Accesul ilegal la un sistem informatic a fost reglementat de Legea 161/2003, Titlul III – Prevenirea și combaterea  criminalității informatice. Infracțiunea de acces ilegal la un sistem informatic, prevăzută de art. 42, este definită după cum urmează:

(1) Accesul, fără drept, la un sistem informatic constituie infracțiune și se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.

(2) Fapta prevăzută la alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoare de la 6 luni la 5 ani.

(3) Dacă fapta prevăzută la alin. (1) sau (2) este săvârșită prin încălcarea măsurilor de securitate, pedeapsa este închisoarea de la 3 la 12 ani.

Odată cu redactarea noului Cod Penal, infracțiunea de acces ilegal la un sistem informatic a fost preluată de legislația penală, fiind inclusă în Cap. VI – Infracțiuni contra siguranței și integrității sistemelor și datelor informatice. Astfel, art. 360 prevede următoarele:

(1) Accesul, fără drept, la un sistem informatic constituie infracțiune și se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.

(2) Fapta prevăzută la alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoare de la 6 luni la 5 ani.

(3) Dacă fapta prevăzută la alin. (1) a fost săvârșită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.

Infracțiunea de acces ilegal la un sistem informatic preia în integralitate incriminarea anterioară conținută de dispozițiile art. 42 alin. (2) din Legea 161/2003, singura modificare fiind reprezentată de reformularea modului de redactare a alin. (3) într-o manieră mai detaliată, prin înlocuirea formulei de „încălcare a măsurilor de securitate” prin fapta de acces, fără drept, „la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori.”. Noua formulare a înlăturat numeroasele discuții existente în practică, constând în ipoteza în care accesul la un sistem informatic se realizează din punct de vedere strict tehnic nu prin încălcarea efectivă a măsurilor de securitate, ci prin ocolirea lor.

În ceea ce privește termenul de „măsuri de securitate”, noua reglementare a preluat înțelesul dat de art. 35 lit. h) din Legea 161/2003, și-anume: „prin măsuri de securitate se înțelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricționat sau interzis pentru anumite categorii de utilizatori.”

În legătură cu noțiunea de „acces fără drept”, noul Cod Penal a preluat explicațiile cuprinse în art. 35 alin. (2) din Legea 161/2003, potrivit cărora „acționează fără drept persoana care se află în una din următoarele situații:

a) nu este autorizată, în temeiul legii sau al unui contract;

b) depășește limitele autorizării;

c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.”

Elementul material al infracțiunii nu cunoaște o modificare față de vechea reglementare, ci doar o redare mai clară, mai explicită a aceluiași tip de activitate infracțională.

Consumarea se face doar dacă făptuitorul trece, depășește măsurile de securitate ce protejează sistemul, prin orice modalitate tehnică posibilă, acțiune ce constituie în toate cazurile o încălcare a măsurilor de securitate destinate să restricționeze accesul la sistemul informatic.

Tentativa se pedepsește, potrivit prevederilor art. 366 NCP.

Sacțiunea. Primele două alineate ale art. 360 NCP mențin sancțiunile prevăzute în norma legală anterioară, respectiv pedeapsa de la 3 luni la 3 ani sau amendă, în cazul alin. (1), și pedeapsa de la 6 luni la 5 ani, în cazul alin. (2).

Alineatul (3), ce sancționează accesul fără drept la un sistem informatic protejat de măsuri de securitate, prevede o pedeapsă mai blândă decât cea prevăzută de reglementarea anterioară – pedeapsa cu închisoarea de la 2 la 7 ani, în locul celei cuprinse între limitele de 3-12 ani. Dispozițiile art. 360 alin. (2) NCP ar constitui, așadar, legea penală mai favorabilă.

Infracțiunea de acces ilegal la un sistem informatic este prevăzută, atât în vechea reglementare, cât și în concepția noului Cod Penal, ca infracțiune de pericol, și totuși acest tip de faptă se încadrează în categoria infracțiunilor-mijloc, scopul constând, în cele mai multe dintre cazuri, în vătămarea patrimoniului persoanelor fizice sau juridice.