ului partenerilor sau foștilor parteneri de viață e un fenomen răspândit în România, deși e o faptă penală

18 04. 2024
George Zlati

George Zlati este membru fondator Lexure și avocat de drept penal cu o experiență de peste un deceniu în criminalitatea informatică. Este lector universitar, doctor în domeniul criminalității informatice și autor al primului Tratat de criminalitate informatică din România. Începând cu anul 2023, George Zlati este colaborator extern al Institutului Național al Magistraturii, pentru pregătirea continuă a magistraților la disciplina criminalitate informatică.

  • Care sunt cele mai frecvente tipuri de infracțiuni informatice întâlnite în practica dumneavoastră, dar și cele mai grave? Ce pedepse au fost acordate?

Este dificil de oferit un răspuns, deoarece inclusiv rapoartele de activitate ale DIICOT oferă mai degrabă o perspectivă generală cu privire la fenomenul criminalității informatice din România.

Pentru a încerca totuși să ofer un răspuns concret, cred că în topul celor mai frecvent întâlnite infracțiuni ale gulerelor albe ar intra: accesul ilegal la un sistem informatic și efectuarea de operațiuni financiare în mod fraudulos. Infracțiunea de fals informatic este tot mai des întâlnită, însă acest lucru se datorează în principal faptului că abia în anul 2021 Înalta Curte de Casație și Justiție a stabilit cu titlu obligatoriu faptul că uzurparea de identitate în mediul online poate intra sub incidența acestei infracțiuni. Ar mai putea intra în acest tip infracțiunea de pornografie infantilă, însă nu mă voi referi la ea cu această ocazie.

Accesul ilegal la un sistem informatic este frecvent întâlnit în practică, deoarece include și comportamente considerate de mulți ca fiind fără consecințe și care nu necesită competențe tehnice avansate. Astfel, accesarea laptopurilor, ori a telefoanelor mobile, a conturilor de email, Facebook etc., aparținând partenerilor de viață sau foștilor parteneri de viață, reprezintă un fenomen deosebit de răspândit în România. Oamenii ar trebui să înțeleagă că o astfel de faptă, săvârșită fără drept, se poate sancționa cu închisoarea de la doi la șapte ani.

În sectorul bancar, această infracțiune este de multe ori săvârșită în vederea înlesnirii unei alte infracțiuni. De exemplu, în vederea retragerii frauduloase de numerar, prin folosirea unui card bancar clonat sau obținut prin furt, este necesară întotdeauna accesarea bancomatului.

Din punct de vedere al gravității, infracțiunile informatice ar putea fi calificate ca fiind de periculozitate medie. Afirm acest lucru având în vedere că pedeapsa maximă este de șapte ani – mă refer aici, cu titlu de exemplu, la frauda informatică, efectuarea de operațiuni financiare în mod fraudulos, accesul ilegal la un sistem informatic în formă agravată sau la perturbarea funcționării unui sistem informatic. În cazul unei fraude informatice sau efectuare de operațiuni financiare în mod fraudulos, dacă prejudiciul este de peste 2 milioane de lei, limitele de pedeapsă se majorează cu jumătate.

Totuși, chiar dacă o pedeapsă cu închisoarea de șapte ani este cât se poate de semnificativă, infracțiunile informatice au un regim sancționator mult atenuat în raport cu alte infracțiuni din sfera criminalității gulerelor albe. În cazul spălării de bani putem discuta despre o pedeapsă cu închisoarea de 10 ani, în timp ce evaziunea fiscală vorbim de până la 15 ani.

Aș preciza inclusiv faptul că infracțiunile informatice vin uneori „la pachet” cu spălarea de bani, evaziunea fiscală sau fraude cu privire la bugetul UE. Alteori, infracțiunile informatice sunt doar modalitatea prin care făptuitorii înlesnesc sau ascund săvârșirea unei alte infracțiuni, cum ar fi evaziunea fiscală sau delapidarea. Astfel, de multe ori, făptuitorii comit falsuri informatice pentru a emite facturi electronice cu privire la operațiuni fictive sau contrafac documente electronice justificative pentru a ascunde o delapidare. Tocmai de aceea, în cadrul Lexure există avocați deosebit de specializați inclusiv pe aceste tipuri de conduite infracționale, uneori fiind necesară o echipă multidisciplinară care să acopere multiple nișe ale dreptului penal.

  • Ce tendințe ați observat în 2023 și ce previzionati pentru 2024?

Din experiența mea, cred că anul 2023 a fost dedicat fraudelor investiționale și fraudelor online având ca obiect monede virtuale (de exemplu, bitcoin) sau alte criptoactive, cum ar fi NFT-urile. Din păcate, în 2023, am primit zeci sau sute de telefoane de la victime care au pierdut de la mii, până la zeci sau sute de mii de euro din cauza acestor fraude. Lăcomia, naivitatea și lipsa de informare i-a făcut pe mulți să creadă în numeroasele anunțuri frauduloase promovate pe Internet, ajungând victimele unor fraude devenite deja clasice.

Tocmai datorită complexității sale particulare și a anonimatului sporit oferit de tehnologia blockchain, făptuitorii tind în prezent să migreze de la activitățile infracționale tradiționale în sistemul bancar către conduite infracționale în piața criptoactivelor.

Am observat, de asemenea, un număr semnificativ de fraude unde atacatorul a uzurpat identitatea unei companii și a emis în numele acesteia facturi electronice contrafăcute unor parteneri comerciali, fiind cauzate pagube de deosebit de însemnate. În aceste cazuri discutăm despre multiple infracțiuni, de la înșelăciunea tradițională, până la acces ilegal la un sistem informatic sau fals informatic.

În anul 2024, cred că vă exploda fenomenul fraudelor cu privire la monedele virtuale sau alte criptoactive. Datorită faptului că bitcoin a depășit în acest an maximul istoric și se preconizează o creștere exponențială a capitalizării totale a pieței criptoactivelor, nu putem ignora următoarele consecințe directe: adopția tehnologiei blockchain și a monedelor virtuale ori a altor criptoactive va fi una tot mai accelerată; acest lucru va conduce automat la intrarea pe piața criptoactivelor a unor persoane care nu înțeleg suficient riscurile la care se pot supune; făptuitorii vor profita de acest context pentru a obține în mod fraudulos foloase patrimoniale.

Nu în ultimul rând, cred că va crește în amploare fenomenul furtului de identitate în mediul online, îndeosebi având în vedere ușurința cu care se poate folosi inteligența artificială în procesul de deepfake. Din păcate, faptul că mulți dintre noi distribuim pe internet conținut audio-video cu propria persoană nu se transpune decât într-un ajutor acordat făptuitorilor. Aceștia se pot folosi de acest conținut pentru a antrena un model de inteligență artificială, putând ulterior să ne fure identitatea.

  • Cum puteți defini conceptul de probe digitale și care este importanța lor în investigațiile privind criminalitatea informatică?

Nu îmi propun să ofer o definiție juridică pentru acest concept. Totuși, pentru a se înțelege cât mai bine, o probă digitală este orice conținut, informație despre conținut sau urmă asociată cu un anumit conținut sau cu o anumită conduită care poate fi identificată într-un sistem informatic sau într-un mijloc de stocare a datelor informatice. De exemplu, data la care a fost creat sau modificat un anumit fișier reprezintă o probă digitală. O adresă IP poate prezenta și ea o relevanță deosebită în vederea localizării și identificării făptuitorului. Orice date de conținut sau tip metadata poate avea valoare probatorie într-un anumit context dat.

Infracțiunile informatice nu se probează doar prin intermediul probelor digitale. Totuși, acestea sunt deosebit de relevante, având în vedere că orice interacțiune logică cu un sistem informatic poate lăsa urme digitale. Mai mult decât atât, probele digitale se pot dovedi esențiale pentru probarea unei infracțiuni tradiționale, ce nu are legătură cu criminalitatea informatică – de exemplu, evaziune fiscală, corupție, delapidare, fraudă cu fonduri europene etc. Tocmai de aceea, eu mă implic deseori în dosare complexe ce nu intră în sfera criminalității informatice, fiind necesare cunoștințe de specialitate în ceea ce privește modul în care se evaluează probele digitale.

Cert este faptul că, atunci când discutăm despre probe digitale nu putem ignora următoarele aspecte: organele de urmărire penală trebuie să cunoască ce probe digitale pot să fie identificate în raport cu fiecare infracțiune în parte și modalitatea în care se poate proceda la colectarea acestora. De asemenea, victimele trebuie să cunoască ce probe digitale trebuie să conserve pentru a dovedi infracțiunea și cum se poate realiza această conservare fără a afecta legalitatea sau fiabilitatea probei digitale; persoanele suspectate de săvârșirea unei infracțiuni trebuie să își cunoască drepturile în legătură cu activitatea de cercetare, identificare și strângere de probe digitale.

În acest context, rolul avocatului se poate dovedi esențial iar pregătirea de specialitate a acestuia poate face de multe ori diferența. Nu în ultimul rând, lipsa specializării avocatului poate avea repercusiuni grave în ceea ce privește respectarea drepturilor persoanei acuzate de săvârșirea unei infracțiuni informatice. Dacă nu cunoști cum trebuie să aibă loc activitatea de cercetare, identificare și colectare de probe digitale, este imposibil să observi vicii de legalitate. Iar, din păcate, aceste vicii de legalitate există în multe situații.

  • Cum evaluați nivelul de pregătire al autorităților și al organelor de aplicare a legii în ceea ce privește gestionarea cazurilor de criminalitate informatică?

Răspunsul diplomatic este că autoritățile și organele de aplicare a legii au făcut progrese semnificative în prevenirea și combaterea criminalității informatice. Există cu siguranță o îmbunătățire reală la nivel de infrastructură, acest lucru se poate observa cu ușurință de către orice participant la o percheziție informatică sau de către orice persoană vizată de o măsură de supraveghere tehnică. Polițiștii, procurorii sau judecători au mult mai multe oportunități de a lua parte la cursuri de pregătire în domeniul criminalității informatice. Inclusiv eu particip ocazional la cursuri pentru pregătirea judecătorilor în domeniul criminalității informatice, existând un interes evident în ceea ce privește aprofundarea cunoștințelor de specialitate. Specialiștii în domeniul percheziției informatice au beneficiat și beneficiază în continuare de pregătire de specialitate, cu privire la programe informatice și echipamente hardware de ultimă generație. Cred că avocații fac parte dintr-o categorie defavorizată, deoarece pregătirea de specialitate depinde în mod direct de resursele personale – bani și timp – pe care sunt dispuși să le aloce.

Făcând o analiză aprofundată, cred că ar trebui formulat următorul răspuns – la nivel micro, există oameni excepțional de bine pregătiți, fie că discutăm aici despre avocați, polițiști, specialiști în domeniul informatic, procurori sau judecători. La nivel macro, nu suntem unde ar trebui să fim.

La prima vedere, despre criminalitatea informatică se discută în România de aproximativ 20 de ani. În realitate însă, am început să dezbatem cu privire la criminalitatea informatică abia în ultimii 10 ani, dar cred că suntem încă într-o fază deosebit de incipientă. Gândiți-vă că în România infracțiunile informatice au fost reglementate undeva în anii 2002-2003. În schimb, în SUA, infracțiunile informatice au fost reglementate începând cu anul 1986, prin Computer Fraud and Abuse Act. Deci da, suntem cu aproximativ 20 de ani în spatele altor sisteme de drept.

Ar fi ipocrit să nu realizăm că nu avem încă experiența necesară pentru a pretinde că stăpânim cu adevărat un domeniu deosebit de complex, ce îmbină dreptul cu această tehnologie a informației aflată într-o continuă dezvoltare. Eu sunt de părere că mai avem mult de învățat, motiv pentru care mi-am dedicat ultimii 15 ani din viață pentru aprofundarea acestui subiect. Am scris articole și cărți. Am participat în calitate de speaker la zeci de conferințe naționale și internaționale. Am pregătit studenți, avocați, procurori și judecători. Și cu toate acestea, simt că am mai multe întrebări decât răspunsuri. Problema în România este că de multe ori, profesioniștii dreptului au mai multe răspunsuri decât întrebări. Iar, uneori, răspunsurile sunt atât de categorice, încât orice întrebare nu poate fi decât una retorică. Acesta nu este un răspuns diplomatic, ci o introspecție care poate deranja.

  • Cât de bine este armonizată legislaţia românească cu directivele europene din domeniu?

Este armonizată excepțional, având în vedere că legiuitorul român – spre deosebire de cel german, spaniol, italian etc. – copiază aproape cuvânt cu cuvânt orice instrument juridic european sau internațional. Problema este că tehnologia evoluează atât de rapid, iar conduitele infracționale continuă să se metamorfozeze de o asemenea manieră încât directivele transpuse în dreptul intern sunt cu mult depășite de vremuri. De exemplu, cel mai important instrument juridic la nivel internațional este Convenția privind criminalitatea informatică din anul 2001. Adică, un instrument juridic vechi de mai bine de 20 de ani, care la rândul său a fost inspirat dintr-o recomandare a Consiliului Europei din anul 1990.

Este adevărat că între timp au mai intrat în vigoare câteva directive relevante pentru criminalitatea informatică, dar acestea fie preiau texte din Convenția privind criminalitatea informatică, fie sunt deja depășite de evoluția tehnologică.

Problema nu este însă legislația românească în materia criminalității informatice, deoarece aceasta este la un nivel relativ acceptabil. Principala problema este legată de modul în care această legislație este interpretată și aplicată. Avem de asemenea dificultăți majore în ceea ce privește cooperarea judiciară în materie penală, aceasta fiind însă o problemă sistemică la nivel European și internațional. Din păcate, până în momentul de față nu există instrumentele necesare pentru a acționa rapid în contextul unor dosare de criminalitate informatică cu caracter transfrontalier.

  • Care sunt principalele provocări întâmpinate de clienții dumneavoastră în domeniul securității cibernetice și cum îi puteți asista în depășirea acestora?

Securitatea cibernetică este un domeniu deosebit de complex. Chiar dacă avem impresia că serviciile sau infrastructura pe care o folosim în viața de zi cu zi este sigură, realitatea este că securitatea este de cele mai multe ori ficțiune. Cu cât infrastructura pe care o folosim este mai complexă, cu atât riscurile din perspectiva securității cibernetice cresc.

Eu am o strânsă colaborare cu persoane fizice sau juridice ce prestează servicii în sfera securității cibernetice și ofer de multe ori consultanță în această materie. Dacă înțelegi trendurile existente în domeniul criminalității informatice poți oferi consultanță în vederea prevenirii sau diminuării anumitor riscuri. De exemplu, existența unor politici interne cu privire la accesarea sau utilizarea conturilor de către angajați sau instruirea acestora cu privire la identificarea unor „red flags” în corespondența electronică poate face diferența între existența sau inexistența unui incident de securitate cibernetică.

De asemenea, utilizarea unor servicii de pentesting (penetration testing) se poate dovedi importantă în acest context. Astfel, atacuri simple precum cele de tip SQL injection pot fi evitate cu ușurință dacă se apelează la servicii specializate.

  • Ce soluții inovatoare puteți oferi pentru a ajuta clienții să rămână în fața amenințărilor cibernetice în continuă evoluție?

Nu știu dacă putem discuta despre soluții inovatoare pentru a combate amenințările cibernetice actuale și viitoare. Totuși, îmi permit să ofer o serie de sfaturi care ar putea preveni anumite conduite infracționale.

În ceea ce privește un nivel securitate elementar, cred că orice persoană ar trebui să folosească un serviciu de tip VPN (virtual private network) pentru a evita o eventuală interceptare de date. De asemenea, orice cont ar trebui securizat prin cel puțin doi factor de autentificare (2FA), fiind totuși de evitat primirea codului unic prin SMS. În cazul codurilor primite prin SMS putem discuta despre atacuri informatice de tip SIM swap, care pot rezulta în eludarea acestei măsuri de securitate. Nu în ultimul rând, toată lumea ar trebui să înlocuiască conceptul de password cu cel de passphrase. Cu alte cuvinte, în loc de „Parolă123456” ar trebui folosită o sintagmă precum „Filmul meu preferat este Forest Gump!”.

Raportat la măsuri de securitate mai avansate aș putea menționa criptografia. Cred că orice persoană ar trebui să își cripteze laptopul, deoarece sustragerea acestuia poate avea consecințe majore. În schimb, dacă laptopul este criptat, persoana care a intrat în posesia acestuia nu va avea acces la date și nu va putea să îl folosească ca „poartă de acces” la conturile victimei în vederea înlesnirii altor conduite infracționale.

Răspunsul la această întrebare este însă legat de întrebarea precedentă, discuția fiind una deosebit de complexă. La fel de bine am putea discuta despre cum poți verifica autenticitatea unei corespondențe electronice, în vederea identificării unei uzurpări de identitate. De asemenea, aș putea recomanda ca orice persoană să fie atentă la link-urile prescurtate (short links) sau la codurile QR, deoarece acestea te pot direcționa către o pagină web clonată sau cu conținut ilicit.

  • Ce fel de ţinte targetează atacatorii? (IMM-uri, companii corporate, anumite domenii de activitate, etc.)

Nimeni nu este în siguranță. Diferența constă doar în tipologia atacului informatic sau a conduitei infracționale. Astfel, corporațiile și instituțiile publice devin preponderent ținta unor atacuri tip ransomware sau denial-of-service. Toate companiile sau instituțiile publice sunt vizate însă de atacuri menite să exploateze breșe de securitate în vederea obținerii de date cu caracter personal sau informații nedestinate publicității, fie în vederea comercializării ulterioare pe piața neagră, fie pentru șantajarea acestora în scopul obținerii unui folos patrimonial.

Pentru sectorul bancar discutăm preponderent despre conduite tip phishing, clonarea paginilor web, contrafacerea de instrumente de plată electronică, efectuarea de operațiuni financiare în mod fraudulos, etc. În schimb, în sectorul comerțului electronic observ în ultima perioadă o creștere exponențială a fraudelor constând în rambursarea frauduloasă a unor plăți efectuate prin intermediul cardurilor de debit sau folosirea frauduloasă a procedurii chargeback. Nu în ultimul rând, în relațiile comerciale dintre două companii, uzurparea de identitate prin conduite tip email spoofing și contrafacerea facturilor electronice reprezintă un trend îngrijorător începând cu anul 2022.

În ultimii ani am asistat atât făptuitori, cât și victime vizate de aceste tipuri de conduite infracționale.

  • Au apelat la serviciile dumneavoastră inclusiv companii de stat? Ce experiență aveți în colaborarea cu instituții guvernamentale și cum ați contribuit la îmbunătățirea securității cibernetice în acest sector?

Din motive evidente, nu pot răspunde la această întrebare. Pot totuși trage un semnal de alarmă cu privire la o problema sistemică care poate exista la nivelul acestor entități juridice – indiferent că ne raportăm la România sau alte state membre. De multe ori, în cazul acestora discutăm despre o infrastructură deosebit de complexă prin intermediul căreia se furnizează servicii esențiale și se procesează o cantitate semnificativă de date cu caracter personal. Indiferent de calitatea dezvoltării și implementării unei asemenea infrastructuri, mentenanța ori gestionarea necorespunzătoare pe termen lung generează riscul apariției unor incidente de securitate cibernetică. Factorii decizionali ar trebui să înțeleagă faptul că securitatea cibernetică este costisitoare atunci când discutăm despre prevenție, dar prevenția reprezintă de cele mai multe ori un câștig semnificativ pe termen lung, având în vedere că incidentele de securitate cibernetică pot avea consecințe deosebit de grave.

  • Cum pot ajuta noile tehnologii, cum ar fi inteligența artificială, în lupta împotriva criminalității informatice?

Tehnologia este folosită atât de către autorități, cât și de către făptuitori. Spre exemplu, făptuitorii folosesc criptografia sau steganografia ca metodă anti-forensic, în încercarea de a împiedica autoritățile să dobândească acces la conținutul unor probe digitale. În schimb, autoritățile folosesc tehnologia pentru a identifica cu ușurință materiale pornografice cu minori la momentul efectuării percheziției informatice, fără a fi necesară o verificare individuală a fișierelor stocate pe un anumit dispozitiv. De asemenea, pentru a recupera date informatice aparent șterse de către făptuitori sau pentru a eluda măsurile de securitate ale telefoanelor mobile aparținând făptuitorilor, în vederea cercetării conținutului acestora, autoritățile au la dispoziție programe informatice specializate.

Criptografia reprezintă în continuare un impediment major în ceea ce privește posibilitatea autorităților de a intercepta conținutul unor comunicări sau de a dobândi acces la conținutul unor date informatice cu valoare probatorie. Totuși, în viitorul mai mult sau mai puțin îndepărtat este posibil ca puterea de procesare oferită de către calculatoarele cuantice să rezolve această problemă, cel puțin în ceea ce privește datele informatice criptate colectate de către autorități în trecut.

De asemenea, inteligența artificială este folosită de către făptuitori pentru furtul de identitate prin intermediul tehnologiei deepfake sau pentru crearea unui conținut mult mai credibil în contextul efectuării unor operațiuni de tip phishing. În schimb, autoritățile pot folosi inteligența artificială pentru trierea unei cantități enorme de date informatice, în scopul identificării probelor digitale de interes pentru o anumită cauză. De altfel, inteligența artificială este folosită inclusiv în prezent, în procesul de analiză a tranzacțiilor cu monede virtuale la nivel de blockchain (on-chain analysis).

În viitor, vor apărea ample dezbateri cu privire la legalitatea și fiabilitatea folosirii inteligenței artificiale de către autorități în vederea prevenirii sau combaterii criminalității. Cert este faptul că inclusiv în prezent această tehnologie este folosită cu succes, atât de către făptuitori, cât și de către autorități. Inclusiv eu folosesc inteligența artificială în calitate de avocat, deoarece mă ajută în procesarea unei cantități mari de date informatice, în vederea identificării de probe digitale.

  • Care sunt pașii esențiali pe care companiile trebuie să îi urmeze în cazul unui atac cibernetic?

Nu există o rețetă, deoarece fiecare atac informatic poate necesita o abordare specifică. Totuși, cred că imediat după identificarea unui atac informatic trebuie să se procedeze la izolarea acestuia și la conservarea probelor digitale. Ulterior, se impune efectuarea unui audit de securitate și identificarea unor probe digitale suplimentare. În acest context, consultanța oferită de un avocat specializat în criminalitate informatică și probe digitale se poate dovedi ca fiind esențială. Astfel, este important ca interacțiunea la nivel logic cu probele digitale să nu afecteze admisibilitatea sau fiabilitatea acestora într-o eventuală procedură penală.

În mod evident, existența unui incident de securitate cibernetică poate genera obligații cu privire la raportarea acestuia. Inclusiv în acest context, colaborarea cu un avocat specializat se poate dovedi ca fiind de o importanță deosebită.