Οι διατάξεις του ΠΚ για το ηλεκτρονικό έγκλημα μετά το Ν. 4411/2016


Δημοσιεύθηκε ο Ν.4411 στο ΦΕΚ Α 142/3.8.2016 “Κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης για το έγκλημα στον Κυβερνοχώρο και του Προσθέτου Πρωτοκόλλου της, σχετικά με την ποινικοποίηση πράξεων ρατσιστικής και ξενοφοβικής φύσης, που διαπράττονται μέσω Συστημάτων Υπολογιστών – Μεταφορά στο ελληνικό δίκαιο της Οδηγίας 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης – πλαισίου 2005/222/ΔΕΥ του Συμβουλίου, ρυθμίσεις σωφρονιστικής και αντεγκληματικής πολιτικής και άλλες διατάξεις.

Με το νόμο αυτό, πέρα από την κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης, γίνεται προσαρμογή της ελληνικής νομοθεσίας με την οδηγία 2013/40/ΕΕ και εισάγονται διατάξεις με τις οποίες ποινικοποιούνται οι επιθέσεις κατά πληροφοριακών συστημάτων.

Ειδικότερα, οι τροποποιήσεις του Ποινικού Κώδικα έχουν ως εξής:
   1. Στο άρθρο 13 του Ποινικού Κώδικα προστίθενται περιπτώσεις η’ και θ’ ως εξής:
   «η) Πληροφοριακό σύστημα είναι συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μία ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, αυτόματη επεξεργασία ψηφιακών δεδομένων, καθώς και τα ψηφιακά δεδομένα που αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από την εν λόγω συσκευή ή την ομάδα συσκευών με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρηση των συσκευών αυτών.
   θ) Ψηφιακά δεδομένα είναι η παρουσίαση γεγονότων, πληροφοριών ή εννοιών σε μορφή κατάλληλη προς επεξεργασία από πληροφοριακό σύστημα, συμπεριλαμβανομένου προγράμματος που παρέχει τη δυνατότητα στο πληροφοριακό σύστημα να εκτελέσει μια λειτουργία».
   2. Μετά το άρθρο 292Α του Ποινικού Κώδικα προστίθεται άρθρο 292Β ως εξής:
   « Άρθρο 292Β
Παρακώλυση λειτουργίας πληροφοριακών συστημάτων
   1. Όποιος χωρίς δικαίωμα παρεμποδίζει σοβαρά ή διακόπτει τη λειτουργία συστήματος πληροφοριών με την εισαγωγή, διαβίβαση, διαγραφή, καταστροφή, αλλοίωση ψηφιακών δεδομένων ή με αποκλεισμό της πρόσβασης στα δεδομένα αυτά, τιμωρείται με φυλάκιση μέχρι τριών (3) ετών.
   2. Η πράξη της πρώτης παραγράφου τιμωρείται:
   α) με φυλάκιση από ένα (1) έως τρία (3) έτη, αν τελέστηκε με τη χρήση εργαλείου που έχει σχεδιαστεί κατά κύριο λόγο για πραγματοποίηση επιθέσεων που επηρεάζουν μεγάλο αριθμό συστημάτων πληροφοριών ή επιθέσεων που προκαλούν σοβαρές ζημίες και ιδίως επιθέσεων που προκαλούν μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημιά ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων, β) με φυλάκιση τουλάχιστον ενός (1) έτους, αν προκάλεσε σοβαρές ζημίες και ιδίως μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημία ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων και γ) με φυλάκιση τουλάχιστον ενός (1) έτους, αν τελέστηκε κατά συστημάτων πληροφοριών που αποτελούν μέρος υποδομής για την προμήθεια του πληθυσμού με ζωτικής σημασίας αγαθά ή υπηρεσίες. Ως ζωτικής σημασίας αγαθά ή υπηρεσίες νοούνται ιδίως η εθνική άμυνα, η υγεία, οι συγκοινωνίες, οι μεταφορές και η ενέργεια.
   3. Αν οι πράξεις των προηγούμενων παραγράφων τελέστηκαν στο πλαίσιο δομημένης και με διαρκή δράση ομάδας τριών ή περισσότερων προσώπων, που επιδιώκει την τέλεση περισσότερων εγκλημάτων του παρόντος άρθρου, τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών.
   4. Για την ποινική δίωξη της πράξης της παραγράφου 1 απαιτείται έγκληση».
   3. Μετά το άρθρο 292Β του Ποινικού Κώδικα προστίθεται άρθρο 292Γ ως εξής:
   « Άρθρο 292Γ
   Με φυλάκιση μέχρι δύο (2) ετών τιμωρείται όποιος χωρίς δικαίωμα και με σκοπό τη διάπραξη των εγκλημάτων του άρθρου 292Β παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, κατέχει, διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για το σκοπό της διάπραξης των εγκλημάτων του άρθρου 292Β, β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος».
   4. Οι παράγραφοι 2 και 5 του άρθρου 348Α του Ποινικού Κώδικα αντικαθίστανται ως εξής:
   «2. Όποιος με πρόθεση παράγει, προσφέρει, πωλεί ή με οποιονδήποτε τρόπο διαθέτει, διανέμει, διαβιβάζει, αγοράζει, προμηθεύεται ή κατέχει υλικό παιδικής πορνογραφίας ή διαδίδει πληροφορίες σχετικά με την τέλεση των παραπάνω πράξεων, μέσω πληροφοριακών συστημάτων, τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών και χρηματική ποινή πενήντα χιλιάδων έως τριακοσίων χιλιάδων ευρώ.
   5. Όποιος εν γνώσει αποκτά πρόσβαση σε υλικό παιδικής πορνογραφίας μέσω πληροφοριακών συστημάτων, τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους».
   5. Το άρθρο 348Β του Ποινικού Κώδικα αντικαθίσταται ως εξής:
   «Άρθρο 348Β
Προσέλκυση παιδιών για γενετήσιους λόγους
   Όποιος με πρόθεση, μέσω πληροφοριακών συστημάτων, προτείνει σε ανήλικο που δεν συμπλήρωσε τα δεκαπέντε έτη, να συναντήσει τον ίδιο ή τρίτο, με σκοπό τη διάπραξη σε βάρος του ανηλίκου των αδικημάτων των άρθρων 339 παράγραφοι 1 και 2 ή 348Α, όταν η πρόταση αυτή ακολουθείται από περαιτέρω πράξεις που οδηγούν σε μία τέτοια συνάντηση, τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών και χρηματική ποινή πενήντα χιλιάδων έως διακοσίων χιλιάδων ευρώ».
   6. Το άρθρο 370Γ του Ποινικού Κώδικα αντικαθίσταται ως εξής:
   «Άρθρο 370Γ
Παράνομη πρόσβαση σε πληροφοριακό σύστημα
   1. Όποιος χωρίς δικαίωμα αντιγράφει ή χρησιμοποιεί προγράμματα υπολογιστών, τιμωρείται με φυλάκιση μέχρι έξι (6) μήνες και με χρηματική ποινή διακοσίων ενενήντα (290) ευρώ έως πέντε χιλιάδων εννιακοσίων (5.900) ευρώ.
   2. Όποιος χωρίς δικαίωμα αποκτά πρόσβαση στο σύνολο ή τμήμα πληροφοριακού συστήματος ή σε στοιχεία που μεταδίδονται με συστήματα τηλεπικοινωνιών, παραβιάζοντας απαγορεύσεις ή μέτρα ασφαλείας που έχει λάβει ο νόμιμος κάτοχος του, τιμωρείται με φυλάκιση. Αν η πράξη αναφέρεται στις διεθνείς σχέσεις ή την ασφάλεια του κράτους, τιμωρείται κατά το άρθρο 148.
   3. Αν ο δράστης είναι στην υπηρεσία του νόμιμου κατόχου του πληροφοριακού συστήματος ή των στοιχείων, η πράξη της προηγούμενης παραγράφου τιμωρείται μόνο αν απαγορεύεται ρητά από εσωτερικό κανονισμό ή από έγγραφη απόφαση του κατόχου ή αρμόδιου υπαλλήλου του.
   4. Οι πράξεις των παραγράφων 1 έως 3 διώκονται ύστερα από έγκληση».
   7. Μετά το άρθρο 370Γ του Ποινικού Κώδικα προστίθεται άρθρο 370Δ ως εξής:
   «Άρθρο 370Δ
   1. Όποιος, αθέμιτα, με τη χρήση τεχνικών μέσων, παρακολουθεί ή αποτυπώνει σε υλικό φορέα μη δημόσιες διαβιβάσεις δεδομένων ή ηλεκτρομαγνητικές εκπομπές από, προς ή εντός πληροφοριακού συστήματος ή παρεμβαίνει σε αυτές με σκοπό ο ίδιος ή άλλος να πληροφορηθεί το περιεχόμενό τους, τιμωρείται με κάθειρξη μέχρι δέκα (10) ετών.
   2. Με την ποινή της παραγράφου 1 τιμωρείται όποιος κάνει χρήση της πληροφορίας ή του υλικού φορέα επί του οποίου αυτή έχει αποτυπωθεί με τους τρόπους που προβλέπεται στην παράγραφο 1.
   3. Αν οι πράξεις των παραγράφων 1 και 2 συνεπάγονται παραβίαση στρατιωτικού ή διπλωματικού απορρήτου ή αφορούν απόρρητο που αναφέρεται στην ασφάλεια του Κράτους σε καιρό πολέμου τιμωρούνται κατά το άρθρο 146».
   8. Μετά το άρθρο 370Δ του Ποινικού Κώδικα προστίθεται άρθρο 370Ε ως εξής:
   «Άρθρο 370Ε
   Με φυλάκιση μέχρι δύο (2) ετών τιμωρείται όποιος χωρίς δικαίωμα και με σκοπό τη διάπραξη κάποιου από τα εγκλήματα των άρθρων 370Β, 370Γ παράγραφοι 2 και 3 και 370Δ παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, κατέχει, διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για το σκοπό της διάπραξης κάποιου από τα εγκλήματα των άρθρων 370Β, 370Γ και 370Δ, β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος».
   9. Μετά το άρθρο 381 του Ποινικού Κώδικα προστίθεται άρθρο 381Α ως εξής:
   «Άρθρο 381Α
Φθορά ηλεκτρονικών δεδομένων
   1. Όποιος χωρίς δικαίωμα διαγράφει, καταστρέφει, αλλοιώνει ή αποκρύπτει ψηφιακά δεδομένα ενός συστήματος πληροφοριών, καθιστά ανέφικτη τη χρήση τους ή με οποιονδήποτε τρόπο αποκλείει την πρόσβαση στα δεδομένα αυτά, τιμωρείται με φυλάκιση έως τρία (3) έτη. Σε ιδιαίτερα ελαφρές περιπτώσεις, το δικαστήριο μπορεί, εκτιμώντας τις περιστάσεις τέλεσης, να κρίνει την πράξη ατιμώρητη.
   2. Η πράξη της πρώτης παραγράφου τιμωρείται: α) με φυλάκιση από ένα (1) έως τρία (3) έτη, αν τελέστηκε με τη χρήση εργαλείου που έχει σχεδιαστεί κατά κύριο λόγο για πραγματοποίηση επιθέσεων που επηρεάζουν μεγάλο αριθμό συστημάτων πληροφοριών ή επιθέσεων που προκαλούν σοβαρές ζημίες και ιδίως επιθέσεων που προκαλούν μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημία ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων, β) με φυλάκιση τουλάχιστον ενός (1) έτους, αν προκάλεσε σοβαρές ζημίες και ιδίως μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημία ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων και γ) με φυλάκιση τουλάχιστον ενός (1) έτους, αν τελέστηκε κατά συστημάτων πληροφοριών που αποτελούν μέρος υποδομής για την προμήθεια του πληθυσμού με ζωτικής σημασίας αγαθά ή υπηρεσίες. Ως ζωτικής σημασίας αγαθά ή υπηρεσίες νοούνται ιδίως η εθνική άμυνα, η υγεία, οι συγκοινωνίες, οι μεταφορές και η ενέργεια.
   3. Αν οι πράξεις των προηγούμενων παραγράφων τελέστηκαν στο πλαίσιο δομημένης και με διαρκή δράση ομάδας τριών ή περισσότερων προσώπων, που επιδιώκει την τέλεση περισσότερων εγκλημάτων του παρόντος άρθρου, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών.
   4. Για την ποινική δίωξη της πράξης της παραγράφου 1 απαιτείται έγκληση».
   10. Μετά το άρθρο 381Α του Ποινικού Κώδικα προστίθεται άρθρο 381Β ως εξής:
   «Άρθρο 381Β
   Με φυλάκιση μέχρι δύο (2) ετών, τιμωρείται όποιος χωρίς δικαίωμα και με σκοπό τη διάπραξη κάποιου από τα εγκλήματα του άρθρου 381Α παράγραφοι 1, 2 και 3 παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, κατέχει διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για το σκοπό της διάπραξης κάποιου από τα εγκλήματα του άρθρου 381Α, β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος».
   11. Το άρθρο 386Α του Ποινικού Κώδικα αντικαθίσταται ως εξής:
   «Άρθρο 386Α
Απάτη με υπολογιστή
   Όποιος, με σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος, βλάπτει ξένη περιουσία, επηρεάζοντας το αποτέλεσμα της διαδικασίας επεξεργασίας ψηφιακών δεδομένων είτε με τη μη ορθή διαμόρφωση προγράμματος υπολογιστή είτε με χρησιμοποίηση μη ορθών ή ελλιπών στοιχείων είτε με τη χωρίς δικαίωμα χρήση δεδομένων είτε με τη χωρίς δικαίωμα παρέμβαση σε πληροφοριακό σύστημα, τιμωρείται με τις ποινές του προηγούμενου άρθρου. Περιουσιακή βλάβη υφίσταται και αν τα πρόσωπα που την υπέστησαν είναι άδηλα. Για την εκτίμηση του ύψους της ζημίας είναι αδιάφορο αν οι παθόντες είναι ένα ή περισσότερα άτομα».

Η αντιμετώπιση του phising

Πληθαίνουν τα περιστατικά διαδικτυακών επιθέσεων ηλεκτρονικού “ψαρέματος”, του λεγόμενου phishing, όχι μόνο στο εξωτερικό, αλλά και στη χώρα μας. Πρόσφατα ανακοινώθηκε από ελληνικά τραπεζικά ιδρύματα ότι οι χρήστες του Διαδικτύου βομβαρδίζονται από πλήθος μηνυμάτων που τους καλούν να δώσουν τα στοιχεία τους (αριθμούς πιστωτικής κάρτας, κωδικούς τραπεζικών λογαριασμών κλπ.). Όσοι επιχειρούν τις απόπειρες αυτές αποσκοπούν στην κλοπή στοιχείων που χρησιμοποιούνται για την πιστοποίηση της ηλεκτρονικής κυρίως ενός προσώπου και στην αφαίμαξη χρηματικών πσοών από τραπεζικούς λογαριασμούς ή στην χρέωση πιστωτικών καρτών.

Οι απόπειρες εξαπάτησης λαμβάνουν χώρα με την αποστολή παραπλανητικών μηνυμάτων που μοιάζουν ότι προέρχονται από ένα τραπεζικό ή χρηματοδοτικό ίδρυμα και έχουν την εξής μορφή:



Παρόμοια μηνύματα αποστέλλονται κατά χιλιάδες ανά την υφήλιο και αποτελούν ένα πραγματικό πρόβλημα ασφάλειας που απειλεί τις διαδικτυακές συναλλαγές.
(βλ. Internet Threat Report 2007)

Το φαινόμενο αυτό αναδεικνύει την έλλειψη επαρκούς νομοθεσίας στην Ελλάδα, καθώς η χώρα μας δεν έχει κυρώσει τη Σύμβαση της Βουδαπέστης για το Διαδικτυακό έγκλημα, η οποία αντιμετωπίζει εν μέρει τη διαδικτυακή απάτη.

Θεωρούμε ότι θα έπρεπε ο νομοθέτης να κάνει ένα βήμα πέρα από τις ρυθμίσεις και αυτής της σύμβασης και να θεσπίσει ειδικούς κανόνες που να αντιμετωπίζουν τις νέες μορφές διαδικτυακής απάτης.

Πρόταση νόμου για την αντιμετώπιση του φαινομένου κατατέθηκε από τον Γερουσιαστή Patrick Leahy στις 28.12.2005, σύμφωνα με την οποία το phishing θα τιμωρούνταν ποινικά. Η πρόταση αυτή, η οποία δεν ψηφίσθηκε τελικά, έχει ως εξής:

109th CONGRESS
1st Session
H. R. 1099

To criminalize Internet scams involving fraudulently obtaining personal information, commonly known as phishing.

    (a) In General- Chapter 63 of title 18, United States Code, is amended by adding at the end the following:

`Sec. 1351. Internet fraud

    `(a) Website- Whoever knowingly, with the intent to carry on any activity which would be a Federal or State crime of fraud or identity theft–

      `(1) creates or procures the creation of a website or domain name that represents itself as a legitimate online business, without the authority or approval of the registered owner of the actual website or domain name of the legitimate online business; and

      `(2) uses that website or domain name to induce, request, ask, or solicit any person to transmit, submit, or provide any means of identification to another;

    shall be fined under this title or imprisoned up to five years, or both.

    `(b) Messenger- Whoever knowingly, with the intent to carry on any activity which would be a Federal or State crime of fraud or identity theft–

      `(1) falsely represents itself as being sent by a legitimate online business;

      `(2) includes an Internet information location tool that refers or links users to an online location on the World Wide Web that falsely purports to belong to or be associated with such legitimate online business; and

      `(3) induces, requests, asks, or solicits a recipient of the electronic mail message directly or indirectly to provide, submit, or relate any means of identification to another;

    shall be fined under this title or imprisoned up to five years, or both.

    `(c) Definitions- In this section:

      `(1) The term `domain name’ has the meaning given that term in section 46 of the Act entitled `An Act to provide for the registration and protection of trademarks used in commerce, to carry out the provisions of certain international conventions, and for other purposes’ (in this subsection referred to as the `Trademark Act of 1946′) (15 U.S.C. 1127).

      `(2) The term `Internet’ has the meaning given that term in section 230(f)(1) of the Communications Act of 1934 (47 U.S.C. 230(f)(1)).

      `(3) The term `electronic mail message’ has the meaning given that term in section 3 of the CAN-SPAM Act of 2003 (15 U.S.C. 7702).

      `(4) The term `initiate’ has the meaning given that term in section 3 of the CAN-SPAM Act of 2003 (15 U.S.C. 7702).

      `(5) The term `procure’ means intentionally to pay or provide consideration to, or induce, another person to create a website or domain name.

      `(6) The term `recipient’ has the meaning given that term in section 3 of the CAN-SPAM Act of 2003 (15 U.S.C. 7702).

      `(7) The term `Internet information location tool’ when used in this section has the meaning given that term in section 231 of the Communications Act of 1934 (47 U.S.C. 231).

      `(8) The term `means of identification’ when used in this section has the meaning given that term in section 1028 of this title.’.

    (b) Chapter Analysis- The chapter analysis for chapter 63 of title 18, United States Code, is amended by adding at the end the following:

      `1351. Internet fraud.’.