Acces ilegal la sistem informatic – dosar penal Skip to content

Accesul ilegal la un sistem informatic în România: de la „glumă de IT-ist” la dosar penal

aprilie 7, 2023

1. De ce contează astăzi infracțiunea de acces ilegal la un sistem informatic

În 2025, aproape orice aspect al vieții noastre trece printr-un sistem informatic: telefon, laptop, cloud, banca online, conturi de social media, platforme de lucru de la distanță, baze de date medicale sau juridice. În paralel, numărul incidentelor de securitate cibernetică raportate la nivel național este pe un trend de creștere atât ca volum, cât și ca sofisticare.

Raportul CERT-RO privind atacurile cibernetice în România arăta, de exemplu, că peste 10% din alertele procesate într-un singur an se refereau la sisteme informatice compromise – infectate cu malware sau folosite în atacuri ulterioare, conform datelor sintetizate de CERT-RO.

În acest context, infracțiunea de acces ilegal la un sistem informatic nu mai este un „delict exotic” pentru hackeri în hoodies, ci o piesă centrală a reacției penale la breșele de securitate și la abuzul de tehnologie. O simplă autentificare cu o parolă găsită pe un post-it, un login în contul de e-mail al partenerului sau un test neautorizat de „pen testing” pot deschide, în anumite condiții, drumul către un dosar penal în temeiul art. 360 Cod penal.

Scopul acestui articol este triplu: să explice, cu trimiteri directe la lege și la Convenția de la Budapesta, când vorbim despre „acces ilegal”; să ilustreze, prin scenarii concrete, unde se termină curiozitatea sau neglijența și unde începe răspunderea penală; și să ofere câteva repere practice pentru victime și pentru persoanele investigate.

2. Baza legală: art. 360 Cod penal și Convenția de la Budapesta

2.1. Textul art. 360 Cod penal – „scheletul” infracțiunii

Articolul 360 din Codul penal definește accesul ilegal la un sistem informatic astfel: „Accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă”, iar dacă fapta este comisă în scopul obținerii de date informatice, limitele se ridică la închisoare de la 6 luni la 5 ani.

Același articol prevede o agravare atunci când accesul este comis prin încălcarea măsurilor de securitate sau împotriva unui sistem informatic aparținând unei autorități publice ori unui operator de servicii esențiale, în linie cu tendința europeană de a proteja infrastructurile critice.

Pentru a înțelege pe deplin noțiunea, art. 360 trebuie citit împreună cu definițiile de „sistem informatic” și „date informatice” din art. 181 și 182 Cod penal, care includ atât hardware-ul și rețelele, cât și programele, baze de datele și orice reprezentare digitală a informației.

2.2. Rădăcinile internaționale: Convenția de la Budapesta privind criminalitatea informatică

România nu a inventat această incriminare în vid. Infracțiunea de „illegal access” apare în art. 2 din Convenția Consiliului Europei privind criminalitatea informatică (Convenția de la Budapesta, 2001), ratificată de România prin lege și publicată în Monitorul Oficial.

Textul convenției poate fi consultat în limba română pe Portalul Legislativ al Ministerului Justiției, iar în versiunea originală în limba engleză pe site-ul Consiliului Europei, unde art. 2 cere statelor să incrimineze „accesul, fără drept, la întregul sau la o parte a unui sistem informatic”.

Art. 360 din Codul penal român este construit în mod vădit pe acest model, cu nuanțări interne privind scopul de obținere de date și agravarea pentru încălcarea măsurilor de securitate, ceea ce facilitează cooperarea internațională în anchetele de criminalitate informatică.

3. Ce înseamnă, concret, „fără drept” în accesul la un sistem informatic

În practică, cea mai multe discuții nu sunt despre „acces” – care este relativ ușor de imaginat – ci despre componenta „fără drept”. De la aceasta depinde diferența dintre un simplu incident intern disciplinar și un dosar penal cu miză serioasă.

3.1. Când ai „drept” să accesezi un sistem

Convenția de la Budapesta precizează că „fără drept” include atât situațiile de acces fără autorizație, cât și pe cele de depășire a limitelor autorizației acordate de titularul sistemului.Rezumatul convenției pe EUR-Lex explică această distincție, preluată și de legislația statelor membre.

În dreptul intern, doctrina a arătat că „dreptul” de acces poate rezulta din lege, contract, regulament intern, mandat sau consimțământul expres al titularului sistemului ori al persoanei autorizate să îl administreze.

3.2. Depășirea limitelor: de la „am voie să intru în sistem” la „nu aveam voie să intru AȘA”

Exemplele cele mai sensibile apar atunci când persoana are, în principiu, acces la sistem, dar îl folosește în afara limitelor stabilite: salariatul care sondează baze de date la care nu are nevoie pentru job, administratorul IT care accesează conturile de e-mail ale colegilor din curiozitate, partenerul de viață care știe parola celuilalt, dar o folosește pentru a-i citi conversațiile fără acord.

În doctrină s-a argumentat că depășirea limitelor tehnice sau organizaționale poate constitui acces „fără drept” atunci când există reguli clare și cunoscute privind separarea rolurilor și a privilegiilor, iar încălcarea lor nu este o simplă abatere disciplinară, ci un abuz de poziție cu relevanță penală.

3.3. Câteva scenarii-limită, pe care le întâlnim des în practică

Poți folosi următorul mini-chestionar ca instrument de auto-testare. La fiecare scenariu, întreabă-te dacă există „drept” de acces:

  • Angajatul unui spital își consultă propriul dosar medical în sistemul intern, fără să fi făcut o cerere oficială.
  • Un developer își păstrează credentialele de la un proiect după încetarea colaborării și mai intră „doar să arunce un ochi” pe cod.
  • Un adolescent ghicește parola de Instagram a colegului de bancă, intră în cont și glumește postând în numele lui.
  • Un administrator de rețea scanează periodic porturile și parolele default ale unor servere expuse pe internet, „de curiozitate profesională”.

În toate aceste exemple, răspunsul nu este automat, dar fiecare ridică, în mod serios, întrebarea dacă persoana mai acționează în limitele dreptului conferit sau dacă a trecut deja în zona accesului „fără drept” sancționat de art. 360.

4. Cum „se construiește” infracțiunea de acces ilegal: elemente constitutive

4.1. Obiectul juridic și obiectul material

Obiectul juridic al infracțiunii este siguranța și integritatea utilizării sistemelor informatice și a datelor stocate sau prelucrate în cadrul acestora, în legătură cu încrederea generală în mediul digital.

Literatura de specialitate a subliniat că protecția vizează atât confidențialitatea, cât și disponibilitatea și integritatea sistemului și a datelor, accesul neautorizat fiind considerat un risc pentru toate aceste valori.Analiza publicată în Revista „Universul Juridic”

Obiectul material poate fi orice sistem informatic în sensul art. 181 Cod penal: servere, laptopuri, telefoane, rețele corporative, sisteme industriale (ICS/SCADA), platforme de tip cloud, aplicații SaaS etc.

4.2. Latura obiectivă: „accesul” propriu-zis

Elementul material constă într-o acțiune de acces, adică intrarea în contact cu resursele sistemului dincolo de ceea ce era permis. Poate fi vorba de logarea cu user și parolă, de exploatarea unei vulnerabilități, de folosirea unui token de autentificare, de conectarea fizică la o rețea internă.

Nu este necesar ca autorul să modifice datele sau să producă daune; este suficientă intrarea neautorizată. În plus, alin. (2) sancționează mai sever accesul realizat în scopul obținerii de date informatice, chiar dacă acestea nu sunt, în final, descărcate sau valorificate.

4.3. Latura subiectivă: intenția și scopul de obținere de date

Infracțiunea se comite numai cu intenție – directă sau indirectă. Persoana trebuie să-și dea seama că pătrunde într-un sistem informatic și să accepte posibilitatea ca accesul să fie fără drept.

Forma agravată presupune un scop suplimentar: obținerea de date informatice – fișiere, baze de date, loguri, credențiale, cod sursă etc. În epoca „data is the new oil”, acest scop este departe de a fi teoretic.

5. Cum se leagă accesul ilegal de celelalte infracțiuni informatice

Accesul ilegal este rareori singur pe scenă. În numeroase dosare, el este poarta de intrare către alte infracțiuni informatice sau clasice: fraudă, șantaj, divulgare de secrete, atacuri asupra integrității datelor.

Codul penal român grupează în același capitol, alături de art. 360, infracțiuni precum:

  • interceptarea ilegală a unei transmisii de date informatice (art. 361);
  • alterarea integrității datelor informatice (art. 362);
  • perturbarea funcționării unui sistem informatic (art. 363);
  • transferul neautorizat de date informatice (art. 364);
  • operațiuni frauduloase cu instrumente de plată electronică (art. 365).

Convenția de la Budapesta grupează, în mod similar, într-un „pachet” normativ infracțiunile de acces ilegal, interferență cu datele sau sistemele și fraudele informatice, pentru a asigura un cadru minim comun între statele semnatare.Textul convenției evidențiază acest caracter de „pachet” în Titlul 1 – Infracțiuni împotriva confidențialității și integrității

6. Cine investighează accesul ilegal și cum arată, în practică, un dosar tipic

Competența de a investiga infracțiunile informatice revine, în principal, structurilor specializate din cadrul Parchetului de pe lângă Înalta Curte de Casație și Justiție și DIICOT, în colaborare cu structurile de criminalitate informatică ale Poliției Române.Prezentarea oficială a DIICOT subliniază rolul său central în combaterea criminalității informatice

Rapoartele anuale ale Ministerului Public și DIICOT arată, în ultimii ani, o creștere constantă a cauzelor având ca obiect infracțiuni contra siguranței și integrității sistemelor și datelor informatice.Raportul de activitate al Ministerului Public pe 2023 evidențiază explicit această tendință.

Într-un dosar tipic de acces ilegal, plângerea poate veni de la o persoană fizică (cont spart, e-mail compromis, acces în conturi de social media) sau de la o companie/instituție (breșă în rețea, acces în aplicații interne, conturi de clienți). Investigația combină mijloace clasice (audierea persoanelor vătămate și a martorilor) cu mijloace tehnice (loguri de acces, date de trafic, expertize informatice).

Cooperarea internațională joacă un rol major, pentru că multe platforme și servicii sunt găzduite în alte state. Convenția de la Budapesta și centre precum C-PROC București facilitează acest schimb de date și bune practici între autorități.

7. Interactiv: este sau nu este acces ilegal? – studii de caz inspirate din practică

Secțiunea de mai jos nu substituie consultanța juridică, dar te ajută să-ți calibrezi instinctele. În fiecare scenariu, încearcă să anticipezi răspunsul înainte de a citi analiza.

7.1. „Doar m-am logat în contul lui, parola era salvată în browser”

Partenerul de viață pleacă la serviciu, iar browserul îi păstrează contul de e-mail logat. Celălalt partener deschide e-mailul, citește conversații private și face capturi de ecran pe care le folosește ulterior într-un litigiu de familie.

Din perspectiva art. 360, discuția se poartă în jurul „dreptului” de acces: faptul că parola este salvată sau că dispozitivul este folosit în comun nu echivalează automat cu consimțământ pentru a citi corespondența celuilalt. Jurisprudența tinde să trateze astfel de situații ca acces neautorizat, cu posibile consecințe atât penale, cât și civile (încălcarea vieții private).

7.2. Angajatul curios într-un sistem de sănătate

Un registrator medical are acces, prin fișa postului, la datele pacienților programați la cabinetul unde lucrează. Din curiozitate, intră pe fișele unor celebrități sau ale vecinilor, deși nu are de-a face profesional cu aceștia.

Avem aici un acces în limitele tehnice ale contului (userul și parola sunt valide), dar complet în afara limitării funcționale stabilite de angajator și de normele de protecție a datelor. În funcție de gravitate și de consecințe, fapta poate fi încadrată la acces ilegal la un sistem informatic, eventual în concurs cu infracțiuni legate de divulgarea datelor cu caracter personal.

7.3. Programatorul care păstrează accesul după încetarea contractului

Un freelancer dezvoltă o aplicație pentru un client, păstrează cheile API și credentialele de administrare, iar după încheierea colaborării mai intră în panoul de control „ca să vadă ce au mai făcut” sau pentru a copia anumite componente reutilizabile.

În momentul în care raportul contractual s-a încheiat și nu mai există un mandat sau un alt temei legal pentru acces, orice logare ulterioară poate fi calificată ca acces fără drept, cu atât mai mult dacă este urmată de copiere de cod sau de modificări ale aplicației. Într-un asemenea context, documentele contractuale și politicile interne devin probe esențiale.

7.4. „White hat” fără mandat

Un specialist în securitate cibernetică testează, din proprie inițiativă, vulnerabilitățile unor site-uri publice din România, exploatează breșe, demonstrează că poate obține acces la panoul de administrare și trimite ulterior administratorilor un raport, cerând eventual o recompensă.

Deși intenția poate fi benignă sau chiar altruistă, lipsa unui mandat explicit și a unui acord prealabil transformă acest comportament într-un risc penal real. Modelele de tip „bug bounty” funcționează tocmai pentru că definesc foarte clar, în termeni de serviciu, limitele testelor permise și modul de raportare a vulnerabilităților.

8. Impactul accesului ilegal pentru victime și legătura cu raportarea incidentelor de securitate

Pentru persoanele fizice, un acces ilegal la conturi poate însemna pierderea controlului asupra identității digitale, fraude financiare, șantaj (de exemplu, în dosare cu conținut intim) sau expunerea unor informații de sănătate ori profesionale sensibile.

Pentru companii și instituții, accesul neautorizat este, de regulă, primul pas într-un incident de securitate mai amplu – scurgeri de date, criptare prin ransomware, întreruperea serviciilor, sancțiuni pentru neîndeplinirea obligațiilor de securitate și de raportare.Rapoartele anuale publicate de Directoratul Național de Securitate Cibernetică (DNSC) descriu în detaliu astfel de incidente și evoluția lor în ultimii ani.

Legislația sectorială (inclusiv actele care transpun în dreptul intern Directiva NIS2) impune anumitor operatori de servicii esențiale și furnizori de servicii digitale obligația de a raporta incidentele semnificative către DNSC prin platforma națională PNRISC, ceea ce în practică duce frecvent la deschiderea unor anchete penale privind accesul ilegal sau alte infracțiuni informatice.

9. Cum te poți apăra dacă ești acuzat de acces ilegal la un sistem informatic

Apărarea într-un dosar de acest tip este, în mod inevitabil, tehnico-juridică. Nu este suficient să spui „nu am știut” sau „am apăsat din greșeală”. Este nevoie de o reconstrucție atentă a contextului tehnic și juridic.

9.1. Verificarea temeiului de „drept”

Primul pas este clarificarea dacă exista sau nu un drept de acces – derivat din contract, fișa postului, mandat, termeni de utilizare sau consimțământul explicit al titularului. În lipsa acestor elemente, apărarea devine mult mai dificilă.

9.2. Analiza probelor tehnice

Logurile de acces, datele de trafic, metadatele fișierelor, configurările sistemului și corespondența cu furnizorii de servicii sunt, în mod obișnuit, piesele centrale ale probatoriului. Un expert IT independent poate ajuta la interpretarea lor și la identificarea unor alternative explicative (de exemplu, accesul dintr-o altă adresă IP, folosirea unui VPN, compromiterea anterioară a contului).

9.3. Intenția și scopul de obținere de date

În lipsa oricărei intenții de a accesa sau copia date (de exemplu, un click accidental pe un link de administrare), apărarea poate insista pe lipsa laturii subiective. Acest argument este însă credibil doar dacă comportamentul ulterior este consecvent (raportarea imediată a incidentului, lipsa oricăror operațiuni suspecte în loguri).

10. Ce poți face dacă bănuiești că cineva ți-a accesat ilegal conturile sau sistemele

Dacă ești persoană fizică, primul impuls este, de obicei, să „rezolvi rapid” problema schimbând parola și ștergând mesajele suspecte. Din perspectivă juridică și probatorie, este însă important să păstrezi urmele accesului ilegal.

Câțiva pași practici:

  • salvează capturi de ecran cu mesajele de notificare privind logări noi sau schimbări de parolă;
  • notează ziua, ora și dispozitivele de pe care ai observat accesul neobișnuit;
  • verifică setările de securitate (dispozitive conectate, sesiuni active, adrese IP dacă sunt afișate);
  • modifică parola și activează autentificarea cu doi factori, dar fără a șterge logurile puse la dispoziție de platformă;
  • depune plângere la poliție sau la parchet, atașând toate dovezile digitale pe care le ai.

Dacă ești companie sau instituție, este recomandat să ai un plan de răspuns la incidente care să includă atât componenta tehnică (izolarea sistemelor afectate, backup, contactarea furnizorilor), cât și cea juridică (notificări către DNSC, ANSPDCP, clienți, parteneri, precum și evaluarea oportunității unei plângeri penale).

11. Mituri frecvente despre accesul ilegal la un sistem informatic

„Dacă nu am șters sau modificat nimic, nu e infracțiune”

Fals. Art. 360 sancționează simplul acces fără drept, chiar dacă autorul nu a șters, modificat sau copiat date. Aceste conduite sunt acoperite de alte infracțiuni (alterarea datelor, perturbarea sistemului, fraudă informatică), dar nu sunt condiții pentru existența accesului ilegal.

„Dacă parola era pe un post-it, înseamnă că oricine avea voie să intre”

Faptul că titularul sistemului își gestionează neglijent parolele poate fi relevant pentru răspunderea sa civilă sau disciplinară, dar nu transformă accesul unei alte persoane într-un act „cu drept”. Consimțământul trebuie să fie explicit sau cel puțin dedus dintr-un comportament clar, nu dintr-o neglijență.

„Dacă am acces ca administrator, pot verifica orice”

Persoana care are rol de administrator tehnic nu devine, prin aceasta, proprietar al datelor sau al sistemului. Chiar și un administrator trebuie să respecte limitele mandatului primit și normele legale privind protecția vieții private și a datelor. Abuzul de privilegii poate atrage nu doar răspunderea penală, ci și interdicții profesionale și pierderea acreditărilor de securitate.

12. Concluzii: de la cultură de securitate la strategie de apărare

Accesul ilegal la un sistem informatic este o infracțiune aparent simplă ca text de lege, dar foarte complexă în aplicare. Ea se află la intersecția dintre drept penal, securitate cibernetică, protecția datelor și etica profesională.

Pentru utilizatorii „obișnuiți”, mesajul esențial este că parolele, tokenurile și programele nu sunt jucării: faptul că poți intra într-un cont nu înseamnă automat că ai voie. Pentru profesioniștii IT, miza este dublă: pe de o parte, să construiască sisteme cu politici clare de acces; pe de altă parte, să își protejeze propria activitate prin contracte și proceduri care delimitează testarea legitimă de hacking-ul neautorizat.

Pentru companii și instituții, accesul ilegal nu este doar o problemă „de IT”, ci un risc juridic și reputațional major, care poate declanșa investigații penale, amenzi administrative și pierderi de încredere. O cultură de securitate în care angajații înțeleg ce au și ce nu au voie să facă în sistemele informatice este, în ultimă instanță, cel mai eficient antivirus juridic.

Acest articol are caracter exclusiv informativ și nu reprezintă consultanță juridică. Situațiile concrete pot fi mult mai nuanțate decât scenariile descrise aici. Dacă ești vizat de un dosar privind accesul ilegal la un sistem informatic – ca suspect, inculpat sau persoană vătămată – este recomandat să discuți cât mai rapid cu un avocat specializat pentru o analiză individualizată și pentru construirea unei strategii adaptate propriului tău caz.

13. Surse și resurse utile

Art. 360 Cod penal – accesul ilegal la un sistem informatic – legeaz.net și Sintact-Lege5.

Convenția Consiliului Europei privind criminalitatea informatică (Budapesta, 2001) – Portal Legislativ și textul original în limba engleză (Consiliul Europei).

Rezumatul Convenției de la Budapesta și principalele sale mecanisme – EUR-Lex.

Analiză doctrinară asupra infracțiunilor informatice și a accesului ilegal – Revista „Universul Juridic”.

Raport de activitate al Ministerului Public pe 2023 – secțiunea privind infracțiunile informatice – mpublic.ro.

Rapoartele DNSC/CERT-RO privind incidentele de securitate cibernetică în România – dnsc.ro – secțiunea „Raport anual”.

Prezentarea oficială a DIICOT și rolul său în combaterea criminalității informatice – diicot.ro.