A kiberbünözés olyan dinamikusan változó terület, amely mind a büntetőjogi szabályozást, mind a jogalkalmazást kihívások elé állítja. A szerző részletesen elemzi az információs rendszer vagy adat megsértése bűncselekmény hazai büntetőjogi szabályozását. A tanulmányban olyan aktuális témaköröket érint, mint például az etikus hacking kérdése, valamint az egyes kibertámadások (például a hacker- vagy DDoS-támadás, a számítógépes vírusok) büntetőjogi minősítése, és összefoglalja a vonatkozó bírói gyakorlatot.
Cybercrime is a dynamically changing area that challenges both criminal law legislators and legal practitioners. The author provides a detailed analysis of the domestic criminal law regulation of the information system or data breach offence. The paper covers current topics such as the issue of ethical hacking and the criminal classification of specific cyber-attacks (e.g. hacking or DDoS attacks, computer viruses) and summarises the relevant judicial practice.
A kiberbünözés az Egyesült Államokban az 1970-es, a nyugat-európai országokban az 1980-as, a közép- és kelet-európai régióban pedig az 1990-es évektől indult dinamikus növekedésnek. A nemzetközi és hazai szakirodalom a kiberbűnözést egyaránt gyűjtőfogalomként kezeli: egyrészt olyan új típusú bűncselekményekről beszélhetünk, amelyek kizárólag az információs rendszerek segítségével követhetők el és olyan speciális védett jogi tárggyal rendelkeznek, mint amilyen az információs rendszer vagy adat (például az információs rendszer elleni bűncselekmények). Másrészt idetartoznak azok a hagyományos bűncselekmények is, amelyek sokkal könnyebben elkövethetők az új eszközök segítségével, és az információs rendszer mint az elkövetés eszközeként jelenik meg (például csalás, pénzmosás és zsarolás stb.).[1] A tanulmányban azonban kizárólag a szűkebb értelemben vett kiberbűnözéssel foglalkozom, ezen belül a hazai szabályozás szerinti információs rendszer vagy adat megsértése bűncselekményt vizsgálom: a szabályozás történetét, valamint a hatályos tényállást és a vonatkozó bírói gyakorlatot.
Az új típusú bűnözést a büntetőjogi szabályozás oly módon követte, hogy az 1980-as évek második felében a hazai Büntető Törvénykönyvbe először a számítógépes csalás tényállását iktatták be, amelynek megfogalmazásakor a hagyományos csalás tényállásának szerkezetét követték, beépítve a magatartások megtévesztő jellegét és a jogtalan haszonszerzési célzatot. Kezdetben a Legfelsőbb Bíróság döntése például befejezett csalásként értékelte azt a büntetendő magatartást, amikor a számítógépkezelő terhelt az őt terhelő hátralék összegét valótlan adat betáplálásával egyenlítette ki.[2]
Rövid időn belül azonban egy új és önálló tényállás megalkotása vált szükségessé, ezért a számítógépes csalást az 1978. évi IV. törvény (régi Btk.[3]) 300/C. §-ába iktatták be. Emellett beemelték a bankkártyával elkövetett tényállásokat is, amelyek ugyancsak a számítástechnikai eszközökkel elkövetett, illetve azok ellen irányuló bűncselekmények büntethetőségét teremtették meg. Már ebben az időszakban is felmerült a számítógépes adatok kikémlelésének szankcionálása, illetve az "elektronikus betörés" önálló bűncselekménnyé nyilvánítása. Azonban még hiányoztak a számítógépes elkövetéssel kapcsolatos speciális definíciók is, mint például a számítógépnek, a számítógépes adatnak és az adatfeldolgozásnak a fogalma.
Végül a Budapesti Egyezményben[4] foglalt büntetőjogi rendelkezésekkel összhangban léptette életbe a 2001. évi CXXI. törvény a számítástechnikai rendszer és adatok elleni bűncselekmény (1978. évi Btk. 300/C. §), valamint a számítástechnikai rendszer védelmét biztosító technikai intézkedés kijátszása elnevezésű bűncselekmények (1978. évi Btk. 300/D. §) tényállásait, ami koncepcionálisan új szabályozást teremtett. Ezeket a bűncselekményeket azonban ekkor még A gazdasági bűncselekmények című XVII. fejezetben helyezték el, de ez a megoldás kritika célpontjává vált, aminek oka az volt, hogy nem juttatta megfelelően kifejezésre a védendő értékek sokféleségét.
A számítógépes csalás helyébe iktatott új tényállás már büntetni rendelte a számítástechnikai rendszerbe történő jogosulatlan belépést, valamint a számítástechnikai rendszer és az abban tárolt, feldolgozott, kezelt vagy
- 618/619 -
továbbított adatok sértetlensége elleni cselekményeket is. Ezt kiegészítette a számítástechnikai rendszer védelmét biztosító technikai intézkedés kijátszása, amely már az alapcselekmények elkövetését lehetővé tévő feltételek biztosítását is sui generis bűncselekményként rendelte büntetni.[5] A Btk.[6] - a 2013-as irányelvnek megfelelően,[7] eleget téve a jogharmonizációs kötelezettségnek - átalakította az informatikai bűncselekményekre vonatkozó szabályozást mind elnevezésében, mind tartalmilag, mert már a gazdasági bűncselekményektől elkülönítve, a XLIII. fejezetbe került A tiltott adatszerzés és információs rendszerek elleni bűncselekmények címmel. A korábbi számítástechnikai rendszer terminológia helyébe az információs rendszer lépett.
E tanulmányban részletesen elemzem a Btk. 423. §-a szerint büntetendő információs rendszer vagy adat megsértését a bírói gyakorlat tükrében. E deliktum jogi tárgya az információs rendszerek megfelelő, biztonságos működéséhez és a bennük tárolt, feldolgozott, továbbított adatok megbízhatóságához, hitelességéhez, valamint titokban maradásához fűződő társadalmi-gazdasági érdek. Lényeges azonban kiemelni, hogy ez a tényállás továbbra is csak a számítástechnikai jellegű, szoftveres úton elkövetett támadások ellen biztosít büntetőjogi védelmet. A számítógép mechanikus védelmét ma is a rongálás törvényi tényállása látja el.[8] A büntetőkódex három külön fordulattal határozza meg a bűncselekmény elkövetési magatartásait és valamennyi fordulat elkövetési tárgya az információs rendszer - amelynek betöltött funkciója a meghatározó -, illetve a számítógépes adat. Az információs rendszer minden olyan berendezés - vagy egymással kapcsolatban lévő ilyen berendezések összessége -, amely automatikusan végez adatfeldolgozást, azaz adatok bevitelét, kezelését, tárolását, továbbítását látja el [Btk. 459. § 15. pont]. Ez azt jelenti, hogy nem szűkíti le a fogalmi kört kizárólag a számítógépekre (személyi számítógépekre), hanem az új meghatározás alkalmasabb annak kifejezésére, hogy szélesebb eszközkör tartozik ide - az olyan újabb eszközök is, mint a táblagépek, az okostelefonok vagy az egyéb, adattovábbítást és kapcsolatfelvételt biztosító informatikai berendezések -, és ez a kör idővel még bővülni fog.[9] Adatnak minősül az "információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas", ideértve azt a programot is, amely biztosítja valamely funkció végrehajtását az információs rendszer által [Btk. 423. § (5) bekezdés]. A Btk. 423. § (1) bekezdése értelmében, aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. Az (1) bekezdésben meghatározott enyhébb súlyú alapeset az információs rendszerbe történő jogosulatlan belépést avagy hacking jellegű magatartásokat nyilvánítja büntetendő cselekménnyé. A bűncselekmény megállapításához szükséges, hogy az információs rendszer technikai intézkedéssel biztosított védelemmel legyen ellátva, és ez a védelem aktív legyen, azaz rendelkezzen például felhasználói azonosítóval és jelszóval, tűzfallal vagy egyéb védelemmel. Továbbá az elkövetési mód meghatározása szerint a bűncselekmény megvalósul, ha a belépés a védelmi intézkedés megsértésével vagy kijátszásával történik, például a biztonsági rendszer hiányosságait kihasználva lépnek be jogosulatlanul vagy a jogosult jelszavával, belépési kódjával, amelynek megszerzési módja azonban közömbös (például történhet megtévesztéssel, kifürkészéssel, kódtörő programmal, pszichológiai manipulációval avagy social engineering támadással, vagy elképzelhető, hogy a felhasználó hanyagsága folytán jut hozzá az elkövető).
A kiberbiztonságban a leggyengébb láncszem az ember. Az esetek döntő többségében ugyanis minden sikeres támadás mögött a sértetti közrehatás áll, és éppen ezért az elkövetők gyakran előnyben részesítik a social engineering támadásokat - mint például az adathalászatot (phishing) - a technikai jellegű megoldások alkalmazása helyett. Kevin D. Mitnick szerint a pszichológiai manipuláció könnyedén megkerüli a technológiai akadályokat (például tűzfalat vagy egyéb védelmet) a befolyásolás és megtévesztés segítségével.
Az egyes hacking jellegű cselekmények mögött leggyakrabban a következő motivációk húzódnak: hozzáférés az információhoz, az adat megváltoztatása, illetve törlése, valamint az információs rendszer használata.[10] A jogosulatlan belépés további büntetendő magatartásokat segíthet elő, például az "ellopott" szenzitív adatokkal a sértetteket zsarolhatják. Más esetekben az adatokat további csalás jellegű magatartásokhoz használják fel, többek között adathalászathoz.
A jogosulatlan belépés tipikus eseteként említhető az ún. wardriving vagy wireless hacking (piggybacking), a vezeték nélküli hálózatok jogosulatlan használata. A Wi-Fi-kapcsolatok kialakításának több formája van: a nyilvános hálózatokhoz bárki szabadon csatlakozhat mindenféle korlátozás nélkül. Nyilvános, de zárt hálózatok is rendelkezésre állhatnak, amelyek esetében egy speciális szoftver gondoskodik arról, hogy a hálózatot egy kód ismeretében lehet használni
- 619/620 -
korlátozott ideig. A privát hálózatok esetében a hozzáférést titkosítják, általában tűzfal és jelszó használatával korlátozzák. Ezeket a hálózatokat saját használatra alakították ki jelszóvédelemmel, ezért kizárólag a jelszó ismeretében lehet csatlakozni hozzájuk. Azonban előfordul, hogy a tulajdonos akaratlanul védelem nélkül, "nyitva" hagyja a hálózatot. Ha a felhasználó az adatforgalom után fizet a szolgáltatója felé, akkor jelentős kárt okozhat nála a jogosulatlanul rácsatlakozó személy. A Wi-Fi-hálózatok további veszélyforrást jelentenek, mert rajtuk keresztül jogosulatlanul be tudnak lépni az információs rendszerekbe, illetve lehetőség van a hálózaton keresztül továbbított kommunikáció kifürkészésére is. Azonban a hálózatot jogosulatlanul használó személy csak akkor valósítja meg a 423. § (1) bekezdését a " Wi-Fi-lopással", ha a hálózat aktív védelemmel van ellátva és ezt sérti meg, különben nem.[11]
A jogosulatlan hozzáféréssel az elkövető célja továbbá az is lehet, hogy több számítógépet felhasználva a közbeiktatásuk révén elrejtse személyazonosságát, a bűncselekmény elkövetésének helyét, vagy éppen bűncselekmények elkövetésére használja, így gyermekpornográf tartalmakhoz való hozzáférésre vagy spam küldésére, amire különösen alkalmasak a nyilvános Wi-Fi hozzáférési pontok (hotspot))[12]
A bűncselekmény nem célzatos, ezért az elkövetésnek nem feltétele az sem, hogy haszonszerzési, károkozási vagy egyéb hasonló célzattal történjen. Az sem követelmény továbbá, hogy az információs rendszerben tárolt adaton az elkövető később bármilyen műveletet végezzen, vagy akár a rendszer működését akadályozza. Tehát már önmagában a jogosulatlan belépés is büntetendő (mere hacking). Amennyiben ezt további jogosulatlan műveletek követik - például adatok törlése, hozzáférhetetlenné tétele -, akkor a következő bekezdések egyik fordulata valósul meg, a súlyosabb jogtárgysértésre figyelemmel.[13]
Érdekességként megemlítendő az első nagy médiavisszhangot keltő hazai hackerügy, az Elender-per. 1999 decemberében az elkövetők beléptek a szolgáltató rendszerébe, feltelepítettek egy lehallgatóprogramot, és így megszerezték az Elender mintegy 35 ezer ügyfelének azonosítóját. A jelszavak birtokában a cég honlapját kicserélték egy maguk által szerkesztette, amelyen közzétették a birtokukba jutott felhasználói jelszavakat. A cég emiatt kénytelen volt leállítani a szervert, ezáltal a több ezer ügyfél által igénybe vett szolgáltatások szüneteltek. Miután az elkövetők birtokába jutott a cég egyik informatikai igazgatójának jelszava, nyilvánosságra tudtak hozni rendszergazda-jogosultságot biztosító jelszavakat is, akkor emiatt már három napra leállt a teljes rendszer.[14] A hatályos szabályozás szerint az elkövetők bűncselekményt valósítottak meg, azonban a cselekmény elkövetésének időpontjában az 1978. évi Btk. még nem szabályozta az informatikai bűncselekményeket, ezért az ügyészség közérdekű üzem működésének megzavarása és magántitok jogosulatlan megismerése miatt emelt vádat, de ez alól a bíróság másodfokon felmentette az elkövetőket. A bíróság ágazati szabályt hívott segítségül a Btk. tényállásának értelmezésére: annak eldöntésére, hogy az internetszolgáltató távközlési üzemnek minősül-e. Az ágazati jogszabály azonban a távközlési szolgáltatások közé sorolta az internet-szolgáltatást, a bíróság mégis megszorítóan értelmezte a Btk. közérdekű üzem fogalmát. Indokolása szerint, ha a jogalkotó az internetszolgáltatót is közérdekű üzemnek tekintette volna, úgy szerepeltette volna a taxációban. A törvényhozó szándéka a közérdekű üzem megfogalmazásakor még nem terjedt ki (a technikai fejlettségnek korabeli fokán nem terjedhetett ki) az internetszolgáltatóra. A bíróság szerint pedig a jogalkotói szándék nem értelmezhető kiterjesztően, a megváltozott jogviszonyokat mindenképpen jogi szabályozással kell követni, ami azóta meg is történt.[15] A jogosulatlan belépéssel kapcsolatban fontos az etikus hacking kérdéskörét is áttekinteni a hazai szabályozás fényében: ez különösen aktuálissá vált, mert az elmúlt években több magyarországi esetre is fény derült, amelyek éles vita tárgyát képezték.
Az első eset során egy fiatal hacker ötven forintért vett bérlettel mutatott rá a BKK és T-Systems által üzemeltetett e-jegyrendszer hiányosságára, ami végül feljelentéssel zárult a jegyértékesítési rendszert ért informatikai támadás miatt. Vádemelésre végül nem került sor, mert az ügyészség megállapította, hogy a hacker célja valóban a biztonsági rés feltárása és ennek közlése volt a BKK felé. A rendszerhibáról való kétséget kizáró meggyőződéshez szükség volt a vásárlás befejezésére. Mindezekre tekintettel az ügyészség szerint a cselekmény nem volt veszélyes a társadalomra, ami a bűncselekmény megállapításának a feltétele. Emellett a hacker bejelentése közérdekű bejelentésnek minősül, ez pedig a büntethetőséget kizáró ok.[16]
A másik esetben egy programozónak tanuló hallgató a Magyar Telekom oldalán található nyilvános dokumentumban talált információk alapján jutott hozzá egy rendszergazdai jelszóhoz, amellyel hozzá tudott férni a Telekom teljes belső hálózatához és erről a biztonsági résről később tájékoztatta a céget. Ezt követően azonban további, újabb sebezhetőséget talált, és ezt kihasználva lépett be újból a rendszerbe, a vállalat kifejezett kérése ellenére, aminek eredményeképpen a Telekom ismeretlen tettes ellen tett feljelentést. Az ügyészség vádat emelt az információs rendszer megsértéséért, méghozzá annak minősített esetéért, mert a meghackelt szerver a hírközlő hálózat része volt, ezért
- 620/621 -
a Btk. 459. § (1) bekezdésének 21. pontja alapján közérdekű üzemnek minősül.[17] Végül a Szolnoki Járásbíróság információs rendszer vagy adat folytatólagosan elkövetett megsértése bűntettében mondta ki bűnösnek a hackert, és hatszázezer forint pénzbüntetésre ítélte jogerős döntésében.
Mindezekre tekintettel a bírónak a konkrét esetben joga van megvizsgálni, hogy ha a törvényi tényállást kimerítette ugyan az illető, van-e olyan társadalmilag fontos és méltányolható érdek, amely miatt a cselekmény jogellenessége hiányzik, és ezért nem veszélyes a társadalomra.[18] Karsai Krisztina szerint büntetőjogi értelemben azt kell vizsgálni, hogy mihez fűződik nagyobb társadalmi érdek: a személyes adatok biztonságához vagy a biztonsági rések fenntartásához. A bíró tehát vizsgálja ezt a kérdést, és a bizonyítékok alapján kialakult meggyőződése szerint megállapíthatja a társadalomra veszélyesség hiányát, s így felmentheti az illetőt. Azonban az e tevékenység mögött húzódó szándékot is mindig figyelembe kell venni.
Ambrus István véleménye szerint a bíróság a vizsgálat tárgyává teheti például azt is, hogy a terhelt eljárása tekinthető-e közérdekű bejelentésnek vagy sem.[19]
A közérdekű bejelentés olyan körülményre hívja fel a figyelmet, amelynek orvoslása vagy megszüntetése a közösség vagy az egész társadalom érdekét szolgálja, vagyis a bejelentő jelen esetben a közérdek védelme érdekében realizálja magát az elkövetési magatartást. A közérdekű bejelentés javaslatot is tartalmazhat.
A hacker kifejezést általában azokra az informatikai szakemberekre használják, akik kiemelkedően magas fokú szaktudással és gyakorlattal rendelkeznek.[20] Az egyik legnépszerűbb nézet szerint a hackerek között különbséget lehet tenni aszerint, hogy milyen szándékkal törik fel a rendszert. Ez alapján beszélhetünk az ún. white hat vagy fehér kalapos hackerekről, akik jóhiszeműen tesztelik az adott rendszer biztonságát és sebezhetőségét. Emellett vannak az ún. black hat vagy fekete kalapos hackerek, illetve más elnevezés szerint a crackerek, akik többek között azért hatolnak be a rendszerbe, hogy kárt okozzanak, vagy hozzájussanak az értékes információkhoz. Végül az utolsó csoportot képezik az ún. grey hat vagy szürke kalapos hackerek, akik nehezen behatárolható módon valahol az előző két csoport között helyezkednek el. A bemutatott terminológiák használata azonban vitatható. Általában egyetértés van a tekintetben, hogy az etikus hackerek tevékenysége a fehér kalapos csoportba tartozik, azonban nehezíti a helyzetet, hogy hiányzik ennek a megfelelő szabályozása, valamint nincs kialakítva egy széles körben elfogadott gyakorlata.
Ezt a problémakört közelebbről megvizsgálva felmerül a kérdés, hogy a jogosultság hiánya esetén beszélhetünk-e egyáltalán etikus hackelésről. Steven Furnell rámutat, hogy a "biztonság fejlesztése" érdekében végzett hacking megítélése esetén a fő kérdés az, mi történik a megszerzett információval. Amennyiben ezt a hacker diszkréten bejelenti a cégnek, akkor az etikus hozzáállásnak tekinthető. Azonban, ha a nagy nyilvánosság előtt tárja fel a biztonsági rést, akkor ez a részéről nehezen tekinthető etikusnak, különösen azért, mert ezzel felhívja figyelmet a rendszerben található hibára, de facto arra, hogy mások is használják ki a rendszer sebezhetőségét. A hazai Kormányzati Eseménykezelő Központ (GovCERT) például bárki számára lehetőséget biztosít az általa észlelt sérülékenységek anonim bejelentésére.
Furnell szerint további megválaszolandó kérdésként merül fel, hogy egy diszkrét bejelentés esetén is etikusnak tekinthető-e, ha a rendszerbe valaki engedély nélkül belép, és mindezt úgy teszi, hogy más informatikai műveletet nem végez. Álláspontja szerint a hacker ebben az esetben is hátrányt okozhat a jogosulatlan hozzáféréssel anélkül, hogy a rendszerben bármit megváltoztatna vagy megzavarná annak a működését, ellenben például könnyedén láthat olyan szenzitív információt (például személyes adatot vagy üzleti titkot), amellyel később visszaélhet.[21]
A fentiekre tekintettel a jogosulatlan belépés azon esetei, amelyek károkozási szándék nélkül történnek, jó példaként szolgálnak a szürke kalapos hackelésre. A fehér kalapos típusa pedig kizárólag azokra az esetekre korlátozódik, amikor a hacker erre kifejezetten speciális vagy általános felhatalmazást kap. Ezért azok a személyek, akik csak saját elhatározásukból, jogosultság hiányában keresnek programhibákat vagy biztonsági réseket, nem tekinthetők etikus hackernek, hanem csak azok, akik rendelkeznek jogosultsággal valamilyen formában (például az információs rendszer tulajdonosa kifejezetten megbízza őket a rendszer tesztelésével és támadásával).
A Btk. 423. § (2) bekezdésének a) pontja értelmében a második alapesetet valósítja meg, aki az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. A törvény azonban nem határozza meg a releváns elkövetési magatartásokat, ezért tényállásszerű lehet bármely cselekmény, amely az információs rendszer működésének akadályozását eredményezi.
Akadályozáson nem kizárólag azt kell érteni, hogy a rendszer nem működik, vagy nem megfelelően működik, hanem azt is, ha nem alkalmas a feladata
- 621/622 -
ellátására. Ha az információs rendszer például közhiteles nyilvántartás vagy más, az adatok hiteles igazolására szolgáló nyilvántartás, akkor akár a valótlan, akár a valódi adat jogosulatlan bevitele, megváltoztatása, törlése e nyilvántartások rendeltetésszerű használatát, működését is gátolhatja. Az elkövető tudatának át kell fognia azt a tényt, hogy cselekményével jogosulatlanul akadályozza az információs rendszer működését. Az elkövetési magatartás megkezdésével a kísérlet valósul meg, és az akadályozás bekövetkezésével válik befejezetté. A bűncselekmény e fordulatát nemcsak az adatok bevitelére, megváltoztatására, törlésére és egyéb műveletek végzésére jogosulatlan személy, hanem arra jogosult személy is elkövetheti, azonban ennek feltétele, hogy a beavatkozást szándékosan nem a jogosultságának keretei között, nem a rendeltetésének megfelelően, hanem a rá vonatkozó rendelkezések megsértésével végezze. A jogosulatlan akadályozásra leggyakoribb esetként a DDoS-támadások[22] említhetők. A honlaprongálás (defacement) is e fordulat szerint minősül, ha a weboldal tartalmát alakítják át, írják felül a saját - szöveges vagy vizuális - tartalommal. A támadások másik gyakori típusát a különféle malware-ek, vagyis rosszindulatú programok képezik (például számítógépes vírusok és férgek, valamint trójai és kémprogramok), amelyeket az elkövetők továbbítanak, megfertőzve a gyanútlan felhasználók rendszereit.
Amennyiben a jogosulatlan belépést követően olyan meg nem engedett műveleteket hajt végre az elkövető, amelyek akadályozzák az információs rendszer működését vagy adatmanipulációt eredményeznek, akkor a (2) bekezdés a) vagy b) pontja szerinti fordulatot valósítja meg, például ha az információs rendszer adatfeldolgozásának eredményét a vírusok becsempészésével tudatosan befolyásolja, és ezáltal a programok működésképtelenné válnak.[23]
A Btk. 423. § (2) bekezdésének b) pontja szerint az, aki az információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.
A szankcionált elkövetési magatartások a következők: az adat megváltoztatása, törlése vagy hozzáférhetetlenné tétele. Az adat megváltoztatásán az adat tartalmának bármilyen módon történő módosítását értjük, amely megvalósulhat az adat felülírásával, kiegészítésével vagy részleges törlésével. A törlés az adat megsemmisítését, teljes eltávolítását jelenti. Az adat hozzáférhetetlenné tétele esetén nem valósul meg törlés, a rendszer továbbra is tárolja, de az elkövető az adat elérhetőségét akadályozza meg például azzal, hogy jelszóval védett könyvtárban elrejti, titkosítja az adatállományt - mint például a zsarolóvírusok[24] esetében történik -, vagy az általa ismert helyre (FTP-, cloud-, RAID-szerverre) másolja.
A törvény már egyetlen adat megváltoztatását, törlését vagy hozzáférhetelenné tételét büntetni rendeli. Az adat megváltoztatásának, törlésének, hozzáférhetetlenné tételének szándékos előidézésén túl a cselekmény tényállásszerűségének a megállapításához szükséges még, hogy e magatartásokat a megfelelő jogosultság (engedély) hiányában, illetve a jogosultság kereteit megsértve kövessék el (például rendszergazdai jogosultság).
A bűncselekmény az adat bármilyen módon történő módosításával befejezetté válik. Nem szükséges, hogy a cselekmény az adatfeldolgozás eredményét befolyásolja, vagy bármely egyéb hátrányos fejlemény bekövetkezzen. Azonban megemlítendő, hogy e fordulat keretében az adatbevitel önmagában nem büntetendő, csak akkor, ha további nem kívánt következményekhez vezet, például akadályozza az információs rendszer működését [Btk. 423. § (2) bekezdés a) pont], valamint ha jogtalan haszonszerzésért végzik, és ezzel kárt okoznak (Btk. 375. §).
A Legfelsőbb Bíróság ezt az elkövetési magatartást állapította meg abban az ügyben, ahol az ETR-ben (Egységes Tanulmányi Rendszer) a nem teljesített vizsgát jelölő adatot az elkövető eredményes vizsgára változtatta meg, és ehhez a megfelelő érdemjegyet is hozzárendelte. Az 1978. évi Btk. szerinti számítástechnikai rendszer és adatok elleni bűncselekmény tényállását valósította meg (de lege lata az információs rendszer vagy adat megsértése) a főiskola számítástechnikai hálózatának felügyeletét ellátó informatikusa, aki a hallgatók vizsgakötelezettségét és vizsgaeredményeit nyilvántartó számítástechnikai rendszerben levő adatok jogosulatlan
- 622/623 -
megváltoztatásával a vizsgát az előírás ellenére nem teljesítő hallgatóval kapcsolatban olyan adatokat rögzített a rendszerben, amelyek szerint a hallgató a meghatározott tantárgyból eredményes vizsgát tett.[25] Az információs rendszer vagy adat megsértésének bűncselekménye alapesetének három fordulata egymás mellett, illetve egymást követően is megvalósulhat. Az azonos jogtárgysértés a valódi alaki halmazat megállapítását rendszerint kizárja. A különböző alkalmakkal elkövetett, egymással összefüggésben nem álló cselekmények esetén azonban a valódi anyagi halmazat megállapítását nem zárja ki önmagában az a körülmény, hogy az egyes bűncselekményeket azonos információs rendszer használatával (felhasználásával, sérelmével) hajtották végre.
A bűncselekmény alanya a belépésre jogosultsággal nem rendelkező személy lehet, illetve a másik fordulat szerint olyan személy, aki rendelkezik az információs rendszerhez való hozzáféréshez engedéllyel, de ennek kereteit túllépi. Előbbi esetben az elkövetők kívülálló személyekként követik el a bűncselekményeket, mint például a vállalatok rendszere ellen külső támadást indító hackerek, míg a jogosultság kereteinek túllépése esetén olyan engedéllyel rendelkező, bennfentes személyekről van szó, mint például az alkalmazottak, akik e minőségükben élnek vissza a céges információs rendszer használatával. A büntetőjogi felelősségre vonás szempontjából nincs különbség a kettő között, e bűncselekmény elkövetési magatartásait jogosulatlanul kell elkövetni: a Budapesti Egyezmény és 2013-as irányelv értelmében jogosulatlannak minősül minden olyan magatartás - ideértve a belépést, beavatkozást vagy adatmanipulációt is -, amelyet a rendszernek vagy a rendszer részének tulajdonosa vagy egyéb jogosultja nem engedélyezett. Ha a bűncselekmény objektív kritériumai teljesülnek, de a cselekményt nem jogsértő szándékkal követték el, például az érintett személy nem tud arról, hogy az adott hozzáférés jogosulatlannak minősül, vagy az információs rendszerek tesztelésével, illetve védelmével bízták meg (például egy cég kijelöl valakit a biztonsági rendszere tesztelésére). Ezenkívül az információs rendszerekhez való hozzáférést felhasználói szabályzat vagy szolgáltatási feltételek révén korlátozó szerződéses kötelezettségek vagy megállapodások, valamint a munkáltató információs rendszereihez való magáncélú hozzáféréssel és azok magáncélú használatával kapcsolatos munkaügyi jogviták nem vonhatnak maguk után büntetőjogi felelősséget, amennyiben a hozzáférés az említett körülmények között minősülne jogosulatlannak, és ezáltal a büntetőeljárás kizárólagos alapját képezné.
A Kúria azonban rögzíti, hogy a büntetőjog alapelveivel összhangban a jogosultság keretein való túllépés is akkor minősül bűncselekménynek, ha az egyben a rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával történik (például más jelszavának a felhasználásával), ugyanis ha valakinek van jogosultsága az információs rendszerbe történő belépéshez, akkor pusztán e jogosultság kereteinek túllépése nem éri el azt a veszélyességi szintet, mint amelyet az első fordulat megkíván. Tehát önmagában a jogosultság kereteinek túllépésével való belépés vagy bennmaradás nem büntetendő, amennyiben nem valamely biztonsági intézkedés megsértésével valósul meg, vagy nem kapcsolódik össze további tisztességtelen célzattal - például jelentős érdeksérelemmel, jogtalan károkozási, haszonszerzési célú adatszerzéssel vagy - manipulálással, vagy a rendszer megzavarásának szándékával, illetve eredményével -, mert ennek hiányában a magatartás társadalomra veszélyessége csekély.[26] A konkrét esetben a rendőr foglalkozású elkövetőnek egy adatbázisban, az adatkezelés célhoz kötöttségét megsértő cselekménye kapcsán foglalt állást a bíróság. A büntetőjog alapelvére utalás ez esetben a Btk. 1. §-ában rögzített nullum crimen sine lege elvét jelenti, amelynek stricta alelvét sértette volna az elkövető terhére szóló kiterjesztő értelmezés.[27]
Az információs rendszer vagy adat megsértésének minősített esete állapítható meg és bűntett miatt egy évtől nyolc évig terjedő szabadságvesztéssel büntetendő, ha a (2) bekezdésben meghatározott bűncselekmény jelentős számú információs rendszert érint, azonban a törvény nem határozza meg, mi tekinthető jelentős számúnak, tehát a jogalkalmazókra hárul a feladat, hogy egy erre vonatkozó gyakorlatot dolgozzanak ki. A minősített esetre a DDoS-támadás jó példa, hiszen a végrehajtása során a támadó sok száz vagy több ezer felhasználó gépeinek felhasználásával kísérel meg kapcsolatot létesíteni a megtámadott számítógéppel. E sok száz vagy ezer zombigép egy botnetet alkot, amelyet a támadó vezérel távolról. Az egyszerre küldött nagy mennyiségű adatkérés és - továbbítás bénítja a megtámadott információs rendszert, ami kimerítheti a jelentős számú információs rendszer fogalmát.
A másik minősített eset megvalósulásakor a büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el. A Btk. az értelmező rendelkezések között a 459. § 21. pontjában meghatározza exemplifikatív felsorolással, hogy mi minősül közérdekű üzemnek: a közmű, a közösségi közlekedési üzem, az elektronikus hírközlő hálózat, az egyetem és a postai szolgáltató közérdekű feladatainak teljesítése érdekében üzemeltetett logisztikai, pénzforgalmi és informatikai központok (például pénzintézetek) és üzemek.
A bűncselekmény rendbelisége az információs rendszerek számához igazodik. A törvény valamennyi informatikai rendszer önálló büntetőjogi védelmét biztosítja, függetlenül attól, hogy azok tulajdonosa, illetve üzemeltetője azonos vagy különböző természetes vagy jogi személy.
Az egyes informatikai rendszerek sérelmére megvalósított akár azonos, akár különböző elkövetési magatartások száma a rendbeliséget általában nem érinti. A következetes ítélkezési gyakorlatnak megfelelően a természetes egység keretében nyerhet értékelést. Információs rendszer vagy adat megsértésének folytatólagosan elkövetett bűncselekménye állapítható meg, ha az elkövető egységes akaratelhatározásból az azonos helyzetből (hozzáférésből) fakadó lehetőséget kihasználva, azonos információs rendszer sérelmével, különböző alkalmakkal követi el a vizsgált bűncselekményt.[28]
- 623/624 -
Érdemes végül áttekinteni a halmazati és elhatárolási kérdéseket a bírósági gyakorlat alapján. Amennyiben a hivatalos személyként eljáró ügyintéző anyagi ellenszolgáltatásért valótlan adatokat jegyez be közhiteles nyilvántartásba, és ezzel összefüggésben valótlan tartalmú közokiratok kiadására kerül sor, akkor egyetlen magatartással - a valótlan adatok bevitelével - a már abban rögzített közokiratokra vonatkozó adathalmazokat jogosulatlanul megváltoztatja. Egységes cselekménye a Btk. 413. § (1) bekezdésének b) pontja szerinti információs rendszer és adat megsértésének bűntettét, valamint a Btk. 343. § (1) bekezdésének b) pontja szerinti hivatalos személy által elkövetett közokirat-hamisítás bűntettének törvényi tényállását egyaránt megvalósítja, mert sérti mindkét bűncselekmény védett jogi tárgyát, feltéve, ha a bűncselekményt egyenes szándékkal, magatartásának előre látott következményeit kívánva hajtja végre.[29]
Az információs rendszer és adat elleni bűncselekmény, valamint a közokirat-hamisítás és a vesztegetés bűncselekményeinek anyagi halmazata valóságos, ha az információs rendszer és adat megsértésének bűncselekményét az EBH 2033.I. alatti módon megvalósító elkövető ezért a tevékenységéért az érintett hallgatóktól előnyt kér, továbbá a számítástechnikai rendszerben valótlanul rögzített adatok közlésével közreműködik abban, hogy a valóságban le nem tett vizsgáról valótlan adat kerüljön a leckekönyvbe.[30] Ha a pénzintézet ügyintézője az ügyfelek által a pénzintézetnél lekötött vagy lekötni kívánt pénzösszegeket a sajátjaként kezeli, és a sikkasztás leplezése érdekében az információs rendszerben e betétekre vonatkozó adatokat jogosulatlanul megváltoztatja, akkor a sikkasztással (Btk. 372. §) halmazatban a Btk. 423. § (1) bekezdésének b) pontja szerint minősülő és büntetendő információs rendszer és adat elleni bűntett megállapításának van helye. Az elkövető cselekménye két, egymástól független védett jogi tárgyat sért és a két bűncselekmény nem kapcsolódik szükségszerűen egymáshoz. Mindkét bűncselekmény egyaránt elkövethető a másik nélkül. Ez irányadó lehet más bűncselekmények (például csalás) mellett megvalósult információs rendszer és adat elleni bűncselekmény halmazatának a megítélése körében is.[31]
Egy másik esetben például az elkövető a takarékszövetkezet alkalmazottjaként annak informatikai rendszerében jogosulatlanul végzett műveletekkel az információs rendszerben lévő adatokat jogosulatlanul megváltoztatta, illetve törölte, a költségvetéstől jogosulatlanul igényelt támogatásból származó pénzeszközzel, annak eredete leplezése, titkolása céljából pénzügyi tevékenységet végzett, amikor a pénzösszegek áthelyezése céljából számlát nyitott, a pénzösszegeket különböző számlák között áthelyezte, majd a számlákat megszüntette. A Győri ítélőtábla az elkövetőt költségvetési csalással halmazatban és az információs rendszer vagy adat megsértése miatt vonta felelősségre.[32]
Megállapítandó, hogy a hazai szabályozási környezet megfelelően lefedi a kibertámadások széles körét, a jogalkalmazók számára azonban kihívást jelenthet az új elkövetési módoknak a nyomon követése, továbbá az egyes elkövetési magatartások minősítése okozhat problémát a gyakorlatban. Ezért különösen fontos, hogy számukra is biztosítva legyen a kiberbűnözéssel összefüggő jogi kihívásokat érintő speciális oktatás, amely során megismerik a legújabb informatikai trendeket, elkövetési módokat és naprakész tudásra, ismeretekre tehetnek szert. Örvendetes, hogy erre vonatkozóan már megfigyelhetők európai és hazai törekvések is, például az Európai Jogi Akadémia (Academy of European Law) rendszeresen szervez képzéseket, szemináriumokat kifejezetten az igazságügyi szervek dolgozóinak. Magyarországon az Országos Bírósági Hivatal a kiberbűnözéssel kapcsolatos bírósági hálózat felállításáról döntött, valamint az ügyészség is létrehozta a Számítógépes Bűnözéssel Foglalkozó Országos Ügyészségi Hálózatot. Erre vonatkozó képzések jelentek már meg mind a bíróság, mind az ügyészség rendszerén belül.[33] Fontosnak tartom azt is, hogy az e témakörbe tartozó kutatási eredmények gyorsan beépüljenek az oktatásba, illetve a jövő jogalkalmazói, a joghallgatók már eleve olyan képzésben részesüljenek, amelynek szerves része az új technológiák jogi vetülete.
[1] Ambrus István: Digitalizácia és büntetőjog, Wolters Kluwer, Budapest, 2021.
[2] Blutmann László-Karsai Krisztina-Katona Tibor: Miért nem lehet a vezeték nélküli internet a lopás elkövetési tárgya? Bűnügyi Szemle, 2008/1.
[3] brenner, Susan W: Cybercrime - Criminal Threats From Cyberspace. Praeger, Santa Barbara, CA, 2010.
[4] Buono, Laviero: Updating and Diversifying the Training Offer for EU Legal Practitioners to Meet the Challenges Posed by the New Technologies, ERA Forum, 2017.
[5] Clough, Jonathan: Principles of Cybercrime, Cambridge University Press, Cambridge, 2015.
[6] Custers, Bart-Oerlemans, Jan-Jaap-Pool, Ronald: Laundering the Profits of Ransomware: Money Laundering Methods for Vouchers and Cryptocurrencies, European Journal of Crime, Criminal Law and Criminal Justice, 2020.
[7] Furnell, Steven: Hackers, Viruses and Malicious Software, In: Handbook of Internet Crime (eds.: Jewkes, Yvonne-Yar, Majid), Willan Publishing, London, 2010.
[8] Gelányi Anikó-Csepely-Knorr Tamás: A jogosulatlan wifi használat minősítése, avagy ha nyitva van az ajtó, akkor bemehetek? Infokommunikáció és Jog, 2009/5,201-207.
- 624/625 -
[9] Grabosky, Peter: Cybercrime. Oxford University Press, Oxford, 2016.
[10] Jaquet-Chiffelle, David-Olivier-Loi, Michelle: Ethical and Unethical Hacking, In: The Ethics of Cybersecurity (eds.: Markus, Christen-Bert, Gordjin-Michelle, Loi), The International Library of Ethics, Law and Technology, Vol. 21. Springer, Cham, 2020.
[11] Lajtár István: A kiberbűnözésről, Ügyészek Lapja, 2019/1. http://ugyeszeklapja.hu/?p=774 (2022. március 22-i letöltés).
[12] Molnár Gábor: XLIII. fejezet - Tiltott adatszerzés és az információs rendszer elleni bűncselekmények, In: Magyar büntetőjog - Kommentár a gyakorlat számára (szert: Kónya István), HVG-ORAC Lap- és Könyvkiadó, Budapest, 2016.
[13] Nagy Zoltán András: Bűncselekmények számítógépes környezetben, Ad Librum, Budapest, 2009.
[14] Palmer, Charles C: Ethical Hacking, IBM Systems Journal, 2001/3, 769-780.
[15] Papp Péter: Etikus hacking, Belügyi Szemle, 2002/11-12,41-54.
[16] parti Katalin: Gondolatok a számítástechnikai adatok és rendszerek elleni bűncselekmények tényállásairól, Büntetőjogi Kodifikáció, 2005/2, 35-45.
[17] Parti Katalin-Kiss Tibor: Az informatikai bűnözés, In: Kriminológia (szerk: Borbíró Andrea), Wolters Kluwer, Budapest, 2017.
[18] Poel, Ibo van de: Core Values and Value Conflicts in Cybersecurity: Beyond Privacy Versus Security, In: The Ethics of Cybersecurity (eds.: Christen, Markus-Gordjin, Bert-Loi, Michelle), The International Library of Ethics, Law and Technology, Vol. 21. Springer, Cham, 2020.
[19] Sorbán Kinga: Vírusok és zombik a büntetőjogban - Az információs rendszer és adatok megsértésének büntető anyagi és eljárásjogi kérdései, In Medias Res, 2018/2, 369-386.
[20] Szabó Imre: Informatikai bűncselekmények. In: Az informatikai jog nagy kézikönyve, (szerk. : Dósa Imre), Complex, Budapest, 2008.
[21] Szathmáry Zoltán: A számítástechnikai bűncselekmények és rendszertani elhelyezésük, Jogtudományi Közlöny, 2012/4, 169-178.
[22] Szathmáry Zoltán: Etikus és nem etikus hacking -a kéretlen sérülékenységyizsgálat büntetőjogi kérdései, Magyar Jog, 2020/6, 340-346.
[23] Varga Árpád: Az informatikai bűnözés fogalmi meghatározása, csoportosítása és helye a hazai jogfejlődésben, In Medias Res, 2019/1, 145-167.
[1] BH 1989.184.
[2] BH 1999.145.
[3] Szegedi Ítélőtábla Bf. I. 180/2006/3.
[4] Legfelsőbb Bíróság Bf. II. 74/2008/5.
[5] EBH 2009.2033.I.
[6] BH 2009.264. II.
[7] EBD 2012.B.9.
[8] BH 2017.12.392.
[9] Győri Ítélőtábla Bf.23/2018/10. ■
JEGYZETEK
[1] A szóhasználat és a csoportosítás tekintetében a szakirodalom korántsem egységes, így olvashatunk kiber-, internetes, számítógépes, illetve informatikai bűncselekményekről is. Lásd Grabosky, Peter: Cybercrime, Oxford University Press, Oxford, 2016, 8-9.; Brenner, Susan W.: Cybercrime - Criminal Threats From Cyberspace, Praeger, Santa Barbara, CA, 2010, 39-47.; Nagy Zoltán András: Bűncselekmények számítógépes környezetben, Ad Librum, Budapest, 2009; szabó Imre: Informatikai bűncselekmények, In: Az informatikai jog nagy kézikönyve (szerk.: Dósa Imre), Complex, Budapest, 2008, 547.; Parti Katalin-Kiss Tibor: Az informatikai bűnözés, In: Kriminológia (szerk: Borbíró Andrea), Wolters Kluwer, Budapest, 2017, 491-493.
[2] BH 1989.184.
[3] 1978. évi IV. törvény a Büntető Törvénykönyvről.
[4] Az Európa Tanács Budapesten, 2001. november 23-án kelt Számítástechnikai bűnözésről szóló egyezménye, amelyet a 2004. évi LXXIX. törvénnyel hirdettek ki Magyarországon.
[5] molnár Gábor: XLIII. fejezet - Tiltott adatszerzés és az információs rendszer elleni bűncselekmények, In: Magyar büntetőjog - Kommentár a gyakorlat számára (szert: Kónya István), HVG-ORAC Lap- és Könyvkiadó, Budapest, 2016, 971-972.
[6] 2012. évi C. törvény a Büntető Törvénykönyvről.
[7] Az Európai Parlament és a Tanács 2013/40/EU irányelve (2013. augusztus 12.) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról. HL L 218/8. 2013.08.14.
[8] EBD 2012.B.9.
[9] Sorbán Kinga: Vírusok és zombik a büntetőjogban -Az információs rendszer és adatok megsértésének büntető anyagi és eljárásjogi kérdései, In Medias Res, 2018/2, 372.
[10] Clough, Jonathan: Principles of Cybercrime, Cambridge University Press, Cambridge, 2015, 33.
[11] Blutmann László-Karsai Krisztina-Katona Tibor: Miért nem lehet a vezeték nélküli internet a lopás elkövetési tárgya? Bűnügyi Szemle, 2008/1, 42-49.; Gelányi Anikó-Csepely-Knorr Tamás: A jogosulatlan wifi használat minősítése, avagy ha nyitva van az ajtó, akkor bemehetek? Infokommunikáció és Jog, 2009/5,201-207.
[12] Clough i.m. 37.
[13] Szathmáry Zoltán: A számítástechnikai bűncselekmények és rendszertani elhelyezésük, Jogtudományi Közlöny, 2012/4, 173-174.
[14] Varga Árpád: Az informatikai bűnözés fogalmi meghatározása, csoportosítása és helye a hazai jogfejlődésben, In Medias Res, 2019/1, 163-164.
[15] Parti Katalin: Gondolatok a számítástechnikai adatok és rendszerek elleni bűncselekmények tényállásairól, Büntetőjogi Kodifikáció, 2005/2, 44.
[16] BKK-botrány: fellélegezhet az etikus hacker. https://bit.ly/2RpLWEP (2022. március 22-i letöltés).
[17] Válasz a Társaság a Szabadságjogokért (TASZ) "etikus" hacker ügyében tett állításaira. https://bit.ly/3uRqF5u (2022. március 22-i letöltés).
[18] Ezt a kérdéskört járja részletesen körbe például Poel, Ibo van de: Core Values and Value Conflicts in Cyber security: Beyond Privacy Versus Security, In: The Ethics of Cybersecurity (eds.: Christen, Markus-Gordjin, Bert-Loi, Michelle), The International Library of Ethics, Law and Technology, Vol. 21. Springer, Cham, 2020, 62-64.
[19] Bodnár Zsolt: Törvényt sértett az "etikus hacker", de ha nem jelent veszélyt a társadalomra, a bíróságnak fel kell mentenie, https://bit.ly/3wbtn68 (2022. március 22-i letöltés).
[20] Lásd bővebben az etikus hacking kapcsán: Palmer, Charles C: Ethical hacking, IBM Systems Journal, 2001/3, 770.; Papp Péter: Etikus hacking, Belügyi Szemle, 2002/11-12, 41-54.; Szathmáry Zoltán: Etikus és nem etikus hacking - a kéretlen sérülékenységvizsgálat büntetőjogi kérdései, Magyar Jog, 2020/6, 330-346.; Jaquet-Chiffelle, David-Olivier-Loi, Michelle: Ethical and Unethical Hacking, In: The Ethics of Cybersecurity i.m. 179-204.
[21] Furnell, Steven: Hackers, Viruses and Malicious Software, In: Handbook of Internet Crime (eds.: Jewkes, Yvonne-Yar, Majid), Willan Publishing, London, 2010, 43-45.
[22] A szolgáltatásmegtagadással járó támadás olyan támadási forma, amelynek célja az információs rendszerek, szolgáltatások vagy hálózatok erőforrásainak oly mértékű túlterhelése, hogy elérhetetlenné váljanak, vagy ne tudják ellátni az alapfeladatukat. Az ilyen elektronikus támadást intézők a jogosult felhasználókat akadályozzák a szolgáltatás igénybevételében (például e-mail, banki vagy egyéb fiókokhoz való hozzáférés, vagy a weboldal elérése) -innen a szolgáltatásmegtagadással járó elnevezés is -, amelynek leggyakoribb formája, hogy a webszerver elérését és rendeltetésszerű használatát gátolja a mesterségesen generált és megnövelt adatforgalommal. www.cert-hungary.hu/ddos (2022. március 20-i letöltés).
[23] BH1999.145.
[24] A legnagyobb veszélyt az elmúlt években a zsarolóvírusok (ransomware vagy cryptoware) jelentették, mely kártékony programok úgy működnek, hogy a megfertőzött információs rendszeren tárolt fájlokat, akár a teljes adatállományt letitkosítják, ezáltal a sértett számára elérhetetlenné teszik azokat, majd rendkívül magas, akár milliós nagyságrendű váltságdíjat követelnek a helyreállító, titkosítást feloldó kódért cserébe. A szoftver fizetési határidőt is szabhat, amelynek lejárta után akár végérvényesen elérhetetlenné teszik az adatokat. Az elkövetők kilétének megismerése szinte lehetetlen, mert a váltságdíjat általában a nehezen lenyomozható ún. kriptovalutában - például bitcoinban - kérik, amelynek kifizetése sem garancia arra, hogy a titkosítást feloldják. Lásd erről bővebben Ousters, Bart-Oerlemans, Jan-Jaap-Pool, Ronald: Laundering the Profits of Ransomware: Money Laundering Methods for Vouchers and Cryptocurrencies, European Journal of Crime, Criminal Law and Criminal Justice, 2020, 121-152.
[25] EBH2009.2033.I.
[26] BH2017.12.392.
[27] Ambrus István: Digitalizácia és büntetőjog, Wolters Kluwer, Budapest, 2021, 85.
[28] Legfelsőbb Bíróság Bf. II. 74/2008/5.
[29] Molnár lm. 951.
[30] EBH 2009.2033. IL, BH 2009.264. II.
[31] Szegedi ítélőtábla Bf. I. 180/2006/3.
[32] Győri Ítélőtábla Bf.23/2018/10.
[33] Lásd Buono, Laviero: Updating and Diversifying the Training Offer for EU Legal Practitioners to Meet the Challenges Posed by the New Technologies, ERA Forum, 2017, 1-6.; Lajtár István: A kiberbűnözésről, Ügyészek Lapja, 2019/1, 51.; Kiberbűnözés és a virtuális tér veszélyei - interjú az Internet Világnapja alkalmából. https://bit.ly/3tPV42v (2022. március 20-i letöltés).
Lábjegyzetek:
[1] A szerző PhD főtanácsadó, Kúria; tudományos munkatárs, Társadalomtudományi Kutatóközpont Jogtudományi Intézet; egyetemi adjunktus, Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Üzleti Jog Tanszék. Az írás a szerző álláspontját tartalmazza, az nem értelmezhető az őt foglalkoztató intézmény állásfoglalásaként.
Visszaugrás
