EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02019R0796-20220413
Council Regulation (EU) 2019/796 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States
Consolidated text: Regulamento (UE) 2019/796 do Conselho, de 17 de maio de 2019, relativo a medidas restritivas contra os ciberataques que constituem uma ameaça para a União ou os seus Estados-Membros
Regulamento (UE) 2019/796 do Conselho, de 17 de maio de 2019, relativo a medidas restritivas contra os ciberataques que constituem uma ameaça para a União ou os seus Estados-Membros
02019R0796 — PT — 13.04.2022 — 004.001
Este texto constitui um instrumento de documentação e não tem qualquer efeito jurídico. As Instituições da União não assumem qualquer responsabilidade pelo respetivo conteúdo. As versões dos atos relevantes que fazem fé, incluindo os respetivos preâmbulos, são as publicadas no Jornal Oficial da União Europeia e encontram-se disponíveis no EUR-Lex. É possível aceder diretamente a esses textos oficiais através das ligações incluídas no presente documento
|
REGULAMENTO (UE) 2019/796 DO CONSELHO de 17 de maio de 2019 relativo a medidas restritivas contra os ciberataques ►C1 que constituem uma ameaça para a União ◄ ou os seus Estados-Membros (JO L 129I de 17.5.2019, p. 1) |
Alterado por:
|
|
|
Jornal Oficial |
||
|
n.° |
página |
data |
||
|
REGULAMENTO DE EXECUÇÃO (UE) 2020/1125 DO CONSELHO de 30 de julho de 2020 |
L 246 |
4 |
30.7.2020 |
|
|
REGULAMENTO DE EXECUÇÃO (UE) 2020/1536 DO CONSELHO de 22 de outubro de 2020 |
L 351I |
1 |
22.10.2020 |
|
|
REGULAMENTO DE EXECUÇÃO (UE) 2020/1744 DO CONSELHO de 20 de novembro de 2020 |
L 393 |
1 |
23.11.2020 |
|
|
REGULAMENTO DE EXECUÇÃO (UE) 2022/595 DA COMISSÃO de 11 de abril de 2022 |
L 114 |
60 |
12.4.2022 |
|
Retificado por:
REGULAMENTO (UE) 2019/796 DO CONSELHO
de 17 de maio de 2019
relativo a medidas restritivas contra os ciberataques ►C1 que constituem uma ameaça para a União ◄ ou os seus Estados-Membros
Artigo 1.o
Os ciberataques que constituem uma ameaça externa incluem os que:
têm origem no exterior da União ou são realizados a partir do exterior da União,
fazem uso de infraestruturas fora da União,
são levados a cabo por qualquer pessoa singular ou coletiva, entidade ou organismo estabelecido ou que opere fora da União, ou
são realizados com o apoio, sob a direção ou sob o controlo de qualquer pessoa singular ou coletiva, entidade ou organismo que opere fora da União.
Para este efeito, consideram-se «ciberataques», as açõesque envolvam qualquer dos seguintes elementos:
Acesso aos sistemas de informações,
Interferência nos sistemas de informação,
Interferência respeitantes a dados, ou
Interceção de dados,
se essas ações não forem devidamente autorizadas pelo proprietário ou por outro titular dos direitos do sistema ou dos dados, ou de parte deles, ou não forem permitidas pelo direito da União ou do Estado-Membro em causa.
Os ciberataques que constituem uma ameaça para os Estados-Membros incluem os que afetam os sistemas de informação relacionados, nomeadamente, com:
infraestruturas críticas, incluindo cabos submarinos e objetos lançados no espaço extra-atmosférico, que sejam essenciais para a manutenção de funções vitais da sociedade, da saúde, da segurança e do bem-estar económico e social das pessoas,
serviços necessários para a manutenção de atividades sociais e/ou económicas essenciais, nomeadamente nos setores da energia (eletricidade, petróleo e gás), dos transportes (aéreos, ferroviários, por água e rodoviários), da banca, das infraestruturas do mercado financeiro, da saúde (prestadores de cuidados de saúde, hospitais e clínicas privadas), do fornecimento e distribuição de água potável, das infraestruturas digitais e de qualquer outro setor que seja essencial para o Estado-Membro em causa,
funções cruciais do Estado, em especial nos domínios da defesa, da governação e do funcionamento das instituições, nomeadamente em eleições públicas ou no processo de votação, do funcionamento das infraestruturas económicas e civis, da segurança interna e das relações externas, nomeadamente nas missões diplomáticas,
o armazenamento ou o tratamento de informações classificadas, ou
equipas da administração pública de resposta a emergências.
Para efeitos do presente regulamento, entende-se por:
«Sistemas de informação», um dispositivo ou grupo de dispositivos interligados ou associados, dos quais um ou mais executam, através de um programa, o tratamento automático de dados digitais, bem como de dados digitais armazenados, tratados, extraídos ou transmitidos por esse dispositivo ou grupo de dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção;
«Interferência no sistema de informação», o impedimento ou interrupção do funcionamento de um sistema de informação introduzindo dados digitais, transmitindo, danificando, apagando, deteriorando, alterando ou suprimindo esses dados, ou tornando¬ os inacessíveis;
«Interferência nos dados», a eliminação, danificação, deterioração, alteração ou supressão de dados digitais de um sistema de informação, ou o impedimento do acesso a esses dados. Esta definição inclui igualmente o furto de dados, de fundos, de recursos económicos ou de propriedade intelectual.
«Interceção de dados», a interceção, através de meios técnicos, das transferências não públicas de dados digitais para, a partir de ou no interior de um sistema de informação, incluindo as emissões eletromagnéticas de um sistema de informação que transmita esses dados digitais;
Para efeitos do presente regulamento, aplicam-se as seguintes definições adicionais:
«Pedido», qualquer pedido, independentemente de assumir ou não forma contenciosa, apresentado antes ou depois da data de entrada em vigor do presente regulamento, no âmbito de um contrato ou transação ou com eles relacionado, nomeadamente:
um pedido destinado a obter a execução de uma obrigação decorrente de um contrato ou transação ou com estes relacionada,
um pedido destinado a obter a prorrogação ou o pagamento de uma garantia ou contragarantia financeira ou de um crédito, independentemente da forma que assumam;
um pedido de indemnização respeitante a um contrato ou transação;
um pedido reconvencional;
um pedido destinado a obter o reconhecimento ou a execução, nomeadamente pelo procedimento de exequatur, de uma decisão judicial, uma decisão arbitral ou uma decisão equivalente, independentemente do lugar onde tenham sido proferidas;
«Contrato ou transação», qualquer operação, independentemente da forma que assuma e da lei aplicável, que inclua um ou mais contratos ou obrigações similares que vincule as mesmas partes ou partes diferentes; para este efeito, um «contrato» inclui as garantias ou contragarantias, nomeadamente financeiras, e os créditos, juridicamente independentes ou não, bem como qualquer disposição conexa decorrente ou relacionada com a transação;
«Autoridades competentes», as autoridades competentes dos Estados-Membros indicadas nos sítios Web enumerados no anexo II;
«Recursos económicos», ativos de qualquer tipo, corpóreos ou incorpóreos, móveis ou imóveis, que não sejam fundos mas que possam ser utilizados para a obtenção de fundos, bens ou serviços;
«Congelamento de recursos económicos», qualquer ação destinada a impedir a utilização de recursos económicos para a obtenção de fundos, bens ou serviços por qualquer meio, nomeadamente, mas não exclusivamente, a sua venda, locação ou hipoteca;
«Congelamento de fundos», qualquer ação destinada a impedir o movimento, a transferência, a alteração, a utilização, o acesso, ou a operação de fundos por qualquer meio suscetível de resultar numa alteração do respetivo volume, montante, localização, propriedade, posse, natureza, destino ou qualquer outra alteração suscetível de permitir a sua utilização, incluindo a gestão de carteiras;
«Fundos», ativos financeiros e benefícios económicos de qualquer tipo, nomeadamente, mas não exclusivamente:
numerário, cheques, direitos sobre numerário, livranças, ordens de pagamento e outros instrumentos de pagamento;
depósitos em instituições financeiras ou outras entidades, saldos de contas, créditos e títulos de crédito;
valores mobiliários e títulos de dívida de negociação aberta ao público ou restrita, incluindo ações e outros títulos de participação, certificados representativos de valores mobiliários, obrigações, promissórias, títulos de subscrição, títulos de dívida a longo prazo e contratos sobre instrumentos derivados;
juros, dividendos ou outros rendimentos gerados por ativos ou mais-valias provenientes de ativos;
créditos, direitos de compensação, garantias, garantias de boa execução e outros compromissos financeiros;
cartas de crédito, conhecimentos de embarque e comprovativos de vendas; e
documentos que atestem a detenção de fundos ou recursos financeiros;
«Território da União», os territórios dos Estados-Membros aos quais se aplica o Tratado, nas condições nele estabelecidas, incluindo o seu espaço aéreo.
Artigo 2.o
Os fatores determinantes para aferir do efeito significativo de um ciberatatque, a que se refere o artigo 1.o, n.o 1,incluem um dos seguintes elementos:
O âmbito, a dimensão,, o impacto ou a gravidade da perturbação causada, incluindo sobre as atividades económicas e societais, os serviços essenciais, as funções cruciais do Estado, a ordem pública ou a segurança pública;
O número de pessoas singulares ou coletivas, entidades ou organismos afetados;
O número de Estados-Membros afetados;
O montante das perdas económicas causadas, por exemplo, com o furto, em grande escala, de fundos, recursos económicos ou propriedade intelectual;
Os benefícios económicos obtidos pelo infrator para si próprio ou para terceiros;
A quantidade ou a natureza dos dados furtados ou a dimensão das violações de dados; ou
A natureza dos dados comercialmente sensíveis a que se teve acesso.
Artigo 3.o
O anexo I inclui, tal como identificados pelo Conselho nos termos do artigo 5.o, n.o 1, da Decisão (PESC) 2019/797:
As pessoas singulares ou coletivas, entidades ou organismos que são responsáveis por ciberataques ou tentativa de ciberataques;
As pessoas singulares ou coletivas, entidades ou organismos que prestam apoio financeiro, técnico ou material ou estejam de qualquer outro modo envolvidos em ciberataques ou na tentativa de ciberataques, nomeadamente planeando tais ataques, preparando-os, participando neles, dirigindo-os, prestando assistência na sua execução ou incentivando-os ou tornando-os possíveis, por ação ou omissão;
As pessoas singulares ou coletivas, entidades ou organismos associados às pessoas singulares ou coletivas, entidades ou organismos abrangidos pelas alíneas a) e b) do presente número.
Artigo 4.o
Em derrogação do artigo 3.o, as autoridades competentes dos Estados-Membros podem autorizar a liberação de determinados fundos ou recursos económicos congelados ou a disponibilização de determinados fundos ou recursos económicos, nas condições que considerem adequadas, após terem determinado que os fundos ou recursos económicos em causa:
►C1 São necessários para satisfazer as necessidades básicas das pessoas singulares ou coletivas, entidades ou organismos enumerados no anexo I ◄ e dos familiares dependentes das pessoas singulares em causa, incluindo o pagamento de alimentos, rendas ou empréstimos hipotecários, medicamentos e tratamentos médicos, impostos, apólices de seguro e taxas de serviços públicos;
Se destinam exclusivamente ao pagamento de honorários profissionais razoáveis ou ao reembolso de despesas associadas à prestação de serviços jurídicos;
Se destinam exclusivamente ao pagamento de encargos ou taxas de serviço correspondentes à manutenção ou gestão normal de fundos ou recursos económicos congelados;
São necessários para cobrir despesas extraordinárias, desde que a autoridade competente em causa tenha comunicado às autoridades competentes dos demais Estados-Membros e à Comissão, pelo menos duas semanas antes da concessão da autorização, os motivos por que considera que deve ser concedida uma autorização específica; ou
Devem ser creditados ou debitados numa conta de uma missão diplomática ou consular ou de uma organização internacional que goze de imunidades nos termos do direito internacional, desde que esses pagamentos se destinem a ser utilizados para fins oficiais da missão diplomática ou consular ou da organização internacional.
Artigo 5.o
Em derrogação do artigo 3.o, n.o 1, as autoridades competentes dos Estados-Membros podem autorizar a liberação de determinados fundos ou recursos económicos congelados, se estiverem preenchidas as seguintes condições:
Os fundos ou recursos económicos são objeto de uma decisão arbitral proferida antes da data em que a pessoa singular ou coletiva, entidade ou organismo a que se refere o artigo 3.o foram incluídos na lista do anexo I, ou de uma decisão judicial ou administrativa proferida na União ou de uma decisão judicial executória no Estado-Membro em causa, anterior ou posterior a essa data;
Os fundos ou recursos económicos serão exclusivamente utilizados para satisfazer créditos garantidos por essa decisão ou por esta reconhecidos como válidos, nos limites fixados pelas disposições legislativas e regulamentares que regem os direitos das pessoas titulares desses créditos;
O beneficiário da decisão não é uma das pessoas singulares ou coletivas, entidades ou organismos enumerados no anexo I; e
O reconhecimento da decisão não é contrário à ordem pública no Estado-Membro em causa.
Artigo 6.o
Em derrogação do artigo 3.o, n.o 1, e desde que uma pessoa singular ou coletiva, entidade ou organismo enumerado no anexo I deva proceder a um pagamento por força de um contrato ou acordo celebrado ou de uma obrigação contraída por essa pessoa singular ou coletiva, entidade ou organismo antes da data da sua inclusão no anexo I, as autoridades competentes dos Estados-Membros podem autorizar, nas condições que considerarem adequadas, a liberação de determinados fundos ou recursos económicos congelados, desde que a autoridade competente em causa tenha determinado que:
Os fundos ou recursos económicos serão utilizados num pagamento a efetuar por uma pessoa singular ou coletiva, entidade ou organismo enumerado no anexo I; e
O pagamento não é contrário ao artigo 3.o, n.o 2.
Artigo 7. .o
O artigo 3.o, n.o 2, não é aplicável ao crédito em contas congeladas de:
Juros ou outros rendimentos dessas contas;
Pagamentos devidos por força de contratos ou acordos celebrados ou de obrigações contraídas antes da data da inclusão no anexo I da pessoa singular ou coletiva, entidade ou organismo referidos no artigo 3.o, n.o 1; ou
Pagamentos devidos por força de decisões judiciais, administrativas ou arbitrais proferidas num Estado-Membro ou executórias no Estado-Membro em causa,
desde que os referidos juros, outros rendimentos e pagamentos continuem sujeitos às medidas previstas no artigo 3.o, n.o 1.
Artigo 8.o
Sem prejuízo das normas aplicáveis em matéria de transmissão de informações, confidencialidade e sigilo profissional, as pessoas singulares e coletivas, as entidades e os organismos devem:
Comunicar imediatamente todas as informações que possam facilitar o cumprimento do presente regulamento, tal como os dados relativos às contas e aos montantes congelados nos termos do artigo 3.o, n.o 1, à autoridade competente do Estado-Membro onde residem ou estão estabelecidos, e transmitir tais informações, diretamente ou através do Estado-Membro, à Comissão; e
Colaborar com as autoridades competentes em qualquer verificação das informações a que se refere a alínea a).
Artigo 9.o
É proibido participar, com conhecimento de causa e intencionalmente, em atividades cujo objeto ou efeito seja contornar as medidas a que se refere o artigo 3.o.
Artigo 10.o
Artigo 11.o
Não é satisfeito qualquer pedido relacionado com contratos ou transações cuja execução tenha sido afetada, direta ou indiretamente, total ou parcialmente, pelas medidas impostas ao abrigo do presente regulamento, incluindo pedidos de indemnização ou qualquer outro pedido desse tipo, tal como um pedido de compensação ou um pedido ao abrigo de uma garantia, em especial um pedido de prorrogação ou de pagamento de uma garantia ou contragarantia, nomeadamente financeira, independentemente da forma que assuma, se for apresentado por:
Pessoas singulares ou coletivas, entidades ou organismos designados enumerados no anexo I;
Pessoas singulares ou coletivas, entidades ou organismos que atuem por intermédio ou em nome das pessoas singulares ou coletivas, entidades ou organismos referidos na alínea a).
Artigo 12.o
A Comissão e os Estados-Membros informam-se reciprocamente das medidas tomadas por força do presente regulamento e partilham todas as outras informações pertinentes de que disponham a respeito do presente regulamento, em especial informações relativas:
A fundos congelados ao abrigo do artigo 3.o, e autorizações concedidas ao abrigo dos artigos 4.o, 5.o e 6.o; e
A violações do presente regulamento e problemas relacionados com a sua aplicação, assim como às sentenças proferidas pelos tribunais nacionais.
Artigo 13.o
Artigo 14.o
Artigo 15.o
Artigo 16.o
A Comissão procede ao tratamento dos dados pessoais a fim de executar as suas atribuições decorrentes do presente regulamento. Essas atribuições incluem:
O aditamento do conteúdo do anexo I à lista eletrónica consolidada de pessoas, grupos e entidades a quem a União aplicou sanções financeiras, bem como no mapa interativo de sanções, ambos acessíveis ao público;
O tratamento das informações sobre o impacto das medidas previstas no presente regulamento, nomeadamente o valor dos fundos congelados, bem como sobre as autorizações concedidas pelas autoridades competentes.
Artigo 17.o
Artigo 18.o
O presente regulamento aplica-se:
No território da União, incluindo o seu espaço aéreo;
A bordo das aeronaves ou embarcações sob jurisdição de um Estado-Membro;
A todas as pessoas singulares, nacionais de um Estado-Membro, dentro ou fora do território da União;
A todas as pessoas coletivas, entidades ou organismos, dentro ou fora do território da União, registados ou constituídos nos termos do direito de um Estado-Membro;
A todas as pessoas coletivas, entidades ou organismos relativamente a qualquer atividade económica que exerçam, total ou parcialmente, na União.
Artigo 19.o
O presente regulamento entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
ANEXO I
Lista de pessoas singulares e coletivas, entidades e organismos a que se refere o artigo 3.o
A. Pessoas singulares
|
|
Nome |
Elementos de identificação |
Motivos |
Data de inclusão na lista |
|
1. |
GAO Qiang |
Data de nascimento: 4 de outubro de 1983 Local de nascimento: Província de Shandong, China Endereço: Room 1102, Guanfu Mansion, 46 Xinkai Road, Hedong District, Tianjin, China Nacionalidade: chinesa Sexo: masculino |
Gao Qiang está envolvido na «Operation Cloud Hopper», uma série de ciberataques com um efeito significativo, proveniente do exterior da União e que constitui uma ameaça externa para a União ou os seus Estados-Membros, e de ciberataques com um efeito significativo contra Estados terceiros. A «Operação Cloud Hopper» atacou os sistemas de informação de empresas multinacionais em seis continentes, incluindo empresas localizadas na União, e obteve acesso não autorizado a dados sensíveis do ponto de vista comercial, o que resultou em significativos prejuízos económicos. O interveniente conhecido por «APT10» («Advanced Persistent Threat 10») (t.c.p. «Red Apollo», «CVNX», «Stone Panda», «MenuPass» e «Potassium») realizou a «Operation Cloud Hopper». Pode estabelecer-se uma ligação entre Gao Qiang e o interveniente «APT10», nomeadamente através da associação de Gao Qiang à infraestrutura de comando e controlo do interveniente «APT10». Além disso, a Huaying Haitai, entidade designada por apoiar e facilitar a «Operation Cloud Hopper», empregou Gao Qiang. Gao Qiang tem ligações a Zhang Shilong, também designado pela sua ligação à «Operation Cloud Hopper». Por conseguinte, Gao Qiang está associado à Huaying Haitai e a Zhang Shilong. |
30.7.2020 |
|
2. |
ZHANG Shilong |
Data de nascimento: 10 de setembro de 1981 Local de nascimento: China Endereço: Hedong, Yuyang Road No 121, Tianjin, China Nacionalidade: chinesa Sexo: masculino |
Zhang Shilong está envolvido na «Operation Cloud Hopper», uma série de ciberataques com um efeito significativo, proveniente do exterior da União e que constitui uma ameaça externa para a União ou os seus Estados-Membros, e de ciberataques com um efeito significativo contra Estados terceiros. A «Operação Cloud Hopper» atacou os sistemas de informação de empresas multinacionais em seis continentes, incluindo empresas localizadas na União, e obteve acesso não autorizado a dados sensíveis do ponto de vista comercial, o que resultou em significativos prejuízos económicos. O interveniente conhecido por «APT10» («Advanced Persistent Threat 10») (t.c.p. «Red Apollo», «CVNX», «Stone Panda», «MenuPass» e «Potassium») realizou a «Operation Cloud Hopper». Pode estabelecer-se uma ligação entre Zhang Shilong e o interveniente «APT10», nomeadamente através do programa malicioso que Zhang Shilong desenvolveu e testou em ligação com os ciberataques levados a cabo pelo interveniente «APT10». Além disso, a Huaying Haitai, entidade designada por apoiar e facilitar a «Operation Cloud Hopper», empregou Zhang Shilong. Zhang Shilong tem ligações a Gao Qiang, também designado pela sua ligação à «Operation Cloud Hopper». Por conseguinte, Zhang Shilong está associado à Huaying Haitai e a Gao Qiang. |
30.7.2020 |
|
3. |
Alexey Valeryevich MININ |
Алексей Валерьевич МИНИН Data de nascimento: 27 de maio de 1972 Local de nascimento: Oblast de Perm, República Socialista Federativa Soviética da Rússia (atualmente Federação da Rússia) Número de passaporte: 120017582 Emitido por: Ministério dos Negócios Estrangeiros da Federação da Rússia Validade: de 17 de abril de 2017 a 17 de abril de 2022 Localização: Moscovo, Federação da Rússia Nacionalidade: russa Sexo: masculino |
Alexey Minin participou numa tentativa de ciberataque com um efeito potencialmente significativo contra a Organização para a Proibição de Armas Químicas (OPAQ), com sede nos Países Baixos. Como agente de apoio em matéria de informações humanas da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia (GU/GRU), Alexey Minin fez parte de uma equipa de quatro agentes de informações militares russos que tentaram obter acesso não autorizado à rede WiFi da OPAQ na Haia, nos Países Baixos, em abril de 2018. A tentativa de ciberataque visou piratear a rede WiFi da OPAQ, o que, a ter acontecido, teria comprometido a segurança da rede e os trabalhos de investigação em curso na OPAQ. O Serviço de Segurança e Informações de Defesa dos Países Baixos (DISS) (Militaire Inlichtingen- en Veiligheidsdienst – MIVD) frustrou a tentativa de ciberataque, impedindo assim danos graves para a OPAQ. |
30.7.2020 |
|
4. |
Aleksei Sergeyvich MORENETS |
Алексей Сергеевич МОРЕНЕЦ Data de nascimento: 31 de julho de 1977 Local de nascimento: Oblast de Murmanskaya, República Socialista Federativa Soviética da Rússia (atualmente Federação da Rússia) Número de passaporte: 100135556 Emitido por: Ministério dos Negócios Estrangeiros da Federação da Rússia Validade: de 17 de abril de 2017 a 17 de abril de 2022 Localização: Moscovo, Federação da Rússia Nacionalidade: russa Sexo: masculino |
Aleksei Morenets participou numa tentativa de ciberataque com um efeito potencialmente significativo contra a Organização para a Proibição de Armas Químicas (OPAQ), com sede nos Países Baixos. Como «ciberoperador» da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia (GU/GRU), Aleksei Morenets fez parte de uma equipa de quatro agentes de informações militares russos que tentaram obter acesso não autorizado à rede WiFi da OPAQ na Haia, nos Países Baixos, em abril de 2018. A tentativa de ciberataque visou piratear a rede WiFi da OPAQ, o que, a ter acontecido, teria comprometido a segurança da rede e os trabalhos de investigação em curso na OPAQ. O Serviço de Segurança e Informações de Defesa dos Países Baixos (DISS) (Militaire Inlichtingen- en Veiligheidsdienst — MIVD) frustrou a tentativa de ciberataque, impedindo assim danos graves para a OPAQ. |
30.7.2020 |
|
5. |
Evgenii Mikhaylovich SEREBRIAKOV |
Евгений Михайлович СЕРЕБРЯКОВ Data de nascimento: 26 de julho de 1981 Local de nascimento: Kursk, República Socialista Federativa Soviética da Rússia (atualmente Federação da Rússia) Número de passaporte: 100135555 Emitido por: Ministério dos Negócios Estrangeiros da Federação da Rússia Validade: de 17 de abril de 2017 a 17 de abril de 2022 Localização: Moscovo, Federação da Rússia Nacionalidade: russa Sexo: masculino |
Evgenii Serebriakov participou numa tentativa de ciberataque com um efeito potencialmente significativo contra a Organização para a Proibição de Armas Químicas (OPAQ), com sede nos Países Baixos. Como «ciberoperador» da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia (GU/GRU), Evgenii Serebriakov fez parte de uma equipa de quatro agentes de informações militares russos que tentaram obter acesso não autorizado à rede WiFi da OPAQ na Haia, nos Países Baixos, em abril de 2018. A tentativa de ciberataque visou piratear a rede WiFi da OPAQ, o que, a ter acontecido, teria comprometido a segurança da rede e os trabalhos de investigação em curso na OPAQ. O Serviço de Segurança e Informações de Defesa dos Países Baixos (DISS) (Militaire Inlichtingen- en Veiligheidsdienst — MIVD) frustrou a tentativa de ciberataque, impedindo assim danos graves para a OPAQ. |
30.7.2020 |
|
6. |
Oleg Mikhaylovich SOTNIKOV |
Олег Михайлович СОТНИКОВ Data de nascimento: 24 de agosto de 1972 Local de nascimento: Ulyanovsk, República Socialista Federativa Soviética da Rússia (atualmente Federação da Rússia) Número de passaporte: 120018866 Emitido por: Ministério dos Negócios Estrangeiros da Federação da Rússia Validade: de 17 de abril de 2017 a 17 de abril de 2022 Localização: Moscovo, Federação da Rússia Nacionalidade: russa Sexo: masculino |
Oleg Sotnikov participou numa tentativa de ciberataque com um efeito potencialmente significativo contra a Organização para a Proibição de Armas Químicas (OPAQ), com sede nos Países Baixos. Como agente de apoio em matéria de informações humanas da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia (GU/GRU), Oleg Sotnikov fez parte de uma equipa de quatro agentes de informações militares russos que tentaram obter acesso não autorizado à rede WiFi da OPAQ na Haia, nos Países Baixos, em abril de 2018. A tentativa de ciberataque visou piratear a rede WiFi da OPAQ, o que, a ter acontecido, teria comprometido a segurança da rede e os trabalhos de investigação em curso na OPAQ. O Serviço de Segurança e Informações de Defesa dos Países Baixos (DISS) (Militaire Inlichtingen- en Veiligheidsdienst – MIVD) frustrou a tentativa de ciberataque, impedindo assim danos graves para a OPAQ. |
30.7.2020 |
|
7. |
Dmitry Sergeyevich BADIN |
Дмитрий Сергеевич БАДИН Data de nascimento: 15 de novembro de 1990 Local de nascimento: Kursk, República Socialista Federativa Soviética da Rússia (atualmente Federação da Rússia) Nacionalidade: russa Sexo: masculino |
Dmitry Badin participou num ciberataque com efeitos importantes contra o Parlamento Federal alemão (Deutscher Bundestag). Enquanto agente dos serviços de informação militares do 85.o Centro Principal de Serviços Especiais (GTsSS) da Direção-Geral do Estado-Maior das Forças Armadas da Federação da Rússia (GU/GRU), Dmitry Badin fez parte de uma equipa de agentes dos serviços de informações militares russos que lançaram um ataque contra o Parlamento Federal alemão (Deutscher Bundestag) em abril e maio de 2015. O referido ciberataque visou o sistema informático do Parlamento Federal alemão e perturbou o seu funcionamento durante vários dias. Foi roubada uma importante quantidade de dados e foram afetadas as contas de correio eletrónico de vários deputados e da chanceler federal, Angela Merkel. |
22.10.2020 |
|
8. |
Igor Olegovich KOSTYUKOV |
Игорь Олегович КОСТЮКОВ Data de nascimento: 21 de fevereiro de 1961 Nacionalidade: russa Sexo: masculino |
Igor Kostyukov é o atual chefe da Direção-Geral do Estado-Maior das Forças Armadas da Federação da Rússia (GU/GRU), tendo anteriormente ocupado o cargo de primeiro chefe adjunto. Uma das unidades sob o seu comando é o 85.o Centro Principal de Serviços Especiais (GTsSS), também chamada «unidade militar 26165» (outros nomes por que é conhecida no setor da cibersegurança: «APT28», «Fancy Bear», «Sofacy Group», «Pawn Storm» e «Strontium»). No exercício desse cargo, Igor Kostyukov é responsável por ciberataques lançados pelo GTsSS, incluindo ataques com efeitos importantes que constituem uma ameaça externa para a União ou para os seus Estados-Membros. Mais especificamente, agentes de informações militares do GTsSS participaram no ciberataque contra o Parlamento Federal alemão (Deutscher Bundestag) de abril e maio de 2015, bem como na tentativa de ciberataque destinado a piratear a rede Wi-Fi da Organização para a Proibição de Armas Químicas (OPAQ) ocorrida em abril de 2018, nos Países Baixos. O ciberataque contra o Parlamento Federal alemão visou o seu sistema informático e perturbou o seu funcionamento durante vários dias. Foi roubada uma importante quantidade de dados e foram afetadas as contas de correio eletrónico de vários deputados e da chanceler federal, Angela Merkel. |
22.10.2020 |
B. Pessoas coletivas, entidades e organismos
|
|
Nome |
Elementos de identificação |
Motivos |
Data de inclusão na lista |
|
1. |
Tianjin Huaying Haitai Science and Technology Development Co. Ltd (Huaying Haitai) |
Tcp Haitai Technology Development Co. Ltd Localização: Tianjin, China |
A Huaying Haitai prestou apoio financeiro, técnico ou material e facilitou a «Operation Cloud Hopper», uma série de ciberataques com um efeito significativo, proveniente do exterior da União e que constitui uma ameaça externa para a União ou os seus Estados-Membros, e de ciberataques com um efeito significativo contra Estados terceiros. A «Operação Cloud Hopper» atacou os sistemas de informação de empresas multinacionais em seis continentes, incluindo empresas localizadas na União, e obteve acesso não autorizado a dados sensíveis do ponto de vista comercial, o que resultou em significativos prejuízos económicos. O interveniente conhecido por «APT10» («Advanced Persistent Threat 10») (t.c.p. «Red Apollo», «CVNX», «Stone Panda», «MenuPass» e «Potassium») realizou a «Operation Cloud Hopper». Pode estabelecer-se uma ligação entre a Huaying Haitai e o interveniente «APT10». Além disso, a Huaying Haitai empregou Gao Qiang e Zhang Shilong, ambos designados pela sua ligação à «Operation Cloud Hopper». Por conseguinte, a Huaying Haitai está associada a Gao Qiang e a Zhang Shilong. |
30.7.2020 |
|
2. |
Chosun Expo |
Tcp Chosen Expo; Korea Export Joint Venture Localização: RPDC |
A Chosun Expo prestou apoio financeiro, técnico ou material e facilitou uma série de ciberataques com um efeito significativo, proveniente do exterior da União e que constitui uma ameaça externa para a União ou os seus Estados-Membros, e de ciberataques com um efeito significativo contra Estados terceiros, incluindo os ciberataques conhecidos por «WannaCry» e os ciberataques contra a autoridade polaca de supervisão financeira e a Sony Pictures Entertainment, bem como o roubo informático do Banco do Bangladexe e a tentativa de roubo informático do Banco Tien Phong do Vietname. O ciberataque «WannaCry» perturbou os sistemas de informação em todo o mundo, atacando os sistemas de informação com programas sequestradores e bloqueando o acesso aos dados. Afetou os sistemas de informação de empresas na União, incluindo os sistemas de informação relativos aos serviços necessários para a manutenção de serviços essenciais e de atividades económicas nos Estados-Membros. O interveniente conhecido por «APT38» («Advanced Persistent Threat 38») ou o «Lazarus Group» realizaram o ciberataque «WannaCry». Pode estabelecer-se uma ligação entre a Chosun Expo e o interveniente «APT38» e o grupo «Lazarus», nomeadamente através das contas utilizadas para os ciberataques. |
30.7.2020 |
|
3. |
Centro Principal de Tecnologias Especiais (GTsST) da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia (GU/GRU) |
Endereço: 22 Kirova Street, Moscovo, Federação da Rússia |
O Centro Principal de Tecnologias Especiais (GTsST) da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia (GU/GRU), também conhecido pelo seu código postal de campanha 74455, é responsável por ciberataques com um efeito significativo, provenientes do exterior da União e que constituem uma ameaça externa para a União ou os seus Estados-Membros, e de ciberataques com um efeito significativo contra Estados terceiros, incluindo os ciberataques publicamente conhecidos por «NotPetya» ou «EternalPetya», em junho de 2017, e os ciberataques que visaram uma rede elétrica ucraniana no inverno de 2015 e 2016. Os ciberataques «NotPetya» ou «EternalPetya» impediram o acesso aos dados em várias empresas da União, da Europa em geral e de todo o mundo, atacando os computadores com programas sequestradores e bloqueando o acesso aos dados, o que resultou, nomeadamente, em significativos prejuízos económicos. O ciberataque a uma rede de energia ucraniana teve como resultado o não funcionamento de partes da referida rede durante o inverno. |
30.7.2020 |
|
O interveniente conhecido por «Sandworm» (t.c.p. «Sandworm Team», «BlackEnergy Group», «Voodoo Bear», «Quedagh», «Olympic Destroyer» e «Telebots»), também responsável pelo ataque à rede elétrica ucraniana, realizou os ciberataques «NotPetya» ou «EternalPetya». O Centro Principal de Tecnologias Especiais (GTsST) da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia (GU/GRU) tem um papel ativo nas ciberatividades realizadas pelo interveniente «Sandworm», pelo que pode estabelecer-se uma ligação entre ambos. |
||||
|
4. |
85th Main Centre for Special Services (GTsSS) of the Main Directorate of the General Staff of the Armed Forces of the Russian Federation (GU/GRU) [85.o Centro Principal de Serviços Especiais (GTsSS) da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia] |
Endereço: Komsomol’skiy Prospekt, 20, Moscovo, 119146, Federação da Rússia |
O 85.o Centro Principal de Serviços Especiais (GTsSS) da Direção-Geral de Informações do Estado-Maior-General das Forças Armadas da Federação da Rússia (GU/GRU), também chamada «unidade militar 26165» (outros nomes por que é conhecida no setor da cibersegurança: «APT28», «Fancy Bear», «Sofacy Group», «Pawn Storm» e «Strontium»), é responsável por ciberataques com efeitos importantes que constituem uma ameaça externa para a União ou para os seus Estados-Membros. Mais especificamente, agentes de informações militares do GTsSS participaram no ciberataque contra o Parlamento Federal alemão (Deutscher Bundestag) de abril e maio de 2015, bem como na tentativa de ciberataque destinado a piratear a rede Wi-Fi da Organização para a Proibição de Armas Químicas (OPAQ) ocorrida em abril de 2018, nos Países Baixos. O ciberataque contra o Parlamento Federal alemão visou o seu sistema informático e perturbou o seu funcionamento durante vários dias. Foi roubada uma importante quantidade de dados e foram afetadas as contas de correio eletrónico de vários deputados e da chanceler federal, Angela Merkel. |
22.10.2020 |
ANEXO II
Sítios Web que contêm informações sobre as autoridades competentes e endereço da Comissão Europeia para o envio das notificações
BÉLGICA
https://diplomatie.belgium.be/en/policy/policy_areas/peace_and_security/sanctions
BULGÁRIA
https://www.mfa.bg/en/EU-sanctions
CHÉQUIA
www.financnianalytickyurad.cz/mezinarodni-sankce.html
DINAMARCA
http://um.dk/da/Udenrigspolitik/folkeretten/sanktioner/
ALEMANHA
https://www.bmwi.de/Redaktion/DE/Artikel/Aussenwirtschaft/embargos-aussenwirtschaftsrecht.html
ESTÓNIA
https://vm.ee/et/rahvusvahelised-sanktsioonid
IRLANDA
https://www.dfa.ie/our-role-policies/ireland-in-the-eu/eu-restrictive-measures/
GRÉCIA
http://www.mfa.gr/en/foreign-policy/global-issues/international-sanctions.html
ESPANHA
https://www.exteriores.gob.es/es/PoliticaExterior/Paginas/SancionesInternacionales.aspx
FRANÇA
http://www.diplomatie.gouv.fr/fr/autorites-sanctions/
CROÁCIA
https://mvep.gov.hr/vanjska-politika/medjunarodne-mjere-ogranicavanja/22955
ITÁLIA
https://www.esteri.it/it/politica-estera-e-cooperazione-allo-sviluppo/politica_europea/misure_deroghe/
CHIPRE
https://mfa.gov.cy/themes/
LETÓNIA
http://www.mfa.gov.lv/en/security/4539
LITUÂNIA
http://www.urm.lt/sanctions
LUXEMBURGO
https://maee.gouvernement.lu/fr/directions-du-ministere/affaires-europeennes/organisations-economiques-int/mesures-restrictives.html
HUNGRIA
https://kormany.hu/kulgazdasagi-es-kulugyminiszterium/ensz-eu-szankcios-tajekoztato
MALTA
https://foreignandeu.gov.mt/en/Government/SMB/Pages/SMB-Home.aspx
PAÍSES BAIXOS
https://www.rijksoverheid.nl/onderwerpen/internationale-sancties
ÁUSTRIA
https://www.bmeia.gv.at/themen/aussenpolitik/europa/eu-sanktionen-nationale-behoerden/
POLÓNIA
https://www.gov.pl/web/dyplomacja/sankcje-miedzynarodowe
https://www.gov.pl/web/diplomacy/international-sanctions
PORTUGAL
https://www.portaldiplomatico.mne.gov.pt/politica-externa/medidas-restritivas
ROMÉNIA
http://www.mae.ro/node/1548
ESLOVÉNIA
http://www.mzz.gov.si/si/omejevalni_ukrepi
ESLOVÁQUIA
https://www.mzv.sk/europske_zalezitosti/europske_politiky-sankcie_eu
FINLÂNDIA
https://um.fi/pakotteet
SUÉCIA
https://www.regeringen.se/sanktioner
Endereço da Comissão Europeia para o envio das notificações:
Comissão Europeia
Direção-Geral da Estabilidade Financeira, dos Serviços Financeiros e da União dos Mercados de Capitais (DG FISMA)
Rue de Spa 2
B-1049 Bruxelas, Bélgica
Correio eletrónico: relex-sanctions@ec.europa.eu