Constituirea unui grup infracţional organizat (art.367 ncp) și fraudă informatică (art. 249 ncp)

Sentinţă penală 1234 din 15.09.2017


La ordine fiind pronunţarea asupra cauzei penale privind pe inculpatul CD şi pe partea civilă Raiffeisen Bank SA, având ca obiect constituirea unui grup infracţional organizat (art.367 NCP) și fraudă informatică (art. 249 NCP) .

Asupra cauzei penale de faţă constată următoarele:

 I. 1. Prin rechizitoriul nr. -D/P/2016 emis la 09.12.2016, înregistrat pe rolul Tribunalului Iaşi la data de 22.12.2016 sub nr. -, s-a dispus trimiterea în judecată, în stare de arest preventiv, a inculpatului CD, cetăţean moldovean, născut în Republica Moldova, domiciliat în Tiraspol, sub acuzaţia săvârşirii infracţiunilor de ”aderare la un grup infracțional organizat” prevăzută şi pedepsită de art. 367 alin. 1 din Cod penal şi ”frauda informatică” prev. şi ped. de art. 249 Cod penal cu aplicarea art.35 alin.1. Cod penal, ambele infracțiuni sunt cu aplicarea art.38 alin.1 Cod penal.

2. Prin actul de sesizare a instanţei s-a reţinut în sarcina inculpatului, în esenţă, faptul că: a) ar fi aderat la un grup infracţional organizat specializat în comiterea de infracțiuni informatice, cu activităţi transfrontaliere, despre care există dovezi că era constituit la data de 09.08.2016,  grupare în cadrul căreia inculpatul ar fi acţionat pe teritoriul României, în mun. Iaşi, în data de 03/04.09.2016, având rolul de a retrage numerarul eliberat prin fraudă informatică de la ATM-ul RYBN0937 al Raiffeisen Bank, asigurând grupării infracţionale beneficiul material al infracţiunilor ce intră în scopul acestuia (acces ilegal la un sistem informatic şi fraudă informatică); b) că, în cadrul grupului infracţional anterior menţionat, ar fi efectuat un număr de 40 de acte materiale repetate de retragere de numerar, în sumă totală de 80.000 lei, de la ATM-ul RYBN0937 al Raiffeisen Bank din mun. Iaşi, în data de 03/04.09.2016, în intervalul orar 00:07-00:14, asigurând astfel beneficiul material rezultat din introducerea şi modificarea, fără drept, de date informatice în sistemul informatic al ATM-ului de către membrii grupării.

3. Prin acelaşi rechizitoriu, s-a dispus clasarea cauzei față de același inculpat CD în ceea ce privește infracțiunea de ”acces ilegal la un sistem informatic” prev. și ped. de art.360 alin.1 și 3 din Cod penal cu aplicarea art.35 alin.1 Cod penal, cu motivația că nu el a săvârșit această infracțiune, din probele administrate în cauză (în special din perchezițiile informatice efectuate și din analiza investigației tehnice efectuate de Raiffeisen Bank) rezultând că accesul neautorizat la sistemele informatice ale băncii (inclusiv la cel ce asigura funcționarea ATM-ului de la Agenția Alexandru cel Bun din Iași) a fost realizat - începând din luna august prin acte repetate, în mod continuu - fără ca inculpatul CD să participe în vreun fel.

 4. În fine, tot prin același rechizitoriu, D.I.I.C.O.T. - Serviciul Teritorial Iaşi a solicitat instanţei, în legătură cu inculpatul CD, menţinerea măsurii arestării preventive și confiscarea bunurilor folosite la săvârșirea infracțiunilor.

* * *

 II. 5.1. Pentru acuzaţiile pentru care a fost trimis în judecată (dar şi pentru o altă infracţiune - cea pentru care, prin rechizitoriu s-a dispus clasarea), în baza dispoziţiilor art. 223 alin.2 Cod proc. penală, prin încheierea penală nr. 198/JDL/05.09.2016 pronunţată de judecătorul de drepturi şi libertăţi din cadrul Tribunalului Iaşi în dosarul nr. 5244/99/2016 (menţinută şi rămasă definitivă prin încheierea nr. 142/CDL/09.09.2016 a Curţii de Apel Iaşi), s-a dispus arestarea preventivă a inculpatului CD, pentru o durată de 30 de zile, începând cu data 05.09.2016, până la data de 04.10.2016, inclusiv, fiind emis mandatul de arestare preventivă nr. 67/UP/05.09.2016.

Ulterior, în faza de urmărire penală, s-a dispus succesiv prelungirea măsurii arestării preventive a inculpatului CD, după cum urmează: a) prin încheierea penală nr. 217/JDL din data de 29.09.2016, pronunţată de judecătorul de drepturi şi libertăţi din cadrul Tribunalului Iaşi în dosarul nr. -, s-a dispus prelungirea măsurii arestării preventive a aceluiaşi inculpat pentru o durată de 30 de zile, de la 05.10.2016, până la data de 03.11.2016, inclusiv; b) prin încheierea penală nr. 236/JDL din data de 28.10.2016 pronunţată de judecătorul de drepturi şi libertăţi din cadrul Tribunalului Iaşi în dosarul nr. -  (rămasă definitivă), s-a dispus prelungirea măsurii arestării preventive a aceluiaşi inculpat pentru o durată de 30 de zile, de la 04.11.2016, până la data de 03.12.2016, inclusiv; c) prin încheierea penală nr. 261/JDL din data de 29.11.2016 pronunţată de judecătorul de drepturi şi libertăţi din cadrul Tribunalului Iaşi în dosarul nr. 7643/99/2016 (rămasă definitivă), s-a dispus prelungirea măsurii arestării preventive a aceluiaşi inculpat pentru o durată de 30 de zile, de la 04.12.2016, până la 02.01.2017, inclusiv.

5.2. După trimiterea în judecată şi înregistrarea dosarului pe rolul Tribunalului Iaşi, prin încheierea din data de 23.12.2016 pronunţată în procedura de cameră preliminară în dosarul asociat nr. -/a1.1, judecătorul de cameră preliminară a constatat legalitatea şi temeinicia măsurii arestării preventive a inculpatului, dispunând menţinerea acesteia. Ulterior, măsura preventivă a fost menținută în continuare de judecătorul de cameră preliminară prin încheierile din 18.01.2017 și, respectiv, din 09.02.2017 (prin care s-a finalizat procedura de cameră preliminară).

 5.3. După începerea judecăţii, în mod succesiv, prin încheieri ale instanței de judecată (ultima dată la 19.07.2016), s-a verificat şi constatat legalitatea şi temeinicia măsurii arestării preventive luată faţă de inculpatul CD, dispunându-se menţinerea acestei măsuri.

* * *

III. 6. Prin încheierea nr. 15/CP/09.02.2017 (menținută și rămasă definitivă prin încheierea nr. 18/CC/02.03.2017 pronunțată de judecătorul de cameră preliminară din cadrul Curții de Apel Iași), pronunţată în dosarul asociat nr. -/a1, judecătorul de cameră preliminară din cadrul Tribunalului Iași (după ce a constatat că Parchetul a clarificat aspectele invocate din oficiu şi a îndreptat eroarea materială strecurată în cuprinsul procesului-verbal din 15.11.2016, constând ca rămasă fără obiect excepţia invocată din oficiu, precum și după ce au fost respinse celelalte excepții și cereri invocate de inculpat) a constatat competenţa instanţei, legalitatea sesizării tribunalului prin rechizitoriul nr. -/D/P/2016 emis la 09.12.2016 de Parchetul de pe lângă Î.C.C.J. - D.I.I.C.O.T. - Serviciul Teritorial Iaşi, precum şi legalitatea administrării probelor şi a efectuării actelor de urmărire penală, dispunând începerea judecăţii.

* * *

IV. 7. După învestirea instanţei de judecată cu soluţionarea în fond a cauzei, în cursul cercetării judecătoreşti au fost administrate următoarele mijloace de probă:

●→ au fost vizualizate nemijlocit, în şedinţă publică, la termenul din 13 aprilie 2017 (f. 96-01 –vol. I dosar tribunal) imaginile vizualizate surprinse de cele trei camere de supraveghere din exteriorul şi interiorul agenţiei bancare, în care apare inculpatul (n.n.: acesta s-a recunoscut în imagini în faţa instanţei) în faţa unui bancomat, preluând repetat bani eliberaţi de ATM, pe care i-a introdus într-un rucsac, în cea mai mare parte a acestui interval de timp (de cca. 12 minute - de la intrarea în agenţie până la momentul în care se pregătea să iasă) având aproape permanent un telefon ţinut la ureche sau într-o mână, la care se pare că vorbea sau prin care primea informaţii;

● → la termenul din 10 mai 2017, în ședință publică, s-a accesat şi verificat conţinutului CD-urilor pe care au fost stocate listingurile (datele de trafic) aferente numerelor de telefon nr. - (la care face referire procesul-verbal de la fila 244 vol.I d.u.p.) şi, respectiv, nr. - (la care face referire procesul-verbal de la fila 244 vol.I d.u.p.), în prezența lucrătorului de poliție care a întocmit cele două procese-verbale și care a oferit oral explicațiile necesare solicitate, după care s-a procedat la listarea paginilor relevante (40 şi, respectiv, 4 pagini), care au fost ataşate la dosar. De asemenea, aceste activităţi cu caracter tehnic au fost urmate de vizualizarea şi compararea datelor de trafic transmise de Orange România, stocate în format electronic (şi listate), cu cele consemnate în cele două procese-verbale încheiate la 25.11.2016, cu evidențierea neconcordanțelor identificate (f.174-201 vol.I și f.1-6 vol.II – dosar tribunal).

● → în vederea clarificării unora dintre neconcordanțele identificate și a lămurii unor aspecte cu caracter tehnic referitoare la datele de trafic (respectiv listingurile aferente numerelor de telefon nr. - şi nr. -), comunicate în faza de urmărire penală, s-au solicitat succesiv (f. 70-71 și f. 164 - vol. II dosar tribunal) relații scrise de la furnizorul de reţele publice de comunicaţii electronice SC Orange România SA, care a răspuns prin adresele din datele de 06.06.2017 (f. 133-134- vol. II dosar tribunal) și 21.06.2017 (f. 198 – vol. II dosar tribunal);

● → la termenul din 11 iulie 2017 (f.28-33 – vol. III dosar tribunal), în ședință publică, s-a examinat și vizualizat conținutul suporturilor optice (CD-urilor) pe care au fost stocate datele relevante obținute în urma perchezițiilor informatice efectuate în faza de urmărire penală, precum și conținutul CD-ului reprezentând ”clona” telefonului mobil marca Apple Ipfone (informațiilor de pe acesta) ridicat de la inculpat, constându-se că datele și imaginile relevante în cauză sunt identice (concordă) cu cele la care se fac referiri în procesele-verbale întocmite în faza de urmărire penală;

● → au fost audiați martorii VL (f. 105- 106 - vol. I dosar tribunal), HI (f. 22-23 - vol. II dosar tribunal), IS (f. 24-25 - vol. II), TR (f. 26-27 - vol. II), IB (f. 111-112 - vol. II), IA (f. 195-196 vol. II), NC (f.197 – vol. II) și AT (f. 66-67 – vol. III - dosar tribunal);

● → inculpatul CD a depus mai multe înscrisuri în circumstanțiere, precum și planșe foto pentru a proba aspecte referitoare la profesia și ocupația sa (f. 107-138 vol. I și f.56-59 vol. III);

●→ la solicitarea instanței, DIICOT – Serviciul Teritorial Iaşi a înaintat la dosarul cauzei telefoanele (trei) și cartelele SIM ridicate de la inculpat (f. 172 -173 – vol. I dosar tribunal), precum și CD-ul conținând ”clona” telefonului mobil Apple Ipfone ridicat de la inculpat însoțit de un proces-verbal explicativ din care rezultă ce tipuri de informații au fost stocate  pe CD (f.182-183 și 184 – vol. II dosar tribunal);

●→ tot la solicitarea instanței, dar ca urmare a cererii inculpatului, DIICOT – Serviciul Teritorial Iaşi a comunicat (f. 86 – vol. II) faptul că, ”în dosarul disjuns, se efectuează acte de urmărire penală in rem (cu privire la fapte) în cooperarea cu autoritățile judiciare și polițienești din mai multe state, conturându-se până la momentul răspunsului (23.05.2017) un  cerc de persoane implicate în infracțiunile ce fac obiectul urmării penale, dar care nu au fost puse încă sub acuzare, administrându-se în continuare probe în acest sens”.

8. De asemenea, s-a încercat audierea inculpatului CD (la termenul din 22.03.2017 - f.89), care s-a prevalat de dreptul la tăcere, menținându-și această poziție pe tot parcursul judecății.

*  * *

 V. Analizând actele şi lucrările dosarului, ţinând seama de mijloacele de probă administrate pe tot parcursul procesului penal, instanţa reţine următoarele:

A. În fapt:

 9. În esență, instanța reține că probele administrate nemijlocit în faza de judecată nu au fost de natură să modifice aspectele factuale esențiale descrise în rechizitoriu, ci din contră să le confirme și/sau să le clarifice. De aceea, instanța urmează să rețină în continuare, în linii mari, aceeași situație de fapt cu cea descrisă în rechizitoriu, cu unele nuanțări.

10.  Aspecte generale referitoare la gruparea infracțională organizată specializată în comiterea de infracțiuni informatice, la structurarea și la scopul acesteia, precum și la activitățile infracționale comise :

Din mijloacele de probă administrate în cauză, în ambele faze procesuale, rezultă, în esență, că inculpatul CD a făcut parte dintr-o grupare infracțională organizată (mai exact a aderat la ea și sprijinit-o), ce a acționat în perioada 09.08.2016 – 04.09.2016 pe teritoriul României cu scopul compromiterii securității sistemelor informatice ale băncii Raiffeisen Bank în vederea retragerii, în mod fraudulos, de numerar de la un număr de 32 bancomate din mun. Iași, mun. București, mun. Suceava, mun. Timișoara, mun. Constanta, mun. Galați, mun. Ploiești, orașul Orăștie și orașul Crevedia.

În concret, instanța reține că analiza mijloacelor de probă administrate în cauză relevă faptul că gruparea infracțională a fost alcătuită dintr-o ramură cu abilități informatice având rolul de a identifica și exploata vulnerabilitățile sistemelor informatice și de securitate ale unor entități bancare. Membrii acestei ramuri (neidentificați încă) au îndeplinit rolul de a compromite sistemele informatice ale băncilor prin introducerea de malware, iar, ulterior, pentru a asigura deținerea controlului informatic ale unor sisteme bancare informatice centrale. Computerele centrale care au reprezentat ținta finală a acțiunilor de compromitere informatică aveau rolul de a asigura controlul și comanda ATM urilor bancare. Prin aceasta, membrii grupării infracționale specializați în acțiuni informatice au dobândit acces și control asupra ATM-urilor și au avut posibilitatea să determine, prin mijloace de comunicare de la distanță, online - introducând date informatice în sistemul informatic bancar -,  eliberarea de numerar de către automatele bancare, la un anumit moment, dar fără ca aceste operațiuni să reprezinte activități financiare reale, efectuate de către utilizatori de carduri bancare la ATM-urile aflate sub controlul informatic al membrilor grupării.

Cea de-a doua ramură a grupării infracționale a avut rolul de a asigura preluarea numerarului eliberat prin fraudă informatică de ATM-uri compromise și controlate de la distanță, asigurând practic produsul infracțiunii. La rândul lor, acești membrii au fost coordonați telefonic, de alți participați (de asemenea, încă neidentificați), prin aplicațiile informatice Viber instalate pe telefoanele mobile. Probele administrate în cauză conturează faptul că o parte din membrii acestui compartiment (ramuri) a grupării infracționale s-ar fi reunit pe teritoriul Republicii Moldova și au pătruns pe teritoriul României în perioada 02.09.2016 - 03.09.2016.

Pătrunderea pe teritoriul național s-a făcut, de regulă, prin folosirea unor mijloace de transport de ocazie sau de transport în comun, în mod individual pentru a nu exista dovezi cu privire la caracterul organizat al acțiunilor infracționale.

Astfel, probele administrate în cauză au dovedit că la fiecare ATM al Raiffeisen Bank la care au avut loc retrageri de numerar în urma fraudei informatice au acționat, de regulă, câte doi făptuitori (toți bărbați), majoritatea covârșitoare a acestora fiind echipați în mod similar : cu șapcă sau hanorac cu glugă, cu ochelari, având asupra lor un rucsac sau o geantă și fiind surprinși de camerele de supraveghere montate pe bancomate vorbind în fața ATM-urilor la telefoane mobile avute în mână sau având dispozitive hands-free.

 Retragerile financiare neautorizate au avut loc simultan la un număr de 32 de ATM-uri bancare, în noaptea de 03/04.09.2016 în intervalul orar preponderent 17:38 – 19:44 si 21:50 – 00:29, iar majoritatea persoanelor care au preluat numerarul eliberat de bancomate erau – așa cum s-a arătat anterior - echipate cu rucsacuri și articole de vestimentație care să le asigure anonimatul (șepci și ochelari de soare). Toate aceste persoane care au preluat numerarul eliberat de bancomate au fost coordonate - fie de la centrul de comandă al grupării, fie prin alți membrii ai grupului - cu privire la locațiile unde se află ATM-urile bancare ce urmau a fi folosite pentru a elibera folosul infracțional al fraudei informatice, confirmând participanților care îi coordonau prezența la ATM și păstrând legătura permanentă cu aceștia prin aplicațiile de comunicare prin internet (de tipul Viber), pe tot parcursul operațiunilor frauduloase de eliberare de numerar de către ATM. 

Inculpatul CD, persoană cu dublă cetățenie moldovenească și rusă, cu domiciliul în orașul Tirapol din Transnistria (regiune din Republica Moldova, aflată însă sub controlul unor forțe separatiste), a avut rolul de a prelua numerarul eliberat de la un ATM-ul din mun. Iași situat în incinta unei agenții bancare de pe bdul Alexandru cel Bun, nr 19, fiind depistat în momentul în care se pregătea să iasă din sediul agenției bancare având asupra sa, într-un rucsac, suma de 80.000 lei (aproape 17.800 de euro la cursul BNR din 04.09.2016), pe care îi eliberase bancomatul compromis de alți membri ai grupării infracționale.

*  *  *

11. Cu privire la compromiterea informatică a stațiilor de lucru ale Raiffeisen Bank

11.1. În data de 09.08.2016, la ora 14:36:25, au fost primite pe adresele de e-mail [email protected] si [email protected] ale Raiffeisen Bank un e-mail cu subiectul ”Challenges for European banks” având ca expeditor, aparent, contul de e-mail [email protected].

● Mesajul a avut următorul conținut :

” Very low interest rates, if sustained over a long period of time, can have cumulative effects on financial intermediation and stability. However, the euro area experience so far has been clearly positive, Executive Board Member Benoit C?ure tells the Yale Financial Crisis Forum.

General public enquiries

For information about the ECB’s activities, please contact us by e-mail or phone

from Monday to Friday between 8:30 and 17:30 CET.

[email protected]&n bsp;

+49 69 1344 1300” 

● Textul tradus al conținutului mesajului din email este următorul :

”Ratele foarte scăzute ale dobanzii, în cazul în care sunt sustinute pe o perioadă lunga de timp, pot avea efecte cumulative asupra intermedierii financiare si stabilitatii. Cu toate acestea, experiența din zona euro până în prezent a fost în mod clar pozitivă, Membru in Comitetul  Benoit C? Ure spune forumul de criza financiara Yale .

Intrebari generale ale publicului :

Pentru informatii despre activitatile ECB , va rugam sa ne contactati prin email sau telefon de luni pana vineri intre orele 8:30 si 17:30 CET

[email protected]&n bsp;

+49 69 1344 1300 ”.

● Datele de trafic (identificare) ale acestei corespondențe prin emailul au fost următoarele :

Expeditor (de la ) [email protected] 

Destinatar (catre) [email protected] 

ID Mesaj (ID Mesaj) [email protected] om

Adresa returnare (plicul de la) [email protected] 

Subiect email (Subiect) Provocari pentru bancile europene

Data si ora hand a fost expediat emailul (Data)marti, 9 Aug 2016 14:36:25 +0400

 Din analiza probelor administrate în cauză (în special investigația informatică proprie a Raiffeisen Bank coroborată cu perchezițiile informatice efectuate în cauză) rezultă că e-mailul în discuție a fost expediat de către membrii grupării folosind aplicația informatică Postfix (aplicație informatică ce permite anonimizarea si modificarea datelor privind expeditorul), de pe serverul mail.peacedatamap.com găzduit la adresa IP 88.212.208.115 (localizat în Rusia). Mesajul electronic avea falsificată adresa expeditorului, sub forma “ecb.europa.eu”.

* * *

11.2. În data de 09.08.2016, la ora 14:45, de pe stația de lucru cu numele de utilizator patrinoiu, identificată în rețeaua Raiffeisen ca fiind “MRLPATRG1”și având alocată adresa IP - a fost accesat emailul menționat mai sus și a fost deschis fișierul atașat, ce conținea în denumire textul “rules for European banks”. Acest fișier avea la vedere extensia .doc, dar în realitate era un fișier ascuns de tipul RTF (Rich Text Format).

În urma accesării acestui fișier sistemul informatic a generat un fișier temporar reprezentat de fișierul ~$e rules for European banks.doc, având rolul de prelucrare a modificărilor realizate de utilizatorul aplicației Word de pe sistemul informatic gazdă. (În mod automat, toate documentele realizate în cadrul unui sistem informatic păstrează denumirea utilizatorului care le creează sau prelucrează un anumit document în format Word. Acest lucru se efectuează în cadrul setărilor privind numele de autor pentru programul informatic Microsoft Word ). Având în vedere calea în care a fost scris și executat fișierul rules for European banks.doc acesta a fost deschis de pe un server de email configurat prin IBM Notes/Domino. Drept urmare, acest fișier a fost deschis în cadrul unei sesiuni de navigare pe email. 

Fișierul atașat emailului troian conținea un program informatic de tip malware , parte a aplicației cunoscute cu denumirea Cobalt Strike.

Această aplicație exploatează vulnerabilități ale programelor Microsoft Office. Malware-ul functionează prin facilitarea instalării pe sistemele informatice țintă a unei aplicații cu multiple facilități, precum colectarea de date privind sistemul de operare, keylogging (capturarea si înregistrarea tuturor caracterelor tastate), obținerea de control de la distanta a sistemelor informatice (remote access). Pentru a rămâne nedetectată de sistemul de securitate IDS  (Intrusion Detection Systems), aplicația a creat canale ascunse de comunicare prin porturile de conectare  folosind protocoalele  HTTP, HTTPS și DNS pentru a transmite date de la și către centrul de comandă respectiv serverele folosite de membrii grupării infracționale care controlau aplicația malware. Avantajul major oferit de Cobalt Strike a constat în aceea că rulează doar în memoria volatilă a unui sistem informatic, nelăsând urme informatice  privind conținutul aplicației și activitatea desfășurată. De asemenea, pentru a nu putea fi detectat de sistemele de protecție ale computerului în fața unor astfel de agresiuni informatice (IDS) virusul Cobalt Strike este configurat să își modifice permanent semnătura electronică (marker specific al unei aplicații) la fiecare rulare.

În urma analizei procesului care a rulat registrul cu functia “run_shell” s-a stabilit că un modul al aplicatiei Cobalt Strike s-a conectat și a descărcat date informatice de la computerul atacator cu  adresa IP 23.152.0.210, folosind comanda http://23.152.0.210:443/aQVPh. Această comandă a fost executată prin intermediul browserului de internet Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0).

Probele digitale administrate au relevat faptul că pe stația de lucru cu numele “MRLPATRG1” făptuitorii au instalat și rulat aplicația cu numele jusched.exe, aplicație care nu a fost detectată de sistemul de protecție antivirus ca fiind o aplicație malware.

Conform datelor existente în memoria dump  a acestei stații de lucru ce a reprezentat poarta de acces în rețeaua informatică a Raiffeisen Bank,  fișierul mai sus menționat era stocat pe calea “C:\Program Files\Common Files\Java\Java Update\”. Prin rularea aplicației informatice mai sus menționate s-a stabilit că fișierul jusched.exe era un program menit să activeze functia run_shell din registrul  cu numele “crss.dll” (la 5 minute după pornirea computerului și apoi la fiecare 183 ore). În această aplicație era un registru cu o funcție specifică, respectiv repetarea acesteia de 12276 ori la fiecare 183 ore.

Membrii grupării, prin intermediul procesului care rulează registrul cu funcția “run_shell” (modul al aplicației Cobalt Strike), s-au conectat si descărcat de la adresa IP 94.140.120.179 folosind comanda http://94.140.120.179:443/IocZ executată prin intermediul browserului de internet Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; BOIE9;ENUSMSE). De asemenea s-a stabilit că prin rularea fișierului jusched.exe au fost identificate module ale aplicatiei Cobalt Strike, module ce permit executarea unor comenzi primite de la serverul de comanda si control respectiv de la adresa IP 94.140.120.179.

Astfel, la data de 09.08.2016, ora 14:54, atacatorii s-au autentificat în sistemul informatic  Raiffeisen Bank folosindu-se numele de rețea MRLPATRG1. Această autentificare  a primit privilegii speciale care permit controlul total al sistemului informatic țintă. Procesele de conectare și setare privilegiilor ( drepturilor) s-au repetat și în data de 09.08.2016 ora 14:57:40.

La data de  09.08.2016, ora 15:03:46, pe sistemul informatic MRLPATRG1 a fost  activat serviciul denumit “Secondary Logon Service” .

(Serviciul Windows secondary logon permite administratorilor să se autentifice în sistem cu un cont ce nu are privilegii de administrator, prin intermediul rulării unor operațiuni specifice de administrare ale unui sistem informatic. Astfel, utilizatorului îi trebuie două conturi de utilizator: unul cu privilegii de bază și un cont de administrare acestea conferind utilizatorului drepturi de a efectua modificări în sistem diferențiate, limitate la anumite aplicații, servicii informatice sau setări de sistem.  Deși activarea serviciului “a doua autentificare” este făcută pentru administratorii de sistem, poate fi folosită de către orice utilizator ce are acces la conturi multiple pentru a porni programe sub diferite conturi fără a fi necesară delogare de pe contul inițial.)

Practic, în timp ce utilizatorul legitim al stației de lucru MRLPATRG1 folosea acest sistem informatic, făptuitorii rulau pe același sistem informatic, în mod ascuns, în background, aplicații malițioase nedetectabile de către utilizatorul legitim.

În urma autentificării la stația de lucru CRLPATRG, prin  intermediul aplicației Secondary Logon Service, la ora 15:03:46, utilizatorul atacator autentificat prin Secondary Logon Service a primit privilegiile “SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege.”

Acest fapt i-a permis autorului atacului informatic ca, la ora 15:04:17 și, respectiv, la ora 15:05:04, folosind credențialele de acces (parolele) utilizatorului admin_rba, controlând computerul cu numele CRLPATRG din rețeaua informatică bancară, să încerce să se autentificare pe sistemul informatic cu numele de rețea c026vicog.RBRO.RBG.CC.

Contul admin_rba avea drepturi locale de acces în toate domeniile computerelor, crearea sa fiind stabilită de politicile de securitate ale grupului useri din rețeaua Raiffeisen Bank. Acesta tip de creare de cont, la momentul realizării lui de către administratorii legitimi de sistem, a generat fișierul cu denumirea Groups.xml în directorul \\SYSVOL, fișier ce conținea, în format criptat, parola de autentificare a acestui utilizator cu acces în toate domeniile rețelei informatice a Raiffeisen Bank. Criptarea acestui fișier fusese realizată folosindu-se o cheie oferită de producător, respectiv compania Microsoft. În condițiile în care compania Microsoft făcuse public, la un moment dat, codurile necesare pentru decriptarea datelor de tipul celor salvate în fișierul Groups.xml, autorii atacului informatic au reușit decriptarea datelor din acest fișier, date pe care le-au folosit mai departe pentru utilizarea în scop infracțional a contului cu drept de administrator în rețeaua informatică bancară.

Astfel, prin conectarea din data de 09.08.2016, la ora 15:04:17 și la ora 15:05:04, făptuitorii au folosit credențialele de acces ale utilizatorului admin_rba, de pe calculatorul CRLPATRG și s-au conectat la computerul Raiffeisen Bank cu numele de rețea  c026vicog.RBRO.RBG.CC.

 Urmare a acestei conexiuni, atacatorii au creat un serviciu denumit ebb9665, serviciu ce a permis rularea aplicației informatice 419ecf1.exe prin intermediul fișierului executabil rundll32.exe.

 Rularea acestor aplicații informatice au permis stabilirea unei conexiuni către adresa IP  23.152.0.210 (alocată unui utilizator din S.U.A.) de pe computerul cu numele c026vicog.RBRO.RBG.CC din rețeaua Raiffeisen Bank, conexiune stabilită în data de 09 august 2016, la ora 15:21:59.

Din data de 09.08.2016, în intervalul 15:22:20 – 16:05:22, folosind credențialele de acces ale utilizatorului admin_rba, de pe calculatorul CRLPATRG, făptuitorii au încercat autentificarea pe un număr de 5420 de sisteme informatice din rețeaua informatică bancară (sisteme ce au legătură cu rețeaua informatică aparținând Raiffeisen) în mod similar acțiunilor descrise mai sus.

Dintre aceste computere, au fost identificate 21 de sisteme informatice la care autorii atacului informatic au reușit conectarea neautorizată. Pe aceste sisteme informatice, agresorii informatici au efectuat activități de creare/copiere și rulare de aplicații informatice parți componente ale modulului Cobalt Strike. Sistemele informatice care au fost infectate au fost identificate în rețeaua Raiffeisen ca având adresele  IP: -

Folosindu-se de sistemele informatice infectate cu modulul Cobalt Strike atacatorii au reușit să se conecteze la sistemele informatice responsabile de controlul bancomatelor, respectiv la sistemele informatice cu numele de rețea C026N11 (adresa IP -) și C026ATM3 (adresa IP -).

Pe acestea autorii au copiat și instalat în directorul «\TEMP » fișierele executabile crss.exe, d2.exe, d2sleep.exe, sdel.exe, sdelete.exe, wr.exe, xtl.exe.

Dintre acestea, fișierul sdelete.exe are semnătura digitală a  “Microsoft Corporation” și este parte din suita “Sysinternals”, funcția acestuia fiind să înlocuiască prin suprascriere fișierele țintă pentru a preveni recuperarea datelor din fișier.

Fișierul wr.exe este un program care suprascrie MBR-ul discului (Master Boot Record – partiție a hard diskului care ține o evidență, un opis ale tuturor fișierelor de pe HDD). Consecința executării programului o reprezintă căderea (blocarea) sistemului de operare, deoarece nu mai sunt identificate locațiile fișierelor necesare rulării sistemului. Programul a fost folosit pentru a corupe funcționalitatea serverului controler care administrează funcționarea rețelei de ATM-uri bancare.

Fișierul d2.exe este un program care folosește funcțiile standard pentru interfața XFS prin XFS Manager (extensii pentru servicii financiare). Este un program care, la comanda din rețeaua internă a băncii, comandă distribuirea de numerar din ATM uri. Programul permite utilizatorului să folosească funcția XFS API pentru a se conecta la un anumit bancomat și să trimită comenzi de golire a casetelor de bani.

 Analiza fișierelor menționate a arătat că acestea aveau funcții dedicate pentru a executa 4 operațiuni :

• funcția „info” – controlerul primește informații despre sistem-ul de  ATM uri, de exemplu despre tipuri de sloturi (casete de bani), status, tipul de monedă, valoarea nominală a bancnotelor din fiecare casetă,  numărul de bancnote 

• funcția „disp” – trimite comenzi bancomatului de a elibera bancnote cu pauză specificată, presetată.

• funcția „sht” – comandă deschiderea declanșatorului de eliberare de numerar, precum și închiderea acestuia după un interval de 3 secunde.

• funcția „retr” – retractează bancnotele ce nu au fost ridicate de utilizatorul ATM-ului. Elementele retractate vor fi mutate la o unitate de retragere de numerar (o casetă de stocare a bancnotelor diferită de cele din care au fost eliberate inițial, fără a le mai diferenția în funcție de valoarea nominală a bancnotelor). După ce bancnotele sunt retrase din fanta de eliberare declanșatorul este închis automat.

Serverele tip controler sunt conectate permanent cu sistemele de operare ale bancomatelor, făcând schimb de informații privind ora exactă, actualizări, tranzacții financiare din conturile clienților etc. Practic, în cazul unei retrageri de numerar de la bancomat, atunci când titularul cardului solicita retragerea din cont a unei sume de bani, ATM-ul transmite o solicitare către controler, care, la rândul lui, face o interogare în contul titularului pentru a verifica soldul disponibil, iar în cazul în care suma solicitată pentru a fi retrasă la bancomat este disponibilă în contul clientului, efectuează operațiunea financiară din contul clientului și apoi trimite comanda bancomatului pentru a elibera suma respectivă. Concret, controlerul are dreptul de a comanda bancomatului să elibereze numerar.

După obținerea accesului la controlerul de domeniu al bancomatului, făptuitorii s-au conectat la ATM-uri, prin aplicația de Remote Desktop Protocol, și au descărcat fișierele descărcate din serverul de tip controler în sistemele informatice ale ATM-urilor, care mai departe au fost lansate folosind unul dintre conturile de administrator de cont compromise din rețeaua de computere a băncii. Fișierelor instalate de făptuitori pe sistemele informatice ale ATM-urilor au fost folosite pentru a rula comenzile date de aceștia și a determina  bancomatul  să distribuie bani.

Ulterior încheierii atacurilor informatice, aceste aplicații au fost îndepărtate din regiștrii  bancomatelor, aceste fiind repornite. Totodată,  după desfășurarea activităților infracționale, autorii au suprascris MBR-ul controlerului de domeniu pentru a dezactiva serverele interne ale băncii și a îndepărta urmele digitale ale pașilor informatici efectuați.

Astfel, din probele administrate a rezultat că, în cursul lunii august 2016, membrii grupării infracționale au dobândit controlul asupra stației de lucru din cadrul sistemului informatic al Raiffeisen Bank de tipul controler care administrează informatic și comandă funcțional operațiunile executate de ATM-uri.

* * *

12.Retragerile de numerar în urma fraudei informatice (preluarea numerarului eliberat) :

12.1. După ce, în cursul lunii august 2016, gruparea infracțională, prin intermediul ramurii cu abilități informatice, a dobândit controlul asupra stației de lucru din cadrul sistemului informatic al Raiffeisen Bank de tipul controler care administrează informatic și comandă funcțional operațiunile executate de ATM-uri, centrul de comandă al acestei grupări (compus din persoane încă neidentificate) a pregătit și organizat activitățile cu caracter infracțional din data de 03/04.09.2017, în cadrul cărora sistemele informatice ale mai multor bancomate ale acestei bănci de pe teritoriul României au fost accesate ilegal de la distanță și – prin introducerea și modificarea de date informatice - au fost determinate să elibereze fraudulos sume mari de bani în numerar, ce urmau să fie preluate de alți membri ai grupării.

 În acest sens, datele cauzei sugerează că a avut loc o activitate de recrutare a membrilor ramurii grupării infracționale ce urma să aibă rolul de a asigura preluarea numerarului eliberat prin fraudă informatică de ATM-urile compromise și controlate de la distanță, membri ce urmau să fie coordonați – prin sisteme de comunicare la distanță care să poată face cât mai puțin probabilă identificarea altor persoane (în cazul depistării unuia) -  de alți participanți aflați în conexiune directă cu centrul de comandă al grupării. Modul concret în care s-a făcut recrutarea nu a putut fi însă probat, după cum nu au putut fi încă identificați recrutorii, cel puțin în această cauză (în acest sens, instanța notează faptul că, în prezent, există o investigație penală în acest sens, într-o cauză penală disjunsă, în vederea identificării celorlalți participanți). Cu toate acestea, probele administrate în cauză permit indirect tragerea concluziei rezonabile că a existat o astfel de activitate de recrutare, persoanele recrutate fiind persoane interesate să obțină câștiguri bănești mari rapid.

Printre persoanele recrutate în acest scop s-a aflat și inculpatul CD, cetăţean al Republicii Moldova, având totodată și cetățenie rusă, căsătorit, tatăl a trei copii (din care doi minori), studii medii tehnice (absolvent de liceu), întreprinzător privat (în domeniul recondiționării ambarcațiunilor – potrivit propriilor susțineri și a fotografiilor depuse la dosar), administrator al SC ”Tiras-Compozit” SRL, fără antecedente penale în România. Inculpatul locuiește în orașul Tiraspol din Transnistria, regiune din Republica Moldova, aflată sub controlul unor forțe separatiste, organizate sub denumirea de așa-zisa Republică Moldovenească Nistreană, entitate nerecunoscută nici de autoritățile moldovene, nici de cele române și nici pe plan internațional.

În mod practic, așa cum se va detalia în continuare, activitatea infracțională a fost planificată, organizată și pusă în aplicare în așa fel încât să nu poată fi identificați ceilalți membri ai grupării, în cazul depistării unui membru al grupării fie în timp ce prelua numerarul eliberat fraudulos de ATM-ul controlat de la distanță, fie imediat după aceea (cum a fost cazul inculpatului CD). În acest sens, probele administrate în cauză, interpretate coroborat, relevă că membrii grupării ce aveau rolul preluării numerarului de la bancomate, pe de o parte, în principiu nu îi cunoșteau pe ce-i care îi coordonau de la distanță și/sau care le transmiteau online datele necesare identificării locației bancomatului ce urma a fi compromis, iar, pe de altă parte, că aveau asupra lor doar bunurile strict necesare, iar telefoanele pe care le utilizau (pentru a ține legătura cu participanții care îi coordonau) erau telefoane dedicate activității infracționale, neutilizate anterior și în care nu erau memorate alte contacte. În plus, aplicațiile informatice de tipul Viber prin intermediul cărora comunicau, fuseseră instalate înainte de a intra în țară, prin intermediul altor cartele telefonice decât cele prin intermediul cărora s-a realizat conectarea la internet în data de 03.09.2016.

12.2. Probele administrate în cauză conturează faptul că, în datele de 02 și 03.09.2016, mai mulți membri ai grupării infracționale, având rolul de a asigura intrarea în posesia sumelor de bani eliberate de ATM-urile Raiffeisen Bank ce urmau a fi compromise informatic, au pătruns pe teritoriul României în mod individual, folosind mijloace de transport ocazionale. Printre aceștia s-a aflat și inculpatul CD.

De asemenea, analiza imaginilor surprinse de camerele de supraveghere amplasate pe bancomatele ce au fost compromise sau în apropierea acestora, coroborate cu procesele-verbale de investigații, relevă faptul că toți acești membri ai grupării infracționale au fost organizați, având asupra lor, pe de o parte, rucsacuri (genți) și articole de vestimentație (șapcă, pălărie, ochelari de soare) care să le asigure protecția fizionomiei în condițiile în care ATM-urile bancare au camere de înregistrare de imagini în apropierea lor, iar, pe de altă parte, terminale GSM (telefoane mobile cu sau fără căști hands-free) care să le asigure comunicarea permanentă cu coordonatorii și/sau autorii fraudelor informatice prin intermediul aplicațiilor de date cum ar fi Viber.

Regruparea acestora s-a făcut pe teritoriul României cel mai probabil după ce acești făptuitori au ajuns în orașele în care erau amplasate ATM-urile aflate în conexiune funcțională cu stațiile de lucru tip controler ale Raiffeisen Bank și ale căror control era deja dobândit de atacatorii informatici.

Astfel, făptuitorii care aveau rolul de a asigura încasarea banilor rezultați în urma fraudei informatice s-au aflat, în seara și noaptea de 03/04.09.2016, pe teritoriile mun. Iași, Suceava, Galați, Constanța, București, Ploiești, Pitești și Timișoara, precum și a orașelor Crevedia și Orăștie. De regulă, aceștia au acționat în grupuri de câte cel puțin două persoane, din care una dintre ele, folosind un terminal GSM cu trafic de date, ținea în permanență legătura cu alți membrii ai grupării infracționale, care le indicau ATM-urile la care să se deplaseze și îi ghidau în acest sens (respectiv ATM-urile compromise care – prin accesarea ilegală a sistemelor lor informatice de la distanță, urmată de introducerea și modificarea de date informatice - urmau să fie determinate să elibereze fraudulos bani).

În momentul în care ajungeau la ATM-ul țintă, acești membri confirmau acest lucru coordonatorului prin terminalul GSM pe care îl aveau asupra lor, așteptau ca bancomatul să fie accesat informatic ilegal, iar după introducerea și modificare de date informatice de către alți membri ai grupului să înceapă să elibereze banii (fără ca în el să fie introdus vreun card bancar), după care preluau sumele de bani eliberate de ATM-uri ca urmare a comenzilor informatice date stațiilor de lucru C026N11 (adresa IP 10.241.128.150) și C026ATM3 (adresa IP 10.241.127.1). În mod invariabil, participanții cu rol de preluare a numerarului nu atingeau bancomatul și nu introduceau în el vreun card bancar, așa cum rezultă din înregistrările surprinse de camerele de supraveghere ale ATM-urilor compromise.

În concret, această grupare a acționat pe teritoriul național în mod concertat, în data de 03.09.2016 (și puțin spre 04.09.2016, respectiv după orele 24,00), în intervalul orar  17:38 – 19:44 și 21:50–00:29, pentru a încasa (prelua) numerarul eliberat prin fraudă informatică de către ATM-urile Raiffeisen a căror integritate și securitate au fost compromise prin accesări neautorizate ale sistemelor informatice ce le administrează.

Probele administrate în cauză relevă faptul că, în intervalul anterior menționat, au fost identificate operațiuni simultane de emitere de numerar ca urmare a unor atacuri informatice și a unor fraude informatice asupra serverelor și stațiilor de lucru ale Raiffeisen Bank la un număr de alte 31 de ATM-uri Raiffeisen Bank localizate în orașele mai sus menționate, cauzând un prejudiciu total de 3.818.000 lei (inclusiv de la cel la care a fost depistat inculpatul CD), respectiv cca. 860.000 de euro (857.977 euro la cursul de 4,45 lei din data de 04.09.2016). 

* * *

13.Activitatea infracțională a inculpatului CD : aderarea la grupul infracțional organizat descris mai sus și sprijinirea acestuia, prin preluarea numerarului eliberat de ATM-ul din mun. Iași, bdul Alexandru cel Bun ca urmare a fraudei informatice

 13.1. Chiar dacă probele administrate în cauză nu au putut stabili momentul exact al aderării inculpatului CD la gruparea infracțională, din acestea rezultă totuși indubitabil faptul că acesta a aderat cel mai târziu la data de 02.09.2016, când era deja membru al grupării, cu rolul de a ridica numerarul de la cel puțin unul dintre ATM-urile din mun. Iași ce urmau a fi compromise în următoarea zi, în urma atacurilor informatice săvârșite de ceilalți membri ai grupării. În acest sens, cel mai probabil în seara zilei de 02.09.2016, inculpatul a plecat de la domiciliul său din orașul Tiraspol din sud-estul Republicii Moldova, echipat corespunzător, în dimineața zilei de 03.09.2016 acesta ajungând la punctul de trecere al frontierei spre România Ungheni-Sculeni din nord-vestul Republicii Moldova.

 13.2. Astfel, inculpatul a intrat pe teritoriul României, în dimineața de 03.09.2016, în jurul orei  07:20, cu autoturismul marca Audi A3 cu numărul de înmatriculare - condus de martora IA.

În concret, martora menționată și logodnicul ei, NC se întorceau din Republica Moldova. Înaintea punctului de trecere a frontierei din R. Moldova, inculpatul a făcut din mână martorilor pentru a fi luat la ocazie cu autoturismul înspre România, martorii fiind de acord. După urcarea inculpatului în autoturism, martorii – a căror declarații sunt concordante – au constatat că inculpatul nu vorbea limba română, ci doar limba rusă, și câteva cuvinte în engleză. Cu toate acestea, martorii au reușit să înțeleagă (inclusiv prin semne) că inculpatul dorește să fie luat cu mașina pentru a trece frontiera întrucât dorea să meargă în România până la Iași pentru ca, de acolo, cu un autocar, să se deplaseze către București.

 Martorii NC și IA au declarat că, la momentul controlului vamal, au observat că inculpatul avea asupra sa două telefoane mobile : unul  performant cu touchscreen și un al doilea, mai mic, identificat de vameș în rucsacul pe care îl avea asupra sa (n.n: deci nu trei telefoane, ci două). Aceste precizări ale martorilor sunt foarte importante, fiind confirmate de examinarea (vizualizarea) fizică realizată de judecător a celor trei telefoane ridicate de la inculpat și aflate la camera de corpuri delicte (f.84-88 – vol. III dosar instanță), ce a relevat că : →telefonul LG (care potrivit datelor de trafic și a percheziției informatice nu a fost utilizat la comiterea faptelor, conținând multiple date și fotografii personale ale inculpatului), are culoarea neagră, este cel mai mare dintre cele trei și este cu touchscreen; →telefonul marca Samsung este în mod evident cel mai mic dintre toate trei, are o culoare alabastru închis (bleumarin) și nu are touchscreen (ci taste); → telefonul Iphone are culoare deschisă (alb-argintiu) și are touchscreen. Or, aceste elemente evidențiază, o dată în plus, că –așa cum se va detalia mai jos – telefonul model Iphone a fost primit de inculpat de la o altă persoană, în Iași, cu puțin timp înainte de a intra în sediul agenției bancare.

De asemenea, martorii au susținut că inculpatul purta o șapcă pe cap, iar, pe traseu, le-a arătat niște imagini cu bărci stocate în telefonul său mobil, lăsându-le de înțeles că lucrează în domeniul ambarcațiunilor și că ar vrea să ajungă la București în acest scop.

Dar, la scurt timp după ce au ieșit din vama românească, pentru a-și ascunde itinerariul și pentru a putea evita să fie depistat ulterior, brusc inculpatul CD a solicitat martorilor să oprească pentru că vrea coboare din autoturism, după ce acesta parcursese doar câțiva kilometri după punctul de control al frontierei din localitatea Sculeni. În mod practic, inculpatul a solicitat oprirea autoturismului între localitățile Cotu Morii si Vulturi, după ce lăsaseră în urmă pădurea amplasată la ieșirea din satul Cotu Morii. Mai exact, inculpatul a solicitat martorilor să oprească și a coborât din mașină în câmp, fără ca în apropiere să se afle vreo localitate sau vreo stație de transport în comun, ceea ce martorilor li s-a părut ”dubios”. Mai mult, deși martorii  NC și IA s-au oferit și au insistat să-l ducă până la autogara din Iași, inculpatul a refuzat, fără să ofere vreo explicație, dându-le suma de 100 lei moldovenești pentru că a fost transportat până acolo, sumă care martorilor li s-a părut că este prea mult. Martorii au infirmat categoric apărarea inculpatului CD (făcută cu ocazia declarației date în faza de urmărire penală), arătând că acesta nu le-a cerut să oprească autoturismul pentru a-și satisface nevoile fiziologice, iar dacă ar fi dorit acest lucru nu ar fi coborât în câmp (ci, într-un loc mai retras, respectiv în pădurea prin care trecuseră anterior) și nici nu ar fi insistat să plece, făcându-le semn că el rămâne acolo.

Această conduită inexplicabilă rezonabil a inculpatului CD este de natură a releva faptul că acesta avea reprezentarea deplină a activităților infracționale pentru care venise în România și pe care urma să le desfășoare în seara acelei zile, coborârea bruscă din autoturismul de ocazie în acel loc, fiind făcută exclusiv în scopul îngreunării identificării sale ulterioare. 

Inculpatul CD și-a continuat deplasarea la Iași apelând la un alt autoturism de ocazie conform propriilor declarații date în faza de urmărire penală, făcând autostopul, ajungând în jurul orei 10,00 în mun. Iași.

13.3.  Așa cum s-a identificat ulterior la percheziția corporală, inculpatul CD avea

asupra sa un rucsac în care se aflau un tricou, un prosop, un set de lenjerie intimă, articole de igienă personală, o șurubelniță. Totodată, la intrarea în țară, inculpatul CD avea asupra sa 2(două) terminale GSM (respectiv un telefon dual SIM marca Samsung model E1202i și un telefon marca LG model VS980), cartele SIM, un cablu de alimentare al telefonului mobil marca LG și un cablu de alimentare al telefonului marca Samsung, un handsfreee Samsung, un card bancar pe numele Ekterina Kiladze (o rudă), actele de identitate, anumite sume de bani și alte obiecte mărunte.

13.4. Ajuns în Iași, inculpatul CD s-a deplasat în zona campusului studențesc Tudor Vladimirescu unde, în jurul orelor 10:40-10:42, a fost ajutat de o altă persoană să își activeze o cartelă românească (SIM) Orange cu nr. - (cartelă SIM găsită în telefon la percheziția corporală), introducând-o în telefonul dual marca Samsung model E1202i cu seriile IMEI.1 - 351953078208753 și IMEI.2 – 351954078208751, cu care venise în România.

Concluzia că inculpatul a fost ajutat de o altă persoană (cu care s-a întâlnit în acea zonă) să își activeze cartela anterior-menționată rezultă, mai întâi, din aceea că mesageria Orange este realizată în limba română, iar inculpatul CD nu cunoaște această limbă (așa cum a declarat constant și cum s-a probat și în faza judecății), ceea ce însemnă că a fost dovedit faptul că operațiunile de navigare și obținere a acestor setări pentru cartela prepay au fost realizate de un alt membru al grupului infracțional.

În al doilea rând, această concluzie rezultă și din aceea că, așa cum rezultă din datele de trafic în format electronic, la aceeași oră, 10:42, în aceeași zonă, a fost activată o altă cartelă românească Orange cu nr. - (prin introducerea în telefonul Apple). Astfel, această ultimă cartelă a fost localizată la momentul primirii mesajelor SMS de activare de la operatorul Orange România, tot mun. Iași, str. Tudor Vladimirescu, cămin T 17. În această locație, cartela cu nr. - a fost localizată în intervalul 10:42-11:10:47, în același terminal marca Apple cu seria IMEI 0139900042591716, în care ulterior a fost găsită asupra inculpatului, la momentul depistării acestuia. Se impune precizarea că, în ziua de 03.09.2016, acest post telefonic a avut doar trafic de internet (GPRS) necesar folosirii aplicației Viber.  Potrivit procesului-verbal de percheziție informatică, această aplicație fusese însă instalată pe telefon anterior, cel mai probabil în data de 02.09.2016, orele 17:40, utilizându-se cartela cu nr. de apelare +- (prefix de Moldova), astfel încât în cadrul Viber utilizatorul real a continuat să fie înregistrat cu acest număr și nu prin intermediul cartelei cu nr. -, care a asigurat conexiunea la internet în data de 03.09.2016.

 Cel mai probabil la momentul activării, în telefon Samsung, a cartelei cu nr. -

(orele 10:42) sau, în orice caz, la scurt timp după, inculpatul CD s-a întâlnit, în aceeași zonă, cu utilizatorul numărului de telefon - (cartelă care, la acea oră, încă nu era activată) căruia i-a comunicat faptul că utilizează postul telefonic cu nr. -. Pe de altă parte, se reține că nu este exclus ca utilizatorul cartelei cu nr. - să fi fost același cu utilizatorul cartelei cu nr. -.

Ulterior, după cca. 45 de minute, în jurul orelor 11,26, pe cartela cu nr. - introdusă în telefonul marca Samsung, inculpatul CD a fost apelat de nr. - (număr care fusese activat la orele 11,25 prin introducerea cartelei într-un telefon), discutând cca. un minut (61 secunde). La momentul purtării acestei convorbiri, utilizatorul nr. - (care a inițiat apelul) a fost localizat tot în mun. Iași, str. Tudor Vladimirescu, cămin T 17.

În acea zi, în intervalele orare 10:40:00-10:42:12 și 17:20:32-17:23:55, numărul de telefon

- (utilizat de inculpatul CD) a fost localizat în mun. Iași, str. Tudor Vladimirescu, cămin T 17. Practic, cu excepția unei singure comunicări, toate convorbirile purtate de inculpat în intervalul 10:40:00 – 17:23:55 au fost localizate în mun. Iași, str. Tudor Vladimirescu, cămin T 17.

 În cauză, deși probabil că cei trei (sau, după caz, cei doi) utilizatori ai posturilor telefonice anterior menționate s-au întâlnit, nu s-a putut stabili indubitabil acest lucru (prin alte mijloace de probă), ci doar prin corelarea datelor de trafic aferente celor trei numere de telefon.

* * *

 Probele administrate în cauză dovedesc însă că inculpatul CD a utilizat, până în jurul orelor 23,45, doar postul telefonic cu numărul de apelare -.

 În ziua de 03.09.2016, între numerele de telefon - (utilizat de inculpatul CD) și nr. - s-au purtat în total un număr de 13 convorbiri tip voce (în acest număr fiind inclusă și comunicarea de 3 secunde redirecționată din jurul orelor 20,15) în intervalul 11:26:04 (ora începerii primei convorbiri) și 23:50:27 (ora începerii ultimei convorbiri purtate). De asemenea, în acea zi, utilizatorii numerelor de telefon - (inculpatul) și, respectiv, nr. - nu au mai purtat comunicări telefonice (cu excepția celor primite de la compania Orange) cu nici un alt număr de telefon, ci doar între ei.

În schimb, listingul cartelei telefonice cu nr. - a evidențiat că aceasta s-a aflat doar în terminalul GSM marca Apple model Iphone 5 și nu a relaționat cu posturile telefonice folosite de inculpatul CD (-) și nici cu posturile telefonice la care ar fi apelat inculpatul CD, cu referire la postul telefonic -

* * *

13.5. Mai întâi, la ora României, 21:30:42 (UPC+3) și apoi la ora 22:38:18 (UPC+3), utilizatorul

postului telefonic cu numărul de apelare - (cartelă IMSI cu nr. 226104013446463 și folosită în telefonul marca Apple cu seria IMEI 013990004259171 – găsite asupra inculpatului CD) a primit, prin aplicația Viber, două fotografii print screen (realizate la ore diferite : prima la ora 21:30 și a doua la ora 22:38) ale unor hărți în format google.maps reprezentând locațiile unor ATM-uri aparținând Raiffeisen Bank din Iași amplasate pe strada Eternitate, bl.306, parter - IP - (prima imagine primită la ora 21:30) și, respectiv, în incinta Agenției Raiffeisen Bank de pe bdul Alexandru cel Bun, nr. 19, bl B3, sc. B – IP - (a doua imagine primită la ora 22:38).

Așa cum rezultă din analiza conținutului acestora, fotografiile au fost realizate la ora 21:30 și, respectiv, la ora 22:38, după imaginile de pe un terminal GSM ce funcționa în rețeaua mobilă a operatorului Lifecell din Ucraina și redau două hărți ale unor locații din municipiului Iași, având menționate coordonatele ATM-urilor Raiffeisen Bank menționate mai sus și care corespundeau locațiilor unde erau amplasate aceste bancomate, pe hărți fiind menționate, în plus, adresele IP ale sistemelor informatice ale celor două ATM-uri.

Cele două imagini au fost transmise prin Viber de la utilizatorul înregistrat în această aplicație cu nr. +- (nr. cu prefix de Ucraina – nume/indicativ utilizator Bbb45) către utilizatorul cu nr. +- (nr. cu prefix de Moldova – nume/indicativ utilizator A34). Sub acest ultim număr era înregistrată în Viber aplicația cu același nume instalată în telefonul Apple, dar a cărei conexiune la internet, era realizată la acea dată și oră, prin intermediul cartelei românești nr. -.

La ora României, 22:10:10 - deci înaintea primirii fotografiei cu harta locației celui de-al doilea ATM din bdul Alexandru cel Bun, nr. 19 - utilizatorul postului telefonic cu numărul de apelare -(cartelă introdusă în telefonul marca Apple) localizată în Iași a primit, de la același utilizator Bbb45, tot prin aplicația Viber, mesajul text ”Han tatar 2”. (n.n: strada Han Tătar este o stradă din cartierul Tătărași din mun. Iași – faptele notorii nu trebuie probate -, iar la nr. 2, dar și pe în apropiere, erau amplasate ATM-uri Raiffeisen Bank).

 După ce la ora 22:38:18 a primit fotografia cu harta locației celui de-al doilea ATM din bdul Alexandru cel Bun, nr. 19, între utilizatorul postului telefonic cu numărul de apelare - (cartelă introdusă în telefonul marca Apple) și utilizatorul Viber cu indicativul Bbb45, la scurt timp, au fost schimbate, în doar câteva minute, tot prin aplicația Viber, următoarele mesaje text, toate în limba română: ●→ la ora 22:42:05, Bbb45 întreabă ”?km”, iar utilizatorul telefonului Apple aflat în Iași răspunde, la ora 22:43:21 ”Imi da departe”; ●→ la ora 22:43:33, utilizatorul Bbb45 întreabă ”kam ? km”, iar utilizatorul telefonului Apple localizat în Iași răspunde, la ora 22:43:33 -”5km” (n.n. : prin utilizarea unei aplicații gratuite disponibile pe intranet, de tipul distanta.ro, se poate observa, cu ușurință, că distanțele rutiere între locațiile Han Tătar, nr. 2 sau str. Eternitate, bloc 306 din Iași, pe de o parte, și bdul Alexandru cel Bun, nr. 19, pe de altă parte, sunt în medie de cca. 5 km).

 Ulterior, după o pauză de cca. 45 de minute, utilizatorul postului telefonic cu numărul de apelare - (cartelă introdusă în telefonul marca Apple) a încercat de trei ori – la orele 23:26:16, la 23:27:25 și la 23:28:10 - să ia legătura, efectuând apeluri prin intermediul Viber, cu utilizatorul Viber cu indicativul Bbb45 (nr. +-), dar fără a se reuși conexiunea (durata 0). De aceea, între aceiași doi utilizatori, au fost schimbate, tot prin aplicația Viber, următoarele mesaje text, tip messenger, toate în limba română:  ●→ la ora 23:26:27 (UPC+3), utilizatorul telefonului Apple localizat în Iași îl informează pe utilizatorul Bbb45 spunându-i că este ”pe lok” (sensul fiind acela că a ajuns la locația vizată), iar Bbb45 îi răspunde ”ok” la ora 23:29:30; ●→ la ora 23:29:34 (UPC+3), utilizatorul Bbb45 în informează pe utilizatorul telefonului Apple localizat în Iași cu textul ”5min”, sensul fiind acela că în 5 minute va fi accesat ilegal ATM-ul și determinat să elibereze bani, iar acesta din urmă îi confirmă, la ora 23:29:54, ”da ii înăuntru”, referindu-se evident la un alt participant care se afla deja în interior, lângă bancomat. Această concluzie logică rezultă din împrejurarea că, exact după 5 minute, în intervalul orar 23:34-23:43, a fost retrasă suma de 104.000 lei eliberată ca urmare a fraudei informatice de ATM-ul RZBN1013 amplasat în incinta Farmaciei Ropfarma din Iași, strada Eternitate, nr. 5, bl.306, parter.

Din imaginile surprinse de camerele de supraveghere rezultă că cei care au retras banii (2 persoane) sunt alți bărbați, ce au cu totul alte caracteristici fizice decât inculpatul. Astfel, analiza respectivelor imagini și a procesului-verbal întocmit de polițiști relevă că bărbatul care a preluat numerarul eliberat de ATM-ul din incinta farmaciei avea alte trăsăturii fizice decât inculpatul, purta un hanorac cu glugă și o șapcă de culoare deschisă pe cap, iar, în mână, avea un telefon mobil, ce era conectat la ureche prin căști audio, alături de acesta aflându-se un doilea bărbat, care, de asemenea, purta o șapcă similară și o geantă, nici acesta nesemănând cu inculpatul în vreun fel.

La scurt timp (cca. 3 minute) după terminarea preluării de către cei doi bărbați  a numerarului eliberat prin fraudă informatică de către ATM-ul RZBN1013 (amplasat în incinta Farmaciei Ropfarma din Iași, strada Eternitate, bl.306, parter), utilizatorul aplicației Viber cu indicativul Bbb45 a reluat comunicarea prin intermediul aplicației Viber cu utilizatorul postului telefonic marca Apple localizat în Iași. Acest ultim utilizator a fost, probabil, fie unul dintre cei doi bărbați anterior menționați care au preluat banii, dar, cel mai probabil, o altă persoana care coordona membrii grupării aflați în Iași cu rol de retragere a  numerarului de la bancomate.

 Astfel, la ora 23:46:04, utilizatorul cu indicativul Bbb45 în apelează, prin Viber, pe utilizatorul telefonului Apple aflat în Iași și poartă o discuție tip voce timp de 2 minute și 18 secunde, îndrumându-l probabil spre următorul bancomat țintă și anume cel amplasat la Agenția Raiffesein Bank de pe bdul Alexandru cel Bun, nr. 19.

Convorbirea se întrerupe însă, motiv pentru care la ora 23:48:59, utilizatorul telefonului Apple (A34) inițiază un apel prin Viber către utilizatorul Bbb45, dar fără a se reuși conexiunea (durata 0). De aceea, la ora 23:49:07, utilizatorul telefonului Apple (A34) îi transmite utilizatorului Bbb45 prin intermediul aplicației Viber un mesaj de tip messenger  cu textul ”Raspunde”.

Ca urmare a acestui mesaj, la ora 23:49:49, utilizatorul Bbb45 în apelează prin Viber pe utilizatorul telefonului Apple (A34) aflat în Iași și poartă o discuție tip voce timp de 23 de secunde.

Imediat după aceea, la ora 23:50:27 de la numărul de telefon - (utilizat de inculpatul CD) a fost inițiat un apel telefonic de 30 de secunde către numărul de telefon -, utilizatorul postului telefonic - (adică inculpatul) fiind localizat în mun. Iași, str. Gării, nr. 1, într-o zonă apropiată de pe bdul Alexandru cel Bun, nr. 19.

 Utilizatorul telefonului Apple s-a întâlnit, probabil urmare a acestui apel, cu inculpatul CD căruia i-a înmânat telefonul mobil marca Apple și pe care l-a îndrumat, însoțindu-l până în apropierea Agenției Raiffesein Bank de pe bdul Alexandru cel Bun, nr. 19.

În aceste condiții este evident că utilizatorul postului telefonic marca Apple nu a fost în apropierea Farmaciei Ropfarma (la momentul finalizării retragerii banilor de ATM-ul amplasat acolo ora 23:43) pentru că nu ar fi avut suficient timp să ajungă în zona Gării (unde inculpatul a fost localizat telefonic la ora 23:50:27) și apoi pe bdul Alexandru cel Bun, nr. 19. Într-adevăr, având în vedere intervalul orar (23:34-23:43) în care au fost efectuate retragerile de la bancomatul RZBN1013 situat în sediul Farmacia Ropharma, strada Eternitate, nr. 5, din mun. Iași, de către alți membri ai grupării infracționale, coroborat cu locația sa din mun. Iași comparativ cu locația bancomatului din  bd. Alexandru cel Bun, nr.19 (aproximativ cca. 5 km) și cu ora la care inculpatul a ajuns lângă acest ATM (puțin înainte de ora 24,00) este evident, pe de o parte, că nu inculpatul CD a fost cel care a retras banii de la bancomatul amplasat pe str. Eternitate, iar, pe de altă parte, că o altă persoană i-a înmânat telefonul marca Apple găsit asupra inculpatului, telefon în care au fost identificate fotografii cu locațiile ambelor bancomate compromise. Așa cum s-a arătat mai sus, această persoană este probabil fie una dintre persoanele care a participat la preluarea numerarului de la agenția din sediul Farmaciei Rofarma, dar cel mai probabil un alt participant care i-a coordonat atât pe inculpatul CD, cât și pe ceilalți doi bărbați care au retras banii de la celălalt ATM.

Ulterior, la ora 23:53:31, utilizatorul Bbb45 îl apelează prin Viber pe posesorul telefonului Apple aflat în Iași și poartă o discuție tip voce cu durata de 5,00 minute, până la ora 23:58:31, ghidându-l către sediul Agenției Raiffeisen Bank de pe bdul Alexandru cel Bun, nr. 19, dându-i ultimele instrucțiuni și așteptând să i se confirme că acesta, respectiv inculpatul CD, a ajuns lângă bancomat.

Ca urmare, inculpatul CD  împreună cu celălalt membru al grupării s-au deplasat spre sediul Agenției Raiffeisen de pe bd. Alexandru cel Bun, nr.19. Anterior, pe traseu, inculpatul CD preluase deja de la persoana care îl însoțea telefonul marca Apple model Iphone pentru a continua comunicarea cu coordonatorul grupului, îndreptându-se spre sediul agenției bancare la ATM-ul RZBN0837.

Persoana care, probabil, l-a însoțit pe inculpatul CD și care i-a înmânat telefonul marca Apple nu l-a însoțit chiar până lângă sediul agenției bancare. Astfel, imaginile surprinse de camerele de supraveghere evidențiază că inculpatul a apărut singur în raza lor de acțiune. De asemenea, martorii IS, AT și PO (care se aflau împreună, pe o bancă amplasată în fața sediul acelei agenției bancare, inițial împreună cu alți doi tineri neidentificați, deci în total 5 persoane) au declarat că inculpatul nu era însoțit de vreo persoană premergător intrării în agenție.

Inculpatul CD a intrat în sediul agenției bancare având în mână telefonul Iphone unde, fără a efectua operațiuni la ATM și fără a scoate vreun card bancar, a continuat să comunice, prin intermediul aplicației Viber cu membrii grupării, confirmând prezența sa la ATM și mesajele pe care le afișa ATM-ul. 

Se impune precizarea că la acea oră agenția bancară era închisă, dar bancomatul era amplasat în incinta acesteia, într-un spațiu cu acces liber din stradă, distinct de birourile agenției, accesul către acestea realizându-se printr-o ușă care erau încuiată. Modul de amplasare a bancomatului, în interior, limita atragerea atenției asupra activităților desfășurate de inculpat în interior.

La momentul intrării în sediul agenției, inculpatul CD purta ochelari de vedere, avea pe cap o șapcă tip camuflaj (model armată), iar în spate avea un rucsac, articolele de îmbrăcăminte fiind de culoare închisă. Sub acest aspect, instanța remarcă același tip de echipare/dotare a inculpatului ca și în cazul participanților surprinși de camerele de supraveghere ale celorlalte 31 de ATM-uri compromise în aceeași seară.

În jurnalul aplicației Viber este evidențiată comunicarea mai sus-menționată, cea inițiată la ora 23:53:31, ora României, care a durat 5 minute, timp în care – așa cum s-a arătat - inculpatul a continuat să vorbească la telefon, deplasând-se spre agenția bancară, unde era amplasat ATM-ul țintă, dar, la un moment dat, conexiunea s-a întrerupt, la 23:58:31. Așa cum se va detalia mai jos, acest lucru a dus la întreruperea conexiunii informatice inițiate de atacatorii informatici la ora 23:55:51, cel mai probabil în mod voluntar, pentru că, din moment ce aceștia nu mai erau în legătură directă cu inculpatul, nu mai aveau certitudinea că acesta putea să mai ajungă la bancomat și putea să preia banii.

Inculpatul CD a refăcut comunicarea prin aplicația Viber la ora 23:59:26, ora României. Astfel, începând cu ora 23:59:26, posesorul telefonului Apple, respectiv inculpatul CD, a inițiat un apel prin Viber către utilizatorul Bbb45 și a purtat o discuție tip voce cu acesta cu durata de 21 de minute și 3 secunde. Imaginile surprinse de camerele de supraveghere au evidențiat că inculpatul a intrat în sediul agenției vorbind la telefon și a comunicat pe toată durata cât s-a aflat lângă ATM la acel telefon pe care l-a ținut fie la ureche, fie în mână, uitându-se la el.

Aceleași imagini au mai evidențiat că, după ce a ajuns în fața ATM-ului, inculpatul CD și-a pregătit rucsacul și a continuat să comunice în permanență, utilizând telefonul marca Iphone prin conexiunea de internet cu autorul fraudei informatice.

Între timp, tot în data de 03.09.2016, la ora 23:55:51, fiind conectați prin intermediul controlerului reprezentat sistemul informatic “C026ATM3” (adresa IP -), ceilalți membrii au grupării au inițiat o conexiune RDP, reușind conectarea la sistemul informatic al ATM0837 și au descărcat fișiere malițioase (crss.exe, d2.exe, d2sleep.exe, sdel.exe, del.bat, sdelete.exe, wr.exe, xtl.exe) pe hard diskul ATM-ului nr.0837, în următoarele directoare: “C:\Users\SSTAdmin1\Desktop\”, “C:\Users\SSTAdmin1” si “C:\cim”.

După copierea acestor fișiere, atacatorii informatici au folosit contul cu numele de utilizator abcdwxyz pentru a rula  aplicațiile instalate pe sistemul de operare al ATM-ului.

Probabil că datorită întreruperii conexiunii, folosind credențialele utilizatorului abcdwxyz și sistemul informatic cu adresa IP -, atacatorii informatici s-au reconectat – așa cum a evidențiat percheziția informatică  - la ATM-ul cu nr. 0837, reluând activitățile infracționale informatice anterior menționate la 04.09.2016, ora 00:03:08 (când inculpatul se afla deja în fața bancomatului, vorbind la telefon, cu unul dintre ei),

 Astfel, rularea fișierului “disp.exe” a produs eliberarea de către bancomat a sumei de 2000 lei în bancnote de câte 100 lei, în mod repetat. Această operațiune de introducere de date informatice în sistemul informatic al bancomatului s-a realizat în mod repetat de 40 de ori, de fiecare dată fiind eliberate tranșe de numerar de câte 2000 lei. ATM-ul era setat și limitat (în scopul asigurării unei bune funcționări) ca la o retragere să elibereze maxim 20 de bancnote.

Potrivit datelor furnizate de bancă, la agenția din bdul Alexandru cel Bun, banii au fost eliberați de ATM în intervalul orar 00:07-00:14.

Așa cum a evidențiat percheziția informatică, la data de 04.09.2016 la ora 00:15:07, folosind

credențialele utilizatorului abcdwxyz și sistemul informatic cu adresa IP -, atacatorii

informatici, au dat prima dispoziție de repornire a ATM-ului 0837.

Teancurile cu sumele de bani astfel eliberate au fost ridicate succesiv de inculpatul CD și puse într-o sacoșă de plastic de culoare roșie sau roz cu înscrisuri în limba rusă, care era introdusă în rucsacul pe care îl avea asupra sa. Camerele de supraveghere au surprins mișcări repetate ale inculpatului în acest sens, de preluare a teancurilor de bani și introducere în rucsac.

După executarea celor 40 de operațiuni de eliberare numerar, autorul atacului informatic a îndepărtat aplicația informatică instalată în sistemul informatic al ATM-ului (prin suprascriere), comandând totodată repornirea ATM-ului la ora 00:22:19.

După ce operațiunea de eliberare de numerar a încetat, inculpatul CD și-a închis rucsacul și a intenționat să părăsească locul unde era amplasat ATM-ul, moment în care a fost surprins de către agenții de pază ai societății SC ”G4S” SRL, martorii HI și TR, care asigurau securitatea agențiilor Raiffeisen, iar ulterior predat organelor de poliție. Agenții de pază au fost sesizați de dispecerul societății G4S, în jurul orei 00:12, în data de 04.09.2016, și au ajuns la sediul Agenției Raiffeisen Bank în jurul orei 00:15.

Primul care a intrat în agenție a fost martorul TR, fiind urmat, la câteva secunde, de celălalt agent de pază. Martorul TR i-a dat jos șapca de pe cap inculpatului, ceea ce a permis ca fizionomia acestuia să fie surprinsă integral de camerele supraveghere. De altfel, inculpatul CD a recunoscut că el este persoana surprinsă în imaginile înregistrate de camerele de supraveghere, iar instanța nu are nici un dubiu în acest sens, după vizualizarea nemijlocită a acestor imagini.

Martorii TR și HI au confirmat faptul că inculpatul CD nu cunoștea limba română, declarând că, în rucsacul inculpatului, într-o pungă, s-a găsit suma de 80.000 lei, iar asupra acestuia (inclusiv în rucsac) trei telefoane mobile.

De asemenea, martorul TR a declarat constant că, la momentul surprinderii acestuia, inculpatul avea în mână un telefon mobil marca Iphone care era încă deschis și a văzut pe ecranul acestuia mesaje atât în limba română, cât și în limba rusă. Martorul TR a mai susținut că ulterior, când la fața locului au venit și polițiștii, cărora inculpatul le-a înmânat telefonul pe care îl avea mână, i-a auzit pe aceștia afirmând că pe telefon erau și hărți ”probabil cu localizarea agențiilor Raiffesein Bank” (f. 27 verso – vol. II).

Derularea evenimentelor în intervalul cuprins între momentul sosirii inculpatului CD în fața agenției bancare, intrării acestuia în sediul acesteia și apropierea de bancomat, pe de o parte, și momentul depistării sale de către agenții de pază și respectiv sosirii polițiștilor, pe de altă parte, au fost surprinse de trei camere de supraveghere amplasate în incinta sau în exteriorul agenției bancare și au fost percepute în mod direct de către martorii IS, AT și PO, care se aflau împreună, pe o bancă amplasată în fața sediul acelei agenției bancare.

Acești trei martori au declarat, în esență, că au observat când, în jurul miezului nopții, în sediul agenției a intrat inculpatul CD (pe care l-au recunoscut ulterior) îmbrăcat în haine de camuflaj, având ochelari, pe cap o șapcă și purtând un rucsac. Martorii au susținut că atât timp cât s-a aflat în fața ATM-ului, inculpatul ar fi vorbit la telefon. De asemenea, au mai declarat că inculpatul a stat în incinta agenției bancare la ATM aproximativ 20 de minute, fiind găsit în interior de agenții firmei de pază, iar apoi de către organele de poliție care l-au percheziționat, găsind asupra sa o sumă foarte mare de bani (care era într-o pungă în rucsac), după care l-au transportat la o secție de poliție.

Analiza imaginilor surprinse de cele trei camere de supraveghere (una amplasată în exteriorul agenției, una amplasată deasupra bancomatului și una amplasată în  incinta agenției, într-o încăpere alăturată celei în care se afla ATM-ul, dar cu rază de acțiune spre această încăpere) a relevat faptul că între momentul intrării inculpatului în sediul agenției bancare (înlăuntrul căruia era amplasat bancomatul) și momentul venirii agenților de pază a existat un interval de timp de cca. 12 minute, primii polițiști ajungând la fața locului după cca. 2 minute de la sosirea agenților de pază. 

Ulterior, după sosirea polițiștilor, aceștia au făcut un control corporal asupra inculpatului și asupra bagajului acestuia. Asupra inculpatului, la controlul corporal, au fost găsite 2 bancnote a câte 50 lei și două telefoane mobile, respectiv un telefon Iphone și un telefon mobil marca Samsung (f. 2-4 vol. I d.u.p.), despre care probele administrate au relevat că au fost efectiv utilizate la comiterea faptelor, pentru  a ține legătură cu ceilalți membri ai grupării, fiind telefoane ”dedicate”, special achiziționate/primite în acest sens. Acest lucru este important în cauză, întrucât spre deosebire de acestea, cel de-al treilea telefon, marca LG, personal, a fost găsit în rucsac, ceea ce însemnă că – așa cum au confirmat ulterior analiza datelor de trafic transmise de companiile de telefonie mobilă și perchezițiile informatice – nu a fost utilizat la comiterea faptelor.

Tot în rucsac (f. 2-4 , f. 31, f. 34 și f. 35 vol. I d.u.p.), alături de telefonul mobil marca LG (personal și care s-a dovedit a nu fi fost utilizat la comiterea faptelor), precum și de punga/sacoșa roșie în care era suma de 80.000 lei în bancnote de câte 100 lei (eliberată de bancomatul compromis), au fost mai fost găsite: două tricouri, un prosop, un set de lenjerie intimă, articole de igienă personală, o șurubelniță, trei perechi de căști, un încărcător de telefon mobil marca LG, un încărcător de telefon mobil marca Samsung, un hands-free bluetooth marca Samsung, un pix de culoare neagră, un set de chei yale, un adaptator (fără cablu) Apple, precum și un portofel. În portmoneu au fost identificate : un card bancar pe numele EK (neutilizat la comiterea faptelor), actele de identitate (carte de identitate și permis de conducere auto), suma de 1000 lei moldovenești, 100 lei, 150 dolari, ruble și grive, o cartelă SIM marca Megafon de culoare verde și un suport de cartelă SIM marca MTC Ucraina.

De asemenea, la fața locului au ajuns ulterior și doi reprezentanți ai persoanei vătămate, unul fiind directorul acelei agenții bancare.

*  * *

13.6.  Persoana care, anterior, îi înmânase inculpatului CD telefonul marca Apple și

care aștepta probabil undeva în apropierea agenției, observând depistarea inculpatului a fugit și a aruncat din terminalul GSM pe care îl folosea cartela cu numărul de apelare - pe podul ce asigură legătura dintre cartierul Alexandru cel Bun și zona Podul de Piatră.

 Potrivit declarațiilor de martori, această cartelă SIM a fost identificată acolo, într-una din zile următoare (probabil a doua zi), în jurul orelor 15,00, de martorul VL, care i-a dat-o spre folosință prietenei sale, IB, cu motivația că era gelos și vroia să aibă controlul asupra ei, iar aceasta să nu mai fie sunată de un fost prieten. (În cursul judecății, aceasta s-a dovedit a fi cumnata martorului IS, persoană care, în acea seară, se afla în fața agenției bancare, pe o bancă împreună cu alți tineri).

Potrivit datelor de trafic, comunicate de compania Orange, martora IB a început să utilizeze efectiv această cartelă la data de 06.09.2017, deci după două zile. Astfel, datele de trafic transmise de Orange România au evidențiat că această cartelă a fost identificată, în ziua de 06.09.2016, în intervalul orar 07:27:37 -07:28:49, în terminalul GSM (telefonul) cu seria IMEI 3516370792733761, iar după această dată și oră (începând cu ora 07:36:07) doar în telefonul cu seria IMEI 8694140200851533, terminal folosit de martora IB. Se mai impune precizarea că, în ziua de 06.09.2017, inițial, în cursul dimineții, ambele terminale anterior menționate au fost localizate la aceeași adresă (celulă) din Iași, str. -, ceea ce însemnă că, probabil, cartela a fost introdusă mai întâi în telefonul martorului VL. Acesta însă a susținut că el nu a utilizat cartela în telefonul său și că i-a dat-o prietenei sale la locul ei de muncă, deci într-o după amiază.

Atât martora IB, cât și martorul VL au declarat că respectiva cartelă era nouă, erau una tip prepay, avea credit  pe ea, iar la momentul introducerii sale în telefon a fost activată, sens în care s-au primit mai multe mesaje SMS de la compania Orange din care rezulta creditul folosit. Declarațiile acestor doi martori nu concordă în privința aceluia dintre ei care ar fi activat cartela SIM, ambii susținând că el a făcut activarea.

Cu ocazia audierii martorului VL, instanța a remarcat că acesta a fost iritat de faptul că a fost chemat să dea declarație ”doar pentru o cartelă”, dar, în mod special faptul că avea suficiente cunoștințe despre diferitele tipuri de cartele telefonice și că asupra lui, în portofel, avea un microsim cu care a vrut să își explice susținerile.

De asemenea, instanța mai reține că în declarația sa, dată în faza de judecată, martora IB a susținut că fostul ei prieten, VL, avea preocupări infracționale în materie de furturi, iar, fratele acestuia, ar fi avut preocupări infracționale de mai mare anvergură. Totodată, instanța remarcă faptul că martora IB a afirmat că a fost informată telefonic de martorul IS (audiat la un termen anterior) despre citarea ei în instanță în vederea audierii.

Elementele anterior evocate, coroborate cu procesul-verbal din data de 19.09.2016 (f. 1-9 vol. II d.u.p.) care face trimitere la imaginile surprinse de camerele de supraveghere în ceea ce privește fapta comisă în aceeași noapte în Iași la ATM-ul amplasat în sediul farmaciei Ropharma, str. Eternitate, nr. 5 (proces-verbal în care se susține că ”analiza coroborată a imaginilor cu cele din baza de date conturează indicii că unul dintre cei doi bărbați ar putea fi numitul VL”), relevă o serie de coincidențe și se constituie într-un set de indicii (dar nu de probe certe) ce conturează o anumită suspiciune că martorul VL ar putea să nu fie străin de comiterea faptelor imputate inculpatului și că acesta ori o persoană din anturajul său ar putea să fi fost utilizatorul postului telefonic cu nr. -. Dar, în lipsa unor probe certe, instanța nu poate și nu va reține acest lucru ca pe un fapt dovedit. Cu toate acestea, având în vedere unele dintre observațiile făcute de inculpat pe parcursul judecății, instanța reține că și în situația în care această ipoteză/suspiciune ar fi fost probată, în nici un caz ea nu i-ar fi fost favorabilă inculpatului, ci, din contră, ar fi fost de natură să identifice cu certitudine cel puțin un membru al grupării cu care inculpatul CD a comunicat și care l-a ghidat în Iași.

Prin urmare, este mai puțin important modul în care cartela SIM cu nr. - a ajuns în posesia martorului VL (întâmplător sau nu), respectiv dacă acesta este cel care a utilizat-o sau nu în ziua de 03.09.2016, fiind suficient faptul că – prin datele de trafic comunicate de operatorul de telefonie – s-a probat indubitabil împrejurarea că inculpatul CD a comunicat repetat (inclusiv cu puțin timp înainte de a intra în agenția bancară) cu posesorul și utilizatorul real al respectivei cartele.

* * *

14.Analiza existenței grupării infracționale organizate :

14.1. Potrivit art. 367 alin. 6 din Codul penal ‹‹prin ”grup infracțional organizat” se înțelege

grupul structurat, format din trei sau mai multe persoane, constituit pentru o anumită perioadă de timp și pentru a acționa coordona în scopul comiterii uneia sau mai multor infracțiuni››.

Prin urmare, în cauză urmează a se analiza, mai întâi, dacă sunt întrunite condițiile existenței grupului infracțional organizat și dacă a fost probată existența lui. Aceasta însemnă a se analiza dacă s-a probat că: a) a existat un grup structurat; b) că grupul a fost format cel puțin din trei persoane; c) că grupul a fost constituit pentru o anumită perioadă de timp; d) că gruparea a acționat coordonat; e) că grupul a acționat în scopul comiterii uneia sau mai multor infracțiuni.

În al doilea rând, urmează a se analiza dacă inculpatul CD a aderat la (și/sau sprijinit) un astfel de grup infracțional și dacă a avut reprezentarea acestui lucru.

Se mai impune precizarea că art. 367 din Codul penal sancţionează pluralitatea constituită (și nu ocazională), doctrina şi jurisprudenţa (a se vedea considerentele deciziei obligatorii nr. 12/HP/2014 a ICCJ – completul pentru dezlegarea unor chestiuni de drept), definind-o ca pe o grupare de persoane, cu o anumită organizare, cu o disciplină internă, cu reguli specifice privind ierarhia şi repartizarea atribuţiilor, precum și cu o anumită continuitate (durată), elemente care dovedesc existenţa structurii organizatorice şi deosebesc pluralitatea constituită de cea ocazională (participația penală, în sens de autorat, instigare sau complicitate).

14.2. Probele administrate în cauză relevă faptul că, într-un interval de timp apropiat, în seara de 3 spre 4 septembrie 2016, în intervalele orare 17:38 – 19:44 și 21:50 – 00:29 au fost identificate operațiuni simultane de emitere de numerar ca urmare a unor atacuri informatice și a unor fraude informatice asupra serverelor și stațiilor de lucru ale Raiffeisen Bank la un număr de alte 31 de ATM-uri ale Raiffeisen Bank localizate în mun. Iași, mun. București, mun. Suceava, mun. Timișoara, mun. Constanta, mun. Galați, mun. Ploiești, mun. Ploiești, orașul Orăștie, orașul Crevedia, cauzând un prejudiciu total de 3.818.000 lei.

Celelalte bancomate care au fost compromise sunt următoarele:

1).  la bancomatul RZBN1013 situat în sediul Farmaciei Ropharma, str. Eternitate, nr. 5, bloc 306, din mun. Iași, retragerile de numerar au fost efectuate în data de 03.09.2016, în intervalul orar 23:34-23:43, în valoare totală de 104.000 lei. Analiza procesului-verbal din data de 19.09.2016 (f. 1-9 vol. II d.u.p.) care face trimitere la imaginile surprinse de camerele de supraveghere relevă faptul că persoana care a retras banii este un bărbat, ce avea un hanorac cu glugă și o șapcă de culoare deschisă pe cap, iar în mână un telefon mobil, ce era conectat  la ureche prin căști audio, alături de acesta aflându-se un alt bărbat, care, de asemenea, avea o șapcă pe cap de culoare deschis și o genată. Instanța constată că, în  faza de urmărire penală, organele de urmărire penală, au menționat în respectivul proces-verbal că ”analiza coroborată a imaginilor cu cele din baza de date conturează indicii că unul dintre cei doi bărbați ar putea fi numitul VL” (f. 8-9 d.u.p.)..

2). la bancomatul RZBN0085 situat la Agenția Arieș din mun. Timișoara, eliberările frauduloase de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 22:12-22:22 în valoare totală de 148.000 lei. Analiza procesului-verbal din data de 13.09.2016 (f. 58-60 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoanele prezentate în fața ATM-ului și care au preluat banii au fost doi bărbați, din care unul purta pe cap o pălărie și avea un rucsac asupra sa, iar celălalt purta o șapcă roșie pe cap și a stat de pază lângă ușă. Din imagini rezultă că bărbatul cu pălărie a preluat și a introdus  în rucsac teancuri de bani, fără a introduce în ATM vreun card bancar. Din imagini se mai observă că persoana cu pălărie are în mână un telefon mobil la care vorbește, iar la care apoi se uită, iar în urechea stângă căști audio conectate printr-un fir alb probabil la acel telefon.

3). la bancomatul RZBN0511 situat în Agenția Științei din mun. Timișoara, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 19:48-19:53 în valoare totală de 56.000 lei. Analiza procesului-verbal din data de 13.09.2016 (f. 48-55 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoanele prezentate în fața ATM-ului și care au preluat banii au fost doi bărbați, din care unul purta ochelari de soare, avea pe cap o pălărie și o geantă asupra sa, iar celălalt purta o șapcă pe cap și un rucsac pe umăr, bărbatul cu ochelarii preluând mai multe sume de bani de la bancomat și introducându-le în rucsac. Din imagini se mai observă că persoana cu pălărie are în mână un telefon mobil la care se uită, iar în urechea stângă căști audio conectate printr-un fir alb probabil la acel telefon.

4).  la bancomatul RZBN0888 situat la Agenția Ploiești Nord din mun. Ploiești, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 21:3 -21:43 si 21:10-21:11 în valoare totală de 44.000 lei. Analiza procesului-verbal din 21.11.2016 (f. 20-26 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana  prezentă în fața ATM-ului și care a preluat banii, cu ocazia primei retragerii, a fost un bărbat, ce purta ochelari de soare, iar pe cap o pălărie de culoare deschisă, iar pe umărul stâng avea o geantă. Din imagini se mai observă că persoana care a preluat banii, cu ocazia celei de a doua retrageri din aceeași seară, peste cca. 30 de minute, a fost un bărbat, îmbrăcat altfel, dar care purta pe cap o pălărie de culoare deschisă (ce pare a fi aceeași cu cea purtată la prima etapă de retrageri), iar pe umărul stâng avea o geantă similară celei purtate de celălalt bărbatul ce preluase banii  anterior.

5). la bancomatul RZBN0028 situat în Agenția Domnească din mun. Galați, retragerile de numerar fiind efectuate în data de 03.09.2016 în intervalul orar 23:21-23:28 în valoare totală de 42.000 lei. Analiza procesului-verbal din data de 14.09.2016 (f. 56-57 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana prezentă în fața ATM-ului și care a  preluat banii a fost un bărbat tânăr, cu părul blond, ce purta o geantă pe umăr și care a vorbit tot timpul la un  telefon mobil. Din imagini se mai observă că acel bărbat a fost surprins de camerele de supravegheri prepunând repetat teancuri de bani de la bancomat pe care le-a introdus în geantă, fără a introduce vreun card în ATM și fără a atinge în prealabil bancomatul.

6). la bancomatul RZBN0874 situat în Agenția Burdujeni din mun. Suceava, retragerile de numerar fiind efectuate în data de 03/4.09.2016 în intervalul orar 00:04-00:10 în valoare totală de 32.000 lei. Analiza procesului-verbal din data de 12.09.2016 (f. 61-63 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoanele prezentate în fața ATM-ului și care au preluat banii au fost doi bărbați, din care unul purta ochelari de vedere, iar la ureche căști cu sistem hands-free pentru telefon, în timp ce celălalt purta o șapcă pe cap și avea un ghiozdan/rucsac pe care îl ținea în față. Din imagini se mai observă că persoana cu ocheleari de vedere a vorbit al telefon, aspect cea rezultat din aceea că a ținut cu mâna microfonul cu care este dotat sistemul hands-free al căștilor în dreptul gurii.

7). la bancomatul RZBN0412 situat în Agenția Drumul Taberei din mun. București, retragerile de numerar fiind efectuate în data de 03.09.2016 în intervalul orar 19:24-19:36 în valoare totală de 176.000 lei. Analiza procesului-verbal din data de 14.11.2016 (f. 10-11 vol. II d.u.p.) care face trimitere la imaginile surprinse de camerele de supraveghere relevă faptul că persoanele prezentate în fața ATM-ului și care au preluat banii au fost doi bărbați din care unul purta ochelari de soare, avea o geantă asupra sa și un telefon la ureche, iar celălalt purta o șapcă pe cap și o borsetă(geantă) pe umărul drept.

8). la bancomatul RZBN0450 situat la Agenția Popeşti-Leordeni din mun. București, retragerile de numerar fiind efectuate în data de 03.09.2016 în intervalul orar 21:41-21:51 si 22:21-22:38 în valoare totală de 464.000 lei. Analiza procesului-verbal din 22.11.2016 (f. 27-30 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana prezentă în fața ATM-ului și care a  preluat banii a fost un bărbat, ce purta pe cap o șapcă de culoare închisă și avea o geantă pe umărul drept. Din imagini se mai observă că persoana are avea în mâna un obiect la care se uită ce pare a fi un telefon mobil, anterior fiind surprins într-o imagine vorbind la telefonul ținut la ureche, dar și faptul că a fost surprins ținând în general capul aplecat.

9). la bancomatul RZBN0581 situat în Agenția Ştirbei-Vodă din mun. București, retragerile de numerar fiind efectuate în data de 03.09.2016 în intervalul orar 17:22-17:32 în valoare totală de 80.000 lei. Analiza procesului-verbal din data de 24.11.2016 (f. 36-43 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana  prezentă în fața ATM-ului și care a  preluat banii a fost un bărbat tânăr, ce purta pe cap o șapcă de culoare închisă și avea o geantă pe umărul drept. Din imagini se mai observă că acel bărbat a fost surprins de camerele de supravegheri vorbind tot timpul la un telefon mobil, ce era ținut când la ureche, când în mână, uitându-se repetat în spate și părând a fi agitat.

10). la bancomatul RZBN0856 situat în Agenția Rebreanu din mun. București, retragerile de numerar fiind efectuate în data de 03.09.2016 în intervalul orar 22:29-22:32 în valoare totală de 208.000 lei. Analiza procesului-verbal din data de 23.11.2016 (f. 31-35 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana  prezentă în fața ATM-ului și care a  preluat banii a fost un bărbat, ce purta pe cap o șapcă de culoare închisă, iar în spate purta un rucsac negru, în care a introdus ulterior ceva, după ce la dat jos. Din imagini se mai observă că persoana avea căști audio într-o ureche, conectate cu fir alb la un dispozitiv, probabil telefon. 

11). la bancomatul RZBN0911 situat în Agenția Națiunile Unite din mun. București, retragerile de numerar fiind efectuate în data de 03/4.09.2016 în intervalul orar 23:58-00:11 în valoare totală de 66.000 lei. Analiza procesului-verbal din data de 18.11.2016 (f. 18-19 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana  prezentă în fața ATM-ului și care a preluat banii a fost un bărbat, ce purta ochelari de soare, iar pe cap o șapcă de culoare închisă, iar pe umărul stâng avea un rucsac tip ghiozdan. Din imagini se mai observă că persoana a fost surprinsă de camerele de supravegheri vorbind tot timpul la un telefon mobil, ce era ținut la ureche. De asemenea, s-a constatat că acest bărbat este același care a retras anterior banii și de la Agenția Magheru.

12). la bancomatul RZBN0947 situat la Agenția Mărgeanului din mun. București, retragerile de numerar fiind efectuate în data de 03.09.2016 în intervalul orar 22:26-22:56 în valoare totală de 304.000 lei. Analiza procesului-verbal din data de 17.11.2016 (f. 16-17 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana prezentă în fața ATM-ului și care a preluat banii a fost un bărbat, ce purta un hanorac închis la culoare, având gluga trasă pe cap și o șapcă cu cozorocul parțial alb, această persoană având asupra sa un rucsac tip ghiozdan și vorbind la un telefon mobil, ce era ținut la ureche. De asemenea, s-a constatat că acest bărbat este același care a retras ulterior banii și de la Agenția Națiunile Unite.

13). la bancomatul RZBN0938 situat la Agenția Magheru din mun. București, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 19:39-19:52 în valoare totală de 104.000 lei. Analiza procesului-verbal din data de 16.11.2016 (f. 14-15 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana  prezentă în fața ATM-ului și care a preluat banii a fost un bărbat, ce purta ochelari de soare, iar pe cap o șapcă de culoare închisă, iar pe umărul stâng avea un rucsac tip ghiozdan. Din imagini se mai observă că persoana a fost surprinsă de camerele de supravegheri vorbind tot timpul la un telefon mobil, ce era ținut la ureche.

14). la bancomatul RZBN0956 situat în Agenția Trapezului din mun. București, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 23:04-23:07 si 21:45-21:53 în valoare totală de 88.000 lei. Analiza procesului-verbal din data de 25.11.2016 (f. 44-47 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana  prezentă în fața ATM-ului și care a  preluat banii a fost un bărbat, ce purta pe cap o șapcă de culoare închisă și care  avea căști audio într-o ureche, conectate cu fir alb la un dispozitiv, probabil telefon. 

15). la bancomatul RZBN0977 situat în Agenția Ghencea din mun. București, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 22:01-22:17 si 22:33-22:56 în valoare totală de 226.000 lei. Analiza procesului-verbal din data de 15.11.2016 (f. 12-13 vol. II d.u.p.), care face trimitere la imaginile surprinse de camerele de supraveghere, relevă faptul că persoana  prezentă în fața ATM-ului și care a  preluat banii a fost un bărbat, ce purta pe cap o șapcă de culoare închisă și avea o geantă pe umărul drept. Din imagini se mai observă că persoana are avea în mâna stângă un obiect la care se uită ce pare a fi un telefon mobil, dar și faptul că a fost surprins doar cu capul aplecat.

16). la bancomatul RZBN0443 situat la A.J.O.M.S din mun. Pitești, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 18:49 si 23:14 în valoare totală de 78.000 lei.

17). la bancomatul RZBN1121 situat la Agenția Pavilionul Expozițional din mun. Constanța, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 21:50-22:07 însumând 112.000 lei.

18.) la bancomatul RZBN1105 situat la Universitatea Dunărea de Jos, Complex studențesc A.I. Cuza, cămin C din mun. Galați, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 21:02-21:32 în valoare totală de 90.000 lei.

19). la bancomatul RZBN0029 situat în mun. Suceava, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 23:02-23:12 în valoare totală de 50.000 lei.

20). la bancomatul RZBN0080 situat la Agenția Big Berceni din mun. București, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 22:40-22:44 si 22:58-23:09 în valoare totală de 118.000 lei.

21). la bancomatul RZBN0921 situat la Agenția Titan-Est din mun. București, retragerile au fost efectuate la 03.09.2016 în intervalul orar 18:50-18:51 în valoare totală de 12.000 lei;

22). la bancomatul RZBN0341 situat în Agenția Obcini, din mun. Suceava, au avut loc eliberări de numerar prin fraudă informatică în data de 03.09.2016, în intervalul orar 22:14-22:44 si 23:24-23:44, în valoare  de 318.000 lei.

23). la bancomatul RZBN0276 situat în Supermarket Billa din mun. Timișoara, retragerile au fost efectuate la 03.09.2016 în intervalul orar 22:49-23:04 în valoare totală de 96.000 lei.

24). la bancomatul RZBN0383 situat la Magazin Loto din orașul Crevedia, jud. Dâmbovița, retragerile de numerar au fost efectuate la 03/4.09.2016 în intervalul orar 00:05-00:22, în valoare totală de 96.000 lei.

25). la bancomatul RZBN0448 situat la Agenția Farul din mun. Constanța, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 19:04-19:06 în valoare totală de 56.000 lei;

26). la bancomatul RZBN0529 situat în Agenția Bagdasar din mun. București, retragerile de numerar au fost efectuate pe 03.09.2016 în intervalul orar 18:56-18:57 în valoare totală de 8000 lei;

27).  la bancomatul RZBN0736 situat la Primăria Sectorului 6, din mun. București retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 18:35-18:54 și 19:14-19:44 în valoare totală de 208.000 lei;

28). la bancomatul RZBN0806 situat la O.N.R.C din mun. București, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 23:40-00:06 în valoare totală de 174.000 lei;

29). la bancomatul RZBN0946 situat la Poliția Locală Sector 4 din mun. București, retragerile de au fost efectuate la 03.09.2016 în intervalul orar 00:10-00:14 în valoare totală de 36.000 lei;

30). la bancomatul RZBN0200 situat la D.G.F.P. din mun. Suceava, retragerile de numerar au fost efectuate în data de 03.09.2016 în intervalul orar 18:25 si 17:38 în valoare totală de 144.000 lei.

31). la bancomatul RZBN0936 situat la Sews. Romania HD din mun. Orăștie, încercările au fost efectuate în data de 03.09.2016 în intervalul orar 19:17.

După consumarea fraudei informatice, MBR-ul controlerului de domeniu al ATM-urilor a  fost suprascris pentru a fi dezactivate serverele interne ale băncii Raiffeisen Bank.

Instanța constată că modul de operare al celorlalți membri ai grupării la celelalte 31 de bancomate compromise a fost identic cu cel folosit la bancomatul RZBN0837 din Iași, bdul Alexandru cel Bun, de unde a retras (preluat) banii inculpatul CD. Astfel, așa cum rezultă din exemplele de la pct. 1)-15), toți ceilalți membri ai grupării infracționale au fost organizați și echipați similar, având asupra lor, pe de o parte, rucsacuri (genți) și articole de vestimentație (șapcă sau pălărie ori hanorac cu glugă sau ochelari de soare) care să le asigure protecția fizionomiei, iar, pe de altă parte, terminale GSM (cu sau fără căști hands-free) care să le asigure comunicarea permanentă cu coordonatorii și/sau autorii fraudelor informatice.

Într-adevăr, la ATM-utile menționate mai sus au acționat, așa cum rezultă din imaginile surprinse de camerele de supraveghere video, de regulă, grupuri de câte două persoane concomitent sau succesiv. Aceștia aveau, la fel ca și inculpatul CD rucsacuri sau genți pentru a ridica banii, șepci sau pălării, ochelari de soare și se coordonau cu făptuitorii care acționau informatic și comandau prin fraudă informatică eliberarea banilor prin utilizarea aplicațiilor de comunicare de date pe tot parcursul operațiunilor de eliberare prin fraudă de numerar de către ATM uri.

Participarea unui număr mare de persoane având rolul de a încasa sumele astfel eliberate, atacurile sincronizate și coordonate de la un centru de comandă probabil din Rusia început încă din luna august 2016 asupra sistemelor informatice ale Raiffeisen Bank, folosirea de servere proxy care ascund identitatea pe internet (adresele IP 94.140.120.179  si 188.214.129.65 ), modalitatea complexă de penetrare a sistemelor de securitate a sistemelor informatice ale băncii Raiffeisen Bank, probează existența unei grupări infracționale organizate folosind metode informatice de înlăturarea a urmelor digitale ale acțiunilor, abilități și un nivel de pregătire tehnică deosebită.

Acțiunea de fraudare a Raiffeisen Bank a fost concepută cu desfășurare în timp și organizată în etape succesive de desfășurare: compromiterea rețelei de computere la nivel central, compromiterea unor servere de domenii și obținerea de aplicații specifice pentru implementarea acestora în sistemele informatice ale ATM urilor, implementarea și comandarea acestor aplicații informatice în sistemele informaționale ale ATM-urilor la momentul fraudei informatice.

De asemenea, gruparea a fost constituită și dintr-un palier cu rol de asigurare a produsului infracțional, din membrii cu rolul de a asigura încasarea banilor eliberați de ATM-uri. Astfel din probele administrate rezultă că au acționat peste 60 de persoane care au avut rolul de ridicare a numerarului bănesc.

Aceștia au folosit pentru comunicare cartele PrePay special achiziționate, aplicații de comunicare specifice modului online, echipamente adecvate care să le asigure anonimatul (folosirea de șepci, ochelari de soare care ascund fizionomia), folosirea de servere Proxy care ascund identitatea pe internet, iar toate acestea, împreună cu modalitatea complexă de penetrare a sistemelor de securitate a sistemelor informatice ale băncii Raiffeisen Bank, sunt tot atâtea elemente probează existenta unei grupări infracționale organizate care a acționat pe teritoriul național și din care a făcut parte și inculpatul CD.

Se mai reține și că, potrivit procesului-verbal din data de 25.11.2016 (f. 158 – vol. I d.u.p.), în urma investigațiilor specifice, a analizei surselor deschise, a informărilor obținute de la Europol și de la autoritățile judiciare străine care au investigat atacuri informatice similare, dar și de la experții Group IB (care au analizat și atacurile informatice asupra Raiffesein Bank), s-a constatat că astfel de atacuri informatice folosind același virus Cobalt (denumit de presă și Ripper) au mai fost semnalate în perioada august 2015-august 2016 asupra unor instituții bancare din Asia și Europa, obținându-se date că ar fi vorba de aceeași grupare infracțională care își are originea în Rusia, în toate celelalte cazuri fiind vorba de un mod de operare asemănător, respectiv de acțiuni coordonate de la un centru de comandă din Rusia, prin infectarea sistemelor bancare prin email-uri cu module ale aplicației malițioase Cobalt și de retrageri de numerar fără folosirea de carduri bancare. Potrivit aceluiași proces-verbal, experții Group IB au raportat atacuri similare în 16 țări. Ultimele două atacuri, cu același mod de operare, au avut loc în Taipei - Taiwan în mai 2016 (prejudiciul fiind de 2.2 mil USD) și în perioada iulie-august 2016, când au fost atacate serverele a două bănci din Thailanda (prejudiciul cauzat fiind de 350.000 USD).

* * *

14.3. În ceea ce privește activitatea inculpatului CD, faptul că acesta a aderat la gruparea infracțională (și sprijinit-o), având reprezentarea acestui lucru, precum și faptul că a fost și era în legătură cu ceilalți membri ai grupării și că nu a acționat singur în noaptea de 03/04.09.2016 rezultă și din următoarele aspecte faptice dovedite:

a)nu toate terminalele GSM găsite asupra inculpatului CD îi aparțineau, probele administrate în cauză relevând că doar telefonul marca Samsung si marca LG erau ale acestuia, respectiv doar cu acestea intrase în țară. În plus, inculpatul a comunicat, în ziua de 03.09.2016, telefonic sau prin intermediul aplicației Viber, în vederea comiterii infracțiunilor, cel puțin cu două persoane diferite. În acest sens, instanța are în vedere următoarele argumente:

●→ martorii IA și logodnicul NC, cu autoturismul cărora inculpatul a intrat pe teritoriul României, au declarat că au remarcat faptul că, la controlul vamal, asupra inculpatului s-au găsit două telefoane: unul cu touch-screen pe care în avea asupra sa și unul mai mic pe care în avea în rucsac. Așa cum s-a menționat mai sus, primul telefon este telefonul personal al inculpatului marca LG de pe care le-a arătat martorilor imagini cu ambarcațiuni, iar cel de-al doilea este telefonul marca Samsung.

● → inculpatul a declarat, în faza de urmărire penală, că se afla în România în scop turistic, respectiv ”pentru a mă recreea, intenționând să viziteze capitala țării, București, iar pe traseu să vizionez mai multe ambarcațiuni, întrucât intenționam să cumpăr în viitor o barcă de 4-5 m cu motor, la mâna a doua, pentru că mă ocup cu recondiționarea bărcilor”. În fața instanței, inculpatul nu a dorit să dea declarație, dar, prin intermediul apărărilor făcute de avocatul ales, a insistat în a susține că scopul venirii sale în România a fost un profesional, legat de vizionarea unor ambarcațiuni. Instanța reține, mai întâi, că este puțin credibil ca o persoană aflată fie în scop turistic, fie în scopul profesional invocat (în special în faza de judecată), să achiziționeze trei cartele telefonice în rețeaua Orange pentru a le folosi pe teritoriul României în trei terminale GSM diferite. Asupra inculpatului a fost găsit și un telefon marca LG (personal) în care se afla cartela SIM Orange cu seria 1412121394117 și care, conform datelor furnizate de operatorul de telefonie mobilă Orange România, nu a realizat trafic de date sau de comunicații de voce sau SMS. În al doilea rând, în opinia instanței, este foarte puțin credibil că scopul venirii inculpatului în România a fost unul profesional (de a vedea ambarcațiuni), în condițiile în care, pe de o parte, nici mun. Iași și nici mun. București nu sunt orașe-porturi (unde ar fi putut fi identificate în mod facil ambarcațiuni) și nici pe traseul dintre Iași și București nu sunt orașe-porturi, iar, pe de altă parte, inculpatul nu a putut justifica ce a făcut toată ziua în mun. Iași și de ce a ales să rămână peste noapte în acest oraș, dacă scopul venirii sale era acela anterior invocat.

● → așa cum rezultă din procesele-verbale întocmite în cauză, în urma perchezițiilor informatice, telefonul mobil marca LG (care s-a dovedit a fi telefonul personal al inculpatului, conținând multiple date personale și peste 300 de contacte, între acestea neregăsindu-se însă nici unul dintre cele găsite în telefoanele Samsung și Apple și nici numerele aferente acestora), nu a mai fost utilizat de inculpat după data de 02.09.2016, ora 17,55, în registrul apel nefiind identificată nici o conversație de tip voce ulterioară, ceea ce apare ce fiind nefiresc. În același sens, se reține că, în acest  telefon marca LG se afla cartela SIM Orange cu seria 1412121394117, care, conform datelor furnizate de operatorul de telefonie mobilă Orange România, nu a realizat trafic de date sau de comunicații de voce sau SMS pe data de 03.09.2017. Or, dacă inculpatul ar fi venit în România în scopurile arătate de el (turistic sau pentru a vedea ambarcațiuni) pare nefiresc să nu aibă nici o legătură telefonică cu nici o persoană apropiată, timp de aproape 30 de ore, singura explicație rezonabilă fiind aceea că a venit în scop infracțional și a evitat să discute pentru a îngreuna localizarea și depistarea sa ulterioară.

●→  spre deosebire de telefonul personal marca LG găsit în rucsac (și care nu a fost utilizat la

comiterea faptelor), cele două terminale GSM găsite asupra sa la controlul corporal, respectiv marca Samsung și marca Apple, nu aveau memorate date de contact sau aveau doar unul sau două contacte stocate pe cartelele SIM cu care funcționau. Astfel, în cartela SIM din telefonul marca Samsung a fost identificat un contact reprezentat de propriul număr de apelare al cartelei SIM funcționale, respectiv contactul Ara cu nr.- (utilizat de inculpat în acea zi) și contactul C cu numărul de apelare - (datele de trafic transmise de operatorul de telefonie mobilă Orange relevând că, în ziua de 03.09.2016, între aceste două numere de telefon au avut loc mai multe sesiuni de comunicații voce sau SMS). Pe de altă parte, în  telefonul marca Apple model Iphone 5 a fost identificată cartela cu seria IMSI 226104013446463 și numărul de apelare - al propriei cartele SIM, precum și trei numere scurte ale Operatorului Orange.  Acest fapt este de natură a proba că aceste telefoane mobile au fost dedicate activității infracționale, iar cartelele SIM au fost special achiziționate în acest scop.

● → telefonul marca Apple model Iphone 5 nu avea nici un contact memorat în sistemul de operare, ceea ce înseamnă că a fost dedicat folosirii exclusive pe internet. Potrivit percheziției informatice, din istoricul aplicației Viber rezultă că aceasta a fost instalată și activată pe acel terminal pentru numărul de telefon +- (prefix de telefonie al Republicii Moldova), cel mai probabil la data de 02.09.2016, fiind primit în acest sens, la data menționată, codul de activare al aplicației (respectiv codul 668313). Telefonul a fost identificat în rețeaua WiFi din Republica Moldova, având în acest sens conexiuni la routere din aceasta țară.

●→ datele de trafic comunicate de operatorul de telefonie mobilă, respectiv listingurile comunicărilor sub forma apelurilor de voce sau transmitere de SMS-uri aferente cartelelor SIM cu numerele de apelare - (cartelă utilizată de inculpatul CD și identificată în telefonul marca Samsung) și - (ce a fost utilizată de o altă persoană) au evidențiat faptul că între acestea (prin telefoanele în care au funcționat), în data de 03.09.2016, au existat doar apeluri de tip voce. Astfel, de la numărul - utilizat de inculpatul CD sunt inițiate sau primite apeluri de tip voce către/de la numărul de -, prima cartela - găsită la inculpat în telefonul Samsung - fiind localizată în celula Tudor Vladimirescu, în intervalul 17:01:51-19:46:31. Între cele două numere a avut loc ultima sesiune de voce la ora 23:50:27, când utilizatorul numărului - (respectiv inculpatul CD) a fost localizat în celula din strada Gării nr.1, cu puțin timp înainte de a intra la Agenția Raiffeisen Bank din Alexandru cel Bun.  În schimb, între numărul de apel - utilizat de inculpatul CD și cartela cu numărul de apelare - (identificată în terminalul marca Apple model A1533) nu au fost înregistrate sesiuni de comunicare, ceea ce este de natură a dovedi că utilizatorul acestui post s-a aflat împreună cu inculpatul CD pe teritoriul mun. Iași. Acest fapt este și rezultatul analizei comunicărilor de date prin intermediul aplicației Viber de pe acest telefon marca Apple, care evidențiază ca telefonul a fost folosit exclusiv pentru comunicările prin internet, de tip voce sau mesagerie, realizate prin aplicația Viber de la acest telefon și pentru descărcări de hărți în format Google Maps. În plus, în condițiile în care inculpatul CD a susținut constant că nu cunoaște limba română, înseamnă că mesajele transmise și primite în limba română pe acest terminal marca Apple având ca obiect localizarea și distanța până la Agenția Alexandru a Băncii Raiffeisen (respectiv : ”Han tatar 2”; ”km?”; ”Îmi dă departe”; ”Kam ? km”; ”5km”; ”pe lok”;”ok”; ”5min”; ”Da îi înăuntru”; ”Răspunde”) au fost realizate de un alt membru al grupului infracțional din echipele cu rol de retragere a banilor de la ATM-uri și care l-a însoțit pe inculpat în Iași, l-a călăuzit pe acesta la locațiile ATM-urilor transmise de palierul ce s-a ocupat cu realizarea fraudei informatice. 

Din cele anterior menționate, instanța reține că telefonul marca Samsung cu care inculpatul CD a intrat în țară a fost dedicat pentru a ține legătura în cursul zilei de 03.09.2017 până la ora 23:50:27 cu utilizatorul nr. -, membru al grupului infracțional încă neidentificat, iar telefonul marca Apple model Iphone 5 a fost primit de inculpat cu puțin timp înaintea intrării în sediul agenției bancare de la un alt membru al grupării, acest telefon fiind dedicat comunicării directe cu fie cu autorul atacului informatic, fie cu un alt membru al grupării infracționale care coordona concomitent atât pe inculpat, cât și pe cel ce realiza accesul ilegal la sistemul informatic al ATM-ului, cu consecința determinării eliberării frauduloase a numerarului în cuantum de 80.000 lei preluat de inculpat.

Împrejurarea că telefonul marca Apple a fost utilizat în acea noapte în scopul infracțional anterior menționat, inclusiv de către o altă persoană, rezultă din mesajele și imaginile transmise prin intermediul aplicației Viber identificate la percheziția informatică, ce vizează atât activitatea infracțională comisă la ATM-ul din bdul Alexandru cel  Bun, cât și activitatea infracțională comisă la ATM-ul din Iași, str. Eternitate (Farmacia Ropharma). Astfel, în jurnalul comunicărilor prin Viber a fost identificată ca fiind primite la ore diferite două fotografii  ale unor hărți google.maps pe care, alături de evidențierea locației altor bancomate ale Raiffesein Bank, sunt marcate în mod special ATM-urile de pe str. Eternitate (într-una din imagini) și, respectiv, de pe bdul Alexandru cel Bun (într-o alată imagine), cu indicarea adresei integrale și a adresa IP-ului alocată de bancă fiecăruia dintre cele două ATM-uri. (Este vorba de o adresă IP internă, asociată în cadrul unei rețele informatice private, ceea ce însemnă că persoana care a transmis aceste imagini/hărți avea posibilitatea de a penetra rețeaua informatică a băncii și de a accesa sistemele informatice ale celor două bancomate (f. 60-63 – vol. I d.u.p.).

 Prin urmare, inculpatul CD a comunicat și s-a aflat în legătură cu cel puțin 2 persoane : 1) cel care a transmis imaginile-hărți prin Viber și cel cu care a comunicat prin sesiune voce prin aceeași aplicație în timp ce se afla în incinta agenției bancare, dar și cu puțin timp înainte; 2) cel de la care a primit telefonul marca Apple și care, probabil, este același care a utilizat anterior, nr. -, într-un alt telefon. În măsura în care utilizatorul nr. -  a fost o altă persoană decât cea care i-a înmânat telefonul marca Apple model Ipfone, atunci însemnă că inculpatul a interacționat în scop infracțional cu cel puțin trei persoane.

 De asemenea, se mai reține că, accesând aplicația Viber și mesajele transmise prin aceasta, inculpatul CD a putut să ia cunoștință și de prima imagine, respectiv harta google.maps cu locația ATM-ului din str. Eternitate, transmisă anterior în cadrul aceleași sesiuni de chat tip messenger, și, astfel, să aibă o dată în plus reprezentarea contextului în care comite fapta și a anvergurii acțiunilor grupării infracționale.

 La aceasta se adaugă faptul că, anterior, posesorul telefonului în discuție, îi transmisese un mesaj prin Viber către utilizatorul Bbb45  (nr. -) - de la care s-au primit fotografiile cu hărțile pe care erau marcate locațiile ATM-urilor - cu textul ”Da îi înăuntru”, la ora 23:29, ceea ce însemnă că i-a confirmat acestuia faptul că la acea oră un alt participant (care, potrivit imaginilor surprinse de camerelor de supraveghere, nu era inculpatul CD) intrase deja înlăuntrul Farmaciei Ropfarma de pe str. Eternitate din Iași de la care, în intervalul 23:34-23:43, au fost retrași, în aceeași  modalitate, suma de 104.000 lei.

● → coroborând datele obținute în urma investigației informatice a sistemelor informatice ale Raiffeisen Bank efectuate de aceasta, cu percheziția informatică a stației de lucru controler ”C026ATM3” (adresa IP -) rezultă că inițierea atacului informatic asupra acesteia și realizarea conexiunii RDP la sistemul informatic al ATM0837 din Agenția Alexandru cel Bun din Iași a avut loc la ora 23:55:51, aproape concomitent cu sosirea inculpatului CD la bancomat. Acesta a ajuns în sediul agenției în jurul orelor 00,00, vorbind la telefonul marca Apple model Iphone 5, prin intermediul aplicației Viber. Așa cum rezultă și din analiza imaginilor surprinse de camerele de supraveghere, imediat după ce ajunge în fața ATM-ului, inculpatul CD și-a pregătit rucsacul și a continuat să comunice în permanență utilizând telefonul marca Apple model Iphone 5, prin conexiunea de internet (așa cum rezultă si din listingul aferent cartelei telefonice folosite la acel moment : -) cu realizatorul fraudei informatice. Inculpatul a intrat în sediul agenției bancare având în mână telefonul Iphone și fără a scoate vreun card bancar și fără a efectua operațiuni la ATM a continuat să comunice la telefon. În jurnalul aplicației Viber este evidențiată o comunicare inițiată la ora 8:53:31 PM  UTC+0 (23:53:31 ora României) care a durat 5 minute, după care conexiunea s-a întrerupt. Inculpatul CD a încercat să refacă comunicarea prin aplicația Viber (așa cum rezultă din imaginile surprinse de camerele de supraveghere de la ATM), iar la ora 8:59:26 PM. UTC+0 (23:59:26 ora României) conexiunea prin aplicația Viber este refăcută și durează 21:03 de minute. Între timp, atacatorii informatici au refăcut conexiunea RDP la sistemul informatic al ATM-ului la ora 00:03:08, după ce și aceasta fusese întreruptă, probabil ca urmare a întreruperii comunicării prin Viber. Începând cu ora 00:07, inculpatul retrage/preia banii eliberați de ATM și comunică prin telefonul Iphone folosind sesiunea de date și aplicația Viber (conform jurnalului acestei aplicații și a imaginilor de la ATM).

● → împrejurarea că telefonul marca Apple model Iphone 5, utilizat în scop infracțional, a fost folosit de altă persoană decât inculpatul CD până la momentul ajungerii la agenția bancară din cartierul Alexandru cel Bun este probată și prin faptul că asupra inculpatului CD nu s-a găsit cablul de alimentare al acestui telefon, fiind de notorietate că acestea au astfel de accesorii dedicate. Inculpatul avea asupra sa cablurile de alimentare ale telefoanelor marca Samsung și LG. În condițiile în care deplasarea inculpatului în Iași a fost de durată, iar telefonul marca Apple model Iphone 5 a fost dedicat comunicărilor prin internet dintre membrii grupării este evident că sistemul de alimentare al acestuia a rămas la persoana care, de fapt, a acționat alături de inculpatul CD și care, probabil, a îndeplinit rolul de coordonator în teren al echipelor de cărăuși de bani.

b) modul de acțiune al inculpatului CD se circumscrie matricei de acțiune concepută de gruparea infracțională, întrucât :

●→ inculpatul a fost echipat cu rucsac și șapcă, acționând - până la un moment dat - într-o echipă de cel puțin două persoane. Acest fapt rezultă și din analizele imaginilor de la celelalte ATM-uri din țară;

●→ două din telefoanele găsite asupra sa nu aveau date de contact, fiind folosite în acest unic scop infracțional;

●→  la scurt timp după intrarea în țară cu au autoturism de ocazie, a coborât brusc din aceasta, în câmp, în scopul îngreunării identificării sale ulterioare;

●→atacurile informatice reprezentate de frauda informatică a fost comandate de la distanță la momentul comunicat de echipele din fața ATM-urilor bancare, care au confirmat prezența la ATM uri. Fiecare membru al acestei rețele realiza comunicări tip voce cu ajutorul terminalelor GSM pe care le aveau asupra lor, pe toată perioada de timp în care ATM-ul elibera numerar. Ca și în cazul inculpatului CD, din analiza imaginilor de la celelalte ATM-uri compromise de membrii grupării, rezultă că niciunul din cei prezenți la ATM–uri nu au atins tastaturile acestor și nu au introdus vreun card bancar, comunicând doar despre operațiunile efectuate de bancomat.

●→ caracterul organizat al grupului în care a acționat și inculpatul CD rezultă și din faptul că persoana care l-a călăuzit pe acesta în mun. Iași a primit pe telefonul marca Apple model Iphone 5 două fotografii realizate de o a treia persoană a ecranului unui alt terminal GSM. În imaginile respective se observă că au fost fotografiate două hărți în format google maps, în care sunt evidențiate cele două locații ale ATM-urilor Raiffeisen Bank la care au acționat membrii grupării în mun. Iași. Imaginile sunt ale unui telefon ce funcționa în rețeaua Life Cell din Republica Ucraina, hărțile au mențiuni în limba română, dar și cu caractere chirilice, fiind notate în mod expres adresele celor două ATM-uri. Sub denumirile acestora sunt menționate IP-urile stațiilor de lucru ale ATM-urilor, ceea ce dovedește că persoana ce a făcut aceste notații electronice cunoștea aceste IP-uri din interiorul rețelei informatice Raiffeisen Bank.

* * *

14.4. În concluzie, raportat la toate cele anterior menționate, instanța reține că, în cauză, există probe indubitabile din care rezultă că a existat un grup infracțional structurat pe cel puțin două paliere : unul cu abilități informatice având rolul de a identifica și exploata vulnerabilitățile sistemelor informatice și de securitate ale unor entități bancare (în speță Raiffeisen Bank), de a compromite sistemele informatice ale acestora prin introducerea de malware, iar, ulterior, de a asigura deținerea controlului informatic și comanda ATM-urilor bancare (pe care le-au accesat ilegal în 03/04.09.2016) și, respectiv, unul cu rolul de a asigura preluarea numerarului eliberat prin fraudă informatică de la ATM-uri compromise și controlate de la distanță, asigurând practic produsul infracțiunii.

De asemenea, se reține că, în cauză, s-a probat că membrii grupării infracționale de pe cele două paliere au comunicat constant în ziua de 03.09.2016, acționând concertat și coordonat, datele cauzei relevând că acțiunile au fost coordonate de un centru comun de comandă. Acest lucru, rezultă, pe de o parte, din aceea că activitatea infracțională de compromitere și obținere a controlului asupra sistemelor informatice relevante ale Reiffesin Bank a avut loc la începutul lunii august, iar activitatea de accesare ilegală a sistemelor informatice ale ATM-urilor și de introducere și modificare de date informatice (cu consecința determinării eliberării frauduloase de numerar preluat de alți membri ai grupării) a avut loc la data de 03/04.09.2016, interval de timp în care este evident că a avut loc o activitate de planificare și pregătire infracțională. Pe de altă parte, concluzia existenței unui centru de comandă ce a coordonat activitățile infracționale și pe membrii grupării din cadrul celor două paliere rezultă și din aceea că: 1) din palierul grupării cu rol de preluare a numerarului de la cele 32 de bancomate compromise au făcut parte peste 60 de persoane (în medie câte 2 la fiecare ATM, chiar dacă nu ambele persoane au stat lângă bancomat); 2) în cazul mai multor bancomate dintre cele 32 de ATM-uri compromise, activitatea de retragere a numerarului a avut loc în același interval orar (de exemplu: în intervalul orar 23:24-23:44 la Agenția Obcini-Suceava, în intervalul 23:34-23:43 la ATM-ul de la Farmacia Ropfarma din Iași, în intervalul 23:21-23:28 la Agenția Domnească din Galați, în intervalul 23:40-00,06 la ONRC - București), ceea ce însemnă că au existat mai mulți atacatori informatici (membrii ai grupării infracționale care au accesat ilegal sistemele informatice ale bancomatelor determinând eliberarea de numerar).

Pe de altă parte, se reține că s-a probat indubitabil faptul că grupul infracțional organizat în discuție a fost constituit cel mai târziu la începutul lunii august 2016 (pe 09.08.2016 - când s-a reușit ”infectarea” unora dintre sistemele informatice centrale ale Raiffesein Bank), ulterior acționând în mod concertat și planificat timp de cel puțin cca. o lună de zile, respectiv cel puțin până la data de 04.09.2016 (ultimul moment în care s-au preluat banii de la ATM-urile compromise). De asemenea, din probele administrate în cauză și, mai ales, din rezultatele materiale ale acțiunilor coordonate ale grupului infracțional organizat rezultă că acest grup a acționat în scopul comiterii mai multor infracțiuni informatice, respectiv cel puțin a infracțiunilor de ”fraudă informatică” prev. și ped. de art. 249 Cod penal și ”acces ilegal la un sistem informatic” prev. și ped. de art. 360 alin.1,2 și 3 Cod penal.

În fine, instanța reține că analiza probelor administrate în cauză relevă că din gruparea infracțională au făcut parte mult mai mult de 3 persoane și că inculpatul CD a interacționat în acea zi, în scopul comiterii infracțiuni, cel puțin cu încă doi participanți, așa cum s-a detaliat mai sus, având deplina reprezentare a caracterului infracțional al acțiunilor sale și a consecințelor acestora.

 Sub acest aspect, instanța reține că nu are relevanță împrejurarea că nu au fost identificați ceilalți participanți (de altfel, o astfel de cerință nici nu este impusă de textul de lege), fiind suficient faptul că s-a probat că este vorba de un grup infracțional structurat, din care au făcut parte zeci de persoane, ce a acționat coordonat, pe o anumită perioadă de timp, în care membrii diferitelor paliere aveau atribuții și rolul precise, la care se adaugă faptul că s-a probat indubitabil faptul că inculpatul CD a interacționat cu cel puțin alți doi membri ai grupului infracțional organizat, a căror implicare, de asemenea, a fost evidențiată.

Rolul inculpatului CD a fost de a sprijini/ajuta autorii atacului informatic pentru a realiza frauda informatică (prin furnizarea în timp real, din fața bancomatului a datelor necesare, respectiv confirmarea prezenței sale acolo, a împrejurării că nu mai sunt alte persoane de față și că poate fi lansat atacul informatic, a mesajelor afișate de bancomat, a faptului că ATM-ul a început să elibereze bani și, în fine, a împrejurării că a terminat de preluat numerarul și că va pleca, pentru ca autorii să procedeze apoi la suprascriere și repornirea sistemului informatic), dar, în special, de a prelua numerarul eliberat de bancomat, respectiv de a asigurarea obținerea produsului infracțional, în baza unei înțelegeri prealabile în acest sens.

*  *  *

 15. Analiza probelor :

 Situaţia de fapt astfel cum a fost reţinută de instanţă, a fost dovedită, pe deplin, cu mijloacele de probă la care s-a făcut deja trimitere mai sus, respectiv:

a)→ percheziția stației de lucru cu numele de utilizator ”patrinoiu”(f.226 și urm. vol. I d.u.p.)

În urma efectuării percheziției informatice asupra copiei/clonei stației de lucru cu numele de utilizator patrinoiu din calea D\Users\crlpatrg\AppData\Local\Temp\notes758E9C a fost identificat și extras fișierul ~$e rules for European banks.doc. Acest fișier a fost creat, accesat și scris la data de 09.08.2016 la ora 14:45 și avea o dimensiune logică de 162 Bytes.

Având în vedere caracteristicile și conținutul acestui fișier s-a stabilit că, la data de 09.08.2016, la ora 14:45, de pe stația de lucru cu numele de utilizator ”patrinoiu” a fost accesat un fișier ce conține în denumire textul “rules for European banks”, fișier cu extensia .doc.

Ca urmare a accesării acestui fișier, sistemul informatic a creat un fișier temporar reprezentat de fișierul ~$e rules for European banks.doc, fișier care prelucrează eventualele modificări realizate de utilizatorul Word cu numele “Gabriel Patrinoiu”. De altfel, toate documentele realizate în cadrul unui sistem informatic păstrează denumirea utilizatorului care creează sau prelucrează un document, urmare a setărilor privind numele de autor pentru programul informatic Microsoft Word. Având în vedere calea în care a fost scris și executat fișierul rules for European banks.doc a rezultat că acesta a fost deschis de pe un server de email configurat prin IBM Notes/Domino. Drept urmare, acest fișier a fost deschis în cadrul unei sesiuni de navigare pe email.

Fișierul original cu denumirea rules for European banks.doc nu a putut fi recuperat de pe stația de lucru cu numele de utilizator patrinoiu.

După accesarea fișierului ce conține în denumire “e rules for European banks.doc”, sistemul informatic a suferit o serie de modificări. Aceste modificări au dus la prăbușirea aplicației deschise Microsoft Word și redeschiderea ei. Modificările care prezintă aspect dăunător au fost legate de:

● →pornirea executabilelor rundll32.exe, reg.exe și nslookup.exe.

Rundll32.exe : Acest executabil permite lansarea fișierelor de sistem .dll (Dynamic Link Library), dat fiind faptul ca acestea nu pot fi lansate direct.

Reg.exe : Acest executabil permite modificarea de regiștri pentru sistemul de operare din consolă.

Nslookup.exe : Acest executabil este folosit în cadrul unui sistem informatic pentru a afla numele (de rețea) și adresa IP a fiecărui utilizator dintr-o rețea ;

● →crearea fișierului 590aee7bdd69b59b.customDestinations-ms , descoperit în cadrul sistemului informatic Patrinoiu, în calea D\Users\crlpatrg\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms. Acest fișier arată faptul că au fost folosite funcționalitățile programului informatic PowerShell, acțiune realizată de atacatori.

● → crearea fișierelor iusb3mon.exe, msvcr100.dll, crss.dll (a fost înlocuit o zi mai târziu)  Aceste fișiere au fost scrise cel mai probabil prin intermediul liniei de comandă Powershell. Aceste fișiere sunt legate de fișierul creat, scris, accesat la data de 10.08.2016 ora 10:52, fișier identificat în D\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\ , fișier cu denumirea crss.dll ce a suferit modificări la data de 10.08.2016, ora 10:55. Acest fișier are valoarea hash MD5: cafab9cc40ad0bd1cbec2164e17c8216 ;

Fișierul iusb3mon.exe descoperit în D\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\ , hash c91658349005a2f1c92a20132de38486 a fost configurat să ruleze prin intermediul unui shell funcționalitățile crss.dll (care permit conectarea și descărcarea de software).

●→ folosirea funcționalităților programului PowerShell, dat fiind faptul că acest eveniment a fost înregistrat în  fișierul jurnal Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx din calea D\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx

Din calea D\Windows\System32\winevt\Logs\ au fost extrase mai multe fișiere cu extensia .evtx.

Analizând conținutul fișierului Security.evtx , folosind programul informatic Event Viewer  (în cadrul unui sistem informatic în calea D\Windows\System32\winevt\Logs\  se păstrează jurnale de evenimente ale sistemului de operare instalat), s-a dovedit că, de pe acest sistem informatic, au fost întreprinse, după data de 09.08.2016 ora 14:45,  următoarele acțiuni:

▪→la data de 09.08.2016, ora 14:54, se înregistrează o autentificare (pentru servicii) folosindu-

se numele de rețea MRLPATRG1, solicitarea putând veni de la o aplicație rău intenționată (malware). Această autentificare primește privilegiile “SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege” (privilegii speciale care permit controlul total al sistemului informatic)

Aceste procese de conectare și setare privilegii se repetă la 09.08.2016, ora 14:57:40.

▪→la data de 09.08.2016, ora 15:03, pe sistemul informatic este activat serviciul numit “Secondary Logon Service” ;

▪→la data de 09.08.2016, la ora 15:03:46,  utilizatorul autentificat prin Secondary Logon Service primește privilegiile “SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege”;

▪→ la data de 09.08.2016, la ora 15:04:17, folosind credențialele de acces ale userului admin_rba, de pe calculatorul crlpatrg se realizează încercarea de autentificare pe sistemul informatic cu numele (de rețea)  c026vicog.RBRO.RBG.CC

▪→ la data de 09.08.2016, la ora 15:05:04, folosind credențialele de acces ale userului admin_rba, de pe calculatorul crlpatrg se realizează încercarea de autentificare pe sistemul informatic cu numele (de rețea)  c026vicog.RBRO.RBG.CC

▪→ din data de 09.08.2016, în intervalul 15:22:20 – 16:05:22, folosind credențialele de acces ale userului admin_rba, de pe calculatorul crlpatrg se realizează încercarea de autentificare pe un număr de 5420 de sisteme informatice (sisteme ce au legătură cu rețeaua informatică aparținând Raiffeisen).

Dintre aceste conectări au o deosebită relevanță:

●  Conexiunea din 09.08.2016, ora  15:37:40, la serverul cu numele de rețea X021DV01.RBRO.RBG.CC, conectare ce a fost solicitată de la sistemul informatic cu denumirea de rețea crlpatrg (folosind credențialele admin_rba) de fișierul ~WRO8199.tmp din calea C:\Users\crlpatrg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\

Această conectare arată faptul că folosindu-se un document cu tip text (doc, rtf, docx, etc) a fost realizată o acțiune de conectare la un sistem informatic din rețea, acțiune care nu prezintă un tipar obișnuit și poate fi catalogată în acest caz ca fiind malițioasă.

● Conexiunea din 09.08.2016, ora 15:22:29, la serverul cu denumirea S056OP01 conectare ce a

fost solicitată de la sistemul informatic cu denumirea de rețea crlpatrg (folosind credențialele admin_rba) de fișierul din calea  C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe .

Această operațiune descrisă în acest jurnal a fost repetată la data de 09.08.2016 la ora 15:53.

* *  *

b) →percheziția informatică a stației de lucru aferentă ATM-ului RZBN-0837 de la Agenția

Alexandru cel Bun din Iași (f.226 și f. 241 verso-f.243 vol. I d.u.p.)

În calea C\Windows\System32\winevt\Logs\ au fost extrase mai multe fișiere cu extensia .evtx. a căror analiză a stabilit că sistemul informatic ATM0837 a avut un comportament suspect începând cu data de 03.09.2016 ora 23:55:51. Aceste activități suspecte au constat în :

→ folosirea credențialelor utilizatorului abcdwxyz la 03.09.2016, la ora 23:55:51 și a sistemului

informatic cu adresa IP - pentru conectarea la sistemul informatic al ATM0837

→ folosirea credențialelor utilizatorului abcdwxyz, la 04.09.2016 ora 00:03:08 și a sistemului

informatic cu adresa IP -, pentru conectarea la ATM0837

→ dispoziția de repornire a ATM-ului 0837 făcută de utilizatorul abcdwxyz la data de 04.09.2016

la ora 00:15:07;

→ folosirea credențialelor utilizatorului abcdwxyz la 04.09.2016 ora 00:19:55 și a sistemului

informatic cu adresa IP - pentru conectarea la ATM0837 ;

→ ordinul de repornire a ATM-ului 0837 făcută de utilizatorul abcdwxyz la data de 04.09.2016 la ora 00:22:19.

Prin intermediul unui script care analizează modificările survenite pe sistemul informatic ATM0837 în intervalul 03.09.2016 ora 23:55 – 04.09.2016, ora 01:30, au fost descoperite ca fiind de o relevanță deosebită următoarele informații cu privire la sistemul ATM0837: scrierea, accesarea și modificarea folder-ului C\cim.

 Analiza  caracteristicilor acestui folder a stabilit că fișiere aflate în el au fost șterse la data de 04.09.2016 ora 00:21:44. Data creării folder-ului apare 20.07.2015, aceasta fiind data și ora sistemului informatic la momentul în care a fost creat acest folder. Folder-ul a fost preluat prin mutare pe sistemul informatic ATM0080 (păstrându-i-se astfel data creării lui pe sistemul informatic de pe care a fost mutat) sau a fost creat direct pe acest sistem informatic la 20.07.2015 ora 11:31:05, însă în conținutul lui au fost, la un moment dat, adăugate/șterse/modificate fișiere.

Au fost efectuate căutări după cuvintele cheie (d2.exe, d2s.exe, d2sleep.exe, del.bat, xtl.exe, sdelete.exe, sdel.exe, disp.exe, wr.exe, tw.exe, netscan.exe) fiind descoperite probe tehnice privind controlarea de la distanță a sistemului informatic al ATM-ului prin intermediul unor fișiere specifice altor sisteme informatice de comandă, care nu își aveau locul pe sistemul informatic al ATM-ului și care erau proprii computerelor de domeniu, respectiv celor de tipul controller din rețeaua Raiffeisen Bank.

* *  *

 c)→percheziția informatică a stației de lucru aferentă ATM-ului RZBN-0080, de la Agenția Big Berceni (f.226 și f. 238 verso-f.240 vol. I d.u.p.)

 În urma efectuării percheziție informatice asupra copiei/clonei hard-diskului ATM-ului RZBN0080 au fost identificate și extrase din calea C\Windows\System32\winevt\Logs\ mai multe fișiere cu extensia .evtx.

Analiza conținutul fișierelor jurnal Windows (.evtx), folosind programul informatic Event Viewer, a stabilit că sistemul informatic RZBN0080 a avut un comportament suspect la data de  03.09.2016. Aceasta se referă în principal la următoarele activități neautorizate :

→ la data de 03.09.2016,  la ora 22:34:42 s-a realizat autentificarea la acest sistem informatic,

de la distanța a utilizatorului abcdwxyz. Această autentificare a fost realizată prin intermediul adresei IP -.;

→  la data de 03.09.2016 ora 22:47:11 folosindu-se credențialele userului  abcdwxyz  s-a dispus

repornirea sistemului informatic RZBN0080;

→ ca urmare a repornirii, la data de 03.09.2016 ora 22:49:48, data și ora sistemului informatic

RZBN0080 s-au sincronizat cu data și ora sistemului c026atm3.RBROATM.RO (controller-ul de domeniu);

→ la data de 03.09.2016 la ora 22:50:29 s-a dispus autentificarea în sistemul informatic al ATM-ului, de la distanță, a utilizatorului abcdwxyz. Această autentificare a fost realizată prin intermediul adresei IP -.

 → la data de 03.09.2016, ora 22:51:47, terminalul informatic RZBN0080 întâmpină o problemă

și a deconectat clientul conectat care are adresa IP -.

 → la data de 03.09.2016, la ora 22:52:09, se realizează o nouă autentificarea la distanța a

utilizatorului abcdwxyz. Această autentificare este realizată prin intermediul adresei IP -.

 → la data de 03.09.2016, ora 23:11:17, folosindu-se credențialele abcdwxyz se solicită repornirea sistemului RZBN0080.

 → la data de 04.09.2016, ora 02:21:38, RZBN00080 nu reușește să comunice cu sistemul cu

identitatea de rețea c026atm3.RBROATM.RO pentru aflarea datei și orei.

Activitățile întreprinse (ce privesc ATM-ul RZBN00080) în noaptea de 03.09.2016/04.09.2016, în interval orar 22:34 – 02:36:38, în care au fost implicate sistemul informatic  c026atm3.RBROATM.RO  cu adresa IP - (controllerul de domeniu) și utilizatorul cu numele abcdwxyz. s-au materializat ulterior în ștergerea conținutului unor fișiere la data de 03.09.2016 ora 23:11:03 și înlocuirea cu alte fișiere noi.

Acestea aveau  amprenta creării folder-ului, probabil de pe computerul de domeniu, ca fiind 20.07.2015, aceasta fiind data și ora sistemului informatic la momentul în care a fost creat acest folder. Folder-ul identificat pe sistemul informatic al ATM-ului, fie a fost preluat prin mutare pe sistemul informatic ATM0080 (păstrându-i-se astfel data creării lui pe sistemul informatic de pe care a fost mutat), fie a fost un folder care a fost creat pe acest sistem informatic la 20.07.2015, ora 11:31:05, însă în conținutul lui au fost la un moment dat adăugate/șterse/modificate fișiere care să permită accesul de la distanță direct la computerul ATM-ului și efectuarea de operațiuni la acest sistem informatic prin intermediul unor fișiere de comandă specifice doar pe sistemul informatic central de domeniu și control al ATM-urilor.

* *  *

d).→ percheziția informatică a stației de lucru aferentă ATM-ului RZBN-0921 de la Agenția Titan Est București (f.226 și f. 240 -f.241 verso vol. I d.u.p.) a relevat faptul că din calea C\Windows\System32\winevt\Logs\ au fost extrase mai multe fișiere cu extensia .evtx.

Analizând conținutul fișierelor jurnal Windows (.evtx), folosind programul informatic Event Viewer, a rezultat că sistemul informatic ATM0921 a avut un comportament suspect la 03.09.2016, în intervalul 18:45 -  18:52. Acest comportament se referă în principal la următoarele activități: ● la data de 03.09.2016, la ora 18:45:43, au fost identificate ca fiind realizate autentificări de la distanța ale utilizatorului abcdwxyz prin intermediul adresei IP -, adresă corespunzătoare controller ului de domeniu; ● la ora 18:52:53,  folosindu-se credențialele abcdwxyz a solicitat repornirea sistemului informatic RZBN0921; ● mai există autentificări pe sistemul RZBN0921 ale utilizatorului abcdwxyz folosind controllerul cu adresa IP - la data de  03.09.2016, orele 19:55:02  și a dispus apoi repornirea sistemului ATM RZBN0921 la 20:01:54, iar la ora  20:10:30  a ordonat repornirea sistemului RZBN0921 la 20:15:38.

Prin intermediul unui script care analizează modificările survenite pe sistemul informatic RZBN0921, la data de 03.09.2016, în intervalul 18:40 – 19:00, au fost descoperite probe că la data de 03.09.2016, ora 18:52:23, a avut  loc scrierea, accesarea și modificarea folder-ului Desktop din calea C\Users\SSTAdmin1\. Această accesare avea legătură cu copierea și accesarea unor fișiere care au fost copiate,  în mod neautorizat,  pe Desktop-ul user-ului SSTAdmin1. Pentru a asigura controlul direct asupra sistemului informatic al ATM-ului prin copierea pe acest sistem informatic a fișierelor specific de comandă a funcționării lui și care se regăseau doar pe controlerul central.

* *  *

e) → percheziția informatică asupra copiei/clonei hard-diskului stației de lucru cu numele

XP_Sky, denumită C026N13  (f.226 și f. 243 vol. I d.u.p.)

 Această stație este identificată în rețea Raiffeisen Bank  ca fiind C026N13. Acest lucru reiese din interpretarea loguri-lor tip jurnal identificate în calea C\Windows\system32\config . Acestea au fost extrase din calea C\Program Files\Common Files\Java\Java Update fișiere ce corespund celor care au fost analizate de către specialiștii IB Group, în cadrul investigației interne a persoanei vătămate, acest computer fiind descoperit ca fiind infectat cu modulul Cobalt.

* *  *

f) – procesul-verbal din data de 25.10.2016 (f. 133-135  - vol. I d.u.p.) coroborat cu raportul de investigație internă (audit de securitate în urma incidentelor din 03.09.2016) realizată de Raiffeisen Bank, cu sprijinul experților Global Cyber Security Company - IB Group (f.136-146 și traducerea în română f. 161-200 – vol. I d.u.p.)

Astfel, se reține că persoana vătămată Raiffeisen Bank a efectuat propria investigație informatică a incidentelor de securitate ce au afectat rețeaua informatică bancară în perioada august–septembrie 2016. Din cuprinsul acestei investigații realizate de IB Group (entitate investigativă informatică ce a analizat incidentele de securitate ale rețelelor bancare din Armenia, Belarus, Bulgaria, Estonia, Georgia, Kârgâzstan, Moldova, Olanda, Polonia, România, Rusia, Spania, Marea Britanie și Malaiezia) au rezultat, în esență, următoarele:

 ‹‹În data de 09 august 2016 în rețeaua de poștă electronică Raiffeisen Bank au fost primite  2 emailuri identice în conținut care au fost expediate de la adresele de email : [email protected] și [email protected]. Emailul si atașamentul erau configurate să pară ca fiind trimise de la Banca Centrală Europeană. Emailul conținea un fișier RTF în atașament, fișier care exploata o vulnerabilitate a aplicației informatice Microsoft Word și care avea instalat un program malițios denumit Cobalt Strike. Acest fapt a fost confirmat de analiza informatică efectuată asupra computerelor infectate cât și de analiza conținutului atașamentului malițios. Programul rău intenționat a fost configurat de așa natură încât să instaleze o aplicație informatică  în computerul țintă și să preia controlul asupra acestuia. Totodată, acest conținut avea multiple funcții care includeau colectarea datelor din sistem, codurile de logare si obținerea accesului de la distanță.

Pentru a rămâne nedescoperită de sistemele de detectare a intruziunilor (IDS), conținutul a creat canale de acoperire folosind protocoale DNS , HTTP , HTTPS pentru a putea comunica cu serverele de comanda si control ale atacatorilor. Caracteristica cheie a programului Cobalt Strike fost aceea ca se executa în memoria volatilă a computerului infectat de natură a nu lăsa foarte multe urme digitale ale activității acestuia. Persistența malware ului în computerele infectate a fost posibilă prin folosirea de fiecare dată de către programul rău intenționat a unei setări care permitea acestuia evitarea semnăturilor informatice astfel încât îl făcea nedetectabil de sistemele tradiționale IDS (sisteme de protecție și semnalare a unor astfel de programe).

Emailul pentru [email protected] a fost deschis în data de 09 august 2016, la ora 14:45:01, de pe computerul numit MRLPATRG1 cu adresa IP 10.231.246.24. De asemenea, s-a constatat ca acest computer a fost punctul inițial de infectare, deoarece a fost primul computer care a comunicat cu centrul de comandă și control al atacului informatic. Aceste conexiuni au fost detectate în logările serverului proxy al corporației Raiffeisen Bank. După aceea conținutul  modulului Cobalt Strike a fost descărcat în memoria serverului de unde a fost declanșat atacul informatic care avea adresa IP 23.152.0.210 (adresă alocată unui utilizator neidentificat și localizat Satele Unite ale Americii), modul ce a fost executat de la distanță în computerul victimă al sistemului informatic Raiffeisen Bank. Modulul Cobalt Strike le-a asigurat făptuitorilor controlul de la distanță asupra computerului infectat.

 După executare, infractorii au obținut accesul (întru-un interval de 15 minute) la un cont de administrator local al rețelei prin găsirea unui fișier de configurare a domeniului care conținea parola de administrare. Apoi, autorii atacului informatic au decriptat acest fișier folosind parolele publice disponibile pe website-ul oficial al Microsoft. Fișierul de configurare de interes a fost disponibil atacatorilor pe fiecare computer din rețeaua bancară atacată.

 Folosind parolele obținute prin accesul neautorizat în sistem (acreditari compromise), membrii grupării infracționale au obținut accesul la alte dispozitive din rețeaua Raiffeisen Bank pe care le-au infectat. Acest fapt a fost confirmat de analiza logărilor de la computerul compromis inițial. Au fost identificate cel puțin 20 de calculatoare infectate de modulele Cobalt Strike.

O dată ce modulele aplicației dăunătoare au fost instalate, atacatorii au reușit sa controleze computerele din rețeaua bancare de la distanță. Software-ul antivirus și sistemele de detectare ale intruziunilor instalate în rețeaua organizației financiare nu au putut detecta urmele sau activitatea modulelor Cobalt Strike.

Specialiștii ce au analizat rețeaua informatică a persoanei vătămate au folosit propriul sistem de detectare a intruziunilor pentru a scana rețeaua informatică Raiffesen Bank, reușind astfel să detecteze toate incidentele cauzate de modulele Cobalt Strike și activitatea acestora. Specialiștii Group – IB au folosit scripturi particularizate pentru a detecta mostrele offline ale modulelor Cobalt Strike. Acest lucru a asigurat identificarea dispozitivelor informatice cu potențiale aplicații  malițioase ce au fost detectate în procesul de răspuns la incident .

În data de 3 septembrie 2016 acreditările compromise au fost folosite de către atacatori  pentru a accesa controlerele domeniului din rețeaua băncii și conectarea la ATM-uri prin protocolul desktop la distanță (RDP). În timpul mai multor astfel de sesiuni, programe malițioase a fost copiate pentru fiecare ATM. Programele erau destinate sa trimită o comanda ATM-ului, forțând eliberarea de numerar din casetele cu bani fără ca aceste operațiuni să fie rezultatul unor operațiuni bancare comandate la ATM-uri. După executarea unor astfel de operațiuni, fișierele erau șterse (astfel nu puteau fi recuperate sau au fost suprascrise cu alte date informatice) din ATM și acesta era repornit de către atacatori. Au fost identificate un nr. total de 32 de ATM-uri asupra cărora au acționat făptuitorii. După ce era ridicați banii de la bancomate, autorii fraudei informatice au încercat sa își ascundă urmele suprascriind componente cheie (master boot record) din controlerele de domeniu.››

Concluziile analizei efectuate de persoana vătămată se coroborează cu cele ale percheziției informatice efectuate în cauză.

* *  *

g) procesul-verbal din data de 25.11.2016 (f. 158 – vol. I d.u.p.) conținând aspectele constatate cu privire la alte activități infracționale similare semnalate (stabilite în urma investigațiilor specifice, a analizei surselor deschise, a informărilor obținute de la Europol și de la autoritățile judiciare străine care au investigat atacuri informatice similare, dar și de la experții Group IB, care au analizat și atacurile informatice asupra Raiffesein Bank);

* *  *

h) → procesul-verbal de prindere în flagrant a inculpatului CD. Acesta a fost depistat de agenții de pază ai SC ”G4S” SRL și predat organelor de poliție în noaptea de 3-4 septembrie 2016, fiind identificată asupra lui suma de 80.000 lei în bancnote de câte 100 lei eliberate de către ATM, iar la controlul corporal sumar au fost identificate telefonul mobil marca Apple model Iphone 5, telefonul mobil marca Samsung și suma de 100 lei. În rucsacul pe care îl avea asupra sa, au fost găsite articole de îmbrăcăminte și lenjerie, truse de igienă personală, telefonul marca LG cu încărcător, un încărcător marca Samsung, handsfree marca Samsung, încărcător de priză fără cablu pentru telefon marca Iphone, un card bancar, o cartelă SIM marca Megafon, o șurubelniță și înscrisuri olografe. Totodată au fost identificate actele de identitate, permisul de conducere si mai multe sume de bani, respectiv 205 lei moldovenești, 1145 grivne ucrainene, 150 USD, 4 ruble și 5 copeici.

Având în vedere bunurile găsite asupra inculpatului este puțin credibil că acesta s-ar fi aflat pe teritoriul României în scop turistic sau profesional. Asupra acestuia nu a fost găsit nici un bun care să facă dovada că vizita mun. Iași sau intenționa să se deplaseze în mun. București (hărți, liste cu obiective turistice, bilete de transport, lista unor hoteluri). Inculpatul nu a putut preciza ce obiective turistice a vizitat pe parcursul zilei de 03.09.2016 cât timp s-a aflat în mun. Iași.

Totodată din procesul-verbal de prindere în flagrant rezultă că inculpatul nu avea în posesie cablul de alimentare pentru telefonul marca Iphone, ceea ce întărește susținerea că acest terminal a fost utilizat în scop infracțional de altă persoană care l-a însoțit în mun. Iași.

În mod evident prezența inculpatului la ATM-ul Raiffeisen Bank din cartierul Alexandru cel Bun nu a fost întâmplătoare. În zona respectivă nu se află nici un hotel, pensiune sau motel (n.n.: faptele notorii nu trebuie probate) care ar fi justificat, conform declarațiilor inculpatului date în faza de urmărire penală, prezența acestuia, iar, în plus, în imediata vecinătate a agenției Raiffeisen Bank se mai aflau agențiile bancare Alpha Bank, BCR, Unicredit Bank și ING Bank. 

* *  *

i) → procesele-verbale de analiză a imaginilor înregistrate de cele trei camere de supraveghere de la agenția Raiffeisen Bank din cartierul Alexandrul cel Bun, coroborate cu rezultatul vizionării nemijlocite a acestor imagini în ședință publică. Din analiza acestor imagini rezultă că inculpatul CD își face apariția analiza la sediul agenției bancare venind în mod direct, hotărât către aceasta cu aproximație în jurul orelor 00:00. Inculpatul avea în mână telefonul marca Apple model Iphone, iar pe umăr un rucsac și imediat după ce ajunge la ATM începe să își desfacă rucsacul în timp ce discută la telefon. După aproximativ 4-5 minute, stând în fata ATM-ului fără a-l atinge și fără a utiliza vreun card, doar comunicând prin telefon, începe să retragă numerar (să preia teancurile de bani eliberate de bancomat) punând banii în rucsac. Inculpatul a efectuat un număr de 40 de acțiuni de retragere de numerar, după care și-a închis rucsacul și intenționa să plece din sediul agenției. Imaginile respective sunt doveditoare în privința faptului că : →inculpatul era în legătură permanentă cu alte persoane; →că eliberarea de numerar din fraudă s-a făcut în urma unei comenzi de la distanță după ce inculpatul a ajuns la ATM; →că acesta nu a avut nici pe departe intenția de a retrage bani folosind cardul bancar pe care îl avea asupra sa (cum a declarat în faza de urmărire penală când a afirmat că s-a aflat în acel loc pentru că vroia să scoată niște bani cu cardul pe care îl avea la el), deoarece, chiar din momentul în care a ajuns la ATM, a pregătit rucsacul pentru a încasa sumele de bani eliberate, nu a scos portofelul sau cardul bancar, nu a dat nicio comandă la ATM, pe care nici nu l-a atins. De asemenea, comparând aceste imagini cu planșele foto ce conțin imaginile surprinse de camerele de supraveghere de la celelalte bancomate la care au avut loc fraude informatice, se reține că modul de acțiune a inculpatului este similar cu al celorlalți membri ai grupului infracțional care a preluat numerarul de la acestea.

În plus, instanța remarcă faptul că după depistarea sa și sosirea polițiștilor, inculpatul le-a înmânat acestora telefonul mobil marca Ipfone pe care îl avea în mână și le-a arătat unele date (și probabil imagini) din telefon. De altfel, la termenul din 13.04.2017 când au fost vizualizate în ședință publică înregistrările camerelor de supraveghere , inculpatul a explicat că telefonul Ipfone se bloca singur și în acel context i-a comunicat polițistului un cod de 5 cifre necesar deblocării (f. 98 verso – vol.I), ceea ce însemnă că acel telefon era parolat blocat pentru a nu fi accesat de terțe persoane.

 * *  *

j) – relațiile (înscrisurile) comunicate de persoana vătămată Raiffeisen Bank în legătură cu fapta comisă la ATM-ul de pe bdul Alexandru cel Bun, nr. 19, dar și în legătură cu faptele comise la celelalte ATM-uri, precum și în ceea ce privește prejudiciul cauzat și orele efectuării retragerilor (f. 9-14 vol. I d.u.p.) coroborate cu procesul-verbal din 08.09.2016 (f.33 vol. I);

* *  *

k) - procesul-verbal de investigații din 04.09.2016 (f. 8 – vol. I d.u.p.) din care rezultă că, dintre cele cinci persoane care s-au aflat în fața agenției bancare pe o bancă, au fost identificați martorii AT, IS și PO care, inițial, le-ar fi declarat verbal polițiștilor că l-au văzut pe inculpat stând între tonetele din fața blocului B3 de pe bdul Alexandru cel Bun, iar după cca. 5 minute l-au văzut intrând la bancomatul agenției unde a stat ca. 20 de minute vorbind la telefon. În fața instanței, martorul IS a declarat, printre altele, că unul dintre băieții din grupul său, i-a spus că l-ar fi văzut anterior pe inculpatul CD (pe care el l-a văzut abia ulterior intrând în sediul agenției bancare) că, înainte de a intra, ar fi ”pândit undeva în apropiere”. 

* *  *

l) - procesul-verbal din data de 04.09.2016 (f. 39-57 vol. I d.u.p.) de accesare și conservare a datelor existente pe cele trei telefoane mobile găsite asupra inculpatului, în baza ordonanței provizorii a procurorului din aceeași dată (f. 36), confirmată ulterior de judecătorul de drepturi și libertăți competent (prin încheierea nr. 278/IAV/06.09.2016 a Tribunalului Iași), datele identificate având același conținut cu cele descoperite ulterior în cadrul perchezițiilor informatice efectuate asupra acestor sisteme informatice;

* *  *

m) - procesul-verbal din 07.09.2016 conținând rezultatul investigațiilor cu privire la două adrese IP dintre cele care s-au conectat fraudulos la serverele băncii și care au fost utilizate la atacul informatic (f. 38 vol. I d.u.p.);

* *  *

n) → procesele-verbale de percheziție informatică asupra telefoanelor mobile și procesul-verbal din 26.11.2016 de analiză a probelor digitale descoperite

n.1) - percheziția terminalului GSM marca Apple model Iphone 5 cu seria IMEI 013990004259179  a stabilit că acest telefon mobil a folosit pentru instalare și achiziționare aplicații contul de email [email protected] .

Acest telefon mobil avea instalate, printre alte programe informatice, și aplicația informatică Viber. Folosindu-se această aplicație și o conexiune de Internet au fost purtate mai multe conversații voce, acest lucru reieșind din lista logurilor de apel ale aplicației Viber.

Aplicația Viber era configurată să folosească numărul de telefon +- (rețea de telefonie mobilă a Republicii Moldova) asociat utilizatorului cu numele “A34”.

Ulterior momentului instalării aplicației Viber pe terminalul GSM și lansării acesteia prin utilizarea codului de autentificare, aceasta a putut fi utilizată în continuare de către utilizatorul +- cu ID ul A 34, chiar dacă a fost schimbată cartela telefonică și a fost utilizată un SIM al operatorului de telefonie Orange România.

Așa cum rezultă din procesul-verbal, se reține că trebuie avut în vedere că aceste logouri de apel ale aplicației Viber indică ca fiind realizate într-un format orar UTC+0 (așa cum a fost extrasă din logurile aplicației informatice din telefon), însă ora României era în format  UTC+3.

 În acest sens, în inboxul mesajelor primite de la operatorul Orange România la introducerea în telefonul marca Apple model Iphone 5 și activarea pe teritoriul național a cartelei telefonice cu numărul - - ce a fost utilizată pentru sesiuni de date exclusiv cât utilizatorul telefonului s-a aflat în Iași  - apare ca fiind primit în data de 03.09.2016, la ora 07:42, mesajul SMS de la operatorul Orange România cu privire la opțiunile cartelei telefonice prepay. În realitate ora la care utilizatorul a primit acest mesaj este ora 10:42 (UTC + 3), după cum rezultă și din listingul numărului de apelare - transmis de operatorul de telefonie mobil român Orange.

Coroborând datele de listing cu rezultatele percheziției informatice ale terminalului telefonic marca Apple model Iphone 5 rezultă că, în 03.09.2016, în intervalul 10:42 (07:42 în format UTC+0) – 11:10 (08:10 în format UTC+0), ora României, utilizatorul acestui post telefonic a primit SMS-uri de la operatorul de telefonie mobilă cu privire la setarea opțiunilor cartelei prepay și a realizat operațiuni de configurare a sistemului tarifar al cartelei și a serviciilor oferite de operator. În acest sens a fost selectată opțiunea cu de 10 euro credit cu 6 GB trafic de internet valabilă 30 de zile.

Având în vedere că mesageria Orange este realizată în limba română, iar inculpatul CD a declarat constant că nu cunoaște această limbă se reține că apare ca fiind dovedit faptul că operațiunile de navigare și obținere a acestor setări pentru cartela prepay au fost realizate de un alt membru al grupului infracțional cu care, probabil, acesta s-a întâlnit.

În afara acestor apeluri tip voce, au fost purtate și comunicări de tipul instant messenger prin intermediul aplicației Viber, comunicații ce au fost purtate între numerele +- (nr cu prefix Ucraiana : nume Bbb45) și +- (nr. cu prefix Moldova: nume A 45).

În cadrul acestor comunicări a rezultat că un utilizator al unui terminal GSM în rețeaua de telefonie mobilă Lifecell din Ucraina a realizat căutări pe hărți google a ATM-urilor bancare Raiffeisen Bank din mun. Iași, cel mai probabil în data de 03.09.2016, a realizat capturi de ecran (fotografii) ale acestor hărți după ce a notat pe harta electronic locațiile celor două ATM uri din strada Eternitate și din bd. Alexandru cel Bun, menționând totodată atât adresa cât și IP-ul sistemelor informatice ale celor două ATM-uri ce urmau să fie folosite pentru retrageri de numerar prin fraudă informatică.

Ca urmare, utilizatorul contului Viber cu numărul de apel  +- și ID-ul  Bbb45 i-a transmis persoanei care utiliza terminalul marca Apple model Iphone 5 și îl călăuzea sau însoțea pe inculpatul CD cele două imagini cu locațiile ATM-urilor, fotografiile fiind primite la orele 21:30 și, respectiv, 22:38, ora României.

Totodată acestea au fost urmate de mesaje scrise în limba română, conversațiile având ca obiect fie timpul în care inculpatul și făptuitorii care îl însoțeau puteau ajunge la ATM-uri, fie distanța către acestea, fie locația unde se aflau la un moment dat, fie împrejurarea dacă au ajuns lângă bacomant, fie peste cât timp uram să fie lansat atacul informatic și eliberați banii. În condițiile în care inculpatul CD nu știe să scrie și să citească în limba română rezultă în mod evident că era ajutat și însoțit de încă o altă persoană care utiliza terminalul marca Apple model Iphone 5 și care asigura deplasarea grupului din Iași la țintele indicate de membrii grupării care coordonau și controlau  informatic ATM-urile Raiffeisen Bank.

Astfel, așa cum deja s-a arătat mai sus, la data la care inculpatul CD se afla la bancomatul de la Agenția Alexandru cel Bun acesta a purta conversații voce prin sesiuni de date cu numărul +- (nume Bbb45) aspect coroborat din listingul telefonic și imaginile camerelor de supraveghere de la Agenția Alexandru cel Bun a Raiffeisen Bank.

Nici în memoria telefonului marca Apple model Iphone 5 și nici pe cartela SIM cu numărul - (găsită în acest telefon) nu a fost identificat nici un alt contact telefonic, ceea ce demonstrează că terminalul și cartela SIM ce o deservea erau utilizate exclusiv comunicărilor prin internet în scop infracțional.

n.2). percheziția terminalului dual GSM marca Samsung model E1202i cu seriile  IMEI1:351953078208753 și IMEI2: 351954078208751

Acest sistem informatic conținea date cu privire la 15 apeluri, toate inițiate sau purtate cu numărul de apelare  -, înregistrat în rețeaua de telefonie mobilă Orange România (unele dintre ele neînregistrate de operatorul de telefonie pentru că au avut durata 0, ceea ce însemnă că apelantul a închis mai înainte ca numărul apelat să răspundă ori mai înainte de a intra mesageria vocvală). Amprenta orară și de dată a acestor apeluri nu era cea reală, deoarece data și ora telefonului mobil nu era fost setată corect la ora și data României. Aceste aspect rezultă din listingul traficului informațional al cartelei Orange cu numărul de apelare -, cât și din cel aferent cartelei cu numărul de apelare - (utilizat de inculpat), găsită în terminalul marca Samsung, astfel cum aceste listinguri au fost comunicate de operatorul de telefonie mobilă Orange România. În plus, sistemul informatic al telefonului menționat conținea în memoria sa două mesaje tip SMS primite de la operatorul Orange România în data de 03.09.2016.

În terminalul GSM marca Samsung a fost identificată cartela SIM Orange cu seria 1605102652883A03 și numărul de apelare -. Pe această cartelă au fost identificat contactele cu numele Ara având numărul de telefon corespunzător celei a cartelei (-) și contactul C căruia îi corespundea numărul -.

Cartela avea memorate un număr de 5 mesaje tip SMS primite de la operatorul de telefonie mobilă Orange România  în data de 03.09.2016, în intervalul orar 10:39 - 10:41 ora României (coroborând cu listingul telefonic al cartelei SIM). Primul mesaj a fost transmis la activarea cartelei in terminalul GSM și a avut conținutul următor: ,,Bun venit la Orange! Numărul tău e -. Ai opțiunea cu nelimitat min/SMS in retea + 1000 min nat&intl. fix UE/SMS nat (din care 200 min/SMS sunt si intl. mobil UE) +1GB internet 4G.”

În condițiile în care inculpatul CD a folosit acest terminal telefonic doar cu cartela SIM identificată în terminal și a avut menționat un singur număr de contact (altul decât numărul cartelei) cu care a și realizat sesiuni de voce (cu referire la numărul de telefon -) este puțin credibil și posibil că inculpatul se suna pe el însuși. Prin urmare, instanța reține că s-a probat că telefonul marca Samsung și cartela SIM descoperită în terminalul model Samsung au fost folosite de inculpatul CD exclusiv pentru a relaționa în scop infracțional cu utilizatorul postului telefonic cu numărul de apelare.

n.3) percheziția terminalului GSM marca LG model VS980 cu seria IMEI 353852063930926

Percheziția acestui sistem informatic a condus la identificarea mai multor date informatice. Din lista ”registru-apel” a rezultat că terminalul nu a mai fost utilizat de inculpatul CD pentru conversații tip voce începând cu data de 02.09.2016 ora 17:55 (ora României). Telefonul conținea un număr de 399 de contacte cu numere de apelare care nu sunt specific rețelelor de comunicații din România. Activitatea din listingul apelurilor și comunicărilor telefonului nu au evidențiat ca acest terminal GSM să fi fost folosit în relație cu numere de telefonie din rețelele românești. Numărul de telefon +, de pe care au fost purtate conversații folosindu-se telefonul mobil marca Apple nu apare în lista de contacte a telefonului mobil LG. Totuși, în lista de contacte a telefonului LG apar anumite numere ce au prefixul telefonic al Ucrainei, respectiv un număr de 63 de astfel de contacte, precum și numere ce au prefixul telefonic al Rusiei.

n.4). percheziția cartelei SIM Orange cu seria 1412121394117 din telefonul mobil marca LG model VS980 cu seria IMEI 353852063930926 . Analiza conținutului extras de pe această cartelă SIM nu a condus la obținerea de date informatice.

Prin urmare, se reține că telefonul mobil marca LG și cartela Orange din acesta nu au fost utilizate la comiterea faptelor.

n.5.) percheziția cartelei SIM cu seria 8970102 691 158 4057 9 de culoare verde găsită asupra inculpatului CD, în portofel, a stabilit faptul că aparține operatorului de telefonie Megafon din Rusia , prefixurile folosite de acest operator fiind 792, 793 și 7997 în mod similar cu lista contactelor telefonice din terminalul mobil LG, în care au fost descoperite mai multe numere de telefon care sunt alocate de către operatorii de telefonie din Rusia.

* *  *

o).→procesele-verbale de analiză a imaginilor surprinse de camerele de supraveghere ale unora dintre celelalte ATM-uri compromise, ce au fost folosite la realizarea fraudei informatice (vol. II); 

În faza de urmărire penală au fost obținute înregistrări video de la camerele de supraveghere de la un număr ridicat de ATM-uri compromise, utilizate de membrii grupării la săvârșirea infracțiunilor de fraudă informatică. Așa cum s-a punctat deja mai sus, imaginile acestora evidențiază un mod similar de acțiune, respectiv grupuri de câte doi autori ce au rolul de a ridica banii eliberați de ATM-uri. Aceștia au ca elemente comune: folosirea de articole de îmbrăcăminte care să le asigure anonimatul, pălării, șepci, ochelari de soare; un comportament specific constând în evitarea  de a  privi în mod direct spre camerele de supraveghere, fiind instruiți în acest sens și conștienți că sunt filmați; au rucsacuri pentru depozitarea banilor; și pe tot cursul operațiunilor de fraudă informatică nu ating bancomatul și comunică în permanență prin intermediul unor terminale GSM (care în majoritatea cazurilor au caracteristicile fizice ale unor telefoane model Iphone). Operațiunile de retragere a sumelor de bani eliberate de ATM-uri au loc la intervale de timp aproape simultane.

* *  *

p).→ listingul (datele de trafic) cartelor SIM și al terminalelor GSM, descoperite asupra inculpatului CD

 p.1). Având în vedere unele dintre apărările și/sau observațiile inculpatului făcute pe parcursul judecății, coroborat cu faptul că acesta nu este cetățean român, instanța apreciază necesar a fi făcute unele clarificări (în special pentru inculpat). Astfel, listingul aferent unei cartele (SIM) telefonice reprezintă toate datele de trafic stocate de operatorul de telefonie mobilă, pentru o anumită perioadă de timp, în special în scop de facturare. Ceea ce se stochează sunt datele de trafic și nu conținutul comunicațiilor, întrucât pentru interceptarea și înregistrarea în timp real a conținutului unei comunicări este nevoie de încuviințarea anterioară a judecătorului de drepturi și libertăți și emiterea unui mandat de supraveghere tehnică.

În speță, la cererea procurorului, în baza încuviințării prealabile date de judecătorul de drepturi și libertăți competent (prin încheierea nr. 30/DC/09.09.2016 a Tribunalului Iași pronunțată în dosarul nr. 5312/99/2016), datele de trafic ce urmează a fi analizate în continuare au fost transmise integral de către operatorul de telefonie mobilă în formatul electronic în care au stocate de companie.

Datele de trafic (listingul) aferente unui cartele telefonice vizează întotdeauna o perioadă anterioară  și se referă, printre altele, de exemplu la : 1) <MSISDN> = numărul de telefon supus listingului;  2) <IMSI> = codul identificator unic corespunzător cartelei SIM în discuţie, respectiv identitatea internațională a abonatului mobil (n.n.: pentru același număr de telefon pot exista mai multe cartele cu acelaşi număr, de exemplu, dacă se pierde sau se distruge o cartelă SIM ori când o cartelă obişnuită este transformată/schimbată nanocartelă, caz în care compania de telefonie poate elibera alta cu acelaşi număr, dar, evident cu alt IMSI); 3) codul identificator <IMEI> = reprezintă seria unică de identificare a telefonului, cu precizarea că acesta poate diferi în listing funcţie de împrejurarea dacă SIM-ul este utilizat pe un singur telefon sau pe mai multe telefoane (analiza listingului/datelor de trafic permițând identificarea tuturor telefoanelor în care a fost utilizată o anumită cartelă); 4) <incoming> - termen ce vizează un mesaj sau apel primit de acel SIM; 5) <outgoing> = termen ce înseamnă că de la postul telefonic s-a iniţiat o convorbire (apel sau mesaj efectuat); 6) <forward> = termen care, tradus în română, înseamnă „redirecţionat” (postul fiind închis, apelul a fost redirecţionat, apărând un număr de mesagerie); 7) <GPRS> = înseamnă trafic de date, dar fără distincție, adică fie a primit, fie a expediat/efectuat; 8) <DIALLED_DIGITS> = număr de telefon apelat, adică reprezintă numerele cu care s-a corespondat/comunicat de pe/cu numărul de telefon supus listingului; 9) <CALL-DATE> = indică data, ora, minutul şi secunda iniţierii fiecărei convorbiri sau tip de comunicare ori trafic de date; 10) <DURATION> = indică durata fiecărei convorbiri sau tip de comunicare ori de trafic de date; 11) <CELL-ID> = numărul de identificare în reţea a celulei geografice (de exemplu: 21744); 12) <CGI> = coordonatele de geo-locaţie (identitatea globală a celulei); 13) în rubrica CELL-NAME  = este menţionat oraşul aferent celulei (numele celulei); 14) CELL-DESC =  indică localizarea exactă a locației în care se află celula care a preluat apelul efectuat de telefonul mobil la momentul efectuării comunicării; 15) <DIALLED-DESCRIPTION> = descrie tipul serviciului folosit de numărul de telefon (de exemplu serviciu asigurat de Orange România sau de ”alte rețele fixe”); 16) <SERVICE-DESCRIPTION> = descrie tipul comunicaţiilor menţionate în listing, respectiv: voce, SMS sau trafic de date/GPRS; 17) SW ON DATE = data activării (deschiderii) cu referire la numărul de telefon.

*  * *

 p.2). → cartela SIM cu seria IMSI 226104013446468 și numărul de telefon -

Numărul de telefon a fost alocat unei cartele telefonice prepay care a fost activată la data de 03.09.2016, ora 11:25:45. Listingul cuprinde un număr de 434 de sesiuni de date și voce efectuate de la numărul de telefon -, pentru perioada 03.09.2016 în intervalul de la ora 11:25:25 până în ziua de 08.09.2016, ora 21:19:33.

 În primele 19 sesiuni, utilizatorul a relaționat cu numerele de telefon 0744.945.556, 5692, 3414, 0744.946.000, 0744.945.556 și 0744.007.507. Aceste numere de telefon aparțin operatorului de telefonie Orange, prin care sunt activate sau dezactivate diverse servicii sau prin care se comunică date referitoare la tarife, compania de telefonie în care funcționează cartela prepay sau mesagerie vocală,  și reprezintă SMS-uri primite, respectiv trimise către operator, în mod automat sau cu ocazia activării cartelei SIM.

În cazul primelor 19 sesiuni (cu excepția primelor trei – care sunt din data de 18.08.2016 și reprezintă comunicări interne, fără nici localizare și fără introducerea cartelei în vreun telefon, cu numere de telefon ce aparțin operatorului de telefonie Orange), care au avut loc într-un interval de 141 de secunde, respectiv în data de 03.09.2016, între orele 11:25:25 și 11:27:46, numărul de telefon - a fost localizat în mun. Iași, str. Tudor Vladimirescu, cămin T 17. De asemenea, se mai reține că în ziua de 03.09.2016, cartela cu nr. - a fost utilizată într-un singur telefon având codul IMEI nr. 355314078347880.

Începând cu data de 03.09.2016, ora 11:26:04 utilizatorul cartelei telefonice cu numărul - a relaționat cu numărul de telefon - (cartelă utilizată de inculpat și găsită în telefonul Smasung), până la ora  23:49:39, în listingul analizat figurând un număr de 7 sesiuni de voce, convorbirile telefonice durând diferite perioade de timp, astfel:

1)la data de 03.09.2016, ora 11:26:04, de la numărul de telefon - a fost inițiat un apel telefonic cu durata de 61 de secunde, către numărul de telefon - (utilizat de inculpatul CD - cartela găsită în telefonul Samsung), acest apel fiind efectuat prin intermediul celulei din Iași, str. Tudor Vladimirescu, cămin T 17;

2)la data de 03.09.2016, ora 16:27:30, de la numărul de telefon - a fost inițiat un apel telefonic cu durata de 19 de secunde, către numărul de telefon -, utilizat de inculpatul CD, acest apel fiind efectuat prin intermediul celulei din Iași, str. Vasile Lupu, nr.114, Bl.A3, Tronson T1, Cartier Tătărași;

3)la data de 03.09.2016, ora 19:09:55, de la numărul de telefon - a fost inițiat un apel telefonic cu durata de 45 de secunde, către numărul de telefon -, utilizat de inculpatul CD, acest apel fiind efectuat prin intermediul celulei din Iași, com. Valea Lupului, sect cadastral 56, jud. Iași;

4)la data de 03.09.2016, ora 19:14:24, de la numărul de telefon - a fost inițiat un apel telefonic cu durata de 8 de secunde, către numărul de telefon -, utilizat de inculpatul CD,  acest apel fiind efectuat prin intermediul celulei din Iași, com. Valea Lupului, sect cadastral 56, jud. Iasi;

5)la data de 03.09.2016, ora 19:45:43, de la numărul de telefon - a fost inițiat un apel telefonic cu durata de 42 de secunde, către numărul de telefon -, utilizat de inculpatul CD,  acest apel fiind efectuat prin intermediul celulei din Iași, Spitalul Clinic de Urgență Pentru Copii, Strada Vasile Lupu , nr.62, Zona Tatarasi, jud. Iași.

6)la data de 03.09.2016, ora 20:15:37, de la numărul de telefon - a fost inițiat un apel telefonic cu durata de 3 de secunde, către numărul de telefon -, utilizat de inculpatul CD,  acest apel fiind efectuat prin intermediul celulei din Iași, Str. Ciornei, bl. D4, sc. A, jud. Iași

7)la data de 03.09.2016, ora 23:49:39, numărul de telefon - a fost apelat de la numărul de telefon -, utilizat de inculpatul CD, acest apel cu durata de 30 de secunde nefiind localizat, datorită faptului că numărul de telefon - nu se afla în zona de acoperire a vreunei celule GSM Orange, spre deosebire de inculpatul CD, care a fost localizat în aria de acoperire a unui releu Orange. Faptul că în listingul telefonic numărul de telefon - nu apare ca localizat într-o anumită celulă în cazul apelurilor primite (incoming) se datorează faptului că, în general, operatorul nu poate localiza o cartelă telefonică dacă aceasta este apelată, dar nu se află în aria de acoperire a rețelei GSM. 

Instanța remarcă faptul că dintre cele 7 sesiuni de voce (convorbiri) purtate între numărul - și cartela cu nr. - (aceasta din urmă fiind găsită în telefonul Samsung utilizat de inculpat), doar ultima (cea de la ora 23:49:39) a fost inițiată de inculpatul CD, toate celelalte 6 din intervalul orar 11:26:04-20:15:37 fiind inițiate de utilizatorul celuilalt post telefonic cu nr. -.

În perioada 04.09.2016, ora 12:16:42 – 06.09.2016, ora 07:27:37, cartela SIM cu numărul - nu a fost activă (în sensul că numărul a primit notificări de la Orange, dar utilizatorul nu a folosit cartela), iar după această dată a fost identificată, în ziua de 06.09.2016, în intervalul orar 07:27:37 -07:28:49, în terminalul GSM (telefonul) cu seria IMEI 3516370792733761, iar după această dată și oră (începând cu ora 07:36:07) doar în telefonul cu seria IMEI 8694140200851533,  terminal folosit de martorul VL, iar ulterior de către martora IB. Se mai impune precizarea că în ziua de 06.09.2017, inițial, în cursul dimineții, ambele terminale anterior menționate au fost localizate la aceeași adresă (celulă) din Iași, str. -.

*  * *

p.3.). → datele de trafic aferente cartelei SIM cu seria IMSI 226102613498297 și numărul de telefon -, găsită în telefonul Samsung aflat asupra inculpatului.

Analiza listingului acestei cartele și a relațiilor comunicate de operatorul de telefonie mobilă relevă faptul că numărul de apelare - a fost activat în sistemul Orange România, prin utilizarea efectivă într-un telefon, în data de 03.09.2016. Cu toate acestea acest număr fusese alocat acestei cartele telefonice prepay  (primind  cod de identificare propriu IMSI) de operatorul de telefonie la data de 23.12.2015, ora 11:21:58 (așa cum rezultă din anexa la datele de trafic aferente nr. de telefon -, anexă ce conține denumită ”identificări” și în care sunt enumerate datele de identificare ale cartelelor telefonice cu care acest număr a interacționat).

Potrivit listingului telefonic, în primele 17 sesiuni (cu excepția primelor trei: una din 11.08.2016 și două din 03.09.2016, orele 10:39, ce reprezintă comunicări interne, fără nici o localizare și fără introducerea cartelei în vreun telefon, cu numerele de telefon ce aparțin operatorului de telefonie Orange 0744.945.556, 5692, 3414), numărul de telefon - a interacționat, în data de 03.09.2016, cu numerele de telefon 0744.946.000 și 0744007507. Aceste numere de telefon aparțin operatorului de telefonie Orange, prin care sunt activate sau dezactivate diverse servicii sau prin care se comunică date referitoare la tarife, compania de telefonie în care funcționează cartela prepay sau mesagerie vocală, și reprezintă SMS-uri primite, respectiv trimise către operator. Potrivit explicațiilor tehnice oferite în cauză (a se vedea mai jos), în cazul în care un anumit post telefonic trimite sau primește mesaje SMS de la numere care aparțin operatorului de telefonie, acesta din urmă nu păstrează, în toate situațiile, datele de identificare ale celulei în care a fost utilizat numărul de telefon.

În cazul primelor 14 sesiuni (după activarea cartelei într-un telefon), cu numere aparținând operatorului de telefonie mobilă Orange, toate de câte o secundă (SMS-uri primite), acestea au avut în data de 03.09.2016, între orele 10:40:00 și 10:42:12, când numărul de telefon - a fost localizat în mun. Iași, str. Tudor Vladimirescu, cămin T 17.

Instanța reține că analiza listingului (datelor de trafic comunicate de operatorul de telefonie) aferent nr. -, efectuată nemijlocit în faza de judecată, a evidențiat faptul că, potrivit acestuia, în data de 03.09.2016, numărul de telefon - (utilizat de inculpatul CD) a interacționat cu numărul de telefon -, de la ora 16:28:17 până la ora 23:50:27, în listingul analizat figurând un număr de 11 sesiuni consecutive de voce, convorbirile telefonice durând diferite perioade de timp. 

Cele 11 sesiuni de voce stocate de operatorul de telefonie au fost inițiate la orele: 1)→ 16:28:17 (apel primit, cu durata de 19 secunde – fără localizare geografică, ci doar cu indicarea celulei); 2)→  17:01:51 (apel efectuat, cu durata de 4 secunde – localizare zona Ciric din Iaşi); 3)→ 17:20:32 (apel efectuat, cu durata de 19 secunde – localizare zona Tudor); 4) →17:21:04 (cu durata de 5 secunde– localizare zona Tudor); 5)→ 17:21:25 (apel efectuat, cu durata de 9 secunde– localizare zona Tudor); 6)→  17:21:51 (apel efectuat, cu durata de 3 secunde– localizare zona Tudor); 7)→  17:23:55 (apel efectuat, cu durata de 50 secunde - localizare zona Tudor); 8)→ 19:10:42 (apel primit, cu durata de 45 secunde – fără localizare geografică, ci doar cu indicarea celulei); 9)→ 19:15:12 (apel primit, cu durata de 8 secunde – fără localizare geografică, ci doar cu indicarea celulei); 10)→19:46:31 (apel primit, cu durata de 42 secunde– fără localizare geografică, ci doar cu indicarea celulei) şi 11)→ 23.50:27 (apel efectuat, cu durata de 30 secunde – localizare în Iaşi, str. Gării, nr.1).

De asemenea, la ora 20:16:25, cartela telefonică cu numărul - a relaționat cu  operatorul de telefonie Orange, la numărul 0744.945.556, fiindu-i redirecționat un apel voce de 3 secunde.

Totodată, se mai reține că în ziua de 03.09.2016, cartela cu nr. - a fost utilizată într-un singur telefon având codul IMEI nr. 351953078208750, adică cel al telefonului mobil marca Samsung găsit asupra inculpatului CD. Potrivit explicațiilor tehnice oferite în cauză (a se vedea mai jos), faptul că în listingul telefonic numărul de telefon - nu apare ca localizat într-o anumită celulă în cazul apelurilor primite (incoming) se datorează faptul că, în general, operatorul nu poate localiza o cartelă telefonică dacă aceasta este apelată, dar nu se află în aria de acoperire a rețelei GSM.

 Așa cum s-a arătat mai sus, la ora 23:50:27 de la numărul de telefon - (utilizat de inculpat) a fost inițiat un apel telefonic de 30 de secunde către numărul de telefon -, utilizatorul postului telefonic - fiind localizat în mun. Iași, str. Gării, nr. 1. Este foarte posibil ca acest apel să fi fost făcut prin intermediul celulei GSM din această adresă la momentul în care inculpatul CD se apropia de sediul Agenției bancare din Alexandru cel Bun, ceea ce dovedește că releul GSM din Iași, str. Gării, nr. 1 acoperea și locația ATM-ului Raiffeisen Bank.

*  * *

p.4). Explicațiile tehnice referitoare la neconcordanțele dintre anumite date de trafic din listingurile aferente celor două numere de telefon și aspectele reținute de instanță :

Analizând comparativ listingurile (datele de trafic) în format electronic, listate în faza de judecată, aferente numărului - și, respectiv, numărului -, instanța a constatat următoarele neconcordanțe: a) convorbirea menţionată în listingul aferent nr. - ca fiind inițiată de acesta și purtată la ora 03.09.2016, ora 11:26:04, cu nr. -, cu o durată de 61 de secunde (apel efectuat – outgoing) nu apare deloc în listingul electronic şi listat aferent numărului -; b) cea de-a doua convorbire/comunicare dintre cele două numere în discuţie, care în ambele listinguri are durata de 19 secunde, în listingul aferent numărului - (apel efectuat – outgoing) începe la ora 16:27:30, iar în listingul aferent numărului - începe la ora 16:28:17, existând deci o diferenţă de cca. 37 secunde (apel primit – incoming) ; c) un număr de şase convorbiri/comunicări -  de la orele 17:01:51 cu durata de 4 secunde, de la ora 17:20:32 cu durata de 19 secunde şi de la ora 17:21:04 cu durata de 5 secunde, de la ora 17:21:25, cu durata de 9 secunde şi de la ora 17:21:51 cu durata de 3 secunde, de la ora 17:23:55 cu durata de 50 secunde - toate menţionate în listingul aferent numărului -, ca apeluri inițiate/efectuate (outgoing) nu se regăsesc deloc şi în listingul aferent numărului - comunicat de Orange în format electronic; d) convorbirea/comunicarea dintre cele două numere în discuţie, care, în ambele listinguri, are durata de 45 secunde, în listingul aferent numărului - (apel efectuat – outgoing) începe la ora 19:09:55, iar în listingul aferent numărului - începe la ora 19:10:42, existând deci o diferenţă de cca. 47 secunde (apel primit – incoming) în ceea ce privește ora începerii; e) convorbirea/comunicarea dintre cele două numere în discuţie, care în ambele listinguri are durata de 8 secunde, în listingul aferent numărului - (apel efectuat – outgoing) începe la ora 19:14:24, iar în listingul aferent numărului - începe la ora 19:15:12, existând deci o anumită diferenţă în secunde (apel primit – incoming); f) convorbirea/comunicarea dintre cele două numere în discuţie, care în ambele listinguri are durata de 42 secunde, în listingul aferent numărului - (apel efectuat – outgoing) începe la ora 19:45:43, iar în listingul aferent numărului - începe la ora 19:46:31, existând deci o anumită diferenţă în secunde (apel primit – incoming); g) convorbirea/comunicarea care în ambele listinguri are durata de 3 secunde, în listingul aferent numărului - (apel efectuat – outgoing) începe la ora 20:15:37, iar în listingul aferent numărului - începe la ora 20:16:25, existând deci o anumită diferenţă în secunde (apel redirecţionat – forward – de la nr. -, număr despre care în procesul-verbal de la fila 245 se arată că aparţine operatorului de telefonie Orange); h) convorbirea/comunicarea dintre cele două numere în discuţie, care în ambele listinguri are durata de 30 secunde, în listingul aferent numărului - (apel primit – incoming) începe la ora 23:49:39, iar în listingul aferent numărului - începe la ora 23:50:27, existând deci o diferenţă de cca. 48 secunde (apel efectuat – outgoing).

Prin urmare, se constată că neconcordanțele vizează trei aspecte: 1) inexistența (nestocarea) în listingul aferent unuia dintre numere a mai multor apeluri, care apar evidențiate în listingul aferent celuilalt număr, fiind vorba însă, în toate cazurile, doar de apeluri primite de primul număr care nu se regăsesc evidențiate în listingul acestuia; 2) diferențe de câteva zeci de secunde între ora exactă a începerii purtării convorbirilor, evidențiate în ambele listinguri cu având aceeași durată; 3) o convorbire de 3 secunde, apare într-un listing ca fiind efectuată între cele două numere, iar în listingul aferent numărul apelat pare ca fiind redirecționat prin mesageria operatorului de telefonie (apel pierdut).

Pentru clarificarea acestor neconcordanțe instanța va analiza coroborat, pe de o parte, explicațiile furnizate în procesele-verbale întocmite în faza de urmărire penală de lucrătorul de poliție (inclusiv cele oferite oral de acesta în ședință publică), iar, pe de altă parte, cele furnizate în scris de compania de telefonie mobilă Orange.

Astfel, lucrătorul de poliție specializat care a analizat datele de trafic transmise de compania de telefonie mobilă a explicat că atunci când se iniţiază o convorbire telefonică, operatorul începe a cronometra exact la momentul iniţierii apelului şi nu la momentul la care persoana apelată răspunde, iar cu privire la aceasta din urmă, operatorul începe să cronometreze la momentul când răspunde la telefon, aşa explicându-se diferenţele referitoare la ora începerii convorbirii, deși durata este aceeași în ambele listinguri. De asemenea, a mai precizat că dacă o persoană iniţiază un apel pe care îl închide înainte ca cealaltă persoană să răspundă, acest apel nu mai este înregistrat de operator la numărul de telefon al persoanei sunate/apelate.

La rândul său, Orange România a înaintat un răspunsuri la solicitările instanţei, prin care oferă, în esenţă, explicaţii cu privire la: diferenţa de oră între datele de trafic evidenţiate în listingurile convorbirilor telefonice aferente celor două numere de telefon analizate; la modul de stocare a datelor referitoare la celulele care preiau apelul la momentul iniţierii acestuia; la sensul abrevierilor din listingul privind datele de trafic transmise în format electronic; la procedura şi datele de activare a cartelelor SIM aferente celor două numere de telefon ce fac obiectul analizei din prezenta cauză. Astfel, prin răspunsurile sale cu nr. 17/FD/2098/23496/ din 06.06.2017 și din 21.06.2017 (f. 133-135 și f. 198– vol. II), Orange România a comunicat următoarele date/explicații relevante: a) compania asigură clienților săi calea de comunicare, aceasta traducându-se printr-o convorbire încheiată cu succes; cu toate acestea, sistemele tehnice nu sunt infailibile, ceea ce însemnă că există posibilitatea ca, în funcție de anumiți factori (grad de încărcare, distanță, oră, congestie sau nu la momentul efectuării comunicării) să se producă pierderi involuntare de date, care în mod firesc ar trebui să fie stocate; b) la cererea organelor judiciare, compania pune la dispoziție toate informațiile disponibile în cadrul aplicației informatice cu care lucrează, la momentul solicitării, adică toate datele de trafic stocate; c) ”datele privind apelurile primite” sunt gratuite și sunt cu caracter orientativ, întrucât nu sunt gestionate de o bază de date de facturare, cum sunt ”apelurile efectuate”; c) atunci când se inițiază un apel, iar destinatarul nu răspunde și/sau cel ce inițiază închide până a se deschide linia de comunicare, acesta nu este păstrat ca informație în aplicația cu care compania lucrează; d) în cazul unei convorbiri, taxarea începe îndată cu deschiderea apelului de către destinatar, și la inițierea apelului; din punct de vedere tehnic, diferența de oră poate apare cu precădere în situația în care un mesaj de semnalizare este pierdut, ceea ce face ca unul dintre MSC-uri (Mobile Switching Center) să nu detecteze la timp închiderea apelului, cu precizarea că mesajele de semnalizare nu sunt mesaje SMS, ci sunt mesaje auxiliare, necesare bunei funcționări a convorbirilor și a rețelelor, respectiv mesaje ce sunt generate între centralele implicate în conversație pentru a se înștiința una pe alta despre statusul convorbirii-comunicării (dacă a început, dacă s-a încheiat sau dacă s-a livrat SMS-ul); e) numerele de telefon - și nr. - au fost activitate la data de 03.09.2016 prin serviciul ”Orange Prepay”, serviciu care presupune cumpărarea de cartele de telefon și utilizarea acestora de către orice persoană; f) în cazul unor listinguri în care rubrica aferentă celulelor nu are completat câmpul ”cell-description” (este gol), există posibilitatea ca acestea să existe fizic și să fie perfect funcționale, însă doar să nu fie încă definite în aplicațiile interne ale operatorului de telefonie mobilă; g) în ceea ce privește celulele ce preiau un apel telefonic la momentul inițierii acestuia, s-au precizat următoarele:  →”traseul” urmat de un telefon mobil este , de fapt, reprezentat de succesiunea celulelor (antenelor) prin care acesta este conectat la rețea; → ”precizia” este dată doar de poziția antenelor, adică deși se poate afirma că un telefon este conectat la a numită antenă a cărei poziție este  certă, totuși, nu este sigur dacă telefonul se află în celula respectivă sau într-o alta vecină; →în momentul inițierii uni apel, un telefon se va cupla la o antenă liberă de trafic (necongestionată) și care are un semnal mai bun; →un telefon se cuplează la o singură antenă  și este preluat de altele pe măsură ce se deplasează; →un telefon poate avea conexiune cu antena unei celule, dar geografic se poate află în altă celulă, vecină; → distanța poate fi apreciată  numai cu aparatură de localizare și, în cele mai multe cazuri, numai în timp real (în timp ce se desfășoară convorbirea).

Verificând ambele listinguri telefonice, tribunalul constată că există corespondenţă între duratele sesiunilor de voce cu durate de 3 secunde, 8 secunde, 19 secunde, 42 secunde, 45 secunde, 30 secunde, ce se pare că s-ar fi purtat în intervalul de timp cu relevanţă pentru faptele penale imputate. Cel mai important, se reţine că, în ambele listinguri, corespunde durata sesiunii de voce de 30 corespunde, din jurul orei 23:50, respectiv cu puțin timp înainte ca inculpatul să intre în sediul agenției bancare.

Având în vedere constatarea anterioară, dar și explicații tehnice oferite, instanța reține, mai întâi, că neconcordanțele sunt doar aparente și, în orice caz, nesemnificative, având explicații rezonabile, în privința chestiunilor esențiale ce interesează cauza. Mai întâi, se reține că datele de trafic au fost comunicate de operatorul de telefonie așa cum ele au fost stocate de aplicația informatică proprie, pentru fiecare număr de telefon. Prin urmare, inexistența unor date într-un listinguri se datorează nestocării informației de către aplicația informatică a operatorului de telefonie mobilă, datorită unor motive tehnice.  În al doilea rând, se reține că, în cazul apelurilor primite, acuratețea datelor stocate de compania de telefonie mobilă nu este aceeași cu cea în cazul apelurilor efectuate (pentru care interesul de stocare cu acuratețe în vederea facturării este mai mare). În al treilea rând, se constată că apelurile ce nu apar evidențiate în listingul aferent celuilalt număr sunt exclusiv apeluri primite de acesta. În al patrulea rând, se reține că s-au oferit suficiente explicații rezonabile referitoare la diferențele în ceea ce privește ora începerii convorbirii (cum ar fi, de pildă, cea referitoare la pierderea mesajului de semnalizare ce evidențiază statusul convorbirii), instanța urmând să aibă în vedere că acest lucru este mai puțin important, câtă vreme în ambele listinguri convorbirile au aceeași durată.

Prin urmare, nu este vorba de neconcordanțe  propriu-zise, ci de date de trafic stocate incomplete și/sau ușor diferit (în cazul uneia sau altuia dintre cartelele telefonice în discuție), datorită nedefinirii lor în aplicația informatică a operatorului de telefonie mobilă sau altor motive tehnice.

 De aceea, instanța va avea în vedere ambele listinguri telefonice corelând în mod corespunzător datele oferite de acestea și luând ca reper în stabilirea orei de începere a unei convorbiri ora oferită de listingul aferente numărului de telefon ce a inițiat convorbirea (outgoing).

 *  * *

p.5.) Rezultatul analizei și corelării datelor de trafic oferite de listingurile aferente numerelor de telefon - (utilizat de inculpat) și nr. - relevă următoarele:

În ziua de 03.09.2016, între aceste două numere s-au purtat în total un număr de 13 convorbiri tip voce (în acest număr fiind inclusă și comunicarea de 3 secunde redirecționată din jurul orelor 20,15) în intervalul 11:26:04 (ora începerii primei convorbiri) și 23:50:27 (ora începerii ultimei convorbiri purtate).

Prima convorbire de la ora 11:26:04, cu durata de 61 de scunde, a fost inițiată de nr. de telefon - (la acel moment utilizatorul acestuia aflându-se în zona unui cămin studențesc din campusul T. Vladimirescu din Iași) nr. de telefon utilizat de inculpat fiind cel care a primit acest apel.  În acea zi, în intervalele orare 10:40:00 și 10:42:12 și 17:20:32-17:23:55, numărul de telefon - (utilizat de inculpatul CD) a fost localizat în mun. Iași, str. Tudor Vladimirescu, cămin T 17. Practic, cu excepția unei singure comunicări, toate convorbirile purtate de inculpat în intervalul 10:40:00 – 17:23:55 au fost localizate în mun. Iași, str. Tudor Vladimirescu, cămin T 17.

Aceste date permit tragerea concluziei că, în momentul în care a ajuns în Iași, inculpatul CD s-a deplasat în zona campusului studențesc Tudor Vladimirescu unde, în jurul orelor 10:40, și-a activat cartela cu nr. - , introducând-o în telefonul marca Samsung cu care venise în România. Cel mai probabil la acel moment sau, în orice caz, la scurt timp după, inculpatul CD s-a întâlnit în aceeași zonă cu utilizatorul nr. de telefon - (care, la acea oră, încă nu era activată) căruia i-a comunicat faptul că utilizează postul telefonic cu nr. -.

Ulterior, după cca. 45 de minute, în jurul orelor 11,26, pe această cartelă cu nr. -,  inculpatul a fost apelat de nr. - (număr care fusese activat la orele 11,25 prin introducerea cartelei într-un telefon), discutând cca. un minut. La momentul purtării acestei convorbiri, utilizatorul nr. - (care a inițiat apelul) a fost localizat în mun. Iași, str. Tudor Vladimirescu, cămin T 17.

De asemenea, instanța mai remarcă că, în ziua de 03.09.2016, utilizatorii numerelor de telefon - (inculpatul) și, respectiv, nr. - nu au mai purtat comunicări telefonice (cu excepția celor primite de la compania Orange) cu nici un alt număr de telefon, ci doar între ei.

În fine, analizând conținutul datelor de trafic (nelistat) în format electronic, transmise în faza de urmărire penală, de operatorii de telefonie români Orange România, Vodafone și Telekom, pentru perioada 01.08.2016-11.10.2016, instanța constată că telefonul cu seria nr. 355314078347880 (în care a fost utilizată cartela cu nr. -) a fost înregistrat  ca activ  doar în rețeaua de telefonie mobilă Orange și doar în ziua de 03.09.2017, în intervalul orar 11:25:25 -23:49:39 (când s-au inițiat și purtat prin el convorbiri), prin intermediul cartelei telefonice cu numărul anterior menționat și  cu seria IMSI 226104013446468.

Aceasta însemnă că acest telefon (neidentificat în fizic) a fost dedicat să fie folosit la comiterea faptelor, pentru a ține legătură cu inculpatul CD, fiind utilizat doar în ziua de 03.09.2016, prin introducerea în el a cartelei cu nr.  -. Cum  acest telefon nu a fost identificat asupra inculpatului, care cu foarte puțin timp înainte de a intra în agenția bancară a purtat o discuție cu utilizatorul său, este evident că el a fost folosit de un alt membru al grupării infracțiune, neexistând nici o rațiune ca inculpatul să se apeleze și să discute cu el însuși.

*  * *

p.6.) →listingul cartelei telefonice cu numărul de apelare - identificată în terminalul marca Apple model Iphone5 cu seria IMEI 0139900042591716 a relevat că acest post telefonic a avut doar trafic de internet (GPRS)  necesar folosirii aplicației Viber.

Cartela telefonică a fost identificată în sistemul Orange România la data de 03.09.2016, la ora 10:42, relaționând cu un număr de telefon al operatorului, aspect ce se coroborează cu datele descoperite pe sistemul informatic Iphone 5.

 Coroborând datele de listing cu rezultatele percheziției informatice ale terminalului telefonic Iphone rezultă că, în 03.09.2016, în intervalul 10:42 (07:42 în format UTC+0) – 11:10 (08:10 în format UTC+0), utilizatorul acestui post telefonic a primit SMS-uri de la operatorul de telefonie mobilă cu privire la setarea opțiunilor cartelei prepay și a realizat operațiuni de configurare a sistemului tarifar al cartelei și serviciilor oferite de operator. În acest sens a fost selectată opțiunea cu de 10 euro credit cu 6 GB trafic de internet valabilă 30 de zile.

Având în vedere că mesageria Orange este realizată în limba română, iar inculpatul CD nu cunoaște această limbă este dovedit încă o dată faptul că operațiunile de navigare și obținere a acestor setări pentru cartela prepay au fost realizate de un alt membru al grupului infracțional care îl însoțea pe inculpatul CD. Această concluzie, rezultă și din aceea că la momentul activării acestei cartele (prin introducerea în telefonul Apple), respectiv la momentul primirii mesajelor SMS de la operatorul Orange România, această cartelă a fost localizată tot mun. Iași, str. Tudor Vladimirescu, cămin T 17 (așa cum rezultă din analiza datelor de trafic stocate electronic). În această locație, cartela cu nr. -  a fost localizată în intervalul 10:42-11:10:47, în același terminal marca Apple cu seria IMEI 0139900042591716 în care a fost găsită asupra inculpatului.

Listingul cartelei telefonice a evidențiat că aceasta s-a aflat doar în terminalul GSM marca Apple model Iphone 5 și nu a relaționat cu posturile telefonice folosite de inculpatul CD și nici cu posturi telefonice la care ar fi apelat inculpatul CD, cu referire la postul telefonic -. 

*  * *

q). → declarațiile martorilor audiați în ambele faze procesuale, deja analizate mai sus.

*  * *

r) → declarațiile inculpatului CD, date în faza de urmărire penală, însă doar parțial, adică doar sub acele aspecte de fapt care se coroborează cu restul mijloacelor de probă administrate în cauză, respectiv cu privire la: recunoașterea prezenței sale la ATM și a împrejurării preluării sumei de 80.000 lei eliberată de bancomat,  la faptul că în acea zi a intrat în țară cu autoturismul condusă de martora IA, la faptul că a intrat în țară având asupra sa telefoanele mobile marca Samsung și LG.

*  * *

15.Poziţia procesuală a inculpatului

În ceea ce priveşte poziţia procesuală a inculpatului, instanţa reţine că, în mod constant, inculpatul a negat săvârşirea vreuneia dintre infracţiunile deduse judecăţii, apărarea sa constând, în esenţă, în aceea că nu a avut nici un fel de legătură cu alți participanți, că nu a comunicat cu alte persoane online prin intermediul aplicației Viber, că nu a avut cunoștință de accesarea ilegală a sistemelor informatice ale băncii și ale ATM-ului și, mai ales, că s-a aflat pur întâmplător în fața ATM-ului în momentul în care acesta a început să elibereze banii, pe care el i-a preluat și i-a pus în rucsac, intenționând să îi predea la poliție.

Apărările inculpatului nu pot fi primite pentru că, dincolo de faptul că nu sunt plauzibile/credibile, au fost infirmate categoric de ansamblul probator administrat în cauză.

Astfel, în faza de urmărire penală, în faţa procurorului, inculpatul a dat două declaraţii, una în calitate de suspect și una de inculpat, asistat de un interpret de limba rusă și de un avocat. În cadrul acestora, inculpatul nu a recunoscut săvârșirea faptelor, susținând că locuiește în Transnistria și a venit în România în scop turistic și profesional, intenționând să viziteze mun. Iași și mun. București. De asemenea, a arătat că întrucât se ocupă de recondiționarea ambarcațiunilor, pe traseul Iași – București intenționa să vadă mai multe bărci cu motor. A mai susținut că, deși nu cunoștea nici un obiectiv turistic din mun. Iași, în ziua de 03.09.2016, s-a plimbat prin oraș fără să poată preciza prin ce zone. Inculpatul a menționat că a ajuns în cartierul Alexandru cel Bun cu un autoturism taxi, căruia i-a plătit suma de 23 de lei și căruia i-a cerut să îl ducă la un hotel mai ieftin. Deoarece a crezut că hotelul la care se va caza, fiind ieftin, nu are un sistem POS și nu poate plăti cu cardul a intenționat să scoată bani de la ATM-ul Raiffeisen Bank din zona Alexandru cel Bun. Ajuns în fața ATM-ului a constatat că mașina număra deja bani scoțând un sunet specific în acest sens, iar apoi i-a eliberat tranșe succesive, de numerar de aproximativ 10-15 ori. Intenționând să predea acești bani organelor de politie, inculpatul a susținut că i-a strâns în rucsac. De asemenea, inculpatul a arătat că nu cunoaște limba română, că nu știe nici să scrie și nici să citească și nici nu înțelege. Acesta a mai susținut că toate terminalele GSM găsite asupra sa îi aparțin. Astfel, în ceea ce privește telefonul marca Apple, model Iphone 5 a susținut că l-a cumpărat din Republica Moldova, iar cartela telefonică cu numărul de apelare - a cumpărat-o personal în 03.09.2016 din România, deși nu poate preciza locul și a activat-o personal, fiind singur. Totodată, în ceea ce privește numărul de apelare -, inculpatul a refuzat să precizeze (să răspundă) dacă a efectuat sesiuni de comunicare cu acest număr. În ceea ce privește utilizarea telefonului marca Iphone 5, prin aplicația Viber, inculpatul a susținut că nu este adevărat că de la acest terminal ar fi tastat mesajele în limba română, iar la întrebarea dacă cunoaște identitatea persoanei care a transmis prin aplicația Viber pe telefon hărți ale ATM-urilor Raiffeisen din mun. Iași a refuzat să răspundă.

Pe lângă unele dintre argumentele deja expuse mai sus (cu prilejul expunerii situație de fapt sau analizei probelor), instanța reține în continuare și alte motive de natură a releva caracterul nefondat al apărărilor inculpatului. Astfel, inculpatul nu a putut explica rezonabil nici ce a făcut toată ziua în Iași și nici de ce abia tocmai la miezul nopții s-a hotărât să meargă să scoată bani de la un ATM (cu motivația că i-ar fi fost necesari pentru a se caza la un hotel), în condițiile în care datele de trafic aferente numărului -  utilizat de acesta în telefonul Samsung au relevat că o mare parte din zi, în intervalul 10,40-17,24 a fost localizat în zona campusului studențesc Tudor Vladimirescu din Iași, zonă în care (ori în apropierea căreia) se aflau suficiente ATM-uri și unități de cazare (hoteluri, pensiuni). Mai mult decât atât, inculpatul deși a susținut că ajuns în zona bdlui Alexandru cel Bun din Iași cu un taxi nu a precizat la ce hotel sau pensiune îi indicase taximetrul să se cazeze (cu toate că a declarat că i-a cerut acestuia să îl ducă la un hotel ieftin ”little”), pentru simplu fapt că această apărare a sa nu este reală, având în vedere că, în respectiva zonă, pe o rază de cel puțin 1 km nu există nici un fel de hotel, motel sau pensiune (n.n:. faptele notorii nu trebuie probate). În plus, dincolo de faptul că, de regulă, la orice hotel serviciile de cazare se plătesc la eliberarea camerei (deci pe timp de zi), instanța constată că, raportat la sumele de bani găsite asupra sa, inculpatul avea suficienți bani pentru a plăti cazarea la un hotel ”ieftin”, chiar și în lei românești, astfel încât nu era nevoie să mai cheltuiască încă 23 de lei pe un taxi pentru a se deplasa dintr-o parte a orașului în alta, în care nu existau unități de cazare.

De asemenea, instanța reține că inculpatul nu a putut explica de ce nu a scos cardul bancar pentru a scoate bani așa cum a declarat și ce anume făcea cu telefonul mobil pe care l-a ținut la ureche sau la ecranul căruia s-a uitat în mod continuu, încă de la momentul intrării în agenție, până la sosirea agenților de pază, deci peste 15 minute. Mai mult decât atât, în contradicție vădită cu împrejurări de fapt evidente rezultate din probele administrate în cauză, în fața instanței, prin intermediul avocatului său, inculpatul s-a apărat susținând necredibil că nu a comunicat prin Viber și că nu știe cum au ajuns sau dacă au existat în telefon fotografiile cu hărțile google.maps reprezentând locațiile celor două bancomate din Iași, în condițiile în care : →la momentul intrării în agenție, agenții de pază au observat că inculpatul avea în mână telefonul marca Apple deschis, iar pe ecranul acestuia au observat mesaje în limbile română și rusă, împrejurare observată apoi și de polițiști care au văzut - tot pe ecranul telefonului - în cadrul aceleași sesiuni messenger și imagini cu hărți; → imaginile surprinse de camerele de supraveghere au relevat, pe de o parte, că inculpatul ținea în mână telefonul mobil marca Apple, al cărui ecran era luminat, ceea ce însemnă că era deschis, iar, pe de altă parte, că inculpatul a înmânat de bunăvoie telefonul mobil polițiștilor, uitându-se împreună cu ei la ecranul acestuia; → în fața instanței, la momentul vizualizării imaginilor surprinse de camerele de supraveghere,  inculpatul a precizat că a furnizat polițiștilor un cod de 5 cifre pentru deblocarea telefonului, având în vedere că acesta s-a blocat; →datele de trafic comunicate de operatorul Orange România au relevat că, în intervalul orar în care inculpatul s-a aflat în incinta agenției bancare, prin intermediul cartelei telefonice aflate în telefonul marca Apple au avut loc sesiuni de comunicări online prin internet, reflectate în trafic de date GRPS; →percheziția informatică a telefonului mobil marca Apple (la efectuarea căreia nici inculpatul, nici avocatul acestuia și nici traducătorul de limba rusă) nu au făcut niciun fel de obiecțiune sau observație a relevat că, în memoria telefonului, în aplicația Viber, au fost identificate sesiunile de comunicări și mesajele detaliate deja mai sus; →cu prilejul audierii sale din faza de urmărire, deși a acceptat să de declarație, a refuzat totuși să răspundă la două întrebări esențiale, respectiv dacă a comunicat telefonic cu numărul - (în privința căruia datele de trafic au relevat că între acesta și nr. -  au existat mai multe comunicări tip voce) și dacă știe/cunoaște identitatea persoanei care i-a transmis pe telefon prin aplicația Viber hărțile ATM-urilor Raiffeisen din mun. Iași identificate cu prilejul percheziției informatice.

 Pe de altă parte, instanța reține ca fiind neverosimilă apărarea inculpatului potrivit căreia acesta a preluat sumele mari de bani găsite asupra sa cu scopul de a le preda poliției, în condițiile în care acesta a declarat că nu cunoștea orașul și nici zona respectivă și, prin urmare, nu avea cum să identifice vreo locație în care se afla sediul vreunei secții de poliție, dată fiind și ora foarte târzie (orele 24,00). Dacă scopul real ar fi fost acesta, atunci inculpatul ar fi putut, de pildă, fie să alerteze cu grupul de 5 tineri aflații în fața agenției pentru a le cere să anunțe organele de poliție sau ar fi putut personal să sune la numărul de urgență 112 de pe telefonul pe care în utiliza, fie, în mod logic, să părăsească sediul agenției în momentul în care a văzut că bancomatul începe să elibereze bani, (având în vedere că a declarat că i s-a părut că acesta părea că este defect), tocmai pentru a evita orice asociere cu funcționarea evident anormală a ATM-ului și cu eliberarea numerarului, mai ales că era cetățean străin și nu vorba limba română, prezența sa la acea oră acolo fiind evident una suspectă pentru orice observator rezonabil.

În concluzie, apărările inculpatului nu pot fi primite, iar declaraţiile acestuia au fost şi vor fi reţinute parţial, respectiv numai sub acele aspecte de fapt care se coroborează cu restul mijloacelor de probă administrate în cauză.

* * *

B. În drept :

16.1. ■ Faptele inculpatului CD, care, cel mai târziu la data de 02.09.2016, a aderat la grupul infracțional organizat, deja constituit la începutul lunii august 2016, în vederea comiterii de infracțiuni informatice cu activităţi transfrontoliere în dauna Raiffeisen Bank România, a cărei activitate infracțională a sprijinit-o în datele de 03 și 04.09.2016 (prin aceea că: →în baza unei înțelegeri prealabile cu membri ai grupului infracțional, în seara zilei de 02.09.2016, inculpatul a plecat de la domiciliul său din orașul Tiraspol din sud-estul Republicii Moldova, echipat corespunzător, ajungând în dimineața zilei de 03.09.2016, la punctul de trecere al frontierei spre România Ungheni-Sculeni din nord-vestul Republicii Moldova, când a intrat în țară cu un autoturism de ocazie, având asupra sa două telefoane mobile, dintre care unul a fost utilizat ulterior pentru a ține legătura cu un alt membru al grupării infracționale; →în data de 03.09.2016, în jurul orelor 10,40-11,30, după ce a fost ajutat să își activeze în telefonul Samsung o cartelă românească a comunicat telefonic cu un alt membru al grupării infracționale și s-a întâlnit cu cel puțin un altul, în scop infracțional; → cel mai târziu în jurul orelor 23,45 a primit de la un alt membru al grupării un telefon mobil marca Apple model Iphone pe care fuseseră primite anterior, prin Viber, mesaje text și imagini cu hărți cu google.maps conținând locațiile a două bancomate compromise din Iași, după care s-a îndreptat cu acel telefon către agenția Raiffesien Bank din Iași, bdul Alexandru cel Bun, nr. 19, unde a intrat vorbind la telefon în jurul orelor 24,00, după ce în prealabil, la orele 20,50, purtase o convorbire telefonică de cca. 30 de secunde, de pe un telefon marca Samsung, cu un alt membru al grupării grupării infracționale; →în data de 04.09.2016, la scurt timp după orele 00,00, fără a utiliza vreun card bancar și fără a atinge ATM-ul a preluat suma totală de 80.000 lei - eliberată de bancomat în 40 de tranșe a câte 2000 lei fiecare - ca urmare a acțiunilor de accesare ilegală de la distanță a sistemului informatic al bancomatului, de introducere și modificare de date informatice în acest sistem, de către un alt membru al grupului infracțional), având, în mod special, rolul de a de a retrage numerarul eliberat prin fraudă informatică de la ATM-ul RYBN0937 al Raiffesein Bank, asigurând astfel grupării infracţionale beneficiul material al infracţiunilor ce intrau în scopul acestuia, întrunesc elementele constitutive ale infracţiunii de ”constituire a unui grup infracțional organizat, în modalitățile alternative de aderare sau sprijinire, sub orice formă, a unui astfel de grup” prevăzută şi pedepsită de art. 367 alin. 1 din Cod penal.

De asemenea, se reține că grupul infracțional organizat la care a aderat și pe care l-a sprijinit inculpatul este grupul constituit cel mai târziu la începutul lunii august 2016 în scopul comiterii unor infracţiuni de ”acces ilegal la un sistem informatic” şi ”fraudă informatică”, respectiv grupul care, pe de o parte, începând cu data de 08.09.2016, utilizând un virus informatic (malware tip Cobalt Strike), a reușit să compromită sistemul informatic central al Raiffesein Bank România și apoi să obțină controlul informatic asupra stațiilor de lucru de tipul controler care administrează informatic și comandă funcțional operațiunile executate de ATM-urile băncii, iar, pe de altă parte, care, ulterior, a planificat, organizat și coordonat atacurile informatice ce au avut loc, aproape simultan, în seara și noaptea de 03/04.09.2016, când, prin accesarea de la distanță a sistemelor informatice ale unui număr de 32 de ATM-uri compromise de pe teritoriul țării ale Raiffesein Bank și, prin introducerea și modificarea de date informatice, atacatorii informatici, membri ai grupării, au determinat eliberarea de sume mari de bani în numerar, ce au fost preluate de la bancomate (inclusiv de la cel amplasat în incinta agenției bancare din Iași, bdul Alexandru cel Bun, nr.19) de alți membri ai grupării, cu atribuții speciale în acest sens (care au acționat coordonat, comunicând online, prin aplicații instalate pe telefoanele avute asupra lor, cu cei ce au organizat acțiunile), cauzând, în acest fel, un prejudiciu total de 3.818.000 lei (echivalentul a cca. 860.000 euro). 

■ Faptele inculpatului CD care, în cadrul grupului infracţional anterior menţionat, în noaptea de 03/04.09.2016, în baza acelaşi rezoluţii infracţionale, ținând permanent legătura prin intermediul aplicației Viber - instalată pe telefonul marca Apple model Ipfone găsit asupra lui - cu un membru al grupării infracționale care îl coordona și care, probabil, a comis atacul informatic (căruia el i-a furnizat date referitoare, de pildă, la prezența sa în fața bancomatului, la mesajele afișate de bancomat sau la faptul că acesta a început să elibereze bani), în intervalul orar 00:07-00:14, a efectuat un număr de 40 de acte materiale repetate de preluare/retragere de numerar, în sumă totală de 80.000 lei (echivalentul a cca. 17.800 euro), de la ATM-ul RYBN0937 al Raiffesein Bank amplasat în incinta agenției bancare din Iași, bdul Alexandru cel Bun, nr.19, pe care i-a introdus în rucsacul cu care venise echipat în acest sens, asigurând astfel beneficiul material rezultat din introducerea şi modificarea, fără drept, de date informatice în sistemul informatic al ATM-ului de către un alt membru al grupării, întrunesc elementele constitutive ale infracţiunii de ”complicitate la fraudă informatică” în formă continuată prev. şi ped. de 48 Cod penal raportat la art. 249 Cod penal cu aplicarea art.35 alin.1 Cod penal.

Se reţine că această infracţiune a fost comisă în forma continuată prevăzută de art. 35 alin. 1 din Codul penal, întrucât, la foarte scurte intervale de timp  au fost săvârşite un număr de 40 de acte materiale diferite de retragere/preluare de numerar, eliberat de ATM ca urmare a tot atâtea comenzi repetate, dar distincte, de eliberare de numerar date de la distanță de către autorul atacului informatic. În condițiile în care, în scopul asigurării unei bune funcționări, ATM-ul era setat și limitat ca la o retragere să elibereze maxim 20 de bancnote este evident că a fost nevoie de 40 de comenzi distincte repetate de eliberare de numerar. Toate aceste acte materiale s-au  realizat în baza aceleiaşi rezoluţii infracţionale şi împotriva aceluiași subiect pasiv (Raiffeisen Bank), în aceeași modalitate, respectiv prin acţiuni care fiecare, în parte, prezintă conţinutul aceleiași infracţiuni.

16.2. Instanța reține că ambele infracțiuni reținute în sarcina inculpatului au fost comise în condiţii de concurs real prevăzut de art. 38 alin. 1 Cod penal, întrucât au fost săvârşite, de aceeași persoană, prin acţiuni distincte, la momente diferite, și mai înainte ca inculpatul să fi fost condamnat definitiv pentru vreuna dintre ele, dar şi pentru că infracţiunea de „aderare la un grup infracțional organizat” a săvârşită în vederea comiterii uneia dintre infracțiunile ce au făcut obiectul de activitate al grupului infracțional și anume acea de ” fraudă informatică”, în forma de participație a complicității.

16.3. În ceea ce privește infracțiunea de ”fraudă informatică”, instanța reține că inculpatul CD a comis această infracțiune în forma de participație penală a complicității și nu a autoratului (așa cum s-a dispus trimiterea în judecată) întrucât, dincolo de faptul că acesta nu a atins ATM-ul și nu a introdus în bancomat vreun card bancar, nu el este cel care a comis vreuna dintre acțiunile alternative ce fac obiectul material al acestei infracțiuni. Într-adevăr, inculpatul CD nu a introdus, nu a modificat și nici nu  a șters date informatice, după cum nu a restricționat accesul la astfel de date și nici nu a împiedicat în vreun fel funcționarea sistemului informatic al ATM-ului prin acțiuni concrete, proprii. Astfel de acțiuni, care se circumscriu obiectului material al infracțiunii de fraudă informatică, au fost comise, dar de un alt membru la grupării infracționale (așa cum au relevat probele administrate în cauză, în special perchezițiile informatice), respectiv de acel membru care a acționat online, de la distanță și cu care inculpatul a ținut legătura în timp real prin intermediul aplicației Viber. Contribuția inculpatului s-a limitat la ajutorul dat pentru comiterea acestei infracțiuni, prin aceea că, pe de o parte, a sprijinit autorul atacului informatic pentru a realiza frauda informatică prin furnizarea în timp real, din fața bancomatului a datelor necesare (respectiv: confirmarea prezenței sale acolo, a împrejurării că nu mai sunt alte persoane de față și că poate fi lansat atacul informatic, a mesajelor afișate de bancomat, a faptului că ATM-ul a început să elibereze bani și, în fine, a împrejurării că a terminat de preluat numerarul și că va pleca, pentru ca autorul să procedeze apoi la suprascriere și repornirea sistemului informatic). Pe de altă parte însă,  contribuția inculpatului a constat, în mod special, în a prelua numerarul eliberat de bancomat, respectiv de a asigurare obținerea produsului infracțional, în baza unei înțelegeri prealabile în acest sens. Pe cale de consecință, se constată că activitățile întreprinse în concret de inculpat, se circumscriu formei de participație a complicității în modalitatea prevăzută de art. 48 alin. 1 Cod penal (”complicele este persoana care, cu intenție, înlesnește sau ajută în orice mod la săvârșirea unei fapte prevăzută de legea penală”).

De aceea, în baza art. 386 alin. 1 Cod de procedură penală, instanța va dispune schimbarea încadrării juridice dată faptelor prin rechizitoriu din infracţiunile de ”fraudă informatică” în formă continuată prev. şi ped. de art. 249 Cod penal cu aplicarea art.35 alin.1 Cod penal și ”constituire a unui grup infracțional organizat, în modalitățile alternative de aderare sau sprijinire, sub orice formă, a unui astfel de grup” prevăzută şi pedepsită de art. 367 alin. 1 din Cod penal, ambele infracţiuni cu aplicarea art.38 alin.1 Cod penal, în infracţiunile de ”complicitate la fraudă informatică” în formă continuată prev. şi ped. de 48 Cod penal raportat la art. 249 Cod penal cu aplicarea art.35 alin.1 Cod penal și ”constituire a unui grup infracțional organizat, în modalitățile alternative de aderare sau sprijinire, sub orice formă, a unui astfel de grup” prevăzută şi pedepsită de art. 367 alin. 1 din Cod penal, ambele infracţiuni cu aplicarea art.38 alin.1 Cod penal. Această schimbare de încadrare juridică a fost pusă în discuția contradictorie a părților, la ultimul termen de judecată.

 ■  Faţă de situaţia de fapt şi de drept reţinută, în baza dispoziţiilor art. 396 alin. 2 Cod. pr. penală, instanţa va dispune condamnarea inculpatului.

*  * *

17. La individualizarea judiciară a pedepselor principale  şi  a modului lor de executare, instanţa va ţine cont de dispoziţiile art. 74 din Cod penal.

Astfel, se va ţine cont, mai întâi, de dispoziţiile generale ale Codul penal şi de limitele de pedeapsă fixate în partea specială, care sunt următoarele: → pentru infracţiunea de „fraudă informatică” prev. şi ped. de art. 249 Cod penal, sancţiunea prevăzută de lege este închisoarea de la 2 ani la 7 ani; → pentru infracţiunea de ”constituire a unui grup infracțional organizat, în modalitățile alternative de aderare sau sprijinire, sub orice formă, a unui astfel de grup” prev. şi ped. de art. 367 alin. Cod penal, sancţiunea prevăzută este închisoarea de la 1 la 5 ani și interzicerea unor drepturi. De asemenea, se va avea în vedere că, potrivit art. 49 Cod penal, complicele la o infracțiune comisă cu intenție se sancționează cu pedeapsa prevăzută de lege pentru autor, la stabilirea pedepsei ținându-se seama de contribuția fiecărui participant la săvârșirea infracțiunii, precum și de criteriile de individualizare a pedepsei prevăzute de art. 74 Cod penal.

În al doilea rând, la individualizarea judiciară a pedepselor principale ce îi vor fi aplicate inculpatului CD, pentru fiecare dintre cele două infracţiuni comise, instanţa va avea ţine seama de gravitatea faptelor, respectiv gradul de  pericol  social  concret  al acestora, reflectat de : modalităţile şi împrejurările concrete în care au fost săvârşite faptele, de mijlocele folosite, de starea de pericol creată pentru fiecare dintre valorile sociale ocrotite, de caracterul continuu al uneia dintre infracţiunile informatice reținute în sarcina sa și de numărul actelor materiale reţinute (40), ), de cuantumul mare al prejudiciului efectiv cauzat, de planificarea/premeditarea comiterii infracţiunilor, de motivul şi scopul urmărit prin săvârşirea infracţiunii.

De asemenea, se vor avea în vedere măsurile luate de inculpat pentru a preîntâmpina identificarea și depistarea sa (modul în care a intrat în țară și a coborât din autoturismul de ocazie, utilizarea unor telefoane dedicate comiterii faptelor, folosirea de echipamente și modalități care să îngreuneze identificarea sa ulterioară ș.a.). 

În al treilea rând, la individualizarea judiciară a pedepselor principale ce îi vor fi aplicate inculpatului, pentru fiecare dintre cele două infracţiuni comise, instanţa va avea ţine seama de periculozitatea şi de persoana inculpatului, reflectată de atât de datele pozitive cât și de cele negative: → lipsa antecedentelor sale penale; → de faptul că, potrivit înscrisurilor depuse de acesta în circumstanțiere,  acesta este o persoană bine integrată în comunitatea în care trăiește, fiind un bun familist, un vecin apreciat și o persoană care are o ocupație și o profesie apte de a-i asigura surse de venit licite; → de împrejurarea că probele administrate în cauză relevă că faptele deduse judecăţii nu au un caracter întâmplător, ci au fost unele organizate și planificate din timp; → de împrejurarea esenţială că, deşi inculpatul a fost pe deplin conştient de caracterul infracţional al faptelor sale (aşa cum s-a argumentat mai sus), fiind depistat în flagrant imediat după ce a preluat banii de la bancomat, aceasta  a adoptat în mod constant o poziţie procesuală necorespunzătore, neasumându-şi comiterea infracţiunilor imputate şi formulând apărări neplauzibile, în ciuda multiplelor mijloace de probă ce indică vinovăţia sa; → de atitudinea avută de inculpat după trimiterea în judecată, când în ciuda evidențelor și în ciuda faptului că a fost prezent la efectuarea tuturor actelor procedurale relevante (respectiv la efectuarea perchezițiilor informatice), asistat de un avocat și de un traducător, a contestat nemotivat rezultatele unora dintre percheziții; → de vârsta şi nivelul de educaţie al inculpatului, de starea sa de sănătate bună, de situaţia lui socială şi de celelalte date personale.

În al patrulea rând, la individualizarea judiciară a pedepselor principale ce îi vor fi aplicate inculpatului, pentru fiecare dintre cele două infracţiuni comise, instanţa va avea ţine seama şi de: ● faptul că una dintre infracţiuni a fost comisă în formă continuată, precum şi de dispoziţiile art. 36 alin. 1 Cod penal referitoare la sancţionarea infracţiunii continuate; ● de caracterul transfrontalier al activităților infracționale reținute în sarcina inculpatului, dar și de amploarea și consecințele faptelor grupului infracțional organizat la care inculpatul a aderat și pe care l-a sprijinit, chiar dacă nu a participat și la comiterea altor fapte ce au fost comise de aceeași grupare infracțională; ● de  împrejurarea că inculpatul a venit în România în mod special pentru a comite faptele reținute în sarcina sa, în scopul de a obține, în mod facil, într-un termen scurt, câștiguri mari bănești, sperând că nu va fi prins, sens în care s-a bazat pe mijloacele de protecție luate și pe împrejurarea că, urmând a ieși rapid din țară după săvârșirea infracțiunii și revenind în orașul de domiciliu, nu ar putea fi identificat, iar dacă va fi totuși identificat nu va putea fi tras la răspundere penală.

În funcţie de toate aceste criterii, analizate coroborat, instanţa îi va aplica inculpatului CD, pentru fiecare infracţiune reținută în sarcina sa, pedepse principale cu închisoarea orientate astfel: a) semnificativ peste media/mijlocul limitelor prevăzute de lege (care e de 2,6 ani), mai exact o pedeapsă de 3 ani și 8 luni, în cazul infracţiunii de prejudiciu, respectiv cea de ”complicitate la fraudă informatică”, având în vedere consecinţele efectiv produse, contribuția sa efectivă decisivă în asigurarea produsului infracțional, poziția procesuală necorespunzătoare, dar și circumstanțele personale pozitive (care coroborate cu faptul că nu el a fost autorul atacului informatice, determină instanța să nu se orienteze totuși spre maximul de pedeapsă); b) o pedeapsă sub media/mijlocul limitelor prevăzute de lege, dar orientată spre acest nivel, mai exact o pedeapsă de 2 ani și 6 luni închisoare pentru cealaltă infracțiune, mai mică decât în cazul celeilalte infracțiuni comise, prin raportare (și) la contribuția și la rolul său concret în cadrul grupului infracțional, la durata în timp al activării sale în cadrul grupului, dar și la faptul că nu există probe că ar mai fi participat la comiterea și a altor fapte la alte bancomate. Pedepsele astfel individualizate urmează a fi executate în regim de detenţie.

*  * *

18. În baza art. 67 alin. 1 cu referire la art. 66 alin.1,3 şi 5 Cod penal, instanţa îi va aplica inculpatului CD, pentru fiecare dintre cele două infracţiuni comise, pe lângă pedeapsa principală, şi câte o pedeapsă complementară, constând în: ●→ interzicerea exercitării drepturilor prevăzute de art. de art. 66 alin. 1 lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pentru o perioadă de 5 ani, care se va calcula conform dispoziţiilor art. 68 din Codul penal, în cazul infracţiunii de ”complicitate la fraudă informatică” în formă continuată; ●→ interzicerea exercitării drepturilor prevăzute de art. de art. 66 alin. 1 lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pentru o perioadă de 4 ani, care se va calcula conform dispoziţiilor art. 68 din Codul penal, în cazul celeilalte infracţiuni reținute în sarcina sa.

În speţă, instanţa apreciază necesară aplicarea pedepsei complementare având în vedere natura şi gravitatea infracţiunilor comise, împrejurările concrete ale cauzei şi persoana inculpatului, dar şi faptul că pedepsele principale ce vor fi stabilite sunt pedepse cu închisoarea.

La individualizarea pedepselor complementare, în modalitatea anterior arătată, instanţa va avea în vedere, mai întâi, faptul că natura infracţiunilor comise, modalitatea şi împrejurările săvârşirii acestora, precum şi planificarea lor, constituie împrejurări ce nu pot fi compatibile cu exercitarea anumitor drepturi elective (dreptul de a fi ales în autorităţile publice sau în orice alte în funcţii elective publice și dreptul de a ocupa o funcţie implicând exerciţiul autorităţii de stat).

În al doilea rând, instanţa mai are în vedere că modalitatea de comitere a faptelor reținute în sarcina sa, anvergura activității grupului infracțional organizat din care a făcut parte inculpatul și consecințele acesteia, coroborate cu caracterul transfrontalier al faptelor și cu împrejurarea că datele cauzei relevă că infracțiunile au fost coordonate din afara teritoriului țării, precum și cu faptul că majoritatea membrilor acesteia par a nu fi cetățeni români, dar și cu faptul că inculpatul a venit în România exclusiv în scop infracțional, sunt tot atâtea argumente ce impun restrângerea exercitării dreptului inculpatului străin CD de a se afla pe teritoriul României, în scopul protecției și al apărării valorilor sociale ocrotite de normele penale încălcate de inculpat, dar și al prevenirii comiterii de noi fapte similare.

În al treilea rând, la stabilirea duratei pentru care se va aplica fiecare dintre cele două pedepse complementare (peste medie), instanţa are în vedere gravitatea infracţiunilor comise, modalitatea şi împrejurările comiterii lor, scopul urmărit, precum şi conduita procesuală a inculpatului.

*  * *

19. De asemenea, în baza art. 65 alin. 1 şi 3 Cod penal, instanţa îi va aplica inculpatului CD, pentru fiecare dintre cele două infracţiuni comise, pe lângă pedeapsa principală, şi cea complementară, şi câte o pedeapsă accesorie, care – potrivit legii – vor consta în interzicerea exercitării aceloraşi  a drepturi a căror exercitare a fost interzisă în prealabil de instanţă ca pedeapsă complementară, dar pe durata şi în condiţiile prevăzute de art. 65 alin. 3 Cod penal. La stabilirea şi individualizarea pedepselor accesorii, instanţa are în vedere art. 65 alin. 1 Cod penal, precum şi aceleaşi argumente de fapt reţinute în cazul individualizării pedepselor complementare.

*  * *

 20.1. Constatând că inculpatul CD a comis infracțiunile deduse judecaţii în condiţii de concurs, instanţa în baza dispoziţiilor art. 38 alin. 1 coroborat cu art. 39 alin. 1 lit. „b” Cod penal, va contopi pedepsele ce îi vor fi aplicate acestuia pentru cele două infracţiuni concurente, aplicând pedeapsa cea mai grea de 3 (trei) ani şi 8(opt) luni închisoare, la care se va adăuga sporul obligatoriu de o treime din cealaltă pedeapsă stabilită, respectiv un spor în cuantum de 10(zece) luni închisoare, stabilindu-se astfel pedeapsa rezultantă de executat de 4(patru) ani și 6(șase) luni închisoare.

20.2 Apoi, tot în considerarea concursului de infracţiuni, în baza art. 45 alin. 2, 3 lit. „a” Cod penal, dintre cele două pedepse complementare de aceeași natură şi cu acelaşi conţinut se va aplica cea mai grea, astfel încât, alături de pedeapsa principală, i se va aplica inculpatului CD pedeapsa complementară cea mai grea, rezultantă a interzicerii exercitării drepturilor prevăzute de art. 66 alin. 1 lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pentru o perioadă de 5 ani, care se va calcula și executa conform dispoziţiilor art. 68 din Codul penal.

20.3. În fine, tot în considerarea pluralităţii de infracţiuni, în baza art. 45 alin. 5 Cod penal, dintre cele două pedepse accesorii de aceeași natură şi cu acelaşi conţinut se va aplica cea mai grea, astfel încât i se va aplica inculpatului (şi) pedeapsa accesorie cea mai grea, rezultantă, constând în interzicerea drepturilor exercitării drepturilor prevăzute de art. 66 alin. 1 lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pe durata şi în condițiile prev. de art. 65 alin. 3 Cod penal.

* * *

21.  Constatând că temeiurile ce au stat la baza luării şi ulterior, menţinerii stării de arest preventiv a inculpatului CD nu s-au modificat, ci din contră, s-au consolidat, mai ales că se va dispune condamnarea acestuia, în baza dispoziţiilor art. 399 alin. 1 şi art. 404 alin. 4 lit. „b” Cod pr. penală, instanţa va menţine măsura arestării preventive a inculpatului.

De asemenea, în acest sens, se au în vedere şi celelalte elemente invocate în încheierea din 19.07.2016 (prin care s-a menţinut ultima dată măsura preventivă), care-şi păstrează valabilitatea şi actualitatea. Pericolul pentru ordinea publică nu s-a diminuat, iar măsura arestării preventive nu a depăşit în nici un caz o durată rezonabilă, prin raportare la complexitatea cauzei, la comportamentul inculpatului şi al autorităţilor, inculpatul fiind reţinut şi arestat preventiv la 04.09.2016, iar, prin prezenta hotărâre, va fi deja condamnat în primă instanţă. În fine, pe lângă faptul că temeiurile care au determinat arestarea preventivă nu s-au modificat, ceea ce e mai important e că între timp, mai exact la acest moment, va interveni această sentinţă ce va constata vinovăţia inculpatului pentru faptele de care a fost acuzat, fiind incidente disp. art. 5 paragraful 1 lit. „a” din Convenţia E.D.O..

* * *

22. În baza dispoziţiilor art. 404 alin. 4 lit. „a” Cod pr. penală raportat la art. 72 alin. 1 Cod penal se va scade din pedeapsa principală rezultantă aplicată inculpatului perioada reţinerii şi arestării preventive de la 04.09.2016 la zi.

* * *

23.1.  În scopul prevăzut de art. 107 Cod penal (al preîntâmpinării săvârşirii altor infracţiuni, dar şi al înlăturării unei stări de pericol), instanţa, din oficiu, în baza dispozițiilor art. 112 lit. „b” Cod penal, va dispune confiscarea specială, în folosul statului, a următoarelor bunuri ridicate de la inculpatul CD, ce au fost folosite sau au fost destinate să fie utilizate de acesta la săvârşirea infracţiunilor reținute în sarcina sa:

 a) - terminalul GSM dual marca Samsung model E1202i cu seriile IMEI.1 - 351953078208753 și IMEI.2 – 351954078208751 (găsit asupra inculpatului);

 b) – cartela SIM Orange cu seria 1605102652883A03 și numărul de apelare -, ce a fost găsită introdusă în telefonul/ terminalul GSM dual marca Samsung model E1202i;

 c) - terminalul GSM marca Apple model Iphone 5 - A1533 (5s), cu seria IMEI 013990004259179 (găsit asupra inculpatului);

 d) - cartela SIM Orange cu seria 1606281464637A04 și numărul de apelare -, ce a fost găsită introdusă în telefonul/terminalul GSM marca Apple model Iphone 5;

 e) - cartela SIM cu seria 8970102 691 158 4057 9, de culoare verde (aparținând operatorului de telefonie Megafon din Rusia), găsită în rucsacul aflat asupra inculpatului,

toate transmise instanței de DIICOT – Serviciul Teritorial Iași prin adresa nr. 610/III-13/2017 din 10.05.2017, bunuri care, în prezent, se află la camera de corpuri delicte a Tribunalului Iași, atașate în baza procesului-verbal din 10.05.2017 (f. 172-173 – vol. I dosar instanță).

23.2. În schimb, în ceea ce priveşte solicitarea DIICOT –Serviciul Teritorial Iaşi de confiscare specială a următoarelor mijloace de comunicare, presupus a fi fost utilizate de inculpat la comiterea faptei: ● terminal GSM marca LG model VS980 cu seria IMEI 353852063930926 (găsit asupra inculpatului, în rucsacul acestuia); ● cartela SIM Orange cu seria 1412121394117, ce a fost găsită introdusă în telefonul/terminalul GSM marca LG model VS980 cu seria IMEI 353852063930926 (ambele transmise instanței de DIICOT – Serviciul Teritorial Iași prin adresa nr. 610/III-13/2017 din 10.05.2017, bunuri care, în prezent, se află la camera de corpuri delicte a Tribunalului Iași, atașate în baza procesului-verbal din 10.05.2017 - f. 172-173 – vol. I dosar instanță), instanţa urmează să o respingă, ca nefondată, întrucât nu există probe certe că acestea ar fi fost utilizate la comiterea infracţiunii.

 Astfel, probele administrate în cauză (în special perchezițiile informatice și datele de trafic comunicate de operatorii de telefonie mobilă) au relevat – așa cum s-a detaliat mai sus - că aceste bunuri nu au fost utilizate de inculpat la comiterea infracțiunilor reținute în sarcina sa, telefonul marca LG fiind telefonul personal al inculpatului. De asemenea, în cauză nu există probe certe din care să rezulte nici măcar împrejurarea că aceste bunuri ar fi fost destinate să fie folosite la comiterea infracțiunilor, câtă vreme s-a probat indubitabil că în acest scop au fost utilizate doar telefoane și cartele dedicate în acest scop.

Cum aceste două bunuri (telefonul și cartela din el) nu fac parte din categoria bunurilor a căror deţinere este interzisă de lege şi cum nu există nici un alt element că ar putea fi incident vreun alt caz prevăzut de lege în care să poată opera confiscarea, instanţa, în baza dispoziţiilor art. 404 alin. 4 lit. „f” raportat la art. 255 Cod. pr. penală, va dispune restituirea acestor două bunuri către inculpatul CD, cu obligaţia pentru acesta de a le păstra până la rămânerea definitivă a hotărârii pronunţate în cauză.

23.3. Având în vedere solicitarea expresă a inculpatului de restituire formulată la ultimul termen de judecată, ținând seama de conținutul procesor-verbale de prindere în flagrant a acestuia (din care rezultă bunurile găsite asupra acestuia - f. 3-4 vol. I d.u.p.), coroborat cu procesul-verbal din data de 15.09.2015 (de restituire a anumitor bunuri către inculpat - f. 35 – vol. I d.u.p.), dar și cu înscrisurile comunicate de administrația locului de deținere (din care rezultă bunurile personale ale inculpatului pe care le are în custodie și care i-au fost deja restituite acestuia), instanța constată că, într-adevăr, DIICOT –Serviciul Teritorial Iași a omis să îi restituie acestuia un set chei yale și un pix de culoare neagră, bunuri, care în mod evident, nu au nici o legătură cu infracțiunile  reținute în sarcina sa și a căror deținere nu este interzisă de lege. Prin urmare, cererea sa de restituire este justificată.

De aceea, în baza dispoziţiilor art. 404 alin. 4 lit. „f” raportat la art. 255 Cod. pr. penală, instanța va dispune restituirea, de îndată, către inculpatul CD a următoarelor bunuri ridicate de la acesta și încă nerestituite de către DIICOT - Serviciul Teritorial Iași : un set chei yale și un pix de culoare neagră.

* * *

C. Latura civilă a cauzei:

 24.  În cauză prejudiciul cauzat prin faptele penale reținute în sarcina inculpatului în cuantum de 80.000 lei a fost recuperat integral, la scurt timp după prinderea în flagrant a acestuia, întreaga sumă fiind restituită reprezentantului băncii (f. 31 – vol. I d.u.p.).

Cu toate acestea, partea civilă Raiffeisen Bank SA și-a menținut constituirea de parte civilă (f. 62 și f.74-75 –vol. I dosar tribunal), solicitând obligarea inculpatului și la plata prejudiciilor cauzate și încă nerecuperate , în cuantum de 218.895,01 lei (f. 107- vol. II și f. 73 – vol. III dosar tribunal), ca urmare a fraudelor informatice săvârșite la celelalte 31 de ATM-uri din țară, cu motivația că aceste fraude au fost comise de gruparea infracțională din care a făcut parte și inculpatul și că, din moment ce acesta a fost membru al grupului infracțional organizat, trebuie să răspundă din punct de vedere civil (patrimonial-material) și pentru celelalte fapte. Instanța reține că această argumentație nu poate fi primită, iar inculpatul nu poate fi obligat la recuperarea prejudiciilor produse prin fraudele informatice săvârșite la celelalte 31 de ATM-uri din țară, câtă vreme nu s-a probat, în nici un fel, că acesta ar fi fost implicat, în orice mod, în comiterea acelor fraude, nefiind deci întrunite condițiile răspunderii civile delictuale. Într-adevăr, doar participația penală ocazională (sub forma autoratului, complicității sau instigării) poate justifica atragerea răspunderii civile delictuale, nu și participația constituită, reflectată în reținerea în sarcina acestuia a infracțiunii de ”aderare la un grup infracțional organizat”, întrucât o astfel de infracțiune, prin sine însăși, nu este generatoare de prejudicii, fapta generatoare de prejudicii constituind-o comiterea infracțiunii de fraudă informatică ce a reprezentat infracțiunea scop a constituirii grupării infracționale. Or, inculpatul nu a participat în nici un fel la comiterea fraudelor informatice la celelalte 31 de ATM-uri din țară, pentru a se putea vorbi de incidența solidarității, așa cum a pretins partea civilă. Prin urmare, în speță, nu sunt întrunite condițiile răspunderii civile delictuale referitoare la: a) vinovăția inculpatului cu privire la faptele generatoare de prejudicii de la celelalte 31 de bancomate între faptele și, respectiv, b) la existența vreunei legături de cauzalitate între infracțiunile reținute în sarcina sa în această cauză și prejudiciile produse ca urmare a fraudelor informatice comise asupra celorlalte 31 de ATM-uri. Pe de altă parte, în acest context, instanța reamintește că, în ceea ce privește celelalte 31 de fraude informatice, precum și în ceea ce privește identificarea celorlalți participanți și ai celorlalți membri ai grupării infracționale, cauza a fost disjunsă în faza de urmărire penală, pentru a se continua cercetările.

 Pentru aceste motive, instanța urmează să constate recuperat integral prejudiciul cauzat prin faptele penale reținute în sarcina inculpatului și, pe cale de consecință, să respingă, ca nefondată, acțiunea civilă promovată în cauză de partea civilă Raiffeisen Bank SA împotriva inculpatului CD.

* * *

D. Cheltuieli judiciare :

25. Având în vedere cererea scrisă depusă la dosar, pe care o constată întemeiată, în baza art. art. 272 coroborat cu art. 273 alin. 4 şi 5 Cod pr. penală raportat la art. 7 alin. (1), (2) şi alin. (3) lit. „b” şi „c” din Legea nr. 178/1997 coroborat cu art. 1 lit. a) şi b) din Ordinul comun al M.J. nr.772/C din 05.03.2009 şi al M.F.P. nr. 414 din 03.03.2009, instanța va admite solicitarea formulată de traducătorul autorizat OO, urmând să dispună  a  i se  plăti  acestuia  contravaloarea  onorariului  solicitat,  în cuantum total de 857,64 lei, reprezentând  acele servicii de traducere și interpret prestate detaliate în cererea din 15.09.2017 – (→ 12 ore x 46,30 lei – 23,15 lei/oră + 100% =555,60 lei; → 2 pagini x 50,34 lei – 33,56 lei/pagină + 50% =100,68 lei; c→ 6 pagini x 33,56 lei/pagină =201,36 lei), neachitate încă, din fondurile speciale ale Ministerului de Justiţie, sens în care va dispune comunicarea unui extras după prezenta sentință, către departamentul economico-financiar şi administrativ al instanței, cu ataşarea unei copii după cererea de plată şi după factura depuse.

26. În baza dispoziţiilor art. 398 şi art. 404 alin. 4 lit. „e” raportat la art. 274 alin. 1 teza finală şi art. 272 alin. 1 şi 2 Cod pr. penală, instanța va dispune ca onorariul avocatului desemnat din oficiu pentru inculpat în faza de urmărire penală, în cuantum total de 520 lei, să fie achitat din fondurile speciale ale Ministerului Public, în final, aceste cheltuieli urmând să rămână în sarcina statului.

 27. De asemenea, ca o consecinţă a soluţiei de condamnare pentru comiterea infracţiunilor pentru care a fost trimis în judecată, în baza dispoziţiilor art. 398 şi art. 404 alin. 4 lit. „e” raportat la art. 274 alin. 1 şi art. 272 alin. 1 Cod pr. penală, instanţa îl va obliga pe inculpatul CD să plătească statului suma 8.000 lei (în care nu se includ onorariile avocatului din oficiu și ale traducătorului) cu titlu de cheltuieli judiciare avansate în cauză cursul urmării penale, în faza camerei preliminare şi în cursul judecăţii.

PENTRU ACESTE MOTIVE,

ÎN NUMELE LEGII

HOTĂRĂŞTE :

I.În baza dispoziţiilor art. 386 alin. 1 Cod de procedură penală schimbă încadrarea juridică

dată faptelor prin rechizitoriu din infracţiunile de ”fraudă informatică” în formă continuată prev. şi ped. de art. 249 Cod penal cu aplicarea art.35 alin.1 Cod penal și ”constituire a unui grup infracțional organizat, în modalitățile alternative de aderare sau sprijinire, sub orice formă, a unui astfel de grup” prevăzută şi pedepsită de art. 367 alin. 1 din Cod penal, ambele infracţiuni cu aplicarea art.38 alin.1 Cod penal, în infracţiunile de ”complicitate la fraudă informatică” în formă continuată prev. şi ped. de 48 Cod penal raportat la art. 249 Cod penal cu aplicarea art.35 alin.1 Cod penal și ”constituire a unui grup infracțional organizat, în modalitățile alternative de aderare sau sprijinire, sub orice formă, a unui astfel de grup” prevăzută şi pedepsită de art. 367 alin. 1 din Cod penal, ambele infracţiuni cu aplicarea art.38 alin.1 Cod penal.

II.1. În baza dispoziţiilor art. 396 alin. 2 Cod pr. penală, condamnă pe inculpatul CD, posesor al paşaportului nr. - emis de Republica Moldova, cetăţean al Republicii Moldova, având totodată și cetățenie rusă, căsătorit, tatăl a trei copii (din care doi minori), studii medii tehnice (absolvent de liceu), stagiul militar satisfăcut, întreprinzător privat, administrator al SC ”Tiras-Compozit” SRL, fără antecedente penale,  în prezent deţinut în stare de arest preventiv în Penitenciarul Iaşi, pentru săvârșirea infracțiunilor de :

a)- ”complicitate la fraudă informatică” în formă continuată prev. şi ped. de 48 Cod penal raportat la art. 249 Cod penal cu aplicarea art.35 alin.1 Cod penal (fapte comise la data de 03/04.09.2016), la pedepsele de :

- pedeapsa principală de 3(trei) ani și 8(opt) luni închisoare;

- pedeapsa complementară a interzicerii exercitării drepturilor prevăzute de art. 66 alin. 1

lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pentru o perioadă de 5 ani, care se va calcula conform dispoziţiilor art. 68 din Codul penal;

-şi la pedeapsa accesorie constând în interzicerea exercitării drepturilor prevăzute de art.

66 alin. 1 lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pe durata şi în condițiile prev. de art. 65 alin. 3 Cod penal.

b)- ”constituire a unui grup infracțional organizat, în modalitățile alternative de aderare sau sprijinire, sub orice formă, a unui astfel de grup” prevăzută şi pedepsită de art. 367 alin. 1 din Cod penal (fapte comise - cel mai târziu - în perioada 02-04.09.2016), la pedepsele de :

- pedeapsa principală de 2(doi) ani și 6(șase) luni închisoare;

-  pedeapsa complementară a interzicerii exercitării drepturilor prevăzute de art. 66 alin. 1

lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pentru o perioadă de 4 ani, care se va calcula conform dispoziţiilor art. 68 din Codul penal;

-şi la pedeapsa accesorie constând în interzicerea exercitării drepturilor prevăzute de art.

66 alin. 1 lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pe durata şi în condițiile prev. de art. 65 alin. 3 Cod penal.

2.1. În baza dispoziţiilor art. 38 alin. 1 coroborat cu art. 39 alin. 1 lit. „b” Cod penal contopeşte pedepsele aplicate inculpatului pentru cele două infracţiuni concurente, aplicând pedeapsa cea mai grea de 3(trei) ani și 8(opt) luni ani închisoare, la care adaugă sporul obligatoriu de o treime din cealaltă pedeapsă stabilită, respectiv un spor în cuantum de 10(zece) luni închisoare, stabilind astfel pedeapsa rezultantă de executat de 4(patru) ani și 6(șase) luni închisoare.

2.2.  În baza art. 45 alin. 2, 3 lit. „a” Cod penal, alături de pedeapsa principală, aplică inculpatului pedeapsa complementară cea mai grea, rezultantă a interzicerii exercitării drepturilor prevăzute de art. 66 alin. 1 lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pentru o perioadă de 5 ani, care se va calcula și executa conform dispoziţiilor art. 68 din Codul penal.

 2.3. În baza art. 45 alin. 5 Cod penal, aplică inculpatului pedeapsa accesorie cea mai grea, rezultantă, constând în interzicerea drepturilor exercitării drepturilor prevăzute de art. 66 alin. 1 lit. „a” (constând în dreptul de a fi ales în autoritățile publice sau în orice alte funcții publice), lit. „b” (constând în dreptul de a ocupa o funcție care implică exercițiul autorității de stat) și lit. „c” (constând în dreptul inculpatului străin de a se afla pe teritoriul României), pe durata şi în condițiile prev. de art. 65 alin. 3 Cod penal.

2.1. În baza dispoziţiilor art. 399 alin. 1 şi art. 404 alin. 4 lit. „b” Cod pr. penală menţine măsura arestării preventive a inculpatului CD.

2.2. În baza dispoziţiilor art. 404 alin. 4 lit. „a” raportat la art. 72 alin. 1 Cod penal scade din pedeapsa principală aplicată inculpatului durata reţinerii şi arestării preventive de la 04.09.2016 la zi.

3.1.  În baza dispoziţiilor art. 112 alin. 1 lit. „b” Cod penal dispune confiscarea specială, în folosul statului, a următoarelor bunuri ridicate de la inculpatul CD, ce au fost folosite sau au fost destinate să fie utilizate de acesta la săvârşirea infracţiunilor reținute în sarcina sa:

 a) - terminalul GSM dual marca Samsung model E1202i cu seriile IMEI.1 - 351953078208753 și IMEI.2 – 351954078208751 (găsit asupra inculpatului);

 b) – cartela SIM Orange cu seria 1605102652883A03 și numărul de apelare -, ce a fost găsită introdusă în telefonul/ terminalul GSM dual marca Samsung model E1202i;

 c) - terminalul GSM marca Apple model Iphone 5 - A1533 (5s), cu seria IMEI 013990004259179 (găsit asupra inculpatului);

 d) - cartela SIM Orange cu seria 1606281464637A04 și numărul de apelare -, ce a fost găsită introdusă în telefonul/terminalul GSM marca Apple model Iphone 5;

 e) - cartela SIM cu seria 8970102 691 158 4057 9, de culoare verde (aparținând operatorului de telefonie Megafon din Rusia), găsită în rucsacul aflat asupra inculpatului,

toate transmise instanței de DIICOT – Serviciul Teritorial Iași prin adresa nr. 610/III-13/2017 din 10.05.2017, bunuri care, în prezent, se află la camera de corpuri delicte a Tribunalului Iași, atașate în baza procesului-verbal din 10.05.2017 (f. 172-173 – vol. I dosar instanță).

 3.2.1. Respinge, ca nefondată, solicitarea DIICOT –Serviciul Teritorial Iaşi de confiscare specială a următoarelor mijloace de comunicare, presupus a fi fost utilizate de inculpat la comiterea faptelor : ● terminal GSM marca LG model VS980 cu seria IMEI 353852063930926 (găsit asupra inculpatului, în rucsacul acestuia); ● cartela SIM Orange cu seria 1412121394117, ce a fost găsită introdusă în telefonul/terminalul GSM marca LG model VS980 cu seria IMEI 353852063930926, ambele transmise instanței de DIICOT – Serviciul Teritorial Iași prin adresa nr. 610/III-13/2017 din 10.05.2017, bunuri care, în prezent, se află la camera de corpuri delicte a Tribunalului Iași, atașate în baza procesului-verbal din 10.05.2017 (f. 172-173 – vol. I dosar instanță).

3.2.2.  În baza dispoziţiilor art. 404 alin. 4 lit. „f” raportat la art. 255 Cod. pr. penală dispune restituirea acestor două bunuri către inculpatul CD,  cu obligaţia pentru acesta de a le păstra până la rămânerea definitivă a hotărârii pronunţate în cauză.

 

3.3. În baza dispoziţiilor art. 404 alin. 4 lit. „f” raportat la art. 255 Cod. pr. penală dispune restituirea, de îndată, către inculpatul CD a următoarelor bunuri ridicate de la acesta și încă nerestituite de către DIICOT - Serviciul Teritorial Iași : un set chei yale și un pix de culoare neagră.

 III.  Constată recuperat integral prejudiciul cauzat prin faptele penale reținute în sarcina inculpatului și, pe cale de consecință, respinge, ca nefondată, acțiunea civilă promovată în cauză de partea civilă Raiffeisen Bank SA, cu sediul social în municipiul București, Clădirea Sky Tower, Calea Florească, nr. 246C, sector 1, cod poștal 014476, împotriva inculpatului CD.

 IV.  1. Admite solicitarea formulată de traducătorul autorizat OO şi -  în baza art. art. 272 coroborat cu art. 273 alin. 4 şi 5 Cod pr. penală raportat la art. 7 alin. (1), (2) şi alin. (3) lit. „b” şi „c” din Legea nr. 178/1997 coroborat cu art. 1 lit. a) şi b) din Ordinul comun al M.J. nr.772/C din 05.03.2009 şi al M.F.P. nr. 414 din 03.03.2009, - dispune  a  i se  plăti  acestuia  contravaloarea  onorariului  solicitat,  în cuantum total de 857,64 lei, reprezentând  serviciile de traducere și interpret prestate detaliate în cererea din 15.09.2017 – (→ 12 ore x 46,30 lei – 23,15 lei/oră + 100% =555,60 lei; → 2 pagini x 50,34 lei – 33,56 lei/pagină + 50% =100,68 lei; c→ 6 pagini x 33,56 lei/pagină =201,36 lei), din fondurile speciale ale Ministerului de Justiţie, sens în care dispune comunicarea unui extras după prezenta sentință, către departamentul economico-financiar şi administrativ, cu ataşarea unei copii după cererea de plată şi după factura depuse.

2. În baza dispoziţiilor art. 398 şi art. 404 alin. 4 lit. „e” raportat la art. 274 alin. 1 teza finală şi art. 272 alin. 1 şi 2 Cod pr. penală dispune ca onorariul avocatului desemnat din oficiu pentru inculpat în faza de urmărire penală în cuantum total de 520 lei (respectiv: delegaţia nr. 23633 pentru av. SS, substituită pentru anumite acte de av. LD) să fie achitat din fondurile speciale ale Ministerului Public.

3. În baza dispoziţiilor art. 398 şi art. 404 alin. 4 lit. „e” raportat la art. 274 alin. 1 şi art. 272 alin. 1 Cod pr. penală obligă pe inculpatul CD să plătească statului suma 8.000 lei cu titlu de cheltuieli judiciare, sumă în care nu se includ onorariile avocatului din oficiu și ale traducătorului.