AMC – Cabinet de Avocat – Adriana Maria Ciolca

Cibercriminalitatea între Convenția de la Budapesta și Dreptul Uniunii Europene

Cibercriminalitatea
Societatea informațională modernă, modelată de evoluția tehnologiei digitale, a generat atât progrese semnificative, cât și noi forme de risc, reunite sub conceptul de cibercriminalitate – adică fapte penale comise prin intermediul sau asupra sistemelor informatice și al datelor electronice.

În acest context, Convenția de la Budapesta stabilește cadrul internațional pentru combaterea criminalității informatice, în timp ce Dreptul Uniunii Europene completează aceste norme prin instrumente juridice menite să asigure o protecție coerentă și eficientă a spațiului digital european.

Caracterul transnațional al cibercriminalității determină o abordare multilevel, ce combină reglementări naționale, europene și internaționale.

În plan global, Convenția de la Budapesta privind criminalitatea informatică (2001) rămâne principalul instrument juridic internațional, stabilind standarde minime de incriminare și cooperare judiciară. În plan european, Directiva (UE) 2013/40 și alte acte conexe conturează un cadru armonizat de combatere.

În România, incriminările relevante se regăsesc în Codul penal (Titlul VII, Capitolul IV – art. 360–366) și în Legea nr. 161/2003 privind prevenirea și combaterea criminalității informatice.

Cadrul juridic internațional: Convenția de la Budapesta și protocoalele sale adiționale

Adoptată sub egida Consiliului Europei la 23 noiembrie 2001, Convenția de la Budapesta este principalul tratat internațional cu forță juridică obligatorie în domeniul criminalității informatice. Aceasta stabilește norme comune pentru combaterea infracțiunilor informatice și a celor comise prin intermediul sistemelor informatice. România a adoptat Convenția de la Budapesta prin Legea nr. 64/2004, angajându-se să adopte incriminări compatibile cu standardele acesteia.

După adoptarea sa, au fost create protocoale adiționale menite să țină pasul cu evoluția tehnologiei și a criminalității cibernetice. Până în prezent, principalele extinderi sunt:

▣ Primul Protocol (Protocolul adițional la Convenția privind criminalitatea informatică referitor la incriminarea actelor de natură rasistă și xenofobă comise prin intermediul sistemelor informatice – ETS No. 189) a fost adoptat la data de 28 ianuarie 2003 la Strasbourg sub egida Consiliului Europei și a intrat în vigoare la data de 01 martie 2006.

Acest protocol completează Convenția de la Budapesta prin introducerea obligației de a sancționa faptele de natură rasistă și xenofobă realizate prin mijloace informatice. Documentul cere statelor semnatare să includă în legislația lor penală infracțiuni ce vizează manifestările de ură, discriminare sau incitare la violență transmise online. Scopul principal al protocolului este de a întări cooperarea internațională în prevenirea și combaterea infracțiunilor motivate de ură desfășurate în mediul digital.

România a ratificat Protocolul ETS 189 prin Legea nr. 105/2009. Cu ocazia ratificării, statul român a formulat o rezervă, precizând că nu va aplica articolul 5 alineatul (1), care se referă la infracțiunea de insultă bazată pe motive rasiste sau xenofobe. La nivel intern, aplicarea protocolului a necesitat adaptarea legislației penale pentru a include sancționarea răspândirii prin mijloace informatice a materialelor cu conținut rasist ori xenofob, în conformitate cu angajamentele asumate prin acest tratat.

▣ Al doilea Protocol (Protocol adițional la Convenția privind criminalitatea informatică referitor la cooperarea consolidată și dezvăluirea de probe electronice) a fost adoptat la data de 12 mai 2022 la Strasbourg sub egida Consiliului Europei și a intrat în vigoare la data de 1 ianuarie 2024, după ce a fost ratificat de cel puțin cinci state membre, conform prevederilor sale.

Acest protocol adițional la Convenție are ca obiectiv principal întărirea colaborării internaționale și facilitarea obținerii probelor electronice în investigarea infracțiunilor cibernetice. Documentul pune la dispoziția statelor membre mecanisme moderne de cooperare, menite să permită schimbul rapid și sigur de informații și dovezi digitale între autorități.

Protocolul introduce noi forme de asistență judiciară, prin care probele pot fi solicitate și transmise într-un timp redus, crescând eficiența anchetelor transfrontaliere. Totodată, acesta prevede colaborarea directă cu furnizorii de servicii – cum ar fi companiile care gestionează date de trafic sau conținut online – pentru a facilita accesul legal și prompt la datele necesare soluționării cazurilor de criminalitate informatică.

România a aprobat aderarea la cel de-al doilea protocol adițional la Convenția privind criminalitatea informatică prin Legea nr. 330/2023. Prin această ratificare, țara noastră și-a confirmat angajamentul de a participa la aplicarea protocolului și de a respecta dispozițiile sale.

Deși, până în prezent, nu au fost operate modificări concrete în legislația națională în ceea ce privește reglementarea obținerii de probe electronice la nivel internațional, adoptarea acestei legi reprezintă un pas esențial în alinierea României la standardele de cooperare și schimb de date stabilite prin acest tratat internațional.

Convenția de la Budapesta privind criminalitatea informatică

Acest prim tratat internațional în materie de cibercriminalitate clasifică principalele categorii de infracțiuni informatice în Capitolul II (Măsuri care trebuie luate la nivel național), Secțiunea 1 (Drept penal material):

1. Infracțiuni împotriva confidențialității, integrității și disponibilității datelor și sistemelor informatice (art. 2–6 Titlul 1):

▢ accesul ilegal la un sistem informatic;

▢ interceptarea neautorizată a comunicațiilor electronice;

▢ interferența în funcționarea sistemelor (inclusiv atacurile DDoS);

▢ alterarea, ștergerea sau deteriorarea datelor;

▢ crearea și distribuirea de programe malware.

2. Fraudele informatice și infracțiunile economice digitale (art. 7–8 Titlul 2):

▢ manipularea datelor sau a sistemelor în scop de fraudă (falsificarea informatică);

▢ fals informatic și uz de fals electronic (frauda informatică).

3. Infracțiuni privind conținutul (art. 9 Titlul 3):

▢ pornografia infantilă și distribuirea materialelor interzise.

4. Infracțiuni legate de dreptul de autor și conexe (art. 10 Titlul 4).

De asemenea, Convenția prevede mecanisme procedurale inovatoare (art. 14–21): percheziții informatice, conservarea rapidă a datelor, interceptarea traficului electronic, precum și un sistem de cooperare internațională în timp real între autorități.

Prin Protocolul adițional din 2022, s-a extins colaborarea între state pentru combaterea infracțiunilor informatice cu caracter transfrontalier, inclusiv atacurile cibernetice sponsorizate de entități statale.

Dreptul Uniunii Europene în materie de cibercriminalitate

Uniunea Europeană a dezvoltat un cadru normativ coerent, menit să asigure protecția spațiului cibernetic comun. Documentul central este Directiva (UE) 2013/40 privind atacurile împotriva sistemelor informatice, transpusă în legislația română prin Legea nr. 187/2012 și, ulterior, prin modificările Codului penal (art. 360–366).

Această directivă introduce obligații clare pentru statele membre:

▣ incriminarea accesului ilegal și a interferențelor asupra sistemelor și datelor informatice;

▣ sancționarea producției și distribuirii instrumentelor de hacking;

▣ stabilirea răspunderii penale a persoanelor juridice (art. 9 din Directivă);

▣ cooperarea între autoritățile judiciare și centrele naționale de securitate cibernetică (Computer Security Incident Response Team – CSIRT).

Complementar, Regulamentul (UE) 2016/679 – GDPR protejează datele personale, oferind o dimensiune preventivă în combaterea cibercriminalității, iar Directiva (UE) 2016/1148 – NIS Directive, înlocuită de Directiva (UE) 2022/2555 – NIS2, impune standarde minime de securitate cibernetică pentru infrastructurile critice și operatorii de servicii esențiale.

În planul drepturilor fundamentale, Carta Drepturilor Fundamentale a Uniunii Europene garantează dreptul la viață privată (art. 7) și la protecția datelor cu caracter personal (art. 8), ambele fiind constant puse în balanță cu nevoia de securitate digitală.

Dreptul român în materie de cibercriminalitate

România a fost printre primele state din Europa de Est care au adoptat o legislație coerentă în domeniul criminalității informatice.

Astfel, Legea nr. 161/2003, Titlul III, Capitolul III, definește și sancționează principalele fapte contravenționale în materie de cibercriminalitate, în concordanță cu Convenția de la Budapesta. Faptele care constituiau infracțiuni au fost abrogate odată cu intrarea în vigoare a Codului penal, în februarie 2014 și au fost ulterior integrate și actualizate în Codul penal (Legea nr. 286/2009) la articolele 360–366.

De asemenea, Legea nr. 365/2002 privind comerțul electronic reglementează responsabilitatea furnizorilor de servicii de internet și protecția consumatorilor online, iar Legea nr. 506/2004 transpune directiva privind confidențialitatea comunicațiilor electronice.

Instituțional, România a creat Directoratul Național de Securitate Cibernetică (DNSC), succesorul CERT-RO, și colaborează activ cu Europol – EC3 (European Cybercrime Centre) și INTERPOL. De asemenea, în practica judiciară, instanțele române aplică frecvent dispozițiile penale în cazuri de fraudă informatică, phishing, distribuire de malware sau atacuri asupra infrastructurilor critice.

Tipologia principalelor infracțiuni informatice
Pe baza instrumentelor juridice internaționale și a practicii judiciare, principalele categorii de infracțiuni de cibercriminalitate sunt următoarele:

Infracțiuni împotriva confidențialității, integrității și disponibilității sistemelor informatice
(Includ fapte care vizează securitatea tehnică a rețelelor)
• acces neautorizat („hacking”);
• interceptarea neautorizată a comunicațiilor (spyware, keylogger);
• perturbarea serviciilor (DDoS);
• ștergerea sau modificarea neautorizată a datelor;
• dezvoltarea și răspândirea de malware, troieni sau ransomware.

Fraude și escrocherii informatice
(Scopul acestor fapte este obținerea de avantaje materiale)
• fraude bancare (skimming, phishing, clonare de carduri);
• manipularea plăților electronice și a criptomonedelor;
• escrocherii online și vânzări fictive;
• inginerie socială (social engineering).

Infracțiuni privind datele personale și identitatea digitală
• furtul sau uzurparea identității online;
• crearea de profiluri false;
• vânzarea de baze de date cu informații personale;
• phishing, smishing, vishing.

Infracțiuni legate de conținutul ilegal
• difuzarea de materiale pornografice cu minori (pornografie infantilă – art. 374 Cod penal);
• propagarea urii, violenței sau discriminării;
• promovarea terorismului digital;
• răspândirea deliberată a informațiilor false (fake news) cu impact social semnificativ.

Infracțiuni de tip corporativ, economic sau de stat
• spionaj informatic (cyber espionage);
• atacuri asupra infrastructurilor critice (energie, sănătate, transport);
• sabotaj digital;
• spălare de bani prin criptomonede;
• atacuri sponsorizate de entități statale.

Hărțuire și abuz digital
• cyberbullying, revenge porn, sextortion;
• amenințări, defăimare sau intimidare online;
• stalking digital, infracțiune conexă prevăzută de art. 208–209 Cod penal (șantajul și hărțuirea).

Dimensiunea drepturilor fundamentale: echilibrul între securitate și libertate

Combaterea cibercriminalității trebuie să se realizeze cu respectarea drepturilor fundamentale, în special:dreptul la viață privată (art. 8 CEDO; art. 26 Constituția României; art. 7 Carta Drepturilor Fundamentale a Uniunii Europene – DFUE); libertatea de exprimare (art. 10 CEDO; art. 30 Constituția României); dreptul la un proces echitabil (art. 6 CEDO; art. 21 alin. 3 Constituția României).

Jurisprudența Curții Europene a Drepturilor Omului subliniază necesitatea proporționalității măsurilor de supraveghere digitală. În cauza Big Brother Watch și alții c. Regatul Unit (2021), Curtea a stabilit că interceptările electronice trebuie să fie strict necesare și previzibile, pentru a nu încălca art. 8 CEDO.

În același sens, Curtea de Justiție a Uniunii Europene, în cauzele Digital Rights Ireland (C-293/12) și La Quadrature du Net (C-511/18), a interzis stocarea generalizată a datelor de trafic fără criterii clare de necesitate și proporționalitate.

Prin urmare, lupta împotriva criminalității informatice nu trebuie să degenereze într-o supraveghere generalizată, ci trebuie să respecte principiile statului de drept și protecția vieții private.

Concluzii

Cibercriminalitatea reprezintă una dintre cele mai dinamice forme de infracționalitate contemporană, depășind granițele statale și necesitând un răspuns coordonat la nivel global. Reglementările actuale — de la Convenția de la Budapesta până la legislația română — oferă un cadru solid, însă evoluțiile tehnologice, precum inteligența artificială, criptomonedele anonime, atacurile asupra infrastructurilor critice și războiul hibrid digital, continuă să constituie provocări. Într-o lume interconectată, securitatea cibernetică nu mai este doar o problemă tehnică, ci o veritabilă exigență a statului de drept.

Vă recomandăm și articolul: Infracțiunile informatice – Necunoașterea legii nu înlătură răspunderea!, disponibil la: https://amc-lawyer.ro/infractiunile-informatice-dosare-penale-2/

 

 

Bibliografie

Convenții, directive și reglementări relevante în materie de cibercriminalitate

Legislație și documente naționale

Jurisprudență

Instituții relevante

# Cibercriminalitatea#ConvențiaDeLaBudapesta#DreptulUniunii Europene# Directiva# Protocol#CriminalitateaInformatică

Leave a Reply

Your email address will not be published. Required fields are marked *

Facebook
LinkedIn
Email

Informarea corectă și continuă asupra cadrului legal nu este doar un act de responsabilitate civică, ci o obligație esențială.
CATEGORII
cabinet de avocat

Propuneți un subiect de interes juridic

Dacă există subiecte juridice de interes pentru dumneavoastră, vă încurajăm să ni le transmiteți, pentru a le putea aborda în articolele viitoare.
Contact
L o a d i n g