RO

RO

RO

COMISIA EUROPEAN

Bruxelles, 30.9.2010 COM(2010) 517 final 2010/0273 (COD) .

Propunere de DIRECTIV A PARLAMENTULUI EUROPEAN I A CONSILIULUI privind atacurile mpotriva sistemelor informatice i de abrogare a Deciziei-cadru 2005/222/JAI a Consiliului

{SEC(2010) 1122 final} {SEC(2010) 1123 final}

RO

RO

EXPUNERE DE MOTIVE 1. MOTIVELE I OBIECTIVELE PROPUNERII

Scopul propunerii este de a nlocui Decizia-cadru 2005/222/JAI din 24 februarie 2005 privind atacurile mpotriva sistemelor informatice1. Decizia-cadru a constituit un rspuns, dup cum se menioneaz n considerentele sale, la obiectivul de mbuntire a cooperrii ntre autoritile judiciare i alte autoriti competente, inclusiv poliia i alte servicii specializate de aplicare a legii din statele membre, prin alinierea normelor de drept penal n statele membre n ceea ce privete atacurile mpotriva sistemelor informatice. Aceasta a introdus legislaie la nivelul UE care s permit urmrirea faptelor penale cum ar fi accesul ilegal la sistemele informatice, interferena ilegal n sisteme i interferena ilegal n date, precum i norme specifice privind rspunderea persoanelor juridice, competena i schimbul de informaii. Statelor membre li s-a solicitat s ia msurile necesare pentru a se conforma dispoziiilor deciziei-cadru pn la 16 martie 2007. La 14 iulie 2008, Comisia a publicat un raport privind punerea n aplicare a deciziei-cadru n cauz2. n concluziile raportului, s-a menionat c s-au nregistrat progrese semnificative n majoritatea statelor membre i c nivelul de punere n aplicare a fost relativ bun, dar c, n unele state membre, punerea n aplicare nu a fost nc finalizat. n raport s-a mai precizat c atacurile recente din Europa, care au avut loc dup adoptarea deciziei-cadru, au subliniat apariia mai multor ameninri noi, n special, producerea unor atacuri simultane masive mpotriva sistemelor informatice i utilizarea infracional crescut a aa-numitelor botnets. Aceste atacuri nu au fost n centrul ateniei atunci cnd decizia-cadru a fost adoptat. Ca rspuns la aceste evoluii, Comisia va avea n vedere msuri care vizeaz gsirea unor rspunsuri mai eficiente la aceste ameninri (a se vedea seciunea urmtoare pentru explicaii privind botneturile). Importana de a se lua msuri suplimentare pentru intensificarea luptei mpotriva criminalitii informatice a fost subliniat n Programul de la Haga din 2004 privind consolidarea libertii, securitii i justiiei n Uniunea European, precum i Programul de la Stockholm din 2009 i planul de aciune corespunztor acestuia3. n plus, Agenda digital pentru Europa4, prezentat recent i care reprezint prima iniiativ emblematic adoptat n cadrul strategiei Europa 2020, a recunoscut necesitatea de a gsi soluii, la nivel european, la apariia unor noi forme de criminalitate, n special criminalitatea informatic. n acest domeniu de aciune concentrat pe ncredere i securitate, Comisia se angajeaz s adopte msuri de combatere a atacurilor mpotriva sistemelor informatice. La nivel internaional, Convenia Consiliului Europei privind criminalitatea informatic (Convenia privind criminalitatea informatic), semnat la 23 noiembrie 2001, este considerat ca fiind standardul internaional cel mai complet pn n prezent, deoarece ofer un cadru cuprinztor i coerent, care acoper diversitatea aspectelor legate de criminalitatea informatic5. Pn n prezent, Convenia a fost semnat de toate cele 27 de state membre, dar
1 2 3 4 5

JO L 69, 16.3. 2005, p. 68. Raportul Comisiei ctre Consiliu n temeiul articolului 12 din Decizia-cadru a Consiliului din 24 februarie 2005 privind atacurile mpotriva sistemelor informatice, COM(2008) 448. JO C 198, 12.8. 2005, JO C 115, 4.5.2010, COM(2010) 171, 20.4.2010. Comunicarea Comisiei - COM(2010) 245, 19.5.2010. Convenia Consiliului Europei privind criminalitatea informatic, Budapesta, 23.11.2001, STCE nr. 185.

RO

RO

a fost ratificat de numai 15 dintre acestea6. Convenia a intrat n vigoare la 1 iulie 2004. UE nu este semnatar a Conveniei. Avnd n vedere importana acestui instrument, Comisia va ncuraja n mod activ restul statelor membre ale UE s ratifice convenia ct mai curnd. Contextul general n ceea ce privete criminalitatea informatic, principala cauz a acestui fenomen o reprezint vulnerabilitatea rezultat din diveri factori. Rspunsul insuficient al mecanismelor de punere n aplicare a legii contribuie la rspndirea acestor fenomene, iar dificultile iau amploare, deoarece anumite forme de fapte penale transcend frontierele naionale. Raportarea acestui tip de criminalitate este adesea necorespunztoare, pe de o parte deoarece unele infraciuni trec neobservate, pe de alt parte deoarece victimele (operatorii economici i societile) nu raporteaz infraciunile de team s nu le fie compromis reputaia i s nu le fie afectate perspectivele comerciale prin expunerea public a vulnerabilitilor lor. n plus, variaiile existente la nivel naional n ceea ce privete dreptul penal i procedura penal pot determina diferene n materie de cercetare i urmrire penal, ceea ce duce la tratarea n mod diferit a acestor infraciuni. Evoluiile din domeniul tehnologiei informaiilor au exacerbat aceste probleme prin facilitarea producerii i distribuirii instrumentelor (malware i botnet), oferind totodat anonimitate infractorilor i dispersnd responsabilitatea ntre jurisdicii. Dificultile asociate declanrii anchetelor permit crimei organizate s obin profituri considerabile, cu risc sczut. Prezenta propunere ia n considerare noile metode de comitere a infraciunilor informatice, n special utilizarea de botneturi. Termenul botnet desemneaz o reea de calculatoare care au fost infectate cu programe ostile (virui informatici). O astfel de reea de calculatoare virusate (zombie) poate fi activat pentru a efectua aciuni specifice, cum ar fi atacarea sistemelor informatice (atacuri informatice). Aceste zombie pot fi controlate - adesea fr cunotina utilizatorilor calculatoarelor virusate - de un alt calculator, cunoscut i sub numele de centru de comand i control. Persoanele care controleaz acest centru se numr printre infractori, deoarece utilizeaz calculatoarele virusate pentru a lansa atacuri mpotriva sistemelor informatice. Autorii sunt foarte dificil de identificat, deoarece locaia n care se afl calculatoarele care alctuiesc botnetul i lanseaz atacul poate fi diferit de cea a autorului. Atacurile lansate de un botnet sunt adesea realizate la scar larg. Atacurile la scar larg sunt fie atacurile care pot fi lansate prin utilizarea de instrumente care afecteaz un numr semnificativ de sisteme informatice (calculatoare), fie atacurile care produc daune considerabile, de exemplu, n materie de ntrerupere a serviciilor aferente sistemului, costuri financiare, pierderi de date cu caracter personal etc. Daunele cauzate de atacurile la scar larg au un impact major asupra funcionrii sistemului-int i/sau afecteaz mediul de lucru al acestuia. n acest context, printr-un botnet mare se nelege un botnet care are capacitatea de a produce daune serioase. Botneturile sunt dificil de definit n termeni de dimensiune, dar s-a estimat c cele mai mari botneturi au ntre 40 000 i 100 000 de conexiuni (i anume calculatoare infectate) pe interval de 24 de ore7.

6 7

Pentru a cunoate stadiul n care se afl ratificrile Conveniei (STCE nr. 185), putei consulta: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=&DF=&CL=ENG Numrul de conexiuni pe interval de 24 de ore este unitatea de msur utilizat n mod curent pentru estimarea dimensiunii botneturilor.

RO

RO

 Dispoziii n vigoare n domeniul propunerii La nivelul UE, decizia-cadru introduce un nivel minim de armonizare a legislaiei statelor membre pentru a incrimina o serie de infraciuni informatice, inclusiv accesul ilegal la sistemele informatice, interferena ilegal n sisteme i interferena ilegal n date, precum i instigarea, complicitatea i ncercarea de a comite aceste infraciuni. Cu toate c dispoziiile prevzute n decizia-cadru au fost n general puse n aplicare de ctre statele membre, decizia prezint o serie de deficiene ca urmare a tendinei n materie de dimensiune i numr de fapte penale (atacuri informatice). Aceasta armonizeaz legislaia doar n ceea ce privete un numr limitat de fapte penale, dar nu propune soluii pentru ameninarea potenial pe care o reprezint atacurile la scar larg pentru societate. De asemenea, aceasta nu ia suficient n considerare gravitatea infraciunilor i nu prevede sanciuni mpotriva acestora. Alte iniiative i programe UE, n vigoare sau planificate, ncearc s soluioneze problemele legate de atacurile sau incidentele informatice, cum ar fi securitatea reelelor i sigurana utilizatorilor de internet. Acestea includ aciunile sprijinite de programul Prevenirea i combaterea criminalitii8, programul Justiia n materie penal9, programul pentru un internet mai sigur (Safer Internet10) i iniiativa privind infrastructurile critice de informaii11. n plus fa de decizia-cadru, alt instrument juridic relevant n vigoare este Decizia-cadru 2004/68/JAI privind combaterea exploatrii sexuale a copiilor i a pornografiei infantile. La nivel administrativ, practica de infectare a calculatoarelor, transformndu-le n botneturi, este deja interzis n temeiul normelor UE n materie de confidenialitate i de protecie a datelor12. n special ageniile administrative naionale coopereaz deja n cadrul Reelei europene de contact a autoritilor antispam. Conform acestor norme, statele membre sunt obligate s interzic interceptarea comunicaiilor n reelele publice de comunicaii i a serviciilor de comunicaii electronice disponibile public, fr acordul utilizatorilor n cauz sau fr autorizaie legal. Prezenta propunere este conform acestor norme. Statele membre ar trebui s vizeze mbuntirea cooperrii dintre autoritile administrative i cele de aplicare a legii pentru cazurile care fac obiectul att al sanciunilor administrative, ct i al celor penale. Coerena cu alte politici i obiective ale Uniunii Obiectivele sunt compatibile cu politicile UE privind combaterea criminalitii organizate, creterea rezilienei reelelor de calculatoare, protejarea infrastructurilor critice de informaii i protecia datelor. Acestea sunt coerente i cu programul pentru un internet mai sigur, menit s promoveze utilizarea, n condiii de mai mare siguran, a internetului i a noilor tehnologii online i s combat coninuturile ilegale.

8 9 10 11 12

A se vedea: http://ec.europa.eu/justice_home/funding/isec/funding_isec_en.htm A se vedea: http://ec.europa.eu/justice_home/funding/jpen/funding_jpen_en.htm A se vedea: http://ec.europa.eu/information_society/activities/sip/index_en.htm A se vedea: http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/index_en.htm Directiva asupra confidenialitii i comunicaiilor electronice (JO L 201, 31.7.2002), modificat prin Directiva 2009/136/CE (JO L 337, 18.12.2009).

RO

RO

Prezenta propunere a fcut obiectul unei examinri aprofundate pentru a se asigura deplina compatibilitate a dispoziiilor sale cu drepturile fundamentale i, n special, cu protecia datelor cu caracter personal, libertatea de exprimare i de informare, dreptul la un proces echitabil, prezumia de nevinovie i dreptul la aprare, precum i principiile legalitii i proporionalitii infraciunilor i sanciunilor penale. 2. CONSULTAREA PRILOR INTERESATE I EVALUAREA IMPACTULUI

Consultarea prilor interesate O gam larg de experi n domeniu au fost consultai n cadrul unei serii de reuniuni diverse care au abordat diferite aspecte ale luptei mpotriva criminalitii informatice, inclusiv aciunile judiciare (urmrire penal) ca urmare a acestor infraciuni. Printre acetia s-au numrat, n special, reprezentani ai sectoarelor public i privat ale statelor membre, judectori specializai i procurori, organizaii internaionale, agenii europene i grupuri de experi. O serie de experi i organizaii au transmis ulterior observaii i au furnizat informaii. Principalele concluzii reinute n urma consultrilor sunt: necesitatea ca UE s acioneze n acest domeniu; necesitatea incriminrii unor forme de fapte penale care nu sunt incluse n actuala decizie-cadru, n special noi forme de atacuri informatice (botneturi); necesitatea eliminrii obstacolelor din calea cercetrii i urmririi penale a cazurilor transfrontaliere. Contribuiile primite pe parcursul consultrilor au fost luate n considerare n evaluarea impactului. Obinerea i utilizarea expertizei Expertiza extern a fost obinut pe parcursul diferitelor reuniuni cu prile interesate. Evaluarea impactului Au fost examinate diferite opiuni de politic, ca mijloace de atingere a obiectivului. Opiunea de politic (1): Status quo/nicio aciune nou din partea UE Aceast opiune presupune c UE nu va lua nicio msur suplimentar pentru a combate acest tip specific de criminalitate informatic, i anume atacurile mpotriva sistemelor informatice. Aciunile n curs urmeaz s fie continuate, n special programele de consolidare a proteciei infrastructurilor critice de informaii i de mbuntire a cooperrii dintre sectorul public i cel privat mpotriva criminalitii informatice. Opiunea de politic (2): elaborarea unui program de consolidare a eforturilor de contracarare a atacurilor mpotriva sistemelor informatice prin intermediul unor msuri fr caracter legislativ Msurile fr caracter legislativ, n paralel cu programul de protecie a infrastructurilor critice de informaii, s-ar concentra pe cooperarea transfrontalier n materie de aplicare a legii i de

RO

RO

parteneriate public-privat. Aceste instrumente juridice neobligatorii ar trebui s promoveze continuarea aciunii coordonate la nivelul UE, inclusiv consolidarea reelei existente, disponibil 24 de ore din 24 i 7 zile din 7, de puncte de contact pentru autoritile de aplicare a legii; instituirea unei reele europene de puncte de contact public-privat, de experi n domeniul criminalitii informatice i de autoriti de aplicare a legii; elaborarea unui acord UE standard la nivel de servicii privind cooperarea n domeniul aplicrii legii cu operatorii din sectorul privat, precum i sprijinirea organizrii de programe de formare pentru autoritile de aplicare a legii n domeniul investigrii criminalitii informatice. Opiunea de politic (3): actualizarea selectiv a dispoziiilor deciziei-cadru (noua directiv nlocuind actuala decizie-cadru) n vederea abordrii ameninrii pe care o reprezint atacurile la scar larg mpotriva sistemelor informatice (botneturi) i, n cazul n care acestea sunt comise prin disimularea identitii reale a autorului i provocarea de prejudicii deintorului de drept al identitii, a eficienei punctelor de contact ale autoritilor de aplicare a legii din statele membre, precum i a lipsei de date statistice privind atacurile informatice. Aceast opiune prevede introducerea unei legislaii specifice selective (adic limitate) pentru a preveni atacurile la scar larg mpotriva sistemelor informatice. O astfel de reglementare consolidat ar fi nsoit de msuri fr caracter legislativ n vederea consolidrii cooperrii transfrontaliere operaionale mpotriva unor astfel de atacuri, ceea ce ar facilita punerea n aplicare a msurilor legislative. Obiectivul acestor msuri ar fi mbuntirea gradului de pregtire, securitate i rezilien al infrastructurilor critice de informaii i schimbul de bune practici. Opiunea de politic (4): introducerea unei legislaii UE cuprinztoare mpotriva criminalitii informatice Aceast opiune ar implica o nou legislaie UE cuprinztoare. Pe lng introducerea unor msuri legislative neobligatorii prevzut n cadrul opiunii de politic 2 i actualizarea prevzut n cadrul opiunii de politic 3, aceast opiune ar aborda i alte probleme juridice legate de utilizarea internetului. Astfel de msuri ar acoperi nu numai atacurile mpotriva sistemelor informatice, dar i probleme cum ar fi criminalitatea informatic financiar, coninutul ilegal pe internet, colectarea/stocarea/transferul de probe electronice, precum i norme mai detaliate privind competena. Legislaia ar funciona n paralel cu Convenia Consiliului Europei privind criminalitatea informatic i ar include msurile de nsoire fr caracter legislativ menionate mai sus. Opiunea de politic (5): actualizarea Conveniei Consiliului Europei privind criminalitatea informatic Aceast opiune ar presupune renegocierea substanial a conveniei actuale, ceea ce reprezint un proces ndelungat i nu este compatibil cu termenele pentru aciunile propuse n evaluarea impactului. Prile semnatare, la nivel internaional, nu par dispuse s renegocieze convenia. Prin urmare, actualizarea conveniei nu poate fi considerat o opiune fezabil, deoarece ar depi termenul prevzut pentru aciune.

RO

RO

Opiunea de politic preferat: msuri fr caracter legislativ (opiunea 2) n paralel cu actualizarea selectiv a deciziei-cadru (opiunea 3) n urma analizei impactului economic, a impactului social i a impactului asupra drepturilor fundamentale, opiunile 2 i 3 reprezint cea mai bun abordare a problemei i permit atingerea obiectivelor propunerii. n cadrul elaborrii prezentei propuneri, Comisia a realizat o evaluare a impactului. 3. ELEMENTELE JURIDICE ALE PROPUNERII

Rezumatul aciunii propuse Directiva abrog Decizia-cadru 2005/222/JAI, dar, n acelai timp, va prelua dispoziiile actuale i va include urmtoarele elemente noi: n ceea ce privete dreptul penal material n general, directiva: A. incrimineaz producerea, vnzarea, achiziionarea n vederea utilizrii, importul, distribuirea sau punerea la dispoziie n alt mod a dispozitivelor/instrumentelor utilizate pentru comiterea faptelor penale. prevede circumstane agravante: marea amploare a atacurilor - botneturile sau instrumentele similare ar putea fi abordate prin introducerea unei noi circumstane agravante, n sensul c faptul de a crea un botnet sau un instrument similar ar constitui un factor agravant n cazul n care se comit infraciunile enumerate n decizia-cadru existent; n cazul n care aceste atacuri sunt comise prin disimularea identitii reale a autorului i provocarea de prejudicii deintorului de drept al identitii. Orice astfel de norme ar trebui s respecte principiile legalitii i proporionalitii infraciunilor i sanciunilor penale i s fie n concordan cu legislaia n vigoare privind protecia datelor cu caracter personal13. C. D. introduce interceptare ilegal ca infraciune penal. introduce msuri de mbuntire a cooperrii europene n materie de justiie penal prin consolidarea structurii existente care const n puncte de contact disponibile 24 de ore din 24 i 7 zile din 714: se propune obligaia de a da curs unei cereri de asisten de ctre punctele de contact operaionale (prevzute la articolul 14 din directiv) ntr-un anumit termen. Convenia privind criminalitatea informatic nu prevede o astfel de dispoziie obligatorie. Obiectivul acestei msuri este de a asigura c punctele de
13

B.

14

Precum Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice (Directiva asupra confidenialitii i comunicaiilor electronice), JO L 201, 31.7.2002, p. 37 (n curs de revizuire) i precum directiva general privind protecia datelor (Directiva 95/46/CE). Create n temeiul conveniei i al DC 2005/222/JAI privind atacurile mpotriva sistemelor informatice.

RO

RO

contact indic ntr-un termen determinat dac sunt n msur s ofere o soluie la cererea de asisten i care este intervalul de timp n care punctul de contact care a naintat cererea poate atepta gsirea unei astfel de soluii. Coninutul efectiv al soluiilor nu este specificat. E. rspunde la necesitatea de a furniza date statistice privind infraciunile informatice, impunnd statelor membre obligaia de a asigura instituirea unui sistem adecvat pentru nregistrarea, producerea i furnizarea de date statistice cu privire la faptele penale menionate n decizia-cadru existent i la interceptarea ilegal, adugat recent.

n definiiile infraciunilor enumerate la articolele 3, 4, 5 (accesul ilegal la sistemele informatice, afectarea integritii unui sistem i interceptarea ilegal), directiva conine o dispoziie care permite doar incriminarea cazurilor care nu sunt minore n procesul de transpunere a directivei n legislaia naional. Acest element de flexibilitate este menit s permit statelor membre s nu acopere cazuri care ar fi in abstracto acoperite de definiia de baz, dar care sunt considerate a nu aduce prejudicii interesului juridic, de exemplu n acte specifice comise de tineri care ncearc s i dovedeasc expertiza n tehnologia informaiei. Aceast posibilitate de limitare a domeniului de incriminare nu ar trebui totui s duc la introducerea unor elemente constitutive suplimentare de fapte penale pe lng cele deja incluse n directiv, deoarece aceasta ar determina acoperirea exclusiv a faptelor penale comise n circumstane agravante. n procesul de transpunere, statele membre ar trebui s evite n special adugarea unor elemente constitutive suplimentare la faptele penale de baz, ca de exemplu o intenie special de a obine ctiguri ilicite din infraciuni sau prezena unui efect specific, precum cauzarea unui prejudiciu considerabil. Temeiul juridic Articolul 83 alineatul (1) din Tratatul privind funcionarea Uniunii Europene15. Principiul subsidiaritii Principiul subsidiaritii se aplic n cazul aciunilor Uniunii Europene. Obiectivele propunerii nu pot fi realizate ntr-o msur suficient de statele membre din urmtoarele motive: Criminalitatea informatic i, mai precis, atacurile mpotriva sistemelor informatice au o dimensiune transfrontalier considerabil, ceea ce este valabil n mod foarte clar n cazul atacurilor la scar larg, deoarece elementele de conectare ale unui atac sunt adesea situate n locaii i ri diferite. Acest lucru necesit aciune din partea UE, n special pentru a ine pasul cu tendina actual de lansare a unor atacuri la scar larg n Europa i n lume. Aciunea la nivelul UE i actualizarea Deciziei-cadru 2005/222/JAI au fost evocate i n concluziile Consiliului din noiembrie 200816, deoarece obiectivul de a proteja n mod eficace cetenii de infraciunile informatice nu poate fi realizat n mod satisfctor doar de statele membre. Aciunea la nivelul Uniunii Europene va atinge ntr-o mai mare msur obiectivele propunerii, din motivele expuse n continuare:

15 16

JO C 83 din 30.3.2010, p. 49. O strategie de lucru concertat i msuri concrete de combatere a criminalitii informatice, Cea de a 2987-a Reuniune a Consiliului JUSTIIE i AFACERI INTERNE, 27-28 noiembrie 2008.

RO

RO

Propunerea va armoniza i mai mult dreptul penal material al statelor membre i normele de procedur, fapt ce va avea un impact pozitiv asupra combaterii acestor infraciuni. n primul rnd, este o modalitate de a mpiedica instalarea infractorilor n statele membre n care legislaia mpotriva atacurilor informatice este mai permisiv. n al doilea rnd, definiiile comune fac posibil schimbul de informaii, precum i culegerea i compararea datelor relevante. n al treilea rnd, crete, de asemenea, eficacitatea msurilor de prevenire la nivelul UE i a cooperrii internaionale. Prin urmare, propunerea respect principiul subsidiaritii. Principiul proporionalitii Propunerea respect principiul proporionalitii din urmtorul motiv: Prezenta decizie-cadru se limiteaz la minimul necesar pentru atingerea acestor obiective la nivel european, fr a depi ceea ce este necesar n acest scop, avndu-se n vedere necesitatea acurateei legislaiei n domeniul penal. Alegerea instrumentelor Instrumentul propus: directiv. Alte mijloace nu ar fi adecvate din urmtorul motiv: Temeiul juridic impune o directiv. Msurile fr caracter legislativ i autoreglementarea ar mbunti situaia n anumite domenii n care punerea n aplicare este crucial. Cu toate acestea, n alte zone n care o nou legislaie este esenial, beneficiile ar fi modeste. 4. IMPLICAIILE BUGETARE

Implicaiile propunerii asupra bugetului Uniunii sunt reduse. Peste 90% din cost, estimat la 5 913 000 EUR, va fi suportat de ctre statele membre i exist posibilitatea de a solicita finanare UE n vederea reducerii costurilor. 5. INFORMAII SUPLIMENTARE

Abrogarea legislaiei n vigoare Adoptarea propunerii va duce la abrogarea legislaiei existente. Domeniul teritorial de aplicare Prezenta directiv se adreseaz statelor membre, n conformitate cu tratatele.

RO

RO

2010/0273 (COD) Propunere de DIRECTIV A PARLAMENTULUI EUROPEAN I A CONSILIULUI privind atacurile mpotriva sistemelor informatice i de abrogare a Deciziei-cadru 2005/222/JAI a Consiliului

PARLAMENTUL EUROPEAN I CONSILIUL UNIUNII EUROPENE, avnd n vedere Tratatul privind funcionarea Uniunii Europene, n special articolul 83 alineatul (1), avnd n vedere propunerea Comisiei Europene17, dup transmiterea proiectului de act legislativ ctre parlamentele naionale, avnd n vedere avizul Comitetului Economic i Social European, avnd n vedere avizul Comitetului Regiunilor, n conformitate cu procedura legislativ ordinar, ntruct: (1) Obiectivul prezentei directive const n armonizarea normelor statelor membre n materie de drept penal n ceea ce privete atacurile mpotriva sistemelor informatice i mbuntirea cooperrii dintre autoritile judiciare i alte autoriti competente, inclusiv poliia i alte servicii specializate de aplicare a legii din statele membre. Atacurile mpotriva sistemelor informatice, n special ca urmare a criminalitii organizate, constituie o ameninare din ce n ce mai mare i se manifest o ngrijorare crescnd n faa posibilitii de atacuri teroriste sau motivate politic mpotriva sistemelor informatice care fac parte din infrastructura critic a statelor membre i a Uniunii. Aceast situaie reprezint o ameninare la adresa crerii unei societi informaionale mai sigure i a unui spaiu de libertate, securitate i justiie, necesitnd, prin urmare, o reacie la nivelul Uniunii Europene. Exist dovezi n privina tendinei producerii unor atacuri la scar larg tot mai periculoase i recurente mpotriva sistemelor informatice care sunt eseniale pentru state sau pentru funcii specifice din sectorul public sau privat. n paralel cu aceast tendin, se dezvolt instrumente tot mai sofisticate care pot fi utilizate de infractori pentru lansarea de atacuri informatice, de diferite tipuri.

(2)

(3)

17

JO C [][], [], p. [][].

RO

10

RO

(4)

Existena unor definiii comune n acest domeniu, n special pentru sistemele informatice i datele informatice, este important pentru a se asigura aplicarea coerent a prezentei directive n statele membre. Este necesar s se adopte o abordare comun fa de elementele constitutive ale infraciunilor, introducnd ca fapte penale de drept comun accesarea ilegal a unui sistem informatic, afectarea integritii unui sistem, afectarea integritii datelor i interceptarea ilegal. Statele membre ar trebui s prevad sanciuni pentru atacurile mpotriva sistemelor informatice. Sanciunile prevzute n acest scop ar trebui s fie eficace, proporionale i disuasive. Este necesar s se prevad sanciuni mai severe n cazul comiterii unui atac mpotriva unui sistem informatic de ctre o organizaie criminal, astfel cum este definit n Decizia-cadru 2008/841/JAI a Consiliului din 24 octombrie 2008 privind lupta mpotriva crimei organizate18, n cazul n care atacul lansat este la scar larg sau fapta este comis prin disimularea identitii reale a autorului i provocarea de prejudicii deintorului de drept al identitii. Este, de asemenea, oportun s se prevad sanciuni mai severe atunci cnd un astfel de atac a cauzat daune grave sau a afectat interese eseniale. n concluziile sale din 27-28 noiembrie 2008, Consiliul a invitat statele membre i Comisia s elaboreze o nou strategie, innd cont de coninutul Conveniei Consiliului Europei privind criminalitatea informatic din 2001. Aceast convenie constituie cadrul juridic de referin n materie de combatere a criminalitii informatice, inclusiv a atacurilor mpotriva sistemelor informatice. Prezenta directiv se bazeaz pe convenia menionat anterior. Avnd n vedere modurile diferite n care pot fi efectuate atacurile i evoluia rapid n materie de hardware i software, prezenta directiv face trimitere la instrumente care pot fi utilizate n scopul comiterii infraciunilor prevzute n prezenta directiv. Instrumentele desemneaz, de exemplu, programe ostile, inclusiv botneturi, utilizate pentru a comite atacuri informatice. Prezenta directiv nu i propune s impun rspundere penal n cazul n care faptele penale sunt comise fr intenia de a svri o infraciune, cum ar fi pentru testarea sau protejarea autorizat a sistemelor informatice. Prezenta directiv ntrete importana reelelor, cum ar fi G8 sau reeaua de puncte de contact, disponibile 24 de ore din 24 i 7 zile din 7, a Consiliul Europei, pentru a face schimb de informaii n vederea asigurrii acordrii de asisten imediat necesar n cercetrile sau urmririle de infraciuni legate de sisteme i date informatice sau n colectarea de probe n format electronic privind o infraciune. Avnd n vedere viteza cu care pot fi realizate atacurile la scar larg, statele membre ar trebui s fie n msur s rspund prompt la cererile urgente adresate de aceast reea de puncte de contact. Aceast asisten ar trebui s includ facilitarea sau efectuarea direct a urmtoarelor msuri: furnizarea de consultan tehnic, conservarea datelor, colectarea de probe, furnizarea de informaii juridice, precum i localizarea suspecilor.
JO L 300, 11.11.2008, p. 42.

(5)

(6)

(7)

(8)

(9)

(10)

(11)

18

RO

11

RO

(12)

Este necesar s se culeag date referitoare la faptele penale care fac obiectul prezentei directive, pentru a se obine o imagine mai complet a problemei la nivelul Uniunii i a se contribui, astfel, la formularea unor rspunsuri mai eficace. n plus, aceste date vor permite ageniilor specializate, precum Europol i Agenia European pentru Securitatea Reelelor Informatice i a Datelor s evalueze mai bine amploarea criminalitii informatice i gradul de securitate a reelelor i informaiilor n Europa. Lacunele i diferenele considerabile existente n legislaiile statelor membre n domeniul atacurilor mpotriva sistemelor informatice pot crea obstacole n calea luptei mpotriva criminalitii organizate i terorismului i pot ngreuna desfurarea unei cooperri judiciare i poliieneti eficace n acest domeniu. Dat fiind caracterul transnaional, care nu ine seama de frontiere, al sistemelor informatice moderne, atacurile mpotriva acestor sisteme sunt de natur transfrontalier, subliniind nevoia urgent de a se face n continuare demersuri pentru armonizarea legislaiilor penale n acest domeniu. n plus, coordonarea urmririi penale n cazurile de atacuri mpotriva sistemelor informatice ar trebui s fie facilitat de adoptarea Deciziei-cadru 2009/948/JAI a Consiliului privind prevenirea i soluionarea conflictelor de competene n procedura penal. Deoarece obiectivele prezentei directive, care asigur sancionarea penal eficace, proporional i disuasiv a atacurilor mpotriva sistemelor informatice n toate statele membre i mbuntesc i ncurajeaz cooperarea judiciar prin eliminarea complicaiilor poteniale, nu pot fi atinse la un nivel satisfctor de statele membre, ntruct normele trebuie s fie comune i compatibile, i, prin urmare, pot fi mai bine atinse la nivelul Uniunii, aceasta poate adopta msuri, n conformitate cu principiul subsidiaritii menionat la articolul 5 din Tratatul privind Uniunea European. Prezenta directiv nu depete ceea ce este necesar pentru a atinge aceste obiective. Orice date cu caracter personal prelucrate n contextul punerii n aplicare a prezentei directive ar trebui protejate n conformitate cu normele prevzute de Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecia datelor cu caracter personal prelucrate n cadrul cooperrii poliieneti i judiciare n materie penal19 cu privire la acele activiti de prelucrare care intr sub incidena acesteia, precum i de Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18 decembrie 2000 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a acestor date20. Prezenta directiv respect drepturile fundamentale i principiile recunoscute n special de Carta Drepturilor Fundamentale a Uniunii Europene, inclusiv protecia datelor cu caracter personal, libertatea de exprimare i de informare, dreptul la un proces echitabil, prezumia de nevinovie i drepturile la aprare, precum i principiile legalitii i proporionalitii infraciunilor i sanciunilor. n special, prezenta directiv urmrete s asigure respectarea deplin a acestor drepturi i principii i trebuie transpus n mod corespunztor. [n conformitate cu articolele 1, 2, 3 i 4 din Protocolul privind poziia Regatului Unit i a Irlandei cu privire la spaiul de libertate, securitate i justiie anexat la Tratatul
JO L 350, 30.12.2008, p.60. JO L 8, 12.1.2001, p. 1.

(13)

(14)

(15)

(16)

(17)

19 20

RO

12

RO

privind funcionarea Uniunii Europene, Regatul Unit i Irlanda i-au notificat dorina de a participa la adoptarea i punerea n aplicare a prezentei directive] SAU [Fr a aduce atingere articolului 4 din Protocolul privind poziia Regatului Unit i a Irlandei cu privire la spaiul de libertate, securitate i justiie, Regatul Unit i Irlanda nu vor participa la adoptarea prezentei directive, nu vor avea obligaii n temeiul acesteia i nu vor face obiectul aplicrii sale]. (18) n conformitate cu articolele 1 i 2 din protocolul referitor la poziia Danemarcei, anexat la Tratatul privind funcionarea Uniunii Europene, Danemarca nu particip la adoptarea prezentei directive i, prin urmare, nu are obligaii n temeiul acesteia i nu face obiectul aplicrii sale,

ADOPT PREZENTA DIRECTIV: Articolul 1 Obiect Prezenta directiv definete infraciunile n materie de atacuri mpotriva sistemelor informatice i instituie norme minime privind sanciunile pentru aceste fapte. De asemenea, vizeaz introducerea unor dispoziii comune pentru a preveni astfel de atacuri i a mbunti cooperarea european n materie de justiie penal n acest domeniu. Articolul 2 Definiii n sensul prezentei Directive, se aplic urmtoarele definiii: (a) sistem informatic nseamn orice dispozitiv sau grup de dispozitive interconectate sau omoloage, dintre care unul sau mai multe asigur, prin intermediul unui program, prelucrarea automat a datelor informatice, precum i datele informatice stocate, prelucrate, recuperate sau transmise de acestea n vederea exploatrii, a utilizrii, a proteciei i a ntreinerii lor; date informatice nseamn orice reprezentare de fapte, informaii sau concepte ntr-o form adecvat pentru prelucrare ntr-un sistem informatic, inclusiv un program care permite unui sistem informatic s execute o funcie; persoan juridic nseamn orice entitate care are acest statut n conformitate cu legislaia aplicabil, cu excepia statelor sau a altor organisme publice aflate n exerciiul autoritii de stat i a organizaiilor internaionale de drept public; fr a avea dreptul nseamn accesare sau afectare a integritii fr autorizarea proprietarului sau a unui alt titular de drepturi asupra sistemului sau a unei pri a acestuia, sau care nu este permis n temeiul legislaiei naionale.

(b)

(c)

(d)

RO

13

RO

Articolul 3 Accesul ilegal la sistemele informatice Statele membre adopt msurile necesare pentru a asigura c accesarea intenionat, fr a avea dreptul, a ansamblului sau a unei pri a unui sistem informatic se pedepsete ca infraciune, cel puin n cazurile care nu sunt minore. Articolul 4 Afectarea integritii unui sistem informatic Statele membre adopt msurile necesare pentru a asigura c perturbarea grav sau ntreruperea funcionrii unui sistem informatic prin introducerea, transmiterea, periclitarea, tergerea, deteriorarea, modificarea, eliminarea datelor informatice sau prin a le face inaccesibile, atunci cnd fapta este comis fr a avea dreptul, se pedepsete ca infraciune, cel puin n cazurile care nu sunt minore. Articolul 5 Afectarea integritii datelor Statele membre adopt msurile necesare pentru a asigura c fapta svrit intenionat i fr drept, care const n tergerea, periclitarea, deteriorarea, modificarea, eliminarea datelor informatice dintr-un sistem informatic sau n a le face inaccesibile se pedepsete ca infraciune, cel puin n cazurile care nu sunt minore. Articolul 6 Interceptarea ilegal Statele membre adopt msurile necesare pentru a garanta c interceptarea intenionat, prin mijloace tehnice, de transmisii private de date informatice ctre un sistem informatic, dinspre acesta sau n interiorul acestuia, inclusiv de emisii electromagnetice provenite de la un sistem informatic care transmit asemenea date informatice, se pedepsete ca infraciune dac este comis fr a avea dreptul. Articolul 7 Instrumentele utilizate pentru comiterea faptelor penale Statele membre adopt msurile necesare pentru a garanta c se pedepsesc ca infraciune atunci cnd sunt comise intenionat i fr a avea dreptul, n vederea comiterii uneia dintre faptele penale menionate la articolele 3-6, producerea, vnzarea, achiziionarea n vederea utilizrii, importul, deinerea, distribuirea sau punerea la dispoziie n alt mod a: (a) (b) unui dispozitiv, inclusiv program de calculator, conceput sau adaptat n principal n scopul comiterii oricreia dintre faptele menionate la articolele 3-6; unei parole de calculator, unui cod de acces sau a unor date similare, prin care un ntreg sistem informatic sau orice parte a acestuia poate fi accesat(),

RO

14

RO

Articolul 8 Instigarea, participarea, complicitatea i tentativa 1. 2. Statele membre asigur c instigarea, participarea i complicitatea la comiterea uneia dintre infraciunile menionate la articolele 3- 7 se pedepsete ca infraciune. Statele membre se asigur c tentativa de comitere a faptelor menionate la articolele 3-6 se pedepsete ca infraciune. Articolul 9 Sanciuni 1. 2. Statele membre iau msurile necesare pentru a asigura aplicabilitatea unor sanciuni penale eficace, proporionale i disuasive pentru faptele menionate la articolele 3-8. Statele membre adopt msurile necesare pentru a garanta c faptele menionate la articolele 3-7 sunt pasibile de sanciuni penale privative de libertate avnd o durat maxim de cel puin doi ani. Articolul 10 Circumstane agravante 1. Statele membre adopt msurile necesare pentru a garanta c faptele menionate la articolele 3-7 sunt pasibile de sanciuni penale privative de libertate avnd o durat maxim de cel puin cinci ani n cazul n care sunt comise n cadrul unei organizaii criminale, astfel cum aceasta este definit n Decizia-cadru 2008/841/JAI. Statele membre adopt msurile necesare pentru a garanta c faptele menionate la articolele 3-6 sunt pasibile de sanciuni penale privative de libertate avnd o durat maxim de cel puin cinci ani n cazul n care sunt comise prin utilizarea unui instrument conceput pentru a lansa atacuri care afecteaz o numr semnificativ de sisteme informatice sau atacuri care provoac pagube considerabile, precum ntreruperea serviciilor aferente sistemului, costuri financiare sau pierderi de date cu caracter personal. Statele membre adopt msurile necesare pentru a garanta c faptele menionate la articolele 3-6 sunt pasibile de sanciuni penale privative de libertate avnd o durat maxim de cel puin cinci ani n cazul n care sunt comise prin disimularea identitii reale a autorului i provocarea de prejudicii deintorului de drept al identitii. Articolul 11 Rspunderea persoanelor juridice 1. Statele membre adopt msurile necesare pentru a se asigura c persoanele juridice pot fi trase la rspundere pentru oricare dintre faptele prevzute la articolele 3-8, comise spre folosul lor de ctre orice persoan, acionnd fie n nume propriu, fie ca parte a unui organism al persoanei juridice i avnd o funcie de conducere n cadrul persoanei juridice, n temeiul:

2.

3.

RO

15

RO

(a) unei mputerniciri din partea persoanei juridice; (b) unei prerogative de a lua decizii n numele persoanei juridice; (c) unei prerogative de a exercita controlul n cadrul persoanei juridice. 2. Statele membre adopt msurile necesare pentru a garanta c se poate antrena rspunderea juridic a persoanelor juridice n cazul n care, ca urmare a nesupravegherii sau neexercitrii controlului, imputabile unei persoane menionate la alineatul (1), a fost posibil svrirea, de ctre o persoan aflat n subordine, a oricreia dintre faptele menionate la articolele 3-8, n folosul acelei persoane juridice. Rspunderea persoanelor juridice n temeiul alineatelor (1) i (2) nu exclude procedurile penale ndreptate mpotriva persoanelor fizice care sunt autori sau complici la oricare din faptele prevzute la articolele 3-8. Articolul 12 Sanciuni n cazul persoanelor juridice 1. Statele membre iau msurile necesare pentru a asigura c orice persoan juridic tras la rspundere n temeiul articolului 11 alineatul (1) este pedepsit prin aplicarea de sanciuni eficace, proporionale i disuasive, care s includ amenzi penale sau administrative i eventual alte sanciuni, de exemplu: (a) (b) (c) (d) (e) 2. excluderea de la dreptul de a primi beneficii publice sau ajutor public; interdicia temporar sau permanent de a desfura activiti comerciale; plasarea sub supraveghere judiciar; lichidarea judiciar; nchiderea temporar sau permanent a unitilor care au servit la svrirea faptei.

3.

Statele membre ia msurile necesare pentru a se asigura c o persoan juridic gsit responsabil n temeiul articolului 11 alineatul (2) este pedepsit prin aplicarea de sanciuni sau msuri eficace, proporionale i disuasive. Articolul 13 Competena

1.

Statele membre adopt norme care prevd c sunt competente cu privire la faptele menionate la articolele 3-8 n cazul n care fapta a fost comis: (a) (b) integral sau parial pe teritoriul statului membru respectiv sau de ctre resortisani ai acestora sau o persoan care i are reedina obinuit pe teritoriul statului membru respectiv sau

RO

16

RO

(c) 2.

n folosul unei persoane juridice care i are sediul pe teritoriul statului membru respectiv.

Atunci cnd adopt norme care prevd c sunt competente n conformitate cu alineatul (1) litera (a), statele membre se asigur c acestea includ cazurile n care: (a) autorul svrete fapta atunci cnd este prezent fizic pe teritoriul statului membru respectiv, indiferent dac fapta vizeaz un sistem informatic situat pe teritoriul lor sau fapta vizeaz un sistem informatic situat pe teritoriul statului membru respectiv, indiferent dac autorul faptei era sau nu era prezent fizic pe teritoriul acestuia. Articolul 14 Schimbul de informaii

(b)

1.

n scopul efecturii schimbului de informaii referitoare la faptele menionate la articolele 3-8 i n conformitate cu normele privind protecia datelor, statele membre utilizeaz reeaua existent de puncte de contact operaionale disponibile 24 de ore din 24 i apte zile pe sptmn. Statele membre se asigur, de asemenea, c dispun de procedurile necesare astfel nct s poat rspunde, n termen de cel mult opt ore, la cererile urgente. Un astfel de rspuns indic, cel puin, dac se va rspunde cererii de ajutor, sub ce form i cnd. Statele membre informeaz Comisia cu privire la punctul lor de contact desemnat n scopul efecturii schimbului de informaii privind faptele menionate la articolele 3-8. Comisia comunic aceste informaii celorlalte state membre. Articolul 15 Monitorizarea i statisticile

2.

1.

Statele membre se asigur c dispun de un sistem adecvat pentru nregistrarea, producerea i furnizarea de date statistice cu privire la faptele menionate la articolele 3-8. Datele statistice menionate la alineatul (1) acoper, cel puin, numrul de fapte menionate la articolele 3-8 raportate statelor membre i urmrile acestor raportri i indic anual numrul cazurilor raportate care au fost investigate, numrul persoanelor urmrite penal, precum i numrul persoanelor condamnate pentru faptele menionate la articolele 3-8. Statele membre transmit Comisiei datele culese n conformitate cu prezentul articol. De asemenea, statele membre se asigur de publicarea unei revizuiri consolidate a acestor rapoarte statistice.

2.

3.

RO

17

RO

Articolul 16 Abrogarea Deciziei-cadru 2005/222/JAI Decizia-cadru 2005/222/CEE se abrog, fr a se aduce atingere obligaiilor statelor membre privind termenele pentru transpunerea n dreptul intern. Trimiterile la decizia-cadru abrogat se interpreteaz ca trimiteri la prezenta directiv. Articolul 17 Transpunerea 1. Statele membre pun n aplicare actele cu putere de lege i actele administrative necesare pentru a se conforma prezentei directive n cel trziu [doi ani de la adoptare]. Statele membre comunic de ndat Comisiei textele acelor dispoziii, precum i un tabel de coresponden ntre dispoziiile respective i prezenta directiv. Atunci cnd statele membre adopt dispoziiile respective, acestea conin o trimitere la prezenta directiv sau sunt nsoite de o asemenea trimitere la data publicrii lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri. Comisiei i sunt comunicate de ctre statele membre textele principalelor dispoziii de drept intern pe care le adopt n domeniul reglementat de prezenta directiv. Articolul 18 Raportarea 1. n [PATRU ANI DE LA ADOPTARE] i la fiecare trei ani dup aceea, Comisia prezint un raport Parlamentului European i Consiliului, care conine propunerile necesare, privind aplicarea prezentei directive n statele membre. Statele membre transmit Comisiei toate informaiile utile pentru ntocmirea raportului menionat la alineatul (1). Informaiile includ o descriere detaliat a msurilor legislative i fr caracter legislativ adoptate pentru aplicarea prezentei directive. Articolul 19 Intrarea n vigoare Prezenta directiv intr n vigoare n a douzecea a zi de la data publicrii n Jurnalul Oficial al Uniunii Europene. Articolul 20 Destinatarii Prezenta directiv se adreseaz statelor membre, n conformitate cu tratatele. Adoptat la Bruxelles,

2.

2.

Pentru Parlamentul European Preedintele

Pentru Consiliu Preedintele

RO

18

RO