Aspecte generale. Monede electronice vs. monede virtuale.
Criptomonedele şi tranzacţionarea lor pare a fi de natură a ridica noi probleme inclusiv din perspectiva protecţiei patrimoniale, cel puţin dacă ne raportăm la stadiul actual al legislaţiei penale româneşti.
Legiuitorul european a semnalat necesitatea asigurării unei protecţii patrimoniale efective a principalilor actori din ecosistemul criptomonedelor. Prin Directiva 2019/713 privind combaterea fraudelor şi a contrafacerii în legătură cu mijloacele de plată fără numerar, legiuitorul european îşi propune, pe lângă stabilirea unui teren legislativ nivelat între statele membre în materia instrumentelor de plată fără numerar, asigurarea unei protecţii efective a tuturor cetăţenilor unionali care se implică în operaţiuni care presupun circulaţia monedelor electronice şi a monedelor virtuale[1].
Într-o accepţiune juridică, oferită de Directiva 2019/713, monedele virtuale constituie o reprezentare digitală de valoare care nu este emisă sau garantată de o bancă centrală sau de o autoritate publică, nu este în mod obligatoriu legată de o monedă instituită legal şi nu deţine statutul legal de monedă sau de bani, dar este acceptată de către persoane fizice sau juridice ca mijloc de schimb şi poate fi transferată, stocată şi tranzacţionată în mod electronic.
O atare reprezentare digitală de valoare îndeplineşte funcţii similare banilor: mijloc de schimb, unitate de măsură şi modalitate de stocare a valorii, cu menţiunea că, de regulă, monedele virtuale nu sunt utilizate în mod efectiv ca unităţi de măsură independente, ci se raportează la cursurile de schimb ale monedelor „reglementate”[2].
În schimb, moneda electronică, conform articolul 2 pct. 2 din Directiva 2009/110/CE, preluat şi de articolul 4 alin. (1) lit. f) al Legii nr. 210/2019 privind activitatea de emitere de monedă electronică, desemnează orice valoare monetară stocată electronic, inclusiv magnetic, reprezentând o creanţă asupra emitentului, care este emisă la primirea fondurilor, în scopul efectuării de tranzacţii de plată şi care este acceptată de persoane fizice sau juridice, altele decât emitentul monedelor electronice. Acelaşi act normativ unional arată că rolul de instituţie emitentă poate să revină doar persoanei juridice care a fost autorizată să emită monedă electronică.
De altfel, tocmai aceasta este principala distincţie dintre moneda electronică şi cea virtuală, acestea din urmă nefiind emise de către entităţi publice autorizate, ci ele sunt obţinute în urma unui proces de natură informatică[3].
Blockchain.
Simplu explicat, acesta reprezintă o tehnologie prin intermediul căreia, printre altele, pot fi tranzacţionate monede virtuale sau NFT-uri, punând în lumină o reţea de tip peer-to-peer în care se află un sistem de contabilitate distribuită. Prin urmare, în cadrul unui blockchain nu există o autoritate centrală care să opereze şi să controleze modificările bazei de date, ci totul depinde de un algoritm distribuit între mai multe sisteme informatice din reţea. De menţionat că există nu doar o multitudine de monede virtuale, ci şi o multitudine de blockchain-uri. Practic, blockchain-ul se comportă precum o imensă şi foarte bine securizată bază de date, conţinând blocuri de înregistrări a datelor care au fost criptate şi cărora li s-a oferit un număr de identificare unic (valoare hash)[4].
În cazul anumitor blockchain-uri, operaţiunea de atribuire a unei valori hash presupune, în fapt, realizarea unei suite de procese matematice, prin intermediul sistemului informatic. Odată finalizată această operaţiune, tranzacţia este integrată într-un bloc alături de alte tranzacţii, blocul urmând să fie distribuit altor utilizatori (denumiţi noduri) în vederea validării şi securizării sale prin acordul majorităţii acestora. În urma validării, tranzacţiile sunt înregistrate permanent, iar blocul informaţional este interconectat de toate celelalte blocuri într-un lanţ infinit şi cronologic de astfel de structuri[5].
Fiecare integrare a unui bloc în lanţ generează un număr monede virtuale. Intrarea în circulaţie a unei noi monede virtuale, obţinută în urma acestui proces, poartă denumirea de minare. În unele situaţii, cei care şi-au pus la dispoziţie sistemele informatice (minerii) în vederea compunerii blocului urmează a fi recompensaţi cu o parte din aceste monede sau cu anumite procente din costurile de tranzacţionare. Complexitatea procesului face ca minarea să nu poată fi realizată de pe orice dispozitiv[6]. Există şi alte variante de validare a tranzacţiilor efectuate prin blockchain, însă pentru a nu complica şi mai mult lucrurile nu voi insista pe subiect[7].
Ceea ce trebuie să reţinem la acest moment este că prin intermediul blockchain-ului se tranzacţionează, în fapt, doar o linie criptată de cod[8].
Transferul neautorizat de criptomonede.
Prima conduită prin care patrimoniul utilizatorilor de criptomonede poate să fie vătămat constă în transferul neautorizat al acestora. Articolul 6 al Directivei 2019/713 stabileşte în sarcina statelor membre obligaţia de a lua măsurile necesare pentru a se asigura că efectuarea sau provocarea efectuării unui transfer de monedă virtuală, având drept efect cauzarea unui prejudiciu patrimonial unei alte persoane, cu scopul de a obţine un profit ilegal pentru autor sau pentru un terţ se pedepseşte ca infracţiune atunci când este săvârşită cu intenţie prin perturbarea sau afectarea fără drept a funcţionării unui sistem informatic, respectiv prin introducerea, modificarea, ştergerea, transmiterea sau suprimarea fără drept a datelor informatice.
Încă de la bun început trebuie să facem menţiunea că nu ne referim la acele ipoteze când persoana în cauză este determinată de către agent, prin prezentarea ca adevărată a unei fapte mincinoase sau ca mincinoasă a unei fapte adevărate, să transfere criptomonede şi, implicit, să se autopăgubească – caz în care ar fi incidentă infracţiunea de înşelăciune. Eventual, în cazul în care sunt utilizate şi anumite conduite de tip phishing cum ar fi, de pildă, clonarea unor pagini web, infracţiunea de înşelăciune se va reţine în concurs cu aceea de fals informatic prevăzută de articolul 325 din Codul penal. Prin urmare, prin transfer neautorizat ne referim doar la acele conduite care s-ar circumscrie unei infracţiuni de „furt” săvârşite prin intermediul unor sisteme informatice. Ipoteza tipică constă într-un atac informatic care are ca ţintă portofelul virtual al persoanei vătămate, portofel în care sunt „stocate” cheile private aferente criptomonedelor deţinute de aceasta şi care vor fi transferate de către agent către un alt portofel virtual[9].
Dacă aceeaşi conduită ar fi fost săvârşită cu privire la monede electronice, ea s-ar fi plasat în sfera de incriminare a articolului 250 Cod penal, care sancţionează efectuarea de operaţiuni financiare în mod fraudulos. Însă, acesta are în vedere doar instrumentele de monedă electronică, iar conform articolul 180 din Codul penal prin această noţiune se înţelege un instrument care permite titularului să efectueze retrageri în numerar, încărcarea şi descărcarea unui instrument de monedă electronică, precum şi transferuri de fonduri, altele decât cele ordonate şi executate de către instituţii financiare[10].
Prin urmare, conduita în discuţie poate să fie sancţionată, în actuala configuraţie legislativă, doar pe filiera articolului 249 Cod penal privind frauda informatică, text care, de altfel, reprezintă o normă generală în raport cu articolul 250 din Codul penal[11]. Concret, fapta incriminată în articolul 249 din Codul penal constă în introducerea, modificarea sau ştergerea de date informatice, restricţionarea accesului la aceste date ori împiedicarea în orice mod a funcţionării unui sistem informatic, în scopul de a obţine un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane.
Or, după cum deja am arătat, monedele virtuale sunt simple date informatice criptate, iar ceea ce se tranzacţionează în mod concret este o linie de cod criptată imposibil de replicat, iar în vederea efectuării unui transfer între utilizatori este nevoie ca acela care transferă să aibă acces la adresa portofelului virtual unde urmează să ajungă datele informatice[12].
Prin prisma textului articolului 249 din Codul penal discutăm despre introducerea unor date informatice în scopul de a obţine un beneficiu material pentru sine sau pentru altul, prin care se cauzează o pagubă persoanei care deţine accesul la respectivele date informatice. Transferul criptomonedelor din portofelul virtual al persoanei vătămate spre cel al subiectului activ al infracţiunii ori înspre alt portofel se produce ca efect direct al introducerii „adresei” corespondente acestui din urmă portofel[13].
Referitor la pagubă, trebuie subliniat faptul că este necesar ca această să se afle într-un raport direct cu beneficiul material urmărit de către agentul care interacţionează cu sistemul informatic vizat, fără ca între acestea să se interpună o eventuală conduită autopăgubitoare a victimei. Din această perspectivă, între interacţiunea agentului cu sistemul informatic vizat şi pagubă trebuie să se constate un raport de cauzalitate direct, deoarece, în caz contrar, infracţiunea nu va fi tipică[14].
Transferul neautorizat de criptomonede poate duce, de asemenea, la reţinerea unui concurs de infracţiuni, deoarece, de cele mai multe ori, agentul comite anumite infracţiuni-mijloc pentru facilitarea accesului la portofelul virtual al victimei. Dacă, de pildă, agentul interacţionează, în vederea transferului, cu un sistem informatic aparţinând persoanei vătămate, atunci infracţiunea de fraudă informatică se va reţine în concurs cu infracţiunea de acces ilegal la un sistem informatic, sancţionată de articolul 360 din Codul penal. În schimb, dacă agentul realizează transferul chiar al portofelului virtual pe un alt mijloc de stocare a datelor informatice, frauda informatică se va putea reţine în concurs cu infracţiunea de transfer neautorizat de date informatice sancţionată de articolul 364 din Codul penal[15].
Paguba concretă de natură patrimonială pe care subiectul pasiv o suportă constă, după cum corect s-a arătat în doctrină, în pierderea controlului asupra monedelor virtuale transferate în mod neautorizat, iar cuantumul acesteia se va ridica la valoarea de piaţă pe care respectivele criptomonede le aveau la momentul operării transferului[16]. Deşi chestiunea valorii la momentul transferului este mai delicată decât în cazul în care am discuta despre acţiuni ale unor societăţi listate pe piaţa bursieră, deoarece valoarea criptomonedelor este chiar mai volatilă decât cea a acţiunilor, modul în care sistemul blockchain este gândit va permite organelor de urmărire penală să determine momentul la care transferul a fost operat, astfel că valoarea efectivă a monedei la acel moment va putea să fie decelată relativ uşor.
Minarea neautorizată de criptomonede.
Un rol central în ecosistemul criptomonedelor revine minerilor, adică utilizatorilor care îşi pun la dispoziţie puterea de procesare a propriilor sisteme informatice pentru realizarea procesului de mining. Cel puţin cu privire la Bitcoin, un atare proces este unul greoi, care solicită la maxim puterea de procesare a unui sistem informatic. Din cauza dificultăţii ridicate a procedeelor matematice pe care unitatea trebuie să le proceseze, minarea nu poate fi realizată de pe orice dispozitiv, fiind necesare unele specializate, al căror cost de piaţă şi întreţinere este unul ridicat. De asemenea, în realizarea operaţiilor, sistemele informatice implicate generează un consum de curent electric ridicat, chestiune care conduce nu doar facturi mari la electricitate, ci şi supraîncălzirea şi defectarea unităţilor[17].
Pentru a facilita accesul simplilor utilizatori la procesul de minare, au apărut în ultimii ani anumite platforme online care, simplu explicat, divizează acest proces, astfel încât mai mulţi utilizatori să îşi cumuleze puterea de procesare a propriilor sisteme informatice pentru minare şi, în final, să îşi împartă recompensa obţinută[18].
Însă, corelativ, s-a dezvoltat şi practica de a utiliza sistemele informatice ale unor persoane terţe în mod clandestin, iar această conduită poartă denumirea de crypto-jacking. Concret, agentul infracţiunii instalează, prin anumite mijloace care la rândul lor pot constitui infracţiuni, un software în sistemul informatic al victimei, determinând ca acesta să mineze criptomonede fără ca măcar să ştie. De asemenea, această conduită se poate realiza şi prin intermediul unor pagini web care la momentul accesării să capteze o parte din puterea de procesare a sistemului informatic utilizat de către victimă[19].
Din perspectiva dreptului penal, o atare conduită, în lipsa unui text special, este susceptibilă de a fi încadrată în mai multe norme de incriminare, printre care cele vizând distrugerea, furtul de energie electrică sau frauda informatică.
Referitor la infracţiunea de distrugere, aceasta va putea fi reţinută doar în ipoteza în care, în urma procesului de minare a monedelor virtuale, sistemul informatic se defectează. Deşi această situaţie este plauzibilă deoarece, după cum am văzut, minarea suprasolicită puterea de procesare a unui sistem informatic, o atare încadrare juridică nu acoperă toate situaţiile în care discutăm despre crypto-jacking. De asemenea, un raţionament similar se aplică şi vizavi de infracţiunea de perturbare a sistemului informatic[20].
În lipsa unui text expres care să incrimineze această conduită, o soluţie doctrinară propusă constă în reţinerea infracţiunii de furt de energie electrică, cu argumentarea că prin faptul că agentul controlează sistemul informatic, el generează un consum suplimentar de energie electrică. Autorul citat admite că în cazul în care sistemul informatic nu este cuplat la o sursă de energie de natură să genereze o facturare suplimentară, nici această infracţiune nu se va putea reţine, deoarece consumul bateriei respectivului sistem nu încadrează pe elementele constitutive ale infracţiunii de furt de energie electrică sancţionat de articolul 228 alin. (3) din Codul penal[21].
În ceea ce ne priveşte, deşi această din urmă soluţie este juridic corectă, preferăm reţinerea textului articolului 249 din Codul penal cu privire la frauda informatică, deoarece aceasta este apt să acopere şi dimensiunea cibernetică a conduitei în discuţie. Referitor la argumentul lipsei legăturii directe de cauzalitate dintre beneficiu şi pagubă, legătură a cărei prezenţă este necesară pentru îndeplinirea cerinţelor de tipicitate ale faptei[22] consider că aceasta trebuie să fie privită dintr-o perspectivă diferită. Altfel spus, beneficiul obţinut de către cel care utilizează sistemul informatic pentru minarea unor criptomonede nu constă în obţinerea directă a acestora, deoarece procesul de minare este unul foarte îndelungat, ci constă, pur şi simplu în evitarea unor costuri legate de curentul electric la care minerul neautorizat ar fi fost supus. Cu alte cuvinte, beneficiul agentului rezidă în evitarea unei pierderi de către acesta, deoarece, întrebuinţarea sistemelor informatice a unor terţe persoane în vederea desfăşurării procesului de minare, înainte de a-i procura criptomonede, îl scuteşte de costurile suplimentare la energie electrică şi, eventual de costurile de întreţinere ale propriilor sisteme informatice. Or, din această perspectivă, paguba persoanei vătămate, anume supraconsumul de curent electric, este în legătură directă de cauzalitate cu beneficiul obţinut de către agentul conduitei, evitarea supraconsumului de curent electric.
Ca un ultim aspect, arătăm că, în funcţie de modalitatea concretă de săvârşire a conduitei de crypto-jacking, pe lângă una dintre infracţiunile de mai sus, agentul poate să răspundă şi pentru săvârşirea unor infracţiuni-mijloc, cum ar fi, bunăoară, aceea constând în accesul ilegal la un sistem informatic, alterarea integrităţii datelor informatice sau fals informatic[23].
Avocat Cosmin-Daniel Bulea
[1] În acest sens, a se vedea Considerentele nr. 3, 4, 6, 8, 10 și 15 ale Directivei (UE) 2019/713 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind combaterea fraudelor și a contrafacerii în legătură cu mijloacele de plată fără numerar și de înlocuire a Deciziei-cadru 2001/413/JAI a Consiliului.
[2] L. Bercea, Prețul constă într-o sumă de bani. De la moneda de cont la moneda virtuală (și înapoi) în Revista Română de Drept Privat nr. 3 din 2017, consultat la adresa web https://sintact.ro.
[3] G. Zlati, Tratat de criminalitate informatică, Vol.I., Ed. Solomon, București, 2020, p. 341.
[4] S.M. Ziegler, Innovative Legislation is Necessary to Address Terrorist and Criminal Use of Cryptocurrency, pp. 6-8,disponibil la adresa web https://ssrn.com/abstract=3326151. Pentru o analiză mai detaliată, a se vedea G. Zlati, Tehnologia blockchain, monedele virtuale şi dreptul penal în Revista Penalmente Relevant nr. 1/2021, disponibil la adresa web https://portal.penalmente.ro/, pp. 16-21.
[5] Ibidem.
[6] C. Rueckert, Cryptocurrencies and Fundamental Rights în Journal of Cybersecurity, vol. 5, nr. 1 din 2019, Oxford University Press, pp. 2-3, disponibil la adresa web https://ssrn.com/abstract=2820634 .
[7] Pentru o analiză pe larg a mecanismelor de consens în blockchain, a se vedea G. Zlati, op. cit., pp. 29-32.
[8] G. Zlati, Tratat de criminalitate informatică, cit. supra, p. 342.
[9] G. Zlati, op.cit., p. 340-341.
[10] Ibidem, p. 332.
[11] S. Bogdan, D.A. Şerban, G. Zlati, Noul Cod penal. Partea specială. Analize, explicații, comentarii. Perspectiva clujeană., Ed. Universul Juridic, București, 2014, p. 283.
[12] G. Zlati, op.cit., p. 342.
[13] Ibidem, p. 340.
[14] S. Bogdan, D.A. Şerban, G. Zlati, pp. 278-279.
[15] G. Zlati, op.cit., pp. 342-344.
[16] Ibidem, p. 343.
[17] C. Rueckert, op.cit., pp.2-3.
[18] G. Zlati, op.cit., p. 372.
[19] T. Keatinge, D. Carlisle, F. Keen, Virtual currencies and terrorist financing: assessing the risks and evaluating responses, Policy Department for Citizens’ Rights and Constitutional Affairs, Directorate General for Internal Policies of the Union, 2018, p. 17.
[20] G. Zlati, op.cit., pp. 373-374.
[21] Ibidem, pp. 372-373.
[22] S. Bogdan, D.A. Şerban, G. Zlati, op.cit., p. 278.
[23] G. Zlati, op.cit., p. 372.