Ügyészek lapja
tudományos-szakmai folyóirat

Az online gyermekpornográfia és a büntetőjog¹


Szerző(k): Mezei Kitti

Bevezetés

A gyermekpornográfia esetén olyan bűncselekményről van szó, amely a gyermekek szexuális – és akár kereskedelmi – célú kizsákmányolását jelenti. A tiltott pornográf felvételek terjesztése nagyon gyakran visszafordíthatatlan kárt képes okozni a gyermekek testi és lelki fejlődésében. A mai infokommunikációs technológiai fejlődés következtében azonban még súlyosabb következményekkel is járhat, hiszen a felvételek még hosszú évekkel később is elérhetők maradnak (például az interneten terjesztik, távoli szervereken tárolják, illetve a felhőbe feltöltik stb.). A modern technológia azt is lehetővé teszi, hogy újfajta előállítási módszerek terjednek el, amelyekkel az elkövetők a gyermekpornográfiát tiltó szabályok kijátszására tesznek kísérletet.

A gyermekpornográfia nem tekinthető új jelenségnek, már az 1960-as években is jelen volt,2  ennek ellenére még sincs nemzetközileg elfogadott fogalma, meghatározása országonként eltér. Léteznek nemzetközi minimumstandardok, amelyek megfogalmaznak egy szilárd jogi alapot az ilyen típusú magatartások tilalmára és az elkövetők felelősségre vonására vonatkozóan. Kérdés azonban, hogy mindez elegendőnek tekinthető-e. A tanulmány elsősorban az online gyermekpornográfia büntető anyagi kérdéseivel foglalkozik, különös tekintettel a digitális elkövetési környezetből eredő kihívásokra.

A sértetti életkor kérdése

Fokozott figyelmet kell szentelni a gyermek terminológiájára, különös tekintettel az online szférára. A gyermek szexuális kizsákmányolással és bántalmazással (sexual exploitation and abuse) szembeni védelme nem csökkenthető azért, mert az a gyermek online tevékenységéhez kapcsolódik.3  A korhatár megállapítása egy vitatott kérdés a gyermekek esetében. A nemzetközi dokumentumok többsége egységesnek tekinthető az életkort illetően, de kisebb mértékben eltérnek.

Az 1989-es Gyermekek jogairól szóló ENSZ Egyezmény4  vonatkozásában a gyermek az a személy, aki 18. életévét nem töltötte be, de ez alól kivételt biztosít, amennyiben az alkalmazandó jogszabályok értelmében a nagykorúságát már korábban eléri. A Budapesti Egyezmény5  pedig a gyermek helyett a kiskorú fogalmát használja. Az egyezmény szerint kiskorúnak minősül az a személy, aki még nem töltötte be 18. életévét, de az aláíró felek alacsonyabb korhatárt is meghatározhatnak, amely azonban nem lehet kevesebb a 16. életévnél.

A Lanzarote Egyezmény6  értelmében pedig a gyermek minden 18 éven aluli személy és kivétel alkalmazását nem engedi.

A 2011/92/EU számú irányelv7  értelmében gyermeknek minősül bármely 18 évesnél fiatalabb személy és kiegészül a beleegyezési korhatár fogalmával is, amely azon életkort jelenti, amely alatt a nemzeti joggal összhangban tilos a gyermekkel folytatott szexuális cselekmény.

Ezek alapján megállapítható, hogy a gyermeknek nemzetközi jogi meghatározása általánosan a 18. életévhez kötött, de az egyezmények egy része eltérést enged, amelyből adódóan az egyes országokban szabályozási különbözőségek mutatkozhatnak.

Napjainkra már a fiatalok jellemzően a 18. életévük betöltését megelőzően szexuális cselekményt folytatnak. A különböző nemzeti jogokban nincs összhang a szexuális cselekményekbe való beleegyezési korhatár és a sértetti életkor között a gyermekpornográfia esetében. Az európai országok többségében a harmonizált szabályozásnak köszönhetően a 18. életévét be nem töltött személyekről készült ilyen jellegű tiltott felvétel bűncselekménynek minősül – amelyet a hazai 2012. évi C. Büntető Törvénykönyv (Btk.) is követ –, míg például a beleegyezési korhatár nagyobb eltéréseket mutat országonként: Magyarországon a 14. életévhez8 , Spanyolországban a 13.-hoz, Németországban és Belgiumban a 16. életév betöltéséhez kötött. Mindenképpen szükség lenne egy nemzetközi vagy legalább európai szintű konszenzusra az említett életkorok közelítésére vonatkozóan.9  Külön érdekesség, hogy a német büntetőjog a 14 év alattiakra vonatkozó gyermekpornográfiát és a 14 év felettieket, de még a 18 év alattiakat érintő fiatalkorú pornográfiát is megkülönböztet.10

A gyermekpornográfia fogalmi ismérvei

A gyermekeket érintő fogalmak esetében eltérő megközelítések jellemzőek országonként, nincs ez másképpen a gyermekpornográfia esetében sem. Ezért szükség lenne az együttműködés elősegítése érdekében, hogy egy egységes fogalomhasználat váljon elfogadottá nemzetközi szinten. Az Europol és az Interpol elutasítja a gyermekpornográfia fogalmának a használatát, helyette a gyermek szexuális bántalmazását vagy kizsákmányolását ábrázoló anyag (child sexual abuse material vagy child sexual exploitation material) kifejezést használják, mert álláspontjuk szerint sokkal pontosabban tükrözi a súlyosságát és a valós természetét a tartalomnak, illetve kétségbe vonja azokat az elképzeléseket, amelyek szerint az ilyen magatartások a gyermek beleegyezésével végrehajthatók.11

A nemzetközi jogi dokumentumokban azonban jellemzően a gyermekpornográfia (child pornography) terminológiát használják és a meghatározásával kapcsolatban megegyeznek a hasonló fogalmi ismérvek használatával, mégis országonként egyes alapvető kérdésekben eltérések mutatkoznak, köszönhetően a diszpozitív szabályozásnak.12

Az ENSZ Egyezmény kötelezi a részes államokat arra, hogy védjék a gyermekeket a nemi kizsákmányolástól és a nemi erőszak minden formájától. Kötelesek a szükséges intézkedéseket megtenni annak érdekében, hogy megakadályozzák a gyermekek pornográf jellegű műsorok vagy anyagok elkészítése céljából történő felhasználását. Az egyezmény azonban nem tér ki a gyermekpornográfia definiálására.

A Budapesti Egyezmény13  szabályozta először a tartalom-bűncselekmények között a gyermekpornográfiát, mely bűncselekménytípus elkövetésénél elsődleges célként jelenik meg az egyénnek és a közösségnek való közvetlen – általában erkölcsi – károkokozás.14  A „gyermekpornográfia” fogalma alatt olyan pornográf termék értendő, mely vizuális úton ábrázol kifejezetten szexuális magatartást (sexually explicit conduct)15  tanúsító kiskorú személyt, vagy kiskorúnak tűnő személyt, vagy kiskorú személyt megjelenítő valósághű ábrázolást. Utóbbi két ponttól eltérést enged az egyezmény; például Magyarország, Dánia, Svájc és az Egyesült Királyság kikötötte, hogy nem alkalmazza a kiskorúnak tűnő személyre vonatkozó pontot.16

A Lanzarote Egyezmény szerint17  a „gyermekpornográfia” kifejezés minden olyan anyagot jelent, amely vizuálisan ábrázol egy valós vagy színlelt, egyértelműen szexuális cselekményben részt vevő gyermeket, vagy egy gyermek nemi szerveinek elsődlegesen szexuális célú ábrázolását. A Lanzarote Egyezmény tehát nem határozza meg egzakt módon, hogy milyen formában tárgyiasul a gyermekpornográfia, csupán azt, hogy az mit tartalmaz (mit ábrázol, jelenít meg képileg), valamint, hogy a gyermekpornográfiával összefüggésben mely elkövetési magatartások büntetendőek.

Mindkét egyezménynél közös vonás, hogy mérlegelési jogot biztosítanak a feleknek arra vonatkozólag, hogy részben vagy egészben kriminalizálják vagy sem a kizárólag színlelt ábrázolásból vagy egy nem létező gyermek valósághű képeiből álló pornográf anyagot. Utóbbihoz tartozik az ún. virtuális gyermekpornográfia (virtual child pornography),18  amely magában foglalja a számítógép által generált képeket (CGI), rajzokat, festményeket, képregényeket és rajzfilmeket, mint például a manga és anime,19  amelyek egyértelműen szexuális cselekményben részt vevő, nem valóságos gyermekeket ábrázolhatnak.

A másik csoportosítás pedig az ún. pszeudo-gyermekpornográfia (pseudo-photographs vagy morhphed images), amely olyan számítógéppel, digitálisan megváltoztatott fényképet vagy fényképmontázst tartalmaz, mint például egy felnőttet ábrázoló képet úgy módosítanak, hogy úgy tűnjön, mintha egy gyermek testét ábrázoló kép lenne vagy egy felnőtt testéhez illesztik a valós gyermek arcképét, vagy a képet egyéb módon manipulálják (például a ruha eltávolításával).20  E körben említhető, hogy új kihívást jelent a szexuális célzattal, a mesterséges intelligencia, avagy algoritmus által manipulált felvételek (deepfake pornography) közzététele és terjesztése,21  amelyben valósághűen más személynek láttatja valamely pornográf anyag szereplőjét.22

Az ilyen tartalmak jogi megítélése országonként eltérést mutat, például Németország (pl. Second Life-eset)23 , Franciaország24  és az Egyesült Királyság büntetni rendeli a virtuális gyermekpornográfiát is, míg hazánkban 2021-ig kizárólag a valós személyeket ábrázoló felvételek vonhattak maguk után büntetőjogi következményeket. Az új hazai szabályozás szerint25  a Btk. 204. § (8) bekezdésében egy olyan értelmező rendelkezés került meghatározásra, amely a nemzetközi dokumentumoknak megfelelően módosítja a pornográf felvétel fogalmát, e paragrafus szerint „a másnak vagy másoknak a nemiséget súlyosan szeméremsértő nyíltsággal, célzatosan a nemi vágy felkeltésére irányuló, módon történő ábrázolása, ideértve a nem létező személy vagy személyek valósághű ábrázolását is”. „A jogalkotó tehát továbbra is fenntartja a bűncselekmény törvényi egységi jellegét, ugyanakkor ezt nem magában a diszpozícióban, hanem az idézett autentikus interpretáció keretei között teszi.”26  Nóvum, hogy immár a fiktív személy(ek) valósághű ábrázolásával (pszeudoképpel) is elkövethető lesz a bűncselekmény, amely tehát a Budapesti Egyezmény főszabályához igazodik. A törvényhelyhez fűzött miniszteri indokolás ugyanakkor kiemeli, hogy a valósághű alatt a valóságoshoz megtévesztésig hasonló ábrázolást értjük, amikor nem lehet és nem is várható el annak megítélése, hogy valóságos-e a személy, tehát nem a rajzfilmek vagy festmények értendők ide.

A virtuális gyermekpornográfia bár nem jár szükségszerűen közvetlen fizikai sérelemmel, mégis ártalmas a gyermekekre nézve, mert az ún. „grooming”, a gyermekek szexuális célzatú kapcsolatfelvétele (solicitation of children for sexual purposes) során felhasználhatják, és ezzel bátoríthatják őket a szexuális tevékenységben történő részvételre. Az elkövetők szempontjából a virtuális felvétel hozzájárulhat a gyermekek iránti szexuális fantáziák kialakulásához, serkentheti a hajlandóságukat az elkövetésre,27  illetve segít az ilyen pornográf felvételek keresletének és egyben piacának a fenntartásában. További problémát jelent, hogy kulturális toleranciát teremt a gyermekek szexuális célú ábrázolásával szemben.28

A szakirodalomban vitatott, hogy a virtuális pornográf anyagot, vagy annak felhasználását kellene büntetni.29  Vannak, akik úgy gondolják, hogy a virtuális gyermekpornográf felvételek önmagukban nem ártalmasak, de bizonyos felhasználási esetekben igen, és csak akkor kellene bűncselekménynek minősíteni, ha a kapcsolatfelvétel folyamata során használják fel a gyermekkel szembeni szexuális célzatú abúzusra vagy kizsákmányolásra. Fontos megjegyezni, hogy a grooming esetei azonban gyakran nehezen bizonyíthatók, így a felelősségre vonás is nehezebb, sőt el is maradhat bizonyítottság hiányában.

A nemzetközi jogi szabályozások közül először a Lanzarote Egyezmény hívta fel a grooming büntetésére a szerződő feleket, amely a gyermek szexuális bántalmazásának az előkészítését jelenti, amely során az elkövetőt az motiválja, hogy a gyermeket a saját szexuális vágyának a kielégítésére használja fel.30  Az egyezmény szerinti meghatározása a következő: ha egy felnőtt az infokommunikációs technológiák igénybevételével találkozóra szóló szándékos ajánlatot tesz szexuális célzattal (például az ún. sexting)31  a szexuális beleegyezési korhatárt be nem töltött gyermeknek a meghatározott bármelyik bűncselekmény elkövetése céljából,32  amennyiben az ajánlatot a találkozó létrejöttéhez vezető lényeges cselekmények követték (például az elkövető a megbeszélt helyszínre érkezik).33

2015-ben a Lanzarote Bizottság véleményt adott ki az „online grooming”-ra vonatkozóan, mert megállapítást nyert, hogy a jelenlegi és jövőbeli technológiai fejlettség mellett lehetőség van a szexuális bántalmazás kizárólag online elkövetésére a személyes találkozó létrejötte nélkül is. A szerződő feleknek meg kell fontolniuk a kriminalizáció kiterjesztésének lehetőségét azokra az esetekre is, amikor csak online környezetben valósul meg a szexuális célú kapcsolatfelvétel, mert a gyermekeknek komoly sérelmet lehet okozni ilyen formában is, és ugyanolyan kockázatnak vannak kitéve, mint offline (például az ún. „screen-to-screen” chat vagy webkamerával történő videókommunikáció során szemtanúi lehetnek vagy könnyen rábeszélhetők kifejezetten szexuális cselekmény végzésére a kamera előtt; és tovább nehezíti a helyzetet, hogy ezek a funkciók már szélesebb körben, a különféle mobilalkalmazásokon keresztül is elérhetők).34  A technológiai fejlődés nyújtotta előnyöket azonban nemcsak az elkövetők, hanem immár a gyermekek szexuális kizsákmányolása elleni küzdelemben is kihasználják (például az ún. webcam child sex tourism visszaszorítása érdekében). Egy projekt keretében például egy Sweetie 2.0 elnevezésű chatbotot alkalmaznak, amely egy virtuális tízéves gyermeket (kislányt) személyesít meg. Sweetie egy chatbot-motor és 3D-s képek segítségével párbeszédet folytat az online fórumokon és chatszobákban. Minden chatbeszélgetést rögzít a rendszer, amely az adatok értékelésével segíti az elemzőket az „online szexuális ragadozók” besorolásában. A beszélgetések adatait csevegésenként dolgozzák fel, és minden egyes csevegő-partnerhez profil készül, ami segít a visszatérők azonosításában.35

A legtöbb esetben a grooming kezdeti folyamata részét képezi az ún. „sex-tortion”, vagyis a szexuális zsarolás. Az elkövető a gyermek bizalmába férkőzik (például a felnőtt fiatalkorúnak adja ki magát és barátkozik a gyermekkel, kifejezetten szexuális tartalmú anyagot mutat neki, hogy csökkentse a szexualitáshoz kapcsolódó gátlásait)36  és kihasználja a sebezhetőségét annak érdekében, hogy a gyermeket ábrázoló szexuális jellegű képekhez vagy videókhoz jusson hozzá, amit végül a zsarolás fázisa követ.37  A sextortion azt jelenti, hogy az elkövető kényszeríti, zsarolja az áldozatát, hogy szexuális szívességet teljesítsen a részére, vagy további kompromittáló képeket vagy videókat küldjön magáról, amennyiben a kérésnek nem tesz eleget, akkor a már birtokában lévő felvételnek a megosztásával fenyeget (például a közösségi médián keresztül), és ezzel már irányítása alá vonja a gyermeket.38

Az EU 2011/92/EU irányelv 6. cikkében a gyermekkel való, szexuális céllal történő kapcsolatfelvételre vonatkozó minimumszabályokat rögzít, amely (1) bekezdésében ugyanúgy rendelkezik, mint a Lanzarote Egyezmény, azonban kiegészül azzal, hogy az ilyen szándékos magatartás szabadságvesztéssel büntetendő, amelynek felső határa legalább egy év. Mindez magában foglalja az online és offline kapcsolatfelvétel eseteit is és mindkettő ellen fel kell lépniük a tagállamoknak. A magyar Btk. esetében a grooming-ra vonatkozó szabályok a szexuális visszaélés 198. § (2) bekezdésébe és a gyermekpornográfia 204. § (6) bekezdésébe lettek beépítve.39  Az irányelv a tagállamokat kötelezi továbbá, hogy büntetendő legyen az a gyermekpornográfia megszerzésére vagy birtoklására, vagy a tudatos hozzáférésnek az elkövetésére tett kísérlet, melynek során egy felnőtt beleegyezési korhatárt el nem ért gyermeket hív fel a szóban forgó gyermeket ábrázoló gyermekpornográfia nyújtására.

Az irányelv értelmében „gyermekpornográfia” minden olyan anyag, amely vizuálisan ábrázolja a kifejezetten szexuális magatartást tanúsító vagy ilyen magatartást színlelő gyermeket; vagy gyermek nemi szerveit mutatja be, elsődlegesen szexuális céllal; vagy minden olyan anyag, amely vizuálisan ábrázolja a kifejezetten szexuális magatartást tanúsító vagy ilyen magatartást színlelő gyermeknek tűnő személyt, vagy amely gyermeknek tűnő személy nemi szerveit mutatja be, elsődlegesen szexuális céllal; vagy kifejezetten szexuális magatartást tanúsító gyermek valósághű képei, vagy gyermek nemi szerveinek valósághű képei, elsődlegesen szexuális céllal. Vitatott téma a saját készítésű, 18. életévet be nem töltött személyekről készült pornográf anyagok büntetőjogi értékelése.40  Például a gyermekpornográfia büntetőjogi tényállása kapcsán felmerült javaslatként, hogy dekriminalizálni kellene, ha például két 17 éves személy egymásnak pornográf felvételt küld saját magáról.41  Azonban az ilyen irányú törekvés fő szabály szerint európai uniós kötelezettségbe ütközne, mivel a 2011/92/EU irányelv nem tesz különbséget az elkövetők életkora körében.42

A Lanzarote Egyezmény például kifejezetten nem bünteti, hanem jogot biztosít a szerződő feleknek, hogy döntsenek a büntethetőségről a beleegyezési korhatárt betöltött (a hazai szabályozás szerint 14–18 éves) gyermeket ábrázoló pornográf anyag készítése és birtoklása esetén, amennyiben a képeket saját maguk, illetve hozzájárulásukkal, kizárólag saját felhasználásra készítik (konszenzuson alapul). Az irányelv 8. cikke pedig kiegészíti a korábbi szabályozást azzal, hogy a magáncélú használatra készítésen és birtokláson felül nem használhatnak fel az elkészítéshez más tiltott pornográf anyagot, és a tevékenység nem járhat a saját készítésű anyag terjesztésének a kockázatával. Ezzel kapcsolatban azonban felmerülhet az ilyen kompromittáló tartalmakkal való visszaélésként a bosszúpornó (revenge porn) esete, amely általában féltékenységből, a párkapcsolat megszakítása miatti bosszúból, a volt partner által a sértettről készült pornográf felvételek nyilvánosságra hozatalát jelenti. Az ilyen kép vagy videó készülhet csak magáról a (tipikusan meztelen) sértettről, az elkövető és a sértett közös szexuális cselekményéről, illetve az is elképzelhető, hogy nem valódi, hanem manipulált felvételről van szó, amikor tehát a bosszúpornográfia a deepfake-kel kombinálva jelenik meg.43  Ambrus István a dekriminalizáció kapcsán felhívja a figyelmet arra, hogy a megoldás a bíróságok által az ún. teleologikus (cél szerinti, avagy jogtárgyharmonikus) értelmezés alkalmazása.44  „Eszerint, ha a jogalkotó célja nem lehetett a konkrét ügy kriminalizálása (mint például a valódi konszenzuson alapuló, kölcsönös képküldés a fiatalok által), akkor a bíróság jogosult a Btk. 4. § (2) bekezdése alapján – társadalomra veszélyesség (azaz jogtárgysérelem) hiányában – felmentő ítéletet hozni (sőt, a büntetőeljárást ugyanezen a jogcímen akár az ügyészség is megszüntetheti, vádemelés nélkül).”45  A 2021-es új, hazai szabályozás például privilegizált – ugyanakkor a korábbi szabályozásnál nem enyhébb büntetési tételekkel fenyegetett – esetet határoz meg, ha a pornográf felvételen szereplő személy 14–18 éves. Ez alapján tehát megállapítható, hogy a jogalkotó nem értett egyet e körben a dekriminalizációra tett javaslatokkal.46

A gyermekpornográfia elkövetési magatartásai

A gyermekpornográfia passzív alanyai a 18. életévüket be nem töltött személyek lehetnek. A büntetendő elkövetési magatartások terén szintén egységes képet mutatnak az említett jogi egyezmények, de kisebb eltérések itt is jelen vannak.

A Budapesti Egyezmény a számítástechnikai rendszer útján történő elkövetéseket rendeli büntetni, míg a Lanzarote Egyezményben a szabályozás már nem csak kizárólag erre korlátozódik, inkább egy tágabb értelmű kifejezést használ, az infokommunikációs technológiát. Mindkettő alkalmazásában büntetendő a gyermekpornográfia készítése (production), azonban a Budapesti Egyezmény hátránya az, hogy többletfeltételt határoz meg, mert az előállításnak a számítástechnikai rendszer útján történő forgalomba hozatal céljából kell történnie. Büntetik a felajánlását vagy hozzáférhetővé tételét (offering or making available) a pornográf felvételnek.

A hozzáférhetővé tétel valósul meg például akkor, amikor a tiltott felvételt online elérhetővé teszik gyermekpornográfia tartalmú oldal létrehozásával, feltöltik FTP-szerverre, fájlcserélő hálózatokra (peer-to-peer, p2p), darknet fóru-mokra, amellyel céljuk, hogy mások az interneten keresztül hozzáférhessenek vagy hiperhivatkozást hoznak létre az ilyen tartalmú oldalak elérésének elősegítéséhez.47

A forgalmazása vagy terjesztése (distribution or transmission) szintén bűncselekménynek minősül. A forgalmazás az „aktív” terjesztést jelenti, míg a terjesztés magában foglalja a pornográf felvétel küldését információs rendszeren keresztül vagy akár az eladását. A megszerzése saját célra vagy más személy részére (procuring) esetkörét kimeríti például a számítástechnikai adat letöltése vagy gyermekpornográf anyag vásárlása. A gyermekpornográfia birtoklása (possession) szintén büntetendő. Az infokommunikációs technológia segítségével történő tudatos hozzáférést (knowingly obtaining access by means of information and communication technology) mint új elemet a Lazarote Egyezmény vezette be, amelynek célja, hogy azon személyek legyenek felelősségre vonva, akik a gyermekpornográf anyagokhoz online hozzáférnek, külön erre a célra létrehozott oldalakon keresztül nézik, anélkül, hogy letöltenék azt (így nem lehet őket büntetni a megszerzése vagy birtoklása miatt). A felelősségre vonáshoz szükséges, hogy az elkövető szándékosan lépjen be az adott oldalra, ahol a tiltott anyag elérhető és tudomása van arról, hogy ilyen jellegű tartalom hozzáférhető ott. A szándékosságra lehet következtetni abból, hogy az elkövető ismétlődő jelleggel látogatja a weblapot vagy szolgáltatásként fizet érte. Az egyes joghatóságokban ez a jogsértés a birtokláson belül kerül szabályozásra (például Németországban), a magyar szabályozásnak pedig még nem része. A cache-ben tárolt képek nem elegendőek a felelősségre vonáshoz a birtoklásért, anélkül, hogy bizonyítást nyerne az, hogy az adott személynek tudomása lenne az elkövetett magatartásról.48  A gyermekpornográf tartalmak készítése jövedelmező üzletté vált, amit a szervezett bűnözői csoportok is felismertek és kihasználnak. A darkneten keresztül hirdetik és terjesztik a tiltott pornográf tartalmakat vagy külön weboldalakat hoznak létre haszonszerzési céllal. Új trendként jelent meg, hogy a gyermekmolesztálást az interneten keresztül élőben közvetítik, vagyis streamelik.49

Az ilyen felvételeknek a digitalizáció által lehetővé tett, gyors és határokat nem ismerő, szinte korlátlan terjesztési lehetőségei nagyban megnövelték e cselekmények társadalomra veszélyességét, ezért a gyermekpornográfiát érintő hazai módosítások a szigorítás irányába mozdultak el, például a bűncselekmény büntetési tételei jelentősen megnőnek, így az alapesetekben az eddigiekben irányadó 3 évig, 1–5 évig, illetve 2–8 évig terjedő szabadságvesztés-tételkeretek 1–5 évig, 2–8 évig, illetve 5–10 évig terjedő szabadságvesztésre emelkednek. Bevezetésre kerültek továbbá 5–10 évig, 5–15 évig, sőt 5–20 évig terjedő szabadságvesztéssel fenyegetett minősített esetek, mint például a 12. életévét be nem töltött személy sérelmére, a hivatalos személyként e minőség felhasználásával, az elkövető hozzátartozói, nevelési, felügyeleti, gondozási, gyógykezelési kötelékkel, vagy egyéb hatalmi, befolyási viszonnyal visszaélve, a sértett kiszolgáltatott helyzetét kihasználva, illetve a sanyargatást vagy erőszakot tartalmazó felvételre, valamint a különös visszaesőként történő elkövetés esetei (és ezek kombinációi).

A törvény a tényállás differenciálása miatt az elkövetési tárgyakra tekintettel két külön szakaszra bontja a gyermekpornográfiát, a 204. § tartalmazza a felvételekkel, a 204/A. § pedig a pornográf műsorral kapcsolatos cselekményeket. A törvény az elkövetési magatartások körében is változtat a tényálláson, a készítés válik az egyik legsúlyosabban büntetendő cselekménnyé, hiszen az a sértettet legközvetlenebbül érintő elkövetési magatartás. Súlyosabb büntetésre számíthat az is, aki 18. életévét be nem töltött személyt pornográf felvételen való szereplésre felhív. A törvény ezáltal szigorúan fellép a gyermekek megkörnyékezése ellen is, ezzel időben előbbre hozva a védelmet. Szintén az előrehozott védelmet jelenti az előkészületet büntetendővé tétele, úgyszintén az is, aki a bűncselekményhez anyagi eszközöket szolgáltat. Fontos kiegészítő szerepet tölt be, hogy a Btk. 204/A. § egyes bekezdései szerint büntetendő, aki 18. életévét be nem töltött személyt vagy személyeket pornográf műsorban szerepeltet vagy szereplésre felhív, illetve ilyen pornográf műsort szervez, hisz így minősülhet bűncselekménynek például a webkamerán keresztüli élő műsorsugárzás, ami nem jár felvétel készítésével.

Összegzés

A fentiek áttekintése után jól látható, hogy számos probléma vár még megoldásra a jogalkotók részéről. A nemzeti jogrendszerek közelítése még nagyobb kihívást jelent. Szükség lenne a nemzeti jogrendszerek és nemzetközi egyezmények részéről, hogy biztosítsák egységesen a gyermekek védelmét a szexuális kizsákmányolással szemben, különös tekintettel az új technológiai kihívásokra.

Mezei Kitti PhD, tudományos munkatárs, Társadalomtudományi Kutatóközpont, Jogtudományi Intézet; egyetemi adjunktus, Budapesti Műszaki és Gazdaságtudományi Egyetem, Gazdaság- és Társadalomtudományi Kar, Üzleti Jog Tanszék; megbízott kutató, Nemzeti Közszolgálati Egye-tem, Eötvös József Kutatóközpont, Kiberbiztonsági Kutatóintézet

A kiberbűnözés szabályozási kihívásai a büntetőjogban


Szerző(k): Mezei Kitti

Bevezetés

Nem túlzás azt állítani, hogy a technológiai innováció mindannyiunk életét érinti. Ez a dinamikus fejlődés a jogrendszert is folyamatos kihívások elé állítja, ezért szükséges, hogy az új technikai újításokkal kapcsolatban felmerülő jogi kérdésekre, problémákra reflektálni tudjunk. A gyors ütemű informatikai fejlődésnek a nyilvánvaló előnyei mellett megvannak a maga veszélyei is, hiszen lehetőséget teremt a bűnözés eddig ismeretlen formái számára. Éppen ezért a kiberbűnözés jelenti napjaink egyik legnagyobb kihívását. A kibertér (cyberspace) fogalmát először William Gibson amerikai író fogalmazta meg az 1984-ben megjelent Neuromancer című regényében, amikor elnevezést keresett a globális számítógépes hálózatra, amely összeköti az embereket, a számítógépeket és az információforrásokat. Az ebből képzett angolszász cybercrime kifejezésből honosodott meg az általunk használt kiberbűnözés szó. A cybercrime elnevezés használata napjainkban széles körben elterjedt, különösen a nemzetközi szakirodalomban, de például a Számítástechnikai Bűnözésről szóló Egyezmény1 (Convention on Cybercrime, a továbbiakban: Budapesti Egyezmény) is ezt alkalmazza. Jelen írásban az informatikai bűnözést és kiberbűnözést mint szinonim fogalmakat fogom használni, mert ezek a szakirodalomban elfogadottak. Azonban fontos megjegyezni, hogy a kiberbűnö-zésnek még nincs általánosan elfogadott és egységes definíciója.

E területen az egyik legfontosabb jogi dokumentum, a Budapesti Egyezmény ugyan a kiberbűnözés fogalmát nem határozza meg, de útmutató jelleggel a bűncselekményeket csoportosítja a következőképpen:

  • számítástechnikai rendszer és a számítástechnikai adatok hozzáférhetősége, sértetlensége és titkossága elleni bűncselekmények,
  • a számítógéppel kapcsolatos bűncselekmények,
  • a számítástechnikai adatok tartalmával kapcsolatos és szerzői vagy szomszédos jogok megsértésével kapcsolatos bűncselekmények.

A nemzetközi szakirodalomban több szerző is – így például: Jonathan Clough, Peter Grabosky és Susan W. Brenner2 – a kiberbűnözésre mintegy gyűjtőfogalomként tekint, amelynek két fő kategóriája különböztethető meg: az egyik azon deliktumok csoportja, amelyeket kizárólag információs rendszerekkel (pl. számítógépekkel, azok hálózatával vagy egyéb ICT eszköz használatával) követhetők el. Jellemzően ezeknek a bűncselekményeknek a tárgya az információs rendszer. Ezek a tisztán informatikai bűncselekmények vagy kiberbűncselekmények, az ún. cyber-dependent crime (pl. számítógépes vírusok használata, hacking stb.). A második tágabb kategóriába tartoznak azok a hagyományos bűncselekmények, amelyeket az információs rendszerek felhasználásával követnek el, mint például a csalás, a zsarolás, a pénzmosás, a zaklatás és még sorolhatnám. Ez az ún. cyber-enabled crime esetköre, amikor az információs rendszer a bűncselekmény elkövetésének az eszköze.3 Az Europol éves jelentéseiben is azonos jelentéstartalommal használja ezeket a fogalmakat, de részben eltérő elnevezéssel, így a cyber-dependent crime-ot, valamint a cyber-facilitated crime-ot.

A hazai szakirodalomban is több szerző foglalkozott az informatikai bűnözéssel kapcsolatos fogalom-meghatározásokkal. Kezdetben Polt Péter4, Pusztai László5 és Nagy Zoltán András6Ulrich Sieber nyomán7 –, később Parti Katalin és Kiss Tibor8, Szathmáry Zoltán9, illetve Szabó Imre10 is a külföldi szerzőkhöz hasonló fogalmat dolgoztak ki.

Mindezekre tekintettel megállapítható, hogy a kiberbűnözés esetén egyrészt olyan új típusú bűncselekményekről beszélhetünk, amelyek kizárólag az információs rendszerek segítségével követhetők el és olyan speciális védett jogi tárggyal rendelkeznek, mint az információs rendszer vagy számítógépes adat. Másrészt ide tartoznak azok a hagyományos bűncselekmények is, amelyek könnyebben elkövethetők az új elkövetési eszközök segítségével.

A kiberbűncselekmények hazai szabályozása

Az 1980-as évek második felében a hazai büntető törvénykönyvbe először a számítógépes csalás tényállását iktatták be, amelynek a megfogalmazásakor rendszerint a hagyományos csalás tényállásának szerkezetét követték, beépítve a magatartások megtévesztő jellegét és a jogtalan haszonszerzési célzatot.11 Rövid időn belül azonban egy új és önálló tényállás megalkotása vált szükségessé, ezért a számítógépes csalás a Büntető Törvénykönyvről szóló 1978. évi IV. törvény (a továbbiakban: 1978. évi Btk.) 300/C. §-ába lett beiktatva. Már ebben az időszakban is felmerült a számítógépes adatok kikémlelésének szankcionálása, illetve az „elektronikus betörés” önálló bűncselekménnyé nyilvánítása. Azonban még hiányoztak a Btk.-ból a számítógépes elkövetéssel kapcsolatos speciális definíciók, mint például a számítógép, a számítógépes adat és az adatfeldolgozás fogalma. Végül a Budapesti Egyezményben foglalt büntetőjogi rendelkezésekkel összhangban léptette életbe a 2001. évi CXXI. törvény a számítástechnikai rendszer és adatok elleni bűncselekmény (1978. évi Btk. 300/C. §), valamint a számítástechnikai rendszer védelmét biztosító technikai intézkedés kijátszása elnevezésű bűncselekménynek (1978. évi Btk. 300/D. §) a tényállásait, amely koncepcionálisan új szabályozást teremtett meg. Ezeket a bűncselekményeket azonban ekkor még a gazdasági bűncselekmények című fejezetben (XVII. fejezet) helyezték el, de ezt a megoldást kritikaként érte, hogy nem juttatta megfelelően kifejezésre a védendő értékek sokféleségét.

A hatályos büntetőkódexünkben már az informatikai bűncselekmények a tárgyi oldalon mutatkozó hasonlóságok, szoros összefüggések miatt a Büntető Törvénykönyvről szóló 2012. évi C. törvényben (a továbbiakban: Btk.) önálló fejezetét alkotják. Az információs rendszerek elleni támadásokról szóló 2013/40 irányelvnek (a továbbiakban 2013-as irányelv)12 megfelelően – eleget téve a jogharmonizációs kötelezettségnek – a Btk. átalakította a kiberbűncselekmé-nyekre vonatkozó szabályozást mind elnevezésben, mind tartalmilag, mert már a gazdasági bűncselekményektől külön, a XLIII. fejezetbe kerültek, A tiltott adatszerzés és információs rendszerek elleni bűncselekmények címmel. A korábbi „számítástechnikai rendszer” terminológia helyébe az „információs rendszer” lépett.

Az információs rendszer elleni bűncselekmények

Büntetőkódexünk a 423. §-ban három külön fordulattal határozza meg a tisztán informatikai bűncselekménynek minősülő információs rendszer vagy adat megsértésének elkövetési magatartásait és valamennyi fordulatának az elkövetési tárgya az információs rendszer. Az (1) bekezdés értelmében büntetendő, aki az információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad; vétség miatt két évig terjedő szabadságvesztéssel büntetendő. A bűncselekmény alanya az első fordulatban a belépésre jogosultsággal nem rendelkező személy lehet, míg a második fordulat esetén az adott személy rendelkezik erre vonatkozó engedéllyel (pl. alkalmazotti minőségében).

A „hacker” kifejezést általában azokra az informatikai szakemberekre használják, akik kiemelkedően magas fokú szaktudással és gyakorlattal rendelkeznek. Az egyik legnépszerűbb nézet szerint a hackerek között különbséget lehet tenni a következő szempont szerint. Vannak az ún. „black hat” avagy feketekalapos hackerek, illetve másnéven „crackerek”, akik többek között azért hatolnak be a rendszerbe, hogy kárt okozzanak, vagy épp az értékes információkhoz jussanak hozzá. A jogosulatlan belépés azon esetei, amelyek károkozási szándék nélkül történnek, jó példaként szolgálnak az ún. „grey hat”, avagy szürkekalapos hackelésre. A „white hat” vagy fehérkalapos típusa pedig kizárólag azokra az esetekre korlátozódik, amikor a hacker erre kifejezetten speciális vagy általános felhatalmazást kap. Ezért azok a személyek, akik csak saját elhatározásukból, jogosultság hiányában keresnek programhibákat vagy biztonsági réseket, nem tekinthetők etikus hackernek, hanem csak azok, akik valamilyen formában rendelkeznek jogosultsággal (pl. az információs rendszer tulajdonosa kifejezetten megbízza őket a rendszer tesztelésére és támadására).13

A Btk. 423. § (1) bekezdésében meghatározott enyhébb súlyú alapeset az információs rendszerbe történő jogosulatlan belépést nyilvánítja büntetendő cselekménnyé. A jogosulatlan belépés irányulhat az elkövető által felhasznált számítógépre vagy a rajta keresztül elérhető védett számítógépes hálózatra (pl. intézményi belső hálózat – ún. intranet –, vagy az internet részét képező hálózat, például egy banki online-rendszer).

A bűncselekmény megállapításához szükséges, hogy az információs rendszer technikai intézkedéssel biztosított védelemmel legyen ellátva és ez a védelem aktív legyen, azaz rendelkezzen például felhasználói azonosítóval és jelszóval, tűzfallal vagy egyéb védelemmel. Tehát nem tekinthető jogosulatlannak a belépés abban az esetben, ha az információs rendszer nem védett, illetve a védelem nincs aktiválva, mert ezek konjunktív feltételek a bűncselekmény megállapíthatóságához.14 Meghatározásra került továbbá az elkövetési mód is, így a bűncselekmény megvalósul akkor, ha a belépés a védelmi intézkedés megsértésével vagy ennek kijátszásával történik, például a biztonsági rendszer hiányosságait kihasználva lépnek be jogosulatlanul, vagy a jogosult jelszavával vagy belépési kódjával, amelynek megszerzési módja azonban közömbös (pl. történhet megtévesztéssel, kifürkészéssel, kódtörő programmal, pszichológiai manipulációval vagy elképzelhető, hogy a felhasználó hanyagsága folytán jut hozzá az elkövető).

A bűncselekmény nem célzatos, ezért nem feltétele az elkövetésnek az sem, hogy haszonszerzési, károkozási vagy egyéb hasonló célzattal történjen. Az sem követelmény továbbá, hogy az információs rendszerben tárolt adaton az elkövető később bármilyen műveletet végezzen, vagy akár a rendszer működését akadályozza. Önmagában tehát a jogosulatlan belépés is büntetendő (mere hacking). Amennyiben ezt további jogosulatlan műveletek követik – például adatok törlése, hozzáférhetetlenné tétele –, akkor már a következő bekezdések egyik fordulata valósul meg és beleolvad a súlyosabb jogtárgysértésre figyelemmel.15

A jogosulatlan belépéssel kapcsolatban érdemes az ún. etikus hacking kérdésével is foglalkozni a hazai szabályozás fényében, ami különösen aktuálissá vált, hiszen az elmúlt években több magyarországi esetre is fény derült, amelyek éles vita tárgyát képezték.

Az első eset során egy fiatal hacker 50 forintért vett bérlettel mutatott rá a BKK és T-Systems által üzemeltetett e-jegyrendszer hiányosságára, ami végül feljelentéssel zárult a jegyértékesítési rendszert ért informatikai támadás miatt. A vádemelésre végül nem került sor, mert az ügyészség megállapította, hogy a hacker célja valóban a biztonsági rés feltárása és ennek közlése volt a BKK felé. A rendszerhibáról való kétséget kizáró meggyőződéshez szükség volt a vásárlás befejezésére. Mindezekre tekintettel az ügyészség szerint a cselekménye nem volt veszélyes a társadalomra, amely a bűncselekmény megállapításának a feltétele. Emellett a megtett bejelentése közérdekű bejelentésnek minősül, ami büntethetőséget kizáró ok.16

A másik esetben egy programozónak tanuló hallgató a Magyar Telekom oldalán található nyilvános dokumentumban talált információk alapján jutott hozzá egy rendszergazdai jelszóhoz, amellyel hozzá tudott férni a Telekom teljes belső hálózatához, és erről a biztonsági résről később tájékoztatta a céget. Ezt követően azonban további, újabb sebezhetőséget talált és ezt kihasználva lépett be újból a rendszerbe, a vállalat kifejezett kérésére ellenére, aminek eredményeképpen a Telekom ismeretlen tettes ellen tett feljelentést. Az ügyészség vádat emelt az információs rendszer megsértéséért, még hozzá annak minősített esetéért, mert a meghackelt szerver a hírközlő hálózat része volt, ezért a Btk. 459 § (1) bekezdés 21. pontja alapján közérdekű üzemnek minősül.17 Végül a Szolnoki Járásbíróság folytatólagosan elkövetett információs rendszer vagy adat megsértése bűntettében mondta ki bűnösnek, és 600 ezer forint pénzbüntetésre ítélte nem jogerős ítéletében.

Mindezekre tekintettel a bírónak a konkrét esetben joga van megvizsgálni, hogy ha a törvényi tényállást kimerítette ugyan az illető, van-e olyan társadalmilag fontos és méltányolható érdek, ami miatt a cselekményének a jogellenessége hiányzik, és ezért nem veszélyes a társadalomra. Karsai Krisztina szerint büntetőjogi értelemben azt kell vizsgálni, hogy mihez fűződik nagyobb társadalmi érdek: a személyes adatok biztonságához vagy a biztonsági rések fenntartásához. A bíró tehát vizsgálja ezt a kérdést, és a bizonyítékok alapján kialakult belső meggyőződése szerint megállapíthatja a társadalomra veszélyesség hiányát, és így felmentheti az illetőt. Azonban az e tevékenység mögött húzódó szándékot is mindig figyelembe kell venni.18

Ambrus István véleménye szerint a bíróság a vizsgálat tárgyává teheti például azt is, hogy a terhelt eljárása tekinthető-e közérdekű bejelentésnek vagy sem.19 A közérdekű bejelentés olyan körülményre hívja fel a figyelmet, amelynek orvoslása vagy megszüntetése a közösség vagy az egész társadalom érdekét szolgálja, vagyis a bejelentő jelen esetben a közérdek védelme érdekében realizálja magát az elkövetési magatartást.20

A Btk. 423. § (2) bekezdés a) pontja értelmében pedig, aki az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. Ez esetben azonban a törvény nem határozza meg a releváns elkövetési magatartásokat, éppen ezért bármely cselekmény tényállásszerű lehet, amely az információs rendszer működésének akadályozását eredményezi. Akadályozáson nem kizárólag azt kell érteni, hogy a rendszer nem működik, vagy nem megfelelően működik, hanem azt is, ha a rendszer nem alkalmas a rendeltetésének megfelelő feladat ellátására. Az elkövető tudatának pedig át kell fognia azt a tényt, hogy cselekményével jogosulatlanul akadályozza az információs rendszer működését.21

Az online környezet lehetővé teszi az automatizált műveleteket, amelyek rendkívül gyorsan jelentős kárt tudnak okozni, mivel egy rosszindulatú program képes sokszorosítani önmagát és akár több millió rendszert megfertőzni egyidejűleg (pl. a WannaCry zsarolóvírus), vagy egy botnet-hálózat segítségével az elkövetők nagyszabású támadásokat tudnak végrehajtani, amely akár az adott rendszer teljes leálláshoz is vezethet.22 A jogosulatlan akadályozásra példaként említhetők a DDoS-támadások23. Továbbá a honlaprongálás (defacement) is e fordulat szerint minősül, ha a weboldal tartalmát alakítják át, írják felül a saját – szöveges vagy vizuális – tartalommal.

Az információs rendszerek segítségével és az internet közbeiktatásával könnyedén lehet végrehajtani adat- vagy programmanipulációt minimális költségek mellett, mert az információk elektronikus megjelenítésének köszönhetően lehetőség van az adatok másolására minőségi veszteség nélkül, valamint módosítására anélkül, hogy annak látható nyoma lenne. Éppen ezért a támadások másik típusát a különféle ún. malware támadások (pl. számítógépes vírusok és kémprogramok stb.) képezik, amelyeket általában az elkövetők továbbítanak, ezáltal a gyanútlan felhasználók rendszereit fertőzhetik meg.

A Btk. 423. § (2) bekezdés b) pontja szerint, aki az információs rendszerben lévő akár egyetlen adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl, vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. Nem szükséges, hogy a cselekmény az adatfeldolgozás eredményét befolyásolja, vagy bármely egyéb hátrányos következmény bekövetkezzen.24 Azonban e fordulat keretében az adatbevitel önmagában nem büntetendő, csak akkor, ha az további nem kívánt következményekhez vezet, mint például az információs rendszer működését akadályozza, valamint, ha azt jogtalan haszonszerzés végett végzik, és ezzel kárt okoznak.

E fordulatban az elkövetési tárgy a számítógépes adat, amellyel kapcsolatban Gellér Balázs és Ambrus István egy új fogalmat határozott meg a következőképpen: az elkövetési tárgy a törvényi tényállásban meghatározott dolog, személy vagy más speciális tárgy, akire vagy amelyre az elkövetési magatartás hatása irányul. Utóbbira álláspontjuk szerint azért van szükség, mert a Btk. rendszerében léteznek olyan élettelen tárgyak, amelyek elkülönült legáldefiníciójuk miatt nem vonhatók a dolog büntetőjogi fogalma alá. A „más speciális tárgy” alatt érteni kell a virtuális valóságban létező, kézzel nem fogható elkövetési tárgyakat is, mint a számítástechnikai adatot.25

Minősített eset állapítható meg és bűntett miatt egy évtől nyolc évig terjedő szabadságvesztéssel büntetendő, ha a Btk. 423. § (2) bekezdésben meghatározott bűncselekmény jelentős számú információs rendszert érint, azonban a törvény nem határozza meg, hogy mi tekinthető jelentős számúnak, tehát a jogalkalmazókra hárul a feladat, hogy egy erre vonatkozó gyakorlatot dolgozzanak ki.26 A minősített esetre a DDoS-támadás jó példa, hiszen a végrehajtása során a támadó sok száz vagy több ezer felhasználó gépeinek felhasználásával kísérel meg kapcsolatot létesíteni a megtámadott számítógéppel. E sok száz vagy ezer zombigép egy botnetet alkot, amit a támadó távolról vezérel. Az egyszerre küldött nagy mennyiségű adatkérés és továbbítás bénítja a megtámadott információs rendszert, ami kimerítheti a jelentős számú információs rendszer fogalmát.27 A másik minősített eset megvalósulásakor a büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

Itt érdemes megjegyezni, hogy a tényállás minősített eseteivel a 2013-as irányelvre figyelemmel lett kiegészítve. Az irányelv ugyanis először hívta fel a figyelmet a botnetekre mint veszélyforrásokra. Felismerték, hogy általuk egyre veszélyesebb, ismétlődő és átfogó támadásokat (pl. DDoS-támadás, adathalászat, spamküldés, rosszindulatú programok terjesztése, hálózat-figyelés stb.) tudnak végrehajtani, amelyek gyakran kulcsfontosságú információs rendszereket (pl. kritikus infrastruktúrákat) érintenek. Az irányelv e kockázat figyelembevételével állapít meg büntetőjogi szankciót a botnetek létrehozására, mivel a felhasználásukkal súlyos kárt képesek okozni, de annak meghatározása, hogy mi minősül súlyosnak, a tagállamok döntési jogkörébe tartozik (például fontos és közérdekű rendszerszolgáltatások megzavarása, jelentős költségek okozása, vagy személyes adatok, illetve különleges adatok, információk elvesztése stb.). Ezenkívül büntetendő és súlyosabb szankció megállapításának van helye, ha a támadás átfogó, azaz jelentős számú információs rendszert érint vagy súlyos kárt okoz, ideértve azokat a támadásokat is, amelyek célja egy botnet-hálózat létrehozása, vagy amelyeket botnet révén hajtanak végre. Helyénvaló arra az esetre is súlyosabb szankciókat megállapítani, ha a támadás valamely tagállam vagy az Unió kritikus infrastruktúrája ellen irányul. A Btk. közérdekű üzem és a 2013-as irányelv szerint alkalmazott kritikus infrastruktúra fogalma nem fedi egymást, így a cselekmény minősítése vitatott lehet, különösen a szociális jólét, a közegészség intézményei ellen intézett támadások esetében, ezért úgy gondolom, hogy a meghatározások közelítése indokolt lenne.

A kiberbűnözés napjainkra szolgáltatás-alapú üzleti modellé vált, a különféle támadások indítására szolgáló eszközöket, programokat szolgáltatásként lehet igénybe venni vagy akár megvásárolni az ún. Darknet online feketepiacokon keresztül. A kibertámadások végrehajtása egyszerűbbé vált azáltal, hogy könnyen hozzá lehet jutni a bűncselekmények elkövetéséhez szükséges ismeretekhez, programokhoz, akár a már kész botnet-infrastruktúrához, és ezért is fontos, hogy már az előkészületi cselekmények önálló bűncselekményként kerüljenek meghatározásra. Ennek megfelelően a Btk. 424. §-ában szabályozza az információs rendszer védelmét biztosító technikai intézkedés kijátszásának vétségét, amely tényállásnál a törvény a szankcionálni kívánt előkészületi cselekményeket mint befejezett bűncselekmény elkövetési magatartásaként határozza meg.

A bűncselekmény elkövetési magatartásai két fordulatban kerülnek meghatározásra. Az a) pont szerinti fordulat elkövetési magatartásai a jelszó vagy számítástechnikai program készítése, átadása, hozzáférhetővé tétele, megszerzése vagy forgalomba hozatala. A b) pont szerinti fordulat elkövetési magatartása a jelszó vagy számítástechnikai program készítésére vonatkozó szervezési ismeret másnak a rendelkezésére bocsátása.

Az információs rendszer felhasználásával elkövetett csalás

A Btk.-ban nóvumként jelent meg már külön tényállásként az információs rendszer felhasználásával elkövetett csalás (Btk. 375. §), a vagyon elleni bűncselekmények között, amelyet a Btk. miniszteri indokolása az eltérő jogtárgy védelemmel magyarázott. E szerint az információs rendszer felhasználásával elkövetett, kárt okozó csalások elsősorban vagyoni érdekeket sértő cselekmények, illetve ezek a csalásszerű magatartások azért kerültek a csalástól eltérő önálló tényállásba, mert hiányzik belőlük a klasszikus értelemben vett tévedésbe ejtés vagy tévedésben tartás.28

A Btk. 375. § (1) bekezdésében szabályozott károkozó adatvisszaélési alakzat szerint, aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. Jelen deliktum elkövetési magatartásai részben megegyeznek a korábban az információs rendszer vagy adat elleni bűncselekménynél részletesen elemzett cselekményekkel, de kiegészül az adatbevitellel, valamint tágan az egyéb művelet végzését határozza meg. Azonban különbség, hogy ez már eredmény-bűncselekmény, ezért akkor tényállásszerű, ha az elkövető magatartását jogtalan haszonszerzés céljából fejti ki, amelynek eredményeként kár29 is bekövetkezik. Például jellemző, hogy az elkövető pénzügyi rendszerhez fér hozzá és a bankszámlaegyenleget vagy hitelkeretet manipulálja.30 Az információs rendszer felhasználásával elkövetett csalással okozott kár fogalma több kérdést is felvet. Amennyiben a cselekménnyel összefüggésben ténylegesen bekövetkezik az értékcsökkenés, abban az esetben egyszerűbb a helyzet, hiszen egyértelműen kárként értékelhetők például a tényleges befizetés nélkül jóváírt, vagy az egyik bankszámláról a másikra jogosulatlanul átutalt pénzösszegek.31 Azonban egyetértek Hollán Miklós álláspontjával, aki szerint ezen tényállásánál büntetőjogi jelentőséget kellene tulajdonítani az elmaradt haszonnak is, és ezért ez nem a kár, hanem a vagyoni hátrány fogalmán alapulna. Továbbá felhívja a figyelmet arra is, hogy az információs rendszer felhasználásával elkövetett csalásra is alkalmazni kellene a csalás tényállásához fűzött értelmező rendelkezést, amelynek értelmében kárnak kell tekinteni az igénybe vett szolgáltatás meg nem fizetett ellenértékét is. Ez azzal magyarázható, hogy lehetnek olyan esetek, amikor az illető a vagyonban okozott értékcsökkenés hiánya miatt nem felel ezen deliktumért. A hatályos szabályozás lényegében eltérő védelmet biztosít, hogy a cselekmény információs rendszerrel végzett műveletekkel vagy természetes személy megtévesztésével valósul-e meg. Ez pedig nem összeegyeztethető a Btk. javaslatának indokolása szerinti szándékkal, amely a két bűncselekmény közötti különbséget az elkövetési magatartásban és nem az eredményben ragadja meg.32

A bűncselekmény célzatos, ezért csak egyenes szándékkal követhető el. A bűncselekmény eredménye, a kár bekövetkezése tekintetében azonban elegendő az eshetőleges szándék is. A jogtalan haszon megszerzése azonban nem szükséges, már a tényállás körén kívül esik. A cselekmény rendszerint a jogellenes informatikai manipuláció megkezdésével jut a kísérlet szakaszába, és a kár bekövetkezésével fejeződik be.33

E körben fontos megemlíteni az új készpénz-helyettesítő fizetési eszközökkel kapcsolatos 2019/713. számú uniós irányelvet (a továbbiakban: 2019-es irányelv)34, amelyben a 2013-as irányelvhez képest új elemként jelenik meg a virtuális fizetési eszközökkel (kriptovalutákkal) összefüggő elkövetés kiemelése az információs rendszerrel kapcsolatos csalás esetén. A 2019-es irányelv büntetendőnek nyilvánítja ugyanis a jogellenes haszonszerzési célzatú, más személy számára jogellenes vagyoni veszteséget előidéző, pénz, pénzbeli érték vagy virtuális fizetési eszköz átutalásában vagy átutaltatásában megnyilvánuló cselekményeket, a meghatározott módszerek esetén. Ez megvalósulhat az információs rendszer működésének jogosulatlan akadályozásával, a működésébe való jogosulatlan beavatkozással, számítógépes adatok jogosulatlan bevitelével, módosításával, törlésével, továbbításával vagy hozzáférhetetlenné tételével.

Továbbá közös fogalom-meghatározásokat is nyújt, amelyeknek ki kell terjedniük a készpénz-helyettesítő fizetési eszközök olyan új típusaira is, amelyek lehetővé teszik az elektronikus pénz és a virtuális fizetési eszközök átutalását. A 2. cikk a) pontja értelmében: „a készpénz-helyettesítő fizetési eszköz olyan immateriális vagy materiális védett készülék, tárgy vagy rögzített adat, vagy ezek kombinációja, ide nem értve a törvényes fizetőeszközöket, amely önállóan, illetve egy eljárás vagy eljárások alkalmazásával lehetővé teszi, hogy birtokosa vagy felhasználója pénzt vagy pénzbeli értéket utaljon át, többek között digitális csereeszközök révén”. Erre tekintettel büntetőjogi védelmet kizárólag az olyan fizetési eszközök kapnak, amelyek speciális védelmi jellemzőkkel vannak ellátva, tehát a 2. cikk b) pontja szerint az utánzással vagy csalárd felhasználással szemben, például tervezés, kódolás vagy aláírás útján védett készüléknek, tárgynak vagy rögzített adatnak minősülnek.

A hazai deliktum elkövetési magatartásai között az információs rendszernek az egyéb művelet végzésével való működésének befolyásolása jelenik meg, míg az irányelv az akadályozást és a beavatkozást tartalmazza. Az előbbi azonban úgy gondolom, hogy magába foglalja utóbbi kettőt és e körben módosítás nem szükséges. A Btk. a számítógépes adatok vonatkozásában az irányelv szerinti adatbevitelt, -megváltoztatást, -törlést, hozzáférhetetlenné tételt tartalmazza, de a jogosulatlan továbbítás új elem. Álláspontom szerint, különösen a pénzügyi utalásokra figyelemmel, az elkövetési magatartásoknak a továbbítással való bővítése indokolttá válhat.

A kiberbiztonságban a leggyengébb láncszem az ember. Az esetek döntő többségében ugyanis minden sikeres támadás mögött a sértetti közrehatás áll, és éppen ezért az elkövetők gyakran előnyben részesítik a social engineering támadásokat – mint például az adathalászatot (phishing) – a technikai jellegű megoldások alkalmazása helyett. A phishing tehát továbbra is népszerű módszere az érzékeny adatok – például jelszavak, bankkártyaszámok – megszerzésének, sőt gyakran arra is használják, hogy kártékony programokat juttassanak el a magánkézben lévő eszközökre, valamint vállalati rendszerekre. A botnetek képesek nagy mennyiségű személyes vagy egyéb titkos adatok megszerzésére. Általában jól ismert bankok, pénzintézetek – vagy cégek, szolgáltatók, sőt akár állami szervek – nevében küldenek e-mail üzeneteket, amelyekben azt kérik a felhasználótól, hogy lépjen be elektronikus úton fiókjába vagy a bankkártya adatait adja meg adategyeztetés céljából. A levél általában egy linket is tartalmaz, hogy az áldozat könnyebben eljuthasson a honlapra. Azonban ez nem a bank vagy cég valódi weboldalára mutat, hanem egy ahhoz kísértetiesen hasonlító – esetleg kívülről nem is megkülönböztethető – ál-honlapra, amely többnyire a botnet valamely tagján fut. Ez történhet még az ún. pharming adathalász módszerrel is, amely esetén ugyancsak egy csalárd módon felépített honlapot használ az elkövető az adatok megszerzésére, azonban ennél egy rosszindulatú szoftver vagy kémszoftver segítségével az eredeti lapról egy másik, hamisított weblapra téríti el a felhasználót. Ha a gyanútlan felhasználó ezeken keresztül bejelentkezik, akkor a felhasználói neve és jelszava máris az adathalászoknak az adatbázisába kerül. Ezt követően a megszerzett adatok birtokában belépnek a banki felhasználói fiókba és gyakran a bankszámlán található összegeket rövid időn belül más számlákra utalják tovább, akár pénzfutárok (money mule) közreműködésével (pl. a kiberbűncse-lekményből vagy csalásból származó pénz fogadására bankszámlát nyitnak, illetve onnan továbbutalnak). A bankkártya-adatok megadásával pedig az elkövetők már rendelkezhetnek is ezekkel.

Előbbi esetben, ha csak a belépési adatokat szerzik meg, akkor a már korábban részletesen vizsgált információs rendszer felhasználásával elkövetett csalás 375. § (1) bekezdése szerinti károkozó adatvisszaélés alakzata valósul meg, míg az utóbbi két esetben az (5) bekezdésben szabályozott elektronikus készpénz-helyettesítő fizetési eszközzel való visszaélés alakzata, amely esetén az elkövető a jogosulatlanul megszerzett ilyen eszköz felhasználásával okoz kárt.

Másik módszer az ún. VoIP (Voice over IP), avagy vishing-csalás, amikor IP-alapú telefont, hangüzenetküldő eszközt használnak, és az elkövetők arra vesznek rá mást, hogy adja meg személyes, pénzügyi vagy biztonsági adatait, vagy utaljon pénzt nekik (pl. megkérik arra, hogy adategyeztetési célból közölje a bankkártya adatait, mert letiltották azt és újra aktiválni kell).

Az egyik legveszélyesebb támadási forma a célzott adathalászat, amely hasonló elgondolás mentén működik, mint a hagyományos formája, de azzal a különbséggel, hogy nem tömegesen kerülnek kiküldésre a levelek, hanem célirányosan, meghatározott kisszámú személy részére. A leveleket mind tartalmilag, mind formailag is úgy hozzák létre, hogy azoknak az egyedi vonásaik ne keltsenek gyanút. A támadást mindig megelőzi a kiszemelt célpontok tanulmányozása (pl. munkahelyüket, viselkedésüket, szervezeti struktúrát előzetesen felmérik). Gyakran az elkövetők a cég vezetőjének adják ki magukat – innen a CEO-csalás elnevezés is – és a pénzügyekért felelős személynek (pl. pénzügyi kontrollernek vagy könyvelőnek) e-mailt küldenek, amelyben kérik, hogy egy sürgős banki tranzakciót hajtson végre. Ezt pedig követhetik további levelek vagy akár telefonhívások, amelyekben megerősítik a tranzakció iránti igényt úgy, hogy a felek magukat például megbízható üzleti partnernek vagy ügyvédnek mutatják be.35 Az említett esetek mind a hagyományos értelemben vett, Btk. 373. §-a szerinti csalásnak minősülnek.

Az informatikai környezetben elkövetett bűncselekmények esetén azt a fontos jogalkotási megfontolást is figyelembe kell venni, hogy ne kerüljön sor a tényállások duplikálására, hiszen szűkül azon bűncselekmények köre, amelyeket az információs rendszerek segítségével ne lehetne elkövetni. Például a közlekedés biztonsága elleni bűncselekményt a közlekedési lámpákat vezérlő információs rendszerbe történő illetéktelen beavatkozással is el lehet követni. További példaként említhető az az eset, amikor az elkövető akár egy önvezető járművet is az elkövetés eszközeként használhat, amennyiben a hackertámadás során az önvezető járművet arra programozza be, hogy a sértettet megölje (pl. nagy sebességgel falnak vezeti a járművet), akkor e magatartása büntetőjogi értelemben vett cselekménynek tekinthető ugyanúgy, mintha egy lőfegyverrel vagy szúró-vágó eszközzel próbálna meg végezni vele.36 Emellett az élet kioltására alkalmasak lehetnek a hadászati céllal kifejlesztett drónok is, amelyek már arcfelismerő szoftverrel rendelkeznek, így könnyedén beprogramozhatók arra, hogy a kiválasztott személyt megöljék. Az IoT eszközök is különböző jogsértő cselekményekhez szolgálhatnak eszközül vagy éppen annak tárgyául is, mert általuk könnyedén lehet szenzitív adatokat gyűjteni a felhasználókról. Gondoljunk egy okosotthonra, amelyet ugyanúgy érhet támadás, mint bármely más informatikai eszközt, és ennek következében az elkövető át tudja venni az irányítást felette és különböző parancsokat továbbíthat, ezáltal alkalmas lehet a sértett megfigyelésére vagy akár az otthonába történő be- vagy onnan kizárására.37 Az autólopás is új szintre lépett a technológiai újításoknak köszönhetően, mert már az sem példa nélküli, hogy nagy értékű autókat lopnak el úgy, hogy a kulcs nélküli indítórendszerük védelmét jeltovábbító eszközökkel kijátsszák.38

Mezei K., tudományos segédmunkatárs, Társadalomtudományi Kutatóközpont Jogtudományi Intézet


Your browser does not support the canvas element.