Autori: Ligia-Cecilia Popescu – Partener, Bogdan Lamatic – Senior Associate, Tamas Fekete – Associate, membri ai echipei de Litigii a Wolf Theiss
- Introducere
Criminalitatea informatică reprezintă una dintre cele mai dinamice și complexe forme de criminalitate contemporană, apărută ca urmare a digitalizării accelerate a tuturor ariilor economice și a dependenței societății de tehnologie. În literatura de specialitate[1], criminalitatea informatică este definită ca un „concept-umbrelă”, care include ansamblul infracțiunilor comise prin intermediul sistemelor informatice sau împotriva acestora, fiind folosite de către făptuitori, în principal, datele informatice și infrastructura digitală.
Criminalitatea informatică se manifestă printr-o varietate de forme și modalități, reflectând complexitatea mediului digital și vulnerabilitățile infrastructurilor informatice. Literatura de specialitate[2] identifică principalele tipologii ale criminalității informatice, precum: accesul neautorizat la sisteme informatice (hacking), distribuirea de programe malițioase (malware, ransomware), fraudele online și furtul de identitate digitală, precum și tehnici de inginerie socială, cum este phishing-ul, care urmărește obținerea frauduloasă de date personale sau financiare. Alte forme includ atacurile de tip denial of service („DoS”) menite să paralizeze rețele sau servicii, compromiterea infrastructurilor critice, pirateria software și cyberstalking-ul, toate având consecințe juridice și economice semnificative[3].
Prezentul articol își propune să examineze, din perspectivă juridică, frauda de tip Fake CEO/President (cunoscut și ca o formă de Business Email Compromise – BEC), având în vedere creșterea semnificativă a fenomenului infracțional și, uneori, complexitatea și discuțiile legate de încadrarea acestui tip de fraudă în elementele constitutive ale unor infracțiuni.
Înainte de a stabili conținutul noțiunii și de a discuta în detaliu mecanismele infracționale specifice BEC, considerăm util să prezentăm conceptul de phishing ca tehnică de inginerie socială ce constituie, de regulă, premisa operațională pentru compromiterea comunicării online, falsificarea identității și, în final, inițierea instrucțiunilor de plată frauduloase, prin care anumite sume sunt transferate în alte conturi decât cele corecte.
Conform literaturii de specialitate[4], phishing-ul este definit ca o formă de fraudă informatică ce implică transmiterea de e-mailuri sau alte tipuri de comunicări electronice care creează aparența provenienței din partea unor entități legitime (de exemplu, instituții bancare) sau din partea unor membri din conducerea unei societăți. Scopul acestei practici ilegale este inducerea în eroare a destinatarului pentru a obține date personale, a determina accesarea unor pagini web falsificate sau chiar efectuarea unor plăți.
Frauda se realizează prin reproducerea elementelor vizuale autentice (logo-uri, design grafic, semne distinctive din cadrul unor comunicări etc.) sau prin falsificarea adresei de e-mail, metodă cunoscută sub denumirea de e-mail spoofing. Aceasta presupune manipularea metadatelor din titlul mesajului, astfel încât un e-mail expediat de pe o adresă reală să pară emis de o sursă legitimă[5]. De exemplu, în multe cazuri se schimbă doar o literă sau o cifră din adresa de e-mail, iar destinatarul nu realizează în mod efectiv această schimbare și dă curs solicitărilor primite de la făptuitori. Identificarea acestor activități frauduloase necesită, de regulă, analiza metadatelor pentru stabilirea originii mesajului (server-ul care a fost folosit, țara de origine etc.).
Frauda de tip Fake CEO/President reprezintă o formă particulară a fenomenului cunoscut sub denumirea de Business Email Compromise (denumit, pe scurt, „BEC„)[6]. Aceasta implică utilizarea de către autorii faptei a unor tehnici de inginerie socială, având ca scop inducerea în eroare a persoanelor vizate din cadrul organizațiilor sau entităților țintă (de regulă, persoane din cadrul departamentul financiar sau chiar directori sau administratori, care pot autoriza sau realiza plăți în cadrul acelei entități), pentru a le determina să efectueze acte sau operațiuni bancare pe care, în mod obișnuit, nu le-ar fi realizat.
În practică, făptuitorii își atribuie în mod fraudulos identitatea unor persoane cu autoritate, din conducerea societății vizate (director general, director economic, manager zonal etc.), și transmit comunicări electronice cu caracter urgent și aparent legitim, prin crearea de adrese de e-mail similare celor reale sau prin compromiterea conturilor autentice. Este important de menționat că aceste metode nu epuizează modalitățile de comitere a faptei, existând și alte tehnici variate, aplicate cu eficiență în practica infracțională.
2. Modus operandi și caracteristici cheie ale fraudei de tip Fake CEO/President
Frauda de tip Fake CEO are o modalitate complexă de operare întemeiată pe inginerie socială[7], care exploatează raportul de autoritate și urgența îndeplinirii sarcinilor de lucru sau de colaborare între partenerii comerciali, pentru a induce conduita de conformare a persoanei vătămate, prin solicitări cu caracter excepțional, de confidențialitate, ce determină derogarea acestora de la fluxurile normale și de la regulile interne ale societății, cum ar fi, cu titlu de exemplu: autorizarea urgentă a plăților[8], transmiterea unor informații confidențiale legate de activitatea societății etc.
În plan tehnic, modalitatea tipică presupune compromiterea unui cont legitim ori alterarea aparenței de autenticitate a domeniului (spoofing), integrarea mesajului fraudulos în conversații comerciale preexistente (thread hijacking) sau absența unui payload evident[9]. Astfel, se mută accentul pe analiza textelor din e-mail-ul transmis, pe modificările aduse metadatelor din e‑mail și pe corelarea cu procedurile interne ale unei entități vizate de o asemenea fraudă[10].
Din perspectivă operațională, în unele cazuri se observă sincronizarea activității infracționale cu ciclurile de facturare a unei societăți și modificarea discretă a coordonatelor de plată ale co-contractantului (vendor e‑mail compromise[11]), însoțită de solicitarea expresă de a deroga de la verificările pe canal secundar[12]. De asemenea, în practică au fost întâlnite cazuri când, imediat după achiziționarea unei societăți din România de către un grup de firme din străinnătate, infractorii (care au monitorizat și urmărit tranzacția dintre societăți, din timp) au solicitat realizarea de transferuri bancare de către societatea achiziționată, în scopul și în folosul grupului de firme, pentru a obține sume de bani importante în mod ilegal (infractorii pretinzând a fi membri ai management-ul grupului de firme străin). În toate cazurile, conturile bancare unde se solicită a fi transferate sume de bani aparțin, în realitate, făptuitorilor.
După obținerea fondurilor în mod ilegal, dispersia accelerată a fondurilor prin mecanisme transfrontaliere, inclusiv utilizarea conturilor intermediare și efectuarea de transferuri internaționale, reduce drastic probabilitatea de recuperare a sumelor transferate de către persoanele vătămate.
Această caracteristică amplifică complexitatea acestei scheme infracționale și justifică intervenții prompte de blocare a fluxurilor financiare (care ar putea fi realizată de unitățile bancare sesizate în mod prompt de către persoanele vătămate sau de către organele de urmărire penală), corelate cu o cooperare judiciară internațională eficientă[13] (în cazul în care sumele sunt transferate în afara țării).
3.Controverse privind delimitarea și încadrarea juridică a activității infracționale
Așa cum am arătat supra, frauda de tip Fake President/CEO, fiind o formă a schemei BEC, presupune utilizarea unor modalități, tehnici și tactici variate prin care făptuitorii induc în eroare persoanele vizate, prin folosirea datelor și sistemelor informatice ori a altor mijloace de comunicații electronice.
Independent de simpla utilizare a sistemelor și datelor informatice (în principal corespondență electronică), BEC are ca specific faptul că făptuitorul exploatează obiceiuri victimelor în folosirea mijloacelor de comunicații electronice și manipulează conduita acestora, pentru a le determina să dezvăluie date ori informații confidențiale sau, mai ales, să efectueze transferuri financiare care au ca urmare crearea unor prejudicii patrimoniale semnificative în patrimoniul unei societăți[14].
Din perspectiva analizei infracțiunilor săvârșite, astfel de activități ilegale pot întruni elementele constitutive ale infracțiunii de înșelăciune (Art. 244 C. pen.) ori de fraudă informatică (Art. 249 C. pen.). În acest context, distincția făcută anterior între phishing și Fake President/CEO este esențială, întrucât diferența privește natura pagubei cauzate și scopul manipulării urmărit de făptuitor.
Luând în considerare încadrările juridice variate întâlnite la nivelul diferitelor unități de Parchet, credem că este de folos să continuăm cu punctarea anumitor aspecte cheie atunci când vine vorba de încadrarea juridică a faptelor ce au legătură cu activitatea infracțională de tip Fake President/CEO.
Suntem de acord cu viziunea doctrinară[15] potrivit căreia, în absența producerii unei pagube prin activități de tip phishing realizate prin mijloace informatice, nu se poate reține incidența infracțiunilor menționate în paragraful anterior (înșelăciune ori fraudă informatică).
Prin urmare, deși sunt folosite tehnici de inducere în eroare, conduita poate fi calificată drept un act preparator al altor infracțiuni sau ca infracțiune‑mijloc, precum falsul informatic reglementat de art. 325 C. pen. Pe cale de consecință, aceeași abordare se aplică în contextul pharming‑ului și al tehnicilor similare de extragere a datelor ori informațiilor vizate de făptuitor, în absența unei pagube efective, de exemplu, când vorbim despre simpla colectarea a acestora.
Raportat la infracțiunile de înșelăciune și fraudă informatică, în scenariul Fake President/CEO delimitarea dintre ele se realizează prin raportare la persoana sau la obiectul vizat de conduita făptuitorului.
În ipoteza reținerii infracțiunii de înșelăciune, infractorul, de regulă, valorifică inducerea în eroare ca mijloc principal de realizare a conduitei infracționale, îndreptată împotriva victimei. Eficacitatea conduitei crește în contextul lipsei contactului direct, când interacțiunea se poartă prin mijloace de comunicare la distanță (e‑mail sau canale electronice echivalente).
Reușita manevrei infracționale se sprijină pe autenticitiatea materialului factual prezentat, de regulă un amestec de informații adevărate (ori ușor verificabile) cu elemente falsificate ori trunchiate, capabil să reducă vigilența victimei, să o plaseze într‑o stare de confort față de ideile furnizate de autor și, în ultimă instanță, să genereze o stare de încredere față de conținutul comunicat.
Făptuitorul exploatează încrederea astfel creată și continuă manevrele manipulative asupra victimei, în vederea determinării unei conduite păgubitoare (de exemplu, inițierea unor transferuri bănești, transmiterea de date de autentificare ori executarea unor instrucțiuni ce produc consecințe patrimoniale).
Frauda informatică se circumscrie acțiunilor de intervenție asupra mediului digital, materializate prin crearea, modificarea, ștergerea ori suprimarea datelor informatice, precum și acțiunilor constând în ingerințele create în funcționarea unui sistem informatic, având drept consecință producerea unei pierderi patrimoniale (bunuri sau sume de bani). Particularitatea acestei infracțiuni constă în faptul că nu se sprijină (neapărat) pe comportamentul victimei. În aceste condiții, victima nu joacă niciun rol în producerea fraudei și nici în apariția pierderii bunurilor ori banilor.[16]
Delimitarea corectă între reținerea infracțiunii de înșelăciune și cea de fraudă informatică rămâne o problemă recurentă, chiar și la nivelul practicii instanțelor de judecată, existând instanțe care rețin concurs între cele două infracțiuni, (a se vedea Curtea de Apel București, Secția a II-a Penală, Decizia nr. 854/2016), cât și instanțe care, în ipoteza existenței unei fapt de înșelăciune săvârșită prin mijloace informatice, rețin ori infracțiunea prevăzută de Art. 244 C. pen. (a se vedea Curtea de Apel Pitești, Sentința penală nr. 689/R/2008), ori cea de la Art. 249 C. pen. (a se vedea Curtea de Apel Pitești, Sentința penală nr. 672/2013).
Se poate afirma așadar că există o necesitate a unei diferențieri clare chiar și în prezent. În această logică, reținem că soluția Înaltei Curți de Casație și Justiție[17] referitoare la concursul ideal dintre dispozițiile Art. 244 cu Art. 249 C. pen., raportat la aceeași pagubă, ce impune eficiența normei speciale, în vederea evitării unei duble sancționări a inculpatului, rezolvă, într-o măsură, dificultățile întâlnite în practică.
Pe de altă parte, nu se poate susține întotdeauna nici teza conexității între fapta prevăzută de Art. 249 C. pen. (ca infracțiune mijloc) și cea prevăzută de Art. 244 (2) C. pen., calificându-se situația analizată drept săvârșirea infracțiunii de înșelăciune în formă agravantă.
Similar, doctrina[18] arată că, de cele mai multe ori, nu avem de-a face cu inducerea în eroare a unei persoane, ci cu manipularea unui sistem informatic, conduită aptă să întrunească elementele constitutive ale falsului informatic, faptă prevăzută de Art. 325 C. pen., nefiind incidente elementele constitutive ale infracțiunii de frauda informatică.
Cu privire la frauda de tip Fake President/CEO, exemplul uzual din practică este reprezentat de uzurparea identității unei persoane, concomitent cu trimiterea către victimă a unor mesaje ce presupun, în cele mai multe cazuri, solicitarea de transferuri de fonduri bănești. Cum bine se poate observa, această formă nu implică vreo manipulare a unui sistem informatic, acțiune care ar întruni elementele constitutive ale infracțiunii de fraudă informatică, ci mai degrabă ar fi întrunite elementele constitutive ale infracțiunii de înșelăciune.
În dosarele penale recente, în cazul fraudei de tip Fake President/CEO, organele de urmărire penală au dispus începerea urmăririi penale sub aspectul săvârșirii infracțiunilor de înșelăciune și fals informatic.
4. Concluzii
În considerarea celor prezentate, se poate spune că analiza activității infracționale de tip Fake President/CEO (BEC) este esențială, raportat la numărul ridicat de cazuri și impactul financiar asupra persoanelor vătămate din ultimii ani.
Europol – IOCTA 2024 identifică fraudarea plăților și Business Email Compromise printre cele mai răspândite amenințări, alimentate de phishing și abuzul de canale criptate. Raportul notează existența zilnică a victimelor, cu accent pe IMM‑uri, cu efecte vizibile pe întreg lanțul economic dintr-o țară.
În același timp, ENISA – Threat Landscape 2025 arată că phishing-ul și exploatarea rapidă a vulnerabilităților rămân vectori dominanți, iar ingineria socială asistată de inteligența artificială devine accelerantul principal al campaniilor de uzurpare a identității persoanelor, cu efecte transfrontaliere.
Cu privire la încadrarea juridică corectă a faptelor, aceasta presupune o analiză complexă a tuturor circumstanțelor și a probatoriului disponibil organelor de urmărire penală sau instanței de judecată, întrucât chiar conduita tuturor participanților (infractori, persoane vătămate etc.) poate recalibra incidența normelor penale aplicabile.
Pentru astfel de situații, doctrina[19] indică criterii‑cheie de orientare a calificării (între Art. 244 și Art. 249 C. pen.), precum:
- lipsa unei conduite reproșabile a victimei;
- conduita infracțională și raportul făptuitorului față de sistemul informatic;
- in/existența unei legăturii subiective dintre făptuitor și persoana vizată/victima;
- cât de relevantă a fost implicarea victimei privind reușita rezoluțiunii infracționale;
- caracterul voluntar sau nevoluntar al transferului de active, existența consimțământului.
[1] G. Zlati, Criminaliatea informatică în România, Jurnalul Baroului Cluj nr. 1, 2021, pg. 8.
[2] Thomas J. Holt, Adam M. Bossler, ‘Cybercrime’, Oxford Handbook Topics in Criminology and Criminal Justice, 2014, disponibil la adresa: Oxford Academic.
[3] Wang X. Global, (re-)framing of cybercrime: An emerging common interest in flux of competing normative powers?, Leiden Journal of International Law, 2025, disponibil la adresa: Homepage | Cambridge University Press & Assessment.
[4] M. Richardson, Cyber Crime. Law and Practice, Wildy, Simmonds & Hill Publishing, Londra, 2014, pg. 37.
[5] George Zlati, Frauda informatică. Aspecte controversate, Universul Juridic Premium nr. 3 din 2020, disponibil la adresa: www.sintact.ro.
[6] M. Dobrinoiu, N. Gratii Business email compromise from the criminal law perspective, disponibil la adresa: CKS – Challenges of the Knowledge Society – Definit ca o schemă frauduloasă sofisticată ce vizează companii de orice dimensiune și persoane fizice, prin compromiterea unui cont de e-mail sau prin metode de tip spoofing, cu scopul de a determina victima să efectueze transferuri financiare către conturi bancare sau destinatari fictivi.
[7] Mai multe despre acest concept în N. MacEwan, A Tricky Situation: Deception in Cyberspace, în The Journal of Criminal Law, vol. 77, 2013, pg.418.
[8] A. lmutairi., B. Kang., N. Alhashimy, Business email compromise: A systematic review of understanding, detection, and challenges, Computers & Security 158, 2025, disponibil la adresa: www.sciencedirect.com/journal/computers-and-security.
[9] În lipsa unui atașament ce ar avea ca scop să afecteze disponibilitatea, integritatea ori confidențialitatea unui sistem informatic, de a extrage informații sensibile sau de a facilita accesul neautorizat la sistemul de operare.
[10] A. Vorobeva, Detection of Business Email Compromise Attacks with Writing Style Analysis, Springer (MobiSec 2021 / CCIS 1544), 2022.
[11] Vendor Email Compromise (VEC) este un atac cibernetic țintit în care infractorii deturnează sau se dau drept furnizori de încredere pentru a-și păcăli clienții să trimită bani sau date sensibile, adesea prin trimiterea de facturi false sau modificarea datelor bancare, exploatând încrederea stabilită în afaceri pentru a obține câștiguri financiare sau pentru a fura date.
[12] IEEE Xplore, Business E‑mail Compromise – Techniques and Countermeasures, 2021, disponibil la adresa: IEEE Xplore.
[13] G. Simpson, T. Moore,Empirical Analysis of Losses from Business‑Email Compromise, APWG eCrime, 2020.
[14] A. M. Hardy, The high cost of business email compromise fraud, disponbil la adresa: www.sc.com.
[15] G. Zlati, Tratat de criminalitate informatică, vol. I, Ed. Solomon, București, 2020, pg. 358 – 361.
[16] M. Dobrinoiu, N. Gratii, Business email compromise from the criminal law perspective, LESIJ – Lex ET Scientia International Journal vol. 1/2021 nr. XXVIII, pg. 163.
[17] A se vedea Î.C.C.J., s. pen., dec. nr. 2106/2013, disponibil pe: www.sintact.ro.
[18] G. Zlati, Tratat de criminalitate informatică, vol. I, Ed. Solomon, București, 2020, pg. 458.
[19] Ibidem, pg. 458 – 460.
Un material Legal Marketing
