Infracțiunea de fraudă informatică – reglementare, jurisprudență și perspective comparative

1. Introducere: evoluția criminalității informatice și impactul fraudei digitale

Criminalitatea informatică a cunoscut o creștere explozivă în ultimele decenii, odată cu extinderea Internetului și digitalizarea economiei. Metodele tradiționale de fraudă au fost adaptate la mediul online, generând fraude digitale complexe cu impact transfrontalier semnificativ. De la simple e-mailuri de phishing până la scheme elaborate de deturnare a plăților electronice, infractorii folosesc tehnologia pentru a obține câștiguri ilicite și a produce pagube considerabile victimelor. Datele recente indică faptul că phishing-ul rămâne cea mai comună metodă de inițiere a atacurilor cibernetice, fiind vectorul principal prin care infractorii obțin acces inițial la sisteme sau date sensibile[1]. Acest fenomen se reflectă în statisticile globale – de exemplu, un raport Europol consemnează o rețea de phishing cu peste 480.000 de victime la nivel mondial destructurată prin cooperare internațională[2][3]. Impactul economic al fraudei informatice este semnificativ: sumele obținute ilegal de infractori și pagubele suferite de persoane fizice, companii și instituții se ridică la miliarde de euro anual, subminând încrederea în tranzacțiile digitale și securitatea sistemelor informatice.

Evoluția acestui tip de criminalitate a determinat autoritățile să dezvolte instrumente juridice specifice pentru combaterea fraudei digitale. Dacă la început infracțiunile comise prin mijloace electronice erau încadrate în categorii clasice (precum înșelăciunea), în prezent există incriminări distincte care reflectă specificul mediului virtual. România s-a aliniat acestor tendințe, introducând încă din 2003 infracțiuni informatice în legislație prin Legea nr. 161/2003 (care a transpus Convenția de la Budapesta privind criminalitatea informatică) și ulterior integrându-le în Codul penal modern (Legea nr. 286/2009). Astfel, frauda informatică a devenit o infracțiune de sine stătătoare, menită să protejeze patrimoniul și siguranța tranzacțiilor electronice într-o societate din ce în ce mai digitalizată[4][5].

În acest context, articolul de față își propune o analiză extinsă a infracțiunii de fraudă informatică, acoperind cadrul legal românesc (definiție, elemente constitutive, forme agravante), exemple din practica judiciară autohtonă, fenomene infracționale asociate (precum phishing, spoofing, skimming, atacuri Man-in-the-Middle), comparații cu soluțiile juridice din alte sisteme de drept (Germania, Franța, SUA), rolul organismelor internaționale implicate în combaterea criminalității cibernetice și aspecte de cooperare judiciară internațională. Vom aborda și probleme practice întâlnite în investigarea acestor fapte – dificultatea identificării autorilor, probarea intenției frauduloase, intersecția cu legislația specială (Legea 161/2003 și Legea 365/2002) – precum și posibile apărări sau cauze care pot înlătura răspunderea penală. În final, vom contura tendințele legislative actuale (de la implementarea directivelor UE la noua Convenție ONU privind criminalitatea cibernetică) și vom evidenția provocările viitoare, oferind totodată câteva bune practici pentru avocați în abordarea cazurilor de acest gen.

2. Reglementarea fraudei informatice în Codul penal român – art. 249: definiție, elemente constitutive, forme agravate

Frauda informatică este reglementată în Codul penal român la art. 249, capitolul dedicat fraudelor comise prin sisteme informatice și mijloace de plată electronice. Potrivit textului de lege, fapta constă în „introducerea, transmiterea, modificarea sau ștergerea de date informatice, restricționarea accesului la aceste date ori împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane”[6]. Cu alte cuvinte, infracțiunea vizează intervențiile neautorizate asupra datelor sau sistemelor informatice, realizate cu intenția de a obține un folos material injust, care au ca rezultat provocarea unui prejudiciu patrimonial.

Elementele constitutive ale fraudei informatice pot fi analizate astfel:

• Elementul material (fapta): se poate realiza prin oricare dintre acțiunile alternative enumerate de lege: introducerea de date informatice (includerea de informații false sau neautorizate într-un sistem), transmiterea de date (de exemplu, expedierea de comenzi sau instrucțiuni informatice menite să producă un efect patrimonial), modificarea sau ștergerea de date (alterarea integrității informațiilor stocate), restricționarea accesului la date (blocarea, criptarea sau parolarea nelegitimă a informațiilor, ca în cazul atacurilor de tip ransomware) ori împiedicarea funcționării sistemului informatic (sabotarea, suprasolicitarea sau perturbarea unui sistem – de exemplu, prin atacuri DDoS). Toate aceste modalități au în comun caracterul neautorizat (fără drept) și capacitatea de a altera modul normal de funcționare a sistemelor sau integritatea datelor din acestea.
• Urmarea imediată: producerea unei pagube patrimoniale. Frauda informatică este așadar o infracțiune de rezultat – legea cere să existe un prejudiciu cauzat cuiva (persoană fizică sau juridică). Paguba poate consta, de exemplu, în sume de bani transferate fraudulos, pierderi financiare rezultate din plasarea de comenzi fictive, prejudicii cauzate prin accesarea neautorizată a conturilor bancare etc. Dacă fapta nu a reușit să producă paguba intenționată, ea poate fi încadrată ca tentativă (tentativa la această infracțiune fiind pedepsită conform art. 252 Cod penal[7]).
• Latura subiectivă: cerința esențială este intenția directă calificată de un scop specific – acela de a obține un beneficiu material injust pentru sine sau pentru altul. Cu alte cuvinte, autorul acționează cu intenție frauduloasă, urmărind un folos patrimonial (de regulă, obținerea de bani sau bunuri) prin manipularea sistemelor sau datelor informatice. Această condiție subiectivă deosebește frauda informatică de alte infracțiuni informatice (precum accesul ilegal sau alterarea integrității datelor) care pot fi comise și în alt scop (curiozitate, vandalism digital etc.). Dacă lipsește scopul obținerii foloaselor materiale, fapta nu va întruni elementele constitutive ale art. 249, putând eventual constitui alte infracțiuni (de exemplu, distrugere de date – art. 362 CP, sau perturbare de sisteme – art. 363 CP).
• Subiecții infracțiunii: subiectul activ (autorul) poate fi orice persoană cu răspundere penală (inclusiv, teoretic, persoanele juridice pot fi trase la răspundere dacă infracțiunea este comisă în interesul sau în numele lor). Competența de jurisdicție aparține organelor de urmărire penală obișnuite, însă pentru cazurile grave (despre care vom detalia în secțiunea 3) competența poate reveni DIICOT. Subiectul pasiv este persoana vătămată – de regulă, titularul patrimoniului prejudiciat sau proprietarul sistemului informatic vizat.

Pedepsele prevăzute de lege evidențiază gravitatea faptei: art. 249 CP stabilește o pedeapsă cu închisoarea de la 2 la 7 ani în cazul fraudei informatice consumate[6], similar ca limite cu înșelăciunea calificată. Legiuitorul sancționează așadar destul de sever aceste fapte, ținând cont de pericolul social ridicat al criminalității informatice. Tentativa se pedepsește și ea (art. 252 CP)[7].

Forme agravante și relația cu alte infracțiuni

Codul penal nu prevede expres variante agravate speciale ale fraudei informatice (cum ar fi, de exemplu, un alineat distinct pentru consecințe deosebit de grave). Totuși, există cazuri agravante în practică determinate de aplicarea regulilor generale sau de concursul cu alte infracțiuni:

• Consecințe deosebit de grave: Dacă frauda informatică produce un prejudiciu material mai mare de 2.000.000 lei, fapta întrunește consecințe deosebit de grave în sensul art. 183 CP. Această împrejurare reprezintă o circumstanță agravantă legală ce poate duce la sporirea pedepsei aplicate. De asemenea, pragul de 2 milioane lei are relevanță pentru competența DIICOT – potrivit legii, frauda informatică intră în competența DIICOT dacă a produs consecințe deosebit de grave și a fost comisă în scopul unui grup infracțional organizat[8][9]. Așadar, marile fraude informatice comise în grupuri organizate (ex: rețele transnaționale de hackeri care sustrag sume imense) sunt de regulă preluate de DIICOT.
• Conexiunea cu alte infracțiuni: Adesea, frauda informatică este săvârșită împreună cu alte fapte penale, ceea ce agravează situația juridică a inculpaților prin concurs de infracțiuni. Frecvent se întâlnește asocierea cu infracțiuni de fals informatic (art. 325 CP) – de exemplu, falsificarea datelor sau a site-urilor web ca parte a schemei de fraudă – sau cu accesul ilegal la un sistem informatic (art. 360 CP) – de pildă, hackerul accesează fără drept sistemul, apoi modifică datele pentru a frauda. În asemenea cazuri, dacă faptele nu se absorb într-o infracțiune complexă, se va reține concursul și pedepsele pot fi contopite cu un spor. Merită menționat că Înalta Curte de Casație și Justiție a clarificat relația dintre frauda informatică și înșelăciune: în Decizia nr. 37/2021 (hotărâre prealabilă) s-a stabilit că publicarea de anunțuri fictive online, prin care se induce în eroare o persoană să plătească un bun inexistent fără a se interveni asupra funcționării sistemului sau datelor informatice, întrunește elementele constitutive ale înșelăciunii (art. 244 CP), nu ale fraudei informatice[10][11]. Practic, dacă nu există o alterare a sistemului informatic ci doar o comunicare frauduloasă (în mediul online) ce păgubește pe cineva, fapta va fi încadrată ca înșelăciune (în modalitatea „alte mijloace frauduloase” prevăzută de art. 244 alin. (2) CP), și nu ca fraudă informatică. Această delimitare subliniază că frauda informatică se referă la înșelăciunea asupra mașinii (manipularea sistemului electronic), pe când înșelăciunea clasică rămâne înșelăciunea asupra omului (inducerea în eroare a unei persoane)[12][11].
• Grupul infracțional organizat: Dacă frauda informatică este comisă de un grup organizat (trei sau mai multe persoane structurate pentru comiterea de infracțiuni), se va reține și infracțiunea separată de constituire de grup infracțional (art. 367 CP), ceea ce sporește gravitatea situației juridice. De altfel, cele mai complexe cazuri de fraude cibernetice implică adesea rețele internaționale bine organizate, fiecare membru având roluri precise (spre exemplu, unii se ocupă de partea tehnică – crearea de site-uri false, programe malware etc., alții de retragerea banilor sau de spălarea fondurilor). Vom vedea exemple concrete în secțiunea următoare.

În concluzie, art. 249 CP oferă un cadru legal robust pentru sancționarea fraudei informatice, adaptat particularităților mediului digital. Infracțiunea protejează atât patrimoniul persoanelor, cât și siguranța și încrederea în sistemele informatice și mijloacele de plată electronică. Legea acoperă multiple modalități de comitere și prevede pedepse substanțiale, reflectând politica penală fermă față de criminalitatea cibernetică patrimonială. Pe măsură ce tehnologiile evoluează, textul legal a fost deja ajustat (de exemplu, în 2021 s-a completat cu includerea transmiterii de date informatice ca modalitate de fraudă[6] pentru a transpune Directiva (UE) 2019/713 privind combaterea fraudelor cu mijloace de plată fără numerar). În continuare, vom examina cum sunt aplicate aceste prevederi în practica judiciară din România și ce tipologii concrete de fraude informatice au fost investigate de autorități.

3. Exemple de practică judiciară din România (DIICOT, ÎCCJ, rejust.ro)

Pentru a ilustra modul în care instanțele și organele de urmărire penală abordează infracțiunea de fraudă informatică, vom prezenta câteva exemple relevante din jurisprudența recentă și din practica organelor specializate:

• Decizia ÎCCJ nr. 37/2021 (comunicată în Monitorul Oficial nr. 707/2021) – menționată și anterior, această hotărâre prealabilă a Înaltei Curți a clarificat încadrarea juridică a faptelor de fraudă în mediul online fără intervenție asupra sistemelor. Cazul de la baza sesizării implica un grup de inculpați care, începând din 2010, postaseră anunțuri fictive de vânzare pe site-uri de licitații (inclusiv eBay) și comunicau prin e-mail cu victimele, convingându-le să plătească în avans contravaloarea unor bunuri inexistente. Practicau un așa-zis sistem de escrow fals: victimele credeau că banii lor sunt ținuți de un terț sigur și vor fi returnați dacă nu primesc bunul, însă în realitate fondurile erau direcționate către conturile controlate de infractori[13][14]. Întrebarea juridică era dacă această schemă reprezintă fraudă informatică (introducerea de date informatice false – anunțuri pe site – pentru obținerea unui folos) sau înșelăciune. Înalta Curte a decis că fapta se circumscrie înșelăciunii (art. 244 CP), întrucât postarea de anunțuri pe un site nu echivalează cu alterarea funcționării sistemului informatic sau a datelor – frauda s-a realizat prin inducerea în eroare a persoanelor, nu printr-un atac asupra sistemului[11]. În motivare s-a arătat că frauda informatică este o infracțiune complexă, care implică un atac informatic propriu-zis, pe când în cazul anunțurilor fictive avem de-a face cu o formă modernă de înșelăciune „clasică” în mediul online. Această decizie obligatorie a unificat practica instanțelor, care anterior avuseseră opinii divergente (unele condamnaseră asemenea fapte ca fraudă informatică). Acum este clar că, pentru reținerea art. 249 CP, este necesară o intervenție neautorizată asupra sistemului sau datelor (ex: introducerea unui script malitios, modificarea bazei de date etc.), simpla folosire a Internetului ca mijloc de comunicare frauduloasă fiind încadrată la înșelăciune[12][11].
• Caz DIICOT – fraudă informatică și operațiuni financiare frauduloase (2023): O investigație a DIICOT – Serviciul Teritorial Galați, făcută publică în august 2023, relevă complexitatea grupărilor de criminalitate informatică din România. În acest caz, o grupare infracțională organizată a creat site-uri web false care imitau paginile unor bănci cunoscute, promovându-le prin motoare de căutare astfel încât să apară primele în rezultatele căutării[15][16]. Peste 40 de persoane au accesat aceste clone de site-uri bancare și și-au introdus credențialele (user/parolă) crezând că accesează contul real, datele fiind astfel colectate de infractori. Cu aceste date de acces, membrii grupării s-au conectat la conturile reale ale victimelor și au transferat banii în conturi controlate de ei, retrăgând apoi sumele de la bancomate[17][18]. Prejudiciul a fost estimat la peste 2,2 milioane lei și 44.500 euro, iar grupul a acționat pe paliere specializate – un nucleu tehnic ce crea și promova site-urile false, un palier de „mule” care deschideau conturi bancare intermediare pentru transferul banilor și un palier care se ocupa de retragerea efectivă a numerarului și colectarea câștigului[19][20]. În acest dosar, DIICOT a reținut multiple infracțiuni: fraudă informatică în formă continuată cu consecințe deosebit de grave, efectuarea de operațiuni financiare în mod fraudulos (art. 250 CP), acces ilegal la un sistem informatic (art. 360 CP), fals informatic (art. 325 CP), precum și infracțiuni de criminalitate „tradițională” (constituirea unui grup infracțional, ba chiar și trafic de droguri, semn că grupările pot fi polivalente)[21][22]. Acest exemplu evidențiază că în practică, fraudele informatice sunt deseori parte a unor scheme infracționale mai largi, care combină mijloace cibernetice (phishing-ul bancar, clonarea de site-uri) cu elemente de criminalitate economică (spălarea banilor, utilizarea de persoane interpuse pentru deschiderea de conturi etc.). De asemenea, cazul justifică implicarea DIICOT: atât suma totală depășește pragul deosebit de grav (2 mil. lei), cât și existența unui grup organizat sunt îndeplinite[8][23].
• Cazuri de skimming și fraudă cu carduri: România s-a confruntat încă din anii 2000 cu numeroase cazuri de skimming (copierea datelor de pe cardurile bancare prin dispozitive montate clandestin pe bancomate sau POS-uri) urmate de retrageri frauduloase de numerar. Aceste fapte au fost încadrate inițial fie pe vechea lege specială (Legea 365/2002 – infracțiuni abrogate în 2014[24][25]), fie pe noile prevederi din Codul penal (art. 249 – fraudă informatică, art. 250 – efectuare de operațiuni financiare frauduloase, art. 313 vechi CP – fals în înscrisuri de valoare etc., în funcție de perioada comiterii). Un exemplu notoriu este cazul grupării conduse de hackerul Adrian-Tiberiu O. care, între 2009-2011, a reușit să spargă sistemele a peste 200 de terminale de plată (POS) din SUA – dintre care 150 aparțineau lanțului de restaurante Subway – și să fure datele a peste 146.000 de carduri[26][27]. Infractorii instalau de la distanță programe de tip keylogger pe sistemele de plată ale magazinelor, capturând informațiile despre cardurile folosite de clienți[28][29]. Ulterior, datele erau folosite pentru a face tranzacții neautorizate sau erau vândute pe piața neagră. Autoritățile americane au inculpat patru români în acest caz, iar doi dintre ei (Iulian D. și Cezar B.) au pledat vinovat, fiind condamnați în 2012 la 7 ani, respectiv 21 de luni de închisoare[27][30]. Liderul grupului, Adrian O., a fost ulterior extrădat în SUA, unde a primit o pedeapsă de 15 ani de detenție pentru conspirație la fraudă informatică, fraudă cu dispozitive de acces și fraudă electronică[31][32]. Deși acest caz particular ține de jurisdicția SUA, merită menționat în contextul practicii judiciare românești deoarece arată dimensiunea internațională a fenomenului – cooperarea între autoritățile române și cele americane a fost esențială (persoanele au fost arestate cu ajutorul poliției române și extrădate peste ocean[33][34]). În România, multe grupări similare de skimming au fost destructurate de procurori, unele dosare ajungând în instanțe (de exemplu, cazul “Michael Jackson” – rețea de clonare carduri care a acționat în peste 14 țări, ai cărei membri români au fost condamnați cumulativ la zeci de ani de închisoare[35]). Astfel de spețe implică de obicei multiple infracțiuni: fraudă informatică (introducerea de date false pe carduri sau în sistemele bancare), falsificare de instrumente de plată (fals material pe carduri blank), efectuare de operațiuni financiare frauduloase (folosirea cardurilor clonate) și constituirea de grup infracțional.
• Hotărâri disponibile pe rejust.ro: Platforma rejust (portalul de jurisprudență al Ministerului Justiției) conține numeroase hotărâri privind fraude informatice, care confirmă diversitatea situațiilor. De exemplu, pot fi găsite spețe privind fraudarea platformelor de comerț electronic interne: inculpați condamnați pentru că au postat anunțuri pe OLX sau Okazii vânzând telefoane sau autoturisme inexistente și direcționând cumpărătorii să plătească online într-un cont, ceea ce constituie înșelăciune (conform jurisprudenței ICCJ menționate). Alte decizii privesc fraude cu instrumente de plată: de pildă, cazuri în care angajați bancari sau complici externi au intrat fără drept în sistemele informatice bancare și au inițiat transferuri de bani către conturile lor – aceste fapte au fost încadrate la fraudă informatică combinată uneori cu abuz în serviciu sau acces ilegal. Practica relevă și dificultățile probatorii: în unele hotărâri se discută intens expertizele informatice, trasabilitatea adreselor IP, identificarea după log-uri, pentru a se stabili cine anume a comis intruziunea.

În ansamblu, practica judiciară românească arată că organele de anchetă și instanțele tratează cu seriozitate sporită infracțiunile informatice. DIICOT a preluat cazurile grave sau cu elemente de rețea organizată, în timp ce parchetele obișnuite soluționează fraudele cibernetice de amploare mai mică sau comise individual. Pedepsele aplicate tind să fie consistente, mai ales când există multiple victime sau pagube mari – de exemplu, în cazuri cu prejudicii de sute de mii de euro, instanțele au pronunțat frecvent pedepse efective de 5-7 ani închisoare pentru autorii principali, ținând cont și de atenuante/agravante. Un aspect particular: înșelăciunea informatică (fără atac tehnic) a permis în unele situații împăcarea părților sau tratamente mai blânde dacă prejudiciul a fost recuperat integral, însă la frauda informatică propriu-zisă (art. 249) acțiunea e din oficiu, deci împăcarea nu are efect (victimele pot totuși obține daune civile, dar retragerea plângerii nu oprește procesul).

Concluzionând, jurisprudența românească confirmă versatilitatea fraudei informatice – de la phishing bancar, la fraude pe platforme online, la hackeri care sustrag bani din conturi corporate – și evidențiază importanța cooperării internaționale și a expertizei tehnice în soluționarea acestor cauze. Sancțiunile sunt pe măsura gravității, mesajul fiind unul de descurajare fermă a celor tentați să exploateze tehnologia pentru câștiguri ilegale.

4. Fenomene asociate: phishing, spoofing, skimming, atacuri de tip man-in-the-middle, fraude pe platforme online

Frauda informatică se manifestă într-o varietate de forme și metode specifice, multe dintre acestea având denumiri tehnice deja intrate în limbajul comun. În continuare vom descrie principalele fenomene asociate și modul în care ele se încadrează în peisajul infracțional:

• Phishing – reprezintă una dintre cele mai răspândite modalități de inițiere a unei fraude informatice. Termenul provine de la ideea de „pescuire” a datelor confidențiale ale victimelor. Infractorii trimit mesaje false (e-mailuri, SMS-uri – așa-numitul smishing, sau mesaje pe chat – phishing pe social media) care par a proveni din surse de încredere (bănci, instituții, companii cunoscute) și îi solicită țintei să divulge informații sensibile: credențiale de autentificare, coduri PIN, numere de card, etc. O variantă sofisticată este crearea de site-uri web false care mimează aproape perfect site-ul real al instituției – utilizatorul este indus în eroare și își introduce datele, care ajung astfel la atacatori (cazul prezentat la secțiunea 3 este un exemplu clasic de phishing bancar). Phishing-ul poate conduce la comiterea unei fraude informatice propriu-zise în momentul în care atacatorul folosește datele obținute pentru a accesa contul victimei și a transfera bani (aceasta devine infracțiunea de la art. 249 sau art. 250 CP, după caz). Legea română sancționează explicit aceste fapte – introducerea de date false într-un sistem informatic în scopul obținerii unui folos este frauda informatică, iar folosirea fără consimțământ a unui instrument de plată (ex: datele de card/phishing) este infracțiunea prevăzută de art. 250 CP[36]. Un exemplu practic: numeroase bănci din România avertizează periodic asupra campaniilor de phishing prin e-mail în care clienților li se cere „verificarea contului” sau „resetarea parolei” accesând un link; cei care cad în plasă și introduc datele riscă să își vadă conturile golite ulterior de către fraudatori. Phishing-ul este atestat ca fiind vectorul principal de atac pentru criminalitatea cibernetică – conform rapoartelor ENISA, „phishing-ul este din nou cel mai comun vector de acces inițial” folosit de atacatori[1]. Din perspectivă juridică, cel care creează și distribuie astfel de mesaje înșelătoare și site-uri false poate răspunde pentru fraudă informatică (dacă produce pagubă) și fals informatic (pentru reproducerea siglei/identității entității reale, de exemplu).
• Spoofing – termen ce se referă la „înșelarea” identității unui sistem sau a unei comunicări. În contextul fraudelor, spoofing-ul poate îmbrăca mai multe forme: spoofing de e-mail (atacatorul trimite e-mailuri ce par a proveni de la o adresă legitimă, de exemplu de la directorul companiei, de la parteneri de afaceri – tehnică folosită în Business Email Compromise, unde contabilii sunt păcăliți să vireze bani în contul atacatorilor pe baza unor e-mailuri falsificate), spoofing de IP (folosit uneori pentru a se ascunde urmele accesului ilegal sau pentru a prelua sesiuni de comunicare), caller ID spoofing (apeluri telefonice în care atacatorii afișează numărul unei instituții reale – ex: pretind că sună de la bancă sau de la poliție – pentru a obține date sau plăți). Spoofing-ul este astfel un mijloc de inginerie socială ce facilitează frauda. În sine, actul de spoofing (ex. falsificarea antetelor de e-mail) poate fi încadrat la fals informatic (art. 325 CP) – „modificarea datelor informatice care au valoare probatorie”, întrucât un e-mail conține date ce atestă identitatea expeditorului[37]. Dar infractorii îl folosesc ca etapă pregătitoare pentru a comite ulterior fie înșelăciune (dacă victima transferă bani voluntar crezând mesajul), fie fraudă informatică (dacă se obține acces în sistem). De pildă, în fraudele de tip BEC (Business Email Compromise) – care au făcut numeroase victime și în România – infractorii compromit contul de e-mail al unui manager sau creează unul foarte asemănător, apoi trimit dispoziții de plată către departamentul financiar al firmei, solicitând urgent transferul unei sume în contul indicat (care aparține fraudatorilor). Astfel de fapte pot fi încadrate ca fraudă informatică (introducerea de comenzi financiare neautorizate în sistemul de plăți al firmei), cu concurs la fals informatic și, uneori, acces ilegal la sistem (dacă e-mailul original a fost hackuit).
• Skimming – este procedeul de copiere a datelor de pe banda magnetică sau cipul cardului bancar, de obicei prin instalarea de dispozitive ilegale pe bancomate (ATM) sau pe terminalele de plată ale comercianților. Atacatorii instalează un cititor suplimentar de card (un skimmer) și adesea o cameră sau o tastatură falsă pentru a capta PIN-ul. Datele sunt apoi folosite pentru a clona carduri și a retrage numerar fraudulos. Skimming-ul a fost foarte prevalent în anii 2000-2010; în prezent, migrând la carduri cu cip și autentificare 2FA, incidența lui a scăzut în UE, dar nu a dispărut complet. Din punct de vedere legal, skimming-ul poate fi încadrat astfel: montarea dispozitivului și sustragerea datelor de card constituie operațiuni ilegale cu dispozitive sau programe informatice (art. 365 CP prevede pedepsirea deținării sau furnizării de dispozitive destinate comiterii de infracțiuni informatice), iar clonarea cardului și retragerea de numerar intră fie la fraudă informatică, fie la infracțiunea specială de efectuare de operațiuni financiare în mod fraudulos (art. 250 CP) – utilizarea unui instrument de plată fără consimțământul titularului[36]. În Codul penal anterior, asemenea fapte erau incriminate în Legea 365/2002 (art. 24-28 ale legii, toate abrogate la 2014[24][25]). În practică, mulți autori de skimming români au fost prinși și condamnați fie în România, fie în țările unde acționau (ex. Italia, Spania, SUA). Un element interesant este că legea sancționează și fabricarea sau deținerea dispozitivelor de skimming: art. 365 CP prevede închisoare 6 luni-3 ani pentru acele unelte (cititoare, echipamente hardware/software) concepute pentru a servi la infracțiuni informatice. Așadar, simpla confecționare a unui aparat de copiat carduri, fără altă acțiune, poate atrage răspunderea. În cazul rețelelor de crimă organizată, de obicei unii membri erau specializați pe construirea acestor aparate și culegerea datelor, alții pe clonare și retrageri. Imaginea de mai jos arată un exemplu de dispozitive artizanale folosite la fraudarea ATM-urilor, confiscate de autorități în cooperare internațională[38][39].
• Atacuri de tip Man-in-the-Middle (MitM) – reprezintă o formă mai avansată de interceptare și modificare a comunicării dintre două părți (utilizator și server) de către un atacator interpus. În contextul fraudelor, un MitM poate permite preluarea controlului asupra unei sesiuni bancare online: de exemplu, victima accesează un site autentic, dar atacatorul a compromis rețeaua (sau folosește un malware în calculatorul victimei) și interceptează autentificarea, reușind să injecteze tranzacții neautorizate. Sau în cazul comunicațiilor nesecurizate, atacatorul poate intercepta mesaje (inclusiv e-mailuri sau trafic web) și insera propriile instrucțiuni. Un scenariu concret: infractorii compromit adresa de e-mail a unui furnizor și, chiar în timpul unei corespondențe legitime dintre victimă și furnizor, atacatorii interceptează și modifică mesajele astfel încât contul bancar din factură să fie înlocuit cu al lor – victima efectuează plata către contul greșit (fraudă MitM în combinație cu BEC). Legal, aceste fapte pot îmbrăca mai multe infracțiuni: interceptarea ilegală a unei transmisii de date (art. 361 CP) – pedepsește captarea fără drept a datelor informatice transmise[40], plus dacă se produc transferuri neautorizate, se adaugă frauda informatică sau înșelăciunea, după caz. Atacurile MitM sunt relativ greu de dovedit, necesitând investigații informatice aprofundate pentru a identifica punctul de compromis și autorul. În România au existat cazuri investigate de interceptări ilegale de date (unele legate de spionaj informatic), iar pe zona financiară s-au întâlnit situații de tip MitM în dosare BEC internaționale, implicând și cetățeni români (acționând ca hackeri sau ca mule pentru sumele furate).
• Fraude pe platforme online – includ multiple tipologii, de la vânzări fictive pe site-uri de anunțuri, la înșelăciuni pe platforme de licitație sau marketplace și până la fraude prin intermediul rețelelor de socializare. Un exemplu comun este înșelăciunea cu produse inexistente: infractorul postează un anunț atrăgător (preț foarte mic la un telefon, mașină, etc.), obține un avans de la cumpărător și apoi dispare. Așa cum am arătat, aceste fapte sunt de regulă încadrate la înșelăciune și necesită plângerea prealabilă a victimei pentru a fi investigate (în forma tipică). Tot în această categorie intră fraudele de tip phishing pe site-uri de comerț: trimiterea de link-uri false clienților (ex: un cumpărător primește un link de la pretinsul vânzător care îl direcționează spre o pagină clonă de curierat/plată online unde își introduce datele de card – care ajung la atacator, fiind apoi folosite pentru tranzacții). Platformele de anunțuri din România (OLX, Publi24 etc.) au implementat avertismente vizibile despre aceste practici și colaborează cu poliția în investigarea cazurilor. O altă zonă este frauda pe platforme de tranzacționare/criptomonede: de exemplu, site-uri fantomă de investiții care promit profituri mari – utilizatorii depun fonduri într-un așa-zis cont de investiții, văd câștiguri fictive pe platformă, dar când vor să retragă banii descoperă că nu se poate, iar escrocii dispar cu criptomonedele (schemă piramidală tip investment scam). DIICOT a investigat recent o astfel de mega-escrocherie: o platformă fictivă de investiții online care a păgubit peste 100 de persoane cu circa 4,8 milioane euro, promițându-le câștiguri din trading de criptomonede[41]. Și aceste fapte pot fi încadrate ca fraudă informatică (platforma prezentată fals ca reală, introducerea de date false privind soldurile etc., pentru a obține bani de la victime).

Spoofing-ul de identitate pe platforme sociale a dat naștere și el la numeroase fraude: de exemplu, escrocherii sentimentale (romance scams) pe Facebook/Tinder unde infractorul se dă drept altcineva și cere ulterior bani sub diverse pretexte. Aceste fraude de tip social engineering sunt în esență tot înșelăciuni, dar mijlocul folosit (internetul) și anonimitatea complică investigarea. Poliția Română (inclusiv prin Serviciul de Combatere a Infracțiunilor Informatice) atrage atenția asupra acestor scheme și cooperează în rețele internaționale de combatere (precum operațiunile INTERPOL HAECHI împotriva fraudelor online). În 2024, o operațiune globală INTERPOL (HAECHI V) a dus la peste 5.000 de arestări și recuperarea a 180 milioane USD, vizând tocmai fraudele de tip phishing, escrocherii romantice, investiții false și compromiterea e-mailurilor de afaceri[42]. România a participat activ la aceste eforturi, având și ea victime și autori implicați în scheme transfrontaliere.

În concluzie, frauda informatică nu apare izolată, ci în conjuncție cu o varietate de tehnici și fenomene specifice mediului digital. Phishing-ul, spoofing-ul, skimming-ul, atacurile MitM, fraudele de platformă – toate sunt instrumente sau metode prin care infractorii ajung să comită fie infracțiunea de fraudă informatică, fie infracțiuni înrudite. Cunoașterea acestor fenomene este esențială pentru juriști: atât la încadrarea juridică exactă a faptelor (de exemplu, când este fraudă informatică vs. când e înșelăciune), cât și la identificarea mijloacelor de probă (expertize IT, log-uri de server, camere de supraveghere la ATM etc.). Mai mult, conștientizarea publicului cu privire la aceste moduri de operare contribuie la prevenție – o bună parte din fraude pot fi evitate prin igienă digitală (verificarea sursei mesajelor, evitarea divulgării datelor sensibile, folosirea autentificării în doi pași ș.a.[43]).

5. Drept comparat: abordări în Germania, Franța, SUA (legislație, sancțiuni, modele de urmărire penală)

Fenomenul fraudei informatice este universal, iar legislațiile naționale abordează într-un mod convergent această infracțiune, deși există diferențe terminologice și de sistem. Vom examina pe scurt modul în care este reglementată computer fraud în câteva jurisdicții de referință – Germania, Franța și Statele Unite – evidențiind atât asemănările cu modelul românesc, cât și particularitățile locale.

Germania: Codul penal german (Strafgesetzbuch – StGB) prevede explicit infracțiunea de „Computerbetrug” (fraudă informatică) la §263a StGB. Textul german este foarte asemănător cu cel românesc, fiind de altfel una dintre sursele de inspirație la nivel european. Potrivit §263a alin. (1) StGB, „cine, cu intenția de a obține pentru sine sau pentru altul un beneficiu material necuvenit, provoacă un prejudiciu patrimoniului altuia prin influențarea rezultatelor unui proces de prelucrare electronică a datelor, prin configurarea incorectă a programului, folosirea de date false sau incomplete, folosirea neautorizată de date ori orice altă influențare neautorizată a cursului procesării, se pedepsește cu închisoare până la 5 ani sau cu amendă.”[44]. Se observă elementele familiare: acțiuni de input sau manipulare neautorizată a datelor care duc la un rezultat financiar injust. Pedeapsa maximă este de 5 ani (deci ușor mai mică decât în dreptul român, care prevede 7 ani maxim). Totuși, legea germană prevede agravante în §263 (frauda clasică) aplicabile mutatis mutandis: de exemplu, dacă prejudiciul depășește un anumit prag sau dacă fapta e comisă de grup organizat, se poate încadra într-un „caz deosebit de grav” cu pedepse până la 10 ani[45]. O particularitate a legii germane este că incriminează separat și pregătirea fraudei informatice: §263a alin. (3) StGB pedepsește cu până la 3 ani pe cel care creează sau furnizează programe informatice destinate să comită o astfel de infracțiune[46]. Practic, scrierea de malware financiar (ex: keylogger, troian bancar) devine infracțiune chiar dacă nu a fost utilizat efectiv încă – o prevedere menită să descurajeze dezvoltarea de unelte de hacking. În Germania, multe cazuri de fraudă informatică implică cybercrime rings care sunt judecați pentru fraude masive cu carduri (skimming) sau fraude online (phishing). Autoritățile germane cooperează intens în cadrul Europol pentru aceste rețele (de exemplu, operațiuni comune cu poliția română în cazuri de skimming la bancomate). Codul german, ca și cel român, a fost modificat în 2021 pentru a implementa Directiva UE 2019/713 – astfel, faptele de utilizare frauduloasă a mijloacelor de plată fără numerar sunt și ele sancționate.

Franța: Codul penal francez nu folosește termenul de „fraudă informatică” ca atare, însă cuprinde un set de infracțiuni în Titlul II – Des atteintes aux systèmes de traitement automatisé de données (art. 323-1 și urm. C. pén.) care acoperă faptele de acces neautorizat, menținere neautorizată, alterare de date și perturbare de sisteme. În legislația franceză, escrocheria (înșelăciunea) rămâne incriminarea principală pentru obținerea pe nedrept a unui avantaj patrimonial prin inducerea în eroare a unei persoane (art. 313-1 C. pén.), iar aceasta se aplică și situațiilor online fără intervenție tehnică (similar distincției trasate de ICCJ la noi). Pentru situațiile în care se aduce atingere integrității sistemelor sau datelor pentru a frauda, francezii apelează la combinația de infracțiuni informatice din art. 323 și escroquerie sau fals, după caz. De exemplu, art. 323-3 C. pén. prevede că introducerea frauduloasă de date într-un sistem informatic sau modificarea/suprimarea frauduloasă de date existente se pedepsește cu 5 ani închisoare și 75.000 € amendă[47]. Această infracțiune se aplică oricărei manipulări neautorizate a datelor – fie că scopul a fost sabotarea, fie obținerea unui câștig. Dacă concomitent s-a indus în eroare o persoană pentru câștig, procurorii francezi pot reține și infracțiunea de escroquerie, însă în practică, când elementul tehnic e dominant, se merge pe art. 323. De asemenea, Franța are incriminată „falsificarea mijloacelor de plată” (în alt titlu, privind falsurile în instrumente de plată), ceea ce acoperă clonarea de carduri și utilizarea lor frauduloasă – aspect reglementat prin transpunerea directivelor UE. Un plus interesant: Franța sancționează și tentativa și complicitatea la aceste infracțiuni informatice la fel ca fapta consumată, iar instanțele aplică frecvent pedepse complementare (de exemplu, interdicția de a exercita o profesie legată de informatică în caz de abuz de funcție).

În ceea ce privește modelul de urmărire penală: Franța, ca și România, dispune de unități specializate (ex: OCLCTIC – Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication) și participă la echipe comune de anchetă în Europa. Sancțiunile aplicate în cazurile mari sunt similare numeric cu cele din România (5-7 ani pentru fraude de anvergură, uneori mai mult dacă sunt concursuri de infracțiuni). Un exemplu cunoscut: în dosarul de fraude cu Bitcoin „MTIC” (carusel TVA cu criptomonede) judecat la Paris, inculpații – printre care și cetățeni români – au primit pedepse peste 7 ani.

Statele Unite: În SUA, legislația privind infracțiunile informatice este atât la nivel federal, cât și la nivel statal. Legea-cadru federală este Computer Fraud and Abuse Act (CFAA), 18 U.S.C. §1030, care definește o serie de fapte penale legate de acces neautorizat la sisteme informatice și fraude prin computere. CFAA a fost adoptată încă din 1986 și amendată ulterior, pornind de la necesitatea de a aborda fapte care nu se încadrau bine în infracțiunile tradiționale de mail fraud sau wire fraud[48][49]. CFAA prevede că este infracțiune accesarea intenționată, fără autorizație, a unui computer protejat (concept care include sisteme guvernamentale, financiare sau implicate în comerț interstatal) în scopul obținerii de informații, provocării de daune sau comiterii unei fraude. De exemplu, 18 U.S.C. 1030(a)(4) incriminează accesul fraudulos la un computer cu intenția de a obține ceva de valoare, prin intermediul oricărui mod de înșelăciune (sună foarte similar cu definiția fraudei informatice)[50]. Sistemul american nu are un echivalent direct al art. 249 CP ca număr, dar combină adesea această secțiune 1030 cu acuzația de wire fraud (fraudă electronică, 18 U.S.C. §1343) în cazurile de fraude online, și cu aggravated identity theft (18 U.S.C. §1028A) dacă s-au folosit datele altei persoane.

Ca sancțiuni, regimul american tinde să fie mai dur: infracțiunile informatice federale pot fi încadrate drept felony (crimă) cu pedepse care pornesc de la 5 ani și pot ajunge la 10-20 de ani pentru cazuri grave sau recidivă. Mai mult, judecătorii federali aplică sentencing guidelines care, în funcție de prejudiciu și numărul victimelor, pot crește mult anii de închisoare. Avem exemple concrete: doi hackeri români condamnați în 2018 în SUA pentru infectarea a zeci de mii de calculatoare cu malware de furt bancar (cazul Bayrob) au primit pedepse cumulate de 20 de ani și respectiv 18 ani de închisoare federală[51]. În acel caz, li s-au imputat fraude informatice de peste $4 milioane, constituire de grup infracțional (conspiracy) și spălare de bani. Un alt exemplu, discutat la secțiunea anterioară: gruparea care a atacat POS-urile Subway – liderul (Adrian O.) a primit 15 ani, iar complicele său 7 ani în SUA[31][27], pedepse considerabil mai mari decât probabil ar fi primit în Europa pentru un prejudiciu de $10 milioane (acolo s-au cumulat mai multe capete de acuzare: computer fraud, wire fraud, access device fraud). Abordarea americană este de asemenea marcată de folosirea intensă a cooperării internaționale: autorii străini sunt deseori extrădați pentru a fi judecați în SUA dacă victimele sau sistemele afectate sunt americane. România are un istoric bogat de extrădări în astfel de cazuri, datorită atât Convenției de la Budapesta (cooperae judiciară), cât și parteneriatului cu autoritățile americane. De pildă, hackerul român guccifer (Marcel L.) – cunoscut pentru accesarea ilegală a conturilor unor oficiali SUA – a fost extrădat și condamnat în Virginia la 52 de luni închisoare sub acuzația de computer fraud și identity theft.

Una din provocările sistemului american a fost definirea limitelor infracțiunii de acces neautorizat: abia în 2021, Curtea Supremă (cazul Van Buren v. United States) a interpretat CFAA restrângând aplicarea la cazurile cu adevărat neautorizate (nu și la cele în care cineva are acces legal dar îl folosește în scop nepotrivit). Așadar, discuții similare de interpretare apar peste tot – cum delimităm frauda informatică de abuzul de funcție sau de încălcarea termenilor contractuali?

Alte jurisdicții: Multe țări au adoptat dispoziții inspirate fie direct din Convenția Cybercrime a Consiliului Europei (care cere incriminarea „computer-related fraud”), fie din directivele UE. De exemplu, Italia include frauda informatică la art. 640-ter Cod Penal (introducerea sau modificarea de date/computer pentru profit injust, pedepsită cu 6 ani max, agravată la 7-15 ani dacă e contra statului). Spania o are la art. 248-249 CP ca variantă a înșelăciunii.

Comparativ, putem concluziona că: (i) Definițiile legale sunt asemănătoare în esență – toate cer o manipulare neautorizată a unui sistem sau date, cu scop de câștig injust și producerea unui prejudiciu; (ii) Pedepsele variază între 5 și 10 ani în mod uzual ca maxim, cu posibilitatea de agravare la daune masive sau grup organizat (și în SUA pedepsele pot fi mult mai mari datorită cumulului de infracțiuni); (iii) Practica urmăririi penale – statele cooperează tot mai mult prin entități ca Europol, Eurojust, FBI, INTERPOL, realizând echipe comune și predând suspecții către țările unde pot fi trași la răspundere mai eficient. De exemplu, Germania colaborează cu România în cadrul Joint Investigation Teams (cum a fost JIT RO-UK 2025 pentru fraude la ATM[52][53]), Franța a recurs la mandate europene de arestare pentru cetățeni români implicați în fraude online comise pe teritoriul francez, iar SUA colaborează prin MLATs și extrădări (uneori inculpând în lipsă hackeri ruși sau chinezi, chiar dacă nu îi pot aresta, pentru a lansa un mesaj).

Un aspect de menționat este că abordarea americană a inspirat crearea infracțiunilor noastre, dar a și generat dezbateri privind protecția cercetării și a hacking-ului etic. În timp ce legislația europeană (inclusiv România) prevede în general că acțiunile autorizate sau în scop de testare cu acordul proprietarului nu sunt infracțiuni, în SUA formularea CFAA a fost criticată ca prea largă. Recentul tratat ONU (vezi secțiunea 6) a readus în discuție necesitatea de a proteja ethical hacking-ul de interpretări abuzive. De pildă, Microsoft a subliniat că definițiile infracțiunilor cibernetice trebuie să includă explicit cerința de intenție criminală, pentru a nu incrimina din greșeală experții în securitate cibernetică ce testează sisteme[54].

În concluzie, dreptul comparat arată o tendință generală de armonizare în domeniul fraudei informatice: majoritatea statelor au incriminări echivalente, influențate de instrumente internaționale (Convenția CoE, directive UE). Diferențele apar în gradul sancțiunilor și în modul de aplicare (ex. SUA – pedepse severe, multe extrădări; Europa – accent pe cooperare judiciară și prevenție). Pentru un avocat român, cunoașterea abordărilor din alte țări este utilă mai ales în cazurile transfrontaliere: de exemplu, înțelegerea legislației germane sau franceze poate fi vitală când reprezinți un client investigat de autoritățile acelor state pentru o fraudă informatică săvârșită din România.

6. Organisme internaționale relevante: Europol, ENISA, INTERPOL, OCDE, UNODC – rapoarte și statistici

Combaterea fraudei informatice depășește granițele oricărui stat, astfel că organizațiile internaționale și regionale joacă un rol crucial în coordonarea eforturilor, elaborarea politicilor și furnizarea de expertiză. Vom trece în revistă principalele astfel de organisme și contribuțiile lor (inclusiv unele date statistice relevante):

• Europol – Agenția Uniunii Europene pentru cooperare în materie de aplicare a legii, are un centru specializat European Cybercrime Centre (EC3) dedicat combaterii criminalității cibernetice, inclusiv a fraudei informatice și a fraudelor cu mijloace de plată. Europol publică anual raportul IOCTA (Internet Organised Crime Threat Assessment), care identifică tendințele și amenințările majore. În rapoartele IOCTA din ultimii ani, Europol a evidențiat că fraudele online financiare rămân printre cele mai prolifice forme de criminalitate cibernetică, fiind facilitate de instrumente precum phishing-as-a-service, troieni bancari și rețele de money mules. De exemplu, Europol a coordonat operațiuni împotriva unei rețele de phishing la scară industrială, cu peste 480.000 de victime global (caz destructurat împreună cu Ameripol)[2][3]. De asemenea, a sprijinit acțiuni țintite împotriva fraudelor cu carduri (ex. Operațiunea Carding Action – cu sute de arestări). Pe lângă rapoarte, Europol pune la dispoziție statelor membre sisteme de schimb de informații (SIENA), baze de date cu incidente, și experți care pot analiza fluxuri financiare și blockchain pentru a urmări fondurile fraudate. Un exemplu notabil: Europol a participat la investigația comună România-Moldova privind spălarea banilor proveniți din phishing, oferind analiză de date și trimițând un analist la fața locului[55][56]. Acest sprijin a facilitat descoperirea a peste 30 de victime și pagube de 20 milioane € în acel caz[57][58].
• ENISA (European Union Agency for Cybersecurity) – este agenția UE care se concentrează pe securitatea cibernetică, având un rol predominant tehnic și de politici. ENISA elaborează anual Raportul privind peisajul amenințărilor (Threat Landscape), care acoperă și amenințările legate de fraude digitale. Conform ENISA Threat Landscape 2023, atacurile de tip phishing și compromitere de e-mail rămân principalele amenințări la adresa sectorului financiar, iar infractorii cibernetici își diversifică metodele, inclusiv utilizarea de inteligență artificială pentru a genera conținut de înșelăciune mai credibil (de exemplu, e-mailuri sau mesaje vocale false)[59][60]. ENISA furnizează și statistici: în perioada 2022-2023, au fost documentate peste 2.500 de incidente cibernetice semnificative în UE, dintre care o bună parte (aproximativ 10%) țin de fraude și escrocherii online (inclusiv phishing)[61]. De asemenea, ENISA realizează exerciții la nivel european (Cyber Europe) care includ scenarii de fraudă la scară mare pentru a antrena răspunsul comun. Rolul ENISA pentru juriști este indirect – recomandările sale tehnice pot influența standardele de due diligence în securitatea datelor (de exemplu, dacă o bancă nu implementează măsuri de securitate recomandate de ENISA și cade victimă unei fraude, se poate pune problema răspunderii civile).
• INTERPOL – Organizația Internațională de Poliție Criminală acționează la scară globală, facilitând cooperarea polițienească între 195 de țări. Are și aceasta o divizie dedicată criminalității informatice. INTERPOL coordonează periodic operațiuni globale împotriva fraudelor cibernetice – un exemplu menționat: operațiunea HAECHI V (2024) care a implicat 30 de țări, incluzând România, și care a vizat 7 tipuri de fraude online (phishing vocal/Vishing, escrocherii romantice, sextorcție, fraude de investiții, fraude în jocuri de noroc online, BEC ș.a.)[42][62]. Rezultatele au fost impresionante: peste 5.500 de persoane arestate la nivel global și recuperarea a circa 180 milioane USD în active financiare furate[42]. O altă operațiune, First Light 2024, a țintit call center-urile de scam (inclusiv cele de tip „Windows support scam”) și a condus la confiscarea a 257 milioane USD și zeci de arestări[63]. INTERPOL facilitează totodată Notițele Polițienești (notice-uri) – de exemplu, emite Notice-uri Violet pentru moduri de operare noi ale infractorilor cibernetici, informând țările membre despre noile tipare de fraudă. Un exemplu: în 2020, INTERPOL a emis o avertizare globală privind creșterea fraudelor legate de pandemia COVID-19 (vânzări online de produse medicale inexistente, phishing tematic COVID, etc.). Pentru România, colaborarea prin INTERPOL a ajutat la prinderea unor fugari implicați în fraude online, care se refugiaseră în țări îndepărtate.
• OCDE (Organizația pentru Cooperare și Dezvoltare Economică) – deși nu este o agenție de aplicare a legii, OCDE se ocupă de politici economice și, implicit, de securitatea economiei digitale. OCDE a publicat studii despre impactul economic al fraudelor online și protecția consumatorilor în era digitală. Un raport OCDE indică faptul că consumatorii în vârstă sunt deseori mai vulnerabili la escrocheriile online, peste 50% dintre pierderile cauzate de fraude în anumite țări provenind de la persoane de peste 60 de ani[64]. OCDE promovează totodată bune practici pentru siguranța plăților digitale: recomandă țărilor membre să educe consumatorii, să îmbunătățească securitatea autentificării (ex: standardul PSD2 de autentificare puternică a clientului), să încurajeze schimbul de informații despre incidente între bănci și autorități. De asemenea, OCDE ține evidența statistică a criminalității economice, unde fraudele informatice intră într-o categorie emergentă. Rolul OCDE este important la nivel de politici publice – de exemplu, România poate adopta strategii naționale inspirate din liniile directoare OCDE pentru prevenirea și combaterea fraudei cibernetice (prin implicarea ANPC, a autorităților de protecție a datelor, etc.).
• UNODC (United Nations Office on Drugs and Crime) – Oficiul ONU dedicat drogurilor și criminalității a extins mandatul și asupra criminalității informatice, în special ajutând țările în curs de dezvoltare să își construiască capacități. UNODC a publicat în 2013 un Studiu global privind criminalitatea cibernetică, care estima că prejudiciile anuale cauzate de infracțiunile informatice se ridicau la sute de miliarde la nivel mondial, subliniind totodată că există un deficit de raportare (multe fraude online rămân nereclamate, fie din lipsa încrederii în autorități, fie din rușinea victimelor, fie pentru că sunt mici și dispersate). UNODC administrează acum și Programul Global de combatere a criminalității cibernetice, oferind asistență tehnică și juridică în diverse regiuni (inclusiv Europa de Est). Un aspect notabil: sub egida ONU a fost negociată o nouă Convenție privind criminalitatea informatică (Tratatul ONU anti-cybercrime), care a fost deschis spre semnare la Conferința de la Hanoi din octombrie 2025[65]. Această convenție are ca scop consolidarea cooperării internaționale și definirea unor standarde comune, incluzând infracțiuni precum frauda informatică, contrafacerea mijloacelor de plată, atacurile ransomware etc. Potrivit comunicatelor oficiale, aproximativ 70 de țări au semnat noua Convenție ONU împotriva criminalității cibernetice în 2025, ceea ce reprezintă un pas important spre un cadru global unificat[66]. Tratatul trebuie ratificat de cel puțin 40 de state pentru a intra în vigoare[67]. România, ca stat activ în negocieri, probabil va semna și ratifica convenția, consolidând astfel instrumentele legale pentru a solicita și oferi asistență juridică altor țări în cazuri de fraudă informatică (complementar Convenției de la Budapesta).

Pe lângă aceste entități, merită menționată și Eurojust (tratată în secțiunea 7, la cooperarea judiciară) care, deși nu publică rapoarte statistice ca atare, facilitează cazuri concrete și produce comunicate ce reflectă tendințe (ex: tot mai multe echipe comune formate pentru fraude cu criptomonede, arată că fenomenul se extinde în acea direcție).

Statisticile globale legate de frauda informatică sunt dificil de centralizat complet, dar câteva repere: un raport al Centrului de Plângeri pentru Criminalitate Internet (IC3) al FBI arată că în 2022 s-au înregistrat peste 800.000 de plângeri de criminalitate informatică, cu pierderi declarate de peste $10 miliarde – dintre care fraudele de investiții, compromiterea e-mailurilor de afaceri și escrocheriile de tip tech support au generat cele mai mari prejudicii. În Europa, estimările de la Comisia Europeană arată că fraudele legate de plăți fără numerar au adus pierderi anuale de circa €1,8 miliarde (conform datelor din 2019 pe care s-a fundamentat Directiva 2019/713). OCDE a sugerat că cifra reală ar putea fi mai mare, dat fiind că nu toate incidentele sunt raportate de instituțiile financiare de teama prejudicierii reputației.

Rezumând, organismele internaționale furnizează atât cunoștințe și date cruciale privind evoluția fenomenului de fraudă informatică, cât și mecanisme operaționale de combatere (echipe mixte, rețele de experți, capacități de urmărire a banilor). Pentru practicienii dreptului, rapoartele acestor entități pot fi surse utile de context – de exemplu, pentru a demonstra instanței cât de sofisticat este un atac (invocând că mod de operare similar a fost remarcat de Europol într-un raport), sau pentru a argumenta necesitatea unor anumite măsuri (ex: confiscări extinse bazate și pe recomandările internaționale de a decapitaliza rețelele criminale). De asemenea, aceste organisme pun accentul și pe protecția drepturilor omului în investigarea criminalității informatice – un aspect esențial mai ales în discuțiile despre noile puteri de supraveghere (multe voci – ONU, OCDE – subliniază că în combaterea fraudei online nu trebuie sacrificate drepturi la viață privată sau libertatea de exprimare[68][69]).

În concluzie, lupta împotriva fraudei informatice are o puternică dimensiune internațională, iar cunoașterea și colaborarea cu organismele specializate devin o parte integrantă a oricărei strategii eficiente de contracarare a acestor infracțiuni.

7. Cooperare internațională: OLAF, Eurojust, mandate de extrădare și anchete transfrontaliere

Natura transfrontalieră a infracțiunilor informatice – în care autorul, victima, serverele și banii se pot afla în jurisdicții diferite – face ca cooperarea internațională să fie adesea singura modalitate de a investiga și urmări penal eficient aceste fapte. În această secțiune vom detalia câteva mecanisme și instituții cheie prin care se realizează colaborarea între state în cazurile de fraudă informatică, inclusiv rolul OLAF și Eurojust, precum și procedurile de extrădare și echipele comune de anchetă.

• OLAF (Oficiul European de Luptă Antifraudă) – este organismul UE însărcinat cu protejarea intereselor financiare ale Uniunii, investigând fraude care afectează bugetul UE (fonduri europene, evaziuni vamale, contrabandă, etc.). Deși OLAF se ocupă mai puțin de fraude informatice per se, are relevanță în situațiile în care mijloacele digitale sunt folosite pentru a frauda fonduri europene. Un exemplu posibil: dacă o grupare sparge sistemele informatice ale unei agenții care gestionează fonduri UE și deturnează plăți (o fraudă informatică ce produce prejudiciu bugetului UE), OLAF s-ar putea implica. OLAF cooperează strâns cu autoritățile naționale și cu Parchetul European (EPPO) în prezent. Până acum, nu au fost cazuri foarte mediatizate de atacuri cibernetice asupra fondurilor UE, însă OLAF a semnalat că odată cu digitalizarea gestionării fondurilor, apar riscuri noi – de exemplu, frauda cu instrumente de plată electronice pentru accesarea fondurilor, sau falsificarea digitală de documente în aplicațiile online pentru granturi. OLAF are puterea de a efectua investigații administrative și recomandă cazurile spre urmărire penală națională. În contextul discuției noastre, OLAF este mai degrabă un actor de cooperare indirectă, oferind expertiză antifraudă.
• Eurojust – Agenția UE pentru cooperare judiciară în materie penală este extrem de importantă în cazurile transfrontaliere complexe, cum sunt multe dintre fraudele informatice. Eurojust facilitează formarea echipelor comune de anchetă (Joint Investigation Teams – JITs) și coordonează executarea mandatelor europene de arestare sau a ordinelor europene de investigație. Pentru exemplificare, în iunie 2025 Eurojust a sprijinit o operațiune comună România–Republica Moldova împotriva unei rețele de phishing și spălare a banilor, asigurând înființarea unui JIT și finanțarea acestuia[70][71]. Prin cooperarea transfrontalieră, au avut loc simultan percheziții în 44 de locații din ambele țări, identificându-se zeci de victime din toată Europa și un prejudiciu de ~20 milioane EUR[72][58]. Eurojust a facilitat nu doar partea judiciară (acordul de constituire a JIT, rezolvarea problemelor de competență), dar a și sincronizat momentul acțiunii. Un alt caz, din iulie 2025: Eurojust a coordonat acțiunile autorităților române și britanice contra unei rețele de fraudă la ATM-uri (caz discutat anterior, cu 580.000 EUR furați din bancomate în UK). Aici, Eurojust a asistat la pregătirea Action Day-ului în România și la schimbul de informații probatorii, iar Europol a oferit suport analitic[73][52]. Ca rezultat, mai mulți suspecți au fost reținuți în România și alți 8 inculpați în Marea Britanie, demersul fiind un exemplu de cooperare judiciară și polițienească integrată[74][75].

Eurojust mai are un rol vital în evitarea conflictelor de competență: în fraudele informatice globale, de multe ori mai multe țări ar putea revendica dreptul de a urmări penal (ex: autorul e român, victime în Germania, servere în Olanda). Eurojust facilitează acorduri de distribuire a cazului – de exemplu, se poate conveni ca țara unde s-a produs paguba cea mai mare să preia procedurile și ceilalți să transfere dosarele. Pentru avocați, Eurojust oferă un canal transparent de comunicare cu autoritățile din alte state, ceea ce poate grăbi de exemplu obținerea de dovezi sau audierea unor martori străini.

• Mandate de extrădare / Mandate Europene de Arestare (MEA): Extradarea tradițională și instrumentele moderne precum MEA sunt frecvent utilizate în cazurile de fraude informatice. România, ca stat UE, aplică Mandatul European de Arestare în relația cu celelalte state membre: procedură judiciară simplificată, cu termene stricte, prin care o persoană căutată este predată pentru judecată sau executarea pedepsei. De exemplu, dacă un cetățean român comite o fraudă informatică în Germania (să zicem un phishing ce a păgubit cetățeni germani) și fuge în România, autoritățile germane emit un MEA pe numele său (având la bază un mandat de arestare emis de instanță în Germania), iar Curtea de Apel competentă din România va analiza și cel mai probabil va dispune predarea către Germania, întrucât infracțiunea are echivalent în Codul penal român și nu se opune niciun refuz obligatoriu (frauda informatică fiind incriminată la ambele părți). Astfel de predări sunt deja uzuale. La fel, România a emis MEA către alte state – de exemplu, membri ai grupărilor de carderi care plecaseră în străinătate au fost aduși înapoi pentru a fi judecați aici. Un exemplu: în 2022 autoritățile române au emis un MEA pentru un hacker care se refugiase în Italia după ce a comis fraude informatice; acesta a fost arestat de carabinieri și predat.

În relația cu statele non-UE, se recurge la extrădarea clasică, bazată pe tratate bilaterale sau multilaterale. Relația România-SUA este foarte activă: datorită Tratatului de extrădare din 2007, numeroși suspecți români de fraude informatice au fost extrădați peste ocean. Procedura implică Ministerul Justiției și instanțele (Curtea de Apel București, de regulă, care verifică îndeplinirea condițiilor). Un exemplu deja menționat: extradarea hackerilor care au atacat rețeaua Subway – Oprea a fost extrădat la cererea SUA[33]; la fel, în 2021 un alt hacker român, S. Becheru, a fost extrădat în Texas pentru a fi judecat pentru vânzarea a milioane de numere de card furate[76]. Extrădarea se bazează pe principiul dublei incriminări – ceea ce se cere să fie infracțiune și în statul solicitat (în cazurile noastre, frauda informatică și infracțiuni conexe sunt, deci condiția e îndeplinită). În plus, se asigură că pedeapsa nu e pe viață sau moarte (SUA de obicei dau asigurări că nu vor aplica pedepse extreme la extrădare, deși pedepsele lungi se pot aplica).

• Echipe comune de anchetă (Joint Investigation Teams – JITs): Despre JIT am amintit deja – este instrumentul prin care două sau mai multe țări își desemnează echipe mixte de procurori și ofițeri care lucrează împreună la același caz, împărtășind direct informații și probe, fără birocrația asistenței judiciare. În UE, JIT-urile sunt susținute de Eurojust (inclusiv financiar). Pentru fraude informatice, JIT-urile devin din ce în ce mai populare, dat fiind că suspecții se află deseori răspândiți geografic. România a participat la numeroase JIT-uri: de pildă, JIT-ul Bakovia cu Spania, care a destructurat o rețea de money mules româno-spaniolă ce spăla bani proveniți din phishing; JIT-ul cu Italia într-un caz de card skimming la nivel european; JIT cu SUA (sub formă de task-force comun) în cazul Bayrob. Avantajul JIT este că permite acțiuni simultane (percheziții sincronizate în toate țările implicate, pentru a nu da timp suspecților să-și ascundă urmele) și schimb rapid de date (de ex., un server confiscat într-o țară poate fi analizat imediat și info-ul folosit de echipa din cealaltă țară).
• Cooperarea probatorie (Ordinul European de Anchetă, comisii rogatorii): În lipsa unui JIT, obținerea probelor din alt stat se face prin proceduri de asistență judiciară. În UE există Ordinul European de Anchetă (OEA), care permite solicitarea directă a unor măsuri de investigare în alt stat membru (ex: percheziție la un furnizor de servere în altă țară, obținerea de date de la un provider). În afara UE, se folosesc comisii rogatorii bazate pe Convenția Cybercrime (care are prevederi specifice pentru schimb rapid de informații). Spre exemplu, dacă într-un caz de fraudă informatică în România apare o adresă IP din Rusia, autoritățile române pot trimite, prin canalul Convenției sau al Interpol, o cerere către Rusia de a identifica abonatul IP (din păcate, cooperarea cu state precum Rusia sau China este adesea dificilă din motive politice). Cu statele occidentale însă, cooperarea e bună: România a folosit mult convențiile bilaterale cu SUA pentru a obține de la companii americane (Microsoft, Google, Facebook) datele de trafic și conținut în cauze de fraude online.
• Probleme și soluții: Cooperarea internațională nu este lipsită de provocări. Diferentele legislative – de pildă, țări care nu recunosc infracțiunea sau care au regimuri de protecție a datelor stricte – pot îngreuna obținerea probelor. Un exemplu: în unele țări stocarea meta-datelor de trafic e limitată, deci dacă România cere date despre IP-uri mai vechi de 6 luni, e posibil să nu existe. De asemenea, problema jurisdicției în cloud: dacă datele unei fraude sunt stocate în servere din alt continent, e necesară cooperare prin MLAT, care poate dura. Noile instrumente, inclusiv viitoarea Convenție ONU, caută să simplifice aceste proceduri.

Pentru un avocat care apără într-o cauză de fraudă informatică transnațională, cooperarea internațională poate fi o sabie cu două tăișuri: pe de o parte, aduce probe solide împotriva inculpatului de peste tot din lume; pe de altă parte, oferă oportunități de apărare – se pot contesta procedurile dacă nu au fost respectate rigorile (ex: extrădări contestate pe motive de drepturi ale omului, cum a fost cazul unor hackeri trimiși în țări cu regim sever; sau legalitatea probelor obținute din alt stat fără autorizație adecvată).

Un exemplu: dacă un client român este extrădat în SUA, avocații pot negocia plea bargain cunoscând că în SUA pedepsele sunt mari, eventual cooperând pentru extrădarea altora. Invers, dacă un străin e judecat aici, se va pune problema traducerii tuturor probelor străine, a prezenței martorilor străini (via videoconferință). Eurojust ajută des la aranjarea acestor detalii.

În concluzie, cooperarea internațională este esențială în combaterea fraudei informatice, dată fiind globalizarea acestor infracțiuni. Instituții ca Eurojust, OLAF, INTERPOL, precum și instrumente juridice ca extrădarea și echipele comune, permit depășirea obstacolelor geografice. România este integrată pe deplin în aceste mecanisme – fapt evidențiat de numeroasele cazuri de succes în care infractorii cibernetici au fost aduși în fața justiției prin efort conjugat. Din perspectiva legislativă, este de remarcat că noile inițiative (de exemplu, Convenția ONU împotriva criminalității cibernetice, semnată în 2025[66]) vor furniza și mai multe pârghii de cooperare globală, ceea ce va fi un plus în urmărirea rețelelor ce operează din țări terțe.

8. Probleme de practică: identificarea autorilor, proba intenției, relația cu Legea 161/2003 și Legea 365/2002

Investigarea și judecarea infracțiunilor de fraudă informatică ridică o serie de provocări practice și probleme juridice specifice, dat fiind caracterul tehnic și, uneori, noutatea acestui domeniu. Vom discuta în continuare câteva aspecte problematice frecvent întâlnite: dificultatea identificării autorilor în mediul online, probarea intenției frauduloase, precum și cum se corelează infracțiunea din Codul penal cu legislația specială anterioară (Legea 161/2003, Legea 365/2002).

• Identificarea autorilor: Anonimitatea relativă oferită de Internet este cel mai mare aliat al infractorilor cibernetici. În investigarea unei fraude informatice, organele de urmărire se confruntă cu necesitatea de a depista cine se află în spatele tastaturii. Infractorii își maschează adesea identitatea electronică: folosesc rețele VPN, servere proxy, dark web, adrese de e-mail și domenii înregistrate cu date false, plăți prin criptomonede greu de urmărit. O problemă clasică e atribuirea adreselor IP: faptul că un atac provine de la o anumită adresă IP nu garantează identificarea persoanei, mai ales dacă s-a folosit o rețea Wi-Fi deschisă sau un botnet de computere compromise. De asemenea, când investigația ajunge la un cont bancar unde au fost trimiși banii furați, descoperim adesea că titularul contului este un „money mule” (să zicem un student racolat care și-a închiriat contul pentru comisioane modice) și nu membrul de vârf al grupării. Identificarea autorilor cere deci muncă analitică complexă: corelarea mai multor piese de puzzle – loguri IT, supraveghere video (camerele ATM-urilor, camere de la oficiile poștale de unde se ridică colete cu bunuri cumpărate fraudulos etc.), urme de stil lingvistic în comunicările e-mail, monitorizare sub acoperire a forumurilor de hacking. Odată identificați suspecții, obținerea probelor împotriva lor implică adesea percheziții informatice: ridicarea computerelor/telefoanelor și efectuarea de expertize IT pentru a găsi date incriminatoare (fișiere de wallet, liste de carduri furate, conversații, programe malware). Practic, în multe cazuri, fără acces la dispozitivul autorului este greu de dovedit legătura sa directă cu atacul. Aici intervin și tehnici speciale de investigare: în unele situații, agenții sub acoperire se infiltrează pe forumuri clandestine și câștigă încrederea suspecților pentru a obține informații despre identitatea lor reală. De exemplu, într-un caz internațional, agenți FBI au operat un forum de carding timp de câteva luni (acțiunea Carder Profit), reușind să adune date despre zeci de hackeri, inclusiv unii români. Din perspectivă judiciară, provocarea e ca toate aceste tehnici să respecte legalitatea, altfel probele pot fi contestate (e.g., interceptările online trebuie autorizate, perchezițiile electronice trebuie să respecte ordinele judecătorești, altfel se ajunge la excluderea probelor).
• Proba intenției (aspectul subiectiv): Frauda informatică, ca infracțiune intenționată cu scop special, necesită dovedirea faptului că inculpatul a acționat „cu intenție de a obține un beneficiu material injust”. De multe ori, autorii sunt foarte tineri, eventual studenți la informatică, care pot invoca tot felul de motive: „am intrat în sistem doar ca să testez securitatea”, „a fost o glumă/curiozitate, nu voiam să fur bani”. Spre deosebire de infracțiuni ca înșelăciunea, unde intenția reiese clar din acțiunile de inducere în eroare, la fraudă informatică uneori e mai greu de demonstrat planul infracțional dacă nu s-a reușit efectiv sustragerea banilor. Să zicem că un hacker modifică o bază de date de puncte de loialitate la un magazin online, crescându-și artificial creditul. Dacă este prins înainte de a utiliza acel credit, ar putea susține că n-a avut intenția s-o facă în scop material, deși acțiunea sa tipică indică contrariul. În practică, intenția se deduce din circumstanțe: natura acțiunilor (ex: ascunderea identității, folosirea unui malware conceput să fure parole evidențiază scopul de a frauda), beneficiul potențial (dacă modificarea făcută i-ar fi adus un câștig, e logic că asta urmărea) și eventual din declarațiile sau comunicările inculpatului. De pildă, chat-urile între hackeri pot conține mesaje de genul „vom fura atâția bani din contul X” – probă directă a intenției. Mai complicat e când e implicată o persoană de la interior (insider): un angajat IT al unei companii financează poate argumenta că a rulat un script care a blocat sistemul fără să știe că va provoca pagube. Aici contează mult expertiza – un raport tehnic poate stabili dacă acțiunea era posibil să fie accidentală sau necesita clar cunoștințe și voință. Un alt aspect: infracțiunea fiind una de rezultat (cerând pagubă), se pune problema intenției la tentativă: dacă s-a încercat, dar nu a survenit paguba, intenția de a frauda trebuie dovedită la fel de convingător (de exemplu prin înregistrări în care suspectul discuta planul). În fine, „scuza” pretinsului test de securitate este demontată de obicei prin lipsa consimțământului părții vătămate – dacă cineva ar fi vrut să testeze, ar fi avut nevoie de acordul proprietarului sistemului, altfel e clar o acțiune neautorizată orientată spre un folos.
• Relația cu Legea 161/2003: Această lege-cadru cunoscută și ca Legea pentru asigurarea transparenței în exercițiul demnităților publice și prevenirea corupției a introdus în titlul III (art. 35-61) primele infracțiuni informatice în România, implementând Convenția de la Budapesta (2001). Practic, Legea 161/2003 a completat vechiul Cod penal din 1969 cu infracțiuni precum accesul ilegal la sisteme, falsul informatic, frauda informatică etc. Astfel, frauda informatică și efectuarea de operațiuni financiare frauduloase au fost inițial reglementate la art. 42 și 44 din Legea 161/2003, cu conținut aproape identic cu cel din actualul Cod[77]. Când noul Cod penal (Legea 286/2009) a intrat în vigoare la 1 februarie 2014, infracțiunile informatice au fost preluate integral (art. 360-365 CP corespondente titlului VII similar din 161/2003). Prin Legea 187/2012 (legea de punere în aplicare a noului CP) s-au abrogat articolele din 161/2003 care dublau acum Codul penal[24][25]. Așadar, azi Legea 161/2003 nu mai conține incriminările, acestea fiind în Cod. Totuși, Legea 161/2003 rămâne relevantă pentru că are în continuare prevederi procedurale și de organizare (ex: articole referitoare la competența DIICOT, cooperare internațională, definirea unor termeni tehnici la momentul 2003 etc.). De asemenea, Legea 161/2003 are capitole privind prevenirea criminalității informatice (campanii de conștientizare, obligativitatea unor instituții de a-și securiza sisteme). În instanță, se pot invoca uneori expuneri de motive sau documente explicative de la Legea 161/2003 pentru a interpreta noțiuni din Cod – de pildă, sensul expresiei „beneficiu material pentru altul” poate fi lămurit prin raportare la textul convenției și legea 161. Per ansamblu, relația este că Legea 161/2003 a fost legea specială per primam, dar acum rolul său penal s-a încheiat, predând ștafeta Codului penal.
• Relația cu Legea 365/2002 (Comerțul electronic): Legea 365/2002 a avut un capitol penal (Cap. VIII) dedicat infracțiunilor legate de instrumente de plată electronică și date de identificare. Practic, la începutul anilor 2000, înainte de modificarea Codului penal, românii au introdus aceste infracțiuni într-o lege specială pentru a acoperi fenomenul de clonare de carduri și tranzacții frauduloase cu carduri (cerință a Deciziei-cadru JAI 2001/413). Astfel, art. 24-28 din Legea 365/2002 pedepseau: falsificarea unui instrument de plată electronică, deținerea de echipamente în acest scop, efectuarea de operațiuni financiare cu instrumente furate/fictive, acceptarea tranzacțiilor frauduloase ș.a.[78][24]. În 2014, la fel ca la 161/2003, aceste articole au fost abrogate odată cu intrarea în vigoare a Codului penal (prin Legea 187/2012)[79], pentru că noul Cod penal a preluat conținutul lor în art. 250, 250^1, 251 CP[80][81]. De pildă, infracțiunea de „efectuare de operațiuni financiare în mod fraudulos” din Cod (art. 250) corespunde esențial textului de la art. 25 din Legea 365 (utilizarea fără consimțământ a cardului altuia)[36]. La fel, art. 250^1 CP, introdus în 2021, a extins incriminările acoperind deținerea de instrumente obținute prin infracțiuni și fabricarea de dispozitive – acoperind chiar mai mult decât vechea lege. În prezent, Legea 365/2002 (republicată) a rămas să reglementeze aspecte civile/comerciale ale comerțului electronic, fără dispoziții penale (Cap. VIII apare în lege ca abrogat). Uneori practicienii se referă la “Legea 365” din obișnuință, dar de fapt orice trimitere la conținutul penal se redirecționează către Codul penal. Un aspect practic: multe rechizitorii DIICOT mai vechi (pre-2014) trimiteau în judecată inculpați pentru infracțiuni din Legea 365, iar în timpul procesului, cum legea s-a abrogat, instanțele au recalificat pe art. 250 CP și altele corespondente, aplicând legea penală mai favorabilă unde era cazul (în general pedepsele au rămas similare la cuantum).
• Alte probleme de încadrări multiple: Frauda informatică uneori este în legătură și cu Legea 8/1996 (drepturi de autor) – de exemplu, un hacker care fură software (piraterie) și apoi îl vinde, comite în esență o încălcare a drepturilor de autor cu finalitate de profit. Încadrarea se face distinct, dar pot apărea discuții dacă e concurență sau absorbție. La fel, Legea 362/2018 (privind securitatea rețelelor și sistemelor informatice, care transpune Directiva NIS) prevede contravenții și obligații pentru operatorii de servicii esențiale – deși nu e penal, interacționează: un operator care nu securizează adecvat un sistem și devine victimă a unei fraude poate primi sancțiuni administrative.
• Aspecte probatorii și de procedură: O problemă specifică e asigurarea integrității probelor informatice. Pentru ca o dovadă electronică (log, fișier, mesaj) să aibă valoare, anchetatorii trebuie să arate că nu a fost alterată – folosesc proceduri de hash-uire, lanț de custodie. Dacă apărerea dovedește eventual vreo compromitere a integrității, proba poate fi contestată. O altă dificultate: volumele mari de date – într-un caz de fraudă cu mii de victime, serverele pot conține terabyți de informații. A identifica ceea ce e relevant și a prezenta într-o formă inteligibilă în instanță nu e ușor. De asemenea, limitele cunoștințelor judecătorilor: cazurile sunt tehnice, de aceea rapoartele de expertiză IT devin instrumentul principal de traducere. Este important ca avocații să poată formula întrebările potrivite către experți (de exemplu: se poate stabili cu certitudine că acțiunea X a fost executată de utilizatorul Y?; scriptul detectat putea rula și accidental? etc.). În plus, apar probleme de competență materială: dacă o fraudă informatică e comisă de un grup, intră la competența Tribunalului (prin 13^1 CP, grupul infracțional ridică nivelul), altfel e la Judecătorie. Nu de puține ori, s-au ivit controverse dacă DIICOT avea competență – cum menționam, DIICOT intră doar la consecințe deosebit de grave plus grup organizat[8]; altfel, dosarul e al parchetului obișnuit. Stabilirea prejudiciului e deci esențială: dacă inițial pare sub 2 mil. lei, dosarul poate începe local, dar dacă ulterior se constatată că e peste, se declină la DIICOT. A fost cazul unor phishing-uri cu multe victime: inițial, fiecare victimă reclama local prejudiciu mic – părea infracțiune măruntă; cum s-a înțeles că e o rețea și totalul e mare, DIICOT a preluat totul într-un singur dosar complex.
• Cauze de nepedepsire: Strict vorbind, legea nu prevede vreo cauză specială de nepedepsire pentru frauda informatică (precum ar fi, de exemplu, la art. 290 CP – denunțarea mituitorului). Cu toate acestea, unele situații pot duce la înlăturarea răspunderii penale: (i) Retragerea plângerii – nu se aplică aici, fiind acțiune publică din oficiu. (ii) Împăcarea – Codul penal nu menționează frauda informatică printre infracțiunile la care e posibilă împăcarea (spre deosebire de forma simplă a înșelăciunii, care cere plângere prealabilă și permite împăcarea în art. 244 alin. 1 CP[82]). Așadar, părțile nu se pot „împăca” în mod formal pentru a stinge procesul. Totuși, dacă inculpatul acoperă integral prejudiciul și victima își exprimă iertarea, instanța poate ține cont la individualizarea pedepsei (posibil aplicând circumstanțe atenuante judiciare). (iii) Participația minimă sau culpă: dacă se dovedește că o persoană acuzată a fost doar un instrument inconștient (de exemplu, contul ei bancar a fost folosit fără știre de altul – cazul unor mule naive), se poate ajunge la scoatere de sub urmărire pentru lipsa vinovăției. (iv) Tentativa – nu e o cauză de nepedepsire, din contră se pedepsește la fraudă informatică[7], dar uneori procurorii pot aprecia că pericolul e redus și pot clasa fapta ca nefiind oportun de urmărit (o formă de oportunitate folosită rar la noi).
• Apărări posibile: Avocații apărării, în astfel de dosare, recurg la diverse argumente tehnice și juridice. Unul este să conteste legătura cauzală: de exemplu, dacă sistemul informatic era vulnerabil din vina proprietarului (nu și-a actualizat software-ul), inculpatul ar putea susține că acțiunea lui n-a „provocat” direct paguba, ci neglijența părții vătămate a permis-o – însă acest argument nu ține juridic, întrucât victima neglijentă nu absolvă infractorul, dar poate fi folosit pentru a cere reducerea pedepsei (provocare morală, contribuție a victimei la producerea pagubei). Altă apărare: invocarea lipsa elementului material – ex. la ICCJ 2021, unii inculpați au argumentat că postarea de anunțuri nu e „introducere de date informatice” în sensul art. 249 (și Curtea le-a dat dreptate, reîncadrând la înșelăciune)[12]. Deci interpretarea restrictivă a textului poate fi o apărare: a arăta că fapta concretă nu se potrivește tipicității fraudei informatice. Un alt exemplu: dacă cineva execută un script care încetinește sistemul, dar fără scop de beneficiu material, se poate apăra că e eventual o perturbare (art. 363 CP), nu fraudă informatică – ceea ce are consecințe la sancțiune. Apărarea poate viza și legalitatea probelor: cum menționam, dacă un percheziție electronică nu a respectat procedura (ex: ofițerii au accesat conturile inculpatului fără mandat specific), probele pot fi anulate. S-a întâmplat în cazuri unde interceptările în mediul online nu erau suficient de riguros autorizate.

În final, sistemul judiciar românesc a acumulat experiență semnificativă în gestionarea acestor probleme. S-au format procurori și judecători specializați (la DIICOT și nu numai), există o practică consolidată (sprijinită de deciziile ÎCCJ precum cea discutată) și instrumente legale actualizate (prin transpunerea directivelor europene recente). Rămâne însă o provocare permanentă adaptarea la noile metode ale infractorilor – ceea ce vom aborda în concluzii, legat de tendințe viitoare. Din perspectiva apărării, cazurile de fraudă informatică solicită o colaborare strânsă cu experți tehnici pentru a înțelege și eventual a demonta acuzațiile tehnice, și impun cunoașterea atât a legislației interne, cât și a convențiilor internaționale aplicabile, deoarece de multe ori elemente de extraneitate sunt prezente.

9. Apărări posibile și cauze de nepedepsire

În discuția precedentă despre problemele practice, am atins deja unele aspecte legate de apărări posibile și situații ce ar putea înlătura răspunderea penală. Vom sintetiza aici principalele strategii de apărare pe fond în cazul acuzațiilor de fraudă informatică, precum și eventualele cauze de nepedepsire (scuze absolutorii) aplicabile ori situații asimilate.

Strategii de apărare:

• Negarea implicării și contestarea identificării: O apărare de bază este ca inculpatul să nege că el este autorul real al faptei, susținând că identificarea sa de către anchetatori este eronată. De exemplu, poate afirma că altcineva i-a folosit conexiunea la internet (sau calculatorul) fără știrea lui pentru a comite frauda – un fel de alibi electronic. Apărarea va încerca să semene dubii asupra corectitudinii atribuirii infracțiunii către client: s-a bazat doar pe adresa IP? Cine mai avea acces la acel IP? Dispozitivul ridicat (telefon/computer) ar fi putut fi compromis de un hacker care l-a folosit ca proxy? Dacă dubiile devin rezonabile, principiul in dubio pro reo poate duce la achitare. În practică, asemenea apărări au șanse când probele tehnice sunt indirecte sau incomplete. Avocații apelează la experți IT independenți care să reanalizeze log-urile, să verifice dacă nu cumva datele pot indica alt utilizator. Totuși, când acuzarea vine cu probe puternice – ex. tranzacții urmate imediat de ridicări de numerar de către inculpat la ATM filmat pe cameră – devine dificil de combătut identificarea.
• Absența scopului fraudulos: Apărarea poate recunoaște acțiunile tehnice ale inculpatului, dar neagă intenția de fraudă. Se pretinde că a fost un experiment neautorizat, o testare de securitate, o glumă și că inculpatul nu avea de gând să obțină foloase. O astfel de apărare vizează elementul subiectiv – dacă ar reuși, ar duce la încadrarea faptei într-o infracțiune mai puțin gravă sau chiar la scoaterea de sub incidență (dacă efectiv nu voia să cauzeze pagubă, poate nu există vinovăție pentru acel rezultat). Totuși, judecătorii privesc sceptic astfel de explicații, mai ales dacă contextul indică altceva. De exemplu, dacă inculpatul a mutat bani din contul victimei în contul său și zice că „doar testam dacă se poate, urma să îi pun la loc”, e puțin probabil să fie crezut. Dar dacă s-a intrat într-un sistem fără a atinge fonduri, e o discuție mai nuanțată: s-ar putea reține acces ilegal (art. 360) în loc de fraudă. Apărarea va încerca să demonstreze eventual că acuzatul are profil de „white-hat” (hacker etic) care și-a depășit atribuțiile din exces de zel, nu din lăcomie. În lipsa unui cadru legal care să-l protejeze (precum un contract de penetration testing), tot va fi vinovat de acces ilegal, dar scăpând de acuzația de fraudă ar reduce mult gravitatea.
• Lipsa prejudiciului sau restituirea acestuia: Dacă nu a rezultat pagubă, avocatul poate cere să se constate că nu sunt întrunite elementele infracțiunii (frauda informatică cere „dacă s-a cauzat o pagubă”[83]). Într-un scenariu, inculpatul a fost prins în flagrant înainte de a produce pagubă – ar trebui să răspundă doar pentru tentativă (care tot e pedepsită, deci nu scapă, dar pedepsele în tentativa se coboară). Apărarea ar putea pleda chiar „faptă lipsită de importanță” dacă prejudiciul e zero sau insignifiant, însă asta rar se admite la infracțiuni cu potențial periculos. În cazurile în care paguba s-a produs dar inculpatul a acoperit-o integral și prompt (de exemplu, a returnat banii), apărătorul va invoca intens acest aspect în faza de judecată, dacă nu pentru impunitate (care nu e prevăzută), măcar ca temei de clemență: fie schimbarea încadrării la o formă atenuată, fie circumstanță atenuantă la individualizarea pedepsei. Mai există o posibilitate: unele infracțiuni (nu frauda informatică, dar de exemplu înșelăciunea simplă) se pot stinge prin împăcare. Dacă speța poate fi recalificată ca înșelăciune (conform deciziei ICCJ discutate), iar victima e de acord, împăcarea ar stinge procesul[84][82]. Aceasta poate deveni o strategie deliberată: avocații încearcă să obțină reîncadrarea la înșelăciune și apoi promovează împăcarea părților (de aceea mulți inculpați se grăbesc să returneze prejudiciul, sperând ca victima să renunțe). Pentru frauda informatică însă, nefiind posibilă împăcarea, returnarea prejudiciului ajută doar moral.
• Excepții procedurale și nulități: Apărarea vigilentă va căuta orice greșeală în modul de obținere a probelor. De exemplu, dacă percheziția informatică a depășit mandatul (căutând fișiere în afara scopului indicat), se poate cere excluderea acelor probe. Sau dacă ordonanța de autorizare a supravegherii tehnice nu a descris suficient faptele de natură a justifica interceptarea. În ultimii ani, CCR a emis decizii care au dus la excluderea unor interceptări realizate de SRI în baza protocolului, însă în cazurile de criminalitate informatică de obicei SRI nu e implicat (acelea erau mai mult pe siguranță națională). Totuși, dacă ar fi un caz cu cooperare SRI (de ex, infracțiuni cibernetice ce afectează infrastructuri critice), avocații pot contesta competența organului care a cules probele. Un alt punct: traducerea documentelor străine – într-un caz cu cooperare internațională, apărătorul poate cere anularea unor probe dacă nu au fost traduse oficial.
• Viciile de procedură la extrădare: Dacă inculpatul a fost extrădat din străinătate, se verifică respectarea principiului specialității (să fie judecat doar pentru faptele pentru care a fost extrădat). Dacă parchetul încearcă să adauge alte infracțiuni, avocatul va invoca încălcarea tratatului. Invers, dacă inculpatul e judecat în lipsă în străinătate, se pune problema dacă a fost citat legal, etc.

Cauze de nepedepsire / scuze absolutorii:

În mod direct, Codul penal nu prevede vreo cauză de nepedepsire specifică pentru infracțiunile informatice. Spre exemplu, nu există o dispoziție de genul „autorul fraudei informatice care înaintează datele de decriptare ale sistemului readucând prejudiciul la status quo ante nu se pedepsește” – așa cum există la alte infracțiuni (denunțare mituitor, restituire completă la delapidare înainte de urmărire, etc.). Ar putea fi o idee de lege ferenda, dar în prezent nu e cazul. Prin urmare, singurele situații de nepedepsire sunt cele generale prevăzute de Partea generală:

• Lipsa de vinovăție: dacă fapta s-a produs fără intenție și nici din culpă gravă – în practică greu de imaginat pentru fraudă informatică, fiind intenționată. Teoretic, un virus creat de altul ce rulează pe computerul tău și fură bani fără ca tu să știi – atunci tu nu ești subiect activ (e ca și cum cineva ți-ar fi folosit casa fără știre la infracțiuni).
• Contrainformație sau eroare: dacă inculpatul a crezut în mod eronat că are dreptul să facă acțiunea (eroare de fapt negativă e greu de invocat aici), sau a crezut că datele sunt ale lui – foarte puțin probabil. Eroarea de drept (ex: „n-am știut că e infracțiune să modific datele dacă nu iau bani”) nu-l absolvă.
• Forța majoră sau constrângerea: dacă cineva e forțat sub amenințare să comită un atac informatic, atunci avem o cauză de nepedepsire (constrângerea fizică absolut exclude fapta penală, cea morală devine caz de neimputabilitate dacă pericolul e grav conform art. 26 CP). Practic, caz rar: un hacker amenințat cu arma să transfere bani din contul victimei; dacă ar fi real, nu răspunde penal.
• Acoperirea prejudiciului: repetăm, asta nu e o cauză de nepedepsire (nu stinge răspunderea), dar în mod neoficial unele parchete pot renunța la urmărire (art. 318 CPP) dacă fapta e minoră și prejudiciul reparat. De exemplu, dacă un student a furat 500 lei printr-un mic hack și a dat banii înapoi, procurorul poate aprecia oportun să nu-l mai trimită în judecată (renunțare la urmărire cu avertisment). Nu e nepedepsire în sens strict (că rămâne un avertisment administrativ), dar scapă de condamnare.
• Cazuri speciale: în alte infracțiuni informatice (nu frauda), există la pornografie infantilă o cauză de nepedepsire dacă persoana deține fișiere pornografice cu minori pentru a le denunța (art. 374 alin. 4 CP). La fraudă informatică nu e analog – dar dacă un IT-ist detectează o vulnerabilitate și o exploatează minimal ca s-o demonstreze companiei și apoi notifică compania de bună credință, ideal ar fi să nu fie pedepsit. Nu avem însă o clauză legală explicită de nepedepsire pentru good faith security research. Acesta e un subiect de dezbatere internațională: noua Convenție ONU a fost criticată că nu protejează hackerii etici[54]. În lipsa dispozițiilor, un astfel de IT-ist poate spera la clemență sau că procurorii nici nu-l pun sub acuzare dacă a acționat imediat pentru remediere (uneori autoritățile adoptă o abordare pragmatică: aleg să nu inculpe cercetătorii de securitate care raportează vulnerabilități, deși teoretic ar fi comis acces neautorizat).

În concluzie, deși frauda informatică nu beneficiază de cauze de nepedepsire legale specifice, modul de derulare a anchetelor și judecăților oferă totuși căi de atenuare sau evitare a răspunderii în cazuri particulare: la nivel de urmărire (opțiunea de a renunța la cazuri minore, mai ales dacă prejudiciul e recuperat), la nivel de reîncadrare juridică (spre infracțiuni mai ușoare care permit împăcarea, cum a clarificat ICCJ în 2021[85]) și la nivel de individualizare (aplicarea de pedepse cu suspendare în cazul unor inculpați care au reparat integral daunele și au colaborat). Apărările reușesc când pot evidenția o ruptură în lanțul probator sau o inadecvare între fapta imputată și norma legală.

Pentru avocați, apărarea într-un dosar de fraudă informatică presupune un amestec de cunoștințe juridice solide și înțelegere tehnologică, precum și creativitate în argumentare. De exemplu, invocarea deciziei ICCJ nr. 37/2021 este acum un instrument: dacă fapta clientului seamănă mai mult cu o înșelăciune online decât cu un hacking, avocatul o va sublinia pentru a cere reîncadrare (ceea ce implicit reduce maximul pedepsei și posibil deschide calea împăcării dacă e alin. (1) la 244 CP). În plus, avocații pot negocia în faze incipiente (dacă legislația va introduce pe viitor acorduri de recunoaștere extinse) astfel încât clienții cooperanți să primească pedepse reduse – practicile din SUA cu plea bargain încep să apară și la noi sub forma acordului de recunoaștere a vinovăției (art. 480 CPP), deși pentru infracțiuni mai grave și complicate DIICOT rareori face acorduri (dar există cazuri, mai ales cu „mule” care recunosc tot și scapă cu suspendare în schimbul mărturiei împotriva capilor rețelei).

În final, cea mai bună „apărare” rămâne prevenția – ideal ar fi ca potențialii făptuitori să fie conștientizați că beneficiile iluzorii ale unei fraude cibernetice nu merită riscul unor pedepse penale severe și al distrugerii reputației. Avocații pot contribui la prevenție prin educație juridică (seminare, articole ca acesta), explicând public unde este linia dintre hackingul legal și infracțiune și ce consecințe au actele aparent „invizibile” din online.

10. Concluzii: tendințe legislative, provocări viitoare și bune practici avocațiale

Frauda informatică se află la confluența dintre progresul tehnologic și vulnerabilitățile inerente ale societății digitale. Încheind această analiză, putem trage câteva concluzii generale și contura perspectivele de viitor, atât legislative, cât și practice, alături de recomandări pentru juriști:

Tendințe legislative și de politică penală: Legislatorul român a demonstrat proactivitate în actualizarea cadrului legal. Modificările aduse Codului penal prin Legea 207/2021 – care au extins definițiile pentru a acoperi instrumentele de plată virtuale și au introdus noi infracțiuni (art. 250^1 CP privind deținerea/distribuirea de mijloace de plată furate și dispozitive de fraudare) – arată capacitatea de adaptare la amenințările emergente (ex: criminalitatea cu criptomonede, fraude cu portofele electronice etc.)[81][86]. Este de așteptat ca legislația să continue să evolueze. Directivele UE vor juca în continuare un rol major: în prezent, se discută la nivel european despre extinderea cadrului de răspundere a prestatorilor de servicii digitale în caz de facilitare a fraudelor (ex: obligații pentru platforme să semnaleze tranzacții suspecte, similar regimului anti-spălare de bani). Regulamentul privind confidențialitatea electronică (ePrivacy) care urmează, precum și viitoarea legislație privind identitatea digitală europeană, pot avea efecte asupra modului de investigare a fraudelor (echilibrând nevoia de acces la date cu protecția vieții private). La nivel global, adoptarea Convenției ONU împotriva criminalității cibernetice (2025) va fi un moment definitoriu: România va trebui să-l ratifice și să implementeze eventualele obligații suplimentare. De exemplu, convenția ar putea cere incriminarea explicită a unor fapte noi (precum frauda cu criptomonede distinctă, sau frauda prin sim swapping), ceea ce legislativul român ar pune în aplicare. Pe plan intern, ne putem aștepta la un accent mai mare pe măsuri preventive: legislativ sau pe cale de ghiduri se pot impune standarde de securitate cibernetică pentru sectoare-cheie (sistem bancar, utilități) – nerespectarea lor eventual penalizată (poate nu penal, dar contravențional serios). Deja Legea 362/2018 prevede amenzi mari pentru lipsa măsurilor de securitate la operatorii de infrastructuri critice informatice. O altă direcție este sporirea cooperării: Mecanismul de e-evidence la nivel UE (care să permită organelor să obțină direct de la furnizori de servicii IT transnaționali date stocate în străinătate) ar ușura probarea fraudelor, și se lucrează la el.

Provocări viitoare: Criminalii cibernetici își ajustează constant metodele. Printre provocările anticipate se numără:

• Abuzul noilor tehnologii: Inteligența artificială generativă (AI) este deja folosită pentru a crea e-mailuri de phishing mult mai convingătoare, pentru a genera voci sau videoclipuri falsificate (tehnologie deepfake) – de pildă, un deepfake al vocii CEO-ului poate convinge un angajat să transfere bani (cazuri de fraudă audio au și apărut). Aceste situații ridică probleme de atribuire a vinei (cine a creat deepfake-ul?) și posibil necesită răspuns legislativ (incriminarea explicită a utilizării deepfake-urilor în scop de fraudă, cooperarea cu companiile tech pentru detectarea lor). Internetul Lucrurilor (IoT) – tot mai multe dispozitive conectate pot fi compromise și utilizate în fraude (de exemplu, un atacator intră în sistemul de plăți al unui automobil smart care face plăți de combustibil). Legislația va trebui să țină pasul cu definirea acestor instrumente și modul de protecție.
• Monede virtuale și finanțare decentralizată: Cryptocurrency a devenit moneda preferată a multor infractori. Fraudele tipice includ rug pull-uri (proiecte crypto frauduloase care dispar cu banii investitorilor), scam ICOs, furturi de NFT-uri, etc. Deja Codul penal definește moneda virtuală[87], deci suntem conceptual pregătiți. Însă practic, trasabilitatea acestor fonduri rămâne o provocare tehnologică. Autoritățile investesc în instrumente de blockchain analysis, iar cooperarea cu exchange-urile este crucială. Ne putem aștepta la reglementări mai stricte asupra platformelor crypto, inclusiv obligații de identificare a utilizatorilor (sfârșitul anonimatului în tranzacțiile mari). Pentru avocați, tot acest domeniu este nou și complex – e nevoie de specializare și înțelegerea atât a tehnologiei blockchain cât și a regimului legal (de exemplu, aplicabilitatea infracțiunilor de spălare de bani la mixer-ele de criptomonede).
• Atacuri asupra infrastructurilor critice: Dacă o fraudă informatică are ca țintă sisteme de importanță strategică (rețea energetică, sistem bancar național), consecințele pot fi copleșitoare. Aici frontiera dintre infracțiunea comună și securitatea națională se estompează. Statul român trebuie să fie pregătit și legislativ (posibil regimuri sancționatorii mai aspre dacă fapta afectează infrastructuri critice – de pildă, un spor de pedeapsă sau variantă agravată) și logistic (echipe mixte poliție-SRI, centre de răspuns la incidente – CERT.RO integrat). De menționat că Legea 1/2023 privind securitatea și apărarea cibernetică deja conferă SRI roluri în prevenție și reacție la atacuri cibernetice majore.
• Educație și reziliență: O provocare transversală este educarea publicului și a entităților economice. Multe fraude reușesc pentru că factorul uman este veriga slabă (de exemplu, angajați care dau click pe linkuri malițioase, sau utilizatori care nu verifică sursa unui e-mail). Deși nu e direct aspect juridic, implică factori juridici în sensul răspunderii: companiile pot fi trase la răspundere contravențional sau civil dacă nu își instruiesc personalul și astfel se produc prejudicii (ex: un client al băncii păgubit poate pretinde băncii despăgubiri dacă se dovedește că banca nu l-a avertizat adecvat de phishing). Se conturează și ideea de răspundere a persoanei juridice pentru infracțiuni informatice – de exemplu, dacă un angajat de rang înalt comite o fraudă informatică în interesul firmei, firma însăși poate fi inculpată conform art. 135 CP. Am putea vedea în viitor cazuri în care companii de IT sunt cercetate penal pentru că knowingly dezvoltă sau vând instrumente de fraudă (deja un producător de spyware a fost inculpat în alt context).

Bune practici avocațiale: Avocații care se ocupă de cazuri de criminalitate informatică ar trebui să adopte o serie de bune practici:

• Dobândirea competențelor digitale: Este esențial ca avocatul să înțeleagă jargonul tehnic și modul de funcționare a sistemelor. Cursuri de bază în securitate cibernetică sau colaborarea strânsă cu experți IT sunt recomandate. Un avocat informat poate pune întrebările corecte unui expert și poate identifica eventuale breșe în raționamentul tehnic al procurorilor.
• Păstrarea confidențialității datelor: Când se lucrează cu probe informatice (de exemplu, se primește o copie forensic a unui hard disk în vederea apărării), avocatul trebuie să asigure că datele nu se diseminează, respectând atât secretul profesional cât și eventuale clauze impuse de instanță (unii judecători cer semnarea unui acord de confidențialitate înainte de a pune la dispoziție date masive, mai ales dacă includ date personale ale multor victime).
• Multidisciplinaritatea: Cazurile de fraudă informatică necesită uneori competențe de drept penal, procesual penal, drept internațional, protecția datelor (dacă se cer date de la terți, intrăm pe GDPR), dreptul bancar (ex: cunoașterea regulamentelor SEPA/Swift ca să înțelegi modul tranzacțiilor). Așadar, o echipă de avocați cu specializări complementare poate fi ideală. Spre exemplu, într-un caz cu extrădare, ai nevoie de cineva bun pe procedură penală internațională; într-un caz cu 100 de părți civile, e util un specialist în daune.
• Negocierea și soluțiile alternative: În măsura posibilului, avocatul ar trebui să ia în considerare oportunitatea unei recunoașteri a vinovăției sau a reparării prejudiciului înainte de judecată. În multe fraude online, dacă inculpatul este la prima abatere și restituie banii, se poate obține o pedeapsă cu suspendare prin acord de recunoaștere (dacă procurorul e de acord). Trebuie cântărit mereu ce e mai avantajos pentru client – o luptă până în pânzele albe cu șanse 50/50 sau o recunoaștere cu o pedeapsă mai mică certă. De asemenea, în cazuri cu victime multiple, medierea (acolo unde se pretează, deși la acțiune din oficiu medierea poate doar influența, nu stinge, acțiunea) poate fi folosită ca mijloc de atenuare a consecințelor (dacă toate părțile vătămate sunt despăgubite, instanța poate coborî pedeapsa sub minim).
• Rămânerea la curent cu noutățile: Domeniul evoluează rapid – apar tipologii noi de fraude (ex: fraude pe platforme de crowdfunding, sau folosirea de malware polimorf pentru furt de credențiale). Avocații trebuie să monitorizeze jurisprudența națională (de exemplu, portalul rejust) și hotărârile relevante din străinătate, precum și publicațiile de specialitate, pentru a înțelege trendurile. Participarea la conferințe de profil (Cyberlaw, cursuri INM privind probatoriul digital etc.) este de asemenea benefică.

În ansamblu, putem spune că România dispune de un cadru legislativ robust și armonizat european pentru a combate frauda informatică, însă bătălia continuă pe terenul practic, unde infractorii inovează constant. Sistemul judiciar, sprijinit de organisme internaționale și de expertiza tehnică tot mai avansată, recuperează teren – tot mai multe rețele de fraudă sunt demascate și pedepsite, ceea ce transmite un mesaj de descurajare. Provocarea este de a menține acest echilibru: a actualiza constant legea, a forma specialiști (polițiști digitali, procurori IT-ști, judecători tech-savvy) și a coopera strâns la nivel global.

Pentru avocați – fie că acuză, fie că apără – domeniul fraudei informatice reprezintă un teren dinamic, solicitant dar și fascinant, unde cazuistica te obligă să înțelegi atât mintea infractorului cât și logica mașinii. Bunele practici avocațiale includ, în ultimă instanță, și etică profesională: a consilia clienții către soluții legale (de exemplu, companiile să-și remedieze breșele, tinerii hackeri talentați să-și folosească abilitățile în industria de securitate, nu în fraudă) și a contribui, prin activitatea noastră, la consolidarea încrederii în spațiul digital. Într-o lume tot mai digitalizată, avocații joacă un rol-cheie în apărarea statului de drept și a valorilor legalității și în mediul online, asigurând că cei care comit infracțiuni informatice sunt trași la răspundere conform legii, iar drepturile tuturor părților implicate sunt respectate.

Bibliografie selectivă / surse citate: Codul penal al României (art. 249, 250, 360-366); Legea 161/2003; Legea 365/2002; Decizia ÎCCJ nr. 37/2021 (HP)[10][11]; Portal Legislativ – modificări prin Legea 207/2021[88]; Comunicate Eurojust[2][38]; Comunicate DIICOT / știri cazuri relevante[89][26]; Rapoarte ENISA[1]; ZicLegal – competența DIICOT[90]; UNODC, Europol – date statistice și analize de tendințe[66][68]. (Toate sursele au fost accesate și verificate în noiembrie 2025.)

---

[1] ENISA Threat Landscape 2023 report points to surge in ransomware …

https://industrialcyber.co/threat-landscape/enisa-threat-landscape-2023-report-points-to-surge-in-ransomware-rise-in-supply-chain-attacks-persistent-ddos-threats

[2] [3] [55] [56] [57] [58] [70] [71] [72] Eurojust assists in operation in Romania and Moldova against laundering phishing fraud proceeds | Eurojust | European Union Agency for Criminal Justice Cooperation

https://www.eurojust.europa.eu/news/eurojust-assists-operation-romania-and-moldova-against-laundering-phishing-fraud-proceeds

[4] Frauda informatică – definiție, exemple și pedepse | Avocat Iliescu

https://avocatiliescu.ro/frauda-informatica-definitie-si-pedepse-art-249-cod-penal/

[5] [37] [40] [43] Infracțiunile informatice: Ce spune legea despre hacking, phishing sau fraudă online | Adrian Țapu – Cabinet de avocat

https://tapu.ro/ro/infractiunile-informatice-ce-spune-legea-despre-hacking-phishing-sau-frauda-online/

[6] [80] [81] [83] [86] [87] [88] LEGE 207 21/07/2021 – Portal Legislativ

https://legislatie.just.ro/Public/DetaliiDocument/244841

[7] [36] CODUL PENAL 17/07/2009 – Portal Legislativ

https://legislatie.just.ro/Public/DetaliiDocumentAfis/109855

[8] [9] [23] [90] Infracțiuni ce intră în competența DIICOT – Direcția de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism | ZIC Legal

https://zic.legal/infractiuni-competenta-diicot

[10] [11] [12] [13] [14] [85] DECIZIE 37 07/06/2021 – Portal Legislativ

https://legislatie.just.ro/Public/DetaliiDocument/244415

[15] [16] [17] [18] [19] [20] [21] [22] [89] DIICOT: Grup infracțional, cercetat pentru infracțiuni informatice care au creat site-uri false asemănătoare cu ale unor unități bancare; peste 40 de persoane vătămate – Financial Intelligence

https://financialintelligence.ro/diicot-grup-infractional-cercetat-pentru-infractiuni-informatice-care-au-creat-site-uri-false-asemanatoare-cu-ale-unor-unitati-bancare-peste-40-de-persoane-vatamate

[24] [25] [79] LEGE 365 07/06/2002 – Portal Legislativ

https://legislatie.just.ro/Public/DetaliiDocument/37075

[26] [27] [30] Doi hackeri români, condamnaţi la închisoare după ce au păgubit cu 10 milioane de dolari restaurantele Subway din SUA | adevarul.ro

https://adevarul.ro/stiri-interne/evenimente/doi-hackeri-romani-condamnati-la-inchisoare-dupa-645269.html

[28] [29] [31] [32] [33] [34]  Office of Public Affairs | Two Romanian Nationals Sentenced to Prison for Scheme to Steal Payment Card Data | United States Department of Justice

https://www.justice.gov/archives/opa/pr/two-romanian-nationals-sentenced-prison-scheme-steal-payment-card-data

[35] [51] Sentință Record: Hackeri Români, Condamnați La 110 De Ani De …

https://www.libertatea.ro/stiri/sentinta-record-hackeri-romani-condamnati-la-110-de-ani-de-inchisoare-1736733

[38] [39] [52] [53] [73] [74] [75] Action against ATM fraud in Romania and UK stopped by joint investigation team with Eurojust assistance | Eurojust | European Union Agency for Criminal Justice Cooperation

https://www.eurojust.europa.eu/news/action-against-atm-fraud-romania-and-uk-stopped-joint-investigation-team-eurojust-assistance

[41] USD 439 million recovered in global financial crime operation

https://www.interpol.int/en/News-and-Events/News/2025/USD-439-million-recovered-in-global-financial-crime-operation

[42] INTERPOL financial crime operation makes record 5,500 arrests …

https://www.interpol.int/en/News-and-Events/News/2024/INTERPOL-financial-crime-operation-makes-record-5-500-arrests-seizures-worth-over-USD-400-million

[44] [45] [46] Section 263a

https://sherloc.unodc.org/cld/en/legislation/deu/german_criminal_code/special_part_-_chapter_twenty-two/section_263a/section_263a.html

[47] La cybercriminalité – Sécurité des systèmes d’information de l’académie de Strasbourg

https://ssi.ac-strasbourg.fr/referentiels/le-juridique/les-themes/la-cybercriminalite

[48] [49] Computer Fraud and Abuse Act – Wikipedia

https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act

[50] Computer Fraud and Abuse Act (CFAA) | 18 U.S.C. 1030

https://www.thefederalcriminalattorneys.com/federal-computer-hacking

[54] [66] [67] [68] [69] Around 70 countries sign new UN Cybercrime Convention—but not everyone’s on board | Malwarebytes

https://www.malwarebytes.com/blog/news/2025/10/around-70-countries-sign-new-un-cybercrime-convention-but-not-everyones-on-board

[59] [64] AI’s Impact on Digital Fraud and Financial Crime – OECD.AI

https://oecd.ai/en/incidents/79762

[60] AI-Driven Online Scams Cause Widespread Financial Harm – OECD.AI

https://oecd.ai/en/incidents/2025-11-04-af24

[61] 11th Edition of the ENISA Threat Landscape Report 2023: Top …

https://www.cm-alliance.com/cybersecurity-blog/11th-edition-of-the-enisa-threat-landscape-report-2023-top-findings

[62] Operation HAECHI VI seized $439M from global cybercrime rings

https://securityaffairs.com/182576/cyber-crime/operation-haechi-vi-seized-439m-from-global-cybercrime-rings.html

[63] USD 257 million seized in global police crackdown against … – Interpol

https://www.interpol.int/en/News-and-Events/News/2024/USD-257-million-seized-in-global-police-crackdown-against-online-scams

[65] UN Convention against Cybercrime opens for signature in Hanoi …

https://unis.unvienna.org/unis/en/pressrels/2025/uniscp1190.html

[76] COURT DOC: Romanian Extradited to the United States, Charged …

https://flashpoint.io/blog/usa-vs-becheru/

[77] DECIZIE 68 29/09/2021 – Portal Legislativ

https://legislatie.just.ro/Public/DetaliiDocument/250575

[78] ARTICOLUL 27 Legea 365/2002 comertul electronic Infracţiuni …

https://legeaz.net/legea-365-2002-comertului-electronic/articolul-27-infractiuni-savarsite-in-legatura-cu-emiterea-si-utilizarea-instrumentelor-de-plata-electronica-si-cu-utilizarea-datelor-de-identificare-in-vederea-efectuarii-de-operatiuni-financiare

[82] cum se probează şi când te poţi împăca cu partea vătămată

https://blog.procese-avocat.ro/inselaciunea-alte-infractiuni-patrimoniale-cum-probeaza-cand-poti-impaca-partea-vatamata

[84] Inselaciune, impacare cu partea vatamata – Răspunsuri Avocatnet.ro

https://www.avocatnet.ro/forum/discutie_560689/Inselaciune-impacare-cu-partea-vatamata.html