Πρόταση απόφασης πλαισίου του Συμβουλίου για τις επιθέσεις κατά των συστημάτων πληροφοριών /* COM/2002/0173 τελικό - CNS 2002/0086 */
Επίσημη Εφημερίδα αριθ. 203 E της 27/08/2002 σ. 0109 - 0113
Πρόταση ΑΠΟΦΑΣΗΣ ΠΛΑΙΣΙΟΥ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για τις επιθέσεις κατά των συστημάτων πληροφοριών (υποβληθείσα από την Επιτροπή) ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ 1. ΕΙΣΑΓΩΓΗ Τα δίκτυα ηλεκτρονικής επικοινωνίας και τα συστήματα πληροφοριών αποτελούν εγγενές τμήμα της καθημερινής ζωής των πολιτών της ΕΕ και διαδραματίζουν ουσιαστικό ρόλο στην επιτυχία της ευρωπαϊκής οικονομίας. Τα δίκτυα και τα συστήματα πληροφοριών συγκλίνουν και είναι ολοένα και περισσότερο διασυνδεδεμένα. Αυτή η εξέλιξη συνεπάγεται πολλά και σαφή προτερήματα, αλλά συνοδεύεται επίσης από ανησυχητικό κίνδυνο σκόπιμων επιθέσεων κατά των συστημάτων πληροφοριών. Αυτές οι επιθέσεις μπορούν να λαμβάνουν διάφορες μορφές, συμπεριλαμβανόμενης της παράνομης πρόσβασης, της διάδοσης ψευδών κωδικών και επιθέσεων "άρνησης παροχής υπηρεσίας". Οι επιθέσεις είναι δυνατόν να εξαπολυθούν από οποιοδήποτε προς οποιοδήποτε μέρος του κόσμου και οποτεδήποτε. Νέες απροσδόκητες μορφές επιθέσεων μπορούν να εμφανισθούν στο μέλλον. Οι επιθέσεις κατά των συστημάτων πληροφοριών αποτελούν απειλή για τη δημιουργία μιας πιο ασφαλούς κοινωνίας της πληροφορίας και ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης και πρέπει ως εκ τούτου να υπάρξει απάντηση στο επίπεδο της Ευρωπαϊκής Ένωσης. Η παρούσα πρόταση απόφασης πλαισίου για την προσέγγιση του ποινικού δικαίου όσον αφορά τις επιθέσεις κατά των συστημάτων πληροφοριών αποτελεί τμήμα της συμβολής της Επιτροπής στην επίλυση του συγκεκριμένου προβλήματος. 1.1. Είδη επιθέσεων κατά των συστημάτων πληροφοριών Η φράση "σύστημα πληροφοριών" χρησιμοποιείται σκοπίμως στο προκείμενο με την πλέον ευρεία έννοιά της αναγνωρίζοντας τη σύγκλιση μεταξύ των δικτύων ηλεκτρονικής επικοινωνίας και των διαφόρων συνδεδεμένων συστημάτων. Για τους σκοπούς της παρούσας πρότασης, τα συστήματα πληροφοριών καλύπτουν συνεπώς τους αυτόνομους προσωπικούς υπολογιστές, τις προσωπικές ηλεκτρονικές ατζέντες, τα κινητά τηλέφωνα, τα εσωτερικά δίκτυα (intranets), τα εξωτερικά δίκτυα (extranets), και, φυσικά, τα δίκτυα, τους εξυπηρετητές και άλλες υποδομές του διαδικτύου. Στην ανακοίνωσή της "Ασφάλεια δικτύων και πληροφοριών - πρόταση ευρωπαϊκής πολιτικής" [1], η Επιτροπή πρότεινε την ακόλουθη περιγραφή των απειλών κατά των συστημάτων πληροφοριών: [1] Ανακοίνωση της Επιτροπής στο Συμβούλιο, το Ευρωπαϊκό Κοινοβούλιο, την Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή Περιφερειών "Ασφάλεια δικτύων και πληροφοριών - πρόταση ευρωπαϊκής πολιτικής" της 6.6.2001. COM (2001) 298 τελικό. (α) Μη εξουσιοδοτημένη πρόσβαση σε συστήματα πληροφοριών. Αυτό καλύπτει την έννοια του "hacking" (πειρατεία). Η πειρατεία συνίσταται στην μη εξουσιοδοτημένη πρόσβαση σε υπολογιστή ή δίκτυο υπολογιστών. Μπορεί να λάβει διάφορες μορφές από την απλή αξιοποίηση πληροφοριών που προέρχονται από το εσωτερικό μέχρι τις βίαιες επιθέσεις και την υποκλοπή συνθηματικών. Πρόκειται συχνά, αν όχι πάντα, για δόλια προαίρεση αντιγραφής, τροποποίησης ή καταστροφής δεδομένων. Η δολιοφθορά ιστοθέσεων ή η πρόσβαση σε υπηρεσίες που προστατεύονται από πρόσβαση υπό όρους άνευ πληρωμής μπορεί να αποτελεί έναν από τους στόχους της μη εξουσιοδοτημένης πρόσβασης. (β) Αποδιοργάνωση συστημάτων πληροφοριών. Υπάρχουν διάφοροι τρόποι αποδιοργάνωσης των συστημάτων πληροφοριών με δόλιες επιθέσεις. Ένας από τους πιο γνωστούς τρόπους που παραλύουν ή υποβαθμίζουν τις υπηρεσίες που προσφέρονται από το διαδίκτυο είναι οι επιθέσεις τύπου άρνησης παροχής υπηρεσίας (denial of service- DoS). Κατά κάποιο τρόπο αυτή η επίθεση ομοιάζει με τον κατακλυσμό των συσκευών φαξ από μακροσκελή και επαναλαμβανόμενα μηνύματα. Οι επιθέσεις που παραλύουν την παροχή υπηρεσίας επιχειρούν να υπερφορτώσουν τους εξυπηρετητές ή τους φορείς παροχής υπηρεσιών πρόσβασης στο διαδίκτυο (ISP) με αυτομάτως αποστελλόμενα μηνύματα. Άλλα είδη επιθέσεων μπορούν να περιλαμβάνουν την αποδιοργάνωση εξυπηρετητών που χρησιμοποιούν το σύστημα ονομάτων τομέων του διαδικτύου (DNS) ή να αφορούν τους "δρομολογητές". Οι επιθέσεις που έχουν σαν στόχο την αποδιοργάνωση των συστημάτων υπήρξαν επιζήμιες για ορισμένες σημαντικές θέσεις του Ιστού, όπως οι πύλες. Ορισμένες μελέτες έχουν υπολογίσει ότι η πρόσφατη επίθεση προξένησε ζημιές που υπολογίζονται σε πολλές εκατοντάδες εκατομμύρια ευρώ, χωρίς να λαμβάνεται υπόψη η μη αριθμητικά υπολογίσιμη ζημία από πλευράς φήμης. Οι επιχειρήσεις, όσον αφορά τις δραστηριότητές τους, στηρίζονται ολοένα και περισσότερο στη διαθεσιμότητα των ιστοθέσεων τους και εκείνες που εξαρτώνται από την "έγκαιρη " προμήθεια είναι ιδιαίτερα ευάλωτες. (γ) Εκτέλεση δόλιων λογισμικών που τροποποιούν ή καταστρέφουν δεδομένα. Το πιο γνωστό είδος δόλιου λογισμικού είναι ο ιός. Οι ιοί "I Love You", "Melissa" και "Kournikova" αποτελούν διάσημα παραδείγματα. Περίπου το 11% των ευρωπαίων χρηστών προσβλήθηκε από ιό στον οικιακό του υπολογιστή. Υπάρχουν και άλλα είδη δόλιων λογισμικών. Ορισμένα προξενούν ζημίες στον ίδιο τον υπολογιστή, ενώ άλλα χρησιμοποιούν τον υπολογιστή για να προσβάλουν άλλα στοιχεία του δικτύου. Ορισμένα προγράμματα (που αποκαλούνται "λογικές βόμβες") παραμένουν ανενεργά μέχρις ότου αρχίσουν να λειτουργούν με την επέλευση ορισμένου γεγονότος όπως είναι συγκεκριμένη προθεσμία και προκαλούν σημαντικές ζημίες μεταβάλλοντας ή καταστρέφοντας δεδομένα. Άλλα προγράμματα φαίνονται ανώδυνα, αλλά όταν τίθενται σε λειτουργία, προκαλούν δόλια επίθεση (για το λόγο αυτό αποκαλούνται "Δούρειος ίππος"). Μια άλλη εκδοχή προγράμματος (που αναφέρεται συχνά ως "λογισμικό σκουλήκι") δεν μολύνει άλλα προγράμματα όπως ο ιός αλλά αυτοαναπαράγεται σε πολλά αντίτυπα που καταλήγουν να κατακλύζουν το σύστημα. (δ) Υποκλοπή επικοινωνιών. Η δόλια υποκλοπή επικοινωνιών θέτει σε κίνδυνο τις αξιώσεις εμπιστευτικότητας και ακεραιότητας των χρηστών. Συχνά αποκαλείται "sniffing". (ε) Παραπλανητικές/ψευδείς δηλώσεις: Τα συστήματα πληροφοριών παρέχουν νέες δυνατότητες παραπλανητικών δηλώσεων και απάτης. Η χρησιμοποίηση της ταυτότητας άλλου προσώπου στο διαδίκτυο και η χρήση της για δόλιους σκοπούς καλείται "spoofing". 1.2. Ο χαρακτήρας του κινδύνου Υπάρχει έκδηλη ανάγκη να συγκεντρωθούν αξιόπιστες πληροφορίες για την έκταση και τον χαρακτήρα των επιθέσεων κατά των συστημάτων πληροφοριών. Ορισμένες από τις πλέον σοβαρές επιθέσεις που διαπράττονται κατά των συστημάτων πληροφοριών στρέφονται κατά φορέων ηλεκτρονικών δικτύων επικοινωνιών και παρόχων υπηρεσιών ή κατά εταιριών ηλεκτρονικού εμπορίου. Πιο παραδοσιακοί τομείς μπορούν εξίσου να θιγούν σοβαρά λόγω του ολοένα και πιο σημαντικού επιπέδου διασύνδεσης που παρατηρείται στο σύγχρονο περιβάλλον των επικοινωνιών: οι βιομηχανικοί κλάδοι, οι υπηρεσίες, τα νοσοκομεία, άλλοι οργανισμοί του δημόσιου τομέα και οι κυβερνήσεις. Εντούτοις, τα θύματα των επιθέσεων δεν είναι μόνον οργανισμοί. οι επιθέσεις μπορούν επίσης να προξενούν άμεσες και σοβαρές ζημίες σε ιδιώτες. Το οικονομικό βάρος που συνεπάγονται ορισμένες από αυτές τις επιθέσεις για τους δημόσιους οργανισμούς, τις εταιρείες και τους ιδιώτες είναι σημαντικό και απειλεί να καταστήσει τα συστήματα πληροφοριών πιο δαπανηρά και ασύμφορα για τους χρήστες. Τα είδη επιθέσεων που περιγράφονται ανωτέρω πραγματοποιούνται συχνά από άτομα που δρουν για λογαριασμό τους, ενίοτε από ανηλίκους που ενδεχομένως δεν έχουν επίγνωση της σοβαρότητας των πράξεών τους. Εντούτοις, το επίπεδο πολυπλοκότητας και οι φιλοδοξίες των επιθέσεων μπορούν να αυξηθούν. Υπάρχει ολοένα και μεγαλύτερος φόβος ότι οργανωμένες εγκληματικές ομάδες μπορούν να χρησιμοποιήσουν τα δίκτυα επικοινωνίας για να εξαπολύσουν επιθέσεις κατά των συστημάτων πληροφοριών για την εξυπηρέτηση των δικών τους σκοπών. Οι οργανωμένες ομάδες πειρατείας που είναι εξειδικευμένες στην πειρατεία και στην καταστροφή ιστοσελίδων του διαδικτύου δρουν ολοένα και περισσότερο σε παγκόσμιο επίπεδο. Πρόκειται, για παράδειγμα, για τους Brazilian Silver Lords και την Pakistan Gforce, που επιχειρούν να εκμαιεύσουν χρήματα από τα θύματά τους προτείνοντας εξειδικευμένη βοήθεια μετά την "πειρατεία" των συστημάτων τους πληροφοριών. Η σύλληψη σημαντικών ομάδων "hackers" οδηγεί στη σκέψη ότι το "hacking" μπορεί ολοένα και περισσότερο να αποτελέσει φαινόμενο οργανωμένου εγκλήματος. Πολύπλευρες και οργανωμένες επιθέσεις είχαν πρόσφατα σαν στόχο τα δικαιώματα πνευματικής ιδιοκτησίας και έγιναν απόπειρες εκμαίευσης σημαντικών ποσών από τραπεζικές υπηρεσίες [2]. [2] Σύμφωνα με έρευνα που δημοσιεύθηκε από την Communications Management Association (CMA), επιθέσεις υπό μορφή πειρατείας έχουν ήδη πραγματοποιηθεί κατά του ενός τρίτου των μεγάλων επιχειρήσεων και οργανισμών του δημόσιου τομέα του Ηνωμένου Βασιλείου, περιλαμβανομένων των κυβερνητικών υπηρεσιών, προκαλώντας ζημίες που ξεκινούν από την διείσδυση σε τραπεζικούς λογαριασμούς επιχειρήσεων μέχρι την υποκλοπή πληροφοριών. Βλ. την έρευνα στη διεύθυνση: http:/www.cma.org. Οι παραβιάσεις της ασφάλειας των εμπορικών βάσεων δεδομένων του ηλεκτρονικού εμπορίου στις οποίες παρέχεται πρόσβαση στις πληροφορίες του πελάτη, συμπεριλαμβανομένων των στοιχείων πιστωτικών καρτών, αποτελεί λόγο ανησυχίας. Αυτές οι επιθέσεις καταλήγουν σε αυξημένες ευκαιρίες απάτης όσον αφορά τις πληρωμές και σε κάθε περίπτωση εξαναγκάζουν την τραπεζική βιομηχανία να ακυρώνει και να επανεκδίδει χιλιάδες κάρτες. Μία περαιτέρω συνέπεια είναι η ανυπολόγιστη ζημία της υπόληψης του εμπόρου και ο κλονισμός της εμπιστοσύνης του καταναλωτή στο ηλεκτρονικό εμπόριο. Προληπτικά μέτρα, όπως ελάχιστες αξιώσεις ασφάλειας για online εμπόρους που δέχονται κάρτες πληρωμών, συζητούνται σύμφωνα με το πρόγραμμα δράσης για να αποτραπεί η απάτη και η πλαστογραφία στις πληρωμές με μέσα πλην των μετρητών [3]. [3] Ανακοίνωση της Επιτροπής "Πρόληψη της απάτης και της πλαστογραφίας όσον αφορά τα μέσα πληρωμής πλην των μετρητών", COM(2001) τελικό. Εγκρίθηκε από την Επιτροπή στις 9.2.2001. Η παρούσα πρόταση αποτελεί επίσης μέρος της συμβολής της Επιτροπής στην αντιμετώπιση της απειλής τρομοκρατικής επίθεσης κατά ζωτικών συστημάτων πληροφοριών στο εσωτερικό της Ευρωπαϊκής Ένωσης. Συμπληρώνει τις προτάσεις της Επιτροπής που αποβλέπουν να αντικαταστήσουν στο πλαίσιο της Ευρωπαϊκής Ένωσης τη διαδικασία έκδοσης με ένα ευρωπαϊκό ένταλμα σύλληψης [4] και να επιτύχουν την προσέγγιση των νομοθεσιών στον τομέα της τρομοκρατίας [5], για τα οποία επιτεύχθηκε πολιτική συμφωνία στο Ευρωπαϊκό Συμβούλιο του Laeken της 14/15ης Δεκεμβρίου 2001. Αυτά τα νομικά μέσα από κοινού θα κατοχυρώσουν ότι τα κράτη μέλη της Ευρωπαϊκής Ένωσης διαθέτουν αποτελεσματική ποινική νομοθεσία για την καταπολέμηση της τρομοκρατίας στον κυβερνοχώρο και θα ενισχύσουν τη διεθνή συνεργασία κατά της τρομοκρατίας. [4] Πρόταση απόφασης πλαισίου του Συμβουλίου σχετικά με το ευρωπαϊκό ένταλμα σύλληψης. COM(2001) 522 τελικό. Εγκρίθηκε από την Επιτροπή στις 19.9.2001. [5] Πρόταση απόφασης πλαισίου του Συμβουλίου σχετικά με την καταπολέμηση της τρομοκρατίας COM(2001) 521 τελικό. Εγκρίθηκε από την Επιτροπή στις 19.9.2001. Η παρούσα πρόταση δεν καλύπτει μόνο τις πράξεις που έχουν σαν στόχο τα κράτη μέλη. Εφαρμόζεται επίσης σε συμπεριφορές στην επικράτεια της Ευρωπαϊκής Ένωσης οι οποίες στρέφονται κατά των συστημάτων πληροφοριών στην επικράτεια τρίτων χωρών. Αυτό αντικατοπτρίζει τη δέσμευση που έχει αναληφθεί από την Επιτροπή να καταπολεμήσει τις επιθέσεις κατά των συστημάτων πληροφοριών τόσο στο επίπεδο της Ευρωπαϊκής Ένωσης όσο και σε παγκόσμιο επίπεδο. Πράγματι, υπήρξαν πρόσφατα πολλές περιπτώσεις κατά τις οποίες οι εντάσεις στις διεθνείς σχέσεις οδήγησαν σε έξαρση των επιθέσεων κατά των συστημάτων πληροφοριών, οι οποίες συχνά περιελάμβαναν επιθέσεις κατά θέσεων του Ιστού. Πιο σοβαρές επιθέσεις μπορούν όχι μόνο να έχουν σοβαρές οικονομικές επιπτώσεις αλλά, σε ορισμένες περιπτώσεις, μπορούν επίσης να προκαλέσουν την απώλεια ανθρώπινων ζωών (νοσοκομειακά συστήματα, συστήματα ελέγχου της εναέριας κυκλοφορίας). Η σημασία την οποία προσδίδουν τα κράτη μέλη καταδεικνύεται από την προτεραιότητα που χορηγείται στις διάφορες πρωτοβουλίες προστασίας των ζωτικής σημασίας υποδομών. Για παράδειγμα, το κοινοτικό πρόγραμμα για την τεχνολογία της κοινωνίας της πληροφορίας (IST) [6] δημιούργησε, σε συνεργασία με το αμερικανικό υπουργείο εξωτερικών υποθέσεων, μια κοινή Task Force ΕE/ΗΠΑ για την προστασία των ζωτικής σημασίας υποδομών. [7] [6] Το πρόγραμμα IST διευθύνεται από την Ευρωπαϊκή Επιτροπή. Αποτελεί τμήμα του πέμπτου προγράμματος πλαισίου που καλύπτει την περίοδο 1998-2002. Για περισσότερες πληροφορίες, βλ. http://www.cordis.lu/ist. [7] Υπό την αιγίδα της κοινής συμβουλευτικής ομάδας που δημιουργήθηκε βάσει της συμφωνίας επιστημονικής και τεχνολογικής συνεργασίας μεταξύ Ευρωπαϊκής Κοινότητας και ΗΠΑ. 1.3. Η ανάγκη ορθών πληροφοριών και στατιστικών Υπάρχουν ελάχιστες αξιόπιστες στατιστικές για την πραγματική έκταση του φαινομένου του εγκλήματος πληροφορικής. Ο αριθμός των εισβολών που έχουν διαπιστωθεί και αναφερθεί μέχρι σήμερα δεν παρέχει εμφανώς ακριβή ιδέα για την έκταση του προβλήματος. Σύμφωνα με μια αμερικανική έρευνα [8], το 1999 μόνο το 32% των επιχειρήσεων που απήντησαν και υπήρξαν θύματα εισβολέων κατά τη διάρκεια του προηγούμενου έτους το κατήγγειλαν στην αστυνομία. Βεβαίως, επρόκειτο για βελτίωση σε σχέση με τα προηγούμενα έτη κατά τη διάρκεια των οποίων μόνο το 17% των σχετικών επιχειρήσεων προσέφυγαν στην αστυνομία. Αυτή η σιωπή δικαιολογείται από διάφορους λόγους. Δεδομένης της περιορισμένης γνώσης και εμπειρίας των διαχειριστών συστημάτων και των χρηστών, πολλές εισβολές δεν έχουν διαπιστωθεί. Επιπλέον, πολλές επιχειρήσεις δεν είναι διατεθειμένες να καταγγείλουν περιπτώσεις καταχρήσεων στο δίκτυο, προκειμένου να αποφύγουν την δυσφήμισή τους και να μην εκτεθούν στον κίνδυνο νέων επιθέσεων. Οι αστυνομικές υπηρεσίες, στην μεγάλη πλειοψηφία τους, δεν διαθέτουν ακόμη στατιστικές για τις χρήσεις υπολογιστών και συστημάτων επικοινωνίας στη διάπραξη αδικημάτων αυτού του είδους και άλλων μορφών εγκλήματος [9]. Οι αρχές που είναι αρμόδιες για την επιβολή του νόμου δεν διαθέτουν την κατάλληλη κατάρτιση για να ανακαλύπτουν και εντοπίζουν τα εγκλήματα πληροφορικής και να διεξάγουν έρευνες σχετικά με αυτά. Εντούτοις, η Ευρωπαϊκή Ένωση άρχισε να εξετάζει αυτό το ζήτημα συγκεντρώνοντας αριθμητικά στοιχεία σχετικά με τις επιθέσεις που διαπράττονται κατά των συστημάτων πληροφοριών. Σε ένα κράτος μέλος υπολογίστηκε ότι διαπράχθηκαν μεταξύ 30.000 και 40.000 επιθέσεων κατά των συστημάτων πληροφοριών το 1999, ενώ καταχωρήθηκαν μόνο 105 επίσημες καταγγελίες στο συγκεκριμένο τομέα. Το 1999, επτά κράτη μέλη καταχώρησαν συνολικά μόνο 1844 επίσημες καταγγελίες αδικημάτων που διαπράχθηκαν κατά των συστημάτων πληροφοριών και των ηλεκτρονικών δεδομένων. Αυτό αντιπροσωπεύει εντούτοις το διπλάσιο του αριθμού αδικημάτων που καταγγέλθηκαν το 1998, όπου μόνο 972 περιπτώσεις καταχωρήθηκαν επισήμως σε αυτά τα επτά κράτη μέλη [10]. [8] Tο Computer Security Institute (CSI) και το Federal Bureau of Investigation (FBI) δημοσιεύουν στην αρχή κάθε έτους έκθεση με τον τίτλο "Computer Crime and Security Survey". Βλ. ιστοσελίδα του CSI και άλλες πληροφορίες σχετικά με τη μελέτη στη διεύθυνση www. gocsi.com [9] Το ιταλικό υπουργείο Εσωτερικών δημοσίευσε πρόσφατα στατιστικές για τις λειτουργικές δραστηριότητές του στον τομέα του εγκλήματος πληροφοριών το 1999 και 2000 (βλ. διεύθυνση http://www.mininterno.it/dip_ps/dcpsffp/index.htm). Το 2000, 98 περιπτώσεις "hacking" διαπιστώθηκαν επισήμως, δηλαδή 4 φορές περισσότερες από το 1999, όπου είχαν καταχωρηθεί επισήμως μόνο 21 περιπτώσεις. [10] ´Εγγραφο του Συμβουλίου 8123/01 ENFOPOL 38. Διατίθεται στην ιστοσελίδα του Συμβουλίου http://db.consilium.eu.int/jai Επιπλέον, πρόσφατη έρευνα [11] κατέδειξε ότι το 13% των επιχειρήσεων που υπέπεσαν θύματα οικονομικού εγκλήματος προσδιόρισαν ότι ένα από τα αδικήματα που υπέστησαν ανήκει στην κατηγορία του εγκλήματος πληροφορικής. Αυτή η έρευνα αποκαλύπτει επίσης την αυξημένη ανησυχία σε σχέση με το έγκλημα πληροφορικής, δεδομένου ότι το 43% των απαντήσεων θεωρεί ότι το έγκλημα πληροφορικής συνιστά μελλοντικό κίνδυνο. Μια άλλη μελέτη κατέληξε στο συμπέρασμα ότι οι hackers και οι ιοί αποτελούν την κύρια απειλή διάπραξης εγκλήματος πληροφορικής για τους οργανισμούς, με κύριους δράστες hackers (45%), πρώην υπαλλήλους (13%), οργανωμένο έγκλημα (13%) και τωρινούς υπαλλήλους (11%) [12]. Αυτά τα στοιχεία πρέπει να αναμένεται ότι θα συνεχίσουν να αυξάνονται παράλληλα με την αυξημένη χρήση των συστημάτων πληροφοριών και την αυξημένη διασύνδεση και παράλληλα με τη μεγαλύτερη προθυμία καταγγελίας των επιθέσεων. Εντούτοις, είναι σαφές ότι πρέπει να ληφθούν επείγοντα μέτρα με σκοπό να δημιουργηθεί ένα στατιστικό εργαλείο που να μπορεί να χρησιμοποιηθεί σε όλα τα κράτη μέλη κατά τρόπο ώστε να μπορεί να αξιολογηθεί από ποσοτική και ποιοτική άποψη το έγκλημα πληροφορικής στην Ευρωπαϊκή Ένωση. Το σημείο εκκίνησης μιας τέτοιας ανάλυσης είναι ο κοινός ορισμός στο επίπεδο της Ευρωπαϊκής Ένωσης των αδικημάτων που περιλαμβάνουν επιθέσεις κατά των συστημάτων πληροφοριών. [11] Εuropean Economic Crime Survey 2001, PricewaterhouseCoopers 2001 ( http://www.pwcglobal.com ) [12] The Cybercrime Survey 2001, Confederation of British Industry (see http://www.cbi.org.uk ) 1.4. Πολιτικό πλαίσιο στην Ευρωπαϊκή Ένωση Στο συγκεκριμένο πλαίσιο, κατά το Ευρωπαϊκό Συμβούλιο της Λισσαβόνας το Μάρτιο 2000, το Ευρωπαϊκό Συμβούλιο τόνισε τη σημασία που έχει η μετάβαση προς μια ανταγωνιστική, δυναμική και βασιζόμενη στη γνώση οικονομία και κάλεσε το Συμβούλιο και την Επιτροπή να εκπονήσουν ολοκληρωμένο πρόγραμμα δράσης για μια ηλεκτρονική Ευρώπη (eEurope Action Plan) προκειμένου να αξιοποιηθεί στο μέγιστο αυτή η ευκαιρία. [13] Το πρόγραμμα δράσης που εκπονήθηκε από την Επιτροπή και το Συμβούλιο και εγκρίθηκε από το Ευρωπαϊκό Συμβούλιο της Φέιρα τον Ιούνιο 2000, περιλαμβάνει ενέργειες που αποβλέπουν στην ενίσχυση της ασφάλειας των δικτύων και προβλέπει την ανάπτυξη συντονισμένης και συνεκτικής προσέγγισης όσον αφορά το έγκλημα πληροφορικής μέχρι τα τέλη του 2002. [13] Συμπεράσματα της προεδρίας, Ευρωπαϊκό Συμβούλιο της Λισσαβόνας της 23ης και 24ης Μαρτίου 2000, διαθέσιμα στην ιστοσελίδα Ως μέρος της συμβολής της σε αυτή την εντολή σχετικά με το έγκλημα στον κυβερνοχώρο, η Επιτροπή δημοσίευσε ανακοίνωση με τον τίτλο "Δημιουργία ασφαλέστερης κοινωνίας της πληροφορίας με την ενίσχυση της ασφάλειας των υποδομών πληροφόρησης και την καταπολέμηση του εγκλήματος πληροφορικής" [14]. Προτείνει εξισορροπημένη προσέγγιση για να αντιμετωπισθούν τα προβλήματα της εγκληματικότητας στον κυβερνοχώρο λαμβάνοντας πλήρως υπόψη τη γνώμη όλων των ενδιαφερομένων μερών, συμπεριλαμβανομένων των υπηρεσιών επιβολής του νόμου, φορέων παροχής πρόσβασης, φορέων εκμετάλλευσης δικτύων, άλλων βιομηχανικών ομάδων, ενώσεων καταναλωτών, αρχών επιφορτισμένων με την προστασία των δεδομένων και ενώσεων για την προστασία της ιδιωτικής ζωής. Η ανακοίνωση προτείνει ορισμένες νομοθετικές και μη νομοθετικές πρωτοβουλίες. [14] COM (2000) 890 τελικό Ένα σημαντικό παράδειγμα συνεχιζόμενης δράσης υπάρχει στο πλαίσιο του Προγράμματος ΙDA, όπου τα κράτη μέλη και η Επιτροπή εργάζονται ήδη για μια κοινή πολιτική ασφάλειας και εφαρμόζουν ένα ασφαλές δίκτυο για την ανταλλαγή διοικητικών πληροφοριών. Ένα από τα θέματα κλειδιά που εξετάζονται από την ανακοίνωση είναι η ανάγκη αποτελεσματικής δράσης για την αντιμετώπιση απειλών κατά της αξιοπιστίας, της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των συστημάτων και δικτύων πληροφοριών. Έχουν γίνει ήδη σημαντικά επιτεύγματα στον τομέα του κοινοτικού δικαίου. Έχουν ήδη θεσπισθεί πολλά νομοθετικά μέτρα σε κοινοτικό επίπεδο τα οποία έχουν ειδικές επιπτώσεις στην ασφάλεια των δικτύων και πληροφοριών. Η απόφαση πλαίσιο συμπληρώνει αυτά που έχουν ήδη επιτευχθεί στον τομέα του κοινοτικού δικαίου για την προστασία των συστημάτων πληροφοριών, όπως η οδηγία 95/46/ΕΚ, η οδηγία 97/66/ΕΚ και η οδηγία 95/84/ΕΚ για τη νομική προστασία των υπηρεσιών που βασίζονται ή συνίστανται στην παροχή πρόσβασης υπό όρους. Ειδικότερα, το ευρωπαϊκό πλαίσιο τηλεπικοινωνιών και προστασίας των δεδομένων (οδηγίες 95/46/EΚ και 97/66/EΚ [15]) περιλαμβάνει διατάξεις οι οποίες επιδιώκουν να εξασφαλίσουν ότι οι φορείς παροχής υπηρεσιών τηλεπικοινωνιών που διατίθενται στο κοινό είναι υποχρεωμένοι να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίζουν την ασφάλεια και την εμπιστευτικότητα των υπηρεσιών τους και ότι αυτά τα μέτρα οφείλουν να κατοχυρώνουν επίπεδο ασφάλειας αντίστοιχο προς τον κίνδυνο που διατρέχεται. [15] ΕΕ L. 281, της 23.11.1995, σ. 0031-0050, ΕΕ L. 024, της 30-01-1998, σ. 0001-0008 Η πρόληψη και η εκπαίδευση αποτελούν τους πλέον σημαντικούς και αποτελεσματικούς τρόπους για την αντιμετώπιση αυτών των προβλημάτων. Η ανακοίνωση τονίζει τη σημασία της ύπαρξης, ανάπτυξης και αποτελεσματικής χρήσης τεχνολογιών πρόληψης. Τονίζει ότι είναι απαραίτητο να ευαισθητοποιηθεί το κοινό στους κινδύνους που δημιουργούνται από το έγκλημα πληροφορικής, να προωθηθούν οι βέλτιστες πρακτικές όσον αφορά την ασφάλεια των τεχνολογιών πληροφόρησης, να προσδιοριστούν αποτελεσματικά μέσα και διαδικασίες για να καταπολεμηθεί το έγκλημα πληροφορικής, καθώς επίσης να ενθαρρυνθούν τα επιτεύγματα στον τομέα των μηχανισμών έγκαιρης προειδοποίησης και διαχείρισης κρίσεων. Το κοινοτικό πρόγραμμα τεχνολογιών της κοινωνίας των πληροφοριών (ΤΚΠ) [16] παρέχει το πλαίσιο για την ανάπτυξη των απαραίτητων ικανοτήτων και τεχνικών για την κατανόηση και επισήμανση των προκλήσεων που αρχίζει να θέτει το έγκλημα πληροφορικής. [16] Το πρόγραμμα IST διευθύνεται από την Ευρωπαϊκή Επιτροπή. Αποτελεί τμήμα του πέμπτου προγράμματος πλαισίου, το οποίο διαρκεί από το 1998 έως το 2002. Περισσότερες πληροφορίες στη διεύθυνση http://www.cordis.lu/ist. Πιο πρόσφατα, το Ευρωπαϊκό Συμβούλιο της Στοκχόλμης της 23ης και 24ης Μαρτίου αναγνώρισε την ανάγκη συμπληρωματικών ενεργειών στον τομέα της ασφάλειας των δικτύων και πληροφοριών και κατέληξε στο συμπέρασμα ότι "το Συμβούλιο από κοινού με την Επιτροπή θα θέσει σε εφαρμογή εκτεταμένη στρατηγική στον τομέα της ασφάλειας των ηλεκτρονικών δικτύων, προβλέποντας μέτρα πρακτικής εφαρμογής. Αυτή η στρατηγική θα πρέπει να είναι εγκαίρως έτοιμη για το Ευρωπαϊκό Συμβούλιο του Γκέτεμποργκ". Η Επιτροπή ανταποκρίθηκε σε αυτό το κάλεσμα με την ανακοίνωση "Ασφάλεια των δικτύων και των πληροφοριών - πρόταση ευρωπαϊκής πολιτικής" [17]. Αυτή η ανακοίνωση αναλύει τα τρέχοντα προβλήματα όσον αφορά την ασφάλεια των δικτύων και καθορίζει ένα στρατηγικό πλαίσιο δράσης στο συγκεκριμένο τομέα. Στη συνέχεια ακολούθησε ψήφισμα του Συμβουλίου της 6ης Δεκεμβρίου 2001 για κοινή προσέγγιση και ειδικές δράσεις στον τομέα της ασφάλειας δικτύων και πληροφοριών. [17] COM(2001) 298 τελικό, 6 Ιουνίου 2001. Αυτές οι πρωτοβουλίες δεν αρκούν από μόνες τους για να δοθούν όλες οι απαραίτητες απαντήσεις σε σοβαρές επιθέσεις κατά των συστημάτων πληροφοριών. Οι δύο ανακοινώσεις της Επιτροπής αναγνωρίζουν επίσης ότι επείγει να εναρμονισθεί στο εσωτερικό της Ευρωπαϊκής Ένωσης το ποινικό δίκαιο που αφορά τις επιθέσεις κατά των συστημάτων πληροφοριών. Αυτό αντικατοπτρίζει τα συμπεράσματα του Ευρωπαϊκού Συμβουλίου του Τάμπερε του Οκτωβρίου 1999 [18], το οποίο ενέγραψε το έγκλημα που χρησιμοποιεί προηγμένες τεχνολογίες σε περιοριστικό κατάλογο τομέων στους οποίους πρέπει να καταβληθούν προσπάθειες για να επιτευχθεί συμφωνία όσον αφορά κοινούς ορισμούς, ποινικούς χαρακτηρισμούς και κυρώσεις και περιλαμβάνεται επίσης στη σύσταση αριθ. 7 της στρατηγικής της Ευρωπαϊκής Ένωσης για την πρόληψη και την καταστολή του οργανωμένου εγκλήματος για την επόμενη χιλιετία, που εγκρίθηκε από το Συμβούλιο ΔΕΥ το Μάρτιο του 2000. [19] Η παρούσα πρόταση απόφασης πλαισίου αποτελεί εξίσου μέρος του προγράμματος εργασίας της Επιτροπής για το έτος 2001 [20] και του πίνακα αποτελεσμάτων για την εξέταση της προόδου που υλοποιήθηκε με σκοπό τη δημιουργία χώρου ελευθερίας, ασφάλειας και δικαιοσύνης, που υποβλήθηκε από την Επιτροπή στις 30 Οκτωβρίου 2001 [21]. [18] http://db.consilium.eu.int/en/Info/eurocouncil/index.htm. [19] Πρόληψη και έλεγχος του οργανωμένου εγκλήματος: στρατηγική της Ευρωπαϊκής Ένωσης για την αρχή της νέας χιλιετίας (ΕΕ 2000 C124, 3.5.2000). [20] http://europa.eu.int/comm/off/work_programme/index_en.htm [21] http://europa.eu.int/comm/dgs/justice_home. COM(2001) 628 τελικό, 30.10.2001. 1.5. Η ανάγκη προσέγγισης του ποινικού δικαίου των κρατών μελών Στο συγκεκριμένο τομέα, το ποινικό δίκαιο των κρατών μελών παρουσιάζει νομικά κενά και σημαντικές διαφορές που μπορούν να παρεμποδίσουν την καταπολέμηση του οργανωμένου εγκλήματος και της τρομοκρατίας, καθώς και των σοβαρών επιθέσεων κατά των συστημάτων πληροφοριών που διαπράττονται από ιδιώτες. Η προσέγγιση των ποινικών δικαίων στον τομέα του εγκλήματος που χρησιμοποιεί τις προηγμένες τεχνολογίες θα κατοχυρώσει ότι οι εθνικές νομοθεσίες είναι επαρκώς εκτενείς ώστε όλες οι μορφές σοβαρών επιθέσεων κατά των συστημάτων πληροφοριών να μπορούν να αποτελούν το αντικείμενο ποινικών ερευνών χρησιμοποιώντας τις τεχνικές και τις μεθόδους που υπάρχουν στο ποινικό δίκαιο. Οι δράστες αυτών των αδικημάτων πρέπει να εντοπίζονται, να παραπέμπονται στη δικαιοσύνη και τα δικαστήρια πρέπει να διαθέτουν κατάλληλες και ανάλογες κυρώσεις. Αυτό θα αποτελέσει ισχυρό αποτρεπτικό μήνυμα για τους ενδεχόμενους δράστες επιθέσεων κατά των συστημάτων πληροφοριών. Εξάλλου, τα νομικά κενά και οι διαφορές μπορούν να εμποδίσουν την αποτελεσματική αστυνομική και δικαστική συνεργασία στις περιπτώσεις επιθέσεων κατά των συστημάτων πληροφοριών. Οι επιθέσεις κατά των συστημάτων πληροφοριών υπερβαίνουν συχνά από το χαρακτήρα τους τα εθνικά σύνορα και απαιτούν διεθνή αστυνομική και δικαστική συνεργασία. Η προσέγγιση των νομοθεσιών θα βελτιώσει αυτή τη συνεργασία εξασφαλίζοντας την εκπλήρωση της αξίωσης του διπλού αξιοποίνου (σύμφωνα με την οποία μια δραστηριότητα πρέπει να αποτελεί αδίκημα και στις δύο σχετικές χώρες έτσι ώστε αυτές να μπορούν να παρέχουν αμοιβαία δικαστική συνδρομή στο πλαίσιο ποινικής έρευνας). Θα είναι χρήσιμη στα κράτη μέλη της ΕΕ για να μπορούν να συνεργάζονται μεταξύ τους, καθώς και για την ενίσχυση της συνεργασίας μεταξύ των κρατών μελών της ΕΕ και των τρίτων χωρών (εφόσον έχει συναφθεί η απαραίτητη συμφωνία αμοιβαίας δικαστικής συνδρομής). Υπάρχει επίσης ανάγκη να εφαρμοσθούν τα νομικά μέσα που υπάρχουν στο επίπεδο της Ευρωπαϊκής Ένωσης. Η απόφαση πλαίσιο για το ευρωπαϊκό ένταλμα σύλληψης [22], το παράρτημα της σύμβασης Ευρωπόλ [23] και η απόφαση του Συμβουλίου για τη δημιουργία του Eurojust [24] περιλαμβάνουν αναφορές στο έγκλημα πληροφορικής που πρέπει να προσδιορισθεί επακριβέστερα. Για τους σκοπούς αυτών των μέσων, το έγκλημα πληροφορικής θεωρείται ότι περιλαμβάνει επιθέσεις κατά των συστημάτων πληροφοριών όπως ορίζεται στην παρούσα απόφαση πλαίσιο, η οποία θα εξασφαλίσει ένα πολύ μεγαλύτερο επίπεδο προσέγγισης των στοιχείων αυτών των αδικημάτων. Η παρούσα απόφαση πλαίσιο συμπληρώνει επίσης την απόφαση πλαίσιο για την καταπολέμηση της τρομοκρατίας [25], η οποία καλύπτει τρομοκρατικές ενέργειες που προκαλούν εκτεταμένη καταστροφή υποδομών, συμπεριλαμβανομένων των συστημάτων πληροφοριών, θέτουν σε κίνδυνο ανθρώπινες ζωές ή προξενούν σημαντικές οικονομικές ζημίες. [22] ΕΕ C ... σ. [23] Πράξη του Συμβουλίου της 26ης Ιουλίου 1995 για την κατάρτιση της σύμβασης για την ίδρυση Ευρωπαϊκής Αστυνομικής Υπηρεσίας (Σύμβαση Ευρωπόλ) [24] ΕΕ C ... σ. [25] ΕΕ C ... σ. 1.6. Πεδίο εφαρμογής και αντικείμενο της απόφασης πλαισίου Στόχος της παρούσας απόφασης πλαισίου του Συμβουλίου είναι ως εκ τούτου η προσέγγιση του ποινικού δικαίου των κρατών μελών όσον αφορά τις επιθέσεις κατά των συστημάτων πληροφοριών και η εξασφάλιση της καλύτερης δυνατής αστυνομικής και δικαστικής συνεργασίας όσον αφορά τα ποινικά αδικήματα που συνίστανται σε επιθέσεις που κατά των συστημάτων πληροφοριών. Επιπλέον, η παρούσα πρόταση συμβάλλει στις προσπάθειες της Ευρωπαϊκής Ένωσης για την καταπολέμηση του οργανωμένου εγκλήματος και της τρομοκρατίας. Δεν αποτελεί στόχο της να αξιώσει από τα κράτη μέλη να ποινικοποιήσουν ασήμαντες ή κοινότοπες συμπεριφορές. Προκύπτει σαφώς από το άρθρο 47 της συνθήκης για την Ευρωπαϊκή Ένωση ότι η παρούσα απόφαση πλαίσιο δεν θίγει το κοινοτικό δίκαιο. Ιδιαίτερα, δεν επηρεάζει τα δικαιώματα προστασίας της ιδιωτικής ζωής ή προστασίας των δεδομένων και τις υποχρεώσεις που προβλέπονται από το κοινοτικό δίκαιο (οδηγίες 95/46 και 97/66, για παράδειγμα). Δεν αξιώνεται από τα κράτη μέλη να ποινικοποιήσουν παραβάσεις των κανόνων που αφορούν την πρόσβαση σε προσωπικά δεδομένα ή την αποκάλυψη προσωπικών δεδομένων, το απόρρητο των επικοινωνιών, την ασφάλεια επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, τις ηλεκτρονικές υπογραφές [26] ή τις παραβιάσεις δικαιωμάτων πνευματικής ιδιοκτησίας και τελεί υπό την επιφύλαξη της οδηγίας 98/84/ΕΚ για τη νομική προστασία των υπηρεσιών που βασίζονται ή συνίστανται στην παροχή πρόσβασης υπό όρους [27]. Αυτά είναι σημαντικά ζητήματα, τα οποία όμως καλύπτονται από το ισχύον κοινοτικό δίκαιο. Οποιαδήποτε προσέγγιση του ποινικού δικαίου στους συγκεκριμένους τομείς για την επίτευξη κοινοτικών νομοθετικών στόχων, όπως η προστασία δεδομένων προσωπικού χαρακτήρα, η αμοιβή των φορέων παροχής υπηρεσιών που χρησιμοποιούν πρόσβαση υπό όρους ή η πνευματική ιδιοκτησία, πρέπει κατά συνέπεια να εξετάζεται στο πλαίσιο του κοινοτικού δικαίου και όχι σε αυτό του τίτλου VI της ΣΕΕ. Κατά συνέπεια, η παρούσα απόφαση πλαίσιο καλύπτει μόνο τις συμπεριφορές που περιγράφονται στα σημεία α) έως γ) του τμήματος 1.1. [26] Οδηγία 1999/93/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, για ένα κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές, ΕΕ L. 13 της 19.01.2000 [27] ΕΕ L 320, 28.11.1998, σ. 54-57 Οι νομοθετικές διατάξεις στο επίπεδο της Ευρωπαϊκής Ένωσης πρέπει εξίσου να λαμβάνουν υπόψη την κατάσταση σε άλλα ευρωπαϊκά φόρα. Όσον αφορά την προσέγγιση του ποινικού δικαίου στον τομέα των επιθέσεων κατά των συστημάτων πληροφοριών, το προβάδισμα έχει το Συμβούλιο της Ευρώπης. Το Συμβούλιο της Ευρώπης έχει ξεκινήσει να προετοιμάζει μια διεθνή σύμβαση για το έγκλημα πληροφορικής ήδη από το Φεβρουάριο 1997, και η Σύμβαση εγκρίθηκε και κατατέθηκε για υπογραφή το Νοέμβριο 2001 [28]. Η σύμβαση επιδιώκει να προσεγγίσει σειρά ποινικών αδικημάτων, συμπεριλαμβανομένων των αδικημάτων κατά του απορρήτου, της ακεραιότητας και της διαθεσιμότητας των συστημάτων και δεδομένων ηλεκτρονικών υπολογιστών. Η παρούσα απόφαση πλαίσιο τηρεί την προσέγγιση που υιοθετείται στη σύμβαση του Συμβουλίου της Ευρώπης για αυτά τα αδικήματα. [28] Το κείμενο βρίσκεται στο διαδίκτυο, σε δύο γλώσσες, στα γαλλικά : http://conventions.coe.int/treaty/fr/projets/cybercrime.htm. Κατά τις συζητήσεις της ομάδας G8 σχετικά με το έγκλημα που συνδέεται με προηγμένες τεχνολογίες, προσδιορίστηκαν δύο κύριες κατηγορίες απειλών. Πρώτον, απειλές που στρέφονται κατά των υποδομών πληροφορικής και αφορούν ενέργειες αποδιοργάνωσης, αλλοίωσης ή καταστροφής πληροφοριών που βρίσκονται σε ηλεκτρονικούς υπολογιστές και δίκτυα ηλεκτρονικών υπολογιστών ή των ίδιων των υπολογιστών και δικτύων. Δεύτερον, απειλές με τη βοήθεια υπολογιστών, συγκεκριμένα δόλιες δραστηριότητες, όπως απάτες, ξέπλυμα χρήματος, παιδική πορνογραφία, παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας και κυκλοφορία ναρκωτικών, που διευκολύνονται με τη χρήση υπολογιστή. Η παρούσα πρόταση ασχολείται με την πρώτη κατηγορία απειλών. Η προσέγγιση στο επίπεδο της ΕΕ πρέπει να λαμβάνει υπόψη την κατάσταση στα διεθνή φόρα και να είναι σύμφωνη με τις ισχύουσες κοινοτικές πολιτικές. Η παρούσα πρόταση επιδιώκει επίσης να επιτύχει μεγαλύτερη προσέγγιση στο εσωτερικό της ΕΕ απ' ότι κατέστη δυνατό σε άλλα διεθνή φόρα. 2. ΝΟΜΙΚΗ ΒΑΣΗ Ο στόχος που συνίσταται στη δημιουργία χώρου ελευθερίας, ασφάλειας και δικαιοσύνης πρέπει να υλοποιηθεί με την πρόληψη και την καταπολέμηση του εγκλήματος, οργανωμένου ή μη, περιλαμβανομένης της τρομοκρατίας, με πιο στενή συνεργασία μεταξύ των υπηρεσιών επιβολής του νόμου και των δικαστικών αρχών των κρατών μελών και με την προσέγγιση των ποινικών διατάξεων στα κράτη μέλη. Η παρούσα πρόταση απόφασης πλαισίου επιδιώκει κατά συνέπεια την προσέγγιση των νομοθετικών και κανονιστικών διατάξεων των κρατών μελών που αφορούν την αστυνομική και δικαστική συνεργασία στον ποινικό τομέα. Προβλέπει "ελάχιστους κανόνες σχετικά με την αντικειμενική υπόσταση των εγκληματικών πράξεων", σε μεγάλο βαθμό στον τομέα του οργανωμένου εγκλήματος και της τρομοκρατίας. Επιδιώκει επίσης να "εξασφαλίσει το συμβιβάσιμο των κανόνων που ισχύουν στα κράτη μέλη" προκειμένου να διευκολύνει και να επιταχύνει τη συνεργασία μεταξύ των δικαστικών αρχών. Η νομική βάση που ορίζεται στο προοίμιο της πρότασης είναι συνεπώς το άρθρο 29, το άρθρο 30, στοιχείο α), και το άρθρο 34, παράγραφος 2, στοιχείο β), της συνθήκης για την Ευρωπαϊκή Ένωση. Η παρούσα πρόταση δεν θα έχει δημοσιονομικές επιπτώσεις στον προϋπολογισμό των Ευρωπαϊκών Κοινοτήτων. 3. Η ΑΠΟΦΑΣΗ ΠΛΑΙΣΙΟ : ΑΡΘΡΑ Άρθρο 1 - Πεδίο εφαρμογής και στόχος της απόφασης πλαισίου Αυτό το άρθρο ορίζει ρητά ότι η απόφαση πλαίσιο έχει σαν στόχο την προσέγγιση του ποινικού δικαίου των κρατών μελών στον τομέα των σοβαρών επιθέσεων κατά των συστημάτων πληροφοριών, κυρίως τη συμβολή στην καταπολέμηση του οργανωμένου εγκλήματος και της τρομοκρατίας και, πράττοντας τοιουτοτρόπως, την εξασφάλιση της μέγιστης δυνατής συνεργασίας στον τομέα των ποινικών αδικημάτων που έχουν σχέση με επιθέσεις κατά των συστημάτων πληροφοριών. Σύμφωνα με το άρθρο 47 της συνθήκης για την Ευρωπαϊκή Ένωση, η παρούσα απόφαση πλαίσιο δεν θίγει επίσης το κοινοτικό δίκαιο. Πρόκειται ειδικότερα για τα δικαιώματα προστασίας της ιδιωτικής ζωής και των δεδομένων και για τις υποχρεώσεις που προβλέπονται από τις οδηγίες 95/46 και 97/66. Η απόφαση πλαίσιο δεν προτίθεται να αξιώσει από τα κράτη μέλη να ποινικοποιήσουν παραβάσεις των κανόνων που αφορούν την πρόσβαση σε προσωπικά δεδομένα ή την αποκάλυψη προσωπικών δεδομένων, το απόρρητο επικοινωνιών, την ασφάλεια επεξεργασίας δεδομένων προσωπικού χαρακτήρα, τις ηλεκτρονικές υπογραφές [29] ή τις παραβιάσεις των δικαιωμάτων πνευματικής ιδιοκτησίας και τελεί υπό την επιφύλαξη της οδηγίας 98/84/ΕΚ για τη νομική προστασία των υπηρεσιών που βασίζονται ή συνίστανται στην παροχή πρόσβασης υπό όρους [30]. [29] Οδηγία 1999/93/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 13ης Δεκεμβρίου 1999 για ένα κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές, ΕΕ L . 13 της 19.01.2000 [30] ΕΕ L 320, 28.11.1998, σ. 54-57 Η παρούσα απόφαση πλαίσιο δεν αξιώνει από τα κράτη μέλη να ποινικοποιήσουν μικρότερης σημασίας ή κοινότοπες συμπεριφορές. Τα άρθρα 3 και 4 καθορίζουν τα κριτήρια που πρέπει να πληρούνται προκειμένου η πράξη να θεωρείται αξιόποινη. Αυτά τα κριτήρια τηρούν τις δυνατότητες παρέκκλισης και επιφύλαξης που προβλέπονται στο σχέδιο σύμβασης του Συμβουλίου της Ευρώπης σχετικά με το έγκλημα πληροφορικής. Όλα τα ποινικά αδικήματα που καλύπτονται από την απόφαση πλαίσιο πρέπει να πρέπει να έχουν διαπραχθεί εκ προθέσεως. Ο όρος "εκ προθέσεως" χρησιμοποιείται ρητά στα άρθρα 3, 4 και 5. Πρέπει να ερμηνευθεί σύμφωνα με τις κανονικές αρχές ποινικού δικαίου των κρατών μελών που διέπουν την πρόθεση. Τοιουτοτρόπως, η παρούσα απόφαση πλαίσιο δεν αξιώνει την ποινικοποίηση πράξεων όταν υπάρχει βαριά αμέλεια ή απερισκεψία αλλά όχι δόλος. Η πρόθεση παράνομης πρόσβασης ή παρεμβολής σε συστήματα πληροφοριών θα μπορούσε εν γένει να θεωρείται επαρκής χωρίς να χρειάζεται να αποδειχθεί ότι η εκ προθέσεως πράξη στρεφόταν κατά ειδικού συστήματος πληροφοριών. Άρθρο 2 - Ορισμοί Η προτεινόμενη απόφαση πλαίσιο του Συμβουλίου περιλαμβάνει τους ακόλουθους ορισμούς: (α) "Δίκτυο ηλεκτρονικών επικοινωνιών". Αυτός ο ορισμός είναι ο ίδιος με εκείνον που εγκρίθηκε από το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο στις 14 Φεβρουαρίου 2002 στην οδηγία σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες επικοινωνιών [31]. [31] Για το τελικό κείμενο βλέπε (β) "Ηλεκτρονικός υπολογιστής". Αυτός ο ορισμός βασίζεται στο άρθρο 1 του σχεδίου σύμβασης για το έγκλημα πληροφορικής του Συμβουλίου της Ευρώπης. Ο ορισμός καλύπτει εξίσου για παράδειγμα τους αυτόνομους προσωπικούς υπολογιστές, τις προσωπικές ηλεκτρονικές ατζέντες, τους ψηφιακούς αποκωδικοποιητές, τις προσωπικές συσκευές μαγνητοσκόπησης και τα κινητά τηλέφωνα (εφόσον π.χ. διαθέτουν λειτουργίες επεξεργασίας δεδομένων, π.χ. WAP και τρίτης γενεάς) τα οποία δεν καλύπτονταν μόνο από τον ορισμό των δικτύων ηλεκτρονικών επικοινωνιών. (γ) "Ηλεκτρονικά δεδομένα". Αυτός ο ορισμός βασίζεται στον ορισμό των δεδομένων του ISO [32]. Δεν προτίθεται να καλύψει ενσώματα αντικείμενα όπως βιβλία. Εντούτοις, καλύπτει ένα βιβλίο που είναι αποθηκευμένο υπό τη μορφή δεδομένων ηλεκτρονικού υπολογιστή (π.χ. αποθηκευμένο σε ηλεκτρονική μορφή ως δελτίο επεξεργασίας κειμένου) ή έχει μετατραπεί σε ηλεκτρονικά δεδομένα μέσω σάρωσης. Για το συγκεκριμένο λόγο, ο ορισμός καθιστά σαφές ότι τα ηλεκτρονικά δεδομένα χρειάζεται να έχουν "δημιουργηθεί υπό μορφή ή να έχουν λάβει μορφή" που να μπορεί να αποτελέσει το αντικείμενο επεξεργασίας συστήματος πληροφορικής ή να προκαλέσει λειτουργία συστήματος πληροφορικής. [32] Ο Διεθνής Οργανισμός Τυποποίησης (ISO) είναι παγκόσμια συνομοσπονδία εθνικών οργανισμών τυποποίησης στην οποία συμμετέχουν περίπου 100 χώρες. (δ) "Σύστημα πληροφοριών". Ο ορισμός των συστημάτων πληροφοριών έχει αρχικά ληφθεί από τον ορισμό που υιοθετήθηκε από τον ΟΟΣΑ το 1992 στις κατευθυντήριες για την ασφάλεια των συστημάτων πληροφοριών και από προηγούμενους ορισμούς που κάνουν αναφορά στα δίκτυα ηλεκτρονικών επικοινωνιών, στους ηλεκτρονικούς υπολογιστές και στα ηλεκτρονικά δεδομένα. Αυτοί οι όροι έχουν επίσης χρησιμοποιηθεί σε προηγούμενες πράξεις κοινοτικού δικαίου, όπως η απόφαση του Συμβουλίου, της 31ης Μαρτίου 1992, "στον τομέα της ασφάλειας των συστημάτων πληροφοριών" και της σύστασης του Συμβουλίου, της 7ης Απριλίου 1995, "για κοινά κριτήρια ασφάλειας της τεχνολογίας πληροφοριών". Πρέπει να είναι τεχνολογικά ουδέτερα και να αντικατοπτρίζουν με ακρίβεια την ιδέα διασυνδεδεμένων δικτύων και συστημάτων που περιέχουν δεδομένα. Καλύπτει το υλικό και το λογισμικό του συστήματος, όχι όμως το περιεχόμενο της ίδιας της πληροφορίας. Καλύπτει επίσης τα αυτόνομα συστήματα. Η Επιτροπή θεωρεί ότι είναι ευκταίο να επεκταθεί η προστασία που χορηγείται από το ποινικό δίκαιο στους αυτόνομους υπολογιστές και να μην περιορίζεται στα διασυνδεδεμένα δίκτυα. (ε) "Νομικό πρόσωπο". Πρόκειται για τυποποιημένο ορισμό προηγούμενων αποφάσεων πλαισίων του Συμβουλίου. (στ) "Εξουσιοδοτημένο άτομο". Πρόκειται για κάθε άτομο το οποίο έχει το δικαίωμα, συμβατικά ή εκ του νόμου, ή τη νόμιμη άδεια, να χρησιμοποιεί, να διαχειρίζεται, να ελέγχει, να πραγματοποιεί νόμιμες επιστημονικές έρευνες ή να εκμεταλλεύεται κατ' άλλο τρόπο σύστημα πληροφοριών και το οποίο δρα σύμφωνα με αυτό το δικαίωμα ή αυτήν την άδεια. Συμπεριλαμβάνει άτομα που δρουν σύμφωνα με νόμιμη συναίνεση άλλου ατόμου στο οποίο έχει δοθεί ρητή εξουσιοδότηση. Είναι ιδιαίτερα σημαντικό να μην διώκονται ποινικά οι ακόλουθες κατηγορίες ατόμων και νόμιμων δραστηριοτήτων (εντός των ορίων των δικαιωμάτων, αδειών και αρμοδιοτήτων των ατόμων και σύμφωνα με τους κοινοτικούς κανόνες που διέπουν την προστασία των δεδομένων και το απόρρητο των επικοινωνιών) όταν η παρούσα απόφαση πλαίσιο μεταφερθεί στο εθνικό δίκαιο: - πράξεις συνηθισμένων χρηστών, ιδιωτών ή εταιριών, συμπεριλαμβανομένης της χρήσης εκ μέρους τους κρυπτοθέτησης για την προστασία των δικών τους επικοινωνιών και δεδομένων. - αντίστροφη ανάλυση, εντός των ορίων που προβλέπονται από την οδηγία 91/250 της 14ης Μαίου 1991 "για τη νομική προστασία των προγραμμάτων ηλεκτρονικών υπολογιστών" [33] [33] ΕΕ L 122 , 17.05.1991 σ. 0042 - 0046 - πράξεις διαχειριστών, ελεγκτών και φορέων δικτύων και συστημάτων. - πράξεις προσώπων εξουσιοδοτημένων για τον έλεγχο συστήματος, είτε στο εσωτερικό επιχείρησης είτε ατόμων που έχουν διορισθεί εξωτερικά και τους έχει δοθεί η άδεια να ελέγξουν την ασφάλεια συστήματος. - νόμιμη επιστημονική έρευνα. (ζ) "Χωρίς δικαίωμα". Αυτή η έννοια είναι ευρεία και αφήνει ορισμένη ευελιξία στα κράτη μέλη για να καθορίσουν επακριβώς το αδίκημα. Εντούτοις, προκειμένου να διευκολυνθεί η εφαρμογή της απόφασης πλαισίου του Συμβουλίου στο πλαίσιο των εθνικών νομοθεσιών, η Επιτροπή κρίνει απαραίτητο να προσδιοριστεί ότι ορισμένες δραστηριότητες δεν πρέπει να αποτελούν αδίκημα. Δεν είναι δυνατόν και πιθανόν ούτε ευκταίο, να καταρτισθεί πλήρης και περιοριστικός κατάλογος εξαιρέσεων στο επίπεδο της Ευρωπαϊκής Ένωσης. Η φράση "χωρίς δικαίωμα" συμπληρώνει τους προηγούμενους ορισμούς κατά τρόπο ώστε να αποκλείονται οι συμπεριφορές εξουσιοδοτημένων ατόμων. Αποκλείεται επίσης οποιαδήποτε άλλη συμπεριφορά αναγνωριζόμενη ως νόμιμη σύμφωνα με το εθνικό δίκαιο, συμπεριλαμβανομένης της καθιερωμένης νομικής υπεράσπισης και άλλων ειδών εξουσίας που αναγνωρίζονται στο εθνικό δίκαιο. Άρθρο 3 - Επίθεση μέσω παράνομης πρόσβασης σε συστήματα πληροφοριών Αυτό το αδίκημα καλύπτει την παράνομη πρόσβαση σε συστήματα πληροφοριών. Αυτό περιλαμβάνει την έννοια της πειρατείας ενός συστήματος πληροφοριών. Τα κράτη μέλη είναι ελεύθερα να αποκλείσουν της μικρότερης σημασίας η κοινότοπες περιπτώσεις από το πεδίο της ποινικής πρόβλεψης μεταφέροντας την απόφαση πλαίσιο στο εθνικό δίκαιο. Το αδίκημα πρέπει να στοιχειοθετείται στο εθνικό δίκαιο των κρατών μελών μόνο στο μέτρο που διαπράττεται : (i) κατά οποιουδήποτε τμήματος ενός συστήματος πληροφοριών το οποίο υπόκειται σε ειδικά μέτρα προστασίας. ή (ii) με σκοπό να προξενήσει ζημία σε φυσικό ή νομικό πρόσωπο. ή (iii) με σκοπό την αποκόμιση οικονομικού οφέλους. Η Επιτροπή δεν επιθυμεί να υποτιμήσει τη σημασία που προσδίδει στη χρήση αποτελεσματικών τεχνικών μέτρων για την προστασία των συστημάτων πληροφοριών. Είναι εντούτοις ατυχές το γεγονός ότι μεγάλο μέρος των χρηστών εκτίθεται σε επιθέσεις χωρίς να διαθέτουν ανάλογη τεχνική προστασία (ή ακόμη χωρίς καμία προστασία). Προκειμένου να αποτρέψει τις επιθέσεις κατά αυτών των χρηστών, το ποινικό δίκαιο πρέπει να καλύψει την μη εξουσιοδοτημένη πρόσβαση στα συστήματά τους ακόμη και αν αυτά τα συστήματα δεν διαθέτουν κατάλληλη τεχνική προστασία. Για αυτό το λόγο, και υπό τον όρο ότι υπάρχει είτε πρόθεση πρόκλησης ζημίας είτε πρόθεση αποκόμισης οικονομικού οφέλους δεν υπάρχει αξίωση να αποδειχθεί ότι χρειάσθηκε να ξεπεραστούν μέτρα ασφαλείας προκειμένου να διαπραχθεί το αδίκημα. Άρθρο 4 - Παράνομη παρεμβολή σε συστήματα πληροφοριών Αυτό το αδίκημα καλύπτει την εκ προθέσεως, χωρίς δικαίωμα, διάπραξη μιας εκ των κάτωθι πράξεων : (α) τη σοβαρή παρεμπόδιση ή διακοπή, χωρίς δικαίωμα, της λειτουργίας συστήματος πληροφοριών με την εισαγωγή, μετάδοση, ζημία, διαγραφή, φθορά, αλλοίωση ή απόκρυψη ηλεκτρονικών δεδομένων. Τα στοιχεία της εισαγωγής ή μετάδοσης ηλεκτρονικών δεδομένων αφορούν ειδικά το πρόβλημα των επιθέσεων τύπου άρνησης παροχής υπηρεσιών που συνίσταται στην σκόπιμη απόπειρα κατακλυσμού ενός συστήματος πληροφοριών. Το αδίκημα καλύπτει επίσης την "διακοπή" της λειτουργίας ενός συστήματος πληροφοριών που θα μπορούσε να συμπεραίνεται από τον όρο "παρεμπόδιση", αλλά η οποία αναφέρεται ρητά για λόγους σαφήνειας. Τα άλλα στοιχεία του αδικήματος (ζημία, διαγραφή, φθορά, αλλοίωση ή απόκρυψη ηλεκτρονικών δεδομένων) αφορούν ειδικά το πρόβλημα των ιών και άλλα είδη επιθέσεων που στοχεύουν στην παρεμπόδιση των λειτουργιών του συστήματος πληροφοριών ή και στη διακοπή τους. (β) την διαγραφή, φθορά, αλλοίωση, κατάργηση ηλεκτρονικών δεδομένων ή τον αποκλεισμό πρόσβασης σε δεδομένα ενός συστήματος πληροφοριών όταν αυτό γίνεται με πρόθεση να προκληθεί ζημία σε φυσικό ή νομικό πρόσωπο. Αυτό καλύπτει τις επιθέσεις μέσω ιών που αφορούν το περιεχόμενο (ή ηλεκτρονικά δεδομένα) του συστήματος πληροφοριών, καθώς και τη φθορά ιστοθέσεων. Το στοιχείο α) περιλαμβάνει τους όρους "σοβαρή παρεμπόδιση ή διακοπή" ως στοιχείο της αντικειμενικής υπόστασης του αδικήματος προκειμένου να περιγράψουν τα αποτελέσματα μιας τέτοιας επίθεσης. Η έννοια του όρου "σοβαρή παρεμπόδιση" δεν προσδιορίζεται, επειδή η παρεμπόδιση μπορεί να λαμβάνει διάφορες μορφές και το επίπεδό της μπορεί να ποικίλει ανάλογα με το είδος της επίθεσης και τις τεχνικές δυνατότητες του προσβαλλόμενου συστήματος πληροφοριών. Κάθε κράτος μέλος καθορίζει για λογαριασμό του τα κριτήρια που πρέπει να πληρούνται ώστε ένα σύστημα πληροφοριών να θεωρείται ότι "παρεμποδίζεται σοβαρά". Εντούτοις, οι μικρότερης σημασίας διαταράξεις ή αποδιοργανώσεις της λειτουργίας των υπηρεσιών δεν πρέπει να θεωρούνται ότι πληρούν το στοιχείο της σοβαρότητας. Όπως ορίζεται ανωτέρω, τα κράτη μέλη μπορούν να αποκλείσουν τις μικρότερης σημασίας ή κοινότοπες περιπτώσεις από το πεδίο εφαρμογής του αδικήματος κατά τη μεταφορά της παρούσας απόφασης πλαισίου στο εθνικό δίκαιο. Άρθρο 5 - Υποκίνηση, συνδρομή, συνεργία και απόπειρα Το άρθρο 5, παράγραφος 1, επιβάλλει την υποχρέωση στα κράτη μέλη να εξασφαλίζουν ότι η εκ προθέσεως υποκίνηση, συνδρομή ή συνεργία στα αδικήματα κατά των συστημάτων πληροφοριών που περιγράφονται στα άρθρα 3 και 4 τιμωρείται. Το άρθρο 5, παράγραφος 2, αφορά ειδικότερα την απόπειρα. Δυνάμει αυτής της διάταξης, τα κράτη μέλη είναι υποχρεωμένα να εξασφαλίζουν ότι η απόπειρα διάπραξης ενός εκ των αδικημάτων κατά των συστημάτων πληροφοριών που περιγράφονται στα άρθρα 3 και 4 τιμωρείται. Άρθρο 6 - Ποινές Η παράγραφος 1 αξιώνει από τα κράτη μέλη να λαμβάνουν τα απαραίτητα μέτρα ώστε τα αδικήματα που ορίζονται 3 έως 5 να τιμωρούνται με αποτελεσματικές, ανάλογες και αποτρεπτικές ποινές [34]. Δυνάμει αυτής της παραγράφου, τα κράτη μέλη οφείλουν να προβλέπουν ανάλογες προς τη σοβαρότητα του αδικήματος ποινές, συμπεριλαμβανομένων ποινών στερητικών της ελευθερίας, με μέγιστη διάρκεια φυλάκισης άνω του ενός έτους στις σοβαρές περιπτώσεις. Οι σοβαρές περιπτώσεις θεωρείται ότι δεν περιλαμβάνουν περιπτώσεις κατά τις οποίες η συμπεριφορά δεν επιφέρει ζημία ή οικονομικό όφελος. [34] 4 Η φράση λαμβάνεται από την απόφαση του Ευρωπαϊκού Δικαστηρίου της 21ης Σεπτεμβρίου 1989 στην υπόθεση 68/88 [1989] Συλλογή 2965. Το ανώτατο όριο τουλάχιστον ενός έτους της ποινής φυλάκισης σε σοβαρές περιπτώσεις υπάγει αυτά τα αδικήματα στο πεδίο εφαρμογής του ευρωπαϊκού εντάλματος σύλληψης καθώς και άλλων νομικών μέσων όπως η απόφαση πλαίσιο του Συμβουλίου της 26ης Ιουνίου 2001 [35] για το ξέπλυμα χρημάτων, τον προσδιορισμό, την ανίχνευση, το πάγωμα, την κατάσχεση και δήμευση των μέσων και προϊόντων του εγκλήματος. [35] ΕΕ L 182, 5.7.2001, σ.1 Λαμβάνοντας υπόψη το χαρακτήρα όλων των αποφάσεων πλαισίων που δεσμεύουν τα κράτη μέλη ως προς το επιδιωκόμενο αποτέλεσμα αφήνοντάς τους το περιθώριο επιλογής της μορφής και των μέσων, τα κράτη μέλη διατηρούν ορισμένο βαθμό ευελιξίας για να προσαρμόσουν τις νομοθεσίες τους σε αυτούς τους κανόνες και να καθορίσουν το βαθμό αυστηρότητας των εφαρμοστέων ποινών, εντός των ορίων που ορίζονται από την απόφαση πλαίσιο και κυρίως των επιβαρυντικών περιστάσεων του άρθρου 7. Η Επιτροπή τονίζει ότι εναπόκειται στα κράτη μέλη να ορίσουν τα κριτήρια για τον καθορισμό της βαρύτητας του αδικήματος, στη βάση των αντίστοιχων νομικών συστημάτων τους. Οι κυρώσεις δεν πρέπει απαραιτήτως να συνίστανται σε ποινές στερητικές της ελευθερίας. Η παράγραφος 2 προβλέπει τη δυνατότητα των κρατών μελών να επιβάλουν πρόστιμα ως παρεπόμενη ή εναλλακτική ποινή, σύμφωνα με τις σχετικές παραδόσεις και τα νομικά συστήματά τους. Άρθρο 7 - Επιβαρυντικές περιστάσεις Αυτό το άρθρο προβλέπει ότι τα κράτη μέλη επιβάλλουν μεγαλύτερες ποινές από αυτές που ορίζονται στο άρθρο 6 υπό ορισμένες συνθήκες. Η Επιτροπή τονίζει ότι ο κατάλογος των επιβαρυντικών περιστάσεων που προβλέπεται από το συγκεκριμένο άρθρο τελεί υπό την επιφύλαξη οποιασδήποτε άλλης περίστασης θεωρείται επιβαρυντική από τη νομοθεσία του συγκεκριμένου κράτους μέλους. Ο κατάλογος λαμβάνει υπόψη τις επιβαρυντικές περιστάσεις που αναφέρονται στις εθνικές διατάξεις των κρατών μελών όπως προβλέπονται σε προηγούμενες προτάσεις αποφάσεων πλαισίων της Επιτροπής. Εφόσον εκπληρώνεται ένας από τους ακόλουθους όρους που αναφέρονται στην παράγραφο 1, η μέγιστη ποινή φυλάκισης δεν μπορεί να είναι κατώτερη των τεσσάρων ετών: (α) το αδίκημα έχει διαπραχθεί στο πλαίσιο εγκληματικής οργάνωσης, όπως ορίζεται από την κοινή δράση 98/733 ΔΕΥ, ανεξάρτητα από την προβλεπόμενη σε αυτήν ποινή. (β) το αδίκημα έχει σαν αποτέλεσμα ή συνεπακόλουθο σημαντικές άμεσες ή έμμεσες οικονομικές ζημίες, σωματικές βλάβες σε φυσικό πρόσωπο ή σημαντικές ζημίες σε τμήμα των ζωτικής σημασίας υποδομών του κράτους μέλους. ή (γ) το αδίκημα απέφερε σημαντικά οικονομικά οφέλη. Τα κράτη μέλη πρέπει επίσης να εξασφαλίζουν ότι τα αδικήματα που αναφέρονται στα άρθρα 3, 4 και 5 τιμωρούνται με στερητικές της ελευθερίας ποινές μεγαλύτερες εκείνων που προβλέπονται σύμφωνα με το άρθρο 6, όταν ο δράστης έχει καταδικασθεί με τελεσίδικη απόφαση για παρόμοιο αδίκημα σε κάποιο κράτος μέλος. Άρθρο 8 - Ιδιαίτερες περιστάσεις Αυτό το άρθρο προβλέπει περιστάσεις λόγω των οποίων το κράτος μέλος μπορεί να αποφασίσει μείωση των ποινών που ορίζονται στα άρθρα 6 και 7 όταν οι αρμόδιες δικαστικές αρχές θεωρούν ότι ο δράστης του αδικήματος προξένησε ζημίες ήσσονος σημασίας. Άρθρο 9 - Ευθύνη νομικών προσώπων Σύμφωνα με την προσέγγιση που ακολουθείται σε ορισμένα νομικά μέσα που εγκρίνονται στο επίπεδο της ΕΕ για την καταπολέμηση διαφόρων ειδών εγκλήματος, είναι εξίσου απαραίτητο να καλυφθεί η κατάσταση κατά την οποία νομικά πρόσωπα ενέχονται στις επιθέσεις κατά των συστημάτων πληροφοριών. Κατά συνέπεια, το άρθρο 9 περιλαμβάνει διατάξεις που επιτρέπουν να θεωρηθεί νομικό πρόσωπο υπεύθυνο για τα αδικήματα που αναφέρονται στα άρθρα 3, 4 και 5, που διαπράττονται για λογαριασμό του από άτομο που δρα είτε ατομικά είτε ως μέλος οργάνου του νομικού προσώπου, το οποίο κατέχει διευθυντική θέση στο εσωτερικό του νομικού προσώπου. Με τον όρο "ευθύνη" νοείται τόσο η ποινική όσο και η αστική ευθύνη. Εξάλλου, σύμφωνα με συνήθη πρακτική, η παράγραφος 2 ορίζει ότι κάποιο νομικό πρόσωπο μπορεί εξίσου να θεωρείται υπεύθυνο όταν η απουσία εποπτείας ή ελέγχου εκ μέρους ατόμου που μπορεί να ασκήσει τέτοιο έλεγχο κατέστησε εφικτή τη διάπραξη των αδικημάτων για λογαριασμό του συγκεκριμένου νομικού προσώπου. Η παράγραφος 3 ορίζει ότι η έναρξη δίωξης κατά νομικού προσώπου δεν αποκλείει τη δυνατότητα παράλληλης δίωξης κατά φυσικού προσώπου. Άρθρο 10 - Κυρώσεις νομικών προσώπων Το άρθρο 10 επιβάλλει την αξίωση κυρώσεων σε νομικά πρόσωπα που θεωρούνται υπεύθυνα για τα αδικήματα που αναφέρονται στα άρθρα 3, 4 και 5. Αξιώνει την επιβολή αποτελεσματικών, ανάλογων και αποτρεπτικών κυρώσεων, με ελάχιστη υποχρέωση την επιβολή χρηματικών ποινών ή προστίμων. Αυτό το άρθρο αναφέρει εξίσου άλλες κυρώσεις που μπορούν τυπικά να επιβληθούν σε νομικά πρόσωπα. Άρθρο 11 - Διεθνής δικαιοδοσία Έχοντας υπόψη τη διεθνή διάσταση των αδικημάτων που περιλαμβάνουν επιθέσεις κατά συστημάτων πληροφοριών, δεν μπορεί να υπάρξει αποτελεσματική νομική αντιμετώπιση αυτών των αδικημάτων χωρίς την ύπαρξη σαφών δικονομικών κανόνων για τη δικαιοδοσία και την έκδοση στο επίπεδο της Ευρωπαϊκής Ένωσης, κατά τρόπο ώστε οι δράστες του αδικήματος να μην μπορούν να διαφύγουν της δίωξης. Η παράγραφος 1 ορίζει σειρά κριτηρίων για την απονομή δικαιοδοσίας στις εθνικές δικαστικές αρχές με σκοπό τη δίωξη και τη διερεύνηση υποθέσεων που αφορούν τα αδικήματα που αναφέρονται στην παρούσα απόφαση πλαίσιο. Ένα κράτος μέλος θεμελιώνει τη δικαιοδοσία του σε τρεις περιπτώσεις: (α) όταν το αδίκημα διαπράττεται, εν όλω ή εν μέρει στην επικράτειά του, ανεξάρτητα από το καθεστώς του ενεχόμενου νομικού προσώπου ή την ιθαγένεια του ενεχόμενου φυσικού προσώπου (αρχή της εδαφικότητας). (β) όταν ο δράστης του αδικήματος είναι υπήκοος του κράτους μέλους (αρχή της ενεργητικής και παθητικής προσωπικότητας) και η πράξη θίγει ιδιώτες ή ομάδες αυτού του κράτους μέλους. Τα κράτη μέλη που δεν προβλέπουν έκδοση είναι υπεύθυνα για τη δίωξη των δικών τους υπηκόων οι οποίοι διαπράττουν αδίκημα στο εξωτερικό. (γ) όταν το αδίκημα διαπράττεται για λογαριασμό νομικού προσώπου εγκατεστημένου στην επικράτειά του. Η παράγραφος 2 έχει σαν στόχο να εξασφαλίσει ότι κατά τη θεμελίωση της δικαιοδοσίας του για τα αδικήματα που υπόκεινται στην αρχή της εδαφικότητας σύμφωνα με την παράγραφο 1 στοιχείο α), κάθε κράτος μέλος εξασφαλίζει ότι η δικαιοδοσία του επεκτείνεται στις περιπτώσεις κατά τις οποίες : (α) ο δράστης διαπράττει το αδίκημα ευρισκόμενος στην επικράτειά του, ανεξάρτητα από το αν το αδίκημα διαπράττεται ή όχι κατά συστήματος πληροφοριών στην επικράτειά του. Για παράδειγμα, άτομο το οποίο έχει παράνομη πρόσβαση (πειρατεία) σε σύστημα πληροφοριών σε τρίτη χώρα από την επικράτεια αυτού του κράτους μέλους, ή (β) το αδίκημα διαπράττεται κατά συστήματος πληροφοριών που βρίσκεται στην επικράτειά του, ανεξάρτητα από το αν ο δράστης διαπράττει ή όχι το αδίκημα ευρισκόμενος στην επικράτειά του. Αυτή είναι για παράδειγμα η περίπτωση ατόμου που έχει παράνομα πρόσβαση (πειρατεία) σε σύστημα πληροφοριών στην επικράτεια του κράτους μέλους από την επικράτεια τρίτης χώρας. Δεδομένου ότι δεν αναγνωρίζεται για όλα τα είδη ποινικών αδικημάτων ή ετεροδικία από όλες τις νομικές παραδόσεις των κρατών μελών, η παράγραφος 3 τους παρέχει τη δυνατότητα να μην εφαρμόζουν τους κανόνες δικαιοδοσίας που ορίζονται στην παράγραφο 1 όσον αφορά τις καταστάσεις που καλύπτονται από την παράγραφο 1, στοιχείο β) και γ). Η παράγραφος 4 αξιώνει από τα κράτη μέλη να λαμβάνουν τα απαραίτητα μέτρα για να θεμελιώνουν εξίσου τη δικαιοδοσία τους για τα αδικήματα που αναφέρονται στα άρθρα 3 έως 5 σε περιπτώσεις που αρνούνται την παράδοση ή την έκδοση υπόπτου ή καταδικασθέντος για παρόμοιο αδίκημα σε άλλο κράτος μέλος ή τρίτη χώρα. Η παράγραφος 5 καλύπτει τις περιπτώσεις κατά τις οποίες υπάρχει δικαιοδοσία περισσοτέρων του ενός κρατών και στοχεύει να εξασφαλίσει την πλήρη συνεργασία μεταξύ των κρατών μελών για να συγκεντρώσει, εφόσον είναι δυνατόν, τη διαδικασία σε ένα μόνον κράτος μέλος. Προς το σκοπό αυτό, υπενθυμίζεται ότι τα κράτη μέλη μπορούν να προσφεύγουν σε οποιοδήποτε όργανο ή μηχανισμό εγκαθιδρυμένο στο εσωτερικό της Ευρωπαϊκής Ένωσης για να διευκολύνουν τη συνεργασία μεταξύ των δικαστικών αρχών τους και το συντονισμό των ενεργειών τους. Αυτό συμπεριλαμβάνει την Eurojust και το Ευρωπαϊκό Δικαστικό Δίκτυο. Η παράγραφος 6 προβλέπει ότι τα κράτη μέλη ενημερώνουν την Γενική Γραμματεία του Συμβουλίου και την Επιτροπή για την απόφασή τους να εφαρμόσουν την παράγραφο 3. Άρθρο 12 - Ανταλλαγή πληροφοριών Ο στόχος του άρθρου 12 είναι να διευκολύνει την ανταλλαγή πληροφοριών με το διορισμό λειτουργικών σημείων επαφής. Αυτό είναι σημαντικό προκειμένου να υπάρχει αποτελεσματική αστυνομική συνεργασία. Ιδιαίτερα, η ανάγκη για όλα τα κράτη μέλη να προσχωρήσουν στο δίκτυο των σημείων επαφής της ομάδας G8 αναγνωρίσθηκε από το Συμβούλιο Δικαιοσύνη και Εσωτερικές υποθέσεις της 19ης Μαρτίου 1998 και πιο πρόσφατα κατά τη θέσπιση σύστασης του Συμβουλίου σχετικά με τα σημεία επαφής που εξασφαλίζουν υπηρεσία σε 24ωρη βάση για την καταπολέμηση του εγκλήματος που έχει σχέση με την προηγμένη τεχνολογία [36]. [36] ΕΕ C 187, 3.7.2001, σ. 5 Άρθρο 13 - Εφαρμογή Το άρθρο 13 αφορά την εφαρμογή και την παρακολούθηση της παρούσας απόφασης πλαισίου. Τα κράτη μέλη οφείλουν να θεσπίσουν τα απαραίτητα μέτρα για να συμμορφωθούν με την παρούσα απόφαση πλαίσιο μέχρι την 1η Δεκεμβρίου 2003. Τα κράτη μέλη ανακοινώνουν, μέσα στις ίδιες προθεσμίες, στη Γενική Γραμματεία του Συμβουλίου και στην Επιτροπή το κείμενο των διατάξεων που μεταφέρουν στο εθνικό τους δίκαιο τις υποχρεώσεις που τους επιβάλλονται από την παρούσα απόφαση πλαίσιο. Το Συμβούλιο αξιολογεί, εντός προθεσμίας ενός έτους, στη βάση αυτών των πληροφοριών και γραπτής έκθεσης της Επιτροπής, το κατά πόσο τα κράτη μέλη έχουν συμμορφωθεί με την απόφαση πλαίσιο. Άρθρο 14 - Έναρξη ισχύος Το άρθρο 14 ορίζει ότι η απόφαση πλαίσιο αρχίζει να ισχύει την 20ή ημέρα μετά τη δημοσίευσή της στην Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων. 2002/0086 (CNS) Πρόταση ΑΠΟΦΑΣΗΣ ΠΛΑΙΣΙΟΥ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για τις επιθέσεις κατά των συστημάτων πληροφοριών ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Έχοντας υπόψη: τη συνθήκη της Ευρωπαϊκής Ένωσης, και ιδιαίτερα τα άρθρα 29, 30, παράγραφος 1, στοιχείο α), 31 και 34, παράγραφος 2, στοιχείο β). την πρόταση της Επιτροπής [37], [37] ΕΕ C ..., σ. τη γνώμη του Ευρωπαϊκού Κοινοβουλίου [38]. [38] ΕΕ C ..., σ. Εκτιμώντας τα εξής: (1) Έχουν διαπιστωθεί επιθέσεις κατά των συστημάτων πληροφοριών, οφειλόμενες κυρίως στην απειλή που αντιπροσωπεύει το οργανωμένο έγκλημα, και υπάρχει αυξημένη ανησυχία ενώπιον του ενδεχόμενου τρομοκρατικών επιθέσεων κατά των συστημάτων πληροφοριών που αποτελούν μέρος των ζωτικής σημασίας υποδομών των κρατών μελών. Αυτή η κατάσταση αποτελεί κίνδυνο για την υλοποίηση μιας ασφαλέστερης κοινωνίας της πληροφορίας και ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης, και χρειάζεται ως εκ τούτου να αντιμετωπισθεί στο επίπεδο της Ευρωπαϊκής Ένωσης. (2) Η αποτελεσματική αντιμετώπιση αυτών των απειλών προϋποθέτει ευρεία προσέγγιση όσον αφορά την ασφάλεια των δικτύων και των πληροφοριών, όπως τονίστηκε στο πρόγραμμα δράσης eEurope, στην ανακοίνωση της Επιτροπής με τον τίτλο "Ασφάλεια των δικτύων και πληροφοριών: Πρόταση ευρωπαϊκής πολιτικής" [39] και στο ψήφισμα του Συμβουλίου της 6ης Δεκεμβρίου 2001 για κοινή προσέγγιση και ειδικές δράσεις στον τομέα της ασφάλειας των πληροφοριών και των δικτύων. [39] COM (2001) 298 (3) Η ανάγκη για ακόμα μεγαλύτερη συνειδητοποίηση των προβλημάτων που αφορούν την ασφάλεια των πληροφοριών και για την παροχή πρακτικής βοήθειας τονίσθηκε επίσης στο ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 5ης Σεπτεμβρίου 2001 [40] [40] [2001/2098(ΙΝΙ)] (4) Τα σημαντικά νομικά κενά και οι διαφορές των νομοθεσιών των κρατών μελών στον συγκεκριμένο τομέα παρεμποδίζουν την καταπολέμηση του οργανωμένου εγκλήματος και της τρομοκρατίας και δημιουργούν εμπόδια στην αποτελεσματική συνεργασία των αστυνομικών και δικαστικών υπηρεσιών σε περίπτωση επιθέσεων κατά των συστημάτων πληροφοριών. Ο υπερεθνικός και χωρίς σύνορα χαρακτήρας των σύγχρονων δικτύων ηλεκτρονικών επικοινωνιών συνεπάγεται ότι αυτές οι επιθέσεις έχουν συχνά διεθνή διάσταση και φέρει τοιουτοτρόπως στο φως την επείγουσα ανάγκη να υπάρξει προσέγγιση των ποινικών δικαίων στον συγκεκριμένο τομέα. (5) Το πρόγραμμα δράσης του Συμβουλίου και της Επιτροπής σχετικά με τις βέλτιστες λεπτομέρειες εφαρμογής των διατάξεων της συνθήκης του Άμστερνταμ για τη δημιουργία ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης [41], το Ευρωπαϊκό Συμβούλιο του Τάμπερε της 15ης και 16ης Οκτωβρίου 1999, το Ευρωπαϊκό Συμβούλιο της Σάντα Μαρία ντα Φέιρα της 19ης και 20ής Ιουνίου 2000, η Επιτροπή στον πίνακα αποτελεσμάτων [42] και το Ευρωπαϊκό Κοινοβούλιο στο ψήφισμά του της 19ης Μαίου 2000 [43] αναφέρουν ή απευθύνουν έκκληση για νομοθετική δράση κατά του εγκλήματος που χρησιμοποιεί τις προηγμένες τεχνολογίες συμπεριλαμβάνοντας κυρίως κοινούς ορισμούς, ποινικούς χαρακτηρισμούς και κυρώσεις. [41] ΕΕ C 19, 23.1.1999 [42] COM (2001) 278 τελικό [43] A5-0127/2000 (6) Είναι απαραίτητο να συμπληρωθούν οι εργασίες που έχουν πραγματοποιηθεί από τους διεθνείς οργανισμούς, ειδικότερα οι εργασίες του Συμβουλίου της Ευρώπης για την προσέγγιση του ποινικού δικαίου και οι εργασίες της ομάδας G8 για τη διεθνή συνεργασία στον τομέα του εγκλήματος υψηλής τεχνολογίας, προτείνοντας κοινή προσέγγιση στο επίπεδο της Ευρωπαϊκής Ένωσης στο συγκεκριμένο τομέα. Αυτή η ανάγκη αναπτύχθηκε ευρύτερα στην ανακοίνωση την οποία απηύθυνε η Επιτροπή στο Συμβούλιο, το Ευρωπαϊκό Κοινοβούλιο, την Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή Περιφερειών, με τον τίτλο "Για μια ασφαλέστερη κοινωνία της πληροφορίας με τη βελτίωση της ασφάλειας των υποδομών πληροφόρησης και την καταπολέμηση του εγκλήματος πληροφοριών" [44]. [44] COM (2000) 890 (7) Πρέπει να υπάρξει προσέγγιση των κανόνων ποινικού δικαίου όσον αφορά τις επιθέσεις κατά των συστημάτων πληροφοριών για να υπάρξει η μέγιστη δυνατή δικαστική και αστυνομική συνεργασία όσον αφορά τα αδικήματα που έχουν σχέση με επιθέσεις κατά των συστημάτων πληροφοριών και συμμετοχή στην καταπολέμηση του οργανωμένου εγκλήματος και της τρομοκρατίας. (8) Η απόφαση πλαίσιο για το ευρωπαϊκό ένταλμα σύλληψης [45], το παράρτημα της σύμβασης Ευρωπόλ και η απόφαση του Συμβουλίου για τη δημιουργία του Eurojust περιλαμβάνουν αναφορές στο έγκλημα πληροφορικής που πρέπει να προσδιορισθεί επακριβέστερα. Για τους σκοπούς αυτών των νομικών μέσων, το έγκλημα πληροφορικής πρέπει να θεωρηθεί ότι περιλαμβάνει επιθέσεις κατά των συστημάτων πληροφοριών όπως ορίζεται στην παρούσα απόφαση πλαίσιο η οποία εξασφαλίζει ένα πολύ μεγαλύτερο επίπεδο προσέγγισης των στοιχείων της αντικειμενικής υπόστασης αυτών των αδικημάτων. Η παρούσα απόφαση πλαίσιο συμπληρώνει επίσης την απόφαση πλαίσιο για την καταπολέμηση της τρομοκρατίας [46], η οποία καλύπτει τρομοκρατικές ενέργειες που προκαλούν εκτεταμένη καταστροφή υποδομών, συμπεριλαμβανομένων των συστημάτων πληροφοριών, θέτουν πιθανώς σε κίνδυνο ανθρώπινες ζωές ή προξενούν σημαντικές οικονομικές ζημίες. [45] EE C ... σ. [46] EE C ... σ. (9) Όλα τα κράτη μέλη έχουν επικυρώσει τη Σύμβαση του Συμβουλίου της 28ης Ιανουαρίου 1981 για την προστασία των ατόμων όσον αφορά την αυτόματη επεξεργασία προσωπικών δεδομένων. Τα προσωπικά δεδομένα που αποτελούν αντικείμενο επεξεργασίας στο πλαίσιο της εφαρμογής της παρούσας απόφασης πλαισίου θα προστατεύονται σύμφωνα με τις αρχές της εν λόγω Σύμβασης. (10) Οι κοινοί ορισμοί στο συγκεκριμένο τομέα, ειδικότερα για τα συστήματα πληροφοριών και τα ηλεκτρονικά δεδομένα , είναι απαραίτητοι για να εξασφαλισθεί η συνεκτική εφαρμογή της παρούσας απόφασης πλαισίου στα κράτη μέλη. (11) Είναι απαραίτητο να επιτευχθεί κοινή προσέγγιση για τα στοιχεία αντικειμενικής υπόστασης των ποινικών αδικημάτων, προβλέποντας ένα κοινό αδίκημα παράνομης πρόσβασης και παράνομης παρεμβολής σε σύστημα πληροφοριών. (12) Είναι απαραίτητο να αποφευχθεί η υπερβολική ποινικοποίηση, κυρίως ήσσονος σημασίας ή κοινότοπων συμπεριφορών, καθώς και η ενοχοποίηση κατόχων δικαιωμάτων και εξουσιοδοτημένων ατόμων, όπως οι νόμιμοι ιδιωτικοί ή επαγγελματικοί χρήστες, οι διαχειριστές, οι ελεγκτές και οι φορείς δικτύων και συστημάτων, οι νόμιμοι επιστημονικοί ερευνητές και εξουσιοδοτημένα άτομα που ελέγχουν ένα σύστημα, ανεξάρτητα από το αν πρόκειται για άτομο που εργάζεται στο εσωτερικό της εταιρίας ή προσλαμβάνεται εξωτερικά και του δίδεται η άδεια να ελέγξει την ασφάλεια συστήματος. (13) Είναι απαραίτητο να προβλεφθούν από τα κράτη μέλη αποτελεσματικές, ανάλογες και αποτρεπτικές κυρώσεις για την καταστολή των επιθέσεων κατά των συστημάτων πληροφοριών, συμπεριλαμβανομένων ποινών φυλάκισης στις σοβαρές περιπτώσεις. (14) Είναι απαραίτητο να προβλεφθούν πιο αυστηρές ποινές όταν ορισμένες περιστάσεις που συνοδεύουν επίθεση κατά συστήματος πληροφοριών αποτελούν αυξημένη απειλή για την κοινωνία. Σε αυτές τις περιπτώσεις, οι κυρώσεις που επιβάλλονται στους δράστες πρέπει να είναι επαρκείς για να δοθεί η δυνατότητα οι επιθέσεις κατά συστημάτων πληροφοριών να συμπεριληφθούν στο πεδίο εφαρμογής πράξεων που έχουν ήδη θεσπισθεί με σκοπό την καταπολέμηση του οργανωμένου εγκλήματος όπως η κοινή δράση 98/733/ΔΕΥ της 21ης Δεκεμβρίου 1998 που εγκρίθηκε από το Συμβούλιο στη βάση του άρθρου Κ.3 της Συνθήκης για την Ευρωπαϊκή Ένωση η οποία ανάγει σε ποινικό αδίκημα τη συμμετοχή σε εγκληματική οργάνωση, στα κράτη μέλη της Ευρωπαϊκής Ένωσης [47]. [47] ΕΕ L 351, 29.12.1998, σ. 1 (15) Πρέπει να ληφθούν μέτρα ώστε τα νομικά πρόσωπα να μπορούν να θεωρηθούν υπεύθυνα για τα ποινικά αδικήματα που αναφέρονται στην παρούσα πράξη όταν διαπράττονται προς όφελός τους και να εξασφαλισθεί ότι κάθε κράτος μέλος έχει διεθνή δικαιοδοσία για τα αδικήματα που διαπράττονται κατά των συστημάτων πληροφοριών όταν ο δράστης τους βρίσκεται στην επικράτειά του ή όταν το σύστημα των πληροφοριών βρίσκεται στην επικράτειά του. (16) Πρέπει επίσης να προβλεφθούν μέτρα συνεργασίας μεταξύ των κρατών μελών, προκειμένου να εξασφαλισθεί η αποτελεσματική δράση κατά των επιθέσεων που αφορούν τα συστήματα πληροφοριών. Πρέπει να ορισθούν λειτουργικά σημεία επαφής για την ανταλλαγή πληροφοριών. (17) Δεδομένου ότι οι στόχοι που συνίστανται στο να κατοχυρωθεί ότι οι επιθέσεις κατά των συστημάτων πληροφοριών θα τιμωρούνται σε όλα τα κράτη μέλη με αποτελεσματικές, ανάλογες και αποτρεπτικές ποινές και να βελτιωθεί και ενθαρρυνθεί η δικαστική συνεργασία με την άρση των ενδεχόμενων εμποδίων δεν μπορούν να επιτευχθούν ικανοποιητικά από τα κράτη μέλη χωριστά, επειδή οι κανόνες πρέπει να είναι κοινοί και συμβιβάσιμοι, και μπορούν ως εκ τούτου να επιτευχθούν καλύτερα στο επίπεδο της Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας που αναφέρεται στο άρθρο 2 της ΣΕΕ και όπως ορίζεται στο άρθρο 5 της ΣΕΚ. Σύμφωνα με την αρχή της αναλογικότητας που ορίζεται στο άρθρο 5 της ΣΕΚ, η παρούσα απόφαση πλαίσιο δεν υπερβαίνει αυτό που είναι αναγκαίο για την επίτευξη αυτών των στόχων. (18) Η παρούσα απόφαση πλαίσιο δεν θίγει τις εξουσίες της Ευρωπαϊκής Κοινότητας. (19) Η παρούσα απόφαση πλαίσιο τηρεί τα θεμελιώδη δικαιώματα και τις αρχές που αναγνωρίζονται ιδιαίτερα από το Χάρτη θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης, κυρίως τα κεφάλαια ΙI και VI. ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ ΠΛΑΙΣΙΟ: Άρθρο 1 Πεδίο εφαρμογής και αντικείμενο της απόφασης πλαισίου Η παρούσα απόφαση πλαίσιο αποβλέπει στη βελτίωση της συνεργασίας μεταξύ των δικαστικών και άλλων αρμοδίων αρχών, συμπεριλαμβανομένης της αστυνομίας και άλλων εξειδικευμένων υπηρεσιών επιφορτισμένων με την επιβολή του νόμου στα κράτη μέλη, μέσω της προσέγγισης των ποινικών κανόνων των κρατών μελών που αφορούν τις επιθέσεις κατά των συστημάτων πληροφοριών. Άρθρο 2 Ορισμοί Για τους σκοπούς της παρούσας απόφασης πλαισίου, νοείται ως: (α) "Δίκτυο ηλεκτρονικών επικοινωνιών": τα συστήματα μετάδοσης και, κατά περίπτωση, ο εξοπλισμός μεταγωγής και δρομολόγησης και οι λοιποί πόροι που επιτρέπουν τη μεταφορά σημάτων με χρήση καλωδίου, ραδιοκυμάτων, οπτικών ή άλλων ηλεκτρομαγνητικών μέσων, συμπεριλαμβανομένων των δορυφορικών δικτύων, των σταθερών (κυκλωμάτων μεταγωγής δεδομένων και πακετομεταγωγής) και κινητών επίγειων δικτύων, των δικτύων που χρησιμοποιούνται για ραδιοτηλεοπτικές εκπομπές καθώς και των δικτύων καλωδιακής τηλεόρασης ανεξάρτητα από το είδος των μεταδιδόμενων πληροφοριών. (β) "Ηλεκτρονικός υπολογιστής": οποιαδήποτε συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μια ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, την αυτόματη επεξεργασία ηλεκτρονικών δεδομένων. (γ) "Ηλεκτρονικά δεδομένα": οποιαδήποτε παρουσίαση γεγονότων, πληροφοριών ή εννοιών δημιουργείται ή λαμβάνει μορφή που επιτρέπει την επεξεργασία από σύστημα πληροφοριών, συμπεριλαμβανομένου προγράμματος που παρέχει τη δυνατότητα στο σύστημα πληροφοριών να εκτελέσει μια λειτουργία. (δ) "Σύστημα πληροφοριών": οι ηλεκτρονικοί υπολογιστές και τα ηλεκτρονικά δίκτυα επικοινωνιών, καθώς και τα ηλεκτρονικά δεδομένα που αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από τους υπολογιστές με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρησή τους. (ε) "Νομικό πρόσωπο": κάθε οντότητα στην οποία το ισχύον δίκαιο αναγνωρίζει αυτό το καθεστώς, εξαιρουμένων των κρατών ή άλλων δημόσιων οργάνων κατά την άσκηση κριτικής εξουσίας και των δημόσιων διεθνών οργανισμών. (στ) "Εξουσιοδοτημένο άτομο": οποιοδήποτε φυσικό ή νομικό πρόσωπο που έχει το δικαίωμα, δυνάμει σύμβασης ή νόμου, ή τη νόμιμη εξουσιοδότηση, να χρησιμοποιεί, να διαχειρίζεται, να ελέγχει, να δοκιμάζει, να πραγματοποιεί νόμιμες επιστημονικές έρευνες ή να λειτουργεί σύστημα πληροφοριών και το οποίο δρα σύμφωνα με αυτό το δικαίωμα ή την εξουσιοδότηση. (ζ) "Χωρίς δικαίωμα": αποκλείει τις πράξεις των εξουσιοδοτημένων ατόμων ή άλλες πράξεις των οποίων ο νόμιμος χαρακτήρας αναγνωρίζεται από το εθνικό δίκαιο. Άρθρο 3 Παράνομη πρόσβαση σε συστήματα πληροφοριών Τα κράτη μέλη εξασφαλίζουν ότι η εκ προθέσεως πρόσβαση, χωρίς δικαίωμα, στο σύνολο ή σε μέρος συστήματος πληροφοριών τιμωρείται ως ποινικό αδίκημα όταν διαπράττεται : (i) κατά οποιουδήποτε τμήματος ενός συστήματος πληροφοριών το οποίο υπόκειται σε ειδικά μέτρα προστασίας. ή (ii) με σκοπό να προξενήσει ζημία σε φυσικό ή νομικό πρόσωπο. ή (iii) με σκοπό την αποκόμιση οικονομικού οφέλους. Άρθρο 4 Παράνομη παρεμβολή σε συστήματα πληροφοριών Τα κράτη μέλη εξασφαλίζουν ότι οι ακόλουθες εκ προθέσεως συμπεριφορές, χωρίς δικαίωμα, τιμωρούνται ως ποινικά αδικήματα : (α) η σοβαρή παρεμπόδιση ή διακοπή της λειτουργίας συστήματος πληροφοριών με την εισαγωγή, μετάδοση, ζημία, διαγραφή, φθορά, αλλοίωση, απόκρυψη ηλεκτρονικών δεδομένων ή με τον αποκλεισμό της πρόσβασης στα δεδομένα αυτά. (β) η διαγραφή, φθορά, αλλοίωση, απόκρυψη ηλεκτρονικών δεδομένων ενός συστήματος πληροφοριών ή ο αποκλεισμός της πρόσβασης στα δεδομένα αυτά όταν αυτό διαπράττεται με την πρόθεση να προκληθεί ζημία σε φυσικό ή νομικό πρόσωπο. Άρθρο 5 Υποκίνηση, συνδρομή, συνεργία και απόπειρα 1. Τα κράτη μέλη εξασφαλίζουν ότι η εκ προθέσεως υποκίνηση, συνδρομή ή συνεργία σε αδίκημα που αναφέρεται στα άρθρα 3 και 4 τιμωρείται. 2. Τα κράτη μέλη εξασφαλίζουν ότι η απόπειρα διάπραξης των αδικημάτων που αναφέρονται στα άρθρα 3 και 4 τιμωρείται. Άρθρο 6 Ποινές 1. Τα κράτη μέλη εξασφαλίζουν ότι τα αδικήματα που αναφέρονται στα άρθρα 3, 4 και 5 τιμωρούνται με αποτελεσματικές, ανάλογες και αποτρεπτικές ποινές, κυρίως με ποινή φυλάκισης μέγιστης διάρκειας τουλάχιστον ενός έτους σε σοβαρές περιπτώσεις. Οι σοβαρές περιπτώσεις θεωρείται ότι δεν περιλαμβάνουν περιπτώσεις στις οποίες η συμπεριφορά δεν κατέληξε σε ζημία ή δεν απέφερε οικονομικό όφελος. 2. Τα κράτη μέλη προβλέπουν τη δυνατότητα να επιβάλουν πρόστιμα ως παρεπόμενη ή εναλλακτική ποινή των ποινών φυλάκισης. Άρθρο 7 Επιβαρυντικές περιστάσεις 1. Τα κράτη μέλη εξασφαλίζουν ότι τα αδικήματα που αναφέρονται στα άρθρα 3, 4 και 5 τιμωρούνται με στερητική της ελευθερίας ποινή με μέγιστη διάρκεια φυλάκισης τουλάχιστον τεσσάρων ετών όταν διαπράττονται υπό τις ακόλουθες συνθήκες : (α) το αδίκημα έχει διαπραχθεί στο πλαίσιο εγκληματικής οργάνωσης όπως ορίζεται στην κοινή δράση 98/733/ΔΕΥ της 21ης Δεκεμβρίου 1998 ανάγοντας σε ποινικό αδίκημα τη συμμετοχή σε εγκληματική οργάνωση στα κράτη μέλη της Ευρωπαϊκής Ένωσης, ανεξάρτητα από το αναφερόμενο εκεί επίπεδο ποινής. (β) το αδίκημα έχει σαν αποτέλεσμα ή συνεπακόλουθο σημαντική, άμεση ή έμμεση, οικονομική ζημία, σωματική βλάβη σε φυσικό πρόσωπο ή σημαντική ζημία σε μέρος των ζωτικής σημασίας υποδομών του κράτους μέλους. (γ) το αδίκημα απέφερε σημαντικά οικονομικά οφέλη. 2. Τα κράτη μέλη εξασφαλίζουν ότι τα αδικήματα που αναφέρονται στα άρθρα 3 και 4 τιμωρούνται με στερητικές της ελευθερίας ποινές μεγαλύτερες εκείνων που προβλέπονται σύμφωνα με το άρθρο 6, όταν ο δράστης έχει καταδικασθεί με τελεσίδικη απόφαση για παρόμοιο αδίκημα σε κάποιο κράτος μέλος. Άρθρο 8 Ιδιαίτερες περιστάσεις Κατά παρέκκλιση των άρθρων 6 και 7, τα κράτη μέλη εξασφαλίζουν ότι οι ποινές που αναφέρονται στα άρθρα 6 και 7 μπορούν να μειωθούν όταν η αρμόδια δικαστική αρχή θεωρεί ότι ο δράστης του αδικήματος προξένησε ζημίες ήσσονος σημασίας. Άρθρο 9 Ευθύνη νομικών προσώπων 1. Τα κράτη μέλη εξασφαλίζουν ότι τα νομικά πρόσωπα μπορούν να θεωρούνται υπεύθυνα για τις πράξεις που αναφέρονται στα άρθρα 3, 4 και 5 που διαπράττονται προς όφελός τους από κάθε άτομο που δρα είτε ατομικά είτε ως μέλος οργάνου του νομικού προσώπου και κατέχει διευθυντική θέση στο εσωτερικό του δυνάμει: (α) εξουσίας εκπροσώπησης του νομικού προσώπου, ή (β) εξουσίας να λαμβάνει αποφάσεις εξ ονόματος του νομικού προσώπου, ή (γ) εξουσίας να ασκεί έλεγχο στο εσωτερικό του νομικού προσώπου. 2. Πέραν των περιπτώσεων που προβλέπονται στην παράγραφο 1, τα κράτη μέλη εξασφαλίζουν ότι κάποιο νομικό πρόσωπο μπορεί να θεωρηθεί υπεύθυνο όταν η απουσία εποπτείας ή ελέγχου από άτομο που αναφέρεται στην παράγραφο 1 κατέστησε εφικτή την διάπραξη των αδικημάτων που αναφέρονται στα άρθρα 3, 4 και 5 προς όφελος αυτού του νομικού προσώπου από άτομο που τελεί υπό την εξουσία του. 3. Η ευθύνη νομικού προσώπου δυνάμει των παραγράφων 1 και 2 δεν αποκλείει την ποινική δίωξη κατά φυσικών προσώπων που καθίστανται υπεύθυνα για αδικήματα ή πράξεις που αναφέρονται στα άρθρα 3, 4 και 5. Άρθρο 10 Κυρώσεις νομικών προσώπων 1. Τα κράτη μέλη εξασφαλίζουν ότι το νομικό πρόσωπο που θεωρείται υπεύθυνο σύμφωνα με το άρθρο 9, παράγραφος 1, υπόκειται σε αποτελεσματικές, ανάλογες και αποτρεπτικές κυρώσεις, οι οποίες περιλαμβάνουν χρηματικές ποινές ή πρόστιμα και ενδεχομένως άλλες κυρώσεις όπως: α) αποκλεισμό από δημόσιες παροχές ή ενισχύσεις, β) προσωρινή ή οριστική απαγόρευση άσκησης εμπορικής δραστηριότητας, γ) θέση υπό δικαστική εποπτεία, ή δ) δικαστική εντολή διάλυσης. 2. Τα κράτη μέλη εξασφαλίζουν ότι το νομικό πρόσωπο που θεωρείται υπεύθυνο σύμφωνα με το άρθρο 9, παράγραφος 2, τιμωρείται με αποτελεσματικές, ανάλογες και αποτρεπτικές κυρώσεις ή μέτρα. Άρθρο 11 Διεθνής δικαιοδοσία 1. Κάθε κράτος μέλος θεμελιώνει τη δικαιοδοσία του όσον αφορά τα αδικήματα που αναφέρονται στα άρθρα 3, 4 και 5 όταν το αδίκημα διαπράττεται: (α) εν όλο ή εν μέρει στην επικράτειά του. ή (β) από έναν εκ των υπηκόων του και η πράξη θίγει άτομα ή ομάδες αυτού του κράτους.ή (γ) προς όφελος νομικού προσώπου του οποίου η έδρα ευρίσκεται στην επικράτειά του. 2. Για να θεμελιώσει τη δικαιοδοσία του σύμφωνα με την παράγραφο 1, στοιχείο α), κάθε κράτος μέλος εξασφαλίζει ότι αυτή περιλαμβάνει τις περιπτώσεις κατά τις οποίες: (α) ο δράστης διέπραξε το αδίκημα ευρισκόμενος στην επικράτειά του, ανεξάρτητα από το αν το αδίκημα στρέφεται κατά συστήματος πληροφοριών στην επικράτειά του. ή (β) το αδίκημα στρέφεται κατά συστήματος πληροφοριών στην επικράτειά του, ανεξάρτητα από το αν ο δράστης διαπράττει το αδίκημα ευρισκόμενος στην επικράτειά του. 3. Ένα κράτος μέλος μπορεί να αποφασίσει να μην εφαρμόσει, ή να εφαρμόσει μόνο σε ειδικές περιπτώσεις ή συνθήκες, τη δικαιοδοσία που ορίζεται στην παράγραφο 1 υπό β) και γ). 4. Κάθε κράτος μέλος λαμβάνει τα απαραίτητα μέτρα για να θεμελιώσει τη δικαιοδοσία του για τα αδικήματα που αναφέρονται στα άρθρα 3 έως 5 σε περίπτωση που αρνείται την παράδοση ή την έκδοση υπόπτου ή καταδικασθέντος για παρόμοιο αδίκημα σε άλλο κράτος μέλος ή τρίτη χώρα. 5. Όταν κάποιο αδίκημα υπάγεται στη δικαιοδοσία περισσοτέρων του ενός κρατών μελών και οποιοδήποτε εκ των συγκεκριμένων κρατών μπορεί έγκυρα να ασκήσει δίωξη στη βάση των ίδιων πραγματικών περιστατικών, τα συγκεκριμένα κράτη μέλη συνεργάζονται προκειμένου να αποφασισθεί ποιό εξ αυτών θα προβεί στη δίωξη των δραστών με σκοπό, εφόσον είναι εφικτό, να συγκεντρωθεί η διαδικασία σε ένα μόνο κράτος μέλος. Προς το σκοπό αυτό, τα κράτη μέλη μπορούν να προσφεύγουν σε οποιοδήποτε όργανο ή μηχανισμό εγκαθιδρυμένο στο εσωτερικό της Ευρωπαϊκής Ένωσης για να διευκολύνουν τη συνεργασία μεταξύ των δικαστικών αρχών τους και το συντονισμό των ενεργειών τους. 6. Τα κράτη μέλη ενημερώνουν τη Γενική Γραμματεία του Συμβουλίου και την Επιτροπή όταν αποφασίζουν να εφαρμόσουν την παράγραφο 3, προσδιορίζοντας εφόσον χρειάζεται τις ειδικές περιπτώσεις ή περιστάσεις στις οποίες εφαρμόζεται η απόφαση. Άρθρο 12 Ανταλλαγή πληροφοριών 1. Με σκοπό την ανταλλαγή πληροφοριών σχετικά με τα αδικήματα που αναφέρονται στα άρθρα 3, 4 και 5 και σύμφωνα με τους κανόνες προστασίας των δεδομένων, τα κράτη μέλη διορίζουν λειτουργικά σημεία επαφής διαθέσιμα σε 24ωρη βάση και τις επτά ημέρες της εβδομάδας. 2. Κάθε κράτος μέλος ενημερώνει τη Γενική Γραμματεία του Συμβουλίου και την Επιτροπή για τα σημεία επαφής που έχει ορίσει με σκοπό την ανταλλαγή πληροφοριών για τα αδικήματα που αφορούν επιθέσεις κατά των συστημάτων πληροφοριών. Η Γενική Γραμματεία ανακοινώνει αυτή την πληροφορία στα άλλα κράτη μέλη. Άρθρο 13 Εφαρμογή 1. Τα κράτη μέλη θέτουν σε ισχύ τα απαραίτητα μέτρα για να συμμορφωθούν με την παρούσα απόφαση πλαίσιο μέχρι την 1η Δεκεμβρίου 2003. 2. Ανακοινώνουν στη Γενική Γραμματεία του Συμβουλίου και στην Επιτροπή το κείμενο των διατάξεων που θεσπίζουν και πληροφορίες για οποιοδήποτε άλλο μέτρο λαμβάνουν για να συμμορφωθούν με την παρούσα απόφαση πλαίσιο. 3. Στη βάση αυτή, η Επιτροπή υποβάλει, μέχρι τις 31 Δεκεμβρίου 2004, έκθεση στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο για τη λειτουργία της παρούσας απόφασης πλαισίου, συνοδεύοντάς τη, εφ' όσον χρειάζεται, με νομοθετικές προτάσεις. 4. Το Συμβούλιο αξιολογεί το βαθμό στον οποίο τα κράτη μέλη συμμορφώθηκαν με την παρούσα απόφαση πλαίσιο. Άρθρο 14 Έναρξη ισχύος Η παρούσα απόφαση πλαίσιο αρχίζει να ισχύει την εικοστή ημέρα μετά τη δημοσίευσή της στην Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων. Έγινε στις Βρυξέλλες, Για το Συμβούλιο Ο Πρόεδρος