CRIMINAL EVALUATION OF HACKING-APPROACH OF 370C PAR. 2 OF GREEK PENAL CODE-PART ONE
Καταχώρηση 2013/01/06
H διάταξη του 370Γ παρ.2 ΠΚ θεσπίστηκε με το άρθρο 4 του Ν. 1805/1988 με σκοπό να ποινικοποιήσει τη χωρίς δικαίωμα απόκτηση πρόσβασης σε στοιχεία [1] Η/Υ και σε στοιχεία που είναι αποθηκευμένα σε αυτόν ή μεταδίδονται με συστήματα τηλεπικοινωνιών, δηλαδή να ποινικοποιήσει κατ’έξοχην πράξεις hacking. Ειδικότερα ορίζει ότι: «Όποιος αποκτά πρόσβαση σε στοιχεία που έχουν εισαχθεί σε υπολογιστή ή σε περιφερειακή μνήμη υπολογιστή ή μεταδίδονται με συστήματα τηλεπικοινωνιών, εφόσον οι πράξεις αυτές έγιναν χωρίς δικαίωμα, ιδίως με παραβίαση απαγορεύσεων ή μέτρων ασφαλείας που είχε λάβει ο νόμιμος κάτοχός τους, τιμωρείται με φυλάκιση μέχρι τρεις μήνες ή με χρηματική ποινή τουλάχιστον είκοσι εννέα (29,00) ευρώ. Αν η πράξη αναφέρεται στις διεθνείς σχέσεις ή στην ασφάλεια του κράτους, τιμωρείται κατά το άρθρο 148.».
Η τιμώρηση των πράξεων hacking είναι ιδιαίτερα σημαντική, καθώς ένας hacker, αφού επιτύχει την πρόσβαση στον ξένο υπολογιστή, είναι σε θέση να τελέσει έναν απροσδιόριστο αριθμό αξιόποινων πράξεων, όπως π.χ απάτη ή εκβίαση.
Όταν θεσπίστηκε ο συγκεκριμένος νόμος η χρήση του Διαδικτύου, αλλά και των Η/Υ δεν είχε λάβει τις σημερινές της διαστάσεις. Οι διατάξεις του συγκεκριμένου νόμου χαρακτηρίζονται από την ευρύτητα της διατύπωσής τους, με σκοπό να περιληφθεί στο πεδίο εφαρμογής του κάθε πιθανή μελλοντική μορφή αξιόποινης συμπεριφοράς που θα δημιουργούσε η εξέλιξη της τεχνολογίας. Βέβαια η εκπλήρωση του σκοπού αυτού ήταν εξ αρχής ιδιαιτέρως δύσκολη και εν μέρει μόνο επιτεύχθηκε. Για την πλήρωση της αντικειμενικής υπόστασης του 370Γ παρ.2 ΠΚ απαιτείται: α) η απόκτηση πρόσβασης, β) χωρίς δικαίωμα, γ) σε στοιχεία, δ) που έχουν εισαχθεί σε υπολογιστή ή σε περιφερειακή μνήμη υπολογιστή ή μεταδίδονται με συστήματα τηλεπικοινωνιών. Στη συνέχεια ακολουθεί μία λεπτομερής ανάλυση των στοιχείων που συνθέτουν το έγκλημα του 370Γ παρ.2 ΠΚ.
Α. Απόκτηση πρόσβασης
Με τη διάταξη του 370Γ παρ.2 τιμωρείται per se η απόκτηση πρόσβασης σε δεδομένα. Πρόσβαση στα στοιχεία είναι κάθε τεχνική και φυσική δυνατότητα επίδρασης στον αποθηκευτικό χώρο των στοιχείων και η φυσική πρόσβαση στο σύστημα στο οποίο φυλάσσονται ή πρόσβαση με τεχνικά μέσα οπουδήποτε και εάν βρίσκονται [2]. Ουσιαστικά η απόκτηση πρόσβασης σε δεδομένα Η/Υ στις περισσότερες περιπτώσεις ταυτίζεται με την χρησιμοποίηση ενός Η/Υ [3]. Ορθά ο Έλληνας νομοθέτης ποινικοποίησε τη συμπεριφορά αυτή, αφού, ανεξαρτήτως των κινήτρων της, αποτελεί βάναυση προσβολή του απορρήτου των επικοινωνιών και της ιδιωτικότητας (privacy) του ατόμου και της ασφάλειας των πληροφορικών συστημάτων.
Από τη διατύπωση της διάταξης θα πρέπει να γίνει δεκτό ότι δεν απαιτείται ο δράστης να έχει αποκτήσει γνώση, οπτικά ή ακουστικά, των δεδομένων αυτών ούτε να τα «αποκτήσει», π.χ με τη μεταφορά τους σε δικό του υλικό φορέα ή με την απόκτηση της κατοχής του υλικού φορέα στον οποίο είναι αυτά αποθηκευμένα. Στην περίπτωση, όμως, στοιχείων που είναι κωδικοποιημένα-κρυπτογραφημένα [4], θα πρέπει να γίνει δεκτό [5] ότι ο δράστης αποκτά πρόσβαση μόνο όταν καταφέρει να τα αποκωδικοποιήσει ή να τα αποκρυπτογραφήσει, όταν έχει στην κατοχή του και το κλειδί που απαιτείται για την αποκωδικοποίησή-αποκρυπτογράφησή τους.
Διάκριση
Στην πραγματικότητα δεν μπορεί να γίνει διάκριση ανάμεσα στην απλή απόκτηση πρόσβασης σε στοιχεία σε ξένο Η/Υ από την λήψη γνώσης των στοιχείων αυτών. Κατά τη διείσδυση του hacker σε έναν Η/Υ εμφανίζονται στην οθόνη του αυτόματα και υποχρεωτικά, ανεξάρτητα δηλαδή από τη δική του βούληση, τα πρώτα δεδομένα που είναι αποθηκευμένα σε αυτόν. Το περιεχόμενο των στοιχείων αυτών, ή τουλάχιστον ενός μέρους αυτών, το διαβάζει ο hacker σε κάθε περίπτωση, καθώς μόνο έτσι μπορεί να καταλάβει, εάν όντως η εισβολή του είναι επιτυχήμενη και βρίσκεται στο σύστημα που ήθελε να εισέλθει. Πρακτικά η διείσδυση δεν είναι δυνατόν διακριθεί από το «κατέβασμα» (downloading) των δεδομένων.
Επίσης δεν έχει σημασία το ειδικότερο είδος των στοιχείων. Σύμφωνα με μία άποψη [6], απαιτείται ο κάτοχος των στοιχείων να έχει εκφράσει με αντικειμενικά διαγνώσιμο τρόπο τη βούλησή του, τα στοιχεία αυτά να μην είναι προσβάσιμα σε τρίτους. Σύμφωνα με άλλη άποψη[7], που κατά τη γνώμη του γράφοντος είναι ορθότερη, ακόμα και στην περίπτωση που δεν έχει εξωτερικευθεί με οποιοδήποτε τρόπο η βούληση του κατόχου των στοιχείων να διαφυλαχθεί η προστατευόμενη πληροφορία στη σφαίρα ιδιωτικότητάς του, είναι αρκετή η ερμηνεία της υποθετικής – μη εξωτερικευμένης – βούλησης του θύματος για την πλήρωση της αντικειμενικής υπόστασης. Το γεγονός της σύνδεσης των στοιχείων με τον ιδιωτικό χώρο του νόμιμου κατόχου τους (π.χ όταν αυτά αποθηκεύονται στον Η/Υ που βρίσκεται στην κατοικία του ή τον επαγγελματικό του χώρο) πρέπει να ερμηνευθεί ως βούλησή του να περιληφθούν αυτά στη σφαίρα της ιδιωτικότητάς του.
Διάταξη του Γερμ ΠΚ (202α StGB)
Σε κάθε περίπτωση δεν απαιτείται η υπερνίκηση εμποδίων ή μέτρων ασφαλείας, όπως στην αντίστοιχη διάταξη του Γερμ ΠΚ (202α StGB), πράγμα το οποίο προκύπτει και από την ίδια τη διατύπωση της διάταξης («ιδίως με παραβίαση απαγορεύσεων ή μέτρων ασφαλείας που είχε λάβει ο νόμιμος κάτοχός τους»). Η αναφορά αυτή έχει αξία κυρίως στις περιπτώσεις άμεσης φυσικής πρόσβασης του δράστη στα δεδομένα, όπως π.χ στην περίπτωση που κάποιος υπάλληλος εταιρίας εισέρχεται σε απαγορευμένο για αυτόν χώρο και θέτει σε λειτουργία υπολογιστή του οποίου επιτρέπεται η χρήση μόνο σε περιορισμένο αριθμό αρμοδίων υπαλλήλων.
Με αυτόν τρόπο δε δημιουργούνται τα δυσεπίλυτα προβλήματα που υπάρχουν στην αντίστοιχη γερμανική διάταξη η οποία προστατεύει μόνο τα δεδομένα τα οποία «προστατεύονται ιδιαίτερα έναντι κάθε ανεξουσιοδότητης πρόσβασης». Έτσι στη Γερμανία υποστηρίζεται ότι ορισμένα είδη firewalls, τα οποία έχουν μια εσωτερική λειτουργία προστασίας, που δεν είναι εξωτερικά αναγνωρίσιμη, δεν αποτελούν ιδιαίτερο μέτρο ασφάλειας.
Επίσης ανεπαρκή θεωρούνται και τα μέτρα ασφαλείας, τα οποία μπορεί να υπερνικήσει ακόμη και ένας μη ειδικός μέσος άνθρωπος ή υποστηρίζεται ότι ένα θεωρητικά εύκολο password δεν αποτελεί «ιδιαίτερη προστασία» έναντι μη εξουσιοδοτημένης πρόσβασης [8]. Είναι φανερό ότι τέτοιου είδους ερμηνείες θα περιόριζαν το πεδίο προστασίας της ερευνώμενης διάταξης και θα οδηγούσαν σε μη επιθυμητά αποτελέσματα, αφού θα έμεναν απροστάτευτοι οι χρήστες Η/Υ, οι οποίοι δεν έχουν ιδιαίτερες γνώσεις πληροφορικής (και είναι οι περισσότεροι αυτοί), δε μπορούν να προστατεύσουν τους Η/Υ με τεχνικά μέσα και δε γνωρίζουν πότε τα μέτρα που λαμβάνουν είναι εύκολο να υπερνικηθούν [9].
Διάταξη του 370Γ παρ. 2
Ωστόσο αντίθετα θα μπορούσε να υποστηριχθεί και ότι διευρύνονται υπέρμετρα τα όρια του αξιοποίνου με τη διάταξη του 370Γ παρ. 2. Η χρησιμοποίηση προγραμμάτων που ανήκουν σε άλλους και η απόκτηση πρόσβασης σε ξένο Η/Υ τιμωρείται σε κάθε περίπτωση που λαμβάνει χώρα, χωρίς σχετικό δικαίωμα, πράγμα το οποίο μας οδηγεί στο συμπέρασμα ότι με τη διάταξη αυτή δεν κολάζονται μόνο οι σοβαρές προσβολές, όπως η διείσδυση στο ηλεκτρονικό ταχυδρομείο ενός προσώπου, η ακρόαση ψηφιακά μεταδιδόμενων επικοινωνιών, η πρόσβαση στα δεδομένα μίας τράπεζας πληροφοριών με χρήση κωδικού που είναι γνωστός στο δράστη χωρίς δικαίωμα, αλλά και οι πλέον μηδαμινές (π.χ. η χρησιμοποίηση του προσωπικού υπολογιστή συναδέλφου που απουσιάζει – η λεγόμενη «κλοπή χρόνου, του υπολογιστή τσέπης άλλου κλπ.)[10].
Βέβαια οι δυσμενείς συνέπειες από αυτή τη διεύρυνση του αξιοποίνου περιορίζεται από το γεγονός ότι το σχετικό έγκλημα διώκεται κατ’έγκληση, σύμφωνα με το 370Γ παρ. 4 ΠΚ.
Έτσι θεωρήθηκε ότι τελεί το εν λόγω έγκλημα ο κατηγορούμενος κελευστής, ο οποίος εισήλθε στο γραφείο του Κυβερνήτη του πλοίου όπου υπηρετούσε, αν και δεν περιλαμβανόταν στο εξουσιοδοτημένο προσωπικό, έθεσε σε λειτουργία τον Η/Υ και χρησιμοποιώντας εγκατεστημένο πρόγραμμα προέβη σε εκτύπωση ορισμένων εγγράφων[11]. Επίσης η απόκτηση πρόσβασης στο λογαριασμό ηλεκτρονικού ταχυδρομείου του Η/Υ τρίτου προσώπου σαφώς πληροί την αντικειμενική υπόσταση του εν λόγω εγκλήματος, αφού πρόκειται για στοιχεία που έχουν αποθηκευτεί σε Η/Υ ή έστω μεταδίδονται με σύστημα τηλεπικοινωνιών.
Καλληδώνης Νικόλαος
Lawyer
ΜΔΕ Αστικού και Ποινικού Δικαίου
nkallidonis@yahoo.com