Questo sito è parte di
L'accesso al diritto dell'Unione europea
Relazione della Commissione al Consiglio ai sensi dell'articolo 12 della decisione quadro del Consiglio del 24 febbraio 2005 relativa agli attacchi contro i sistemi di informazione
/* COM/2008/0448 def. */
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | |
| doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc |
| Doppia visualizzazione: BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV |
[pic] | COMMISSIONE DELLE COMUNITÀ EUROPEE |
Bruxelles, 14.7.2008
COM(2008) 448 definitivo
RELAZIONE DELLA COMMISSIONE AL CONSIGLIO
ai sensi dell'articolo 12 della decisione quadro del Consiglio del 24 febbraio 2005 relativa agli attacchi contro i sistemi di informazione
1. INTRODUZIONE
1.1. Contesto
Scopo della presente relazione è valutare se gli Stati membri abbiano correttamente recepito nella legislazione nazionale la decisione quadro 2005/222/GAI del Consiglio relativa agli attacchi contro i sistemi di informazione[1] (in appresso "decisione quadro").
L'obiettivo principale[2] della decisione quadro è quello di migliorare, mediante il ravvicinamento delle legislazioni penali degli Stati membri nel settore degli attacchi contro i sistemi di informazione, la cooperazione tra le autorità giudiziarie e le altre autorità competenti degli Stati membri, compresi la polizia e gli altri servizi specializzati incaricati dell’applicazione della legge. Dato tale obiettivo, la decisione quadro è volta a integrare altri strumenti europei ed internazionali (in particolare la Convenzione del Consiglio d'Europa sulla criminalità informatica[3]) e a costituirne uno sviluppo.
Dall'adozione della decisione quadro, attacchi successivi contro i sistemi di informazione hanno ripetutamente evidenziato la necessità di una reazione in più stretto coordinamento a livello europeo. Il massiccio attacco del tipo "diniego di servizio", del maggio 2007, contro l'infrastruttura di comunicazione estone è servito opportunamente a ricordare gli effetti dirompenti e distruttivi di questi attacchi.
Da quando è stata adottata la decisione quadro, si è di conseguenza intensificata la necessità di una sua attuazione completa e precisa da parte di ogni Stato membro. L'urgenza della presente relazione è stata successivamente sottolineata anche dall'esplicito riferimento alla lotta contro la cibercriminalità nelle conclusioni del recente Consiglio "Giustizia e affari interni"[4], in cui viene inoltre espresso l'interesse di ricevere dalla Commissione la relazione sull'attuazione della decisione quadro.
1.2. Comunicazioni e risposte
L'articolo 12, paragrafo 2 della decisione quadro stabilisce l'obbligo, per gli Stati membri, di trasmettere entro il 16 marzo 2007 il testo delle disposizioni inerenti al recepimento nella legislazione nazionale degli obblighi imposti dalla decisione quadro stessa. A quella data solo uno Stato (Svezia) ha fatto pervenire alla Commissione un testo con disposizioni nazionali, peraltro incomplete. La Commissione ha quindi inviato un sollecito agli Stati membri, invitandoli a trasmetterle il testo di tutte le disposizioni nazionali inerenti al recepimento della decisione quadro, e tutte le informazioni ritenute opportune relativamente alla sua attuazione.
Alla data del 14 giugno 2008 23 Stati membri avevano comunicato il testo delle disposizioni nazionali oppure reagito al sollecito della Commissione. Nessuna risposta è arrivata da Malta , Polonia[5] , Slovacchia e Spagna . Le risposte di Irlanda , Grecia e Regno Unito , come riconosciuto dai rispettivi governi, non consentono inoltre di valutare in alcun modo l'attuazione della decisione quadro, che in questi Stati è stata ritardata.
I sette Stati membri sopra menzionati non hanno quindi adempiuto all'obbligo di comunicazione di cui all'articolo 12, paragrafo 2 della decisione quadro. La presente relazione procede quindi alla valutazione delle norme solo degli altri 20 Stati membri.
1.3. Metodo e criteri di valutazione
La presente relazione si basa sulle informazioni fornite dagli Stati membri. Alcuni dati necessari sono tuttavia mancanti: la valutazione e le conclusioni conseguentemente tratte si fondano quindi in parte su informazioni incomplete.
Ai sensi dell'articolo 34, paragrafo 2, lettera b), del trattato sull'Unione europea, le decisioni quadro sono vincolanti per gli Stati membri quanto al risultato da ottenere, salva restando la competenza delle autorità nazionali in merito alla forma e ai mezzi. Per valutare obiettivamente se una decisione quadro è stata recepita integralmente da uno Stato membro, possono essere applicati mutatis mutandis alcuni criteri generali sviluppati a fini analoghi per le direttive. In particolare, le disposizioni d'attuazione delle decisioni quadro devono essere efficaci rispetto agli obiettivi perseguiti, soddisfare i requisiti di chiarezza e certezza del diritto, garantire la piena applicazione del testo in modo sufficientemente chiaro e preciso ed essere attuate entro il termine prescritto.
La presente relazione verte principalmente sul livello formale d'attuazione delle disposizioni di diritto penale della decisione quadro. Non rientra tuttavia nell'ambito della relazione l' applicazione effettiva di tali norme.
2. VALUTAZIONE
2.1. Osservazioni generali sull'attuazione
La decisione quadro è stata attuata in modo molto diverso nei 20 Stati membri. Nella maggior parte di essi la formulazione delle norme nazionali è molto vicina a quella della decisione quadro. In altri le modalità d'attuazione sono più indirette e generali. Ciò significa che in molti casi i concetti e le espressioni giuridiche utilizzati non sono facilmente comparabili. Nella misura del possibile, la presente relazione terrà conto del diritto penale generale degli Stati membri e segnalerà ogni particolare difficoltà legata a questo approccio.
2.2. Definizioni (articolo 1)
I 20 Stati membri non hanno fornito informazioni chiare né complete sul modo in cui sono state recepite nella legislazione nazionale le definizioni della decisione quadro. Il contesto generale mostra comunque chiaramente che le definizioni delle loro norme nazionali corrispondono a quelle della decisione quadro.
2.3. Accesso illecito a sistemi d'informazione (articolo 2)
La Commissione ritiene che tutti e 20 gli Stati membri abbiano recepito l'obbligo principale, cioè garantire che l'accesso intenzionale, senza diritto, ad un sistema di informazione o ad una parte dello stesso sia punito come reato.
La frase finale del primo paragrafo lascia a ciascuno Stato membro la facoltà di considerare reato solo "i casi gravi". I seguenti Stati membri si sono, più o meno esplicitamente, avvalsi di tale facoltà, descrivendo i criteri in appresso come corrispondenti a "casi gravi":
- in Austria il criterio giuridico per stabilire la responsabilità penale è che vi sia l’intento di commettere spionaggio di dati e di usare i dati raccolti a scopo di lucro o per nuocere;
- la Repubblica ceca considera reato l’accesso illecito ai sistemi d’informazione solo quando i dati raccolti vengono poi utilizzati abusivamente o vengono danneggiati;
- in Finlandia il criterio perché vi sia responsabilità penale è che i dati consultati siano “messi a rischio”;
- in Lettonia l’accesso illecito è considerato reato solo se “ne deriva un danno sostanziale ".
Per poter valutare se i criteri sopra esposti sono conformi alla decisione quadro è necessaria una specifica interpretazione del concetto di “casi gravi”. Tale interpretazione è necessaria per stabilire se gli Stati membri hanno formalmente integrato almeno la concezione fondamentale della decisione quadro riguardante la caratterizzazione degli atti in questione come reato. L’articolo 2 è volto a tutelare la riservatezza dei sistemi d’informazione. Di conseguenza, la Commissione ritiene che la nozione di “casi di minore gravità” debba riguardare le fattispecie in cui l’accesso illecito è di minore importanza o in cui la violazione della riservatezza del sistema d’informazione è di grado minore. Le sopra esposte disposizioni dell’ Austria , della Repubblica ceca , della Finlandia e della Lettonia , però, specificano circostanze – ad esempio l’esistenza di uno specifico dolo o di rischi o pericoli particolari – che non possono essere considerate conformi all’interpretazione sopra indicata. La Commissione nutre quindi serie riserve sul fatto che le disposizioni dell’ Austria , della Repubblica ceca , della Finlandia e della Lettonia siano conformi alla concezione della decisione quadro delle circostanze che caratterizzano i “casi gravi”.
Più in generale, tale divergenza nell’interpretazione e nell’applicazione della facoltà di non considerare reato certi atti compromette seriamente l’obiettivo di armonizzare le norme nazionali di diritto penale nel settore degli attacchi contro i sistemi d’informazione.
La Commissione ritiene pertanto che, dei 20 Stati membri, solo 16 abbiano dimostrato di aver correttamente attuato l’articolo 2 della decisione quadro.
L’articolo 2, paragrafo 2 lascia a ciascuno Stato membro la facoltà di decidere che i comportamenti di cui al paragrafo 1 siano punibili come reato solo quando tale reato è commesso violando una misura di sicurezza. Di tale facoltà si sono avvalsi solo sette dei 20 Stati membri ( Austria, Finlandia, Germania, Ungheria, Italia, Lettonia e Lituania ).
2.4. Interferenza illecita per quanto riguarda i sistemi (articolo 3)
La Commissione ritiene che tutti e 20 gli Stati membri abbiano soddisfatto l’obbligo principale, cioè garantire che l’atto intenzionale di ostacolare gravemente o interrompere il funzionamento di un sistema di informazione mediante l’immissione, la trasmissione, il danneggiamento, la cancellazione, il deterioramento, l’alterazione, la soppressione di dati informatici o rendendoli inaccessibili sia punito come reato.
Per confermare tale valutazione, tuttavia, potrebbe rendersi necessaria un’analisi più approfondita delle prassi degli Stati membri che hanno optato per disposizioni relativamente generali ai fini dell’attuazione di questo dettagliato articolo della decisione quadro. È il caso della Danimarca , per la quale una disposizione giuridica molto generale riguardante la distruzione, il danneggiamento o l’eliminazione di ogni tipo di proprietà copre tutti i criteri enumerati nell’articolo. Se un tale approccio è, in linea di principio, accettabile, ci si può chiedere in quale misura una siffatta disposizione sia applicabile agli attacchi all’accessibilità, in particolare nei casi in cui il danno può essere solo temporaneo[6].
L’ultima frase dell’articolo 3 lascia a ciascuno Stato membro la facoltà di considerare reato solo "i casi gravi". Di tale facoltà si sono avvalsi sei Stati membri, che hanno, più o meno esplicitamente, dichiarato che i seguenti modelli coprono tali circostanze:
- la legislazione austriaca considera l’interferenza come reato solo in casi “gravi”;
- la legislazione ceca pone come condizione l’esistenza dell’intento di causare un danno o una perdita[7];
- la condizione posta dalla legislazione tedesca è che il sistema d’informazione oggetto dell’interferenza sia “di considerevole importanza per un terzo";
- la legislazione estone subordina la responsabilità penale al fatto che “un danno significativo sia…. causato”;
- la legislazione lituana considera reati solo gli atti “con cui… è causato un danno”;
- la legislazione lettone considera l’interferenza come reato solo quando “i sistemi di protezione sono danneggiati o distrutti o è causata una perdita su larga scala".
Anche in questo caso è necessaria una definizione più precisa di “casi gravi” per poter valutare se i modelli di cui sopra sono conformi alla decisione quadro. Tale necessità è stata già discussa nella sezione 2.3 relativamente all’articolo 2.
L’articolo 3 è volto a proteggere l’integrità dei sistemi d’informazione. Di conseguenza, la Commissione ritiene che la nozione di “casi di minore gravità” debba riferirsi a quelli in cui l’interferenza sui sistemi, in sé, sia di minore importanza o in cui l’integrità del sistema di informazione sia oggetto di un’interferenza di grado minore. Le sopra indicate disposizioni dell’ Austria , della Repubblica ceca , dell’ Estonia e della Lituania sembrano abbracciare esattamente tali circostanze e devono essere considerate in linea con il criterio secondo cui non configurano reato solo i casi di interferenza di minore gravità.
Le disposizioni tedesche , invece, si riferiscono all’importanza per un terzo, e quelle lituane menzionano un danno ai sistemi di protezione o una perdita su larga scala. La Commissione ritiene che il collegamento fra tali disposizioni e l’integrità dei sistemi d’informazione sia insufficiente per valutare se esse siano conformi alla facoltà offerta dalla decisione quadro di non considerare reati i “casi gravi”, e che ciò non sia conforme all’obiettivo della decisione quadro di armonizzare le norme nazionali di diritto penale nel settore degli attacchi contro i sistemi d’informazione.
Più in generale, tale divergenza nell’interpretazione e nell’applicazione della facoltà di non considerare reato certi atti compromette seriamente l’obiettivo di armonizzare le norme nazionali di diritto penale nel settore degli attacchi contro i sistemi d’informazione.
Pertanto la Commissione ritiene che, dei 20 Stati membri, solo 18 abbiano dimostrato di aver correttamente attuato l’articolo 3 della decisione quadro.
2.5. Interferenza illecita per quanto riguarda i dati (articolo 4)
La Commissione ritiene che tutti e 20 gli Stati membri abbiano soddisfatto l’obbligo principale di garantire che l’atto intenzionale di cancellare, danneggiare, deteriorare, alterare, sopprimere o rendere inaccessibili dati informatici in un sistema di informazione sia punito come reato. Molti Stati membri hanno recepito gli articoli 3 e 4 in una sola disposizione nazionale. Di nuovo, per quanto riguarda la Danimarca , la Commissione non è convinta che si possa presumere che una disposizione giuridica molto generale riguardante la distruzione, il danneggiamento o l’eliminazione di ogni tipo di proprietà copra tutti gli atti relativi a dati informatici enumerati nell’articolo. Per una breve discussione della questione si vedano i commenti all’articolo 3 nella sezione 2.4.
La frase finale dell’articolo lascia a ciascuno Stato membro la facoltà di considerare reato solo "i casi gravi". Di tale facoltà si sono avvalsi tre Stati membri, che hanno, più o meno esplicitamente, dichiarato che i seguenti modelli coprono tali circostanze:
- la legislazione ceca pone come condizione l’esistenza dell’intento di causare un danno o una perdita[8];
- la legislazione estone pone come condizione che “un danno significativo sia…. causato";
- la legislazione lettone (articolo 243 del Codice penale) applica il seguente criterio: “i sistemi di protezione sono danneggiati o distrutti o è causata una perdita su larga scala".
Come indicato sopra nella sezione 2.4 riguardante le stesse disposizioni di attuazione dell’articolo 3 della decisione quadro, la Commissione ritiene che la legislazione ceca sia, a tale riguardo, conforme alla decisione quadro, e che si presume altrettanto per quanto riguarda la legislazione estone. Come sopra, non si può ritenere che la Lettonia abbia soddisfatto gli obblighi che le incombono in virtù di tale articolo della decisione quadro.
La Commissione ritiene che, su 20 Stati membri, 19 abbiano dimostrato di aver correttamente attuato l’articolo 4 della decisione quadro.
2.6. Istigazione, favoreggiamento nonché complicità e tentativo (articolo 5)
La Commissione ritiene che, in linea di principio, 18 dei 20 Stati membri abbiano soddisfatto l’obbligo principale, cioè provvedere a che siano punibili come reato l’istigazione, il favoreggiamento nonché la complicità, così come il tentativo di commettere un reato. La Finlandia e il Portogallo hanno comunicato disposizioni nazionali riguardanti solo il tentativo di commettere un reato, e non hanno quindi dimostrato come il loro diritto nazionale abbia recepito gli obblighi relativi all’istigazione, al favoreggiamento e alla complicità. La Svezia non prevede che siano punibili i casi minori di istigazione, favoreggiamento, complicità e tentativo. Tale approccio non è conforme a quanto stabilito dalla decisione quadro.
Gli Stati membri possono decidere di non applicare l’obbligo di provvedere a che sia punibile il tentativo di commettere il reato di accesso illecito ai sistemi di informazione. La Germania e la Slovenia hanno comunicato di avvalersi di questa possibilità.
La Commissione ritiene pertanto che l’articolo 5 sia stato correttamente attuato da 17 Stati membri su 20.
2.7. Sanzioni e circostanze aggravanti (articoli 6 e 7)
La Commissione ritiene che tutti e 20 gli Stati membri abbiano provveduto a che i reati di cui agli articoli da 2 a 5 della decisione quadro siano punibili con sanzioni effettive, proporzionate e dissuasive[9]. Soddisfano le specifiche condizioni dell’articolo 6, paragrafo 2 della decisione quadro anche le sanzioni stabilite per l’interferenza illecita in relazione ai sistemi e l’interferenza illecita in relazione ai dati.
Per quanto riguarda l’obbligo di tenere conto di “circostanze aggravanti” nel caso di reati commessi nell’ambito di un’organizzazione criminale (articolo 7), la situazione è più varia:
- le disposizioni comunicate dall’ Austria chiaramente non soddisfano l’obbligo previsto dalla decisione quadro;
- la legislazione danese non contiene alcun riferimento diretto alle organizzazioni criminali;
- non contiene alcun riferimento alle organizzazioni criminali neanche la pertinente legislazione finlandese ;
- la legislazione portoghese necessita di alcuni aggiustamenti per essere conforme alla decisione quadro.
Non hanno fatto alcun riferimento al criterio relativo alle organizzazioni criminali, nelle disposizioni comunicate alla Commissione neanche altri Stati membri ( Bulgaria, Italia, Lettonia e Svezia ). Tuttavia, i testi comunicati mostrano che l’obbligo di applicare sanzioni più severe per i reati commessi nell’ambito di organizzazioni criminali è già pienamente recepito – benché indirettamente – nelle disposizioni nazionali di Bulgaria, Italia e Lettonia . In questi Stati membri le disposizioni in vigore per tutti i casi di reati in questione prevedono le pene minime più severe indicate dall’articolo 7 della decisione quadro. Il governo svedese afferma che i reati commessi nell’ambito di un’organizzazione criminale rientrano pienamente nella circostanza aggravante “reato grave” prevista dalla legislazione svedese, e ha fornito una spiegazione dettagliata a tale riguardo.
La Commissione ritiene quindi che l’articolo 6 sia stato correttamente attuato da tutti e 20 gli Stati membri, e che 16 di essi soddisfino gli obblighi di cui all’articolo 7 della decisione quadro.
2.8. Responsabilità delle persone giuridiche e sanzioni ad esse applicabili (articoli 8 e 9)
La Commissione ritiene che 16 dei 20 Stati membri abbiano chiaramente adottato le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili dei reati di cui agli articoli 2, 3, 4 e 5, alle circostanze descritte all’articolo 8, paragrafo 1.
La Repubblica ceca[10], la Lettonia e il Lussemburgo[11] non hanno adempiuto all’obbligo di comunicare alla Commissione disposizioni in materia.
L’ Estonia afferma che le sue disposizioni sulla responsabilità civile coprono tutti i casi descritti all’articolo 8, paragrafo 1, ma non ha comunicato dettagli su queste norme alla Commissione. Non vi sono obblighi quanto alla natura della responsabilità in questione, e le disposizioni nazionali relative alla responsabilità amministrativa o civile – quando sono pienamente conformi all’articolo 8 – possono in teoria bastare. Tuttavia, l’ Estonia non ha spiegato in che modo la sua legislazione sulla responsabilità civile copre pienamente gli obblighi stabiliti dalla decisione quadro.
In virtù dell’articolo 8, paragrafo 2, gli Stati membri sono tenuti ad assicurare che le persone giuridiche possano essere ritenute responsabili qualora la mancata sorveglianza o il mancato controllo da parte di uno dei soggetti di cui al paragrafo 1 abbia reso possibile la commissione del reato a beneficio della persona giuridica da parte di una persona soggetta alla sua autorità. La Commissione ritiene che 10 dei 20 Stati membri abbiano soddisfatto quest’obbligo. Per quanto riguarda la Repubblica ceca, l’ Estonia , la Lettonia e il Lussemburgo le conclusioni tratte per l’articolo 8, paragrafo 1 si applicano anche all’articolo 8, paragrafo 2. Non hanno comunicato inoltre le pertinenti disposizioni sulla responsabilità delle persone giuridiche la Danimarca , la Finlandia , la Francia e il Portogallo . La Francia ha affermato che tale responsabilità deriva dalle norme sulla responsabilità civile, ma non ha fornito spiegazioni sul suo esatto contenuto.
In virtù dell’articolo 9 gli Stati membri sono inoltre tenuti ad adottare le misure necessarie affinché alla persona giuridica ritenuta responsabile ai sensi dell’articolo 8, paragrafi 1 e 2,. siano applicabili sanzioni effettive, proporzionate e dissuasive. I 14 Stati membri che hanno comunicato disposizioni che attuano correttamente l’articolo 8, paragrafo 1, e i 10 Stati membri che hanno soddisfatto gli obblighi ai sensi dell’articolo 8, paragrafo 2, adempiono anche a questi obblighi.
Pertanto la Commissione ritiene che, dei 20 Stati membri, solo 12 abbiano dimostrato di aver integralmente attuato gli articoli 8 e 9 della decisione quadro.
2.9. Competenza giurisdizionale (articolo 10)
La Commissione ritiene che 17 dei 20 Stati membri abbiano adempiuto all’obbligo di stabilire la propria competenza giurisdizionale in ordine ai reati di cui agli articoli 2, 3, 4 e 5 della decisione quadro (in base agli specifici criteri fissati dallo stesso articolo 10). Benché i differenti metodi utilizzati dagli Stati membri per legiferare sulle questioni relative alla competenza giurisdizionale rendano difficile un confronto, la Commissione ritiene che l'articolo sia stato ben recepito. La Lettonia e il Portogallo non hanno soddisfatto l'obbligo d'informare la Commissione in merito delle loro disposizioni nazionali d'attuazione dell'articolo 10.
L'opzione prevista al paragrafo 5, che lascia agli Stati membri la facoltà di decidere di non applicare, o di applicare solo in situazioni o circostanze specifiche, le regole in materia di competenza giurisdizionale di cui al paragrafo 1, lettere b) e c), è stata fatta propria e comunicata dalla Francia (per il paragrafo 1 b)), e dall' Austria , dalla Finlandia , dalla Germania , dall' Ungheria e dalla Lituania (per il paragrafo 1 c)). Sembrano inoltre aver deciso di avvalersi di questa opzione anche l' Italia (paragrafo 1 b) e 1 c)) e l' Estonia e la Romania (paragrafo 1 c)), benché non l'abbiano formalmente dichiarato. L' Austria ha informato la Commissione di non avere ancora deciso se continuare o meno ad avvalersi di tale opzione.
La Commissione ritiene quindi che l'articolo 10 sia stato correttamente attuato da 17 dei 20 Stati membri.
2.10. Scambio di informazioni (articolo 11)
Gli Stati membri sono tenuti a utilizzare la rete esistente di punti di contatto operativi ventiquattr’ore su ventiquattro e sette giorni su sette. La Commissione non ha ricevuto informazioni che permettano di valutare se il Belgio, la Repubblica ceca, la Germania, l 'Italia, i Paesi Bassi, il Portogallo e la Slovenia ottemperano a tale obbligo.
Per quanto riguarda l'obbligo di informare il segretariato generale del Consiglio e la Commissione in merito al proprio punto di contatto operativo stabilito (articolo 11, paragrafo 2), la Commissione non ha ricevuto alcuna chiara comunicazione dall' Austria , dalla Bulgaria, dall' Italia e dal Portogallo.
Pertanto la Commissione ritiene che, dei 20 Stati membri, solo 11 abbiano dimostrato di aver pienamente ottemperato agli obblighi di cui all'articolo 11.
3. CONCLUSIONI
3.1. Grado di attuazione
La presente relazione fornisce una prima rassegna dell'attuazione della decisione quadro da parte degli Stati membri. Essa conferma la grande diversità delle modalità con questi hanno attuato la legislazione penale e le difficoltà che scaturiscono da tale situazione ai fini di una valutazione della legislazione nazionale senza poter esaminare come sia affettivamente applicata.
La Commissione osserva che la decisione quadro è ancora in corso d'attuazione negli Stati membri. Progressi significativi sono stati fatti praticamente in tutti e 20 gli Stati membri valutati nella presente relazione, in cui il grado di attuazione è stato ritenuto relativamente buono.
La principale preoccupazione , per la Commissione, sono ovviamente i sette Stati membri che devono ancora comunicare le misure d'attuazione. La Commissione invita gli Stati membri che non hanno ancora recepito la decisione quadro nel diritto nazionale a rimediare a questa situazione al più presto. La Commissione invita anche gli Stati membri a rivedere attentamente la loro legislazione allo scopo di intensificare gli sforzi per contrastare gli attacchi contro i sistemi di informazione.
3.2. Sviluppi futuri
I recenti attacchi perpetrati in Europa dall'adozione della decisione quadro hanno evidenziato l'emergere di varie minacce, in particolare gli attacchi massicci simultanei contro i sistemi di informazione e l'uso crescente delle botnet a fini criminali. Questi attacchi non erano al centro dell'attenzione al momento dell'adozione della decisione quadro. Per far fronte alle nuove evoluzioni, la Commissione prenderà in considerazione l'adozione di misure per reagire più prontamente alle minacce delle botnet . Fra le soluzioni soppesate, quella di considerare reato certe attività che facilitano l'uso criminale delle botnet e di inasprire le sanzioni penali per i reati commessi sotto forma di attacchi massicci e particolarmente pericolosi contro i sistemi di informazione.
La Commissione intende inoltre adottare misure per promuovere un uso efficace e tempestivo dei punti di contatto operativi ventiquattr’ore su ventiquattro e sette giorni su sette di cui all'articolo 11. I gravi incidenti del 2007 hanno evidenziato la necessità di azioni congiunte e rapide a livello internazionale – anche in collaborazione con operatori privati – per contrastare gli attacchi massicci contro i sistemi di informazione. Per promuovere un miglior coordinamento e una maggiore coerenza del sistema di reazione, è opportuno che gli Stati membri continuino a esaminare la possibilità di utilizzare punti di contatto come quelli delle reti del Consiglio d'Europa / G 8[12]. La Commissione valuterà in particolare l’opportunità di linee direttrici UE sul ricorso alle varie reti internazionali per le questioni legate alle forme di criminalità ad alta tecnologia.
[1] GU L 69 del 16.3.2005, pag. 67.
[2] Considerando 1.
[3] http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm.
[4] 8 e 9 novembre 2007, vedi
http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressData/it/jha/97264.pdf
[5] La comunicazione della Polonia, presentata tardi, il 1° luglio 2008, non può essere presa in considerazione visti i rigorosi termini di pubblicazione. Ne sarà comunque tenuto conto nelle azioni successive alla pubblicazione della presente relazione.
[6] Come sottolineato nella comunicazione inviata alla Commissione da un altro Stato membro.
[7] Il governo ceco ha comunicato che questa condizione verrà soppressa con l’adozione del nuovo ordinamento penale.
[8] Il governo ceco ha comunicato che questa condizione verrà soppressa con l’adozione del nuovo ordinamento penale.
[9] Va osservato che l’Austria sembra domandarsi se le proprie sanzioni in caso di interferenza illecita per quanto riguarda i sistemi siano abbastanza dissuasive.
[10] Il governo ceco ha affermato di avere adottato alcune disposizioni riguardanti la responsabilità civile in questo contesto, ma non ha comunicato il testo di tali disposizioni né ne ha descritto il contenuto.
[11] Una proposta legislativa relativa a quest’obbligo è stata presentata al parlamento lussemburghese nel 2007, ma la Commissione non è al corrente di un’eventuale adozione.
[12] Articolo 35 della Convenzione.
| In alto |