Help Print this page 
Title and reference
Ataques contra los sistemas de información

Summaries of EU legislation: direct access to the main summaries page.
Multilingual display
Text

Ataques contra los sistemas de información

La Directiva de la Unión Europea (UE) sobre ciberdelincuencia tiene por objeto combatir la ciberdelincuencia y fomentar la seguridad de la información mediante leyes nacionales más estrictas, penas más severas y una mayor cooperación entre las autoridades competentes.

ACTO

Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra sistemas de información.

SÍNTESIS

La presente Directiva introduce nuevas normas que armonizan la criminalización y las penas para varios delitos contra los sistemas de información. Estas normas incluyen la ilegalización de la utilización de los denominadosbotnets: programas nocivos diseñados para tomar el control remoto de redes de ordenadores. Asimismo, pide a los países de la UE que utilicen los mismos puntos de contacto que el Consejo de Europa y el G8 para reaccionar con prontitud a las amenazas que impliquen una tecnología avanzada.

Los principales tipos de infracciones penales que abarca la presente Directiva son los ataques contra los sistemas de información, que van desde ataques dedenegación de servicio, concebidos para dejar fuera de servicio un servidor, hasta la interceptación de datos y ataques de botnets.

La ciberdelincuencia debe ser combatida eficazmente, no solo en un Estado miembro determinado, sino también entre Estados, lo cual requiere:

  • la garantía de que las mismas infracciones estén criminalizadas en todos los Estados miembros y
  • la dotación a los servicios encargados de la aplicación de la ley de los medios para que actúen y cooperen entre ellos.

A este efecto, la presente Directiva urge la aproximación de los sistemas de Derecho penal entre los países de la UE y la mejora de la cooperación entre autoridades judiciales en relación con:

  • el acceso ilegal a sistemas de información;
  • la intromisión ilegal en un sistema;
  • la intromisión ilegal en los datos;
  • la interceptación ilegal.

En todo caso, el elemento de la intencionalidad debe caracterizar el hecho delictivo.

La inducción, la complicidad y la tentativa de cometer cualquiera de las infracciones antes mencionadas también serán sancionables.

Los Estados miembros deberán tomar medidas para que dichas infracciones se sancionen mediante sanciones efectivas, proporcionadas y disuasorias.

Cuando una infracción se cometa en el marco de una organización delictiva, tal como se define en la presente Directiva, y ocasione pérdidas sustanciales o afecte a intereses esenciales, se considerará circunstancia agravante. Los mismo será de aplicación si una infracción se comete utilizando la identidad de otra persona y ocasiona daños a esta persona.

La Directiva también presenta la responsabilidad de las personas jurídicas y establece sanciones que pueden aplicarse si son declaradas culpables.

Cada país de la UE será competente judicialmente respecto de por lo menos las infracciones cometidas en su territorio o por uno de sus nacionales fuera de su territorio. Cuando la infracción sea de la competencia de varios países, estos deberán cooperar para designar a uno de ellos para que inicie un proceso contra el autor de dicha infracción.

Mayor cooperación

Para combatir mejor la ciberdelincuencia, la Directiva pide una mayor cooperación internacional entre los servicios encargados de la aplicación de la ley y las autoridades judiciales.

A este fin, los países de la UE deben:

  • tener un punto de contacto nacional operativo;
  • hacer uso de la red existente de puntos de contacto operativos disponibles veinticuatro horas al día, siete días a la semana;
  • contestar en el plazo de ocho horas a las solicitudes urgentes de ayuda para indicar si se dará una respuesta y cuándo puede darse;
  • recoger datos estadísticos sobre ciberdelincuencia.

La presente Directiva se basa y sustituye la Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información. También se basa en el Convenio del Consejo de Europa de 2001, que sirve como modelo para la legislación nacional y regional sobre ciberdelincuencia y crea una base común para la cooperación dentro y fuera de la UE.

REFERENCIAS

Acto

Entrada en vigor

Plazo de transposición en los Estados miembros

Diario Oficial de la Unión Europea

Directiva 2013/40/UE

3.9.2013

4.9.2015

DO L 218 de 14.8.2013

ACTOS CONEXOS

Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información.

Convenio del Consejo de Europa sobre la ciberdelincuencia

Última modificación: 02.04.2014

Top