Preparan normativa para penar con dos años de cárcel a los ciberdelincuentes
El Parlamento Europeo ha votado (por 50 votos a 1 y 3 abstenciones) un esbozo de propuesta para actualizar la legislación existente relativa a las definiciones y persecuciones de los “ciberdelitos” en el entorno de la Unión Europea. En palabras del Parlamento Europeo, “los ciberataques en los sistemas IT podrían convertirse en delitos punibles con al menos dos años de prisión a lo largo de toda la UE en virtud de un proyecto de ley que ha sido respaldado por el Comité de Derechos Civiles. La posesión y distribución de software pirata y herramientas, también pasará a ser delito y las empresas serían responsables de los ciberataques cometidos en su beneficio”. Se espera que el acuerdo político entre el Parlamento y del Consejo relativo a la presente Directiva se produzca antes del verano.
Hemos consultado con el experto Rik Ferguson, director de Investigación de Seguridad y de Comunicaciones de Trend Micro para EMEA, que analiza los cambios que se avecinan en la nueva Directiva europea sobre delitos. Ante la primera impresión de la propuesta europea, Ferguson señala que “aunque a primera vista puede parecer alarmante en algunos aspectos, la legislación en sí misma (2010/0273(COD) tiene un aire más razonable”.
Dentro del estilo característico de la UE, el documento es enrevesado en cuanto a enmiendas y propuestas: 33 propuestas, 13 de ellas nuevas y el resto enmiendas. En conjunto, el documento apela a una armonización de penas para delitos informáticos así como a una armonización en las definiciones sobre lo que exactamente constituye este tipo de delitos a lo largo de todo el territorio de la Unión.
Europol, policía anticiberdelincuentes
Además, Introduce Europol como centro de inteligencia central para los organismos nacionales de aplicación de la ley y promueve el intercambio de mejores prácticas. También reconoce la importancia de la infraestructura nacional crítica y enmarca las obligaciones legales a las naciones para el uso de “estándares adecuados” de protección de los sistemas de información. Asimismo, señala que cuanto mayor es el riesgo inherente en el compromiso de un sistema, mayor debería ser el presupuesto dedicado a la salvaguarda del mismo. El documento también introduce un concepto muy democrático indicando que si el acceso a un sistema está retenido ilegalmente, no constituirá ningún delito entrar en él sin autorización.
En relación con la armonización de las penas de prisión, la propuesta es una pena mínima de dos años para los delitos cibernéticos, a menos que se dé el caso de factores agravantes, como el “uso de una herramientas “diseñada para afectar a un número significativo” (léase “botnet”), delitos cometidos como parte de una operación delictiva organizada, o ataques contra las infraestructuras críticas, en cuyo caso, la pena de prisión propuesta es de cinco años.
“Desde mi punto de vista una pena de cárcel no debe ser directamente proporcional al significado de cometer un crimen, sino más bien al resultado de las acciones que el mismo produce quedando estas propuestas en algún punto intermedio. Habiendo dicho que da la sensación de que ningún período de cárcel es suficiente para disuadir a los ciberdelincuentes decididos y ambiciosos, como evidencian algunas sentencias recientes de larga duración llevadas a cabo en EE. UU.”, explica Ferguson.
Piratería
En cuanto a las propuestas hacia las herramientas de piratería, la legislación actual hace un buen trabajo modificando y clarificando los términos del documento anterior en ese sentido. Esta nueva propuesta introduce el concepto de “intención” en el núcleo de las cláusulas relativas a herramientas de hacking y reconoce muy claramente la naturaleza de doble propósito de muchas de estas herramientas.
Ferguson aclara que “la simple “posesión” de estas herramientas ya no se ubica al alcance de este documento a pesar de lo que el comunicado de prensa del Parlamento dice, y los términos “uso” e “intención” se han modificado para que diga “claro propósito ” y ” clara intención”. Sin duda, es posible legislar hacia el mal uso de cualquier herramienta que tenga la intención de delinquir no habiendo ninguna diferencia en función de si la herramienta es física o digital. La clave de esta legislación, que no tendrá impacto en el legítimo trabajo de los investigadores de seguridad y de las organizaciones, es la cuestión de intención, que creo queda adecuadamente cubierta en este proyecto”.
Instigación e incitación
“Una de las modificaciones que me ha llamado la atención”, explica Ferguson, “es el paso del término “Instigación” al de “Incitación” en relación a los delitos. Mientras se puede apreciar claramente la necesidad de un cambio como este, especialmente a la luz de actividades llevadas a cabo por AntiSec, Anonymous y compañía caracterizar esta enmienda como algo tan simple como “lingüístico” sería poco sincero”.