A tanulmány első része részletesen tárgyalta az információbiztonság alapfogalmait, melyek révén a Btk. 423. §-ában meghatározott, az információs rendszer és adat elleni bűncselekmény törvényi tényállása a jogtárgyvédelemre tekintettel helyesen értelmezhető. E részben a továbbiakban a Btk. 424. §-ában meghatározott sajátos bűncselekményi tényállás elemzése, majd halmazati és elhatárolási kérdések tárgyalása következik.
A Btk. 424. §-a szerinti bűncselekmény a Btk. 375. §-ában, a 422. § (1) bekezdés d) pontjában és a 423. §-ában meghatározott bűncselekményekhez kapcsolódó, előkészületi jellegű sui generis bűncselekmény. A bűncselekmény elkövetési tárgya a felsorolt bűncselekmények elkövetéséhez szükséges, vagy az elkövetésüket megkönnyítő jelszó, számítástechnikai program, valamint az ezek készítésére vonatkozó gazdasági, műszaki, szervezési ismeret. A Btk. 424. §-ának (3) bekezdése alapján a jelszó számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely olyan azonosító, amely az információs rendszerbe vagy annak egy részébe való belépést lehetővé teszi. A bűncselekmény elkövetési magatartásait a törvényhozó két pontban határozza meg.
Az a) pontban meghatározott első fordulat elkövetési magatartásai a jelszó vagy számítástechnikai program készítése, átadása, hozzáférhetővé tétele, megszerzése vagy forgalomba hozatala. A készítés magában foglal minden olyan műveletet, amelynek eredménye egy számítógépes program. Átadásként értékelhető egy adott személyi körnek való rendelkezésre bocsátás, vagy valamely fizikai adathordozón történő birtokba adás, bár az online környezetben elkövethető információmegosztást leginkább az adatküldés vagy a hozzáférhetővé tétel képezi le. A hozzáférhetővé tétellel - amely lehet tevékenység vagy mulasztás - a jelszó vagy a program az arra nem jogosultak számára megismerhetővé, megszerezhetővé válik. A forgalomba hozatalnak az online környezetben történő hozzáférhetővé tételtől nehezebben elhatárolható, lényegében több személynek történő megszerzés lehetővé tétele.
A b) pontban meghatározott elkövetési magatartás a jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismeret másnak a rendelkezésére bocsátása. A rendelkezésre bocsátás azt jelenti, hogy az érintett személy a tényállásban foglalt ismeretek birtokába jut. Ez lehet a tiszta tudás közvetlen vagy közvetített megosztása, adathordozón történő átadása.
Míg az a) pontban meghatározott elkövetési magatartások tettese bárki lehet, a b) pontban meghatározott elkövetési magatartások tettese csak az lehet, aki az adott ismeretekkel rendelkezik, függetlenül attól, hogy ezen ismereteket jogszerűen vagy jogellenesen szerezte-e meg.
A bűncselekmény célzatos, mindkét fordulata kizárólag egyenes szándékkal követhető el. Mivel e bűncselekmény önálló vizsgálata a tapasztalataim szerint elkerüli a jogalkalmazók figyelmét, szükségesnek látom részletesebben is foglalkozni a célzat okozta jogértelmezési nehézségekkel. A törvényi tényállás megalkotásának célja a büntetőjogi védelem előrehozása volt, a jogalkotói megfontolás szerint a bűncselekmények elkövetéséhez szükséges eszközök birtoklása, az elkövetéshez szükséges ismeretek megosztása önmagában alkalmas a védett jogtárgy veszélyeztetésére. Mindez jól illeszkedik az információbiztonság fogalmi rendszerébe, az ilyen eszközök, ismeretek lényegében fenyegetésként [Ibtv. 1. § (1) bek. 19.] értékelhetők. A tényállás sui generis előkészületi jellegű, így álláspontom szerint ilyen esetben is alkalmazandó a bírói gyakorlat szerint az előkészületi magatartások megállapításához szükséges szempontok vizsgálata, a cselekménynek konkrétnak és közelinek kell lennie. Azaz a birtokolt eszköznek objektíve alkalmasnak kell lennie a tényállásszerű cselekmény elkövetésére, az elkövetéshez szükséges ismeret pedig vagy egy konkrét információs rendszerhez köthető (pl. annak sebezhetőségére vonatkozik) vagy egy adott támadási módszernek, eszköznek az alkalmazásához kapcsolódik. Tényállásszerű a cselekmény, ha az elkövető cselekményei, illetve az egyéb körülmények arra engednek következtetni, hogy az elkövető valamely védett információs rendszer ellen használni is tervezi az adott eszközt, alkalmazná a módszert, vagy egy adott védett rendszerre vonatkozó ismereteit osztja meg mással.
A tényállásszerű célzatra lehet következtetni adott esetben akkor, ha az elkövető az ismereteit, jelszavakat olyan fórumon, közösségben osztja meg, teszi hozzáférhetővé, hozza forgalomba, amely kifejezetten jogellenes cselekmények elkövetéséhez kínál platformot biztosítani (pl. darkweb piacok).
A Btk. 375. §-ában, a 422. § (1) bekezdés d) pontjában és a 423. §-ában meghatározott bűncselekmények más általi elkövetése esetén a 424. §-ban meghatározott cselekmény elkövetője a célzott bűncselekmény körülményeiről való kellő ismeretei esetén kilép az utóbbi tényállás kereti közül és a felsorolt bűncselekmények bűnsegédi elkövetőjévé válik. Ha a tényállásban hivatkozott valamely bűncselekményt [Btk. 422. § (1) bek. d) pont, 423. §, 375. §] elkövető személy az elkövetéshez szükséges bizonyos eszközöket birtokolja is, nem kizárt adott esetben az anyagi halmazat megállapítása sem. A cselekmény ugyanis az elkövetni célzott bűncselekmények nyitott törvényi tényállás jellegére figyelemmel nem tekinthető automatikusan szükséges eszközcselekménynek. Egyes eszközök eleve tényállásszerű cselekmények (további) megvalósítására alkalmasak, amely miatt a táradalomra veszélyességük sem elhanyagolható. Az elkövetéshez szükséges jelszó megszerzése és annak jogosulatlan felhasználása a belépéshez ugyanakkor a természetes jogérzet szerint csak a jogosulatlan belépést valósítja meg.
Célszerű további megkülönböztetéseket tenni a jogszerű sérülékenységvizsgálat elvégzéséhez használt eszközök birtoklása kapcsán. Célzat hiányában egy e tevékenységgel egyébként igazoltan foglalkozó személy által az ilyen eszköz birtoklása nem alapozhat meg a bűncselekményt. A védett információs rendszerrel kapcsolatos sérülékenységek jogszerű gyűjtése - pl. a rendszer üzemeltetőjeként megbízással, vagy egyfajta hírszerző tevékenységként - szintén nem. Ha viszont valaki ugyanezen eszközöket a tevékenységi körén kívül használja, vagy bizonyos ismereteket illetéktelen személyeknek továbbítja, akkor eltérő a helyzet. A tényállásban szereplő célzat a Btk. konkrét törvényi tényállásaihoz kapcsolódó büntetendő cselekményekhez kapcsolódik, amely a büntetőjogi felelősségre vonás akadályai kapcsán további kérdéseket vet fel.
- 11/12 -
Ha tehát az elkövető ún. etikus hackerként kéretlen sérülékenységvizsgálatot végez, amely a Btk. 423. § (1) bekezdésében meghatározott cselekményben ölt testet, és vele szemben e cselekmény kapcsán a társadalomra veszélyesség csekély foka vagy annak hiánya állapítható meg, kérdéses, hogy az elkövetéséhez használt eszközök (programok) megszerzése megalapozza-e a büntetőjogi felelősséget. Szintén kérdéses, hogy a Btk. 423. §-ában meghatározott bűncselekmény vonatkozásában esetlegesen megállapított társadalomra veszélyesség hiánya kiterjeszthető-e az eszközcselekményre is. Mindezt az adott eset összes körülményének ismeretében lehet megválaszolni. Ilyenkor célszerű emlékeztetni magunkat arra, hogy előkészületi cselekménynek nemcsak az tekinthető, amely önmagában megteremti a bűncselekmény elkövetésének közvetlen lehetőségét, hanem minden olyan tevékenység is, amely alkalmas a bűncselekmény elkövetésének feltételeit akár közvetetten megteremteni (BH 2015.322.).
A Btk. 423. §-ának (3) bekezdése alapján az információs rendszer megsértésének bűntette súlyosabban minősül, ha a (2) bekezdésben meghatározott bűncselekmény jelentős számú információs rendszert érint. A jelentős szám kizárólag kvantitatív alapú meghatározásának nincs értelme, ezért teleologikus értelmezéssel élve azon elkövetési formák figyelembe vétele indokolt, amelyek életre hívták ezen minősített eset meghatározását. Ilyen elkövetési magatartások lehetnek a botnet-ek létrehozása, a zsarolóvírusok terjesztése stb. Analógiával élve, a több ember ellen elkövetett emberölés törvényi egységet teremtő szabályzásához hasonlatosan a jelentős számú rendszer elleni elkövetés is egységnek minősül. Kísérletként értékelhető, ha a cselekmény alapvetően botnet létrehozását célozza, vagy valamilyen kártevő terjesztésére irányul, de nem kerül sor jelentős számú információs rendszer fertőzésére.
A Btk. 423. §-ának (4) bekezdése alapján az információs rendszer megsértésének bűntette súlyosabban minősül, ha közérdekű üzem ellen követik el. A védett jogi tárgy ekkor az általánoshoz képest kiegészül egy speciálissal, a közérdekű üzem biztonságos üzemeltetéséhez fűződő társadalmi érdekkel is. E minősítés alapjául szolgáló szókapcsolat mindkét eleme értelmezést igényel, így meg kell határozni a közérdekű üzem mibenlétét és azt, hogy a cselekmény mikor irányul az ellen.
1. A Btk. 459. § (1) bekezdés 21. pontja tételesen felsorolja a közérdekű üzemnek minősülő infrastruktúrákat: a) a közmű, b) a közösségi közlekedési üzem, c) az elektronikus hírközlő hálózat, d) az egyetemes postai szolgáltató közérdekű feladatainak teljesítése érdekében üzemeltetett logisztikai, pénzforgalmi és informatikai központok és üzemek, e) a hadianyagot, haditechnikai eszközt termelő üzemet, energiát vagy üzemi felhasználásra szánt alapanyagot termelő üzem.
Az információs rendszerek általános felhasználási területeire figyelemmel azon esetekben merül fel a minősítő körülmény részletesebb értelmezésének igénye, amikor a közérdekű üzem részben vagy egészben információs rendszerként értelmezhető. Ilyen, tulajdonképpen nevesített esetnek tekinthető a c) alpontja szerinti "elektronikus hírközlő hálózat" vagy a d) alpont szerinti postai szolgáltatás során használt informatikai központ. Az elektronikus hírközlő hálózat kapcsán utalnom kell arra, hogy a Btk. 423. §-ában meghatározott bűncselekmény immár az elektronikus hírközlő hálózatot nevesíti a korábbi Btk.-ban meghatározott "távközlési üzem" helyett [1978. évi IV. törvény 260. § (7) bek.]. E terminológiai jellegű változást a hírközlés területét átalakító infokommunikációs konvergenciának és az erre vonatkozó jogi szabályozásnak való megfelelés indokolta.
Az elektronikus hírközlő hálózat fogalmának az Eht. 188. §-ának 19. pontjában meghatározott leírása alapján elektronikus hírközlő hálózat alatt alapvetően az elektronikus hírközlési szolgáltatáshoz szükséges infrastrukturális elemek értendők, az ezen kívüli információs rendszerek - így például az üzemeltetéshez szükséges kapcsolódó rendszerek - nem az elektronikus hírközlő hálózat részei.
2. Közérdekű üzem ellen elkövetettnek minősül a cselekmény, ha az elkövetési magatartás a közérdekű üzem biztonságos üzemeltetéséhez fűződő társadalmi érdeket sérti vagy veszélyezteti. Az üzemeltetés az üzem, így a közérdekű üzem fogalmának is immanens eleme, az üzem biztonságos, kizárólag az arra jogosultak általi üzemeltetési képessége ezért a védett jogtárgy körébe tartozik.
A Btk. 423. §-ának (4) bekezdése szerinti minősített eset megállapítása egyik közérdekű üzemként definiálható infrastruktúra esetében sem feltételezi azt, hogy a Btk. 423. §-ának (1) és (2) bekezdésében meghatározott elkövetési magatartásokkal közvetlenül érintett információs rendszernek és a közérdekű üzemnek azonosnak kell lennie. A közérdekű üzem ellen irányul tehát a cselekmény, ha annak következtében az üzemeltetéshez használt információs rendszert érintően következik be olyan kedvezőtlen változás, amely a megbízható, kizárólagos, külső befolyásolás lehetőségétől mentes üzemeltetés képességére is hátrányosan hat. E kauzális kapcsolat az információs rendszer, illetve rendszerelem funkciójának ismeretében állapítható meg.
Az információs rendszerek adott funkciója miatt - így a közérdekű üzemhez annak üzemeltetése céljából kapcsolódó információs rendszer esetében is - a közérdekű üzem működésére kihatással lehet az információs rendszert érő jogellenes behatás. E törvényszerű kapcsolat figyelmen kívül hagyásával nem értelmezhető a Btk. 423. §-ának (4) bekezdése szerinti minősítő körülmény más olyan esetekben sem, amikor a közérdekű üzem nem információs rendszer, hanem más közmű-infrastruktúra, pl. erőmű, vízellátás, gázellátás. E "hagyományos" közművek üzemeltetése során működtetett információs rendszerek a funkciójuk miatt szintén közvetlen tárgyai lehetnek a minősített esetet megalapozó elkövetési magatartásoknak. Ezért nem indokolt a közérdekű üzemek és a hozzájuk kapcsolódó információs rendszerek kapcsolatát másként értékelni akkor sem, ha a támadott információs rendszer mellett a közérdekű üzem önmagában is információs rendszerként értelmezhető.
Az elektronikus hírközlő hálózatok elleni támadások kapcsán a fenti jogtárgyközpontú megközelítés mellett más módon is lehet érvelni az említett kauzális kapcsolat mellett, mégpedig a) az infokommunikációs konvergencia jogszabályokban megnyilvánuló összefüggéseire vagy b) az információs biztonság fogalmi rendszerére hivatkozva.
ad a) Az elektronikus hírközlési szolgáltató a nyilvános elektronikus hírközlő hálózatok üzemeltetésével összefüggésben köteles biztosítani a hálózatok biztonságát a jogosulatlan hozzáféréssel szemben [Eht. 86. § (1) bek. c) pont]. Az üzemeltető az elektronikus hírközlő hálózat felett a hálózathoz kapcsolódó eszközökön (információs rendszereken) keresztül gyakorolja a rendelkezési vagy használati jogait. Kapcsolódó eszközök az elektronikus hírközlő hálózat üzemeltetéséhez, elektronikus hírközlési szolgáltatás nyújtásához kötődő, ahhoz igénybe vehető, arra alkalmas kapcsolódó szolgáltatások, fizikai eszközök és egyéb létesítmények vagy elemek (Eht. 188. § 61. pont). Az információs rendszerként azonosítható kapcsolódó rendszerek elleni jogellenes cselekmények tehát kihatnak az üzemeltetésre, veszélyeztetik a rendelkezésre állás, megbízható működés biztosításának képességét.
ad b) A kauzális kapcsolatot az informatikai biztonság fogalmaival leírva ugyanezen eredményre juthatunk. Az üzemeltetést biztosító információs rendszerek az elektronikus hírközlési rendszerhez kapcsolódva, azzal együtt alkotnak olyan összetett hálózatot, amely a Btk. 459. § (1) bekezdésének 15. pontja alapján megfelel az információs rendszer fogalmának is. Az ilyen hálózat
- 12/13 -
komplex információs rendszer, amelynek alkotóelemei lehetnek önmagukban is információs rendszerként értelmezhető elemek.
Az információbiztonság - a korábban említettek szerint nemzetközi szabványokra épülő és jogszabályban megjelenő, ekként a jogrendszer egységének elve alapján alkalmazható - fogalmi rendszere alapján a következő megállapítások tehetők.
Az üzemeltetéshez használt információs rendszer sérülékenységének kihasználása révén vagy más aktív támadó jellegű tevékenység eredményeként keletkező fenyegetés olyan állapotként értékelendő, amely kihat az üzemeltetett információs rendszerre is, ekként a fenyegetés az elektronikus hírközlési rendszer védelmére, biztonságára nézve is kiterjed.
Ezért megvalósítja a közérdekű üzem ellen elkövetett információs rendszer megsértésének bűntettét az, aki a Btk. 423. §-ának (1)-(2) bekezdésében meghatározott cselekményeket a közérdekű üzem üzemeltetéséhez alkalmazott információs rendszerre követi el, és ennek következtében sérül vagy veszélybe kerül a közérdekű üzem biztonságos, kizárólag az arra jogosultak általi üzemeltetési képessége.
Az információs rendszerek önálló egységei vagy összetett hálózatai megannyi életviszonyhoz kapcsolódóan, minden esetben meghatározott funkciót töltenek be. Az információs rendszerek zavartalan működése a felhasználási területhez fűződő társadalmi érdekekhez, az ellátott funkcióhoz képest igényel megkülönböztetett védelmet és alapozhat meg eltérő bűncselekményi minősítést. Másként fogalmazva az információs rendszerek a kapcsolódó társadalmi érdekek elleni támadások közvetítői lehetnek. Az információbiztonság tehát alapvetően közvetítő, alternatív vagy egy szójátékkal élve: interfész-jogtárgy.
Az információs rendszer megsértésének alapesete tekintetében a törvény nem nevesíti a lehetséges funkciókat, a törvényi tényállás általános társadalmi érdeket juttat kifejezésre, az információs rendszerek rendelkezésre állásához, megbízható működéséhez fűződő érdekek védelmét. A jogalkotó egy adott információs rendszer kiemelt fontosságú funkciójának a minősített eset kapcsán tulajdonít jelentőséget. Ezért az általános digitalizáció miatt egyre inkább jellemző, hogy az információs rendszer elleni támadás valamely mögöttes jogtárgyat sért, és annak védelmére külön tényállás szolgál, azaz a hacking jellemzően eszközcselekmény. Ilyen esetben annak vizsgálata indokolt, hogy az információs rendszer és adat biztonságának sérelme önmagában is értékelhető-e, más jogtárgyat, eltérő érdekeket sért-e. Ilyen hiányában a halmazat látszólagos: elsősorban a Btk. jogtárgy szerint kategorizált, nevesített tényállása állapítható meg.
Így például a dolog elleni erőszakkal elkövetett lopást valósítja meg a gépkocsi védelmét szolgáló információs rendszer védelmének kijátszása [Btk. 370. § (2) bek. bc) pont].
A tényállás eredménye a rendszer működésének akadályozása, illetve az adatok valamely minőségének hátrányos változása. Így a bűncselekmény rendbelisége is az eredményhez, a támadott elkövetési tárgyhoz kapcsolódó érdekekhez kapcsolódik. A rendbeliség függhet a támadott számítástechnikai rendszerek számától. Ha egy információs rendszer üzemeltetője és a rendszerben kezelt adat jogosultja, vagy a rendszer erőforrásainak felhasználója különböző személy, és a cselekmény az információs rendszer működését és az adathoz való hozzáférést is akadályozza - pl. az üzemeltetésnek a helyreállítás miatt kárt okoz, a felhasználó pedig nem fér hozzá az adataihoz -, úgy vélem, e körülmény adott esetben megalapozhatja a halmazatot.
A gépjármű kilométer-számláló műszer által jelzett érték meghamisítása egyre több gépjármű esetében információs rendszerként értelmezhető kilométer-számláló műszerre gyakorolt behatással követhető el (Btk. 348. §). Mivel azonban e vétség egy évig terjedő szabadságvesztéssel büntetendő és szubszidiárius, ezért elvileg a Btk. 423. §-a szerinti bűncselekmények megállapításának van helye, ha azt információs rendszer manipulálásával követik el, mivel utóbbiak mindegyike súlyosabban büntetendő. Mégis, indokolatlan megkülönböztetésnek tűnik ugyanazon jogtárgy sérelme esetén eltérő tényállás megállapítása attól függően, hogy a gépjármű kilométer-számláló műszer információs rendszernek minősül-e vagy sem.
A Btk. 423. §-ában meghatározott bűncselekmény közérdekű üzem elleni elkövetése nem azonos a Btk. 323. §-ában meghatározott közérdekű üzem megzavarásával. E két bűncselekmény törvényi tényállásainak összevetése alapján az állapítható meg, hogy az információ rendszer megsértése alap- és minősített eseteinek tényállásszerűségéhez nem feltétel, hogy a közérdekű üzem működésében jelentős mértékű zavar keletkezzen. A Btk. 423. § (2) bekezdés b) pontjában meghatározott elkövetési magatartás - a (2) bekezdés a) pontjában meghatározott magatartással ellentétben - nem követeli meg az információs rendszer működésének akadályozását. Amíg tehát a közérdekű üzemmel kapcsolatban álló információs rendszer elleni támadás a közérdekű üzem működésében jelentős mértékű zavart nem okoz, az információs rendszer megsértése bűntettének megállapításának van helye. A támadott információs rendszer és a közérdekű üzem közötti kapcsolatra figyelemmel az információs rendszer megsértése körében kell értékelni azt, ha az elkövetési magatartás következményeként a közérdekű üzem biztonságára nézve a jelentős mértékű zavart el nem értő kedvezőtlen állapot jön létre. A közérdekű üzem működésében jelentős mértékű zavar bekövetkezése esetén is a Btk. 423. §-ában meghatározott bűncselekmény közérdekű üzem elleni elkövetése állapítandó meg, amely a specialitás elve és a magasabb büntetési tétellel fenyegetettsége miatt elnyeli a Btk. 323. §-ában meghatározott közérdekű üzem megzavarásának bűntettét. E két bűncselekmény összevetése alapján utóbbi az információs rendszerek támadásától eltérő elkövetési magatartásokat rendeli büntetni.
A Btk. 314. § (4) bekezdés i) pontja alapján az információs rendszer és adat elleni bűncselekmény elkövetése a további tényállási elemek megvalósulása esetén megalapozhatja a terrorcselekmény bűntettét.
Személyes szívességtétel okán az információs rendszerbe belépési jogosultság kereteinek túllépésével való belépés vagy bennmaradás - és az ezúton történő adatszerzés - a hivatalos személy részéről hivatali visszaélést valósít meg, ha annak célja jogtalan előnyszerzés vagy hátrányokozás. Ez a bűncselekmény valósul meg akkor is, ha az adat jogosultsági feltételekhez kötötten bárki által megismerhető (BH 2015.296.II.). Jogtalan haszonszerzés célzata nélkül a rendőrség informatikai rendszeréből jogosulatlanul lekérdezett adatok más részére történő továbbadása nem a hivatali visszaélés bűntettét, hanem az információs rendszer megsértésének vétségét valósítja meg (Kúria Bfv.I.1.357/2014/11.).
E kétrészes tanulmány, mint minden kommentárjellegű anyag véleménynek tekinthető, nem tulajdoníthatja magának a helyes jogértelmezés kizárólagosságát. Ugyanakkor - úgy vélem - kellő részletességgel ismerteti a helyes jogértelmezéshez szükséges háttérdiszciplínákat és a büntető anyagi jogi rendelkezésekhez való kapcsolódási pontokat, összefüggéseket. Ezáltal egy adott jogeset feldolgozása során megfelelő kiinduló alapot jelenthet a helyes minősítés megállapításához. ■
Lábjegyzetek:
[1] A szerző mb. fellebbviteli főügyészhelyettes, Fővárosi Fellebbviteli Főügyészség.
Visszaugrás
