Directiva 2013/40/UE del Parlament Europeu i del Consell de 12 d’agost de 2013 relativa als atacs contra els sistemes d’informació per la qual es substitueix la Decisió marc 2005/222/JAI del Consell.

El passat 1 de setembre va entrar en vigor la Directiva 2013/40/UE del Parlament Europeu i del Consell de 12 d’agost de 2013 relativa als atacs contra els sistemes d’informació i per la qual es substitueix la Decisió marc 2005/222/JAI del Consell (DOUE, nº L 218/8, de 14 d’agost de 2013).

L’objectiu principal és aproximar el dret penal dels estats membres en matèria d’atacs contra els sistemes d’informació, mitjançant un conjunt de normes mínimes sobre la definició de les infraccions penals i les sancions aplicables, així com millorar la cooperació entre les autoritats competents.

Tal com cita el propi text en el seu considerant “La naturalesa transnacional i transfronterera dels moderns sistemes d’informació significa que els atacs solen revestir un caràcter transfronterer, fet que planteja la necessitat urgent de prosseguir l’aproximació del dret penal en aquest àmbit”.

Així mateix, el text defineix sistema d’informació com “tot aparell o grup d’aparells interconnectats o relacionats entre si, un o diversos dels quals realitzen, mitjançant un programa, el tractament automàtic de dades informàtiques, així com les dades informàtiques emmagatzemades, tractades, recuperades o transmeses per aquest aparell o grup d’aparells per al seu funcionament, utilització, protecció i manteniment”.

Per una banda comentar que, si bé per una qüestió de forma, per tal de ser efectiva haurà de transposar-se dins del marc normatiu intern de cada un dels estats membres, respecte el fons de la norma convé destacar, entre d’altres, la introducció d’infraccions penals comuns, tals com l’accés i la intromissió il•legal als sistemes, així com la intromissió i la intercepció il•legal de les dades (per exemple l’escolta, el seguiment i l’anàlisi del contingut de comunicacions i l’obtenció de les dades, tots ells temes de rabiosa actualitat).
També preveu sancions més severes en aquells casos en què l’atac es cometi en el context d’una organització delictiva, tinguin efectes a gran escala o bé afecti a una infraestructura crítica dels estats membres o de la Unió.

Altres aspectes als quals fa especial referència són l’establiment de mesures contra la usurpació de la identitat així com altres infraccions relacionades amb aquesta i la responsabilitat de les persones jurídiques, concretament quan alguna d’aquestes infraccions comporti un benefici per aquesta, comeses per qualsevol persona que, actuant a títol particular o com a part d’un òrgan de la persona jurídica, ostenti un càrrec directiu dins d’aquesta.

En relació a l’intercanvi d’informació i la cooperació entre autoritats, subratlla la necessitat de recopilar i posar a disposició dels organismes especialitzats competents de la Unió (com per exemple l’Europol) dades comparables sobre les infraccions previstes a la citada Directiva, així com la creació de punts de contacte nacionals i procediments de col•laboració en casos d’urgència.
La data límit per la transposició de la citada Directiva als ordenaments interns dels estats membres és el 4 de setembre de 2015.