Acest site face parte din
Accesul la dreptul Uniunii Europene
Raportul Comisiei către Consiliu în temeiul articolului 12 din Decizia-cadru a Consiliului din 24 februarie 2005 privind atacurile împotriva sistemelor informatice
/* COM/2008/0448 final */
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | |
| doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc |
| Afişare bilingvă: BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV |
[pic] | COMISIA COMUNITĂŢILOR EUROPENE |
Bruxelles, 14.7.2008
COM(2008) 448 final
RAPORTUL COMISIEI CĂTRE CONSILIU
în temeiul articolului 12 din Decizia-cadru a Consiliului din 24 februarie 2005 privind atacurile împotriva sistemelor informatice
1. INTRODUCERE
1.1. Context
Obiectivul prezentului raport este de a evalua dacă statele membre au pus corect în aplicare Decizia-cadru a Consiliului nr. 2005/222/JAI privind atacurile împotriva sistemelor informatice[1] (denumită în continuare „decizie-cadru”) în legislaţiile lor naţionale.
Principalul obiectiv[2] al deciziei-cadru, prin apropierea normelor statelor membre în materie de drept penal în ceea ce priveşte atacurile împotriva sistemelor informatice, este de a îmbunătăţi cooperarea dintre autorităţile judiciare şi alte autorităţi competente, inclusiv poliţia şi alte servicii specializate de aplicare a legii din statele membre. Având în vedere acest obiectiv, decizia-cadru are menirea de a completa şi de a continua alte instrumente europene şi internaţionale (în special Convenţia Consiliului Europei privind criminalitatea informatică[3]).
De la adoptarea deciziei-cadru, succesiunea unor atacuri criminale împotriva sistemelor informatice a indicat în mod repetat necesitatea unei coordonări europene mai strânse ca reacţie la acest tip de atacuri. Atacul masiv de tip „denial of service” (blocare a accesului) împotriva infrastructurii informatice a Estoniei din mai 2007 au reamintit în mod oportun efectele dăunătoare şi distructive ale acestor atacuri.
În consecinţă, necesitatea unei puneri în aplicare complete şi exacte a deciziei-cadru de către fiecare stat membru s-a intensificat după adoptarea acesteia. Oportunitatea prezentului raport este de asemenea subliniată de referirile explicite la combaterea criminalităţii informatice[4] din concluziile recentei reuniuni a Consiliului pentru Justiţie şi Afaceri Interne, care a afirmat, de asemenea, că aşteaptă cu nerăbdare să primească raportul Comisiei privind punerea în aplicare.
1.2. Notificări şi răspunsuri
Articolul 12 alineatul (2) din decizia-cadru impune statelor membre să transmită, până la data de 16 martie 2007, textul oricăror dispoziţii de transpunere a obligaţiilor impuse prin decizia-cadru în legislaţia lor naţională. Până la acea dată, numai un stat (Suedia) transmisese Comisiei un text naţional, chiar şi acesta fiind incomplet. De aceea, Comisia a trimis o scrisoare de rapel statelor membre, prin care solicita ca acestea să îi trimită textul tuturor dispoziţiilor naţionale care transpun decizia-cadru, precum şi orice informaţii considerate adecvate referitoare la aplicarea acestei măsuri.
Până la 1 iunie 2008, Comisia a primit notificări sau răspunsuri la scrisoarea de rapel din partea a 23 de state membre. Nu s-a primit niciun răspuns din partea Maltei , Poloniei[5] , Slovaciei şi Spaniei . În plus, răspunsurile Irlandei , Greciei şi Regatului Unit , după cum au recunoscut de altfel guvernele acestor ţări, nu permit evaluarea aplicării deciziei-cadru în aceste ţări, deoarece, în cazul lor, aplicarea a fost întârziată.
Cele şapte state membre menţionate nu şi-au îndeplinit, prin urmare, obligaţia de notificare, conform articolului 12 alineatul (2) din decizia-cadru. În consecinţă, prezentul raport prezintă evaluarea legislaţiei numai pentru celelalte 20 de state membre.
1.3. Metodă şi criterii de evaluare
Prezentul raport a fost elaborat pe baza informaţiilor oferite de către statele membre. Cu toate acestea, unele date necesare lipsesc. În consecinţă, evaluarea şi concluziile corespunzătoare din prezentul raport se bazează parţial pe informaţii incomplete.
În temeiul articolului 34 alineatul (2) litera (b) din Tratatul privind Uniunea Europeană, deciziile-cadru sunt obligatorii pentru statele membre în ceea ce priveşte rezultatul care trebuie obţinut, însă lasă la latitudinea autorităţilor naţionale alegerea formei şi a metodelor. Pentru a evalua în mod obiectiv dacă o decizie-cadru a fost pusă în aplicare pe deplin de către un stat membru, au fost elaborate unele criterii generale cu privire la directive. Aceste criterii pot fi aplicate mutatis mutandis la deciziile-cadru. În special, normele de punere în aplicare a deciziei-cadru trebuie să funcţioneze în mod eficient, ţinându-se seama de obiectivele acesteia, trebuie să satisfacă cerinţele privind claritatea şi siguranţa juridică, trebuie să asigure aplicarea integrală a textului într-o manieră suficient de clară şi precisă şi trebuie aplicate în perioada indicată.
Prezentul raport se concentrează în principal pe nivelul oficial de punere în aplicare a dispoziţiilor deciziei cadru în materie de drept penal. Cu toate acestea, aplicarea efectivă a acestor norme nu intră în sfera acestui raport.
2. EVALUARE
2.1. Consideraţii generale privind punerea în aplicare
Decizia-cadru a fost pusă în aplicare în modalităţi foarte diferite în cele 20 de state membre. În majoritatea statelor, formularea legislaţiei naţionale este asemănătoare celei utilizate în decizia-cadru. În alte state, a fost aleasă o metodă de punere în aplicare mai indirectă şi mai generală. În multe cazuri, aceasta înseamnă că expresiile şi conceptele juridice utilizate nu sunt uşor comparabile. În măsura posibilului, acest raport va ţine seama de dreptul penal general din statele membre şi va indica orice dificultăţi specifice asociate acestui tip de abordare.
2.2. Definiţii (articolul 1)
Cele 20 de state membre nu au oferit informaţii clare sau complete cu privire la modul în care definiţiile indicate în decizia-cadru au fost aplicate în legislaţia lor naţională. Cu toate acestea, contextul general arată clar că definiţiile din legislaţia lor naţională corespund într-o măsură importantă cu decizia-cadru.
2.3. Accesarea ilegală a sistemelor informatice (articolul 2)
Comisia consideră că toate cele 20 de state membre au încorporat principala obligaţie, şi anume aceea de a garanta că accesul intenţionat, neautorizat la întregul sistem informatic sau la o parte din acesta este sancţionat ca infracţiune.
Ultima teză de la alineatul (1) permite statelor membre opţiunea de a incrimina aceste fapte numai pentru „cazurile care nu sunt minore”. Următoarele state membre au folosit, mai mult sau mai puţin explicit, această opţiune pe baza faptului că modelele prezentate în cele ce urmează corespund „cazurilor care nu sunt minore”:
- în Austria , criteriul legal pentru răspunderea penală implică existenţa unei intenţii de a comite spionaj de date şi de a utiliza datele astfel obţinute pentru profit sau pentru a cauza prejudicii;
- Republica Cehă a incriminat accesarea ilegală numai în cazurile în care datele sunt folosite ulterior în mod necorespunzător sau sunt deteriorate;
- în Finlanda , pentru a atrage răspunderea penală, este necesar ca datele accesate să fie „periclitate”;
- în Letonia , accesarea ilegală devine o infracţiune numai „dacă prin aceasta se cauzează prejudicii substanţiale”.
Este necesară o interpretare specifică a „cazurilor care nu sunt minore” pentru a se putea evalua dacă aceste modele sunt consecvente cu decizia-cadru. Această interpretare este necesară pentru a se stabili dacă cel puţin nucleul central al faptelor incriminate prevăzute de decizia-cadru este acoperit în mod oficial de către statele membre. Articolul 2 vizează protejarea confidenţialităţii sistemelor informatice. Prin urmare, Comisia este de părere că noţiunea de „caz minor” trebuie să se refere la situaţii în care cazurile de acces ilegal sunt de importanţă minoră sau în care o încălcare a confidenţialităţii sistemului informatic este de grad minor. Cu toate acestea, normele corespunzătoare ale Austriei , Republicii Cehe , Finlandei şi Letoniei menţionate anterior descriu situaţii în care, de exemplu, a existat o intenţie de comitere a unei fapte penale sau anumite riscuri sau prejudicii, şi care nu pot fi considerate consecvente cu semnificaţia descrisă anterior. Astfel, Comisia are rezerve importante că dispoziţiile Austriei , Republicii Cehe , Finlandei şi Letoniei în acest sens sunt în concordanţă cu definiţia circumstanţelor „cazurilor care nu sunt minore” din decizia-cadru.
În sens mai general, o astfel de diferenţă în interpretarea şi aplicarea opţiunii de a nu incrimina anumite acte reprezintă un risc major pentru obiectivul de a apropia normele statelor membre în materie de drept penal în ceea ce priveşte atacurile împotriva sistemelor informatice.
Comisia consideră, prin urmare, că numai 16 dintre cele 20 de state membre au demonstrat că au aplicat în mod corespunzător dispoziţiile articolului 2 din decizia-cadru.
Articolul 2 alineatul (2) permite statelor membre să hotărască în ce măsură comportamentul prezentat la alineatul (1) este incriminat numai în cazul în care infracţiunea este săvârşită prin încălcarea unei măsuri de securitate. Această opţiune a fost aplicată în şapte din cele 20 de state membre ( Austria , Finlanda , Germania , Ungaria , Italia , Letonia şi Lituania ).
2.4. Afectarea integrităţii sistemului informatic (articolul 3)
Comisia consideră că toate cele 20 de state membre îndeplinesc principala obligaţie, şi anume aceea de a garanta că obstrucţionarea sau întreruperea gravă cu intenţie a funcţionării unui sistem informatic prin introducerea, transmiterea, periclitarea, ştergerea, deteriorarea, modificarea, eliminarea sau împiedicarea accesării datelor informatice se pedepseşte ca infracţiune.
Cu toate acestea, pentru confirmarea acestei evaluări, poate fi necesară o analiză suplimentară a practicilor din statele membre care au ales dispoziţii relativ generale pentru punerea în aplicare a acestui articol detaliat din decizia-cadru. Acesta este cazul Danemarcei , care susţine că o prevedere legală foarte generală privind distrugerea, periclitarea sau îndepărtarea proprietăţilor de toate tipurile acoperă toate criteriile enumerate la acest articol. Deşi o astfel de abordare este acceptabilă în principiu, măsura în care o astfel de prevedere este aplicabilă atacurilor care vizează accesibilitatea poate fi pusă sub semnul întrebării, în special în cazurile în care prejudiciul poate fi doar temporar [6].
Ultima teză de la articolul 3 permite statelor membre să incrimineze acest comportament numai în „cazurile care nu sunt minore”. Această opţiune a fost folosită de către şase state membre care, mai mult sau mai puţin explicit, au susţinut că următoarele modele acoperă circumstanţele în cauză:
- legislaţia austriacă incriminează afectarea integrităţii numai în cazurile „grave”;
- legislaţia cehă prevede existenţa unei intenţii de a cauza prejudicii sau pagube[7];
- legislaţia germană prevede ca sistemul informatic a cărui integritate este afectată să fie „de importanţă considerabilă pentru o terţă parte”;
- legislaţia estonă condiţionează răspunderea penală de criteriul „cauzării ... unui prejudiciu însemnat”.
- legislaţia lituaniană incriminează numai situaţiile „în care ... se cauzează un prejudiciu”;
- legislaţia letonă incriminează afectarea integrităţii numai atunci când „sistemele de protecţie sunt deteriorate sau distruse sau se produc pierderi la scară largă”.
Din nou, este necesară o definiţie mai precisă a „cazurilor care nu sunt minore” pentru a se putea stabili dacă modelele menţionate mai sus sunt consecvente cu decizia-cadru. Această necesitate a fost discutată anterior cu privire la articolul 2 în secţiunea 2.3 de mai sus.
Articolul 3 vizează protejarea integrităţii sistemelor informatice. Prin urmare, Comisia este de părere că noţiunea de „caz minor” trebuie să se refere la cazuri în care afectarea integrităţii sistemului în sine este de importanţă minoră sau în care integritatea sistemului informatic este afectată numai într-un grad minor. Dispoziţiile relevante ale Austriei , Republicii Cehe , Estoniei şi Lituaniei menţionate anterior par să vizeze exact astfel de circumstanţe şi trebuie analizate în conformitate cu cerinţa ca doar cazurile minore de afectare a integrităţii să nu fie incriminate.
Cu toate acestea, dispoziţiile germane relevante menţionează importanţa pentru o terţă parte, iar dispoziţiile letone – prejudiciile aduse sistemelor de protecţie sau pierderile la scară largă. Comisia consideră că legătura dintre aceste dispoziţii şi integritatea sistemelor informatice este insuficientă pentru a evalua dacă acestea sunt consecvente cu opţiunea deciziei-cadru de a nu incrimina „cazurile care nu sunt minore” şi că acest lucru nu este conform cu obiectivul deciziei-cadru de a apropia normele statelor membre în materie de drept penal în ceea ce priveşte atacurile împotriva sistemelor informatice.
În sens mai general, o astfel de diferenţă în interpretarea şi aplicarea opţiunii de a nu incrimina anumite acte reprezintă un risc major pentru obiectivul de a apropia normele statelor membre în materie de drept penal în ceea ce priveşte atacurile împotriva sistemelor informatice.
Prin urmare, Comisia consideră că numai 18 dintre cele 20 de state membre au aplicat în mod corespunzător articolul 3 din decizia-cadru.
2.5. Afectarea integrităţii datelor (articolul 4)
Comisia consideră că toate cele 20 de state membre respectă obligaţia principală de a garanta că ştergerea, periclitarea, deteriorarea, modificarea, eliminarea sau împiedicarea accesului la datele informatice dintr-un sistem informatic în mod intenţionat se pedepsesc ca infracţiuni. Numeroase state membre au aplicat atât articolele 3 şi 4 printr-o singură dispoziţie naţională. Din nou, în cazul Danemarcei , Comisia nu este convinsă că o dispoziţie legală aplicabilă la nivel foarte general privind distrugerea, deteriorarea sau îndepărtarea proprietăţilor de toate tipurile poate acoperi actele legate de datele informatice enumerate la acest articol. Pentru câteva consideraţii asupra acestui aspect, a se vedea observaţiile privind articolul 3 din secţiunea 2.4.
Ultima teză de la acest articol permite statelor membre să incrimineze acest comportament numai în „cazurile care nu sunt minore”. Această opţiune a fost utilizată de către trei state membre care, mai mult sau mai puţin explicit, au susţinut că următoarele modele acoperă circumstanţele în cauză:
- legislaţia cehă prevede existenţa unei intenţii de a cauza prejudicii sau pagube[8];
- legislaţia estonă prevede „să se cauzeze ... prejudicii semnificative”;
- legislaţia letonă (articolul 243 din Codul penal) aplică criteriul următor: „sistemele de protecţie să fie deteriorate sau distruse sau să existe pagube la scară largă”.
După cum s-a subliniat în secţiunea 2.4 cu privire la dispoziţiile identice de punere în aplicare a articolului 3 din decizia-cadru, Comisia consideră că legislaţia cehă este, în această privinţă, conformă deciziei-cadru şi trebuie să se considere acelaşi lucru şi despre legislaţia estonă. Ca şi în cazul articolului 3, nu se poate considera că Letonia şi-a îndeplinit obligaţiile care îi revin în temeiul articolului 4 din decizia-cadru.
Comisia consideră că 19 dintre cele 20 de state membre au aplicat în mod corespunzător articolul 4 din decizia-cadru.
2.6. Instigarea, complicitatea şi tăinuirea şi tentativa (articolul 5)
Comisia consideră că obligaţia principală, şi anume aceea de a garanta sancţionarea instigării, complicităţii şi tăinuirii, precum şi a tentativei de a comite o infracţiune, este respectată în principiu în 18 dintre cele 20 de state membre. Finlanda şi Portugalia au comunicat norme naţionale numai în ceea ce priveşte tentativa şi, prin urmare, nu au arătat modul în care obligaţiile privind instigarea, complicitatea şi tăinuirea sunt integrate în legislaţia lor naţională. Suedia nu prevede sancţiuni pentru cazurile minore de instigare, complicitate şi tăinuire şi tentativă. Această abordare nu este în conformitate cu cerinţele deciziei-cadru.
Statele membre pot decide să nu aplice obligaţia de a garanta sancţionarea oricărei tentative de a comite infracţiunea accesare ilegală a sistemelor informatice. Germania şi Slovenia au raportat că se folosesc de această posibilitate.
Prin urmare, Comisia consideră că articolul 5 a fost pus în aplicare în mod corespunzător în 17 dintre cele 20 de state membre.
2.7. Sancţiuni şi circumstanţe agravante (articolele 6-7)
Comisia consideră că toate cele 20 de state membre s-au asigurat că infracţiunile menţionate la articolele 2-5 din decizia-cadru sunt pedepsite în mod rezonabil cu sancţiuni eficiente, proporţionale şi disuasive[9]. Sancţiunile prevăzute pentru afectarea integrităţii unui sistem informatic şi pentru afectarea integrităţii datelor îndeplinesc de asemenea cerinţele specifice menţionate la articolul 6 alineatul (2) din decizia-cadru.
Situaţia este mai variată în ceea ce priveşte obligaţia de a ţine seama de „circumstanţele agravante” pentru o infracţiune săvârşită în cadrul unei organizaţii criminale (articolul 7).
- este clar că dispoziţiile notificate de Austria nu îndeplinesc această obligaţie impusă de decizia-cadru;
- legislaţia daneză nu face nicio referire directă la organizaţiile criminale;
- în Finlanda , nu se face nicio referire la organizaţiile criminale în legislaţia relevantă;
- Portugalia trebuie să îşi modifice legislaţia într-o anumită măsură pentru a se conforma integral deciziei-cadru.
Alte state membre ( Bulgaria , Italia , Letonia şi Suedia ) nu fac nicio referire la criteriul „organizaţiilor criminale” în dispoziţiile notificate Comisiei. Cu toate acestea, textele comunicate arată că obligaţia de a aplica sancţiuni mai severe pentru infracţiunile care implică organizaţii criminale este deja integral îndeplinită – chiar dacă în mod indirect – prin dispoziţii naţionale în Bulgaria , Italia şi Letonia . În aceste state membre, dispoziţiile aflate în vigoare, pentru toate infracţiunile în cauză, prevăd sancţiunile minime mai severe menţionate la articolul 7 din decizia-cadru. Guvernul suedez susţine că infracţiunile săvârşite în cadrul organizaţiilor criminale sunt acoperite integral de circumstanţa agravantă „infracţiune majoră”, în conformitate cu legislaţia suedeză, şi a furnizat explicaţii detaliate în această privinţă.
Prin urmare, Comisia consideră că articolul 6 a fost pus în aplicare corect de toate cele 20 de state membre, iar 16 dintre acestea respectă obligaţiile impuse în temeiul articolului 7 din decizia-cadru.
2.8. Răspunderea persoanelor juridice şi sancţiuni împotriva persoanelor juridice (articolele 8 şi 9)
Comisia consideră că 16 dintre cele 20 de state membre au luat, în mod clar, măsurile necesare pentru a asigura că persoanele juridice pot fi considerate răspunzătoare de infracţiunile menţionate la articolele 2, 3, 4 şi 5, în circumstanţele descrise la articolul 8 alineatul (1).
Republica Cehă[10], Letonia şi Luxemburg[11] nu şi-au îndeplinit obligaţia de a notifica Comisia cu privire la oricare asemenea norme.
Estonia susţine că normele sale privind răspunderea civilă acoperă toate cazurile menţionate la articolul 8 alineatul (1), dar aceasta nu a prezentat Comisiei detalii privind aceste norme. Nu există nicio obligaţie privind natura răspunderii în cauză, iar normele naţionale privind răspunderea administrativă sau civilă – atunci când sunt în deplină conformitate cu articolul 8 – pot fi suficiente, în mod teoretic. Cu toate acestea, Estonia nu a explicat modul în care legislaţia sa privind răspunderea civilă acoperă pe deplin obligaţiile impuse de decizia-cadru.
Articolul 8 alineatul (2) impune statelor membre să garanteze posibilitatea ca o persoană juridică să fie considerată răspunzătoare în cazul în care lipsa de supraveghere sau de control a unei persoane, menţionată la alineatul (1), a făcut posibilă comiterea infracţiunii săvârşite în beneficiul acelei persoane juridice de către o persoană aflată sub autoritatea sa. Comisia consideră că 10 dintre cele 20 state membre au îndeplinit această cerinţă. Pe lângă Republica Cehă , Estonia , Letonia şi Luxemburg , unde concluziile trase cu privire la articolul 8 alineatul (1) se aplică şi la articolul 8 alineatul (2), Danemarca , Finlanda , Franţa şi Portugalia nu au prezentat norme relevante privind răspunderea persoanelor juridice. Franţa a afirmat că acest tip de răspundere decurge din normele privind răspunderea civilă, dar nu a furnizat explicaţii cu privire la conţinutul exact al acestei răspunderi.
În temeiul articolului 9, statele membre iau de asemenea măsurile necesare pentru a se asigura că o persoană juridică declarată răspunzătoare conform articolului 8 alineatul (1) şi articolului 8 alineatul (2) este pedepsită prin sancţiuni eficiente, proporţionale şi disuasive. Toate cele 14 state membre care au prezentat măsuri de punere corectă în aplicare a articolului 8 alineatul (1) şi cele 10 state membre care şi-au îndeplinit obligaţiile conform articolului 8 alineatul (2) şi-au îndeplinit de asemenea aceste obligaţii.
Prin urmare, Comisia consideră că numai 12 dintre cele 20 de state membre au demonstrat că au pus în aplicare pe deplin articolele 8 şi 9 din decizia-cadru.
2.9. Competenţa (articolul 10)
Comisia consideră că 17 dintre cele 20 de state membre şi-au îndeplinit obligaţia de a stabili competenţa în ceea ce priveşte infracţiunile menţionate la articolele 2, 3, 4 şi 5 din decizia-cadru (pe baza criteriilor specifice prevăzute la articolul 10). Deşi metodele diferite de legiferare în ceea ce priveşte aspectele legate de competenţă în statele membre fac comparaţia mai dificilă, Comisia consideră că articolul a fost pus în aplicare în mod adecvat. Letonia şi Portugalia nu şi-au îndeplinit obligaţia de a informa Comisia cu privire la normele lor naţionale de punere în aplicare a articolului 10.
Opţiunea prevăzută la alineatul (5), care oferă statelor membre posibilitatea de a decide să nu aplice sau să aplice numai în anumite cazuri ori circumstanţe normele privind competenţa menţionate la alineatul (1) litera (b) şi alineatul 1 litera (c) a fost utilizată şi notificată de către Franţa [în cazul alineatului (1) litera (b)] şi de către Austria , Finlanda , Germania , Ungaria şi Lituania [în cazul alineatului (1) litera (c)]. Se pare că Italia a utilizat alineatul (1) litera (b) şi litera (c), iar Estonia şi România alineatul (1) litera (c), deşi nu au confirmat în mod oficial acest lucru. Austria a informat Comisia că este încă în curs de a analiza dacă să continue să utilizeze această opţiune.
Prin urmare, Comisia consideră că articolul 10 a fost pus în aplicare în mod corespunzător în 17 dintre cele 20 de state membre.
2.10. Schimbul de informaţii (articolul 11)
Statele membre trebuie să asigure utilizarea reţelei existente de puncte operaţionale de contact disponibile 24 de ore pe zi şi şapte zile pe săptămână. Comisia nu a primit informaţii care să îi permită să stabilească dacă acesta este cazul în ceea ce priveşte decizia-cadru în Belgia , Republica Cehă , Germania , Italia , Ţările de Jos , Portugalia şi Slovenia .
În ceea ce priveşte obligaţia de a informa Secretariatul General al Consiliului şi Comisia cu privire la punctul de contact desemnat [articolul 11 alineatul (2)], Comisia nu a primit nicio notificare clară din partea Austriei , Bulgariei , Italiei şi a Portugaliei .
Prin urmare, Comisia consideră că numai 11 dintre cele 20 de state membre au demonstrat că au îndeplinit integral toate obligaţiile stabilite la articolul 11.
3. CONCLUZII
3.1. Nivelul de punere în aplicare
Prezentul raport oferă o primă viziune asupra modului în care statele membre au pus în aplicare decizia-cadru. Raportul confirmă modalităţile foarte diferite în care statele membre au pus în aplicare legislaţia penală şi dificultatea care rezultă de aici în evaluarea integrală a legislaţiei naţionale fără a ţine seama de modul în care aceasta este aplicată în practică.
Comisia observă că decizia-cadru este încă în curs de punere în aplicare în statele membre. S-au realizat progrese importante în practic toate cele 20 de state membre analizate în prezentul raport, în care s-a constatat că nivelul de punere în aplicare este relativ bun.
În mod evident, cele şapte state membre care nu au comunicat încă măsurile de punere în aplicare reprezintă motivul principal de îngrijorare pentru Comisie. Comisia invită statele membre care nu au pus încă în aplicare decizia-cadru în dispoziţiile lor naţionale să corecteze această situaţie cât de curând posibil. Comisia invită de asemenea statele membre să îşi reanalizeze cu atenţie legislaţia în vederea intensificării eforturilor lor de a combate atacurile împotriva sistemelor informatice.
3.2. Tendinţe viitoare
Atacurile recente din Europa, care au avut loc după adoptarea deciziei-cadru, au subliniat apariţia unor ameninţări noi, în special, producerea unor atacuri simultane masive împotriva sistemelor informatice şi utilizarea infracţională crescută a aşa-numitelor „botnets”[12]. Aceste atacuri nu erau în centrul atenţiei în momentul adoptării deciziei-cadru. Ca răspuns la aceste tendinţe, Comisia va avea în vedere acţiuni pentru găsirea unor răspunsuri mai eficiente la pericolul reprezentat de „botnets”. Aceste acţiuni pot viza incriminarea specifică a anumitor activităţi care facilitează utilizarea infracţională a „botnets”, înăsprind, în acelaşi timp, sancţiunile minime pentru infracţiuni săvârşite sub forma unor atacuri masive şi deosebit de periculoase împotriva sistemelor informatice.
Comisia are de asemenea în vedere luarea de măsuri pentru promovarea utilizării eficiente şi oportune a punctelor de contact care funcţionează 24 de ore pe zi, 7 zile pe săptămână, menţionate la articolul 11. Necesitatea unor acţiuni comune rapide – care includ adesea operatorii privaţi – la nivel internaţional pentru a combate atacurile masive împotriva sistemelor informatice a fost subliniată de incidentele grave din 2007. Pentru a promova o mai bună coordonare şi consecvenţă într-un astfel de sistem de răspuns, statele membre ar trebui să continue să analizeze dacă ar trebui utilizate aceleaşi puncte de contact ca în contextul reţelelor Consiliului Europei/G8[13]. Comisia va analiza, în special, stabilirea de orientări UE privind utilizarea diverselor reţele internaţionale pentru aspecte legate de criminalitatea care utilizează tehnologiile avansate.
[1] JO L 69, 16.3.2005, p. 67.
[2] Considerentul (1).
[3] http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm.
[4] 8 şi 9 noiembrie 2007, a se vedea http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressdata/en/jha/97023.pdf
[5] Notificarea Poloniei, transmisă târziu, la 1 iulie 2008, nu poate fi luată în considerare din cauza termenelor stricte de publicare. Cu toate acestea, se va ţine seama de ea ulterior, în cadrul acţiunilor care vor urma publicării prezentului raport.
[6] Astfel cum a fost subliniat în notificarea altor state membre către Comisie.
[7] Guvernul ceh a afirmat că se va renunţa la această prevedere odată cu adoptarea noului drept penal.
[8] Guvernul ceh a afirmat că se va renunţa la această prevedere odată cu adoptarea noului drept penal.
[9] Ar trebui precizat că Austria pare să pună sub semnul întrebării dacă sancţiunile pe care le impune pentru afectarea integrităţii unui sistem informatic sunt suficient de disuasive.
[10] Guvernul ceh a afirmat că are anumite norme privind răspunderea civilă în acest context, dar nici nu a comunicat textul acestor norme, nici nu a descris conţinutul acestora.
[11] În 2007, a fost prezentată în Parlamentul luxemburghez o propunere legislativă privind această obligaţie, însă Comisia nu are informaţii cu privire la eventuala adoptare a acestei propuneri.
[12] Termenul „botnet” se referă, pe scurt, la o reţea de calculatoare infectate care operează programe sub o comandă comună.
[13] Articolul 35 din Convenţie.
| Sus |