14.8.2013   

IT

Gazzetta ufficiale dell'Unione europea

L 218/8

(1)

Gli obiettivi della presente direttiva sono ravvicinare il diritto penale degli Stati membri nel settore degli attacchi contro i sistemi di informazione, stabilendo norme minime relative alla definizione dei reati e delle sanzioni rilevanti, e migliorare la cooperazione fra le autorità competenti, compresi la polizia e gli altri servizi specializzati degli Stati membri incaricati dell’applicazione della legge, nonché le competenti agenzie e gli organismi specializzati dell’Unione, come Eurojust, Europol e il suo Centro europeo per la criminalità informatica, e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA).

(2)

I sistemi di informazione sono un elemento chiave dell’interazione politica, sociale ed economica nell’Unione. La società è fortemente e sempre più dipendente da tali sistemi. Il buon funzionamento e la sicurezza di questi sistemi nell’Unione sono fondamentali per lo sviluppo del mercato interno e di un’economia competitiva e innovativa. La garanzia di un adeguato livello di protezione dei sistemi di informazione dovrebbe rientrare in un efficace quadro globale di misure di prevenzione a corredo delle risposte alla criminalità informatica nell’ambito del diritto penale.

(3)

Gli attacchi ai danni dei sistemi di informazione, in particolare gli attacchi connessi alla criminalità organizzata, sono una minaccia crescente a livello di Unione e mondiale, e la preoccupazione per la possibilità di attacchi terroristici o di matrice politica contro sistemi di informazione che fanno parte dell’infrastruttura critica degli Stati membri e dell’Unione è in aumento. Ciò costituisce una minaccia per la creazione di una società dell’informazione più sicura e di uno spazio di libertà, sicurezza e giustizia, e richiede pertanto una risposta a livello di Unione, nonché un migliore coordinamento e una migliore cooperazione a livello internazionale.

(4)

Vi sono nell’Unione infrastrutture critiche la cui distruzione o il cui danneggiamento avrebbe un significativo impatto transfrontaliero. Dalla necessità di rafforzare la capacità di protezione delle infrastrutture critiche nell’Unione risulta evidente che le misure contro gli attacchi informatici dovrebbero essere integrate con sanzioni penali rigorose che rispecchino la gravità di tali attacchi. Per infrastrutture critiche si potrebbe intendere un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico o sociale delle persone, come gli impianti energetici, le reti di trasporto o le reti governative, e il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro a causa dell’impossibilità di mantenere tali funzioni.

(5)

Si registra chiaramente una tendenza a perpetrare attacchi su larga scala sempre più pericolosi e ricorrenti contro sistemi di informazione che possono spesso essere critici per gli Stati membri o per particolari funzioni del settore pubblico o privato. Questa tendenza va di pari passo con lo sviluppo di metodi sempre più sofisticati, quali la creazione e l’uso delle cosiddette «botnet», che implica un reato costituito da più stadi, in cui ciascuno stadio singolarmente potrebbe mettere seriamente a rischio i pubblici interessi. La presente direttiva mira, tra l’altro, a introdurre sanzioni penali per la creazione delle «botnet», ossia per l’azione con cui si stabilisce il controllo a distanza di un numero rilevante di computer infettandoli con software maligni per mezzo di attacchi informatici mirati. Una volta creata, la rete infettata di computer che costituiscono la «botnet» può essere attivata a insaputa degli utenti per lanciare un attacco informatico su larga scala, che, solitamente, è in grado di causare danni gravi, ai sensi della presente direttiva. Gli Stati membri possono stabilire cosa costituisce danno grave ai sensi del loro diritto e della loro prassi nazionali, come ad esempio le perturbazioni dei servizi di sistema di rilevante interesse pubblico o la creazione di costi finanziari esorbitanti o la perdita di dati personali o di informazioni sensibili.

(6)

Gli attacchi informatici su larga scala possono causare notevoli danni economici sia attraverso l’interruzione dei sistemi di informazione e delle comunicazioni sia attraverso la perdita o l’alterazione di informazioni riservate commercialmente importanti o di altri dati. Si dovrebbe prestare particolare attenzione alla sensibilizzazione delle piccole e medie imprese innovative con riguardo alle minacce relative a tali attacchi e alla loro vulnerabilità agli stessi, in conseguenza della loro crescente dipendenza dal corretto funzionamento e dalla disponibilità dei sistemi di informazione, e della disponibilità, spesso limitata, di risorse da dedicare alla sicurezza delle informazioni.

(7)

Per garantire un approccio coerente degli Stati membri nell’applicazione della presente direttiva è importante disporre, in questo settore, di definizioni comuni.

(8)

È necessario giungere a un approccio comune nei confronti degli elementi costitutivi dei reati mediante l’introduzione dei reati comuni di accesso illecito a sistemi di informazione, di interferenza illecita relativamente ai sistemi, di interferenza illecita relativamente ai dati e di intercettazione illecita.

(9)

L’intercettazione comprende, ma non si limita necessariamente a, l’ascolto, il monitoraggio o la sorveglianza del contenuto di comunicazioni e il rilevamento del contenuto dei dati direttamente, mediante l’accesso e l’utilizzo dei sistemi di informazione, o indirettamente, mediante l’uso di dispositivi elettronici di intercettazione elettromagnetica o di intercettazione sulla linea tramite strumenti tecnici.

(10)

Gli Stati membri dovrebbero prevedere sanzioni per gli attacchi ai danni di sistemi di informazione. Tali sanzioni dovrebbero essere effettive, proporzionate e dissuasive e comprendere pene detentive e/o pecuniarie.

(11)

La presente direttiva prevede sanzioni penali almeno nei casi che non siano di minore gravità. Gli Stati membri possono stabilire cosa costituisce un caso di minore gravità ai sensi del loro diritto e della loro prassi nazionali. Un caso può essere considerato di minore gravità, ad esempio, qualora il danno causato dal reato e/o il rischio per gli interessi pubblici o privati, ad esempio per l’integrità di un sistema di informazione o per dati informatici, o per l’integrità, i diritti o altri interessi di una persona, sia insignificante o di natura tale da non rendere necessario imporre una sanzione penale entro i limiti di legge o stabilire una responsabilità penale.

(12)

L’individuazione e la comunicazione di minacce e rischi posti dagli attacchi informatici, nonché la relativa vulnerabilità dei sistemi di informazione, costituiscono un elemento rilevante per un’efficace prevenzione e risposta agli attacchi informatici e del miglioramento della sicurezza dei sistemi di informazione. La previsione di incentivi per la segnalazione di lacune in materia di sicurezza potrebbe contribuire a tal fine. È opportuno che gli Stati membri si adoperino per rendere possibili l’individuazione legale e la segnalazione delle lacune in materia di sicurezza.

(13)

È opportuno prevedere sanzioni più severe quando un attacco contro un sistema di informazione è perpetrato da un’organizzazione criminale quale definita nella decisione quadro 2008/841/GAI del Consiglio, del 24 ottobre 2008, relativa alla lotta contro la criminalità organizzata (3), quando un attacco informatico è condotto su larga scala, in tal modo colpendo un numero significativo di sistemi di informazione, anche quando è diretto alla creazione di una «botnet», o quando un attacco informatico causa danni gravi, anche nel caso in cui sia perpetrato attraverso una «botnet». È altresì opportuno prevedere sanzioni più severe quando un attacco è condotto contro un’infrastruttura critica degli Stati membri o dell’Unione.

(14)

Altro elemento importante di un approccio intergrato alla criminalità informatica è l’istituzione di efficaci misure contro il furto d’identità e altri reati connessi all’identità. L’eventuale bisogno di un’azione dell’Unione contro tale tipo di comportamento criminale potrebbe anche essere considerato nel contesto di una valutazione della necessità di uno strumento orizzontale e globale dell’Unione.

(15)

Nelle conclusioni del 27-28 novembre 2008, il Consiglio ha indicato che dovrebbe essere elaborata una nuova strategia con gli Stati membri e la Commissione, tenendo conto del contenuto della Convenzione del 2001 del Consiglio d’Europa sulla criminalità informatica. Tale Convenzione è il quadro giuridico di riferimento per la lotta contro la criminalità informatica, compresi gli attacchi contro i sistemi di informazione. La presente direttiva si basa su tale Convenzione. Il completamento del processo di ratifica di tale Convenzione il prima possibile da parte di tutti gli Stati membri dovrebbe essere considerata una priorità.

(16)

Tenuto conto delle varie modalità con cui possono essere effettuati gli attacchi e della rapida evoluzione degli hardware e dei software, la presente direttiva fa riferimento a strumenti che possono essere utilizzati per commettere i reati in essa previsti. Tali strumenti potrebbero includere software maligni, fra cui quelli capaci di creare botnet, usati per perpetrare attacchi informatici. Anche se un tale strumento è idoneo o particolarmente idoneo a commettere i reati previsti nella presente direttiva, è possibile che sia stato prodotto per fini legittimi. Data la necessità di evitare una criminalizzazione di tali strumenti, quando essi siano prodotti e commercializzati per fini legittimi, come la verifica dell’affidabilità dei prodotti di tecnologia dell’informazione o la sicurezza dei sistemi di informazione, oltre al requisito dell’intenzione generale, deve essere soddisfatto anche il requisito dell’intenzione diretta di utilizzare tali strumenti per commettere uno o più reati previsti nella presente direttiva.

(17)

La presente direttiva non prevede responsabilità penale qualora siano soddisfatti i criteri oggettivi dei reati previsti nella presente direttiva, ma gli atti siano compiuti senza dolo, ad esempio qualora una persona non sappia che l’accesso non è autorizzato o nel caso di incarichi di collaudo o di protezione di sistemi di informazione, ad esempio qualora una persona sia incaricata da un’impresa o da un venditore di verificare la resistenza del loro sistema di sicurezza. Nel contesto della presente direttiva, per gli obblighi o gli accordi contrattuali intesi a limitare l’accesso ai sistemi di informazione tramite norme d’uso o condizioni del servizio, nonché per controversie lavorative riguardo all’accesso e all’uso di sistemi di informazione di un datore di lavoro per scopi privati, non dovrebbe essere prevista responsabilità penale, quando l’accesso in tali circostanze sia ritenuto non autorizzato e, pertanto, costituisca l’unico presupposto per l’esercizio dell’azione penale. La presente direttiva non pregiudica il diritto di accesso alle informazioni, quale stabilito nel diritto nazionale e dell’Unione, ma al contempo non può costituire una giustificazione per l’accesso illecito o arbitrario alle informazioni.

(18)

Gli attacchi informatici potrebbero essere agevolati da svariate circostanze, come nel caso in cui l’autore del reato nell’ambito dell’esercizio della sua attività lavorativa abbia accesso ai sistemi di sicurezza connessi ai sistemi di informazione colpiti. È opportuno che, nel contesto del diritto nazionale, tali circostanze siano tenute in considerazione durante i procedimenti penali, ove opportuno.

(19)

Gli Stati membri dovrebbero prevedere nel loro diritto nazionale circostanze aggravanti in conformità delle norme applicabili stabilite nei rispettivi ordinamenti giuridici in materia di circostanze aggravanti. Essi dovrebbero garantire che tali circostanze aggravanti possano essere tenute in conto dai giudici allorché giudicano gli autori di reati. La valutazione di tali circostanze, assieme agli altri elementi fattuali della singola fattispecie, resta discrezione del giudice.

(20)

La presente direttiva non disciplina le condizioni per l’esercizio della competenza giurisdizionale su uno dei reati da essa contemplati, quali una querela della vittima nel luogo in cui il reato è stato commesso o una segnalazione dello Stato in cui è stato commesso, o il fatto che l’autore del reato non sia stato perseguito nel luogo in cui è stato commesso il reato.

(21)

Nel contesto della presente direttiva gli Stati e gli organismi pubblici sono del tutto vincolati a garantire il rispetto dei diritti dell’uomo e delle libertà fondamentali, conformemente ai vigenti obblighi internazionali.

(22)

La presente direttiva rafforza l’importanza delle reti, come la rete di punti di contatto del G8 o quella del Consiglio d’Europa, disponibili ventiquattr’ore su ventiquattro e sette giorni su sette. Tali punti di contatto dovrebbero poter prestare un’efficace assistenza, ad esempio agevolando lo scambio di pertinenti informazioni disponibili e la fornitura di consulenza tecnica o di informazioni giuridiche ai fini delle indagini o dei procedimenti relativi a reati connessi a sistemi di informazione e dati a essi associati che coinvolgono lo Stato membro richiedente. Per assicurare il buon funzionamento delle reti, ciascun punto di contatto dovrebbe essere in grado di comunicare con la massima urgenza con il punto di contatto di un altro Stato membro avvalendosi, tra l’altro, del supporto di personale addestrato e attrezzato. Data la rapidità con cui possono essere lanciati gli attacchi informatici su larga scala, gli Stati membri dovrebbero essere in grado di rispondere prontamente alle richieste urgenti provenienti da questa rete di punti di contatto. In casi siffatti può essere opportuno che la richiesta di informazioni, per garantirne la rapida evasione da parte dello Stato membro richiesto, sia accompagnata da un contatto telefonico e che i riscontri siano forniti entro otto ore.

(23)

La cooperazione tra le autorità pubbliche da un lato, e il settore privato e la società civile dall’altro, è di grande importanza per prevenire e combattere gli attacchi contro i sistemi di informazione. È necessario promuovere e migliorare la cooperazione tra fornitori di servizi, produttori, organismi preposti all’applicazione della legge e autorità giudiziarie, nel pieno rispetto dello stato di diritto. Tale cooperazione potrebbe includere, ad esempio, l’assistenza da parte dei fornitori di servizi al fine di conservare possibili prove, fornire elementi che aiutino a identificare gli autori dei reati e, in ultima istanza, disattivare totalmente o parzialmente, conformemente al diritto e alla prassi nazionali, i sistemi di informazione o le funzioni che siano stati compromessi o utilizzati a fini illegali. Gli Stati membri dovrebbero altresì prendere in considerazione la creazione di reti di cooperazione e di partenariato con fornitori di servizi e produttori per lo scambio di informazioni relativamente ai reati che rientrano nell’ambito di applicazione della presente direttiva.

(24)

È necessario raccogliere dati comparabili sui reati previsti nella presente direttiva. I dati pertinenti dovrebbero essere messi a disposizione delle agenzie e degli organismi specializzati dell’Unione, come Europol ed ENISA, in linea con le loro funzioni e necessità di informazione, per ottenere un quadro più completo del problema della criminalità informatica e della sicurezza delle reti e dell’informazione a livello di Unione e contribuire così alla formulazione di una risposta più efficace. Gli Stati membri dovrebbero trasmettere informazioni sul modus operandi degli autori dei reati a Europol e al suo Centro europeo per la lotta alla criminalità informatica ai fini dell’effettuazione di valutazioni delle minacce e di analisi strategiche in merito alla criminalità informatica conformemente alla decisione 2009/371/GAI del Consiglio, del 6 aprile 2009, che istituisce l’Ufficio europeo di Polizia (Europol) (4). La comunicazione di informazioni può agevolare una migliore comprensione delle minacce attuali e future, contribuendo così a una più idonea e mirata formulazione di decisioni sulla lotta e la prevenzione degli attacchi contro i sistemi di informazione.

(25)

La Commissione dovrebbe presentare una relazione sull’applicazione della presente direttiva e formulare eventuali proposte legislative necessarie che potrebbero portare ad un ampliamento del suo ambito di applicazione, tenendo conto dell’evoluzione nell’ambito della criminalità informatica. Tale evoluzione potrebbe comprendere gli sviluppi tecnologici, ad esempio quelli che consentono un’applicazione più efficace della legge nel settore degli attacchi contro i sistemi di informazione o che facilitano la prevenzione di tali attacchi o la riduzione al minimo del loro impatto. A tal fine, la Commissione dovrebbe tenere conto delle analisi e delle relazioni disponibili, realizzate da attori pertinenti e, in particolare, da Europol e dall’ENISA.

(26)

Al fine di combattere efficacemente la criminalità informatica, è necessario aumentare la resilienza dei sistemi di informazione, adottando le misure adeguate per proteggerli in modo più efficace contro gli attacchi informatici. Gli Stati membri dovrebbero adottare le misure necessarie per proteggere le loro infrastrutture critiche dagli attacchi informatici e in tale ambito dovrebbero prendere in considerazione la protezione dei loro sistemi di informazione e dei dati associati. Costituisce parte essenziale di un approccio globale a una lotta efficace contro la criminalità informatica assicurare un adeguato livello di protezione e di sicurezza dei sistemi di informazione a opera di persone giuridiche, ad esempio in relazione ai servizi di comunicazione elettronica di pubblico accesso, conformemente alla vigente legislazione dell’Unione in materia di vita privata e comunicazioni elettroniche e protezione dei dati. Dovrebbero essere forniti livelli di protezione adeguati contro le minacce e le vulnerabilità ragionevolmente individuabili in maniera corrispondente allo stato dell’arte degli specifici settori e alle specifiche situazioni di trattamento dei dati. Il costo e l’onere di tale protezione dovrebbero essere commisurati al danno potenziale procurato da un attacco informatico ai soggetti interessati. Gli Stati membri sono incoraggiati a prevedere, nell’ambito del loro diritto nazionale, pertinenti misure per l’attribuzione di responsabilità per i casi un cui una persona giuridica non abbia manifestamente fornito un adeguato livello di protezione contro gli attacchi informatici.

(27)

Le rilevanti lacune e le notevoli differenze nel diritto e nelle procedure penali degli Stati membri nel settore degli attacchi contro i sistemi di informazione possono ostacolare la lotta contro la criminalità organizzata e il terrorismo e possono complicare un’efficace cooperazione di polizia e giudiziaria in questo settore. Il carattere transnazionale e senza frontiere dei moderni sistemi di informazione fa sì che gli attacchi contro tali sistemi abbiano una dimensione transfrontaliera, e rende evidente la necessità urgente di adottare azioni ulteriori per il ravvicinamento del diritto penale in questo settore. L’attuazione e l’applicazione adeguate della decisione quadro 2009/948/GAI del Consiglio, del 30 novembre 2009, sulla prevenzione e la risoluzione dei conflitti relativi all’esercizio della giurisdizione nei procedimenti penali (5), dovrebbero inoltre agevolare il coordinamento dell’azione penale nei casi di attacchi contro i sistemi di informazione. Gli Stati membri, in collaborazione con l’Unione, dovrebbero altresì cercare di migliorare la cooperazione internazionale relativamente alla sicurezza dei sistemi di informazione, delle reti informatiche e dei dati informatici. Qualsiasi accordo internazionale riguardante lo scambio di dati dovrebbe tenere debito conto della sicurezza del trasferimento e dello stoccaggio dei dati.

(28)

Una migliore cooperazione tra competenti organismi preposti all’applicazione della legge e autorità giudiziarie in tutta l’Unione è essenziale ai fini di una lotta efficace contro la criminalità informatica. In tale contesto, si dovrebbe incoraggiare l’intensificazione degli sforzi, intesi a fornire una formazione adeguata alle pertinenti autorità, al fine di aumentare la comprensione della criminalità informatica e del suo impatto e promuovere la cooperazione e lo scambio di migliori pratiche, ad esempio attraverso le competenti agenzie e organismi specializzati dell’Unione. Tale formazione dovrebbe mirare, tra l’altro, ad aumentare il grado di conoscenza dei diversi ordinamenti giuridici nazionali, delle possibili sfide giuridiche e tecniche da affrontare nelle indagini penali e della ripartizione delle competenze tra le competenti autorità nazionali.

(29)

La presente direttiva rispetta i diritti umani e le libertà fondamentali e osserva i principi riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea e dalla convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, inclusi la protezione dei dati personali, il diritto alla riservatezza, la libertà di espressione e d’informazione, il diritto a un processo equo, la presunzione di innocenza e i diritti della difesa così come i principi della legalità e della proporzionalità dei reati e delle pene. In particolare, la presente direttiva è volta a garantire il pieno rispetto di tali diritti e principi e deve essere attuata di conseguenza.

(30)

La protezione dei dati personali costituisce un diritto fondamentale conformemente all’articolo 16, paragrafo 1, TFUE e all’articolo 8 della Carta dei diritti fondamentali. Pertanto, qualsiasi trattamento di dati personali nell’ambito dell’attuazione della presente direttiva dovrebbe avvenire nel pieno rispetto del pertinente diritto dell’Unione in materia di protezione dei dati.

(31)

A norma dell’articolo 3 del protocollo sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull’Unione europea e al trattato sul funzionamento dell’Unione europea, detti Stati membri hanno notificato che desiderano partecipare all’adozione e all’applicazione della presente direttiva.

(32)

A norma degli articoli 1 e 2 del protocollo sulla posizione della Danimarca, allegato al trattato sull’Unione europea e al trattato sul funzionamento dell’Unione europea, la Danimarca non partecipa all’adozione della presente direttiva, non è da essa vincolata né è soggetta alla sua applicazione.

(33)

Poiché gli obiettivi della presente direttiva, segnatamente assoggettare gli attacchi ai danni di sistemi di informazione in tutti gli Stati membri a sanzioni penali effettive, proporzionate e dissuasive, e migliorare e incoraggiare la cooperazione giudiziaria, non possono essere conseguiti in misura sufficiente dagli Stati membri, e possono dunque, a motivo della loro portata o dei loro effetti, essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(34)

La presente direttiva mira a modificare e ampliare le disposizioni della decisione quadro 2005/222/GAI del Consiglio, del 24 febbraio 2005, relativa agli attacchi contro i sistemi di informazione (6). Poiché le modifiche da apportare sono sostanziali per numero e natura, a fini di chiarezza, è opportuno che la decisione quadro 2005/222/GAI sia integralmente sostituita per gli Stati membri che partecipano all’adozione della presente direttiva,

a)

un programma per computer, destinato o modificato principalmente al fine di commettere uno dei reati di cui agli articoli da 3 a 6;

b)

una password di un computer, un codice d’accesso, o dati simili che permettono di accedere in tutto o in parte a un sistema di informazione.

a)

siano commessi nell’ambito di un’organizzazione criminale quale definita nella decisione quadro 2008/841/GAI, indipendentemente dalla sanzione ivi prevista;

b)

causino danni gravi; o

c)

siano commessi ai danni di un sistema di informazione di un’infrastruttura critica.

a)

sul potere di rappresentanza della persona giuridica;

b)

sul potere di prendere decisioni per conto della persona giuridica;

c)

sul potere di esercitare il controllo in seno alla persona giuridica.

a)

l’esclusione dal godimento di un beneficio o aiuto pubblico;

b)

l’interdizione temporanea o permanente dall’esercizio di attività commerciali;

c)

l’assoggettamento a sorveglianza giudiziaria;

d)

provvedimenti giudiziari di scioglimento;

e)

la chiusura temporanea o permanente degli stabilimenti che sono stati usati per commettere il reato.

a)

in tutto o in parte sul loro territorio; o

b)

da un loro cittadino, quanto meno nei casi in cui l’atto costituisce un reato nel luogo in cui è stato commesso.

a)

l’autore abbia commesso il reato mentre era fisicamente presente nel suo territorio, indipendentemente dal fatto che il reato sia stato o meno commesso contro un sistema di informazione nel suo territorio; o

b)

il reato sia stato commesso contro un sistema di informazione nel suo territorio, indipendentemente dal fatto che l’autore del reato fosse o meno fisicamente presente nel suo territorio al momento della commissione del reato.

a)

l’autore del reato risieda abitualmente nel suo territorio; o

b)

il reato sia commesso a vantaggio di una persona giuridica che ha sede nel suo territorio.