Se encuentra en estos momentos en discusión en el Parlamento Europeo una propuesta de Directiva que sustituye la Decisión marco 2005/222/JAI del Consejo que era la que se aplicaba hasta el momento.
Esta nueva Directiva persigue armonizar el tratamiento que se da en la Unión Europea a los ataques contra los Sistemas de Información (SS.II.) mediante la aproximación de las normas de Derecho Penal y, por dicho motivo, nos ha parecido relevante analizarla.
Lo primero que hay que decir es que se trata de un texto muy breve (tan solo 19 artículos), pero al margen de su brevedad, nos gustaría destacar algunos aspectos de la misma:
- La definición de «sin autorización«, un aspecto clave en la Directiva, pues es lo que marca lo que se entiende como ataque o acceso ilegal. El artículo 2 lo define como «el acceso, la interferencia o la interceptación, que no haya sido autorizado por el propietario u otro titular del derecho sobre el sistema o parte del mismo o no permitidos por el Derecho nacional».
Es decir, para realizar las típicas pruebas de intrusión será necesario contar con la autorización del propietario (es decir, cómo siempre, ¿no?).
Pero, ¿qué ocurre con la actividad de los investigadores que por su cuenta y riesgo estudian los sistemas para identificar nuevas vulnerabilidades? ¿tendrán que pedir consentimiento a los fabricantes? ¿o bastará con pedírselo al usuario que lo ha comprado para usarlo? - Las figuras que se identifican para ser recogidas en la normativa nacional son las de acceso ilegal, interferencia ilegal en los sistemas de información e interferencia ilegal en datos, así como los inductores, los cómplices y las tentativas.
- Se recoge también la figura de «instrumento utilizado para cometer las infracciones«, entendiendo como tal, tanto un «programa informático, concebido o adaptado principalmente para cometer una infracción de las mencionadas […]» o «una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información». Y, en particular, se pretende evitar «la producción intencional, venta, adquisición para el uso, importación, distribución u otra forma de puesta a disposición […] sin autorización y con la intención de que sean utilizados con el fin de cometer cualquiera de las infracciones mencionadas«.
Entonces, ¿estará perseguida la típica distribución Linux que ayuda a…? bueno, ya sabes a qué… ¿Es justo penalizar la fabricación de herramientas? Al fin y al cabo, todo depende del uso que se da a la tecnología, ¿no? No parece muy razonable penalizar a quien crea nuevas herramientas que ayudan a mejorar la seguridad de los sistemas… ¿o sí? - También es importante conocer que, la responsabilidad penal de las personas jurídicas, también está presente (artículo 11), es decir, se podrá responsabilizar a las empresas por los ataques a un sistema de información.
- El asunto de la competencia también es interesante, puesto que intentar relacionar algo que ocurre en Internet con un espacio físico siempre supone un reto… ¿cuándo podremos entender que el atacante o el sistema de información está en un país? ¿Qué ocurre con los ataques distribuidos? ¿Y si empiezo el ataque en un país y lo acabo en otro?
Para finalizar, dos aspectos muy positivos que incluye la Directiva, los relacionados con el intercambio de información (¡¡debe funcionar en 24×7 y con un ANS de respuesta de 8 horas!!) y el seguimiento y estadísticas.
Veremos cómo queda, después de su paso por el Parlamento Europeo… 🙂
¿Qué os parece a vosotr@s?
Puedes seguirnos en twitter.com/enplusone