| 

ΠΟΙΝΙΚΗ ΑΞΙΟΛΟΓΗΣΗ ΤΟΥ HACKING-ΠΡΟΣΕΓΓΙΣΗ ΤΟΥ 370Γ ΠΑΡ. 2 ΤΟΥ ΠΚ-ΜΕΡΟΣ ΠΡΩΤΟ

ΠΟΙΝΙΚΗ ΑΞΙΟΛΟΓΗΣΗ ΤΟΥ HACKING-ΠΡΟΣΕΓΓΙΣΗ ΤΟΥ 370Γ ΠΑΡ. 2 ΤΟΥ ΠΚ-ΜΕΡΟΣ ΠΡΩΤΟ

Καταχώρηση 2013/01/06

H διάταξη του 370Γ παρ.2 ΠΚ θεσπίστηκε με το άρθρο 4 του  Ν. 1805/1988 με σκοπό να ποινικοποιήσει τη χωρίς δικαίωμα απόκτηση πρόσβασης σε στοιχεία [1] Η/Υ και σε στοιχεία που είναι αποθηκευμένα σε αυτόν ή μεταδίδονται με συστήματα τηλεπικοινωνιών, δηλαδή να ποινικοποιήσει κατ’έξοχην πράξεις hacking. Ειδικότερα ορίζει ότι: «Όποιος αποκτά πρόσβαση σε στοιχεία που έχουν εισαχθεί  σε  υπολογιστή  ή  σε  περιφερειακή  μνήμη  υπολογιστή  ή  μεταδίδονται με  συστήματα  τηλεπικοινωνιών,  εφόσον  οι  πράξεις  αυτές  έγιναν  χωρίς  δικαίωμα,  ιδίως με παραβίαση απαγορεύσεων ή μέτρων ασφαλείας που είχε  λάβει ο νόμιμος κάτοχός τους, τιμωρείται με φυλάκιση μέχρι τρεις μήνες ή με χρηματική ποινή τουλάχιστον είκοσι εννέα  (29,00) ευρώ. Αν η  πράξη αναφέρεται  στις  διεθνείς σχέσεις  ή  στην  ασφάλεια  του  κράτους, τιμωρείται κατά το άρθρο 148.».

Η τιμώρηση των πράξεων hacking είναι ιδιαίτερα σημαντική, καθώς ένας hacker, αφού επιτύχει την πρόσβαση στον ξένο υπολογιστή, είναι σε θέση να τελέσει έναν απροσδιόριστο αριθμό αξιόποινων πράξεων, όπως π.χ απάτη ή εκβίαση.

Όταν θεσπίστηκε ο συγκεκριμένος νόμος η χρήση του Διαδικτύου, αλλά και των Η/Υ δεν είχε λάβει τις σημερινές της διαστάσεις. Οι διατάξεις του συγκεκριμένου νόμου χαρακτηρίζονται από την ευρύτητα της διατύπωσής τους, με σκοπό να περιληφθεί στο πεδίο εφαρμογής του κάθε πιθανή μελλοντική μορφή αξιόποινης συμπεριφοράς που θα δημιουργούσε η εξέλιξη της τεχνολογίας. Βέβαια η εκπλήρωση του σκοπού αυτού ήταν εξ αρχής ιδιαιτέρως δύσκολη και εν μέρει μόνο επιτεύχθηκε. Για την πλήρωση της αντικειμενικής υπόστασης του 370Γ παρ.2 ΠΚ απαιτείται: α) η απόκτηση πρόσβασης, β) χωρίς δικαίωμα, γ) σε στοιχεία,  δ) που έχουν εισαχθεί σε υπολογιστή ή σε περιφερειακή μνήμη υπολογιστή ή μεταδίδονται με συστήματα τηλεπικοινωνιών. Στη συνέχεια ακολουθεί μία λεπτομερής ανάλυση των στοιχείων που συνθέτουν το έγκλημα του 370Γ παρ.2 ΠΚ.

Α. Απόκτηση πρόσβασης

Με τη διάταξη του 370Γ παρ.2 τιμωρείται per se η απόκτηση πρόσβασης σε δεδομένα. Πρόσβαση στα στοιχεία είναι κάθε τεχνική και φυσική δυνατότητα επίδρασης στον αποθηκευτικό χώρο των στοιχείων και η φυσική πρόσβαση στο σύστημα στο οποίο φυλάσσονται ή πρόσβαση με τεχνικά μέσα οπουδήποτε και εάν βρίσκονται [2]. Ουσιαστικά η απόκτηση πρόσβασης σε δεδομένα Η/Υ στις περισσότερες περιπτώσεις ταυτίζεται με την χρησιμοποίηση ενός Η/Υ [3]. Ορθά ο Έλληνας νομοθέτης ποινικοποίησε τη συμπεριφορά αυτή, αφού, ανεξαρτήτως των κινήτρων της, αποτελεί βάναυση προσβολή του απορρήτου των επικοινωνιών και της ιδιωτικότητας (privacy) του ατόμου και της ασφάλειας των πληροφορικών συστημάτων.

Από τη διατύπωση της διάταξης θα πρέπει να γίνει δεκτό ότι  δεν απαιτείται ο δράστης να έχει αποκτήσει γνώση, οπτικά ή ακουστικά, των δεδομένων αυτών ούτε να τα «αποκτήσει», π.χ με τη μεταφορά τους σε δικό του υλικό φορέα ή με την απόκτηση της κατοχής του υλικού φορέα στον οποίο είναι αυτά αποθηκευμένα. Στην περίπτωση, όμως, στοιχείων που είναι κωδικοποιημένα-κρυπτογραφημένα [4], θα πρέπει να γίνει δεκτό [5] ότι ο δράστης αποκτά πρόσβαση μόνο όταν καταφέρει να τα αποκωδικοποιήσει ή να τα αποκρυπτογραφήσει, όταν έχει στην κατοχή του και το κλειδί που απαιτείται για την αποκωδικοποίησή-αποκρυπτογράφησή  τους.

Διάκριση

Στην πραγματικότητα δεν μπορεί να γίνει διάκριση ανάμεσα στην απλή απόκτηση πρόσβασης σε στοιχεία σε ξένο Η/Υ από την λήψη γνώσης των στοιχείων αυτών. Κατά τη διείσδυση του hacker σε έναν Η/Υ εμφανίζονται στην οθόνη του αυτόματα και υποχρεωτικά, ανεξάρτητα δηλαδή από τη δική του βούληση, τα πρώτα δεδομένα που είναι αποθηκευμένα σε αυτόν. Το περιεχόμενο των στοιχείων αυτών, ή τουλάχιστον ενός μέρους αυτών, το διαβάζει ο hacker σε κάθε περίπτωση, καθώς μόνο έτσι μπορεί να καταλάβει, εάν όντως η εισβολή του είναι επιτυχήμενη και βρίσκεται στο σύστημα που ήθελε να εισέλθει. Πρακτικά η διείσδυση δεν είναι δυνατόν διακριθεί από το «κατέβασμα» (downloading)  των δεδομένων.

Επίσης δεν έχει σημασία το ειδικότερο είδος των στοιχείων. Σύμφωνα με μία άποψη [6], απαιτείται ο κάτοχος των στοιχείων να έχει εκφράσει με αντικειμενικά διαγνώσιμο τρόπο τη βούλησή του, τα στοιχεία αυτά να μην είναι προσβάσιμα σε τρίτους. Σύμφωνα με άλλη άποψη[7], που κατά τη γνώμη του γράφοντος είναι ορθότερη, ακόμα και στην περίπτωση που δεν έχει εξωτερικευθεί με οποιοδήποτε τρόπο η βούληση του κατόχου των στοιχείων να διαφυλαχθεί η προστατευόμενη πληροφορία στη σφαίρα ιδιωτικότητάς του, είναι αρκετή η  ερμηνεία της υποθετικής – μη εξωτερικευμένης – βούλησης του θύματος για την πλήρωση της αντικειμενικής υπόστασης. Το γεγονός της σύνδεσης των στοιχείων με τον ιδιωτικό χώρο του νόμιμου κατόχου τους (π.χ όταν αυτά αποθηκεύονται στον Η/Υ που βρίσκεται στην κατοικία του ή τον επαγγελματικό του χώρο) πρέπει να ερμηνευθεί ως βούλησή του να περιληφθούν αυτά στη σφαίρα της ιδιωτικότητάς του.

Διάταξη του Γερμ ΠΚ (202α StGB)

Σε κάθε περίπτωση δεν απαιτείται η υπερνίκηση εμποδίων ή μέτρων ασφαλείας, όπως στην αντίστοιχη διάταξη του Γερμ ΠΚ (202α StGB), πράγμα το οποίο προκύπτει και από την ίδια τη διατύπωση της διάταξης («ιδίως με παραβίαση απαγορεύσεων ή μέτρων ασφαλείας που είχε λάβει ο νόμιμος κάτοχός τους»). Η αναφορά αυτή έχει αξία κυρίως στις περιπτώσεις άμεσης φυσικής πρόσβασης του δράστη στα δεδομένα, όπως π.χ στην περίπτωση που κάποιος υπάλληλος εταιρίας εισέρχεται σε απαγορευμένο για αυτόν χώρο και θέτει σε λειτουργία υπολογιστή του οποίου επιτρέπεται η χρήση μόνο σε περιορισμένο αριθμό αρμοδίων υπαλλήλων.

Με αυτόν τρόπο δε δημιουργούνται τα δυσεπίλυτα προβλήματα που υπάρχουν στην αντίστοιχη γερμανική διάταξη η οποία προστατεύει μόνο τα δεδομένα τα οποία «προστατεύονται ιδιαίτερα έναντι κάθε ανεξουσιοδότητης πρόσβασης». Έτσι στη Γερμανία υποστηρίζεται ότι ορισμένα είδη firewalls, τα οποία έχουν μια εσωτερική λειτουργία προστασίας, που δεν είναι εξωτερικά αναγνωρίσιμη, δεν αποτελούν ιδιαίτερο μέτρο ασφάλειας.

Επίσης ανεπαρκή θεωρούνται και τα μέτρα ασφαλείας, τα οποία μπορεί να υπερνικήσει ακόμη και ένας μη ειδικός μέσος άνθρωπος ή υποστηρίζεται ότι ένα θεωρητικά εύκολο password δεν αποτελεί «ιδιαίτερη προστασία» έναντι μη εξουσιοδοτημένης πρόσβασης [8]. Είναι φανερό ότι τέτοιου είδους ερμηνείες θα περιόριζαν το πεδίο προστασίας της ερευνώμενης διάταξης και θα οδηγούσαν σε μη επιθυμητά αποτελέσματα, αφού θα έμεναν απροστάτευτοι οι χρήστες Η/Υ, οι οποίοι δεν έχουν ιδιαίτερες γνώσεις πληροφορικής (και είναι οι περισσότεροι αυτοί), δε μπορούν να προστατεύσουν τους Η/Υ με τεχνικά μέσα και δε γνωρίζουν πότε τα μέτρα που λαμβάνουν είναι εύκολο να υπερνικηθούν [9].

Διάταξη του 370Γ παρ. 2

Ωστόσο αντίθετα θα μπορούσε να υποστηριχθεί και ότι διευρύνονται υπέρμετρα τα όρια του αξιοποίνου με τη διάταξη του 370Γ παρ. 2. Η χρησιμοποίηση προγραμμάτων που ανήκουν σε άλλους και η απόκτηση πρόσβασης σε ξένο Η/Υ τιμωρείται σε κάθε περίπτωση που λαμβάνει χώρα, χωρίς σχετικό δικαίωμα, πράγμα το οποίο μας οδηγεί στο συμπέρασμα ότι με τη διάταξη αυτή δεν κολάζονται μόνο οι σοβαρές προσβολές, όπως η διείσδυση στο ηλεκτρονικό ταχυδρομείο ενός προσώπου, η ακρόαση ψηφιακά μεταδιδόμενων επικοινωνιών, η πρόσβαση στα δεδομένα μίας τράπεζας πληροφοριών με χρήση κωδικού που είναι γνωστός στο δράστη χωρίς δικαίωμα, αλλά και οι πλέον μηδαμινές (π.χ. η χρησιμοποίηση του προσωπικού υπολογιστή συναδέλφου που απουσιάζει – η λεγόμενη «κλοπή χρόνου, του υπολογιστή τσέπης άλλου κλπ.)[10].

Βέβαια οι δυσμενείς συνέπειες από αυτή τη διεύρυνση του αξιοποίνου περιορίζεται από το γεγονός ότι το σχετικό έγκλημα διώκεται κατ’έγκληση, σύμφωνα με το  370Γ παρ. 4 ΠΚ.

Έτσι θεωρήθηκε ότι τελεί το εν λόγω έγκλημα ο κατηγορούμενος κελευστής, ο οποίος εισήλθε στο γραφείο του Κυβερνήτη του πλοίου όπου υπηρετούσε, αν και δεν περιλαμβανόταν στο εξουσιοδοτημένο προσωπικό, έθεσε σε λειτουργία τον Η/Υ και χρησιμοποιώντας εγκατεστημένο πρόγραμμα προέβη σε εκτύπωση ορισμένων εγγράφων[11]. Επίσης η απόκτηση πρόσβασης στο λογαριασμό ηλεκτρονικού ταχυδρομείου του Η/Υ τρίτου προσώπου σαφώς πληροί την αντικειμενική υπόσταση του εν λόγω εγκλήματος, αφού πρόκειται για στοιχεία που έχουν αποθηκευτεί σε Η/Υ ή έστω μεταδίδονται με σύστημα τηλεπικοινωνιών.

Καλληδώνης Νικόλαος

Δικηγόρος

ΜΔΕ Αστικού και Ποινικού Δικαίου

nkallidonis@yahoo.com

 

[1]  Η διάταξη του 370 Γ παρ. 2 ΠΚ χρησιμοποιεί τον όρο «στοιχεία» αντί του ταυτόσημου όρου «δεδομένα», ο οποίος χρησιμοποιείται περισσότερο και είναι πιο κοντά στην ορολογία που υιοθετούν τα διεθνή κείμενα. Αντίστοιχους όρους χρησιμοποιούν και οι αλλοδαπές έννομες τάξεις της Γερμανίας, της Αγγλίας και των Η.Π.Α.

[2] Το ζήτημα πότε υφίσταται πρόσβαση σε συγκεκριμένα δεδομένα στον εικονικό κόσμο των Η/Υ, όπου ουσιαστικά όλοι οι Η/Υ είναι συνδεδεμένοι και αλληλεπιδρούν μεταξύ τους με την μετάδοση δεδομένων, δεν είναι τόσο ξεκάθαρο, όπως στον πραγματικό κόσμο, βλ. σχετικά Kerr, Orin S., Cybercrime’s Scope: Interpreting ‘Access’ and ‘Authorization’ in Computer Misuse Statutes. NYU Law Review, Vol. 78, No. 5, 1646-1647, ο οποίος θεωρεί ότι ο χρήστης αποκτά πρόσβαση σε Η/Υ όταν αποστέλλει συγκεκριμένη εντολή σε Η/Υ και αυτή εκτελείται επιτυχημένα («a user accesses a computer any time the user sends a command to that computer that the computer executes») και  ορίζει την πρόσβαση ως οποιαδήποτε επιτυχημένη αλληλεπίδραση με Η/Υ («access as any successful interaction with the computer»). Την ερμηνεία αυτή δέχθηκαν εμμέσως τα αμερικάνικα δικαστήρια στην υπόθεση United States v. Morris, 928 F.2d 504 (2d Cir. 1991).

Με βάση τους ορισμούς αυτούς και αυτός που απλά εισέρχεται στην αρχική ιστοσελίδα μίας εταιρίας, όπου πρέπει να υποβάλλει το username και password του αποκτά πρόσβαση στους Η/Υ της εταιρίας αυτής, αφού έλαβε δεδομένα από τους Η/Υ της εταιρίας αυτής. Στην περίπτωση όμως αυτή δεν υφίσταται αξιόποινη συμπεριφορά, αφού κάθε τρίτος έχει πρόσβαση στα δεδομένα αυτά και έχει τη δυνατότητα να αλληλεπιδρά με τον τρόπο αυτό με τους Η/Υ της συγκεκριμένης εταιρίας και επομένως δύσκολα θα μπορούσε να θεωρηθεί ότι η αλληλεπίδραση αυτή είναι χωρίς δικαίωμα.

[3] Βλ. Kerr, Orin S., Cybercrime’s Scope: Interpreting ‘Access’ and ‘Authorization’ in Computer Misuse Statutes. NYU Law Review, Vol. 78, No. 5, σελ. 1621, ο οποίος αναφέρει ότι η έννοια της πρόσβασης («access») δεν ορίσθηκε από τον αμερικανό νομοθέτη, αλλά το ακριβές περιεχόμενό της εμφανίζει αρκετές δυσκολίες.

[4] Η Κρυπτογράφηση είναι μορφή κωδικοποίησης, η οποία βασίζεται σε τρία κλειδιά (αλγόριθμος βάσει του οποίου γίνεται η αποκρυπτογράφηση), από τα οποία ένα είναι κοινό και τόσο για αυτόν που παραλαμβάνει τα δεδομένα όσο και για αυτόν που τα μεταδίδει και ο καθένας έχει ένα δικό του κλειδί.

[5] Βλ. βλ. Αργυρόπουλο Α.: Ηλεκτρονική εγκληματικότητα: τα αδικήματα της χωρίς άδεια απόκτησης δεδομένων (202a StGB), της παραποίησης δεδομένων (303a StGB) και της δολιοφθοράς Η/Υ (303b StGB) σε σχέση με το hacking και τη μετάδοση των ηλεκτρονικών ιών στο internet, σελ 78, με περαιτέρω παραπομπές σε Hilgendorf, (υποσημ. 225), σελ. 705.

[6] Μυλωνόπουλος Χ.: Ηλεκτρονικοί Υπολογιστές και Ποινικό Δίκαιο, σελ. 92-93. Ο οποίος είναι προφανώς επηρεασμένος από την ερμηνεία της αντίστοιχης διάταξης στο πλαίσιο του γερμανικού δικαίου.

[7] Παπαδόπουλος Μ.: Wardriving, Warchalking & Wireless Hacking,  2ο ΕΘΝΙΚΟ ΣΥΝΕΔΡΙΟ ΜΕ ΔΙΕΘΝΗ ΣΥΜΜΕΤΟΧΗ ΑΘΗΝΑ, Ε.Β.Ε.Α., 16-17 ΜΑΡΤΙΟΥ 2006, Ηλεκτρονική Δημοκρατία, Προκλήσεις της ψηφιακής εποχής, σελ. 32.

[8] Βλ. Αργυρόπουλο Α.: Ηλεκτρονική εγκληματικότητα: τα αδικήματα της χωρίς άδεια απόκτησης δεδομένων (202a StGB), της παραποίησης δεδομένων (303a StGB) και της δολιοφθοράς Η/Υ (303b StGB) σε σχέση με το hacking και τη μετάδοση των ηλεκτρονικών ιών στο internet, σελ 73-74, με περαιτέρω παραπομπές σε Hilgendorf, Grundfalle zum Computerstraftrecht, Μέρος II, JuS 1996, σελ.702-706, Koch, Aspekte des technischen und strafrechtlichen Zugriffsschutzes vin EDV-Systemen, RDV 1996, σελ. 123-131 και v. Gravenreuth, ο οποίος παρομοιάζει έναν εύκολο κωδικό πρόσβασης με «μία κλειδαριά, στην οποία το κλειδί βρίσκεται ακόμα επάνω».

[9] Τα ανωτέρω γίνονται αντίστοιχα δεκτά και στο πλαίσιο του αμερικανικού δικαίου, βλ. Winn, Peter A., The Guilty Eye: Unauthorized Access, Trespass and Privacy. Business Lawyer, Vol. 62, 2007, σελ. 1420.

[10] Βλ. ΝαυτΠειρ 530/2003, ΠοινΧρ ΝΔ/75.

[11] Αποτελεί το πραγματικό της ΝαυτΠειρ 530/2003, ΠοινΧρ ΝΔ/75.