Normative

DECISIONE-QUADRO DEL CONSIGLIO di Bruxelles 19 aprile 2002, COM(2002)173

Attacchi contro i sistemi di informazione

IL CONSIGLIO DELL'UNIONE EUROPEA, visto il trattato sull’Unione europea, in particolare l'articolo 29, l'articolo 30, paragrafo 1, lettera a), l'articolo 31 e l'articolo 34, paragrafo 2, lettera b), vista la proposta della Commissione, visto il parere del Parlamento europeo, considerando quanto segue:

(1) Si sono registrati attacchi contro sistemi di informazione, in particolare ad opera della criminalità organizzata, e aumentano le preoccupazioni per la possibilità di attacchi terroristici contro sistemi di informazione che fanno parte dell'infrastruttura critica degli Stati membri. Ciò costituisce una minaccia per la creazione di una società dell'informazione sicura e di uno spazio di libertà, sicurezza e giustizia, e richiede pertanto una risposta a livello di Unione europea.

(2) Una risposta efficace a queste minacce richiede un approccio globale rispetto alla sicurezza delle reti e dell'informazione, come evidenziato nel piano d'azione eEurope, nella comunicazione della Commissione "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo" e nella risoluzione del Consiglio del 6 dicembre 2001 relativa ad un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell'informazione.

(3) L'esigenza di accrescere ulteriormente la consapevolezza dei problemi relativi alla sicurezza dell'informazione e di fornire un'assistenza pratica è stata evidenziata anche nella risoluzione del Parlamento del 5 settembre 2001.

(4) Le rilevanti lacune e le notevoli differenze nelle normative degli Stati membri in questo settore ostacolano la lotta contro la criminalità organizzata ed il terrorismo e pregiudicano un'effettiva cooperazione giudiziaria e di polizia nel campo degli attacchi contro sistemi di informazione. Il carattere transnazionale e senza frontiere delle moderne reti di comunicazione elettronica fa sì che gli attacchi contro sistemi di informazione siano spesso di natura internazionale e rende evidente la necessità di adottare urgentemente azioni ulteriori per il ravvicinamento delle legislazioni penali in questo settore.

(5) Il piano d'azione del Consiglio e della Commissione sul modo migliore per attuare le disposizioni del trattato di Amsterdam concernenti uno spazio di libertà, sicurezza e giustizia, il Consiglio europeo di Tampere del 15-16 ottobre 1999, il Consiglio europeo di Santa Maria da Feira del 19-20 giugno 2000, la Commissione nel quadro di controllo ed il Parlamento europeo nella sua risoluzione del 19 maggio 2000 contemplano o invocano iniziative legislative atte a contrastare la criminalità ad alta tecnologia, comprendenti definizioni, incriminazioni e sanzioni comuni.

(6) È necessario completare il lavoro svolto dalle organizzazioni internazionali, in particolare il lavoro di ravvicinamento delle legislazioni penali del Consiglio d'Europa ed il lavoro del G8 sulla cooperazione transnazionale in materia di criminalità ad alta tecnologia, mediante l'adozione di un approccio comune dell'Unione europea in questo settore. Questa esigenza è stata ulteriormente elaborata nella comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni "Creare una società dell'informazione sicura migliorando la sicurezza delle infrastrutture dell'informazione e mediante la lotta alla criminalità informatica".

(7) Le legislazioni penali nel settore degli attacchi a sistemi di informazione devono essere ravvicinate al fine di garantire la cooperazione giudiziaria e di polizia più ampia possibile nel settore dei reati attinenti ad attacchi a sistemi di informazione, e di contribuire alla lotta contro la criminalità organizzata ed il terrorismo.

(8) La decisione quadro sul mandato d'arresto europeo, l'allegato alla convenzione Europol e la decisione del Consiglio che ha istituito Eurojust contengono riferimenti alla criminalità informatica che devono essere definiti con maggiore precisione. Ai fini di tali strumenti, la criminalità informatica deve essere intesa come comprensiva degli attacchi a sistemi di informazione quali definiti nella presente decisione quadro, che fornisce un livello molto più elevato di ravvicinamento degli elementi costitutivi di tali reati. La presente decisione quadro completa anche la decisione quadro sulla lotta al terrorismo 10 che si applica ad azioni terroristiche che cagionino danni sostanziali ad un'infrastruttura, quale anche un sistema di informazione, suscettibili di porre in pericolo la vita umana o di generare ingenti perdite economiche.

(9) Tutti gli Stati membri hanno ratificato la convenzione del Consiglio d'Europa del 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale. I dati di carattere personale trattati nel quadro dell'attuazione della presente decisione quadro saranno protetti in conformità con i principi di detta convenzione.

(10) Per garantire un approccio coerente degli Stati membri nell'applicazione della presente decisione quadro, è importante avere, in questo settore, definizioni comuni, in particolare quelle di sistemi di informazione e di dati informatici.

(11) È necessario un approccio comune rispetto agli elementi costitutivi dei reati mediante la previsione di un reato comune di accesso illecito ad un sistema di informazione e di interferenza illecita con un sistema di informazione.

(12) È necessario evitare un'eccessiva criminalizzazione, specialmente per le condotte banali o di minore gravità, ed escludere la penalizzazione degli aventi diritto e delle persone autorizzate quali gli utenti legittimi, a titolo privato o professionale, i gestori, i controllori e gli operatori di reti e sistemi, i ricercatori scientifici e le persone autorizzate a collaudare un sistema, siano esse persone interne all'impresa o invece designate dall'esterno ed autorizzate a verificare la sicurezza di un sistema.

(13) È necessario che gli Stati membri prevedano, per gli attacchi ai danni di sistemi di informazione, pene effettive, proporzionate e dissuasive, tra cui anche, per i casi gravi, la custodia in carcere.

(14) È necessario prevedere pene più severe quando alcune circostanze che accompagnano un attacco contro un sistema di informazione ne fanno una minaccia ancora più seria per la società. In tali casi, le sanzioni comminate agli autori debbono essere tali da far rientrare gli attacchi contro sistemi di informazione nel campo di applicazione degli strumenti già adottati al fine di contrastare la criminalità organizzata, quali l'azione comune 98/733/GAI del 21 dicembre 1998, adottata dal Consiglio sulla base dell'articolo K.3 del trattato sull'Unione europea, relativa alla punibilità della partecipazione a un'organizzazione criminale negli Stati membri dell'Unione europea.

(15) È opportuno adottare misure volte a far sì che le persone giuridiche possano essere considerate responsabili per i reati di cui alla presente decisione quadro commessi a loro vantaggio e a garantire che ogni Stato membro stabilisca la sua giurisdizione sui reati commessi ai danni di sistemi di informazione nelle situazioni in cui l'autore è fisicamente presente sul suo territorio oppure il sistema di informazione è situato nel suo territorio.

(16) È altresì opportuno prevedere misure intese alla cooperazione tra Stati membri al fine di garantire un'azione efficace contro gli attacchi ai danni di sistemi di informazione, e in particolare istituire dei punti di contatto per lo scambio d'informazioni.

(17) Considerato che gli obiettivi di fare sì che gli attacchi contro sistemi di informazione siano puniti in tutti gli Stati membri con sanzioni penali effettive, proporzionate e dissuasive e di migliorare ed incoraggiare la cooperazione giudiziaria mediante la rimozione dei potenziali ostacoli non possono essere sufficientemente realizzati dagli Stati membri singolarmente, in quanto le norme devono essere comuni e compatibili, e possono pertanto essere realizzati meglio a livello di Unione, l'Unione è legittimata ad adottare misure, conformemente con il principio di sussidiarietà di cui all'articolo 2 del trattato UE e all'articolo 5 del trattato CE. In conformità con il principio di proporzionalità, di cui all'articolo menzionato da ultimo, la presente decisione quadro non va al di là di quanto necessario per il raggiungimento dei suddetti obiettivi.

(18) La presente decisione quadro non pregiudica i poteri della Comunità europea.

(19) La presente decisione quadro rispetta i diritti fondamentali ed osserva i principi riconosciuti segnatamente nella Carta dei diritti fondamentali dell'Unione europea, in particolare i capi II e VI. HA ADOTTATO LA PRESENTE DECISIONE QUADRO: Articolo 1 Ambito d'applicazione e obiettivi L'obiettivo della presente decisione quadro è quello di migliorare la cooperazione tra le autorità giudiziarie e tra le altre autorità competenti degli Stati membri, quali la polizia e gli altri servizi specializzati incaricati dell'applicazione della legge, mediante il ravvicinamento delle normative penali degli Stati membri nel settore degli attacchi contro sistemi di informazione.

Articolo 2

Definizioni 1.

Ai fini della presente decisione quadro, si applicano le seguenti definizioni:
a) per "reti di comunicazione elettronica" s'intendono i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione ("switching") o di instradamento ("routing") e altre risorse che consentono di trasportare segnali con mezzi a filo, radio, ottici o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri fisse (a commutazione di circuito o di pacchetto, compreso Internet) e mobili, i sistemi elettrici a cavo, nella misura in cui siano usati per trasmettere segnali, le reti usate per l'emissione radiofonica e televisiva, e le reti di teledistribuzione via cavo, indipendentemente dal tipo di informazione trasportato.

b) per "computer" s'intende qualsiasi apparecchiatura o gruppo di apparecchi interconnessi o collegati, uno o più dei quali svolge un trattamento automatico di dati informatici secondo un programma

c) per "dati informatici" s'intende qualsiasi rappresentazione di fatti, informazioni o concetti creata o trasformata in modo tale da poter essere trattata da un sistema di informazione, compreso un programma atto far svolgere una funzione ad un sistema di informazione

d) per "sistema di informazione" s'intendono computer e reti elettroniche di comunicazione, nonché dati informatici immagazzinati, trattati, estratti o trasmessi dagli stessi ai fini della loro gestione, uso, protezione e manutenzione

e) per "persona giuridica" s'intende qualsiasi ente che abbia tale qualifica ai sensi della legislazione applicabile, eccetto gli Stati e altri organismi pubblici nell'esercizio dell'autorità statuale e le organizzazioni internazionali

f) per "persona autorizzata" s'intende qualsiasi persona fisica o giuridica che abbia il diritto, per contratto o per legge, oppure il permesso legittimo di usare, gestire, sorvegliare, collaudare, condurre ricerche scientifiche legittime o in altro modo operare un sistema di informazione e che agisce in conformità con tale dritto o permesso

g) l'espressione "senza diritto" significa che la condotta delle persone autorizzate o altre condotte riconosciute lecite dalla legislazione nazionale sono escluse.

Articolo 3
Accesso illecito a sistemi di informazione

Gli Stati membri provvedono a che l'accesso intenzionale, senza diritto, ad un sistema di informazione o ad una parte dello stesso sia punito come reato qualora sia commesso:

i) nei confronti di una qualsiasi parte di un sistema di informazione sottoposto a misure di protezione specifiche;

ii) con l'intento di cagionare danni ad una persona fisica o giuridica;

iii) con l'intento di procurare un vantaggio economico.

Articolo 4
Interferenza illecita con sistemi di informazione

Gli Stati membri provvedono a che le seguenti condotte intenzionali, senza diritto, siano punite come reato:

a) il fatto di ostacolare gravemente o interrompere il funzionamento di un sistema di informazione mediante l'immissione, la trasmissione, il danneggiamento, la cancellazione, il deterioramento, l'alterazione, la soppressione di dati informatici o rendendoli inaccessibili;

b) il fatto di cancellare, deteriorare, alterare, sopprimere o rendere inaccessibili dati informatici in un sistema di informazione qualora ciò venga commesso nell'intento di cagionare un danno a persone fisiche o giuridiche.


Articolo 5
Istigazione, favoreggiamento, complicità e tentativo

1. Gli Stati membri provvedono a che l'istigazione, il favoreggiamento, la complicità e il tentativo nella commissione dei reati di cui agli articoli 3 e 4 siano puniti come reato. Gli Stati membri provvedono a che il tentativo di commettere i reati di cui agli articoli 3 e 4 sia punito come reato.


Articolo 6
Pene

1. Gli Stati membri provvedono a che i reati di cui agli articoli 3, 4 e 5 siano punibili con sanzioni effettive, proporzionate e dissuasive, tra cui anche la custodia in carcere per un periodo non inferiore, nel massimo, a un anno nei casi gravi. La nozione di casi gravi si deve intendere come volta ad escludere i casi in cui la condotta non abbia cagionato alcun danno né alcun profitto economico.

2. Gli Stati membri prevedono la possibilità di comminare sanzioni pecuniarie in aggiunta o in sostituzione delle pene detentive.


Articolo 7
Circostanze aggravanti

1. Gli Stati membri provvedono a che i reati di cui agli articoli 3, 4 e 5 siano punibili con pene detentive non inferiori, nel massimo, a quattro anni qualora siano stati commessi in presenza delle seguenti circostanze: a) il reato è stato commesso nell'ambito di un'organizzazione criminale come definita nell'azione comune 98/733/GAI del 21 dicembre 1998 relativa alla punibilità della partecipazione a un'organizzazione criminale negli Stati membri dell'Unione europea, a parte il livello di pena ivi previsto; b) il reato ha cagionato, o ha dato origine a, perdite economiche ingenti dirette o indirette, un danno corporale ad una persona fisica o un danno rilevante ad una parte dell'infrastruttura critica dello Stato membro; c) il reato ha procurato proventi elevati.

2. Gli Stati membri provvedono affinché i reati di cui agli articoli 3 e 4 siano punibili con pene detentive più severe di quelle previste all'articolo 6, qualora l'autore sia stato condannato con sentenza definitiva in uno Stato membro per un tale reato. Articolo 8 Circostanze particolari In deroga agli articoli 6 e 7, gli Stati membri prevedono che le pene di cui agli articoli 6 e 7 possano essere ridotte qualora, secondo l'autorità giudiziaria competente, l'autore abbia cagionato solo un danno di lieve entità.


Articolo 9
Responsabilità delle persone giuridiche

Gli Stati membri provvedono a che le persone giuridiche possano essere ritenute responsabili dei reati di cui agli articoli 3, 4 e 5 commessi a loro beneficio da qualsiasi soggetto, che agisca a titolo individuale o in quanto membro di un organo della persona giuridica, il quale detenga una posizione preminente in seno alla persona giuridica stessa, basata:

a) sul potere di rappresentanza di detta persona giuridica

b) sul potere di prendere decisioni per conto della persona giuridica

c) sull'esercizio di poteri di controllo in seno a tale persona giuridica.2. Oltre che nei casi di cui al paragrafo 1, gli Stati membri adottano le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili qualora la mancata sorveglianza o il mancato controllo da parte di un soggetto tra quelli di cui al paragrafo 1 abbia reso possibile la commissione dei reati di cui agli articoli 3, 4 e 5 a beneficio della persona giuridica da parte di una persona soggetta alla sua autorità. 3. La responsabilità delle persone giuridiche ai sensi dei paragrafi 1 e 2 non esclude l'avvio di procedimenti penali contro le persone fisiche che abbiano commesso i reati o tenuto i comportamenti di cui agli articoli 3, 4 e 5.


Articolo 10
Sanzioni applicabili alle persone giuridiche

1. Gli Stati membri provvedono a che alla persona giuridica ritenuta responsabile ai sensi del paragrafo 1 dell'articolo 9 siano applicabili sanzioni efficaci, proporzionate e dissuasive, che comprendano sanzioni pecuniarie penali o non penali e che possano comprendere anche altre sanzioni quali: a) misure di esclusione dal godimento di un beneficio o aiuto pubblico, b) misure di divieto temporaneo o permanente di esercitare un'attività commerciale c) assoggettamento a sorveglianza giudiziaria o d) provvedimenti giudiziari di scioglimento.

2. Gli Stati membri provvedono a che alle persone giuridiche ritenute responsabili ai sensi del paragrafo 2 dell'articolo 9 siano applicate sanzioni o provvedimenti efficaci, proporzionati e dissuasivi.


Articolo 11
Giurisdizione

1. Ciascuno Stato membro adotta le misure necessarie a stabilire la propria giurisdizione sui reati di cui agli articoli 3, 4 e 5 laddove i reati siano stati commessi: a) interamente o in parte sul suo territorio o b) da un suo cittadino, ai danni di individui o gruppi dello Stato stesso, o c) a beneficio di una persona giuridica che ha la sua sede principale nel territorio dello Stato membro stesso.

2. Nello stabilire la propria giurisdizione ai sensi del paragrafo 1, lettera a), ogni Stato membro provvede a che tale giurisdizione abbracci i casi in cui: a) l'autore abbia commesso il reato mentre era fisicamente presente nel suo territorio, indipendentemente dal fatto che il sistema di informazione contro il quale è stato commesso il reato si trovi o meno nel suo territorio,o b) il sistema di informazione contro il quale è stato commesso il reato si trova nel suo territorio, indipendentemente dal fatto che l'autore del reato fosse o meno fisicamente presente nel suo territorio al momento della commissione del reato.

3. Uno Stato membro può decidere di non applicare o di applicare solo in situazioni o circostanze specifiche le regole di giurisdizione di cui al paragrafo 1, lettere b) e c).

4. Ciascuno Stato membro adotta le misure necessarie anche per stabilire la propria giurisdizione sui reati di cui agli articoli da 3 a 5 nei casi in cui rifiuta di consegnare o estradare una persona sospettata o condannata per tali reati ad un altro Stato membro o ad un paese terzo.

5. Qualora un reato rientri nella giurisdizione di più di uno Stato membro e quando ciascuno degli Stati interessati potrebbe validamente avviare un'azione penale sulla base degli stessi fatti, gli Stati membri interessati cooperano per decidere quale di essi perseguirà gli autori del reato allo scopo, se possibile, di concentrare i procedimenti in un solo Stato membro. A tal fine, gli Stati membri possono fare ricorso a qualsiasi organismo o meccanismo istituito all'interno dell'Unione europea per agevolare la cooperazione tra le loro autorità giudiziarie ed il coordinamento del loro operato.

6. Qualora decidano di avvalersi del paragrafo 3, gli Stati membri ne informano il Segretariato generale del Consiglio e la Commissione, precisando, ove necessario, i casi e le circostanze specifiche in cui si applica tale decisione.


Articolo 12
Scambio di informazioni

1. Gli Stati membri stabiliscono dei punti di contatto operativi, disponibili ventiquattr'ore su ventiquattro e sette giorni su sette, per lo scambio delle informazioni relative ai reati di cui agli articoli 3, 4 e 5, fatte salve le disposizioni sulla protezione dei dati personali.

2. Ciascuno Stato membro informa il Segretariato generale del Consiglio e la Commissione in merito al proprio punto di contatto operativo stabilito per lo scambio d'informazioni riguardo ai reati che comportano attacchi a sistemi di informazione. Il Segretariato generale trasmette tali informazioni agli altri Stati membri.


Articolo 13
Attuazione

1. Gli Stati membri adottano le disposizioni necessarie per conformarsi alla presente decisione quadro entro il 31 dicembre 2003.

2. Gli Stati membri comunicano al Segretariato generale del Consiglio ed alla Commissione il testo delle disposizioni da essi adottate e le informazioni su ogni altra misura presa per conformarsi alla presente decisione quadro.

3. Su questa base, la Commissione presenta, entro il 31 dicembre 2004, una relazione al Parlamento europeo ed al Consiglio sull'applicazione della presente decisione quadro, accompagnata, se necessario, da proposte legislative.

4. Il Consiglio valuta in che misura gli Stati membri si siano conformati alla presente decisione quadro.


Articolo 14
Entrata in vigore

La presente decisione quadro entra in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale delle Comunità europee. Fatto a Bruxelles, Per il Consiglio Il Presidente

Oggi, giovedě 9 settembre 2010

[25/08/2007]
Prezzi energia elettrica - Rapporto di Confartigianato

Per imprese italiane bolletta elettrica più cara di 6 miliardi/anno rispetto a media Ue Maggiori costi in Lombardia (+ 1,4 mld), Veneto (+ 663...

 continua
[28/05/2007]
Lo Stato decide il numero dei lavoratori delle imprese

Confartigianato: "Lo Stato decide il numero dei lavoratori delle imprese. Inaccettabile invasione di stampo ‘sovietico' in economia, inutile pe...

 continua
[28/05/2007]
La giustizia-lumaca costa alle imprese 2,3 miliardi.

Gli imprenditori italiani, per avere giustizia in una causa civile, devono attendere in media 1.765 giorni (4 anni, 10 mesi e 5 giorni) tra primo e se...

 continua