Ügyészek lapja
tudományos-szakmai folyóirat

A kiberbűnözés szabályozási kihívásai a büntetőjogban


Szerző(k): Mezei Kitti

Bevezetés

Nem túlzás azt állítani, hogy a technológiai innováció mindannyiunk életét érinti. Ez a dinamikus fejlődés a jogrendszert is folyamatos kihívások elé állítja, ezért szükséges, hogy az új technikai újításokkal kapcsolatban felmerülő jogi kérdésekre, problémákra reflektálni tudjunk. A gyors ütemű informatikai fejlődésnek a nyilvánvaló előnyei mellett megvannak a maga veszélyei is, hiszen lehetőséget teremt a bűnözés eddig ismeretlen formái számára. Éppen ezért a kiberbűnözés jelenti napjaink egyik legnagyobb kihívását. A kibertér (cyberspace) fogalmát először William Gibson amerikai író fogalmazta meg az 1984-ben megjelent Neuromancer című regényében, amikor elnevezést keresett a globális számítógépes hálózatra, amely összeköti az embereket, a számítógépeket és az információforrásokat. Az ebből képzett angolszász cybercrime kifejezésből honosodott meg az általunk használt kiberbűnözés szó. A cybercrime elnevezés használata napjainkban széles körben elterjedt, különösen a nemzetközi szakirodalomban, de például a Számítástechnikai Bűnözésről szóló Egyezmény1 (Convention on Cybercrime, a továbbiakban: Budapesti Egyezmény) is ezt alkalmazza. Jelen írásban az informatikai bűnözést és kiberbűnözést mint szinonim fogalmakat fogom használni, mert ezek a szakirodalomban elfogadottak. Azonban fontos megjegyezni, hogy a kiberbűnö-zésnek még nincs általánosan elfogadott és egységes definíciója.

E területen az egyik legfontosabb jogi dokumentum, a Budapesti Egyezmény ugyan a kiberbűnözés fogalmát nem határozza meg, de útmutató jelleggel a bűncselekményeket csoportosítja a következőképpen:

  • számítástechnikai rendszer és a számítástechnikai adatok hozzáférhetősége, sértetlensége és titkossága elleni bűncselekmények,
  • a számítógéppel kapcsolatos bűncselekmények,
  • a számítástechnikai adatok tartalmával kapcsolatos és szerzői vagy szomszédos jogok megsértésével kapcsolatos bűncselekmények.

A nemzetközi szakirodalomban több szerző is – így például: Jonathan Clough, Peter Grabosky és Susan W. Brenner2 – a kiberbűnözésre mintegy gyűjtőfogalomként tekint, amelynek két fő kategóriája különböztethető meg: az egyik azon deliktumok csoportja, amelyeket kizárólag információs rendszerekkel (pl. számítógépekkel, azok hálózatával vagy egyéb ICT eszköz használatával) követhetők el. Jellemzően ezeknek a bűncselekményeknek a tárgya az információs rendszer. Ezek a tisztán informatikai bűncselekmények vagy kiberbűncselekmények, az ún. cyber-dependent crime (pl. számítógépes vírusok használata, hacking stb.). A második tágabb kategóriába tartoznak azok a hagyományos bűncselekmények, amelyeket az információs rendszerek felhasználásával követnek el, mint például a csalás, a zsarolás, a pénzmosás, a zaklatás és még sorolhatnám. Ez az ún. cyber-enabled crime esetköre, amikor az információs rendszer a bűncselekmény elkövetésének az eszköze.3 Az Europol éves jelentéseiben is azonos jelentéstartalommal használja ezeket a fogalmakat, de részben eltérő elnevezéssel, így a cyber-dependent crime-ot, valamint a cyber-facilitated crime-ot.

A hazai szakirodalomban is több szerző foglalkozott az informatikai bűnözéssel kapcsolatos fogalom-meghatározásokkal. Kezdetben Polt Péter4, Pusztai László5 és Nagy Zoltán András6Ulrich Sieber nyomán7 –, később Parti Katalin és Kiss Tibor8, Szathmáry Zoltán9, illetve Szabó Imre10 is a külföldi szerzőkhöz hasonló fogalmat dolgoztak ki.

Mindezekre tekintettel megállapítható, hogy a kiberbűnözés esetén egyrészt olyan új típusú bűncselekményekről beszélhetünk, amelyek kizárólag az információs rendszerek segítségével követhetők el és olyan speciális védett jogi tárggyal rendelkeznek, mint az információs rendszer vagy számítógépes adat. Másrészt ide tartoznak azok a hagyományos bűncselekmények is, amelyek könnyebben elkövethetők az új elkövetési eszközök segítségével.

A kiberbűncselekmények hazai szabályozása

Az 1980-as évek második felében a hazai büntető törvénykönyvbe először a számítógépes csalás tényállását iktatták be, amelynek a megfogalmazásakor rendszerint a hagyományos csalás tényállásának szerkezetét követték, beépítve a magatartások megtévesztő jellegét és a jogtalan haszonszerzési célzatot.11 Rövid időn belül azonban egy új és önálló tényállás megalkotása vált szükségessé, ezért a számítógépes csalás a Büntető Törvénykönyvről szóló 1978. évi IV. törvény (a továbbiakban: 1978. évi Btk.) 300/C. §-ába lett beiktatva. Már ebben az időszakban is felmerült a számítógépes adatok kikémlelésének szankcionálása, illetve az „elektronikus betörés” önálló bűncselekménnyé nyilvánítása. Azonban még hiányoztak a Btk.-ból a számítógépes elkövetéssel kapcsolatos speciális definíciók, mint például a számítógép, a számítógépes adat és az adatfeldolgozás fogalma. Végül a Budapesti Egyezményben foglalt büntetőjogi rendelkezésekkel összhangban léptette életbe a 2001. évi CXXI. törvény a számítástechnikai rendszer és adatok elleni bűncselekmény (1978. évi Btk. 300/C. §), valamint a számítástechnikai rendszer védelmét biztosító technikai intézkedés kijátszása elnevezésű bűncselekménynek (1978. évi Btk. 300/D. §) a tényállásait, amely koncepcionálisan új szabályozást teremtett meg. Ezeket a bűncselekményeket azonban ekkor még a gazdasági bűncselekmények című fejezetben (XVII. fejezet) helyezték el, de ezt a megoldást kritikaként érte, hogy nem juttatta megfelelően kifejezésre a védendő értékek sokféleségét.

A hatályos büntetőkódexünkben már az informatikai bűncselekmények a tárgyi oldalon mutatkozó hasonlóságok, szoros összefüggések miatt a Büntető Törvénykönyvről szóló 2012. évi C. törvényben (a továbbiakban: Btk.) önálló fejezetét alkotják. Az információs rendszerek elleni támadásokról szóló 2013/40 irányelvnek (a továbbiakban 2013-as irányelv)12 megfelelően – eleget téve a jogharmonizációs kötelezettségnek – a Btk. átalakította a kiberbűncselekmé-nyekre vonatkozó szabályozást mind elnevezésben, mind tartalmilag, mert már a gazdasági bűncselekményektől külön, a XLIII. fejezetbe kerültek, A tiltott adatszerzés és információs rendszerek elleni bűncselekmények címmel. A korábbi „számítástechnikai rendszer” terminológia helyébe az „információs rendszer” lépett.

Az információs rendszer elleni bűncselekmények

Büntetőkódexünk a 423. §-ban három külön fordulattal határozza meg a tisztán informatikai bűncselekménynek minősülő információs rendszer vagy adat megsértésének elkövetési magatartásait és valamennyi fordulatának az elkövetési tárgya az információs rendszer. Az (1) bekezdés értelmében büntetendő, aki az információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad; vétség miatt két évig terjedő szabadságvesztéssel büntetendő. A bűncselekmény alanya az első fordulatban a belépésre jogosultsággal nem rendelkező személy lehet, míg a második fordulat esetén az adott személy rendelkezik erre vonatkozó engedéllyel (pl. alkalmazotti minőségében).

A „hacker” kifejezést általában azokra az informatikai szakemberekre használják, akik kiemelkedően magas fokú szaktudással és gyakorlattal rendelkeznek. Az egyik legnépszerűbb nézet szerint a hackerek között különbséget lehet tenni a következő szempont szerint. Vannak az ún. „black hat” avagy feketekalapos hackerek, illetve másnéven „crackerek”, akik többek között azért hatolnak be a rendszerbe, hogy kárt okozzanak, vagy épp az értékes információkhoz jussanak hozzá. A jogosulatlan belépés azon esetei, amelyek károkozási szándék nélkül történnek, jó példaként szolgálnak az ún. „grey hat”, avagy szürkekalapos hackelésre. A „white hat” vagy fehérkalapos típusa pedig kizárólag azokra az esetekre korlátozódik, amikor a hacker erre kifejezetten speciális vagy általános felhatalmazást kap. Ezért azok a személyek, akik csak saját elhatározásukból, jogosultság hiányában keresnek programhibákat vagy biztonsági réseket, nem tekinthetők etikus hackernek, hanem csak azok, akik valamilyen formában rendelkeznek jogosultsággal (pl. az információs rendszer tulajdonosa kifejezetten megbízza őket a rendszer tesztelésére és támadására).13

A Btk. 423. § (1) bekezdésében meghatározott enyhébb súlyú alapeset az információs rendszerbe történő jogosulatlan belépést nyilvánítja büntetendő cselekménnyé. A jogosulatlan belépés irányulhat az elkövető által felhasznált számítógépre vagy a rajta keresztül elérhető védett számítógépes hálózatra (pl. intézményi belső hálózat – ún. intranet –, vagy az internet részét képező hálózat, például egy banki online-rendszer).

A bűncselekmény megállapításához szükséges, hogy az információs rendszer technikai intézkedéssel biztosított védelemmel legyen ellátva és ez a védelem aktív legyen, azaz rendelkezzen például felhasználói azonosítóval és jelszóval, tűzfallal vagy egyéb védelemmel. Tehát nem tekinthető jogosulatlannak a belépés abban az esetben, ha az információs rendszer nem védett, illetve a védelem nincs aktiválva, mert ezek konjunktív feltételek a bűncselekmény megállapíthatóságához.14 Meghatározásra került továbbá az elkövetési mód is, így a bűncselekmény megvalósul akkor, ha a belépés a védelmi intézkedés megsértésével vagy ennek kijátszásával történik, például a biztonsági rendszer hiányosságait kihasználva lépnek be jogosulatlanul, vagy a jogosult jelszavával vagy belépési kódjával, amelynek megszerzési módja azonban közömbös (pl. történhet megtévesztéssel, kifürkészéssel, kódtörő programmal, pszichológiai manipulációval vagy elképzelhető, hogy a felhasználó hanyagsága folytán jut hozzá az elkövető).

A bűncselekmény nem célzatos, ezért nem feltétele az elkövetésnek az sem, hogy haszonszerzési, károkozási vagy egyéb hasonló célzattal történjen. Az sem követelmény továbbá, hogy az információs rendszerben tárolt adaton az elkövető később bármilyen műveletet végezzen, vagy akár a rendszer működését akadályozza. Önmagában tehát a jogosulatlan belépés is büntetendő (mere hacking). Amennyiben ezt további jogosulatlan műveletek követik – például adatok törlése, hozzáférhetetlenné tétele –, akkor már a következő bekezdések egyik fordulata valósul meg és beleolvad a súlyosabb jogtárgysértésre figyelemmel.15

A jogosulatlan belépéssel kapcsolatban érdemes az ún. etikus hacking kérdésével is foglalkozni a hazai szabályozás fényében, ami különösen aktuálissá vált, hiszen az elmúlt években több magyarországi esetre is fény derült, amelyek éles vita tárgyát képezték.

Az első eset során egy fiatal hacker 50 forintért vett bérlettel mutatott rá a BKK és T-Systems által üzemeltetett e-jegyrendszer hiányosságára, ami végül feljelentéssel zárult a jegyértékesítési rendszert ért informatikai támadás miatt. A vádemelésre végül nem került sor, mert az ügyészség megállapította, hogy a hacker célja valóban a biztonsági rés feltárása és ennek közlése volt a BKK felé. A rendszerhibáról való kétséget kizáró meggyőződéshez szükség volt a vásárlás befejezésére. Mindezekre tekintettel az ügyészség szerint a cselekménye nem volt veszélyes a társadalomra, amely a bűncselekmény megállapításának a feltétele. Emellett a megtett bejelentése közérdekű bejelentésnek minősül, ami büntethetőséget kizáró ok.16

A másik esetben egy programozónak tanuló hallgató a Magyar Telekom oldalán található nyilvános dokumentumban talált információk alapján jutott hozzá egy rendszergazdai jelszóhoz, amellyel hozzá tudott férni a Telekom teljes belső hálózatához, és erről a biztonsági résről később tájékoztatta a céget. Ezt követően azonban további, újabb sebezhetőséget talált és ezt kihasználva lépett be újból a rendszerbe, a vállalat kifejezett kérésére ellenére, aminek eredményeképpen a Telekom ismeretlen tettes ellen tett feljelentést. Az ügyészség vádat emelt az információs rendszer megsértéséért, még hozzá annak minősített esetéért, mert a meghackelt szerver a hírközlő hálózat része volt, ezért a Btk. 459 § (1) bekezdés 21. pontja alapján közérdekű üzemnek minősül.17 Végül a Szolnoki Járásbíróság folytatólagosan elkövetett információs rendszer vagy adat megsértése bűntettében mondta ki bűnösnek, és 600 ezer forint pénzbüntetésre ítélte nem jogerős ítéletében.

Mindezekre tekintettel a bírónak a konkrét esetben joga van megvizsgálni, hogy ha a törvényi tényállást kimerítette ugyan az illető, van-e olyan társadalmilag fontos és méltányolható érdek, ami miatt a cselekményének a jogellenessége hiányzik, és ezért nem veszélyes a társadalomra. Karsai Krisztina szerint büntetőjogi értelemben azt kell vizsgálni, hogy mihez fűződik nagyobb társadalmi érdek: a személyes adatok biztonságához vagy a biztonsági rések fenntartásához. A bíró tehát vizsgálja ezt a kérdést, és a bizonyítékok alapján kialakult belső meggyőződése szerint megállapíthatja a társadalomra veszélyesség hiányát, és így felmentheti az illetőt. Azonban az e tevékenység mögött húzódó szándékot is mindig figyelembe kell venni.18

Ambrus István véleménye szerint a bíróság a vizsgálat tárgyává teheti például azt is, hogy a terhelt eljárása tekinthető-e közérdekű bejelentésnek vagy sem.19 A közérdekű bejelentés olyan körülményre hívja fel a figyelmet, amelynek orvoslása vagy megszüntetése a közösség vagy az egész társadalom érdekét szolgálja, vagyis a bejelentő jelen esetben a közérdek védelme érdekében realizálja magát az elkövetési magatartást.20

A Btk. 423. § (2) bekezdés a) pontja értelmében pedig, aki az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. Ez esetben azonban a törvény nem határozza meg a releváns elkövetési magatartásokat, éppen ezért bármely cselekmény tényállásszerű lehet, amely az információs rendszer működésének akadályozását eredményezi. Akadályozáson nem kizárólag azt kell érteni, hogy a rendszer nem működik, vagy nem megfelelően működik, hanem azt is, ha a rendszer nem alkalmas a rendeltetésének megfelelő feladat ellátására. Az elkövető tudatának pedig át kell fognia azt a tényt, hogy cselekményével jogosulatlanul akadályozza az információs rendszer működését.21

Az online környezet lehetővé teszi az automatizált műveleteket, amelyek rendkívül gyorsan jelentős kárt tudnak okozni, mivel egy rosszindulatú program képes sokszorosítani önmagát és akár több millió rendszert megfertőzni egyidejűleg (pl. a WannaCry zsarolóvírus), vagy egy botnet-hálózat segítségével az elkövetők nagyszabású támadásokat tudnak végrehajtani, amely akár az adott rendszer teljes leálláshoz is vezethet.22 A jogosulatlan akadályozásra példaként említhetők a DDoS-támadások23. Továbbá a honlaprongálás (defacement) is e fordulat szerint minősül, ha a weboldal tartalmát alakítják át, írják felül a saját – szöveges vagy vizuális – tartalommal.

Az információs rendszerek segítségével és az internet közbeiktatásával könnyedén lehet végrehajtani adat- vagy programmanipulációt minimális költségek mellett, mert az információk elektronikus megjelenítésének köszönhetően lehetőség van az adatok másolására minőségi veszteség nélkül, valamint módosítására anélkül, hogy annak látható nyoma lenne. Éppen ezért a támadások másik típusát a különféle ún. malware támadások (pl. számítógépes vírusok és kémprogramok stb.) képezik, amelyeket általában az elkövetők továbbítanak, ezáltal a gyanútlan felhasználók rendszereit fertőzhetik meg.

A Btk. 423. § (2) bekezdés b) pontja szerint, aki az információs rendszerben lévő akár egyetlen adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl, vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. Nem szükséges, hogy a cselekmény az adatfeldolgozás eredményét befolyásolja, vagy bármely egyéb hátrányos következmény bekövetkezzen.24 Azonban e fordulat keretében az adatbevitel önmagában nem büntetendő, csak akkor, ha az további nem kívánt következményekhez vezet, mint például az információs rendszer működését akadályozza, valamint, ha azt jogtalan haszonszerzés végett végzik, és ezzel kárt okoznak.

E fordulatban az elkövetési tárgy a számítógépes adat, amellyel kapcsolatban Gellér Balázs és Ambrus István egy új fogalmat határozott meg a következőképpen: az elkövetési tárgy a törvényi tényállásban meghatározott dolog, személy vagy más speciális tárgy, akire vagy amelyre az elkövetési magatartás hatása irányul. Utóbbira álláspontjuk szerint azért van szükség, mert a Btk. rendszerében léteznek olyan élettelen tárgyak, amelyek elkülönült legáldefiníciójuk miatt nem vonhatók a dolog büntetőjogi fogalma alá. A „más speciális tárgy” alatt érteni kell a virtuális valóságban létező, kézzel nem fogható elkövetési tárgyakat is, mint a számítástechnikai adatot.25

Minősített eset állapítható meg és bűntett miatt egy évtől nyolc évig terjedő szabadságvesztéssel büntetendő, ha a Btk. 423. § (2) bekezdésben meghatározott bűncselekmény jelentős számú információs rendszert érint, azonban a törvény nem határozza meg, hogy mi tekinthető jelentős számúnak, tehát a jogalkalmazókra hárul a feladat, hogy egy erre vonatkozó gyakorlatot dolgozzanak ki.26 A minősített esetre a DDoS-támadás jó példa, hiszen a végrehajtása során a támadó sok száz vagy több ezer felhasználó gépeinek felhasználásával kísérel meg kapcsolatot létesíteni a megtámadott számítógéppel. E sok száz vagy ezer zombigép egy botnetet alkot, amit a támadó távolról vezérel. Az egyszerre küldött nagy mennyiségű adatkérés és továbbítás bénítja a megtámadott információs rendszert, ami kimerítheti a jelentős számú információs rendszer fogalmát.27 A másik minősített eset megvalósulásakor a büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

Itt érdemes megjegyezni, hogy a tényállás minősített eseteivel a 2013-as irányelvre figyelemmel lett kiegészítve. Az irányelv ugyanis először hívta fel a figyelmet a botnetekre mint veszélyforrásokra. Felismerték, hogy általuk egyre veszélyesebb, ismétlődő és átfogó támadásokat (pl. DDoS-támadás, adathalászat, spamküldés, rosszindulatú programok terjesztése, hálózat-figyelés stb.) tudnak végrehajtani, amelyek gyakran kulcsfontosságú információs rendszereket (pl. kritikus infrastruktúrákat) érintenek. Az irányelv e kockázat figyelembevételével állapít meg büntetőjogi szankciót a botnetek létrehozására, mivel a felhasználásukkal súlyos kárt képesek okozni, de annak meghatározása, hogy mi minősül súlyosnak, a tagállamok döntési jogkörébe tartozik (például fontos és közérdekű rendszerszolgáltatások megzavarása, jelentős költségek okozása, vagy személyes adatok, illetve különleges adatok, információk elvesztése stb.). Ezenkívül büntetendő és súlyosabb szankció megállapításának van helye, ha a támadás átfogó, azaz jelentős számú információs rendszert érint vagy súlyos kárt okoz, ideértve azokat a támadásokat is, amelyek célja egy botnet-hálózat létrehozása, vagy amelyeket botnet révén hajtanak végre. Helyénvaló arra az esetre is súlyosabb szankciókat megállapítani, ha a támadás valamely tagállam vagy az Unió kritikus infrastruktúrája ellen irányul. A Btk. közérdekű üzem és a 2013-as irányelv szerint alkalmazott kritikus infrastruktúra fogalma nem fedi egymást, így a cselekmény minősítése vitatott lehet, különösen a szociális jólét, a közegészség intézményei ellen intézett támadások esetében, ezért úgy gondolom, hogy a meghatározások közelítése indokolt lenne.

A kiberbűnözés napjainkra szolgáltatás-alapú üzleti modellé vált, a különféle támadások indítására szolgáló eszközöket, programokat szolgáltatásként lehet igénybe venni vagy akár megvásárolni az ún. Darknet online feketepiacokon keresztül. A kibertámadások végrehajtása egyszerűbbé vált azáltal, hogy könnyen hozzá lehet jutni a bűncselekmények elkövetéséhez szükséges ismeretekhez, programokhoz, akár a már kész botnet-infrastruktúrához, és ezért is fontos, hogy már az előkészületi cselekmények önálló bűncselekményként kerüljenek meghatározásra. Ennek megfelelően a Btk. 424. §-ában szabályozza az információs rendszer védelmét biztosító technikai intézkedés kijátszásának vétségét, amely tényállásnál a törvény a szankcionálni kívánt előkészületi cselekményeket mint befejezett bűncselekmény elkövetési magatartásaként határozza meg.

A bűncselekmény elkövetési magatartásai két fordulatban kerülnek meghatározásra. Az a) pont szerinti fordulat elkövetési magatartásai a jelszó vagy számítástechnikai program készítése, átadása, hozzáférhetővé tétele, megszerzése vagy forgalomba hozatala. A b) pont szerinti fordulat elkövetési magatartása a jelszó vagy számítástechnikai program készítésére vonatkozó szervezési ismeret másnak a rendelkezésére bocsátása.

Az információs rendszer felhasználásával elkövetett csalás

A Btk.-ban nóvumként jelent meg már külön tényállásként az információs rendszer felhasználásával elkövetett csalás (Btk. 375. §), a vagyon elleni bűncselekmények között, amelyet a Btk. miniszteri indokolása az eltérő jogtárgy védelemmel magyarázott. E szerint az információs rendszer felhasználásával elkövetett, kárt okozó csalások elsősorban vagyoni érdekeket sértő cselekmények, illetve ezek a csalásszerű magatartások azért kerültek a csalástól eltérő önálló tényállásba, mert hiányzik belőlük a klasszikus értelemben vett tévedésbe ejtés vagy tévedésben tartás.28

A Btk. 375. § (1) bekezdésében szabályozott károkozó adatvisszaélési alakzat szerint, aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. Jelen deliktum elkövetési magatartásai részben megegyeznek a korábban az információs rendszer vagy adat elleni bűncselekménynél részletesen elemzett cselekményekkel, de kiegészül az adatbevitellel, valamint tágan az egyéb művelet végzését határozza meg. Azonban különbség, hogy ez már eredmény-bűncselekmény, ezért akkor tényállásszerű, ha az elkövető magatartását jogtalan haszonszerzés céljából fejti ki, amelynek eredményeként kár29 is bekövetkezik. Például jellemző, hogy az elkövető pénzügyi rendszerhez fér hozzá és a bankszámlaegyenleget vagy hitelkeretet manipulálja.30 Az információs rendszer felhasználásával elkövetett csalással okozott kár fogalma több kérdést is felvet. Amennyiben a cselekménnyel összefüggésben ténylegesen bekövetkezik az értékcsökkenés, abban az esetben egyszerűbb a helyzet, hiszen egyértelműen kárként értékelhetők például a tényleges befizetés nélkül jóváírt, vagy az egyik bankszámláról a másikra jogosulatlanul átutalt pénzösszegek.31 Azonban egyetértek Hollán Miklós álláspontjával, aki szerint ezen tényállásánál büntetőjogi jelentőséget kellene tulajdonítani az elmaradt haszonnak is, és ezért ez nem a kár, hanem a vagyoni hátrány fogalmán alapulna. Továbbá felhívja a figyelmet arra is, hogy az információs rendszer felhasználásával elkövetett csalásra is alkalmazni kellene a csalás tényállásához fűzött értelmező rendelkezést, amelynek értelmében kárnak kell tekinteni az igénybe vett szolgáltatás meg nem fizetett ellenértékét is. Ez azzal magyarázható, hogy lehetnek olyan esetek, amikor az illető a vagyonban okozott értékcsökkenés hiánya miatt nem felel ezen deliktumért. A hatályos szabályozás lényegében eltérő védelmet biztosít, hogy a cselekmény információs rendszerrel végzett műveletekkel vagy természetes személy megtévesztésével valósul-e meg. Ez pedig nem összeegyeztethető a Btk. javaslatának indokolása szerinti szándékkal, amely a két bűncselekmény közötti különbséget az elkövetési magatartásban és nem az eredményben ragadja meg.32

A bűncselekmény célzatos, ezért csak egyenes szándékkal követhető el. A bűncselekmény eredménye, a kár bekövetkezése tekintetében azonban elegendő az eshetőleges szándék is. A jogtalan haszon megszerzése azonban nem szükséges, már a tényállás körén kívül esik. A cselekmény rendszerint a jogellenes informatikai manipuláció megkezdésével jut a kísérlet szakaszába, és a kár bekövetkezésével fejeződik be.33

E körben fontos megemlíteni az új készpénz-helyettesítő fizetési eszközökkel kapcsolatos 2019/713. számú uniós irányelvet (a továbbiakban: 2019-es irányelv)34, amelyben a 2013-as irányelvhez képest új elemként jelenik meg a virtuális fizetési eszközökkel (kriptovalutákkal) összefüggő elkövetés kiemelése az információs rendszerrel kapcsolatos csalás esetén. A 2019-es irányelv büntetendőnek nyilvánítja ugyanis a jogellenes haszonszerzési célzatú, más személy számára jogellenes vagyoni veszteséget előidéző, pénz, pénzbeli érték vagy virtuális fizetési eszköz átutalásában vagy átutaltatásában megnyilvánuló cselekményeket, a meghatározott módszerek esetén. Ez megvalósulhat az információs rendszer működésének jogosulatlan akadályozásával, a működésébe való jogosulatlan beavatkozással, számítógépes adatok jogosulatlan bevitelével, módosításával, törlésével, továbbításával vagy hozzáférhetetlenné tételével.

Továbbá közös fogalom-meghatározásokat is nyújt, amelyeknek ki kell terjedniük a készpénz-helyettesítő fizetési eszközök olyan új típusaira is, amelyek lehetővé teszik az elektronikus pénz és a virtuális fizetési eszközök átutalását. A 2. cikk a) pontja értelmében: „a készpénz-helyettesítő fizetési eszköz olyan immateriális vagy materiális védett készülék, tárgy vagy rögzített adat, vagy ezek kombinációja, ide nem értve a törvényes fizetőeszközöket, amely önállóan, illetve egy eljárás vagy eljárások alkalmazásával lehetővé teszi, hogy birtokosa vagy felhasználója pénzt vagy pénzbeli értéket utaljon át, többek között digitális csereeszközök révén”. Erre tekintettel büntetőjogi védelmet kizárólag az olyan fizetési eszközök kapnak, amelyek speciális védelmi jellemzőkkel vannak ellátva, tehát a 2. cikk b) pontja szerint az utánzással vagy csalárd felhasználással szemben, például tervezés, kódolás vagy aláírás útján védett készüléknek, tárgynak vagy rögzített adatnak minősülnek.

A hazai deliktum elkövetési magatartásai között az információs rendszernek az egyéb művelet végzésével való működésének befolyásolása jelenik meg, míg az irányelv az akadályozást és a beavatkozást tartalmazza. Az előbbi azonban úgy gondolom, hogy magába foglalja utóbbi kettőt és e körben módosítás nem szükséges. A Btk. a számítógépes adatok vonatkozásában az irányelv szerinti adatbevitelt, -megváltoztatást, -törlést, hozzáférhetetlenné tételt tartalmazza, de a jogosulatlan továbbítás új elem. Álláspontom szerint, különösen a pénzügyi utalásokra figyelemmel, az elkövetési magatartásoknak a továbbítással való bővítése indokolttá válhat.

A kiberbiztonságban a leggyengébb láncszem az ember. Az esetek döntő többségében ugyanis minden sikeres támadás mögött a sértetti közrehatás áll, és éppen ezért az elkövetők gyakran előnyben részesítik a social engineering támadásokat – mint például az adathalászatot (phishing) – a technikai jellegű megoldások alkalmazása helyett. A phishing tehát továbbra is népszerű módszere az érzékeny adatok – például jelszavak, bankkártyaszámok – megszerzésének, sőt gyakran arra is használják, hogy kártékony programokat juttassanak el a magánkézben lévő eszközökre, valamint vállalati rendszerekre. A botnetek képesek nagy mennyiségű személyes vagy egyéb titkos adatok megszerzésére. Általában jól ismert bankok, pénzintézetek – vagy cégek, szolgáltatók, sőt akár állami szervek – nevében küldenek e-mail üzeneteket, amelyekben azt kérik a felhasználótól, hogy lépjen be elektronikus úton fiókjába vagy a bankkártya adatait adja meg adategyeztetés céljából. A levél általában egy linket is tartalmaz, hogy az áldozat könnyebben eljuthasson a honlapra. Azonban ez nem a bank vagy cég valódi weboldalára mutat, hanem egy ahhoz kísértetiesen hasonlító – esetleg kívülről nem is megkülönböztethető – ál-honlapra, amely többnyire a botnet valamely tagján fut. Ez történhet még az ún. pharming adathalász módszerrel is, amely esetén ugyancsak egy csalárd módon felépített honlapot használ az elkövető az adatok megszerzésére, azonban ennél egy rosszindulatú szoftver vagy kémszoftver segítségével az eredeti lapról egy másik, hamisított weblapra téríti el a felhasználót. Ha a gyanútlan felhasználó ezeken keresztül bejelentkezik, akkor a felhasználói neve és jelszava máris az adathalászoknak az adatbázisába kerül. Ezt követően a megszerzett adatok birtokában belépnek a banki felhasználói fiókba és gyakran a bankszámlán található összegeket rövid időn belül más számlákra utalják tovább, akár pénzfutárok (money mule) közreműködésével (pl. a kiberbűncse-lekményből vagy csalásból származó pénz fogadására bankszámlát nyitnak, illetve onnan továbbutalnak). A bankkártya-adatok megadásával pedig az elkövetők már rendelkezhetnek is ezekkel.

Előbbi esetben, ha csak a belépési adatokat szerzik meg, akkor a már korábban részletesen vizsgált információs rendszer felhasználásával elkövetett csalás 375. § (1) bekezdése szerinti károkozó adatvisszaélés alakzata valósul meg, míg az utóbbi két esetben az (5) bekezdésben szabályozott elektronikus készpénz-helyettesítő fizetési eszközzel való visszaélés alakzata, amely esetén az elkövető a jogosulatlanul megszerzett ilyen eszköz felhasználásával okoz kárt.

Másik módszer az ún. VoIP (Voice over IP), avagy vishing-csalás, amikor IP-alapú telefont, hangüzenetküldő eszközt használnak, és az elkövetők arra vesznek rá mást, hogy adja meg személyes, pénzügyi vagy biztonsági adatait, vagy utaljon pénzt nekik (pl. megkérik arra, hogy adategyeztetési célból közölje a bankkártya adatait, mert letiltották azt és újra aktiválni kell).

Az egyik legveszélyesebb támadási forma a célzott adathalászat, amely hasonló elgondolás mentén működik, mint a hagyományos formája, de azzal a különbséggel, hogy nem tömegesen kerülnek kiküldésre a levelek, hanem célirányosan, meghatározott kisszámú személy részére. A leveleket mind tartalmilag, mind formailag is úgy hozzák létre, hogy azoknak az egyedi vonásaik ne keltsenek gyanút. A támadást mindig megelőzi a kiszemelt célpontok tanulmányozása (pl. munkahelyüket, viselkedésüket, szervezeti struktúrát előzetesen felmérik). Gyakran az elkövetők a cég vezetőjének adják ki magukat – innen a CEO-csalás elnevezés is – és a pénzügyekért felelős személynek (pl. pénzügyi kontrollernek vagy könyvelőnek) e-mailt küldenek, amelyben kérik, hogy egy sürgős banki tranzakciót hajtson végre. Ezt pedig követhetik további levelek vagy akár telefonhívások, amelyekben megerősítik a tranzakció iránti igényt úgy, hogy a felek magukat például megbízható üzleti partnernek vagy ügyvédnek mutatják be.35 Az említett esetek mind a hagyományos értelemben vett, Btk. 373. §-a szerinti csalásnak minősülnek.

Az informatikai környezetben elkövetett bűncselekmények esetén azt a fontos jogalkotási megfontolást is figyelembe kell venni, hogy ne kerüljön sor a tényállások duplikálására, hiszen szűkül azon bűncselekmények köre, amelyeket az információs rendszerek segítségével ne lehetne elkövetni. Például a közlekedés biztonsága elleni bűncselekményt a közlekedési lámpákat vezérlő információs rendszerbe történő illetéktelen beavatkozással is el lehet követni. További példaként említhető az az eset, amikor az elkövető akár egy önvezető járművet is az elkövetés eszközeként használhat, amennyiben a hackertámadás során az önvezető járművet arra programozza be, hogy a sértettet megölje (pl. nagy sebességgel falnak vezeti a járművet), akkor e magatartása büntetőjogi értelemben vett cselekménynek tekinthető ugyanúgy, mintha egy lőfegyverrel vagy szúró-vágó eszközzel próbálna meg végezni vele.36 Emellett az élet kioltására alkalmasak lehetnek a hadászati céllal kifejlesztett drónok is, amelyek már arcfelismerő szoftverrel rendelkeznek, így könnyedén beprogramozhatók arra, hogy a kiválasztott személyt megöljék. Az IoT eszközök is különböző jogsértő cselekményekhez szolgálhatnak eszközül vagy éppen annak tárgyául is, mert általuk könnyedén lehet szenzitív adatokat gyűjteni a felhasználókról. Gondoljunk egy okosotthonra, amelyet ugyanúgy érhet támadás, mint bármely más informatikai eszközt, és ennek következében az elkövető át tudja venni az irányítást felette és különböző parancsokat továbbíthat, ezáltal alkalmas lehet a sértett megfigyelésére vagy akár az otthonába történő be- vagy onnan kizárására.37 Az autólopás is új szintre lépett a technológiai újításoknak köszönhetően, mert már az sem példa nélküli, hogy nagy értékű autókat lopnak el úgy, hogy a kulcs nélküli indítórendszerük védelmét jeltovábbító eszközökkel kijátsszák.38

Mezei K., tudományos segédmunkatárs, Társadalomtudományi Kutatóközpont Jogtudományi Intézet

  1. Az Európa Tanács Budapesten, 2001. november 23-án kelt Számítástechnikai Bűnözésről szóló Egyezménye, amelyet a 2004. évi LXXIX. törvénnyel hirdettek Magyarországon.
  2. Clough, J.: Principles of cybercrime. Cambridge University Press, Cambridge, 2015, 10–11. o.; Grabosky, P.: Cybercrime. Oxford University Press, Oxford, 2016, 8–9. o.; Brenner, W. S.: Cybercrime – Criminal Threats From Cyberspace. Praeger, Santa Barbara, 2010, 39–47. o.
  3. Clough (2015): i. m. 10–11. o.; Council of Europe: Explanatory Report to the Convention on Cybercrime. European Treaty Series – No. 185. 2001., 79. Cikk
  4. Polt P.: A számítógépes bűnözés. Belügyi Szemle, 1983/6., 60–64. o.
  5. Pusztai L.: Számítógép és bűnözés. In: Gödöny J. (szerk.): Kriminológiai és Kriminalisztikai Tanulmányok 26. OKRI, Budapest, 1989, 85. o.
  6. Nagy Z.: A számítógépes környezetben elkövetett bűncselekmények kodifikációjáról de lege lata – de lege ferenda. Belügyi Szemle, 1999/11., 16–27. o.
  7. Sieber, U.: A számítógépes bűnözés és más bűncselekmények az információtechnológia területén. Magyar Jog, 1993/2., 105–109. o.
  8. Parti K. – Kiss T.: Az informatikai bűnözés. In: Borbíró A. – Gönczöl K. – Kerezsi K. – Lévay M. (szerk.): Kriminológia. Wolters Kluwer, Budapest, 2017, 491–493. o.
  9. Szathmáry Z.: Bűnözés az információs társadalomban – Alkotmányos büntetőjogi dilemmák az információs társadalomban. Doktori értekezés. Pécsi Tudományegyetem ÁJK Doktori Iskolája Informatikai és Kommunikációs Jog Program, Budapest, 2012, 79–80. o.
  10. Szabó I.: Informatikai bűncselekmények. In: Dósa I. (szerk.): Az informatikai jog nagy kézikönyve. Complex, Budapest, 2008, 547. o.
  11. Lásd BH 1989. 184.
  12. Az Európai Parlament és a Tanács 2013/40/EU irányelve (2013. augusztus 12.) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról. HL L 218/8. 2013.8.14.
  13. Furnell, S.: Hackers, viruses and malicious software. In: Jewkes, Y. – Yar, M.: Handbook of Internet Crime. Willan Publishing, 2010, 43–45. o.
  14. Nagy Z.: XLIII. fejezet tiltott adatszerzés és az információs rendszer elleni bűncselekmények. In: Tóth M. – Nagy Z. A. (szerk.): Magyar Büntetőjog: Különös rész. Osiris Kiadó, Budapest, 2014, 594–595. o.
  15. Szathmáry Z.: A számítástechnikai bűncselekmények és rendszertani elhelyezésük. Jogtudományi Közlöny, 2012/4., 173–174. o.
  16. https://jogaszvilag.hu/napi/bkk-botrany-fellelegezhet-az-etikus-hacker/
  17. http://ugyeszseg.hu/valasz-a-tarsasag-a-szabadsagjogokert-tasz-etikus-hacker-ugyeben -tett-allitasaira/
  18. https://qubit.hu/2019/02/04/torvenyt-sertett-az-etikus-hacker-de-ha-nem-jelent-veszelyt-a-tarsadalomra-a-birosagnak-fel-kell-mentenie
  19. Uo.
  20. 2013. évi CLXV. törvény a panaszokról és a közérdekű bejelentésekről, 1. § (3) bek.
  21. Molnár G. M.: XL. fejezet – A pénzmosás. In: Belovics E. – Molnár G. M. – Sinku P. (szerk.): Büntetőjog II. – Különös Rész. HVG-Orac Lap- és Könyvkiadó, Budapest, 2018, 948. o.
  22. Koops, B.-J.: The Internet and its Opportunities for Cybercrime. Tilburg School Legal Studies Paper, Series No. 2011/9., 740–741. o., valamint lásd részletesen ehhez Sorbán K: Vírusok és zombik a büntetőjogban – Az információs rendszer és adatok megsértésének büntető anyagi és eljárásjogi kérdései. Medias Res, 2018/2., 369–386. o.
  23. A DDoS-támadás egy olyan támadási forma, amelynek a célja az információs rendszerek, szolgáltatások vagy hálózatok erőforrásainak oly mértékben történő túlterhelése, hogy azok elérhetetlenné váljanak, vagy ne tudják ellátni az alapfeladatukat. Az ilyen elektronikus támadást intézők a jogosult felhasználókat akadályozzák a szolgáltatás igénybevételében (pl. e-mail, banki vagy egyéb fiókokhoz való hozzáféréshez, vagy a weboldal elérésében). Lásd Nagy Z.: Bűncselekmények számítógépes környezetben. Ad Librum, Budapest, 2009, 115. o.
  24. Molnár (2018): i. m. 947-948. o.
  25. Gellér B. – Ambrus I.: A magyar büntetőjog általános tanai I. ELTE Eötvös Kiadó, Budapest, 2017. 205-206. o.
  26. Uo. 950. o.
  27. Nagy (2014): im. 598. o.
  28. A Btk. javaslatának 375. §-ához fűzött indokolás.
  29. A Btk. 459. § (1) bekezdésének 16. pontja értelmében: a kár e törvény eltérő rendelkezése hiányában a bűncselekménnyel a vagyonban okozott értékcsökkenés.
  30. Lásd ehhez Fővárosi Törvényszék B.687/2012/11. számú ítéletét!
  31. Laczi B.: A számítógép és a büntetőjog. Magyar Jog, 2001/3., 137–152. o.
  32. Hollán M.: A szolgáltatások megfizetés szándéka nélküli igénybevétele és a büntetőjog – Dogmatikai és jogpolitikai vizsgálódás egy empirikus kutatás hajnalán. Magyar Jog, 2019/4., 207–208. o.
  33. Szomora Zs.: XXXV. A vagyon elleni bűncselekmények. In: Karsai K. (szerk.): Kommentár a Büntető Törvénykönyvhöz. Complex Kiadó, Budapest, 2013, 788. o.
  34. Az Európai Parlament és a Tanács (EU) 2019/713 irányelve (2019. április 17.) a készpénz-helyettesítő fizetési eszközzel elkövetett csalás és a készpénz-helyettesítő fizetési eszközök hamisítása elleni küzdelemről, valamint a 2001/413/IB tanácsi kerethatározat felváltásáról. HL L123/18, 2019.5.10.
  35. Europol: The Internet Organised Crime Assessment (IOCTA) 2016. European Police Office, The Hague, 2016, 32. o.
  36. Ambrus I.: Az autonóm járművek és a büntetőjogi felelősségre vonás akadályai. In: Mezei K. (szerk.): A bűnügyi tudományok és az informatika. MTA Társadalomtudományi Kutatóközpont–PTE ÁJK, Budapest–Pécs, 2019, 10–11. o.
  37. Schjolberg, S.: The history of cybercrime 1976-2014. Cybercrime Research Institute, 2014, 148–149. o.
  38. https://www.dailymail.co.uk/news/fb-5472209/How-thieves-steal-car-without-keys-The.html
Közzétéve itt: 2019. év 4-5. lapszám, Büntetőjog | Tagged


Your browser does not support the canvas element.