La Directiva de la Unión Europea (UE) sobre ciberdelincuencia tiene por objeto combatir la ciberdelincuencia y fomentar la seguridad de la información mediante leyes nacionales más estrictas, penas más severas y una mayor cooperación entre las autoridades competentes.

Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra sistemas de información.

La presente Directiva introduce nuevas normas que armonizan la criminalización y las penas para varios delitos contra los sistemas de información. Estas normas incluyen la ilegalización de la utilización de los denominados«botnets»: programas nocivos diseñados para tomar el control remoto de redes de ordenadores. Asimismo, pide a los países de la UE que utilicen los mismos puntos de contacto que el Consejo de Europa y el G8 para reaccionar con prontitud a las amenazas que impliquen una tecnología avanzada.

Los principales tipos de infracciones penales que abarca la presente Directiva son los ataques contra los sistemas de información, que van desde ataques de«denegación de servicio», concebidos para dejar fuera de servicio un servidor, hasta la interceptación de datos y ataques de botnets.

La ciberdelincuencia debe ser combatida eficazmente, no solo en un Estado miembro determinado, sino también entre Estados, lo cual requiere:

A este efecto, la presente Directiva urge la aproximación de los sistemas de Derecho penal entre los países de la UE y la mejora de la cooperación entre autoridades judiciales en relación con:

En todo caso, el elemento de la intencionalidad debe caracterizar el hecho delictivo.

La inducción, la complicidad y la tentativa de cometer cualquiera de las infracciones antes mencionadas también serán sancionables.

Los Estados miembros deberán tomar medidas para que dichas infracciones se sancionen mediante sanciones efectivas, proporcionadas y disuasorias.

Cuando una infracción se cometa en el marco de una organización delictiva, tal como se define en la presente Directiva, y ocasione pérdidas sustanciales o afecte a intereses esenciales, se considerará circunstancia agravante. Los mismo será de aplicación si una infracción se comete utilizando la identidad de otra persona y ocasiona daños a esta persona.

La Directiva también presenta la responsabilidad de las personas jurídicas y establece sanciones que pueden aplicarse si son declaradas culpables.

Cada país de la UE será competente judicialmente respecto de por lo menos las infracciones cometidas en su territorio o por uno de sus nacionales fuera de su territorio. Cuando la infracción sea de la competencia de varios países, estos deberán cooperar para designar a uno de ellos para que inicie un proceso contra el autor de dicha infracción.

Para combatir mejor la ciberdelincuencia, la Directiva pide una mayor cooperación internacional entre los servicios encargados de la aplicación de la ley y las autoridades judiciales.

La presente Directiva se basa y sustituye la Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información. También se basa en el Convenio del Consejo de Europa de 2001, que sirve como modelo para la legislación nacional y regional sobre ciberdelincuencia y crea una base común para la cooperación dentro y fuera de la UE.

REFERENCIAS

Acto	Entrada en vigor	Plazo de transposición en los Estados miembros	Diario Oficial de la Unión Europea
Directiva 2013/40/UE	3.9.2013	4.9.2015	DO L 218 de 14.8.2013

Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información.