Le reti elettroniche di comunicazione e i sistemi di informazione costituiscono al giorno d'oggi una parte essenziale della vita quotidiana dei cittadini dell'UE e sono fondamentali per il successo dell'economia dell'UE.
Le reti ed i sistemi di informazione stanno convergendo e divenendo sempre più interconnessi. Tale evoluzione, nonostante i suoi vari ed ovvi benefici, ha anche portato con sé l'inquietante minaccia di attacchi intenzionali ai sistemi d'informazione. Tali attacchi possono assumere una grande varietà di forme, tra cui l'accesso illecito, la diffusione di codici "maligni" e gli attacchi finalizzati al diniego di servizio ("denial of service"). Un attacco può essere lanciato da qualsiasi posto al mondo, verso qualsiasi posto al mondo, e in qualsiasi momento. Nel futuro potrebbero verificarsi nuove, inaspettate forme di attacco.
Gli attacchi contro i sistemi d'informazione costituiscono una minaccia per la creazione di una società dell'informazione più sicura e di uno spazio di libertà, sicurezza e giustizia, e richiedono pertanto una risposta a livello di Unione europea. La presente proposta di decisione quadro relativa al ravvicinamento delle normative penali nel settore degli attacchi a sistemi d'informazione costituisce parte del contributo della Commissione a tale risposta.
1.1. Tipologie di attacchi ai sistemi d'informazione
L'espressione "sistemi d'informazione" viene qui usata deliberatamente nel suo senso più ampio, nel riconoscimento della convergenza tra reti elettroniche di comunicazione ed i vari sistemi che esse connettono. Ai fini della presente proposta, i sistemi d'informazione comprendono quindi personal computer "stand-alone", personal organiser digitali, telefoni cellulari, intranet, extranet e, ovviamente, le reti, i server e le altre infrastrutture di Internet.
Nella sua comunicazione "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo" (1) , la Commissione ha proposto le seguenti descrizioni delle minacce ai sistemi d'informazione:
a) Accesso non autorizzato a sistemi d'informazione (...);
b) Interruzione del funzionamento dei sistemi d'informazione (...);
c) Esecuzione di software "maligni" (malicious software) che modificano o distruggono i dati (...).
1.2. La natura della minaccia
Esiste un'esigenza evidente di raccogliere informazioni affidabili sulla dimensione e la natura degli attacchi ai sistemi d'informazione.
Alcuni dei più gravi episodi di attacchi ai sistemi d'informazione sono diretti contro operatori o fornitori di servizi di reti elettroniche di comunicazione o contro società di commercio elettronico. Anche settori più tradizionali possono però essere seriamente coinvolti considerata la sempre maggiore interconnessione nell'area delle comunicazioni moderne: industrie manifatturiere; industrie di servizi; ospedali; altre organizzazioni nel settore pubblico e gli stessi governi. Ma le vittime degli attacchi non sono solo organizzazioni; vi possono essere effetti molto diretti, gravi e dannosi anche sui singoli individui. L'onere economico che alcuni di questi attacchi comportano per organismi pubblici, società private e singoli individui indistintamente è considerevole e rischia di rendere i sistemi d'informazione più costosi e meno alla portata degli utenti.
I tipi di attacchi sopra descritti sono spesso portati avanti da soggetti che agiscono individualmente, a volte minori che forse non valutano appieno la gravità delle proprie azioni. Tuttavia, il livello di sofisticazione e di ambizione degli attacchi potrebbe accrescersi. Vi è una crescente ed inquietante preoccupazione che organizzazioni criminali possano usare le reti di comunicazione per sferrare attacchi contro i sistemi d'informazione per i propri scopi. I gruppi organizzati di hacking specializzati nell'accesso non autorizzato e la deturpazione di siti web sono sempre più attivi a livello mondiale. Tra gli esempi si possono citare i Brazilian Silver Lords ed i Pakistan Gforce, che tentano di estorcere denaro alle loro vittime, offrendo loro assistenza dopo aver effettuato un'intrusione non autorizzata nei loro sistemi d'informazione. L'arresto di grandi gruppi di hacker è indice del fatto che l'accesso non autorizzato potrebbe diventare sempre più un fenomeno di criminalità organizzata.
(...)
Anche le infiltrazioni nei dispositivi di sicurezza delle banche dati di operatori del commercio elettronico attraverso le quali si può ottenere l'accesso alle informazioni relative ai clienti, tra cui il loro numero di carta di credito, costituiscono un motivo di preoccupazione. Questi attacchi si traducono in maggiori opportunità di frodi nei pagamenti ed in ogni caso costringono gli operatori bancari ad annullare e riemettere migliaia di carte.
(...)
La presente proposta fa anche parte del contributo della Commissione alla risposta alla minaccia di attacchi terroristici ai danni di sistemi di informazione vitali all'interno dell'Unione europea. Essa fa da complemento alle proposte della Commissione relative alla sostituzione dell'estradizione all'interno dell'Unione europea con un mandato d'arresto europeo (4) ed al ravvicinamento delle legislazioni relative al terrorismo (5) , su cui si è raggiunto un accordo a livello politico in occasione del Consiglio europeo di Laeken del 14/15 dicembre 2001. Presi tutti insieme, questi strumenti assicureranno la presenza di norme penali efficaci per affrontare il ciberterrorismo in ogni Stato membro dell'Unione europea, e miglioreranno la cooperazione internazionale contro il terrorismo.
La proposta non si riferisce solo ad atti rivolti contro gli Stati membri, ma si applica altresì a condotte poste in essere nel territorio dell'Unione europea e però dirette contro sistemi di informazione che si trovano nel territorio di paesi terzi. Ciò riflette l'impegno della Commissione ad affrontare gli attacchi contro sistemi di informazione a livello sia globale che di Unione europea.
Infatti, vi sono già state diverse occasioni di recente in cui le tensioni nelle relazioni internazionali hanno portato ad un'ondata di attacchi contro sistemi di informazione, che spesso hanno compreso attacchi a siti web. Attacchi più gravi potrebbero comportare non solo danni finanziari gravi ma, in alcuni casi, potrebbero addirittura comportare la perdita di vite umane (ad esempio sistemi ospedalieri, sistemi di controllo del traffico aereo, ecc.).
L'importanza che gli Stati membri attribuiscono a questo rischio è dimostrata dalla priorità conferita alle varie iniziative relative alla protezione delle infrastrutture critiche. Ad esempio, il programma UE Tecnologie della società dell'informazione (TSI) (6) ha istituito, in collaborazione con il Dipartimento di Stato americano, una task force comune UE/USA per la protezione dell'infrastruttura critica (7) .
1.3. La necessità di informazioni accurate e di statistiche
Esistono poche statistiche affidabili sulla dimensione globale del fenomeno della criminalità informatica. Il numero delle intrusioni individuate e denunciate fino ad oggi probabilmente non rappresenta appieno l'ampiezza del problema. Secondo un'indagine fatta negli Stati Uniti (8) nel 1999 solo il 32% degli intervistati che avevano subito un'intrusione nel proprio computer durante l'anno precedente l'aveva denunciata ai fini dell'azione penale. E questo costituiva un miglioramento rispetto agli anni precedenti in cui solo il 17% aveva sporto denuncia. Sono state avanzate numerose ragioni per giustificare la mancata denuncia. A causa della conoscenza ed esperienza limitata degli amministratori e degli utenti del sistema, molte intrusioni non vengono individuate. Inoltre, molte aziende non denunciano volentieri gli abusi informatici per evitare la cattiva pubblicità nonché l'esposizione ad attacchi in futuro. Molte forze dell'ordine ancora non conservano statistiche sull'uso dei computer e sui sistemi di comunicazione coinvolti in questi ed altri reati (9) . Le autorità preposte ad assicurare il rispetto della legge non sono sufficientemente addestrate ad individuare, identificare, ed investigare sui reati informatici. Ciononostante, l'Unione europea ha cominciato ad affrontare questa problematica attraverso la raccolta di alcune cifre relative agli attacchi contro sistemi di informazione. In uno Stato membro, è stato calcolato che gli attacchi a sistemi di informazione nel 1999 sono stati tra i 30 e i 40 mila, mentre sono state registrate non più di 105 denunce formali in questo campo.In effetti, nel 1999, sette Stati membri hanno registrato un totale di sole 1.844 denunce formali relative a reati contro sistemi di informazione e dati informatici. Eppure, questa cifra è doppia rispetto a quella registrata nel 1998, in cui in quei sette Stati membri erano stati registrati solo 972 casi (10) .
Inoltre, una recente inchiesta (11) (...) ha evidenziato una preoccupazione crescente nei confronti della criminalità informatica, con il 43 per cento degli intervistati convinti che la criminalità informatica costituirà un rischio futuro. Un altro studio è giunto alla conclusione che hachers e virus costituiscono attualmente la maggiore minaccia di criminalità informatica per le organizzazioni, evidenziando come i principali autori di reati siano hackers (45 per cento), ex dipendenti (13 per cento), criminalità organizzata (13 per cento) e dipendenti attuali (11 per cento) (12) .
Queste cifre probabilmente continueranno a crescere man mano che aumenterà l'uso di sistemi di informazione e dell'interconnettività, e che aumenterà la disponibilità a denunciare questi attacchi. Ma è evidente che sono necessarie misure urgenti per produrre uno strumento statistico da utilizzarsi in tutti gli Stati membri in modo tale che i reati informatici nell'Unione europea possano essere misurati quantitativamente e qualitativamente. Il punto di partenza per un'analisi del genere è una definizione comune a livello di Unione europea dei reati commessi negli attacchi ai sistemi di informazione.
1.4. Il contesto delle politiche dell'Unione europea
In questo contesto il Consiglio europeo, riunito a Lisbona nel marzo del 2000, ha sottolineato l'importanza della transizione verso un'economia competitiva, dinamica e basata sulla conoscenza ed ha invitato il Consiglio e la Commissione ad elaborare un piano d'azione globale per l'Europa telematica (Piano d'azione eEurope) per trarre il massimo vantaggio da questa opportunità (13) . Il suddetto piano d'azione, preparato dalla Commissione e dal Consiglio, e approvato in occasione della riunione del Consiglio europeo a Feira nel giugno 2000, contempla azioni volte a promuovere la sicurezza delle reti e l'adozione di una strategia coordinata e coerente per far fronte alla criminalità informatica entro la fine dell'anno 2002.La Commissione ha pubblicato, come parte del suo contributo a questo impegno contro la criminalità telematica, una comunicazione intitolata "Creare una società dell'informazione sicura migliorando la sicurezza delle infrastrutture dell'informazione e mediante la lotta alla criminalità informatica" (14) . Tale comunicazione proponeva un approccio bilanciato alla soluzione dei problemi di criminalità telematica, tenendo pieno conto delle opinioni di tutte le parti interessate, compresi gli organismi preposti all'applicazione della legge, i prestatori di servizi Internet, gli operatori delle reti, gli altri gruppi industriali, i rappresentanti dei consumatori, le autorità garanti della protezione dei dati e i gruppi che si occupano della tutela della vita privata. La comunicazione proponeva una serie di iniziative sia legislative che non legislative.
Un esempio importante di azione attualmente in corso è quella nell'ambito del programma IDA, in cui gli Stati membri e la Commissione già stanno lavorando su una strategia comune di sicurezza e stanno ponendo in essere una rete sicura per lo scambio d'informazioni amministrative.
Una delle questioni chiave affrontate dalla comunicazione era l'esigenza di un'azione efficace per fare fronte alle minacce contro l'autenticità, l'integrità, la riservatezza e la disponibilità dei sistemi e delle reti di informazione. A livello di legislazione comunitaria, già molto è stato fatto. Esistono già diverse misure legislative a livello comunitario che comportano specifiche implicazioni per la sicurezza delle reti e dell'informazione.
La presente decisione quadro completa quanto già realizzato nell'ambito della legislazione comunitaria per proteggere i sistemi d'informazione, come ad esempio le direttive 95/46/CE, 97/66/CE e 98/84/CE sulla tutela giuridica dei sistemi ad accesso condizionato e dei sistemi di accesso condizionato. In particolare, il quadro europeo di protezione delle telecomunicazioni e dei dati (direttive 95/46/CE e 97/66/CE (15) ) contiene disposizioni volte ad assicurarsi che i fornitori di servizi di telecomunicazione aperti al pubblico adottino le misure tecniche ed organizzative adeguate a preservare la sicurezza e la riservatezza dei propri servizi e che tali misure garantiscano un livello di sicurezza adeguato al rischio prospettato.
(...)
Più di recente, il Consiglio europeo riunito a Stoccolma il 23-24 marzo ha riconosciuto l'esigenza di azioni ulteriori nel settore della sicurezza delle reti e dell'informazione ed ha concluso che "il Consiglio svilupperà insieme alla Commissione una strategia globale per la sicurezza delle reti elettroniche, comprensiva di azioni concrete di attuazione. Tale strategia dovrebbe essere presentata in tempo per il Consiglio europeo di Göteborg."
La Commissione ha risposto a questo appello con la sua comunicazione "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo" (17) . Tale comunicazione analizza i problemi attuali della sicurezza delle reti e delinea un progetto di azione strategica in questo settore. È stata seguita da una risoluzione del Consiglio del 6 dicembre 2001 relativa ad un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell'informazione.
(...)
Entrambe le citate comunicazioni della Commissione riconoscevano anche che esiste una necessità urgente di ravvicinamento del diritto penale sostanziale all'interno dell'Unione europea nel settore degli attacchi ai sistemi di informazione. Ciò riflette le conclusioni del vertice del Consiglio europeo di Tampere nell'ottobre 1999 (18) che fanno rientrare la criminalità ad alta tecnologia nel ristretto elenco dei settori su cui si debbono incentrare gli sforzi intesi a concordare definizioni, incriminazioni e sanzioni comuni, ed è stato inserito nella raccomandazione 7 della strategia dell'Unione europea per l'inizio del nuovo millennio in materia di prevenzione e controllo della criminalità organizzata adottata dal Consiglio GAI del marzo 2000 (19) . La presente proposta di decisione quadro fa parte anche del programma di lavoro della Commissione per l'anno 2001 (20) e del quadro di controllo per l'esame dei progressi compiuti nella creazione di uno spazio di libertà sicurezza e giustizia, elaborato dalla Commissione il 30 ottobre 2001 (21) .
1.5. L'esigenza di un ravvicinamento delle normative penali
Le normative degli Stati membri in questo settore contengono lacune e differenze significative che rischiano di ostacolare la lotta contro la criminalità organizzata ed il terrorismo, nonché contro gli attacchi gravi perpetrati da singoli ai danni di sistemi di informazione. Un ravvicinamento del diritto sostanziale nel settore dei reati ad alta tecnologia farebbe sì che le normative nazionali fossero abbastanza esaurienti da permettere che tutte le forme di attacchi gravi ai danni di sistemi di informazione possano essere oggetto di indagini condotte con le tecniche ed i metodi usati nelle indagini penali. Gli autori di siffatti reati devono essere individuati e perseguiti in giustizia e i giudici devono avere a disposizione pene adeguate e proporzionate. Ciò costituirà un forte deterrente per coloro che hanno intenzione di perpetrare attacchi contro sistemi di informazione.
Inoltre, le lacune e le differenze esistenti potrebbero costituire un ostacolo ad un'efficiente cooperazione giudiziaria e di polizia nel settore degli attacchi a sistemi di informazione. Gli attacchi ai sistemi di informazione potrebbero spesso avere natura transnazionale, richiedendo pertanto una cooperazione internazionale giudiziaria e di polizia. Il ravvicinamento delle legislazioni migliorerà tale cooperazione, facendo sì che sia soddisfatta la condizione della doppia incriminazione (secondo cui una condotta deve costituire reato in entrambi i paesi affinché ci si possa fornire reciproca assistenza giudiziaria nel corso di un'indagine penale). Questo risulterà utile agli Stati membri dell'UE nella cooperazione tra di loro e favorirà anche la cooperazione tra Stati membri dell'UE e paesi terzi (purché esista, in questo caso, un adeguato accordo di reciproca assistenza giudiziaria).
Vi è altresì l'esigenza di completare gli strumenti esistenti a livello di Unione europea. La decisione quadro sul mandato d'arresto europeo, l'allegato alla convenzione Europol (22) e la decisione del Consiglio che ha istituito Eurojust contengono riferimenti alla criminalità informatica che devono essere definiti con maggiore precisione. Ai fini di tali strumenti, la criminalità informatica dev'essere intesa come comprensiva degli attacchi a sistemi di informazione quali definiti nella presente decisione quadro, che fornirà un livello molto più elevato di ravvicinamento degli elementi costitutivi di tali reati. La presente decisione quadro completa anche la decisione quadro sulla lotta al terrorismo che si applica ad azioni terroristiche che cagionino danni sostanziali ad un'infrastruttura, quale anche un sistema di informazione, suscettibili di porre in pericolo la vita umana o di generare ingenti perdite economiche.
1.6. Ambito e finalità della proposta di decisione quadro
Gli obiettivi della presente decisione quadro del Consiglio sono appunto quelli di ravvicinare le legislazioni penali nel settore degli attacchi a sistemi di informazione, e di garantire la massima cooperazione giudiziaria e di polizia possibile nel campo dei reati legati agli attacchi contro sistemi di informazione. Inoltre, questa proposta costituisce un contributo all'impegno dell'Unione europea nella lotta contro la criminalità organizzata ed il terrorismo. La presente decisione quadro non mira ad imporre agli Stati membri di qualificare come reati condotte di scarsa gravità o banali.
Dall'articolo 47 del trattato sull'Unione europea emerge chiaramente che la presente decisione quadro non pregiudica l'applicazione del diritto comunitario. In particolare, essa fa salvi i diritti e gli obblighi in materia di tutela della vita privata o di protezione dei dati contemplati da atti normativi comunitari, quali le direttive 95/46/CE e 97/66/CE. La decisione quadro non mira a obbligare gli Stati membri a qualificare come reato la violazione delle regole d'accesso a - o di diffusione di - dati personali, norme relative alla segretezza delle comunicazioni, norme sulla sicurezza del trattamento dei dati personali, norme relative alla firma elettronica (23) o norme relative ai diritti di proprietà intellettuale, e fa salva l'applicazione della direttiva 98/84/CE sulla tutela giuridica dei sistemi ad accesso condizionato e dei sistemi di accesso condizionato (24) .
(...)
Un'azione legislativa a livello di Unione europea deve anche tenere conto degli sviluppi in altre sedi internazionali. Nel contesto del ravvicinamento del diritto penale sostanziale in materia di attacchi a sistemi d'informazione, il Consiglio d'Europa è attualmente il più avanzato. Il Consiglio d'Europa ha cominciato a preparare una convenzione internazionale sulla criminalità telematica (cibercriminalità) nel febbraio 1997, e tale convenzione è stata formalmente adottata ed aperta alle firme nel novembre 2001 (25) . La convenzione si pone come obiettivo quello di ravvicinare una serie di reati, tra cui reati contro la riservatezza, l'integrità e la disponibilità di sistemi e dati informatici. La presente decisione quadro è concepita per essere coerente con l'approccio adottato nella convenzione del Consiglio d'Europa per questi reati.
Durante le discussioni in seno al G8 sulla criminalità tecnologica, sono state individuate due principali categorie di minacce. Innanzitutto, le minacce contro le infrastrutture informatiche, che riguardano le operazioni tese ad interrompere, rifiutare, corrompere o distruggere le informazioni inserite nei computer e nelle reti di computer, o gli stessi computer e reti. In secondo luogo, le minacce perpetrate a mezzo di computer, che riguardano attività dolose come la frode, il riciclaggio di denaro sporco, la pornografia infantile, la violazione dei diritti di proprietà intellettuale e il traffico di droga, che sono facilitati dall'uso di computer. La presente proposta si occupa della prima categoria di minacce.
Il ravvicinamento delle legislazioni a livello di UE deve tenere conto degli sviluppi intervenuti nelle sedi internazionali e dev'essere coerente con le attuali politiche comunitarie. La presente proposta intende anche introdurre, all'interno dell'Unione europea, un grado di ravvicinamento maggiore di quello che è stato possibile raggiungere negli altri consessi internazionali.
(...)
La presente proposta di decisione quadro mira pertanto a ravvicinare le disposizioni legislative e regolamentari degli Stati membri nel settore della cooperazione giudiziaria e di polizia in materia penale. Essa riguarda la fissazione di "norme minime relative agli elementi costitutivi dei reati", in particolare, e sostanzialmente, nel campo della criminalità organizzata e del terrorismo. Essa comporta anche la "garanzia della compatibilità delle normative applicabili negli Stati membri" per facilitare ed accelerare la cooperazione tra autorità giudiziarie. La base giuridica indicata nel preambolo della proposta è quindi costituita dagli articoli 29, 30, lettera a), 31 e 34, paragrafo 2, lettera b) del trattato sull'Unione europea. La proposta non ha conseguenze finanziarie per il bilancio delle Comunità europee.
(...)
Bruxelles 19.04.2002
COM(2002)173 definitivo
2002/0086 (CNS)
IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sull'Unione europea, in particolare l'articolo 29, l'articolo 30, paragrafo 1, lettera a), l'articolo 31 e l'articolo 34, paragrafo 2, lettera b),
vista la proposta della Commissione,,
visto il parere del Parlamento europeo ,
considerando quanto segue:
(1) Si sono registrati attacchi contro sistemi di informazione, in particolare ad opera della criminalità organizzata, e aumentano le preoccupazioni per la possibilità di attacchi terroristici contro sistemi di informazione che fanno parte dell'infrastruttura critica degli Stati membri. Ciò costituisce una minaccia per la creazione di una società dell'informazione sicura e di uno spazio di libertà, sicurezza e giustizia, e richiede pertanto una risposta a livello di Unione europea.
(2) Una risposta efficace a queste minacce richiede un approccio globale rispetto alla sicurezza delle reti e dell'informazione, come evidenziato nel piano d'azione eEurope, nella comunicazione della Commissione "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo" e nella risoluzione del Consiglio del 6 dicembre 2001 relativa ad un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell'informazione.
(3) L'esigenza di accrescere ulteriormente la consapevolezza dei problemi relativi alla sicurezza dell'informazione e di fornire un'assistenza pratica è stata evidenziata anche nella risoluzione del Parlamento del 5 settembre 2001.
(4) Le rilevanti lacune e le notevoli differenze nelle normative degli Stati membri in questo settore ostacolano la lotta contro la criminalità organizzata ed il terrorismo e pregiudicano un'effettiva cooperazione giudiziaria e di polizia nel campo degli attacchi contro sistemi di informazione. Il carattere transnazionale e senza frontiere delle moderne reti di comunicazione elettronica fa sì che gli attacchi contro sistemi di informazione siano spesso di natura internazionale e rende evidente la necessità di adottare urgentemente azioni ulteriori per il ravvicinamento delle legislazioni penali in questo settore.
(5) Il piano d'azione del Consiglio e della Commissione sul modo migliore per attuare le disposizioni del trattato di Amsterdam concernenti uno spazio di libertà, sicurezza e giustizia, il Consiglio europeo di Tampere del 15-16 ottobre 1999, il Consiglio europeo di Santa Maria da Feira del 19-20 giugno 2000, la Commissione nel quadro di controllo ed il Parlamento europeo nella sua risoluzione del 19 maggio 2000 contemplano o invocano iniziative legislative atte a contrastare la criminalità ad alta tecnologia, comprendenti definizioni, incriminazioni e sanzioni comuni.
(6) È necessario completare il lavoro svolto dalle organizzazioni internazionali, in particolare il lavoro di ravvicinamento delle legislazioni penali del Consiglio d'Europa ed il lavoro del G8 sulla cooperazione transnazionale in materia di criminalità ad alta tecnologia, mediante l'adozione di un approccio comune dell'Unione europea in questo settore. Questa esigenza è stata ulteriormente elaborata nella comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni "Creare una società dell'informazione sicura migliorando la sicurezza delle infrastrutture dell'informazione e mediante la lotta alla criminalità informatica".
(7) Le legislazioni penali nel settore degli attacchi a sistemi di informazione devono essere ravvicinate al fine di garantire la cooperazione giudiziaria e di polizia più ampia possibile nel settore dei reati attinenti ad attacchi a sistemi di informazione, e di contribuire alla lotta contro la criminalità organizzata ed il terrorismo.
(8) La decisione quadro sul mandato d'arresto europeo, l'allegato alla convenzione Europol e la decisione del Consiglio che ha istituito Eurojust contengono riferimenti alla criminalità informatica che devono essere definiti con maggiore precisione. Ai fini di tali strumenti, la criminalità informatica dev'essere intesa come comprensiva degli attacchi a sistemi di informazione quali definiti nella presente decisione quadro, che fornisce un livello molto più elevato di ravvicinamento degli elementi costitutivi di tali reati. La presente decisione quadro completa anche la decisione quadro sulla lotta al terrorismo che si applica ad azioni terroristiche che cagionino danni sostanziali ad un'infrastruttura, quale anche un sistema di informazione, suscettibili di porre in pericolo la vita umana o di generare ingenti perdite economiche.
(9) Tutti gli Stati membri hanno ratificato la convenzione del Consiglio d'Europa del 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale. I dati di carattere personale trattati nel quadro dell'attuazione della presente decisione quadro saranno protetti in conformità con i principi di detta convenzione.
(10) Per garantire un approccio coerente degli Stati membri nell'applicazione della presente decisione quadro, è importante avere, in questo settore, definizioni comuni, in particolare quelle di sistemi di informazione e di dati informatici.
(11) È necessario un approccio comune rispetto agli elementi costitutivi dei reati mediante la previsione di un reato comune di accesso illecito ad un sistema di informazione e di interferenza illecita con un sistema di informazione.
(12) È necessario evitare un'eccessiva criminalizzazione, specialmente per le condotte banali o di minore gravità, ed escludere la penalizzazione degli aventi diritto e delle persone autorizzate quali gli utenti legittimi, a titolo privato o professionale, i gestori, i controllori e gli operatori di reti e sistemi, i ricercatori scientifici e le persone autorizzate a collaudare un sistema, siano esse persone interne all'impresa o invece designate dall'esterno ed autorizzate a verificare la sicurezza di un sistema.
(13) È necessario che gli Stati membri prevedano, per gli attacchi ai danni di sistemi di informazione, pene effettive, proporzionate e dissuasive, tra cui anche, per i casi gravi, la custodia in carcere.(14) È necessario prevedere pene più severe quando alcune circostanze che accompagnano un attacco contro un sistema di informazione ne fanno una minaccia ancora più seria per la società. In tali casi, le sanzioni comminate agli autori debbono essere tali da far rientrare gli attacchi contro sistemi di informazione nel campo di applicazione degli strumenti già adottati al fine di contrastare la criminalità organizzata, quali l'azione comune 98/733/GAI del 21 dicembre 1998, adottata dal Consiglio sulla base dell'articolo K.3 del trattato sull'Unione europea, relativa alla punibilità della partecipazione a un'organizzazione criminale negli Stati membri dell'Unione europea.
(15) È opportuno adottare misure volte a far sì che le persone giuridiche possano essere considerate responsabili per i reati di cui alla presente decisione quadro commessi a loro vantaggio e a garantire che ogni Stato membro stabilisca la sua giurisdizione sui reati commessi ai danni di sistemi di informazione nelle situazioni in cui l'autore è fisicamente presente sul suo territorio oppure il sistema di informazione è situato nel suo territorio.
(16) È altresì opportuno prevedere misure intese alla cooperazione tra Stati membri al fine di garantire un'azione efficace contro gli attacchi ai danni di sistemi di informazione, e in particolare istituire dei punti di contatto per lo scambio d'informazioni.
(17) Considerato che gli obiettivi di fare sì che gli attacchi contro sistemi di informazione siano puniti in tutti gli Stati membri con sanzioni penali effettive, proporzionate e dissuasive e di migliorare ed incoraggiare la cooperazione giudiziaria mediante la rimozione dei potenziali ostacoli non possono essere sufficientemente realizzati dagli Stati membri singolarmente, in quanto le norme devono essere comuni e compatibili, e possono pertanto essere realizzati meglio a livello di Unione, l'Unione è legittimata ad adottare misure, conformemente con il principio di sussidiarietà di cui all'articolo 2 del trattato UE e all'articolo 5 del trattato CE. In conformità con il principio di proporzionalità, di cui all'articolo menzionato da ultimo, la presente decisione quadro non va al di là di quanto necessario per il raggiungimento dei suddetti obiettivi.
(18) La presente decisione quadro non pregiudica i poteri della Comunità europea.
(19) La presente decisione quadro rispetta i diritti fondamentali ed osserva i principi riconosciuti segnatamente nella Carta dei diritti fondamentali dell'Unione europea, in particolare i capi II e VI.
HA ADOTTATO LA PRESENTE DECISIONE QUADRO
Articolo 1
Ambito d'applicazione e obiettivi
L'obiettivo della presente decisione quadro è quello di migliorare la cooperazione tra le autorità giudiziarie e tra le altre autorità competenti degli Stati membri, quali la polizia e gli altri servizi specializzati incaricati dell'applicazione della legge, mediante il ravvicinamento delle normative penali degli Stati membri nel settore degli attacchi contro sistemi di informazione.
Articolo 2
Definizioni
1. Ai fini della presente decisione quadro, si applicano le seguenti definizioni:
a) per "reti di comunicazione elettronica" s'intendono i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione ("switching") o di instradamento ("routing") e altre risorse che consentono di trasportare segnali con mezzi a filo, radio, ottici o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri fisse (a commutazione di circuito o di pacchetto, compreso Internet) e mobili, i sistemi elettrici a cavo, nella misura in cui siano usati per trasmettere segnali, le reti usate per l'emissione radiofonica e televisiva, e le reti di teledistribuzione via cavo, indipendentemente dal tipo di informazione trasportato;
b) per “computer” s'intende qualsiasi apparecchiatura o gruppo di apparecchi interconnessi o collegati, uno o più dei quali svolge un trattamento automatico di dati informatici secondo un programma;
c) per “dati informatici” s'intende qualsiasi rappresentazione di fatti, informazioni o concetti creata o trasformata in modo tale da poter essere trattata da un sistema di informazione, compreso un programma atto a far svolgere una funzione ad un sistema di informazione;
d) per “sistema di informazione” s'intendono computer e reti elettroniche di comunicazione, nonché dati informatici immagazzinati, trattati, estratti o trasmessi dagli stessi ai fini della loro gestione, uso, protezione e manutenzione;
e) per “persona giuridica” s'intende qualsiasi ente che abbia tale qualifica ai sensi della legislazione applicabile, eccetto gli Stati e altri organismi pubblici nell'esercizio dell'autorità statuale e le organizzazioni internazionali;
f) per "persona autorizzata" s'intende qualsiasi persona fisica o giuridica che abbia il diritto, per contratto o per legge, oppure il permesso legittimo di usare, gestire, sorvegliare, collaudare, condurre ricerche scientifiche legittime o in altro modo operare un sistema di informazione e che agisce in conformità con tale diritto o permesso;
g) l'espressione "senza diritto" significa che la condotta delle persone autorizzate o altre condotte riconosciute lecite dalla legislazione nazionale sono escluse.
Articolo 3
Accesso illecito a sistemi di informazione
Gli Stati membri provvedono a che l'accesso intenzionale, senza diritto, ad un sistema di informazione o ad una parte dello stesso sia punito come reato qualora sia commesso:
i) nei confronti di una qualsiasi parte di un sistema di informazione sottoposto a misure di protezione specifiche; o
ii) con l'intento di cagionare danni ad una persona fisica o giuridica; o
iii) con l'intento di procurare un vantaggio economico.
Articolo 4
Interferenza illecita con sistemi di informazione
Gli Stati membri provvedono a che le seguenti condotte intenzionali, senza diritto, siano punite come reato:
a) il fatto di ostacolare gravemente o interrompere il funzionamento di un sistema di informazione mediante l'immissione, la trasmissione, il danneggiamento, la cancellazione, il deterioramento, l'alterazione, la soppressione di dati informatici o rendendoli inaccessibili;
b) il fatto di cancellare, deteriorare, alterare, sopprimere o rendere inaccessibili dati informatici in un sistema di informazione qualora ciò venga commesso nell'intento di cagionare un danno a persone fisiche o giuridiche.
Articolo 5
Istigazione, favoreggiamento, complicità e tentativo
1. Gli Stati membri provvedono a che l'istigazione, il favoreggiamento, la complicità e il tentativo nella commissione dei reati di cui agli articoli 3 e 4 siano puniti come reato.
2. Gli Stati membri provvedono a che il tentativo di commettere i reati di cui agli articoli 3 e 4 sia punito come reato.
Articolo 6
Pene
1. Gli Stati membri provvedono a che i reati di cui agli articoli 3, 4 e 5 siano punibili con sanzioni effettive, proporzionate e dissuasive, tra cui anche la custodia in carcere per un periodo non inferiore, nel massimo, a un anno nei casi gravi. La nozione di casi gravi si deve intendere come volta ad escludere i casi in cui la condotta non abbia cagionato alcun danno né alcun profitto economico.
2. Gli Stati membri prevedono la possibilità di comminare sanzioni pecuniarie in aggiunta o in sostituzione delle pene detentive.
Articolo 7
Circostanze aggravanti
1. Gli Stati membri provvedono a che i reati di cui agli articoli 3, 4 e 5 siano punibili con pene detentive non inferiori, nel massimo, a quattro anni qualora siano stati commessi in presenza delle seguenti circostanze:
a) il reato è stato commesso nell'ambito di un'organizzazione criminale come definita nell'azione comune 98/733/GAI del 21 dicembre 1998 relativa alla punibilità della partecipazione a un'organizzazione criminale negli Stati membri dell'Unione europea, a parte il livello di pena ivi previsto;
b) il reato ha cagionato, o ha dato origine a perdite economiche ingenti dirette o indirette, un danno corporale ad una persona fisica o un danno rilevante ad una parte dell'infrastruttura critica dello Stato membro;
c) il reato ha procurato proventi elevati.
2. Gli Stati membri provvedono affinché i reati di cui agli articoli 3 e 4 siano punibili con pene detentive più severe di quelle previste all'articolo 6, qualora l'autore sia stato condannato con sentenza definitiva in uno Stato membro per un tale reato.
Articolo 8
Circostanze particolari
In deroga agli articoli 6 e 7, gli Stati membri prevedono che le pene di cui agli articoli 6 e 7 possano essere ridotte qualora, secondo l'autorità giudiziaria competente, l'autore abbia cagionato solo un danno di lieve entità.
Articolo 9
Responsabilità delle persone giuridiche
1. Gli Stati membri provvedono a che le persone giuridiche possano essere ritenute responsabili dei reati di cui agli articoli 3, 4 e 5 commessi a loro beneficio da qualsiasi soggetto, che agisca a titolo individuale o in quanto membro di un organo della persona giuridica, il quale detenga una posizione preminente in seno alla persona giuridica stessa, basata:
a) sul potere di rappresentanza di detta persona giuridica;
b) sul potere di prendere decisioni per conto della persona giuridica;
c) sull'esercizio di poteri di controllo in seno a tale persona giuridica.
2. Oltre che nei casi di cui al paragrafo 1, gli Stati membri adottano le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili qualora la mancata sorveglianza o il mancato controllo da parte di un soggetto tra quelli di cui al paragrafo 1 abbia reso possibile la commissione dei reati di cui agli articoli 3, 4 e 5 a beneficio della persona giuridica da parte di una persona soggetta alla sua autorità.
3. La responsabilità delle persone giuridiche ai sensi dei paragrafi 1 e 2 non esclude l'avvio di procedimenti penali contro le persone fisiche che abbiano commesso i reati o tenuto i comportamenti di cui agli articoli 3, 4 e 5.
Articolo 10
Sanzioni applicabili alle persone giuridiche
1. Gli Stati membri provvedono a che alla persona giuridica ritenuta responsabile ai sensi del paragrafo 1 dell'articolo 9 siano applicabili sanzioni efficaci, proporzionate e dissuasive, che comprendano sanzioni pecuniarie penali o non penali e che possano comprendere anche altre sanzioni quali:
a) misure di esclusione dal godimento di un beneficio o aiuto pubblico;
b) misure di divieto temporaneo o permanente di esercitare un'attività commerciale;
c) assoggettamento a sorveglianza giudiziaria o
d) provvedimenti giudiziari di scioglimento.
2. Gli Stati membri provvedono a che alle persone giuridiche ritenute responsabili ai sensi del paragrafo 2 dell'articolo 9 siano applicate sanzioni o provvedimenti efficaci, proporzionati e dissuasivi.
Articolo 11
Giurisdizione
1. Ciascuno Stato membro adotta le misure necessarie a stabilire la propria giurisdizione sui reati di cui agli articoli 3, 4 e 5 laddove i reati siano stati commessi:
a) interamente o in parte sul suo territorio o
b) da un suo cittadino, ai danni di individui o gruppi dello Stato stesso, o
c) a beneficio di una persona giuridica che ha la sua sede principale nel territorio dello Stato membro stesso.
2. Nello stabilire la propria giurisdizione ai sensi del paragrafo 1, lettera a), ogni Stato membro provvede a che tale giurisdizione abbracci i casi in cui:
a) l'autore abbia commesso il reato mentre era fisicamente presente nel suo territorio, indipendentemente dal fatto che il sistema di informazione contro il quale è stato commesso il reato si trovi o meno nel suo territorio, o
b) il sistema di informazione contro il quale è stato commesso il reato si trova nel suo territorio, indipendentemente dal fatto che l'autore del reato fosse o meno fisicamente presente nel suo territorio al momento della commissione del reato.
3. Uno Stato membro può decidere di non applicare o di applicare solo in situazioni o circostanze specifiche le regole di giurisdizione di cui al paragrafo 1, lettere b) e c).
4. Ciascuno Stato membro adotta le misure necessarie anche per stabilire la propria giurisdizione sui reati di cui agli articoli da 3 a 5 nei casi in cui rifiuta di consegnare o estradare una persona sospettata o condannata per tali reati ad un altro Stato membro o ad un paese terzo.
5. Qualora un reato rientri nella giurisdizione di più di uno Stato membro e quando ciascuno degli Stati interessati potrebbe validamente avviare un'azione penale sulla base degli stessi fatti, gli Stati membri interessati cooperano per decidere quale di essi perseguirà gli autori del reato allo scopo, se possibile, di concentrare i procedimenti in un solo Stato membro. A tal fine, gli Stati membri possono fare ricorso a qualsiasi organismo o meccanismo istituito all'interno dell'Unione europea per agevolare la cooperazione tra le loro autorità giudiziarie ed il coordinamento del loro operato.
6. Qualora decidano di avvalersi del paragrafo 3, gli Stati membri ne informano il Segretariato generale del Consiglio e la Commissione, precisando, ove necessario, i casi e le circostanze specifiche in cui si applica tale decisione.
Articolo 12
Scambio di informazioni
1. Gli Stati membri stabiliscono dei punti di contatto operativi, disponibili ventiquattr'ore su ventiquattro e sette giorni su sette, per lo scambio delle informazioni relative ai reati di cui agli articoli 3, 4 e 5, fatte salve le disposizioni sulla protezione dei dati personali.
2. Ciascuno Stato membro informa il Segretariato generale del Consiglio e la Commissione in merito al proprio punto di contatto operativo stabilito per lo scambio d'informazioni riguardo ai reati che comportano attacchi a sistemi di informazione. Il Segretariato generale trasmette tali informazioni agli altri Stati membri.
Articolo 13
Attuazione
1. Gli Stati membri adottano le disposizioni necessarie per conformarsi alla presente decisione quadro entro il 31 dicembre 2003.
2. Gli Stati membri comunicano al Segretariato generale del Consiglio ed alla Commissione il testo delle disposizioni da essi adottate e le informazioni su ogni altra misura presa per conformarsi alla presente decisione quadro.
3. Su questa base, la Commissione presenta, entro il 31 dicembre 2004, una relazione al Parlamento europeo ed al Consiglio sull'applicazione della presente decisione quadro, accompagnata, se necessario, da proposte legislative.
4. Il Consiglio valuta in che misura gli Stati membri si siano conformati alla presente decisione quadro.
Articolo 14
Entrata in vigore
La presente decisione quadro entra in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale delle Comunità europee.
Fatto a Bruxelles,
Per il Consiglio
Il Presidente
|
|