23.7.2011   

RO

Jurnalul Oficial al Uniunii Europene

C 218/130

1.1

Comitetul salută Comunicarea Comisiei privind propunerea de directivă a Parlamentului European și a Consiliului privind atacurile împotriva sistemelor informatice. Comitetul împărtășește îngrijorarea profundă exprimată de Comisie cu privire la amploarea criminalității informatice în Europa și la daunele reale și potențiale pe care această amenințare crescândă le poate aduce economiei și bunăstării cetățenilor.

1.2

De asemenea, Comitetul împărtășește dezamăgirea Comisiei cu privire la faptul că numai 17 din cele 27 de state membre au ratificat până în prezent Convenția Consiliului Europei privind criminalitatea informatică („Convenția privind criminalitatea informatică”) (1). Comitetul solicită celorlalte state membre (2) – Austria, Belgia, Republica Cehă, Grecia, Irlanda, Luxemburg, Malta, Polonia, Suedia și Regatul Unit să ratifice cât de curând Convenția privind criminalitatea informatică.

1.3

Comitetul este de acord cu Comisia în ceea ce privește necesitatea urgentă a elaborării unei directive prin care să se actualizeze definițiile infracțiunilor implicate în atacurile împotriva sistemelor informatice și să se sporească coordonarea în domeniul dreptului penal și cooperarea la nivelul UE, în vederea abordării eficiente a acestei probleme esențiale.

1.4

Din cauza nevoii urgente de adoptare a unor măsuri legislative care să abordeze în mod expres atacurile împotriva sistemelor informatice, Comitetul este de acord cu decizia Comisiei de a apela la opțiunea politică a elaborării unei directive care să se bazeze pe măsuri fără caracter legislativ, orientate către acest aspect caracteristic al criminalității informatice.

1.5

Cu toate acestea, potrivit solicitării exprimate într-un aviz anterior al Comitetului (3), acesta ar prefera ca, în paralel, Comisia să continue activitatea de elaborare a unei legislații UE cuprinzătoare împotriva criminalității informatice. Comitetul este de părere că un cadru global este esențial pentru succesul Agendei digitale și al Strategiei Europa 2020 (4). Acest cadru ar trebui să abordeze chestiuni legate de prevenire, depistare și educație, pe lângă aplicarea legislației și pedepse.

1.6

CESE ar dori ca, în timp util, Comisia să prezinte propuneri pentru un cadru cuprinzător de acțiune pentru a aborda chestiunea generală privind securitatea internetului. În următorii 10 ani, când majoritatea populației va folosi internetul, iar cea mai mare parte a activității economice și sociale va depinde de internet, este de neconceput să ne putem baza pe abordarea actuală neglijentă și nestructurată privind utilizarea internetului, mai ales că valoarea economică a acestei activități va fi incalculabilă. Vor exista numeroase chestiuni care vor implica alte provocări, cum ar fi securitatea datelor cu caracter personal și confidențialitatea, precum și criminalitatea informatică. Securitatea aeriană este controlată de o autoritate centrală care stabilește standardele pentru avioane, aeroporturi și operațiuni de trafic aerian. A sosit timpul să creăm o autoritate similară care să stabilească standarde pentru dispozitive terminale extrem de sigure (calculatoare de birou, calculatoare portabile, telefoane), pentru securitatea rețelei, pentru certificarea site-urilor web și pentru securitatea datelor. Configurarea fizică a internetului este un element-cheie în lupta împotriva criminalității informatice. UE va avea nevoie de un organ de reglementare cu putere de decizie în ceea ce privește internetul.

1.7

Directiva se va concentra asupra definirii crimei și a pedepselor. CESE solicită ca în paralel să se acorde atenție și prevenirii prin măsuri de securitate mai bune. Producătorii de echipamente ar trebui să respecte standardele pentru dispozitive extrem de sigure. Nu este acceptabil ca securitatea dispozitivelor și a rețelei să depindă de bunăvoința deținătorului. Ar trebui luată în considerare introducerea unui sistem european de identitate electronică, însă acesta ar trebui conceput cu mare atenție pentru a evita încălcarea vieții private. Ar trebui demarată exploatarea posibilităților în domeniul securității în cadrul IPv6, iar inițierea cetățenilor în domeniul securității informatice, inclusiv în securitatea datelor, ar trebui să fie o parte fundamentală a programei în materie de competențe digitale. Comisia ar trebui să aibă în vedere avizele precedente ale Comitetului care au abordat aceste chestiuni (5).

1.8

Comitetul se declară mulțumit de faptul că directiva propusă acoperă în mod corespunzător atacurile împotriva sistemelor informatice prin intermediul botneturilor (6), inclusiv atacurile prin blocarea serviciului (de tip DoS) (7). De asemenea, Comitetul este de părere că directiva va fi de folos autorităților în vederea urmăririi în justiție a criminalității informatice, prin care se încearcă exploatarea interconectivității pe plan internațional a rețelelor, precum și în vederea urmăririi în justiție a făptuitorilor care încearcă să se ascundă în spatele anonimatului pe care îl pot asigura instrumentele sofisticate ale criminalității informatice.

1.9

Comitetul este, de asemenea, mulțumit de lista infracțiunilor penale acoperite de directivă, în special de introducerea „interceptării ilegale” ca infracțiune penală și de prezentarea clară a „instrumentelor care pot fi utilizate în scopul comiterii infracțiunilor”.

1.10

Cu toate acestea, având în vedere importanța pe care o au încrederea și securitatea pentru economia digitală și costurile anuale uriașe cauzate de criminalitatea informatică (8), Comitetul recomandă ca severitatea sancțiunilor prevăzute de directivă să reflecte nivelul de gravitate a infracțiunii și să descurajeze cu adevărat infractorii. Directiva propusă prevede sancțiuni privative de libertate cu o durată minimă de doi sau de cinci ani (cinci ani pentru cazurile cu circumstanțe agravante). CESE are în vedere o clasificare a pedepselor în funcție de gravitatea infracțiunilor.

1.11

CESE recomandă să se profite de ocazie pentru a se transmite un mesaj ferm către infractori și cetățenii care doresc să obțină garanții, prin prevederea unor sancțiuni mai aspre. De pildă, în Regatul Unit (9) există sancțiuni de până la zece ani pentru atacurile pe scară largă împotriva sistemelor informatice, iar Estonia și-a înăsprit sancțiunile, astfel că utilizarea în scopuri teroriste a atacurilor pe scară largă este pasibilă de detenție pe o perioadă de până la 25 de ani. (10)

1.12

Comitetul salută propunerea Comisiei de a susține directiva prin intermediul unor măsuri fără caracter legislativ, în scopul încurajării continuării acțiunii coordonate de la nivelul UE și a eficientizării punerii în aplicare a acesteia. CESE subliniază și necesitatea de a extinde coordonarea, astfel încât aceasta să includă cooperarea strânsă cu toate țările AELS și cu NATO.

1.13

Comitetul sprijină cu fermitate programele de formare și recomandările privind bunele practici propuse în vederea sporirii eficienței punctelor de contact existente, disponibile 24 de ore din 24 și 7 zile din 7 pentru autoritățile de aplicare a legii.

1.14

Pe lângă măsurile fără caracter legislativ menționate în propunere, Comitetul solicită Comisiei să ia în considerare, în special, fondurile pentru cercetare și dezvoltare destinate dezvoltării sistemelor de detectare timpurie și de răspuns, pentru a se face față atacurilor împotriva sistemelor informatice. Stadiul actual al tehnologiilor de cloud computing  (11) și grid computing  (12) asigură un potențial de a proteja Europa mai bine în fața multor amenințări.

1.15

Comitetul propune ca Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) să finanțeze un program axat pe dezvoltarea competențelor, în vederea consolidării industriei europene a securității în domeniul TIC, depășindu-se aspectele ce țin de aplicarea legii (13).

1.16

În vederea consolidării protecției împotriva atacurilor informatice în Europa, Comitetul dorește să reafirme importanța înființării Parteneriatului public-privat european pentru reziliență (EP3R) și a asocierii acestuia activităților Agenției Europene pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) și Grupului Guvernamental European al CERT (EGC).

1.17

Trebuie încurajată crearea în Europa a unei industrii puternice în domeniul securității informatice, pentru a corespunde competențelor existente în industria SUA din domeniu, care beneficiază de fonduri importante (14). Ar trebui sporite considerabil investițiile în C&D și în educația din domeniul securității informatice.

1.18

Comitetul ia notă de faptul că, în temeiul protocoalelor la tratat, Regatul Unit, Irlanda și Danemarca sunt exceptate de la punerea în aplicare a directivei propuse. În pofida acestor exceptări, Comitetul solicită statelor membre să coopereze cât mai mult posibil, în conformitate cu dispozițiile directivei, pentru a-i împiedica pe infractori să profite de lacunele politicilor din Uniune.

2.1

În prezent, Europa depinde în mare măsură de sistemele informatice în ceea ce privește dobândirea bunăstării și calitatea vieții noastre. Este important ca această dependență crescândă să meargă mână în mână cu sporirea complexității măsurilor de securitate și cu elaborarea unor acte legislative puternice, care să protejeze sistemele noastre informatice împotriva atacurilor.

2.2

Internetul reprezintă platforma centrală a societății digitale. Abordarea amenințărilor la adresa securității sistemelor informatice este de o importanță crucială pentru dezvoltarea societății digitale și a economiei digitale. Internetul constituie suportul pentru cea mai mare parte a infrastructurii critice de informații a Europei, care stă la baza platformelor de informare și de comunicare ce asigură bunurile și serviciile de bază. Atacurile împotriva sistemelor informatice (sistemele publice, sistemele financiare, serviciile sociale și sistemele critice de infrastructură vitale, cum ar fi cele care asigură energia electrică, apa, transporturile și serviciile de urgență) au devenit o problemă majoră.

2.3

Arhitectura internetului are la bază interconectarea a milioane de calculatoare ale căror funcții de procesare, comunicare și control sunt repartizate în întreaga lume. Această arhitectură fragmentată este esențială pentru ca internetul să dea dovadă de stabilitate și reziliență, cu posibilitatea de a restabili rapid traficul în cazul în care apare o problemă. Aceasta înseamnă, însă, că atacurile informatice pe scară largă pot fi inițiate de la extremitățile rețelei, de exemplu, prin intermediul botneturilor, de către orice persoană care are motivația și cunoștințele de bază necesare.

2.4

Evoluțiile din domeniul tehnologiei informațiilor au accentuat aceste probleme prin facilitarea producerii și distribuirii instrumentelor („malware” (15) și „botneturi”), oferind totodată anonimitate infractorilor și repartizând responsabilitatea între jurisdicții. Dificultățile de inițiere a urmăririi în justiție permit crimei organizate să obțină profituri considerabile, cu risc scăzut.

2.5

Potrivit unui studiu din 2009 (16), prezentat în cadrul Forumului economic mondial, costul la nivel mondial al criminalității informatice se ridică la 1 bilion de dolari și se află în creștere rapidă. De asemenea, un raport guvernamental (17) recent emis în Regatul Unit estimează că, numai în Regatul Unit, aceste costuri se ridică la 27 de miliarde de lire sterline. Costul ridicat al criminalității informatice justifică adoptarea unor măsuri intransigente, aplicarea strictă a acestora și impunerea unor sancțiuni aspre celor care le încalcă.

2.6

Potrivit documentului de lucru al serviciilor Comisiei care însoțește propunerea de directivă (18), crima organizată și guvernele ostile profită de pe urma potențialului distructiv al atacurilor împotriva sistemelor informatice din întreaga Uniune. Atacurile provenind de la asemenea botneturi pot fi extrem de periculoase pentru statul afectat în ansamblu și pot fi folosite, de asemenea, de teroriști sau de alte persoane pentru a exercita presiuni politice asupra unui stat.

2.7

Atacul împotriva Estoniei din perioada aprilie-mai 2007 a reliefat această problemă. Au fost puternic afectate părți importante ale infrastructurii critice de informații din sectoarele public și privat timp de zile întregi, datorită unor atacuri pe scară largă împotriva lor; aceste atacuri au costat între 19 și 28 de milioane de euro și au avut costuri considerabile pe plan politic. Atacuri distructive asemănătoare au fost lansate și împotriva Lituaniei și Georgiei.

2.8

Rețelele globale de comunicații presupun un nivel înalt de interconectivitate transfrontalieră. Este de o importanță crucială ca toate cele 27 de state membre să întreprindă o acțiune colectivă și uniformă pentru a combate criminalitatea informatică, în special atacurile împotriva sistemelor informatice. Din cauza acestei interdependențe la nivel internațional, UE îi revine sarcina de a avea o politică integrată de protejare a sistemelor informatice împotriva atacurilor și de pedepsire a autorilor acestor atacuri.

2.9

În Avizul din 2007 privind strategia pentru o societate informațională sigură (19), Comitetul a afirmat că ar dori elaborarea unei legislații cuprinzătoare a UE în domeniul combaterii criminalității informatice. Pe lângă atacurile împotriva sistemelor informatice, un cadru global ar trebui să cuprindă criminalitatea informatică din domeniul financiar, conținutul ilegal de pe internet, colectarea/stocarea/transferul de probe electronice și norme jurisdicționale mai amănunțite.

2.10

Comitetul recunoaște faptul că elaborarea unui cadru global este o sarcină foarte dificilă, îngreunată și mai mult de lipsa unui consens în plan politic (20) și de problemele generate de diferențele dintre punctele de vedere ale statelor membre cu privire la admisibilitatea dovezilor electronice în tribunale. Cu toate acestea, un astfel de cadru global ar maximiza atât avantajele instrumentelor legislative, cât și ale celor fără caracter legislativ, în ceea ce privește abordarea seriei largi de probleme legate de criminalitatea informatică. De asemenea, acest cadru ar fi în legătură cu cadrul penal și ar îmbunătăți totodată cooperarea în domeniul aplicării legii în UE. Comitetul îndeamnă Comisia să acționeze în continuare în vederea îndeplinirii obiectivului de realizare a unui cadru juridic global pentru criminalitatea informatică.

2.11

Combaterea criminalității informatice necesită competențe deosebite. Avizul Comitetului privind propunerea de regulament cu privire la ENISA (21) a evidențiat importanța formării personalului care se ocupă cu aplicarea legii. Comitetul este satisfăcut de faptul că au fost realizate progrese de către Comisie în ceea ce privește crearea platformei de formare în materie de combatere a criminalității organizate, care să includă aplicarea legii și sectorul privat, astfel cum s-a propus în COM(2007) 267 (22).

2.12

Toți cetățenii, ale căror vieți ar putea să depindă de serviciile de bază, se numără printre părțile interesate din domeniul securității informatice din UE. Aceiași cetățeni au răspunderea de a-și proteja, în măsura posibilului, conexiunea la internet împotriva atacurilor. O răspundere și mai mare le revine furnizorilor de servicii și de tehnologii TIC, care pun la dispoziție sisteme informatice.

2.13

Informarea în mod corespunzător a tuturor părților interesate cu privire la securitatea informatică este esențială. De asemenea, este important ca Europa să dispună de numeroși experți în domeniul securității informatice.

2.14

Trebuie încurajată crearea în Europa a unei industrii puternice în domeniul securității informatice, pentru a corespunde competențelor existente în industria SUA din domeniu, care beneficiază de o finanțare substanțială (23). Ar trebui sporite considerabil investițiile în C&D și în educația din domeniul securității informatice.

3.1

Obiectivul acestei propuneri constă în înlocuirea Deciziei-cadru 2005/222/JAI a Consiliului din 24 februarie 2005 privind atacurile împotriva sistemelor informatice (24). Conform considerentelor, obiectivul deciziei-cadru consta în îmbunătățirea cooperării dintre autoritățile judiciare și alte autorități competente, inclusiv poliția și alte servicii specializate de aplicare a legii din statele membre, prin apropierea normelor de drept penal ale statelor membre în ceea ce privește atacurile împotriva sistemelor informatice. Decizia-cadru respectivă introducea o legislație europeană care să permită urmărirea în justiție a infracțiunilor cum ar fi accesul ilegal la sistemele informatice, afectarea integrității unui sistem informatic și afectarea integrității datelor, precum și norme specifice privind răspunderea persoanelor juridice, competența și schimbul de informații. Statelor membre li s-a solicitat să ia măsurile necesare pentru a se conforma dispozițiilor directivei-cadru până la 16 martie 2007.

3.2

La 14 iulie 2008, Comisia a publicat un raport privind punerea în aplicare a deciziei-cadru (25). În cadrul concluziilor, s-a afirmat că „atacurile recente din Europa, care au avut loc după adoptarea deciziei-cadru, au subliniat apariția unor amenințări noi, în special, producerea unor atacuri simultane masive împotriva sistemelor informatice și utilizarea infracțională crescută a așa-numitelor «botnets».” Aceste atacuri nu se aflau în centrul atenției în momentul adoptării deciziei-cadru.

3.3

Propunerea ia în considerare noile metode de săvârșire a infracțiunilor informatice, în special utilizarea botneturilor (26). Depistarea autorilor este deosebit de dificilă, deoarece locul în care se află calculatoarele care alcătuiesc botnetul și lansează atacul poate fi diferit de locul în care se află autorul.

3.4

Atacurile întreprinse prin intermediul unui botnet sunt adesea atacuri pe scară largă. Atacurile pe scară largă sunt fie atacurile care pot fi lansate prin utilizarea de instrumente care afectează un număr semnificativ de sisteme informatice (calculatoare), fie atacurile care produc daune considerabile, de exemplu, în materie de întrerupere a serviciilor aferente sistemului, costuri financiare, pierderi de date cu caracter personal etc. Daunele provocate de atacurile pe scară largă au un impact major asupra funcționării sistemului-țintă și/sau afectează mediul de lucru al acestuia. În acest context, prin „botnet mare” se înțelege un botnet care poate provoca daune serioase. Nu este ușor să se definească botneturile în funcție de dimensiuni, însă s-a estimat că botneturile cele mai mari cunoscute aveau între 40 000 și 100 000 de conexiuni (adică calculatoare infectate) pe un interval de 24 de ore (27).

3.5

Decizia-cadru prezintă o serie de inconveniente, datorită evoluțiilor dimensiunilor și numărului infracțiunilor (atacuri informatice). Ea apropie legislația numai în ceea ce privește un număr limitat de infracțiuni, însă nu abordează în totalitate amenințarea potențială pe care o reprezintă atacurile pe scară largă pentru societate. De asemenea, directiva-cadru nu ia suficient în considerare gravitatea infracțiunilor și sancțiunile împotriva acestora.

3.6

Obiectivul acestei directive constă în apropierea normelor de drept penal ale statelor membre în domeniul atacurilor împotriva sistemelor informatice și în îmbunătățirea cooperării dintre autoritățile judiciare și alte autorități competente, inclusiv poliția și alte servicii specializate de aplicare a legii ale statelor membre.

3.7

Atacurile împotriva sistemelor informatice, în special cele care provin din mediul criminalității organizate, reprezintă o amenințare crescândă și sporește îngrijorarea cu privire la atacurile teroriste sau atacurile din motive politice împotriva sistemelor informatice care aparțin infrastructurii critice a statelor membre și a UE. Acest lucru reprezintă o amenințare la adresa realizării unei societăți informaționale mai sigure și a unei zone de libertate, securitate și justiție; prin urmare, se solicită un răspuns la nivelul Uniunii Europene.

3.8

Există dovezi în sprijinul ipotezei unei evoluții către atacuri pe scară largă tot mai periculoase și mai frecvente îndreptate împotriva sistemelor informatice vitale pentru statele membre sau pentru anumite funcții din sistemul public sau privat. Această evoluție este însoțită de dezvoltarea unor instrumente din ce în ce mai sofisticate, care pot fi utilizate de infractori pentru a lansa atacuri informatice de diferite tipuri.

3.9

În acest domeniu este important să se stabilească definiții comune, în special pentru sistemele informatice și pentru datele informatice, în vederea punerii în aplicare consecvente a acestei directive în statele membre.

3.10

Este necesară adoptarea unei abordări comune a elementelor componente ale infracțiunilor penale prin stabilirea infracțiunilor de drept comun reprezentate de accesul ilegal la sistemele informatice, afectarea integrității unui sistem, afectarea integrității datelor și interceptarea ilegală.

3.11

Statele membre ar trebui să prevadă sancțiuni în ceea ce privește atacurile împotriva sistemelor informatice. Sancțiunile prevăzute trebuie să fie eficiente, proporționale și disuasive.

3.12

Deși abrogă Decizia-cadru 2005/222/JAI, directiva va păstra prevederile acesteia și va cuprinde următoarele elemente noi: