ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ
Βρυξέλλες, 13.9.2017
COM(2017) 474 final
ΕΚΘΕΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ
στην οποία αξιολογείται κατά πόσον τα κράτη μέλη έχουν λάβει τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την οδηγία 2013/40/EE για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου
β) Απόπειρα
γ) Κυρώσεις
δ) Ευθύνη νομικών προσώπων
ε) Κυρώσεις κατά νομικών προσώπων
στ) Δικαιοδοσία
2.4 Επιχειρησιακά ζητήματα (άρθρα 13 – 14 της οδηγίας)
α) Διάταξη σχετικά με τα επιχειρησιακά εθνικά σημεία επαφής
β) Πληροφορίες σχετικά με τα συσταθέντα επιχειρησιακά εθνικά σημεία επαφής
γ) Δίαυλοι αναφοράς
δ) Συλλογή στατιστικών στοιχείων
ε) Διαβίβαση στατιστικών στοιχείων στην Επιτροπή
3. Συμπέρασμα και επόμενα βήματα
1. Εισαγωγή
Σύμφωνα με την «Αξιολόγηση των απειλών από την Ευρωπόλ όσον αφορά το οργανωμένο έγκλημα στο διαδίκτυο» (IOCTA) του 2016, το έγκλημα στον κυβερνοχώρο καθίσταται ολοένα και πιο επιθετικό και συγκρουσιακό. Αυτό γίνεται εμφανές από διάφορες μορφές του εγκλήματος στον κυβερνοχώρο, συμπεριλαμβανομένων των επιθέσεων κατά συστημάτων πληροφοριών
. Μερικές σοβαρές μορφές επιθέσεων που αναφέρει η Ευρωπόλ είναι η χρήση κακόβουλου λογισμικού και κοινωνικής μηχανικής με σκοπό τη διείσδυση σε ένα σύστημα πληροφοριών και την απόκτηση ελέγχου αυτού ή την υποκλοπή επικοινωνιών και την εξαπόλυση μεγάλης κλίμακας επιθέσεων στο διαδίκτυο, μεταξύ άλλων σε ζωτικής σημασίας υποδομές. Αυτές οι επιθέσεις χαρακτηρίζονται ως βασικές απειλές για την κοινωνία μας.
Δεδομένου ότι ολοένα και περισσότερες πληροφορίες αποθηκεύονται σε υπολογιστικά νέφη και ότι τόσο οι πληροφορίες όσο και οι εγκληματίες εμφανίζουν πλέον ιδιαίτερη κινητικότητα, η διασυνοριακή συνεργασία μεταξύ των αρχών επιβολής του νόμου έχει πλέον καθοριστική σημασία για τις περισσότερες έρευνες στον τομέα του εγκλήματος στον κυβερνοχώρο.
Προκειμένου να αντιμετωπίσουν αποτελεσματικά αυτά τα εγκλήματα, τα κράτη μέλη πρέπει να καθορίσουν από κοινού ποιες ενέργειες πρέπει να θεωρούνται επιθέσεις κατά συστημάτων πληροφοριών. Επίσης, πρέπει να διαθέτουν εναρμονισμένα όρια κυρώσεων και τα επιχειρησιακά μέσα για την αναφορά αδικημάτων και την ανταλλαγή πληροφοριών μεταξύ αρχών. Ως εκ τούτου, στις 12 Αυγούστου 2013, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο εξέδωσαν την οδηγία 2013/40/ΕΕ («οδηγία») για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου.
1.1. Στόχοι και πεδίο εφαρμογής της οδηγίας
Οι στόχοι της οδηγίας είναι η προσέγγιση του ποινικού δικαίου των κρατών μελών
στον τομέα των επιθέσεων κατά συστημάτων πληροφοριών και η βελτίωση της συνεργασίας μεταξύ των αρμόδιων αρχών. Τούτο καθίσταται δυνατό με τη θέσπιση ελάχιστων κανόνων σχετικά με τον ορισμό των ποινικών αδικημάτων και των κυρώσεων στον τομέα των επιθέσεων κατά των συστημάτων πληροφοριών και με την απαίτηση ύπαρξης επιχειρησιακών σημείων επαφής διαθέσιμων σε 24ωρη βάση και τις 7 ημέρες της εβδομάδας.
Σχετικά με τον ορισμό των σχετικών όρων, η οδηγία αναφέρεται στα εξής:
·«Σύστημα πληροφοριών» στο άρθρο 2 στοιχείο α)
. Ο ορισμός προσεγγίζει τον ορισμό του συστήματος υπολογιστών όπως αυτός προβλέπεται στο άρθρο 1 στοιχείο α) της σύμβασης του Συμβουλίου της Ευρώπης, της 23ης Νοεμβρίου 2001, για το έγκλημα στον κυβερνοχώρο («σύμβαση της Βουδαπέστης»), με την εξαίρεση ότι η οδηγία καλύπτει επίσης ρητώς τα ίδια τα ηλεκτρονικά δεδομένα.
·«Ηλεκτρονικά δεδομένα» στο άρθρο 2 στοιχείο β). Ο ορισμός ακολουθεί τον ορισμό του άρθρου 1 στοιχείο β) της σύμβασης της Βουδαπέστης, ενώ αναφέρεται σε σύστημα πληροφοριών αντί του συστήματος υπολογιστών.
·«Νομικό πρόσωπο» στο άρθρο 2 στοιχείο γ). Στόχος του ορισμού είναι να εξασφαλίσει ότι ευθύνη υπέχουν τόσο τα φυσικά όσο και τα νομικά πρόσωπα, αλλά όχι τα κράτη, οι δημόσιοι φορείς ή οι δημόσιοι διεθνείς οργανισμοί.
·«Χωρίς δικαίωμα» στο άρθρο 2 στοιχείο δ). Ο ορισμός αφορά μια γενική αρχή του ποινικού δικαίου και στοχεύει στην αποφυγή της ποινικής ευθύνης για ένα πρόσωπο που ενεργεί είτε ως επιτρεπόμενο δυνάμει του εθνικού δικαίου είτε ως εξουσιοδοτημένο από τον ιδιοκτήτη ή από άλλο νόμιμο δικαιούχο του συστήματος πληροφοριών ή μέρους του.
Η οδηγία αναφέρει συγκεκριμένα ποινικά αδικήματα, ήτοι:
·Παράνομη πρόσβαση σε συστήματα πληροφοριών (άρθρο 3)·
·Παράνομη παρεμβολή σε σύστημα (άρθρο 4) η οποία περιλαμβάνει κάθε παράνομη πρόσβαση σε σύστημα πληροφοριών που προκαλεί σοβαρή παρεμπόδιση ή διακοπή της λειτουργίας του·
·Παράνομη παρεμβολή σε δεδομένα (άρθρο 5) η οποία αφορά κάθε παράνομη παρεμβολή σε ηλεκτρονικά δεδομένα, όπως η μείωση της ακεραιότητας ή της διαθεσιμότητάς τους·
·Παράνομη υποκλοπή (άρθρο 6) μη δημόσιων διαβιβάσεων ηλεκτρονικών δεδομένων και ηλεκτρομαγνητικών εκπομπών από ένα σύστημα πληροφοριών που περιέχει τέτοια δεδομένα·
·Παράνομη παροχή εργαλείων που χρησιμοποιούνται για τη διάπραξη των αναφερόμενων αδικημάτων (άρθρο 7). Στο πλαίσιο αυτό, τέτοια εργαλεία μπορεί να είναι ένα πρόγραμμα υπολογιστή καθώς και ένας συνθηματικός κωδικός υπολογιστή ή οποιαδήποτε στοιχεία μέσω των οποίων μπορεί να αποκτηθεί πρόσβαση σε σύστημα πληροφοριών.
Επιπλέον, η οδηγία επεκτείνει την ποινική ευθύνη στην ηθική αυτουργία, την υποβοήθηση και τη συνέργεια που διαπράττεται από φυσικό και/ή νομικό πρόσωπο και στην απόπειρά τους να διαπράξουν τα ανωτέρω αδικήματα (άρθρο 8). Παρότι η αυτουργία, η υποβοήθηση και η συνέργεια καλύπτουν όλα τα αδικήματα που αναφέρονται στα άρθρα 3 έως 7, η απόπειρα αναφέρεται μόνο στα άρθρα 4 και 5.
Το άρθρο 9 προβλέπει τα ελάχιστα επίπεδα των ανώτατων ορίων κυρώσεων για αδικήματα που αναφέρονται στην οδηγία:
·Ως βάση, το ανώτατο όριο της στερητικής της ελευθερίας ποινής ορίζεται σε τουλάχιστον 2 έτη για όλα τα αδικήματα, εκτός από αυτά που περιλαμβάνονται στο άρθρο 8 (άρθρο 9 παράγραφος 2).
·Τα αδικήματα που αναφέρονται στα άρθρα 4 και 5 τιμωρούνται με στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε τουλάχιστον 3 έτη, εφόσον πλήττεται σημαντικός αριθμός συστημάτων πληροφοριών (γενικά αναφέρονται ως αδικήματα «botnet»)· Άρθρο 9 παράγραφος 3.
·Τα αδικήματα που αναφέρονται στα άρθρα 4 και 5 τιμωρούνται με στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε τουλάχιστον 5 έτη, εφόσον διαπράττονται στο πλαίσιο εγκληματικής οργάνωσης (άρθρο 9 παράγραφος 4 στοιχείο α)), προκαλούν σημαντικές ζημίες (άρθρο 9 παράγραφος 4 στοιχείο β)) ή διαπράττονται κατά συστήματος πληροφοριών που αποτελεί μέρος ζωτικής σημασίας υποδομής (άρθρο 9 παράγραφος 4 στοιχείο γ)).
·Εφόσον τα αδικήματα που αναφέρονται στα άρθρα 4 και 5 διαπράττονται με υφαρπαγή δεδομένων προσωπικού χαρακτήρα άλλου προσώπου, τα κράτη μέλη πρέπει να διασφαλίσουν ότι το γεγονός αυτό μπορεί να εκλαμβάνεται ως επιβαρυντική περίσταση, εκτός εάν οι εν λόγω περιστάσεις καλύπτονται ήδη από άλλο αδίκημα (άρθρο 9 παράγραφος 5).
Τα άρθρα που ακολουθούν καθορίζουν τις ελάχιστες προϋποθέσεις για την ευθύνη των νομικών προσώπων (άρθρο 10) και παρέχουν ενδεικτικό κατάλογο των πιθανών κυρώσεων κατά αυτών (άρθρο 11).
Αναγνωρίζοντας ότι τα ανωτέρω αδικήματα μπορεί να διαπράττονται (υπό την έννοια της «τέλεσης») σε τόπο όπου δρα πραγματικά ο δράστης του αδικήματος, ενώ οι επιπτώσεις τους στο στοχευόμενο σύστημα πληροφοριών μπορεί να λαμβάνουν χώρα κάπου αλλού, το άρθρο 12 προβλέπει υποχρεώσεις για τη θεμελίωση της δικαιοδοσίας προβαίνοντας στις ακόλουθες διακρίσεις:
·τον τόπο όπου βρίσκεται ο δράστης όταν διαπράττει το αδίκημα,
·την τοποθεσία του στοχευόμενου συστήματος πληροφοριών,
·την ιθαγένεια του δράστη,
·τη συνήθη κατοικία του δράστη και
·την έδρα ενός νομικού προσώπου προς όφελος του οποίου διαπράττεται το αδίκημα.
Όσον αφορά την ανταλλαγή πληροφοριών, το άρθρο 13 παράγραφος 1 απαιτεί από τα κράτη μέλη να εξασφαλίσουν ότι διαθέτουν επιχειρησιακά εθνικά σημεία επαφής που είναι διαθέσιμα σε 24ωρη βάση και τις 7 ημέρες της εβδομάδας, προκειμένου να μπορούν να ανταποκρίνονται σε τυχόν επείγουσα αλλοδαπή αίτηση συνδρομής εντός 8 ωρών.
Επιπλέον, τα κράτη μέλη πρέπει να λάβουν τα αναγκαία μέτρα ώστε να διευκολυνθεί η υποβολή αναφορών σχετικά με τα ανωτέρω αδικήματα στις αρμόδιες εθνικές αρχές (άρθρο 13 παράγραφος 3) και να συγκεντρώσουν και να ανταλλάξουν μια ελάχιστη ποσότητα στατιστικών στοιχείων για τα αδικήματα αυτά (άρθρο 14).
1.2 Σκοπός και μεθοδολογία της έκθεσης
Σύμφωνα με το άρθρο 16 της οδηγίας, τα κράτη μέλη πρέπει να θέσουν σε ισχύ τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με την οδηγία έως τις 4 Σεπτεμβρίου 2015 και να τις κοινοποιήσουν στην Επιτροπή.
Η παρούσα έκθεση ανταποκρίνεται στην απαίτηση του άρθρου 17 της οδηγίας, σύμφωνα με την οποία η Επιτροπή υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, με την οποία αξιολογείται κατά πόσον τα κράτη μέλη έχουν λάβει τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την οδηγία. Τουτέστιν, η έκθεση έχει ως στόχο να παράσχει μια συνοπτική αλλά κατατοπιστική επισκόπηση των κυριότερων μέτρων μεταφοράς στο εθνικό δίκαιο που έχουν ληφθεί από τα κράτη μέλη.
Η διαδικασία μεταφοράς της οδηγίας στο εθνικό δίκαιο των κρατών μελών περιλάμβανε τη συλλογή πληροφοριών για τα σχετικά νομοθετικά και διοικητικά μέτρα, την ανάλυσή τους, την κατάρτιση νέας νομοθεσίας ή – στις περισσότερες περιπτώσεις – την τροποποίηση των υφιστάμενων πράξεων, την παρακολούθηση μέχρι την έκδοσή τους και τέλος την υποβολή έκθεσης στην Επιτροπή.
Έως την ημερομηνία μεταφοράς στο εθνικό δίκαιο, 22 κράτη μέλη είχαν ενημερώσει την Επιτροπή ότι είχαν ολοκληρώσει τη μεταφορά της οδηγίας. Τον Νοέμβριο του 2015, η Επιτροπή κίνησε διαδικασίες επί παραβάσει για μη κοινοποίηση των εθνικών μέτρων μεταφοράς στο εθνικό δίκαιο κατά των υπόλοιπων 5 κρατών μελών: BE, BG, EL, IE και SI
. Στις 31 Μαΐου 2017, οι διαδικασίες επί παραβάσει για τη μη κοινοποίηση των εθνικών μέτρων μεταφοράς στο εθνικό δίκαιο κατά των κρατών μελών BE, BG και IE εξακολουθούσαν να εκκρεμούν.
Η περιγραφή και η ανάλυση στην παρούσα έκθεση βασίζονται στις πληροφορίες που υπέβαλαν τα κράτη μέλη έως τις 31 Μαΐου 2017.
Οι κοινοποιήσεις που παρελήφθησαν μετά την εν λόγω ημερομηνία δεν έχουν ληφθεί υπόψη. Συνεκτιμήθηκαν όλα τα κοινοποιηθέντα μέτρα που αφορούν τις εθνικές νομοθεσίες, καθώς και οι αποφάσεις δικαστηρίων και, κατά περίπτωση, η κοινή νομική θεωρία. Επίσης, κατά τη διάρκεια της ανάλυσης, η Επιτροπή επικοινώνησε άμεσα με τα κράτη μέλη, όπου κρίθηκε αναγκαίο και πρόσφορο, προκειμένου να λάβει επιπρόσθετες πληροφορίες ή διευκρινίσεις. Όλες οι πληροφορίες που συγκεντρώθηκαν λήφθηκαν υπόψη για την ανάλυση.
Πέραν των ζητημάτων που αναφέρονται στην παρούσα έκθεση, ενδέχεται να υπάρχουν περαιτέρω προκλήσεις σχετικά με τη μεταφορά της οδηγίας στο εθνικό δίκαιο, καθώς και άλλες διατάξεις που δεν αναφέρθηκαν στην Επιτροπή ή μελλοντικές νομοθετικές και μη νομοθετικές εξελίξεις. Ως εκ τούτου, η παρούσα έκθεση δεν εμποδίζει την Επιτροπή να αξιολογήσει περαιτέρω ορισμένες διατάξεις και να συνεχίσει να στηρίζει τα κράτη μέλη στη διαδικασία μεταφοράς και εφαρμογής της οδηγίας.
2. Μέτρα μεταφοράς στο εθνικό δίκαιο
2.1 Νομικοί ορισμοί (Άρθρο 2 της οδηγίας)
Το άρθρο 2 της οδηγίας παρέχει νομικούς ορισμούς των όρων «σύστημα πληροφοριών (στοιχείο α)), «ηλεκτρονικά δεδομένα» (στοιχείο β)), «νομικό πρόσωπο» (στοιχείο γ)) και «χωρίς δικαίωμα» (στοιχείο δ)). Μόνο η CY και το UK (Γιβραλτάρ) έχουν θεσπίσει νομοθεσία που καλύπτει όλες τις πτυχές των προαναφερόμενων ορισμών. Πιο συγκεκριμένα:
α) Σύστημα πληροφοριών
Ο ορισμός της οδηγίας βασίζεται στον ορισμό του όρου «σύστημα υπολογιστών» όπως προβλέπεται στο άρθρο 1 στοιχείο α) της σύμβασης της Βουδαπέστης, με την προσθήκη των «ηλεκτρονικών δεδομένων» ως μέρος του συστήματος πληροφοριών. Οι CY, EL, IE, FI, HR, MT, PT και UK (Γιβραλτάρ) έχουν θεσπίσει νομικές διατάξεις με τον ορισμό του όρου «σύστημα πληροφοριών», ενώ οι πληροφορίες που διαβίβασαν οι DE, ES, FR, LU, LV, PL, SE και SK δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων. Για τα υπόλοιπα κράτη μέλη, δηλαδή AT, BE, BG, CZ, EE, HU, IT, LT, NL, RO, SI και UK (εκτός του Γιβραλτάρ), οι αντίστοιχοι νομικοί ορισμοί δεν αναφέρουν συγκεκριμένα τον όρο «ηλεκτρονικά δεδομένα». Τούτο παραπέμπει στο άρθρο 1 στοιχείο α) της σύμβασης της Βουδαπέστης που έχει ταυτόσημο πεδίο εφαρμογής για τον ορισμό του όρου «σύστημα υπολογιστών».
β) Ηλεκτρονικά δεδομένα
Ο όρος «ηλεκτρονικά δεδομένα» προβλέπεται από τη νομοθεσία AT, BG, CY, CZ, DE, EE, EL IE, FI, HR, LT, MT, NL, PT, RO και UK (Γιβραλτάρ), ενώ οι πληροφορίες που διαβίβασαν οι ES, FR, IT, LU, LV, PL, SE, SK και UK (εκτός του Γιβραλτάρ) δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων. Ωστόσο, στην περίπτωση της SE, η ειδική σύσταση των σχετικών άρθρων καθιστά τον ορισμό αυτό περιττό. Όσον αφορά τα υπόλοιπα κράτη μέλη, η HU αναφέρει τον ορισμό του όρου «ηλεκτρονικά δεδομένα» μόνο για αδικήματα που περιγράφονται στα άρθρα 4 και 5 της οδηγίας, ενώ το BE και η SI δεν συμπεριλαμβάνουν τη διατύπωση «προγράμματος που παρέχει τη δυνατότητα στο σύστημα πληροφοριών να εκτελέσει μια λειτουργία» στον ορισμό του όρου «ηλεκτρονικά δεδομένα».
γ) Νομικό πρόσωπο
Εκτός από το LU, το οποίο διαβίβασε πληροφορίες που δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων σχετικά με τη μεταφορά στο εθνικό δίκαιο του άρθρου 2 στοιχείο γ), η μεταφορά στο εθνικό δίκαιο του ορισμού του όρου «νομικό πρόσωπο» δεν προκάλεσε προβλήματα. Αυτό οφείλεται στο ότι, γενικά, ο ορισμός υπάρχει ήδη κυρίως στις διατάξεις του αστικού ή του εμπορικού δικαίου των κρατών μελών. Μόνο η CY διαθέτει ειδική διάταξη στα μέτρα για τη μεταφορά της οδηγίας στο εθνικό δίκαιο.
δ) Χωρίς δικαίωμα
Όσον αφορά τον ορισμό του όρου «χωρίς δικαίωμα» στο άρθρο 2 στοιχείο δ), μόνο οι CY, IE, RO και το UK (Γιβραλτάρ) κοινοποίησαν τα μέτρα μεταφοράς, ενώ 23 κράτη μέλη δεν διαθέτουν μέτρα μεταφοράς για τον ορισμό αυτό. Ωστόσο, πρέπει να σημειωθεί ότι, σε όλα τα κράτη μέλη, ισχύει η γενική αρχή της μη ποινικής ευθύνης για οποιαδήποτε ενέργεια, εφόσον αυτή η ενέργεια τελείται βάσει παρεχόμενων δικαιωμάτων.
2.2 Συγκεκριμένα ποινικά αδικήματα (άρθρα 3 έως 7 της οδηγίας)
α) Παράνομη πρόσβαση σε συστήματα πληροφοριών
Όσον αφορά την παράνομη πρόσβαση σε σύστημα πληροφοριών, το άρθρο 3 της οδηγίας καλύπτεται από την εθνική νομοθεσία AT, CY, CZ, EL, ES, IE, FI, FR, LT, LU, NL, PL, PT, SE και SK.
Για όλα τα υπόλοιπα κράτη μέλη, δηλαδή BE, BG, DE, EE, HR, HU, IT, LV, MT, RO, SI και UK, η αντίστοιχη εθνική περιγραφή του όρου «ποινικό αδίκημα» δεν κάνει διάκριση μεταξύ της απόκτησης πρόσβασης στο σύνολο ή σε μέρος του συστήματος πληροφοριών, παρότι αυτό προβλέπεται ρητώς στην οδηγία. Επίσης, η μεταφορά στο εθνικό δίκαιο της DE δεν καλύπτει την απλή πρόσβαση στο υλισμικό, ενώ επιπρόσθετες απαιτήσεις προβλέπονται από την AT και το LU όσον αφορά μια ειδική πρόθεση (πρόθεση για απόκτηση γνώσεων, πρόκληση ζημίας ή πρόθεση απάτης) και από τη LV όσον αφορά την πρόκληση σημαντικής βλάβης. Στην περίπτωση των BE, BG, FR, HR, LU, MT, PT, RO, SI και UK, το πεδίο εφαρμογής των εθνικών διατάξεων είναι ευρύτερο από την οδηγία, καθώς οι εν λόγω διατάξεις δεν καταστρατηγούν κάποιο μέτρο ασφαλείας για την απόδοση ποινικής ευθύνης. Τα υπόλοιπα κράτη μέλη είτε αναφέρονται κατά λέξη στο αδίκημα που διαπράττεται κατά παράβαση μέτρου ασφαλείας (CY, EL και SK) είτε χρησιμοποιούν παρόμοια ορολογία για να προσδιορίσουν την πτυχή (AT, CZ, DE, EE, ES, FI, HU, IT, LT, LV, NL, PL και SE).
β) Παράνομη παρεμβολή σε σύστημα
Το άρθρο 4 της οδηγίας αναφέρεται στην παράνομη παρεμβολή σε σύστημα. Η οδηγία απαριθμεί 8 πιθανές ενέργειες (εισαγωγή ηλεκτρονικών δεδομένων, διαβίβαση, ζημία, διαγραφή, φθορά, αλλοίωση ή εξάλειψη αυτών των δεδομένων ή αποκλεισμός της πρόσβασης στα δεδομένα αυτά) και 2 πιθανά αποτελέσματα της αντίστοιχης ενέργειας (σοβαρή παρεμπόδιση ή διακοπή της λειτουργίας συστήματος πληροφοριών). Οι BE, CY, CZ, EL, IE, FR, HR, LU, MT, PT, SE και το UK (εκτός από το Γιβραλτάρ) έχουν θεσπίσει αντίστοιχα νομοθετικά μέτρα. Η BG αναφέρεται μόνο στην εισαγωγή ιών, ενώ για τα υπόλοιπα κράτη μέλη (AT, DE, EE, ES, HU, IT, LV, NL, PL, RO, SI, SK και UK), 1 έως 4 από τις πιθανές ενέργειες δεν αναφέρονται ρητώς. Στο πλαίσιο αυτό, μπορεί να σημειωθεί ότι περισσότερα ζητήματα προέκυψαν με τους όρους «φθορά» (λείπει σε 8 περιπτώσεις) και «αποκλεισμός της πρόσβασης» (λείπει σε 9 περιπτώσεις).
γ) Παράνομη παρεμβολή σε δεδομένα
Το άρθρο 5 της οδηγίας καλύπτει την παράνομη παρεμβολή σε δεδομένα και απαριθμεί τις ακόλουθες 6 πιθανές ενέργειες: διαγραφή, ζημία, φθορά, αλλοίωση, εξάλειψη ηλεκτρονικών δεδομένων ενός συστήματος πληροφοριών ή αποκλεισμός της πρόσβασης στα δεδομένα αυτά. Οι CY, EL, IE και MT έχουν μεταφέρει κατά λέξη τη διάταξη στο εθνικό δίκαιο· οι BE, CZ, LT, PT και SE χρησιμοποίησαν πιο γενικούς όρους για να καλύψουν όλες τις πιθανές ενέργειες. Τα μέτρα μεταφοράς στο εθνικό δίκαιο όλων των λοιπών κρατών μελών δεν καλύπτουν κάθε πιθανότητα, αλλά αναφέρονται μόνο σε 5 εναλλακτικές επιλογές (FI και SK) ή λιγότερες επιλογές (AT, BG, DE, EE, FR, HR, HU, IT, LU, NL, PL, RO, SI και UK). Περισσότερα ζητήματα προέκυψαν με τους όρους «ζημία» (λείπει 8 φορές), «φθορά» (13 φορές), «εξάλειψη δεδομένων» (11 φορές) και «αποκλεισμός της πρόσβασης στα δεδομένα αυτά» (13 φορές). Επιπλέον της διατύπωσης της οδηγίας, η FI θέτει ως προϋπόθεση για την ποινική ευθύνη την «πρόθεση πρόκλησης βλάβης ή οικονομικής ζημίας», ενώ η LT και η LV απαιτούν η «ενέργεια να προκαλεί μείζονα ζημία ή σημαντική βλάβη».
δ) Παράνομη υποκλοπή
Το άρθρο 6 αναφέρεται στην παράνομη υποκλοπή και εστιάζει στη μη δημόσια διαβίβαση ηλεκτρονικών δεδομένων και ηλεκτρομαγνητικών εκπομπών από ένα σύστημα πληροφοριών που περιέχει τέτοια ηλεκτρονικά δεδομένα. Οι CY, CZ, DE, ES, IE, FI, HR, LV, MT, RO, SE, SK και το UK (Γιβραλτάρ) έχουν θεσπίσει νομοθεσία που καλύπτει πλήρως το άρθρο 6. Το γενικό πεδίο εφαρμογής της οδηγίας που αναφέρεται στην υποκλοπή ηλεκτρονικών δεδομένων περιορίζεται στα μηνύματα (AT και BG), στην παρακολούθηση προσώπου (ΕΕ) ή αλληλογραφίας (FR και HU). Επίσης, τα μέτρα μεταφοράς στο εθνικό δίκαιο που λαμβάνουν τα ακόλουθα κράτη μέλη δεν καλύπτουν την υποκλοπή ηλεκτρομαγνητικών εκπομπών: BE, BG, EE, FR, HU, IT, LT, LU, NL, PL, PT, SI και UK (εκτός του Γιβραλτάρ). Επιπροσθέτως, ορισμένα κράτη μέλη απαιτούν ειδική πρόθεση (όπως απόκτηση γνώσεων ή οικονομικού κέρδους ή πρόκληση ζημίας — βλ. AT, EL, HU) ή συγκεκριμένες επιπρόσθετες ενέργειες (π.χ. καταγραφή ή γνώση του υποκλαπέντος περιεχομένου — βλ. BG και HU).
ε) Εργαλεία που χρησιμοποιούνται στη διάπραξη αδικημάτων
Το άρθρο 7 ποινικοποιεί σειρά ενεργειών που αφορούν εργαλεία όπως προγράμματα υπολογιστή ή κωδικούς πρόσβασης για τη διάπραξη των αδικημάτων που αναφέρονται στα άρθρα 3 έως 6: παραγωγή, πώληση, προμήθεια προς χρήση, εισαγωγή, διανομή ή με άλλο τρόπο διάθεση τέτοιων εργαλείων. Οι AT, BE, CY, DE, EL, IE και SK έχουν θεσπίσει αντίστοιχη εθνική νομοθεσία. Ορισμένα κράτη μέλη δεν καλύπτουν όλα τα αναφερόμενα αδικήματα (EE, IT, MT, PL και SI). Ορισμένα κράτη μέλη δεν αναφέρονται στον αυτουργό του άρθρου 7 ως πρόσωπο διαφορετικό από τον δράστη των αναφερόμενων αδικημάτων των άρθρων 3 έως 6 (CZ και SI). Ορισμένα κράτη μέλη απαιτούν συγκεκριμένη πρόθεση (πρόκληση ζημίας ή δόλια ενέργεια — βλ. FI, IT και LU), συγκεκριμένο αποτέλεσμα όπως παραβίαση εχεμύθειας (BG) ή τουλάχιστον ένα επίπεδο προπαρασκευής των αναφερόμενων αδικημάτων (SE). Τέλος, αναντιστοιχίες μεταξύ του άρθρου 7 και των εθνικών μέτρων διαπιστώνονται στην έλλειψη μεταφοράς στο εθνικό δίκαιο όλων των πιθανών απαριθμούμενων ενεργειών. Τούτο ισχύει για BG, CZ, EE, ES, FR, HR, HU, IT, LT, LU, LV, PL, PT, RO, SI και UK. Μεταξύ αυτών, η νομοθεσία του LU αναφέρει συγκεκριμένα πέντε από τις έξι πιθανές ενέργειες που παρατίθενται στην οδηγία, ενώ τα άλλα κράτη μέλη αναφέρονται ρητώς σε μόνο τέσσερις ή λιγότερες ενέργειες.
Μόνο η ES έχει μεταφέρει στο εθνικό δίκαιο την περίπτωση της προμήθειας προς χρήση.
2.3 Γενικοί κανόνες για τα σχετικά αδικήματα (άρθρα 8 έως 12 της οδηγίας)
α) Ηθική αυτουργία, υποβοήθηση και συνέργεια
Το άρθρο 8 παράγραφος 1 απαιτεί από τα κράτη μέλη να εξασφαλίσουν ότι η ηθική αυτουργία, ή η υποβοήθηση και η συνέργεια, προς διάπραξη αδικήματος που αναφέρεται στα άρθρα 3 έως 7 τιμωρείται ως ποινικό αδίκημα. Όλα τα κράτη μέλη έχουν μεταφέρει αυτήν τη διάταξη στο εθνικό δίκαιο.
β) Απόπειρα
Σύμφωνα με το άρθρο 8 παράγραφος 2, η απόπειρα διάπραξης αδικήματος που αναφέρεται στα άρθρα 4 και 5 πρέπει να τιμωρείται ως ποινικό αδίκημα. Παρότι η PT δεν καλύπτει κάθε είδους απόπειρα διάπραξης αδικήματος που αναφέρεται στο άρθρο 4 και η SE δεν προβλέπει ποινική ευθύνη για απόπειρα τέλεσης του αδικήματος της «παραβίασης του απορρήτου των επικοινωνιών», όλα τα υπόλοιπα κράτη μέλη έχουν θεσπίσει νομοθεσία που μεταφέρει αυτήν τη διάταξη στο εθνικό δίκαιο.
γ) Κυρώσεις
αα) Γενικές διατάξεις
Το άρθρο 9 παράγραφος 1 καλεί τα κράτη μέλη, γενικά, να προβλέπουν αποτελεσματικές, αναλογικές και αποτρεπτικές ποινικές κυρώσεις για τα αδικήματα που καλύπτει η οδηγία. Παρότι αυτό θεωρείται δεδομένο σε σχεδόν όλα τα κράτη μέλη, οι AT, BE, BG, IT, PT, SE και SI δεν πληρούν τα ελάχιστα επίπεδα των ανώτατων ορίων κυρώσεων που ορίζονται στο άρθρο 9 παράγραφος 2 (βλ. ενότητα 1.1 ανωτέρω) για όλες τις περιπτώσεις. Τούτο έχει επιπτώσεις στη μεταφορά του άρθρου 9 παράγραφος 1 στο εθνικό δίκαιο, καθώς συνάγεται ότι οι ελάχιστες απαιτήσεις του άρθρου 9 παράγραφος 2 είναι το ελάχιστο κριτήριο για την επιβολή αποτελεσματικής, αναλογικής και αποτρεπτικής ποινικής κύρωσης.
ββ) Γενικό ελάχιστο όριο της ανώτατης κύρωσης
Σύμφωνα με το άρθρο 9 παράγραφος 2, το ελάχιστο όριο της ανώτατης κύρωσης για τα συνήθη αδικήματα που αναφέρονται στα άρθρα 3 έως 7 είναι η στερητική της ελευθερίας ποινή για τουλάχιστον 2 έτη. Τα περισσότερα κράτη μέλη συμμορφώνονται με αυτήν τη διάταξη. Μόνο 6 κράτη μέλη παρουσιάζουν κάποιες αποκλίσεις: AT (ανώτατη στερητική της ελευθερίας ποινή: 6 μήνες), BG (ανώτατη στερητική της ελευθερίας ποινή: 1 έτος για όλα τα αδικήματα εκτός της παράνομης υποκλοπής), IT (ανώτατη στερητική της ελευθερίας ποινή: 1 έτος για το αδίκημα του άρθρου 7 στοιχείο β)), PT (ανώτατη στερητική της ελευθερίας ποινή: 1 έτος για το αδίκημα του άρθρου 3), SE (ανώτατη στερητική της ελευθερίας ποινή: 1 έτος για το αδίκημα της «πρόκλησης ζημίας») και SI (ανώτατη στερητική της ελευθερίας ποινή: 1 έτος για τα αδικήματα των άρθρων 3, 6 και 7). Στην περίπτωση του BE, το ελάχιστο όριο της ανώτατης κύρωσης για τα άρθρα 3, 6 και 7 επιτυγχάνεται μόνο όταν τα αδικήματα διαπράττονται με πρόθεση απάτης.
γγ) Σημαντικός αριθμός προσβαλλόμενων συστημάτων πληροφοριών
Το άρθρο 9 παράγραφος 3 αυξάνει το ελάχιστο όριο των ανώτατων κυρώσεων σε 3 έτη στερητικής της ελευθερίας ποινής όταν έχει πληγεί σημαντικός αριθμός συστημάτων πληροφοριών από αδίκημα που αναφέρεται στα άρθρα 4 και 5. Γενικά, τα κράτη μέλη έχουν θεσπίσει αντίστοιχη νομοθεσία· η DE αναφέρεται μόνο σε συστήματα πληροφοριών «που έχουν ουσιώδη σημασία για άλλο σύστημα», η FI απαιτεί την αξιολόγηση του αδικήματος «στο σύνολό του» προκειμένου να εφαρμοστεί το ανώτατο όριο κύρωσης, και η LV δεν αναφέρεται σε σημαντικό αριθμό συστημάτων πληροφοριών (ή σε παρεμφερή διατύπωση), παρά μόνο στην πρόκληση «σημαντικής βλάβης». Οι πληροφορίες που διαβίβασαν η BG και η SI δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων.
δδ) Εγκληματικές οργανώσεις
Σύμφωνα με το άρθρο 9 παράγραφος 4 στοιχείο α), τα αδικήματα που αναφέρονται στα άρθρα 4 και 5 τιμωρούνται με στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε τουλάχιστον 5 έτη, εφόσον διαπράττονται στο πλαίσιο εγκληματικής οργάνωσης κατά την έννοια της απόφασης-πλαισίου 2008/841/ΔΕΥ.
Και πάλι, τα περισσότερα κράτη μέλη συμμορφώνονται με τη διάταξη του άρθρου 9 παράγραφος 4 στοιχείο α). Σύμφωνα με την ποινική νομοθεσία του LU και της SI, οι διατάξεις για αδίκημα που διαπράττει μια εγκληματική οργάνωση δεν καλύπτουν τα εγκλήματα στον κυβερνοχώρο. Η νομοθεσία του BE προβλέπει στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε τουλάχιστον 3 έτη για τα αδικήματα που αναφέρονται στο άρθρο 5, η νομοθεσία της DE δεν καλύπτει τα φυσικά πρόσωπα ως θύματα αδικημάτων, η νομοθεσία της FI απαιτεί επιπρόσθετη αξιολόγηση του αδικήματος «στο σύνολό του», ενώ η νομοθεσία της SE προβλέπει στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε 4 έτη για «βαριά πρόκληση ζημίας».
εε) Πρόκληση σημαντικών ζημιών
Το άρθρο 9 παράγραφος 4 στοιχείο β) ορίζει στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε τουλάχιστον 5 έτη για οποιοδήποτε αδίκημα αναφερόμενο στα άρθρα 4 και 5, εφόσον προκαλούνται σημαντικές ζημίες. Παρότι δεν υπάρχει ορισμός σχετικά με το τι πρέπει να θεωρείται σημαντική ζημία, όλα τα κράτη μέλη εκτός των BG, DE, FI, HU, LU και SE έχουν θεσπίσει νομοθεσία που αντιστοιχεί προς την οδηγία. Οι πληροφορίες που διαβίβασε η HU δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων. Η BG δεν προβλέπει στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε τουλάχιστον 5 έτη, ενώ το LU αναφέρεται σε μια γενική ρήτρα κυρώσεων για την πρόκληση σημαντικών ζημιών που δεν καλύπτει τα αδικήματα στον κυβερνοχώρο. Ήσσονος σημασίας αναντιστοιχίες παρατηρούνται στη DE (δεν καλύπτονται τα φυσικά πρόσωπα ως θύματα αδικημάτων), τη FI (η αυστηρότερη κύρωση απαιτεί επιπρόσθετη αξιολόγηση του αδικήματος «στο σύνολό του») και τη SE (ανώτατη στερητική της ελευθερίας ποινή: 4 έτη για «βαριά πρόκληση ζημίας»).
στστ) Συστήματα πληροφοριών που αποτελούν μέρος ζωτικής σημασίας υποδομής
Η διάπραξη αδικημάτων που αναφέρονται στα άρθρα 4 και 5 κατά συστημάτων πληροφοριών που αποτελούν μέρος ζωτικής σημασίας υποδομής συνεπάγεται επίσης στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε τουλάχιστον 5 έτη, όπως ορίζεται στο άρθρο 9 παράγραφος 4 στοιχείο γ).
Ενώ τα περισσότερα κράτη μέλη συμμορφώνονται με αυτήν τη διάταξη, η BG δεν διαβίβασε συγκεκριμένες πληροφορίες σχετικά με τη μεταφορά στο εθνικό δίκαιο. Για τα αδικήματα του άρθρου 5, το BE όρισε στερητική της ελευθερίας ποινή το ανώτατο όριο της οποίας ανέρχεται σε 3 έτη. Η DE δεν καλύπτει τα φυσικά πρόσωπα ως θύματα. Η FI απαιτεί επιπρόσθετη αξιολόγηση του αδικήματος «στο σύνολό του», η IT απαιτεί την πραγματική πρόκληση «καταστροφής», η PT προβλέπει επίθεση με «σοβαρό και διαρκή τρόπο» και δεν παραπέμπει στο άρθρο 5, ενώ η SE πληροί τις απαιτήσεις της οδηγίας μόνο για το αδίκημα της «σοβαρής δολιοφθοράς».
ζζ) Κλοπή ταυτότητας και άλλα αδικήματα σχετικά με την ταυτότητα
Το άρθρο 9 παράγραφος 5 απαιτεί από τα κράτη μέλη να εξασφαλίσουν ότι εφόσον τα αδικήματα που αναφέρονται στα άρθρα 4 και 5 διαπράττονται με υφαρπαγή δεδομένων προσωπικού χαρακτήρα άλλου προσώπου, προκειμένου να αποκτηθεί η εμπιστοσύνη τρίτων, και, ως εκ τούτου, προκαλούν ζημία στον νόμιμο δικαιούχο της ταυτότητας, το γεγονός αυτό μπορεί, σύμφωνα με το εθνικό δίκαιο, να εκλαμβάνεται ως επιβαρυντική περίσταση, εκτός εάν οι εν λόγω περιστάσεις καλύπτονται ήδη από άλλο ποινικό αδίκημα. Η ευρεία διακριτική ευχέρεια οδήγησε σε ευρύ πεδίο εφαρμογής των μέτρων μεταφοράς στο εθνικό δίκαιο μεταξύ των κρατών μελών. Το BE και η EL δεν έχουν ενημερώσει σχετικά με οποιαδήποτε μεταφορά στο εθνικό δίκαιο, ενώ στην ποινική νομοθεσία της CZ δεν υφίσταται ειδική διάταξη. Η προσέγγιση της επιβαρυντικής περίστασης επελέγη από τις AT, CY, ES, IE, MT, PT και SE (η τελευταία αναφέρεται στην περίσταση «ειδικού σχεδιασμού»), ενώ όλα τα άλλα κράτη μέλη παραπέμπουν σε πρόσθετες διατάξεις για το συγκεκριμένο ποινικό αδίκημα. Μεταξύ αυτών που παραπέμπουν σε συγκεκριμένες διατάξεις, επισημαίνονται τα εξής ζητήματα μεταφοράς στο εθνικό δίκαιο: Η BG και οι NL απαιτούν ειδική πρόθεση («αποκόμιση οφέλους» και «ως στόχο την παραποίηση ή υφαρπαγή της ταυτότητας»), η DE αναφέρεται μόνο σε «δεδομένα προσωπικού χαρακτήρα μη προσβάσιμα γενικά», η FR αναφέρεται μόνο στο όνομα ενός προσώπου και όχι σε άλλα δεδομένα προσωπικού χαρακτήρα, η LV προβλέπει την πρόκληση «σημαντικής βλάβης» και η RO καλύπτει μόνο τη χρήση «εγγράφου» και απαιτεί τη διάπραξη εξαπάτησης.
δ) Ευθύνη νομικών προσώπων
αα) Γενικά
Το άρθρο 10 παράγραφος 1 επιβάλλει τη θέσπιση ευθύνης των νομικών προσώπων για τα αδικήματα που αναφέρονται στα άρθρα 3 έως 8, εφόσον ο δράστης κατέχει εξουσία εκπροσώπησης του νομικού προσώπου (α), εξουσία λήψης αποφάσεων για λογαριασμό του νομικού προσώπου (β) ή εξουσία άσκησης ελέγχου εντός του νομικού προσώπου (γ). Όλα τα κράτη μέλη έχουν θεσπίσει νομοθεσία που αντιστοιχεί στο εν λόγω άρθρο. Επισημαίνονται μόνο ζητήματα ήσσονος σημασίας: η BG δεν καλύπτει το αδίκημα του άρθρου 6 και η HR δεν αναφέρεται σε δράστη που κατέχει εξουσία άσκησης ελέγχου εντός του νομικού προσώπου (άρθρο 10 παράγραφος 1 στοιχείο γ)).
ββ) Έλλειψη εποπτείας ή ελέγχου
Το άρθρο 10 παράγραφος 2 απαιτεί από τα κράτη μέλη τα νομικά πρόσωπα να υπέχουν ευθύνη οσάκις η έλλειψη εποπτείας ή ελέγχου εκ μέρους ενός από τα πρόσωπα που αναφέρονται στο άρθρο 10 παράγραφος 1 έχει επιτρέψει τη διάπραξη οποιουδήποτε εκ των αδικημάτων που αναφέρονται στα άρθρα 3 έως 8. Σχεδόν όλα τα κράτη μέλη συμμορφώνονται με τη διάταξη αυτή, ωστόσο οι πληροφορίες από το LU δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων, ενώ η BG δεν αναφέρεται στη διάπραξη αδικήματος που εμπίπτει στο άρθρο 6.
ε) Κυρώσεις κατά νομικών προσώπων
αα) Υποχρεωτικές κυρώσεις
Το άρθρο 11 παράγραφος 1 της οδηγίας απαιτεί από τα κράτη μέλη να προβλέπουν χρηματικές ποινές ή πρόστιμα ως αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις για τα νομικά πρόσωπα. Όλα τα κράτη μέλη έχουν κοινοποιήσει τα εθνικά μέτρα συμμόρφωσης εκτός από την IE και το UK. Σε αυτές τις δύο χώρες, το ανώτατο ποσό των πιθανών προστίμων παραμένει απροσδιόριστο λόγω έλλειψης συγκεκριμένων νομοθετικών διατάξεων. Τουτέστιν, ούτε η αποτελεσματικότητα ούτε η αναλογικότητα ούτε η αποτρεπτικότητα των αντίστοιχων προστίμων είναι δυνατόν να αξιολογηθούν.
ββ) Προαιρετικές κυρώσεις
Το άρθρο 11 παράγραφος 1 συνεχίζει απαριθμώντας τις πιθανές επιλογές επιπρόσθετων κυρώσεων για τα νομικά πρόσωπα. Αυτές είναι οι εξής: αποκλεισμός από δημόσιες παροχές ή ενισχύσεις (προκρίνεται από CY, CZ, EL, ES, HR, HU, LU, MT, PL, PT και SK), προσωρινή ή οριστική απαγόρευση της άσκησης εμπορικών δραστηριοτήτων (AT, BE, CY, CZ, EL, ES FR, HR, HU, IT, LT, LV, MT, PL, PT, RO, SE, SI και SK), θέση υπό δικαστική εποπτεία (CY, ES, FR, MT, PT και RO), δικαστική εκκαθάριση (CY, CZ, EL, ES, FR, HR, HU, LT, LU, LV, MT, PT, RO, SI και SK) και προσωρινό ή οριστικό κλείσιμο των εγκαταστάσεων που χρησιμοποιήθηκαν για τη διάπραξη του αδικήματος (BE, CY, WS, FR, LT, MT, PT και RO). Συνεπώς οι BG, DE, EE, IE, FI, NL και το UK δεν έχουν προκρίνει κάποια από τις επιλογές.
γγ) Κυρώσεις λόγω παράλειψης
Σύμφωνα με το άρθρο 11 παράγραφος 2, τα κράτη μέλη πρέπει να εξασφαλίσουν ότι το νομικό πρόσωπο το οποίο υπέχει ευθύνη για αδικήματα παράλειψης δυνάμει του άρθρου 10 παράγραφος 2 τιμωρείται με αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις. Οι πληροφορίες από το LU δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων. Όλα τα άλλα κράτη μέλη εκτός της IE και του UK έχουν θεσπίσει τις αντίστοιχες νομοθετικές διατάξεις. Στην περίπτωση της IE και του UK, τίθεται το ίδιο ζήτημα όπως στο άρθρο 11 παράγραφος 1: (βλ. στοιχείο αα) ανωτέρω).
στ) Δικαιοδοσία
αα) Απαιτούμενα κριτήρια δικαιοδοσίας
Το άρθρο 12 παράγραφοι 2 και 3 της οδηγίας απαιτεί από τα κράτη μέλη να θεμελιώνουν τη δικαιοδοσία τους για τα αδικήματα που αναφέρονται στα άρθρα 3 έως 8, εφόσον το αδίκημα έχει διαπραχθεί εν όλω ή εν μέρει στο έδαφος τους – είτε ο δράστης διέπραξε το αδίκημα, όταν βρισκόταν στο έδαφός του είτε το αδίκημα στρέφεται κατά συστήματος πληροφοριών στο έδαφος του κράτους μέλους – ή εφόσον το αδίκημα έχει διαπραχθεί εκτός του εδάφους του κράτους μέλους από υπήκοό του. Τα περισσότερα κράτη μέλη έχουν θεσπίσει αντίστοιχη εθνική νομοθεσία. Ωστόσο, η νομοθεσία της IT δεν προσδιορίζει δικαιοδοσία για τους υπηκόους εκτός του εδάφους της στην περίπτωση των βασικών αδικημάτων, η νομοθεσία της LV και της SI αναφέρεται σε ασαφείς διατάξεις όσον αφορά τις εδαφικές πτυχές, η νομοθεσία της MT περί μερικής διάπραξης στο δικό της έδαφος είναι ασαφής και το UK αναφέρεται σε σύστημα υπολογιστών αντί του συστήματος πληροφοριών.
ββ) Άλλα κριτήρια δικαιοδοσίας
Το άρθρο 12 παράγραφος 3 προβλέπει ότι το κράτος μέλος πρέπει να ενημερώνει σχετικά την Επιτροπή οσάκις θεμελιώνει δικαιοδοσία για περιπτώσεις όπου ο δράστης του αδικήματος έχει τη συνήθη κατοικία του στο έδαφός του (προκρίνεται από AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE και SK) ή εφόσον το αδίκημα διαπράττεται προς όφελος νομικού προσώπου εγκατεστημένου στο έδαφος του (CY, CZ, LV, PT, RO και SK).
2.4 Επιχειρησιακά ζητήματα (άρθρα 13 – 14 της οδηγίας)
α) Διάταξη σχετικά με τα επιχειρησιακά εθνικά σημεία επαφής
Το άρθρο 13 παράγραφος 1 καλεί τα κράτη μέλη να θεσπίσουν επιχειρησιακά εθνικά σημεία επαφής με σκοπό την ανταλλαγή πληροφοριών σχετικά με τα αδικήματα που αναφέρονται στα άρθρα 3 έως 8. Βάσει της διάταξης, τα κράτη μέλη πρέπει να εξασφαλίζουν ότι διαθέτουν διαδικασίες ώστε η αρμόδια αρχή να μπορεί να απαντήσει, εντός οκτώ ωρών από την παραλαβή, σε κάθε επείγουσα αίτηση συνδρομής. Σύμφωνα με τις κοινοποιηθείσες πληροφορίες, τα περισσότερα κράτη μέλη έχουν δημιουργήσει την αναγκαία υποδομή. Η IΕ και η RO ανέφεραν ότι τα αντίστοιχα σημεία επαφής είναι διαθέσιμα μόνο για λίγες ώρες καθημερινά, με αποτέλεσμα ενδεχομένως η αρμόδια αρχή να μην είναι σε θέση να απαντήσει εντός 8 ωρών από την παραλαβή μιας αίτησης σε κάθε πιθανή περίπτωση. Αρκετά κράτη μέλη δήλωσαν ότι χρησιμοποιούν τα υφιστάμενα δίκτυα των επιχειρησιακών σημείων επαφής που έχουν δημιουργηθεί μέσω του δικτύου G7 ή δυνάμει της σύμβασης της Βουδαπέστης του Συμβουλίου της Ευρώπης για το έγκλημα στον κυβερνοχώρο.
β) Πληροφορίες σχετικά με τα συσταθέντα επιχειρησιακά εθνικά σημεία επαφής
Δυνάμει του άρθρου 13 παράγραφος 2, τα κράτη μέλη πρέπει να παρέχουν τα στοιχεία επικοινωνίας των σημείων επαφής τους στην Επιτροπή, η οποία προωθεί τα στοιχεία αυτά στα υπόλοιπα κράτη μέλη. Όλα τα κράτη μέλη διαβίβασαν τις αναγκαίες πληροφορίες.
γ) Δίαυλοι αναφοράς
Το άρθρο 13 παράγραφος 3 επιβάλλει στα κράτη μέλη να εξασφαλίσουν ότι διατίθενται οι κατάλληλοι δίαυλοι αναφοράς προκειμένου να διευκολυνθεί η υποβολή αναφορών σχετικά με αδικήματα που αναφέρονται στα άρθρα 3 έως 6 στις αρμόδιες εθνικές τους αρχές. Οι πληροφορίες που διαβίβασαν οι HR, IT, IE και PT δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων. Μεταξύ των υπολοίπων κρατών μελών, φαίνεται να υπάρχουν διαφορετικές προσεγγίσεις στην υλοποίηση των διαύλων αναφοράς. Τα περισσότερα κράτη μέλη (BE, BG, CY, CZ, DE, EE, EL, FI, FR, HR, HU, IT, LT, LV, MT, NL, PL, PT, RO, SE, SI, SK και UK) κοινοποίησαν μέτρα που προβλέπουν τη δημιουργία διαύλων για τη διευκόλυνση της αναφοράς από το πρόσωπο ή την οργάνωση που αναφέρει αρχικά ένα αδίκημα, π.χ. το θύμα επίθεσης στον κυβερνοχώρο (οι πληροφορίες της LV σχετικά με τους διαύλους αναφοράς είναι ασαφείς). Ωστόσο, άλλα κράτη μέλη (AT, ES και LU) διαβίβασαν ταυτόσημες πληροφορίες σχετικά με την εφαρμογή του άρθρου 13 παράγραφοι 1 και 2, από τις οποίες φαίνεται ότι τα μέτρα τους θα διευκολύνουν κυρίως την επικοινωνία μεταξύ των αρχών.
δ) Συλλογή στατιστικών στοιχείων
Σύμφωνα με το άρθρο 14 παράγραφοι 1 και 2, τα κράτη μέλη πρέπει να εξασφαλίζουν ότι ένα σύστημα βρίσκεται σε ετοιμότητα για την καταγραφή, την παραγωγή και την παροχή στατιστικών στοιχείων για τα αδικήματα που αναφέρονται στα άρθρα 3 έως 7, τα οποία καταγράφονται από τα κράτη μέλη, καθώς και τον αριθμό των προσώπων τα οποία διώχθηκαν και καταδικάστηκαν για τα αδικήματα αυτά. Με βάση τις ληφθείσες κοινοποιήσεις, τα περισσότερα κράτη μέλη φαίνεται να έχουν θεσπίσει τόσο νομοθετικά όσο και διοικητικά μέτρα για να εξασφαλίζουν τη συλλογή των πληροφοριών, συνήθως βάσει ενός γενικού εθνικού ηλεκτρονικού συστήματος. Οι πληροφορίες από ορισμένα κράτη μέλη δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων (EL, IE, UK (Γιβραλτάρ, Βόρεια Ιρλανδία και Σκωτία)). Ένας λόγος ήταν ότι οι πληροφορίες σχετικά με τα συγκεκριμένα αδικήματα που αναφέρονται στην οδηγία μπορεί να μην συλλέγονται ξεχωριστά (BE, DE και SE) ή ότι οι συλλεγείσες πληροφορίες μπορεί να μην καλύπτουν όλα τα αδικήματα που αναφέρονται στην οδηγία (RO).
ε) Διαβίβαση στατιστικών στοιχείων στην Επιτροπή
Το άρθρο 14 παράγραφος 3 καλεί τα κράτη μέλη να διαβιβάζουν τα αντίστοιχα στατιστικά στοιχεία στην Επιτροπή. Όλα τα κράτη μέλη που κοινοποίησαν μέτρα, εκτός του UK (Γιβραλτάρ, Βόρεια Ιρλανδία και Σκωτία) και της HU, επιβεβαίωσαν την εφαρμογή είτε νομικών είτε διοικητικών μέτρων ή αμφότερων ώστε να διασφαλίσουν την τήρηση της υποχρέωσης. Για την EL, την ES, το LU και τη SI, οι παρεχόμενες πληροφορίες δεν καθιστούν δυνατή την εξαγωγή ασφαλών συμπερασμάτων.
3. Συμπέρασμα και επόμενα βήματα
Η οδηγία έχει συμβάλει στην επίτευξη ουσιαστικής προόδου όσον αφορά την ποινικοποίηση των επιθέσεων στον κυβερνοχώρο σε συγκρίσιμο επίπεδο μεταξύ των κρατών μελών, γεγονός που διευκολύνει τη διασυνοριακή συνεργασία των αρχών επιβολής του νόμου που ερευνούν τέτοιου είδους αδικήματα. Τα κράτη μέλη προέβησαν στην τροποποίηση των ποινικών κωδίκων και άλλης συναφούς νομοθεσίας, στον εξορθολογισμό των διαδικασιών και στη θέσπιση ή βελτίωση των προγραμμάτων συνεργασίας. Η Επιτροπή αναγνωρίζει τις σημαντικές προσπάθειες που καταβάλλουν τα κράτη μέλη για τη μεταφορά της οδηγίας.
Ωστόσο, εξακολουθεί να υπάρχει σημαντικό περιθώριο για την πλήρη αξιοποίηση του δυναμικού της οδηγίας, εάν τα κράτη μέλη εφαρμόσουν πλήρως όλες τις διατάξεις της. Από την ανάλυση που έχει πραγματοποιηθεί μέχρι στιγμής προκύπτει ότι ορισμένες από τις βασικές βελτιώσεις που πρέπει να επιτευχθούν από τα κράτη μέλη περιλαμβάνουν τη χρήση των ορισμών (άρθρο 2), η οποία επηρεάζει το πεδίο των αδικημάτων που ορίζει το εθνικό δίκαιο βάσει της οδηγίας. Επιπλέον, τα κράτη μέλη φαίνεται ότι έκριναν δύσκολο να συμπεριλάβουν όλες τις δυνατότητες ορισμού των ενεργειών σε σχέση με τα αδικήματα (άρθρα 3 έως 7), καθώς και τα κοινά πρότυπα κυρώσεων για τις επιθέσεις στον κυβερνοχώρο (άρθρο 9). Άλλα ζητήματα φαίνεται να σχετίζονται με την εφαρμογή διοικητικών διατάξεων σε κατάλληλους διαύλους αναφοράς (άρθρο 13 παράγραφος 3) και με την παρακολούθηση και τα στατιστικά στοιχεία για τα αδικήματα που συμπεριλαμβάνονται στην οδηγία (άρθρο 14).
Η Επιτροπή θα συνεχίσει να παρέχει στήριξη στα κράτη μέλη για την εφαρμογή της οδηγίας. Ενόψει της δυνητικής συμβολής στη διασυνοριακή συνεργασία, τούτο αφορά ιδιαιτέρως τις λειτουργικές διατάξεις της οδηγίας για την ανταλλαγή πληροφοριών (άρθρο 13 παράγραφοι 1 και 2), τους διαύλους αναφοράς (άρθρο 13 παράγραφος 3) και την παρακολούθηση και τα στατιστικά στοιχεία (άρθρο 14). Προς τον σκοπό αυτό, η Επιτροπή θα προσφέρει επιπλέον ευκαιρίες στα κράτη μέλη ώστε αυτά να εντοπίσουν και να ανταλλάξουν τις βέλτιστες πρακτικές στο δεύτερο εξάμηνο του 2017.
Η Επιτροπή δεν θεωρεί επί του παρόντος αναγκαίο να προτείνει τροποποιήσεις στην οδηγία. Στο πλαίσιο αυτό, και για να υποστηριχθούν επίσης οι ποινικές έρευνες σχετικά με επιθέσεις κατά συστημάτων πληροφοριών, εγκλήματα στον κυβερνοχώρο και άλλα είδη εγκλημάτων, η Επιτροπή εξετάζει το ενδεχόμενο λήψης μέτρων για τη βελτίωση της διασυνοριακής πρόσβασης στα ηλεκτρονικά στοιχεία στο πλαίσιο ποινικών ερευνών, μεταξύ άλλων και με την υποβολή, μέχρι τις αρχές του 2018, προτάσεων για νομοθετικά μέτρα
. Η Επιτροπή εξετάζει επίσης τον ρόλο της κρυπτογράφησης στις ποινικές έρευνες και θα αναφέρει τα πορίσματά της έως τον Οκτώβριο του 2017.
Η Επιτροπή έχει δεσμευτεί να διασφαλίσει την ολοκλήρωση της μεταφοράς των διατάξεων της οδηγίας στο εθνικό δίκαιο όλων των χωρών της ΕΕ και την ορθή εφαρμογή τους. Μεταξύ άλλων, θα παρακολουθεί τα εθνικά μέτρα για να διασφαλίσει ότι συμμορφώνονται με τις αντίστοιχες διατάξεις της οδηγίας. Στις περιπτώσεις που κρίνεται απαραίτητο, η Επιτροπή θα χρησιμοποιήσει τις εξουσίες επιβολής της δυνάμει των Συνθηκών μέσω διαδικασιών επί παραβάσει.