Egyik visszatérő, kedvenc témám a hazai jogalkalmazás nyomon követése az információs rendszer vagy adat megsértése bűncselekményi tényállás, illetve a kapcsolódó egyéb tényálláshelyek vonatkozásában. Teszem mindezt azért, mert a sajtóban rendkívül ritkán jelennek meg híradások ilyen eljárásokról, miközben a „kibervédelem” folyamatosan arról beszél, hogy tömegesen történnek ilyen bűncselekmények.
A látencia persze borzasztóan nagy, de még emellett is regisztráltak 323 ilyen bűncselekményt 2022-ben az ENYUBS adatai szerint. Ezeknek azonban csak töredéke jut el az érdemi tárgyalásig, amit a váderedményesség tovább csökkenthet. Másként megfogalmazva: az anonimizált határozatok tára alapján (ami nem tartalmaz természetesen minden ítéltet) meglehetősen kevés jogerős ítélet születik a Btk. 423. § szakasz által körülírt bűncselekményi tényállások elkövetése miatt.
Btk. 423. § Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. |
De mégis akadnak azért ilyen ítéletek, most ebből szemezgetnék néhány, véleményem szerint figyelemreméltó ítéletet, amely rávilágít arra is, hogy valójában ezek az ítéletek milyen jellegű bűncselekményi tényállások miatt születtek és a történeti tényállásokból általában milyen következtetéseket von le a bíróság.
Az egyik legizgalmasabb kérdés, hogy a bűncselekmény elkövethető-e úgy, hogy a terheltnek egyébként jogosultsága volt a rendszerbe történő belépéshez, de azt nem megengedett célra használta. A Kúria Bhar.I.537/2017/5. számú ítéletében, egy ügy kapcsán kimondta, „hogy a Btk. 423. § (1) bekezdés – elkövetéskor hatályos a) pontja – szerint az követi el az információs rendszer megsértésének vétségét, aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad.
Nem vitás, hogy törvényi tényállás első fordulatának megvalósulásához, a jogosulatlan belépéshez szükséges a rendszer védelmét biztosító technikai intézkedés megsértése vagy kijátszása. Ugyanakkor a büntetőjog alapelveivel lenne ellentétes, ha a második fordulat szerinti elkövetéshez, a jogosultság keretein való túllépéshez a törvény nem kívánná meg a rendszer védelmét biztosító technikai intézkedés megsértését vagy kijátszását. Ugyanis akkor, ha valakinek van jogosultsága az informatikai rendszerbe történő belépéshez, akkor pusztán e jogosultság kereteinek túllépése nem éri el azt a veszélyességi szintet, mint amit az első fordulat megkíván.”
Egy másik ügyben – mely a Nyíregyházi Törvényszék előtt zajlott 1.Bf.356/2018/7. számon (amit a Debreceni Ítélőtábla Bhar.I.739/2018/5. számon később, harmadfokon helyben hagyott) – sem osztotta a másodfokú bíróság a főügyészség képviselőjének azt az álláspontját, „mely szerint a vádlott magatartása alkalmas lehet az információs rendszer megsértése vétségének megállapítására, miután az ügyész nem tette vád tárgyává azt, hogy a vádlott nem a jogosultság keretei között lépett be az egészségügyi adatbázisba, sőt ezzel szemben a vádirati történeti tényállás – és az ítélet is – azt rögzíti, hogy a vádlottnak hozzáférési jogosultsága volt az egészségügyi intézményben ellátott betegek egészségügyi adataihoz.”
A témához lazán kapcsolódik az ítélet azon része is, mely az egészségügyi személyes adattal való visszaélés lehetőségét vizsgálja. A bíróság szerint az nem volt kétséges, hogy a vádlottak jogsértést követtek el azáltal, hogy a vádlottak felhívására a sértettnek az orvosi vizsgálatokon való megjelenésével kapcsolatos egészségügyi adatát – ami az első fokú bíróság által hivatkozott, az információs rendelkezési jogról és az információs szabadságról szóló 2011. évi CXII. törvény 3/B. pontja alapján különleges adat -, a sértett beleegyezése, jóváhagyása, hozzájárulása nélkül megszerezte, majd azt a másik vádlottnak továbbította, és ez a másik vádlott pedig felhasználta egy gyámhatósági eljárásban.
A jogsértés azonban csak akkor valósít meg bűncselekményt a bíróság szerint, ha ahhoz jelentős érdeksérelem társul. „Önmagában a jogsértés nem bűncselekmény, az legfeljebb adatvédelmi jogsértés miatti, vagy személyiségi jog megsértése miatti per alapját képezheti. A vádlott azt az adatot közölte a másik vádlottal, hogy a sértettnek mely időpontban kellett volna kontrollvizsgálaton megjelennie a pszichológus doktornő előtt, illetve azt, hogy a vizsgálaton a sértett nem jelent meg. A másodfokú bíróság megítélése szerint manapság már az általános közfelfogás szerint sincs olyan pejoratív éle egy pszichológusi kezelésnek, vagy neurológiai vizsgálatnak, ami jelentősen rontaná az egyénről kialakult pozitív véleményt. Ezáltal pedig a vádlottak cselekménye objektíve sem volt alkalmas jelentős érdeksérelem okozására.”
A harmadfokon eljáró bíróság ehhez annyit tett hozzá, hogy „a törvény jelentős érdeksérelem okozását kívánja meg, ezáltal az objektíve jelentéktelenebb, vagy túlértékelt jelentőségű egyéni sérelmek esetében kizárt, hogy ezek a bűncselekmény eredménye megállapításának az alapjául szolgálhassanak. Az érdeksérelem jelentős fokának a megítélése szempontjából az elkövetés viszonyai keretében az érdeksérelem irányának, jellegének, fokának és súlyának, társadalmi jelentőségének van meghatározó szerepe, és nem kizárólag a sértett érdekeit kell szem előtt tartani (Magyar Büntetőjog. Kommentár a gyakorlat számára 21. pótlás, 456. oldal).”
De visszatérve az eredeti kiindulópontra, az én olvasatomban mindez tehát azt jelenti, hogy amennyiben egy terhelt úgy lépi túl a belépési jogosultságainak kereteit, hogy azzal egyébként nem kerül meg semmilyen technikai intézkedést, pusztán valamilyen belső utasítást, eljárásrendet sért, vagy épp az informatikai rendszer, számára egyébként engedélyezett és a jogosultsági szintje alapján egyébként elérhető használatának célját sérti, akkor az nem követhet el a Btk. 423. § szerinti bűncselekményt (de más, visszaélés jellegűt ettől még elkövethet).
Ugyanezt erősíti a Fővárosi Ítélőtábla Katonai Tanácsának 6.Kbf.19/2017/6. számú ítélete. Az akkor már felülbírálat tárgyát képező cselekmény kapcsán az ítélet azt rögzíti, hogy a Központi Nyomozó Főügyészség Debreceni Regionális Osztálya a vádlottat eredetileg a Btk. 423. § (1) bekezdésébe ütköző információs rendszer megsértésének vétségével vádolta. Az első fokon eljáró törvényszék katonai tanácsa azonban – az ítélet szerint – helytállóan állapította meg azt, hogy a vádlott cselekménye a vádtól eltérően a Btk. 305. § c) pontjába ütköző hivatali visszaélésként minősülhet.
„A hivatali visszaélést az a hivatalos személy követi el, aki azért, hogy jogtalan hátrányt okozzon, vagy jogtalan előnyt szerezzen a) hivatali kötelességét megszegi; b) hivatali hatáskörét túllépi vagy a hivatali helyzetével egyébként visszaél. Nem kétséges, hogy a vádlott a tényállásban kifejtett magatartásaival megszegte a Rendőrségről szóló 1994. évi XXXIV. törvény 90. § (1) bekezdésében írt rendelkezést. Azonban a vádlotti elkövetési magatartás helyesen mégis a Btk. 305. § c) pont szerinti cselekményt valósította meg (és nem a Btk. 423. § szerintit).
A vádlottnak ugyanis felhatalmazása volt arra, tehát jogszerűen használhatta a történeti tényállásban említett rendőrségi informatikai rendszereket, azonban ezen jogosultságát nem a rendeltetésének megfelelően, tehát a konkrét munkájához kapcsolódó bűnüldözési érdekből gyakorolta, hanem azzal ellentétesen, magáncélból, a kölcsön adott pénz visszaszerzése, az ahhoz szükséges információ beszerzése érdekében fejtette ki.
A vádlott a jogtalan előny szerzése érdekében tehát hivatali helyzetével visszaélt, ahogy ezt az elsőfokú katonai tanács ítélete kifejtette. Megállapítható ugyanakkor, hogy a vádlott ugyanazon elhatározástól indíttatva, ugyanazon személy tekintetében rövid időközönként nagy számban töltött le jogellenesen adatokat.” Ezért a másodfokú katonai tanács az elsőfokú bíróság ítéletét megváltoztatta, és a vádlott cselekményét a Btk. 305. § c) pontjába ütköző folytatólagosan elkövetett hivatali visszaélés bűntettének minősítette, mivel a folytatólagosság törvényi előfeltételei fennállnak.
Egy másik ügyben a Győri Ítélőtábla, mint másodfokú bíróság járt el, és a Bf.II.83/2020/7. számú ítéletében részletesen foglalkozott annak a kérdéskörével, hogy mikor kerülhet bűnhalmazatba a csalás és az információs rendszer vagy adat megsértésének bűntette, noha kézenfekvő lehetne akár a speciálisabb bűncselekmény, az információs rendszer felhasználásával elkövetett csalás megállapítása is.
A vádlott és a terhelt cselekménye az volt, hogy a vádbeli időszakban felhasználói fiókok feltörését követően jogosulatlanul felhasználói fiókokba léptek be, illetve felhasználói regisztrációkat hajtottak végre és fiktív hirdetésekkel a sértetteknek kárt okoztak, ami törvényesen a Btk. 375.§ (1) bekezdésébe ütköző információs rendszer felhasználásával elkövetett csalás bűntetteként minősülne. E bűncselekmény azonban szükségszerű eszközcselekménye a Btk. 423.§ (2) bekezdés b) pontja szerinti információs rendszer vagy adat megsértésének bűntette, ennélfogva bűnhalmazatot nem képezhetnek.
Az ügyben azonban nem az történt, hogy a „vádlott és társa megszerezték az idegen személyek internetes hozzáféréshez szükséges adatait, kódjait, amelyekkel az információs rendszert manipulálva okoztak nekik vagyoni károsodást, hanem a hirdetésekre jelentkező, más természetes személyeket tévesztettek meg közvetlen kontaktusban. A kár is a vevőjelölteknél állt be, nem az adattulajdonosoknál. Az információs rendszer felhasználása csupán a tényleges elkövetési magatartást megelőző, azt elősegítő módszer volt a későbbi lebukás veszélyének csökkentése érdekében.”
A fentiekkel ellentétben Happy Enddel végződött a Szekszárdi Járásbíróság előtt 15.Bpk.520/2021/2 számon futó ügy. A történeti tényállás úgy alakult, hogy a vádlott egyik rokona a vádlott akkori párjának, a későbbi sértett számára egy mobiltelefont adott át használatra. A pár között később megromlott a viszony, ezért a telefont a sértett visszaadta, ami végül a vádlotthoz került.
A vádlott a SIM-kártya hívószámának felhasználásával belépett a sértett Facebook-profiljára, valamint az iCloud alkalmazásába. A vádlott a Facebook jelszót megváltoztatta, majd a telefonban lévő személyes, egy másik férfival folytatott magánjellegű beszélgetésből kimásolt üzeneteket a vádlott új Facebook profiljának üzenőfalára új bejegyzésként tette ki, úgy, hogy azok az összes ismerős számára láthatóvá váltak, valamint ezeket elküldte a sértett ismerőseinek is.
A vádlott, a bíróság szerint, a fenti cselekményével megvalósította a Btk. 423. § (1) bekezdésébe ütköző, aszerint minősülő és büntetendő információs rendszer vagy adat megsértésének vétségét, a váratlan fordulat azonban ezután következik. A vádlott ugyanis 1-2 nap elteltével a tettét megbánta, ezért elküldte az új jelszót a sértettnek, aki törölte a vádlott összes bejegyzését, és új fiókokat hozott létre. A sértett pedig még az eljárás ideje alatt kibékült a vádlottal, és azóta is együtt élnek a vádlott házában. Mindez nem akadályozta meg természetesen a bíróságot abban, hogy szankciót alkalmazzon a vádlottal szemben: egy év időtartamra próbára bocsátotta.
Hasonlóan megmosolyogtató annak a tehergépkocsi vezetőnek az esete, akit a Nemzeti Adó- és Vámhivatal Bevetési Igazgatóság járőrei jelentettek fel, és az ügyet a Szekszárdi Járásbíróság 15.Bpk.392/2021/3 számon tárgyalta. A periratok szerint a 2021-ben mindössze havi nettó 200.000 forintot kereső vádlott alighanem az egyik legrosszabbul kereső kamionsofőr lehetett Magyarországon, tekintve, hogy ezt a jövedelmet is csak úgy tudta elérni, hogy a menetíró készülékét manipulálta.
Az eset így kapcsolódik a témához, mivel a történeti tényállás arról szól, hogy a MAN típusú tehergépkocsi vezetőfülkéjének bal oldali ajtajába egy kapcsolót, a menetíró készülék érzékelőjébe és a jármű vezetőfülkéjébe egy-egy panelt szereltetett, amelyek segítségével a tehergépkocsiba szerelt menetíró-készüléket ekként folyamatosan használva manipulálni tudta. A bíróság szerint a vádlott a fenti cselekményével megvalósította a Btk. 423. § (2) bekezdés a) pontjába ütköző, aszerint minősülő és büntetendő információs rendszer megsértésének bűntettét.
A bejegyzést a Szekszárdi Járásbíróság 15.Bpk.362/2021/3 számú ítéletével zárnám. A történeti tényállás az volt, hogy az egyik vádlott a Sió Pláza emeleti női mosdójának egyik fülkéjében, a sértett tulajdonát képező 180.000 forint értékű iPhone 11 típusú mobiltelefonját a hozzá tartozó tokkal együtt jogtalanul elvette. Magyarul: ellopta. Ezt követően a vádlott Tamásiba utazott, ahol bement egy számítástechnikai kereskedésbe, a jogtalanul elvett mobiltelefon értékesítése céljából.
Az eladóként dolgozó másik vádlottnak azzal adta át a képernyőzárral ellátott mobiltelefont, hogy azt 30.000 forintért vette ismeretlen személytől. A boltos kérte tőle, hogy a telefonon lévő kódot oldja fel, azonban a vádlott arra hivatkozva, hogy azt elfelejtette, ezt nem tudta végrehajtani. Ezt követően a boltos a telefon későbbi értékesítése végett, a képernyőzár feloldása és a telefonban tárolt adatokat törlése érdekében, a telefont a számítógépére csatlakoztatta.
A benne lévő adatokat látva az boltos a vádlottal közölte, hogy a telefon lopásból származik, azonban ennek ellenére ő arra igényt tart. A boltos külön program használata nélkül a telefont gyári állapotba helyezte vissza, így az abban lévő adatok törlődtek. Végül a vádlottak 50.000 forint vételárban egyeztek meg. Ezt követően a boltos a mobiltelefont 175.000 forintért az interneten keresztül eladásra kínálta, azt pedig valaki később meg is vásárolta. A bíróság szerint a boltos a fenti cselekményével megvalósította a Btk. 423. § (1) bekezdésébe ütköző, de a (2) bekezdés b) pontja szerint minősülő és büntetendő információs rendszer megsértésének bűntettét.
A kiinduló kérdésre visszatérve, miszerint a hekkereket vajon lecsukják-e, a válaszom az, hogy az anonimizált határozatok alapján ezt nem igazán lehet kijelenteni, merthogy furcsa módon ilyen ítéletek nagyon ritkán, illetve nem születnek. Ennek okait egyszer érdemes lehetne megvizsgálni. A jelen gondolatmenet természetesen nem tekinthető jogi tanácsadásnak, a konkrét történeti tényállásokra tekintettel egy bíróság a fenti ítéletekben (amelyek csak az eredeti forrásukban értelmezhetők teljeskörűen) foglaltaktól eltérően is dönthet, illetve a fenti esetekben megjelölt jogszabályhelyek is megváltozhatnak.