Furtul de identitate – un fenomen de amploare pentru criminalitatea

informatică

Matache Alexandru Florin

Masterand
Universitatea “Babeş-Bolyai” Cluj-Napoca

I. Preliminarii. Definirea fenomenului şi necesitatea incriminării

acestuia
Privit în realitatea profană dreptului penal ca o specie atipică de “furt”, fenomenul
intitulat astăzi “furt de identitate” a început să atragă, în epoca contemporană, preocuparea unor
organizaţii internaţionale de prim rang.
Potrivit Organizaţiei pentru Cooperare şi Dezvoltare Economică (OECD), furtul de
identitate “apare atunci când o persoană dobândeşte, transferă, posedă sau utilizează
informaţiile personale ale unei persoane fizice sau juridice într-un mod neautorizat, cu intenţia
de a comite o infracţiune sau în legătură cu o fraudă sau alte infracţiuni”.1
Progresul tehnologic a generat, ulterior, atenţia instituţiilor din domeniul informatic, în
special cel al telecomunicaţiilor, pentru fenomenul supus analizei noastre. Drept dovadă,
Uniunea Internaţională a Telecomunicaţiilor (ITU, agenţie a Organizaţiei Naţiunilor Unite) a
definit furtul de identitate ca fiind „un act criminal prin care se obţine şi se foloseşte în mod
fraudulos identitatea unei alte persoane”.2
După cum s-a remarcat şi în literatura de specialitate din Stataele Unite ale Americii,
cazurile de furt de identitate legate de internet sunt în mare măsură bazate pe înșelătorii foarte
sofisticate, care demonstrează periculozitatea sporită a acestora, pe de o parte, și punctează
dificultățile cu care organele de aplicare a legii se confruntă atunci când investighează astfel de

1
Definiţia este disponibilă la adresa web oficială a OECD, www.oecd.org/sti/ieconomy.onlineidentitytheft.htm.
2
A se vedea M. Gercke, Project on cybercrime. Internet-related identity theft, studiu realizat sub egida Consiliului
Europei şi finanţat de Microdoft, finalizat la 22 noiembrie 2007, disponibil în format electronic la adresa web
www.itu.int/osg/csd/cybersecurity/WSIS/3rd_meeting_docs/contributions/Internet_related_identity_theft_%20Marc
o_Gercke.pdf.

1
infracțiuni, pe de altă parte. Aceste atacuri țintesc, în general, sistemele informatice cele mai slab
protejate.3
De altfel, în pofida faptului că fenomenul cunoaşte o atenţie crescândă din partea
autorităţilor statelor membre ale Organizaţiei Naţiunilor Unite, furtul de identitate este
incriminat, ca infracţiune de sine stătătoare, doar în Statele Unite Ale Americii. Astfel, potrivit
art. 18 din U.S. Code § 1028A, orice persoană care, cu bună ştiinţă, posedă, foloseşte sau
transferă, cu intenţie şi fără drept, date cu caracter personal cu scopul ca acestea să fie folosite
pentru a se săvârşi o altă infracţiune va fi condamnat pentru infracţiunea săvârşită, la care se
adaugă încă 2 ani de închisoare, respectiv 5 ani, dacă faptele comise sunt de terorism.
Din nefericire, Uniunea Europeană nu a reacţionat încă la nivel legislativ în faţa
provocărilor ridicate de furtul de identitate, un regulament sau o directivă europeană neputând fi
identificate pe acest palier. În lipsa unei armonizări la nivel supranaţional, în cele mai multe ţări
ale U.E., furtul de identitate este valorificat în legislaţia penală prin intermediul unor infracţiuni
ce vizează frauda (lato sensu), deci doar ca o infracţiune secundară.
Constatarea de mai sus este valabilă şi pentru sistemul de drept penal român, care nu
comportă o incriminare expresă a furtului de identitate nici în Codul penal şi nici în legislaţia
specială din domeniul criminalităţii informatice. În pofida acestei majore lacune legislative,
anumite tipologii ale fenomenului rămân totuşi a fi incriminate prin anumite infracţiuni contra
patrimoniului4 şi prin fapta-tip de acces ilegal la un sistem informatic, prevăzută la art. 360 din
noul Cod penal, în diferitele sale forme.
În opinia noastră, furtul de identitate necesită o incriminare expresă, de sine stătătoare,
după modelul cunoscut în common law-ul american, întrucât faptele de natură penală care
înglobează anumite componente ale fenomenului se pot dovedi insuficiente, în situaţii de speţă
concrete, să acopere toate valenţele acestuia.

II. Noi forme informatice de furt de identitate

Pornind de la progresul tehnologic şi de la noi medii, forme, vulnerabilităţi şi, implicit,
oportunităţi pentru modul de operare al infractorilor, în prezent se conturează tot mai puternic o

3
S. Peeters, Identity Theft Scandal in the U.S.. Oportunity to Improve Data Protection, analiză disponibilă online la
adresa web https://scottpeters.house.gov/services/additional-services-and-resources/identity-theft.
4
Este vorba despre infracţiunile prevăzute în Titlul II, Capitolul IV din noul Cod penal, intitulat „Fraude comise
prin sisteme informatice şi mijloace de plată electronice”.

2
nouă formă a furtului de identitate, şi anume, furtul de identitate prin intermediul dispozizivelor
inteligente (aşa-numitul „internet al lucrurilor”, „Internet of Things” în accepţiune
internaţională).
Un exemplu în acest sens poate fi identificat recent în Germania, unde Agenţia Federală a
Reţelelor (Bundesnetzagentur), care supraveghează telecomunicaţiile, a avertizat părinţii în
legătură cu vulnerabilitatea informatică a unei păpuşi vorbitoare (Cayla), sfătuindu-i pe aceştia să
distrugă jucăria respectivă.
„Cayla, prietena mea” este o jucărie inteligentă care poate fi conectată la internet pentru a
răspunde la întrebările copiiilor care o utilizează. Păpuşa dispune însă şi de un dispozitiv
bluetooth care poate fi folosit de către hackeri pentru a accesa informaţiile personale despre
proprietar şi chiar pentru a comunica direct cu acesta.
De altfel, păpuşa controversată a mai fost în centrul atenţiei în anul 2015, când mai multe
sesizări au fost făcute organelor însărcinate cu protecţia consumatorului atât în spaţiul Uniunii
Europene, precum şi în S.U.A.
Un alt exemplu extrem de sugestiv este cel al SmartTV-urilor. De pildă, Samsung
SmartTV foloseşte tehnologia de recunoaştere a vocii pentru a activa comenzile vocale, iar
politica de confidenţialitate Samsung prevede că „dacă cuvintele rostite includ informaţii
personale sau alte informaţii sensibile, aceste informaţii vor fi captate şi transmise către o terţă
parte”5. O astfel de politică generează, astfel, consecinţe pe următoarele planuri:
În primul rând, compania Samsung nu va putea fi trasă la răspundere pentru nicio faptă
de natură penală comisă prin intermediul SmartTv-ului.
Apoi, datele respective pot fi folosite pentru a se comite o fraudă informatică în numele
persoanei vătămate sau chiar pentru a distruge cariera profesională şi reputaţia unei persoane,
prin prisma apelării la fapte de şantaj, ameninţare, hărţuire etc.
Printre victimele fenomenului supus analizei noastre se numără, de altfel, cu precădere,
persoane cunoscute ca având o bună reputaţie profesională.
De pildă, în Statele Unite ale Americii, după ce au furat datele personale ale unui
judecător american, o grupare de hackeri a achiziţionat, folosind cardul acestuia, mai multe

5
A se vedea Samsung Privacy Policy, disponibilă la adresa web oficială a companiei,
http://www.samsung.com/sg/info/privacy/smarttv/.

3
jucării sexuale de pe cunoscutul site www.amazon.com, pentru ca apoi să posteze print-screen-uri
de pe contul judecătorului cu obiectele cumpărate.
Conştientă de amploarea fenomenului, Federal Trade Commission (S.U.A) a atras atenţia,
într-un raport cu privire la „Internet of Things”, asupra faptului că numeroase persoane
neautorizate ar putea exploata vulnerabilităţile dispozitivelor inteligente pentru a facilita furtul de
identitate.6

III. Consecinţe ale fenomenului

Aşadar, semnalăm faptul că, odată cu explozia de popularitate pe care dispozitivele
inteligente au dobândit-o, persoanele preocupate de activităţi infracţionale şi-au îndreptat
privirea tot mai mult asupra mediului informatic, aflat într-o continuă expansiune, dar care, în
prezent, nu este suficient de bine securizat, ci presărat cu multiple vulnerabilităţi pentru
potenţialele victime.
Vulnerabilităţile despre care aminteam imediat mai sus pornesc chiar de la faptul că
utilizatorii îşi conectează toate dispozitivele în aceeaşi reţea Wi-fi, iar asta îi face de cele mai
multe ori victime ale unor atacuri informatice, întrucât fiecare gadget extinde suprafaţa de atac şi
reprezintă o potenţială poartă de acces către celălalt. Tocmai de aceea, recomandarea
specialiştilor în domeniu este aceea ca dispozitivele inteligente să fie conectate într-o reţea
separată de cea în care activează laptop-urile sau telefoanele mobile.
Totodată, având în vedere că smart gadget-urile au de regulă numele de utilizator şi
parola (credentials) foarte reduse ca întindere, încercările de spargere a parolelor de acces
reuşesc, potrivit reprezentanţilor companiei Bitdefender, în proporţie de 25%. Or, odată
compromise, atacatorii pot accese cu uşurinţă sistemele informatice ale laptop-urilor sau
telefoanelor mobile şi, implicit, date confidenţiale ale utilizatorilor.

IV. Prevenirea furtului de identitate

Până în prezent nu a fost avansată, la nivel mondial, nicio metodă sau instrument care să
protejeze utilizatorii de acest fenomen infracţional, însă specialiştii sunt de acord că cele mai
bune metode de prevenţie rămân cele de natură empirică, care pot contribui la evitarea sau cel

6
Raportul este disponibil la adresa web oficială a Federal Trade Commission, https://www.ftc.gov/faq/consumer-
protection/report-identity-theft.

4
puţin la diminuarea pagubelor produse. În acest sens, principala recomandare vizează atribuirea
de către utilizatori a unei diligenţe sporite în cursul utilizării dispozitivelor inteligente, fie că este
vorba despre conectarea la internet, accesarea anumitor site-uri sau stocarea anumitor date
informatice.

BIBLIOGRAFIE

1. Gercke Marco, Project on cybercrime. Internet-related identity theft, studiu realizat

sub egida Consiliului Europei şi finanţat de Microdoft, finalizat la 22 noiembrie 2007;
2. Peeters Scott, Identity Theft Scandal in the U.S.. Oportunity to Improve Data
Protection, analiză disponibilă gratuit în format electronic la adresa web
https://scottpeters.house.gov/services/additional-services-and-resources/identity-theft;
3. Site-ul Organizaţiei pentru Cooperare şi Dezvoltare Economică (OECD),
www.oecd.org;
4. Samsung Privacy Policy, disponibilă la adresa web www.samsung.com;
5. Site-ul Federal Trade Commission a S.U.A, www.ftc.gov.