§ 17.3.201 – Decisione 24 febbraio 2005, n. 222. [1]

Decisione quadro n. 2005/222/GAI del Consiglio relativa agli attacchi contro i sistemi di informazione.

(G.U.U.E. 16 marzo 2005, n. L 69).

 

     IL CONSIGLIO DELL’UNIONE EUROPEA,

     visto il trattato sull’Unione europea, in particolare l’articolo 29, l’articolo 30, paragrafo 1, lettera a), l’articolo 31, paragrafo 1, lettera e), e l’articolo 34, paragrafo 2, lettera b),

     vista la proposta della Commissione,

     visto il parere del Parlamento europeo,

     considerando quanto segue:

     (1) L’obiettivo della presente decisione quadro è quello di migliorare la cooperazione tra le autorità giudiziarie e le altre autorità competenti degli Stati membri, compresi la polizia e gli altri servizi specializzati incaricati dell’applicazione della legge, mediante il ravvicinamento delle legislazioni penali degli Stati membri nel settore degli attacchi contro i sistemi di informazione.

     (2) Si sono registrati attacchi ai danni di sistemi di informazione, in particolare ad opera della criminalità organizzata, e aumentano le preoccupazioni per la possibilità di attacchi terroristici contro sistemi di informazione che fanno parte dell’infrastruttura critica degli Stati membri. Ciò costituisce una minaccia per la creazione di una società dell’informazione sicura e di uno spazio di libertà, sicurezza e giustizia, e richiede pertanto una risposta a livello di Unione europea.

     (3) Una risposta efficace a queste minacce richiede un approccio globale rispetto alla sicurezza delle reti e dell’informazione, come evidenziato nel piano d’azione eEurope, nella comunicazione della Commissione «Sicurezza delle reti e sicurezza dell’informazione: proposta di un approccio strategico europeo» e nella risoluzione del Consiglio, del 28 gennaio 2002, relativa ad un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell’informazione.

     (4) La necessità di accrescere ulteriormente la consapevolezza dei problemi relativi alla sicurezza dell’informazione e di fornire un’assistenza pratica è stata evidenziata anche nella risoluzione del Parlamento europeo del 5 settembre 2001.

     (5) Le rilevanti lacune e le notevoli differenze nelle normative degli Stati membri in questo settore possono ostacolare la lotta contro la criminalità organizzata ed il terrorismo e complicare un’efficace cooperazione giudiziaria e di polizia nel campo degli attacchi contro i sistemi di informazione. Il carattere transnazionale e senza frontiere dei moderni sistemi di informazione fa sì che gli attacchi contro tali sistemi siano spesso di natura transnazionale, e rende evidente la necessità di adottare urgentemente azioni ulteriori per il ravvicinamento delle legislazioni penali in questo settore.

     (6) Il piano d’azione del Consiglio e della Commissione sul modo migliore per attuare le disposizioni del trattato di Amsterdam concernenti uno spazio di libertà, sicurezza e giustizia, le conclusioni del Consiglio europeo di Tampere, del 15-16 ottobre 1999, e del Consiglio europeo di Santa Maria da Feira, del 19-20 giugno 2000, la comunicazione della Commissione sull’aggiornamento del quadro di controllo e la risoluzione del Parlamento europeo, del 19 maggio 2000, contemplano o caldeggiano iniziative legislative atte a contrastare la criminalità ad alta tecnologia, comprendenti definizioni, incriminazioni e sanzioni comuni.

     (7) È necessario completare il lavoro svolto dalle organizzazioni internazionali, in particolare i lavori del Consiglio d’Europa sul ravvicinamento delle legislazioni penali ed i lavori del G8 sulla cooperazione transnazionale in materia di criminalità ad alta tecnologia, mediante l’adozione di un approccio comune dell’Unione europea in questo settore. Questa esigenza è stata ulteriormente elaborata nella comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni «Creare una società dell’informazione sicura migliorando la sicurezza delle infrastrutture dell’informazione e mediante la lotta alla criminalità informatica».

     (8) Le legislazioni penali nel settore degli attacchi ai danni di sistemi di informazione dovrebbero essere ravvicinate al fine di garantire la cooperazione giudiziaria e di polizia più ampia possibile nel settore dei reati attinenti agli attacchi ai danni di sistemi di informazione, e di contribuire alla lotta contro la criminalità organizzata ed il terrorismo.

     (9) Tutti gli Stati membri hanno ratificato la convenzione del Consiglio d’Europa, del 28 gennaio 1981, sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale. I dati di carattere personale trattati nel contesto dell’attuazione della presente decisione quadro dovrebbero essere protetti in conformità dei principi di detta convenzione.

     (10) Per garantire un approccio coerente degli Stati membri nell’applicazione della presente decisione quadro è importante avere, in questo settore, definizioni comuni, in particolare quelle inerenti ai sistemi di informazione e ai dati informatici.

     (11) È necessario giungere ad un approccio comune nei confronti degli elementi costitutivi dei reati mediante la definizione di reati comuni di accesso illecito ad un sistema di informazione, di interferenza illecita per quanto riguarda i sistemi e di interferenza illecita per quanto riguarda i dati.

     (12) Per combattere la criminalità informatica, ciascuno Stato membro dovrebbe assicurare un’efficace cooperazione giudiziaria per quanto riguarda i reati basati sui comportamenti di cui agli articoli 2, 3, 4 e 5.

     (13) È necessario evitare un’eccessiva penalizzazione, specialmente per i casi di minore gravità, ed escludere la penalizzazione degli aventi diritto e delle persone autorizzate.

     (14) È necessario che gli Stati membri prevedano sanzioni per gli attacchi ai danni di sistemi di informazione. Le sanzioni così previste sono effettive, proporzionate e dissuasive.

     (15) È opportuno prevedere sanzioni più severe quando un attacco contro un sistema di informazione è perpetrato nell’ambito di un’organizzazione criminale, quale definita nell’azione comune 98/733/GAI, del 21 dicembre 1998, relativa alla punibilità della partecipazione a un’organizzazione criminale negli Stati membri dell’Unione europea

     (16) È altresì opportuno prevedere misure finalizzate alla cooperazione tra Stati membri al fine di garantire un’azione efficace contro gli attacchi ai danni di sistemi di informazione. È quindi opportuno che gli Stati membri si avvalgano delle reti esistenti di punti di contatto operativi di cui alla raccomandazione del Consiglio, del 25 giugno 2001, sui punti di contatto accessibili 24 ore al giorno ai fini della lotta contro la criminalità ad alta tecnologia  per lo scambio d’informazioni.

     (17) Poiché gli scopi della presente decisione quadro, vale a dire fare sì che gli attacchi ai danni di sistemi di informazione siano puniti in tutti gli Stati membri con sanzioni penali effettive, proporzionate e dissuasive, e migliorare ed incoraggiare la cooperazione giudiziaria mediante la rimozione delle difficoltà potenziali, non possono essere realizzati in misura sufficiente dagli Stati membri, in quanto le norme devono essere comuni e compatibili, e possono dunque essere realizzati meglio a livello dell’Unione, l’Unione può adottare misure, in base al principio di sussidiarietà sancito dall’articolo 5 del trattato CE. La presente decisione quadro si limita a quanto è necessario per conseguire tali scopi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

     (18) La presente decisione quadro rispetta i diritti fondamentali ed osserva i principi sanciti dall’articolo 6 del trattato sull’Unione europea e contenuti nella Carta dei diritti fondamentali dell’Unione europea, in particolare i capi II e VI,

 

     HA ADOTTATO LA PRESENTE DECISIONE QUADRO:

 

Art. 1. Definizioni.

     Ai fini della presente decisione quadro, si applicano le seguenti definizioni:

     a) per «sistema di informazione» s’intende qualsiasi apparecchiatura o gruppo di apparecchi interconnessi o collegati, uno o più dei quali svolge un trattamento automatico di dati informatici secondo un programma, nonché i dati informatici immagazzinati, trattati, estratti o trasmessi dagli stessi ai fini della loro gestione, uso, protezione e manutenzione;

     b) per «dati informatici» s’intende qualsiasi rappresentazione di fatti, informazioni o concetti in una forma che può essere trattata da un sistema di informazione, compreso un programma atto a far svolgere una funzione ad un sistema di informazione;

     c) per «persona giuridica» s’intende qualsiasi entità che abbia tale qualifica ai sensi della legislazione applicabile, eccetto gli Stati o altri organismi pubblici nell’esercizio dell’autorità statale e le organizzazioni internazionali;

     d) l’espressione «senza diritto» significa l’accesso o l’interferenza non autorizzati da parte di chi ha il diritto di proprietà o altro diritto sul sistema o una sua parte, ovvero non consentiti ai sensi della legislazione nazionale.

 

     Art. 2. Accesso illecito a sistemi di informazione.

     1. Ciascuno Stato membro adotta le misure necessarie affinché l’accesso intenzionale, senza diritto, ad un sistema di informazione o ad una parte dello stesso sia punito come reato, almeno per i casi gravi.

     2. Ciascuno Stato membro può decidere che i comportamenti di cui al paragrafo 1 siano punibili solo quando il reato è commesso violando una misura di sicurezza.

 

     Art. 3. Interferenza illecita per quanto riguarda i sistemi.

     Ciascuno Stato membro adotta le misure necessarie affinché l’atto intenzionale di ostacolare gravemente o interrompere il funzionamento di un sistema di informazione mediante l’immissione, la trasmissione, il danneggiamento, la cancellazione, il deterioramento, l’alterazione, la soppressione di dati informatici o rendendoli inaccessibili sia punito come reato se commesso senza diritto, almeno per i casi gravi.

 

     Art. 4. Interferenza illecita per quanto riguarda i dati.

     Ciascuno Stato membro adotta le misure necessarie affinché l’atto intenzionale di cancellare, danneggiare, deteriorare, alterare, sopprimere o rendere inaccessibili dati informatici in un sistema di informazione sia punito come reato se commesso senza diritto, almeno per i casi gravi.

 

     Art. 5. Istigazione, favoreggiamento nonché complicità e tentativo.

     1. Ciascuno Stato membro provvede a che l’istigazione, il favoreggiamento nonché la complicità e il tentativo in ordine alla commissione dei reati di cui agli articoli 2, 3 e 4 siano punibili come reati.

     2. Ciascuno Stato membro provvede a che il tentativo di commettere i reati di cui agli articoli 2, 3 e 4 sia punibile come reato.

     3. Ciascuno Stato membro può decidere di non applicare il paragrafo 2 per i reati di cui all’articolo 2.

 

     Art. 6. Sanzioni.

     1. Ciascuno Stato membro adotta le misure necessarie affinché i reati di cui agli articoli 2, 3, 4 e 5 siano punibili con sanzioni effettive, proporzionate e dissuasive.

     2. Ciascuno Stato membro adotta le misure necessarie affinché i reati di cui agli articoli 3 e 4 siano punibili con pene detentive della durata massima compresa almeno tra uno e tre anni.

 

     Art. 7. Circostanze aggravanti.

     1. Ciascuno Stato membro adotta le misure necessarie affinché i reati di cui all’articolo 2, paragrafo 2, nonché agli articoli 3 e 4 siano punibili con pene detentive della durata massima compresa almeno tra due e cinque anni qualora siano stati commessi nell’ambito di un’organizzazione criminale come definita nell’azione comune 98/733/GAI, a parte il livello di sanzione ivi previsto.

     2. Uno Stato membro può adottare le misure di cui al paragrafo 1 anche qualora i comportamenti abbiano provocato gravi danni o abbiano colpito interessi essenziali.

 

     Art. 8. Responsabilità delle persone giuridiche.

     1. Ciascuno Stato membro adotta le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili dei reati di cui agli articoli 2, 3, 4 e 5 commessi a loro beneficio da qualsiasi soggetto, che agisca a titolo individuale o in quanto membro di un organo della persona giuridica, il quale detenga una posizione preminente in seno alla persona giuridica stessa, basata:

     a) sul potere di rappresentanza di detta persona giuridica; o

     b) sul potere di prendere decisioni per conto della persona giuridica; o

     c) sull’esercizio di poteri di controllo in seno a tale persona giuridica.

     2. Oltre che nei casi di cui al paragrafo 1, gli Stati membri assicurano che le persone giuridiche possano essere ritenute responsabili qualora la mancata sorveglianza o il mancato controllo da parte di uno dei soggetti di cui al paragrafo 1 abbia reso possibile la commissione dei reati di cui agli articoli 2, 3, 4, e 5 a beneficio della persona giuridica da parte di una persona soggetta alla sua autorità.

     3. La responsabilità delle persone giuridiche ai sensi dei paragrafi 1 e 2 non esclude l’avvio di procedimenti penali contro le persone fisiche che siano autori, istigatori o complici di uno dei comportamenti di cui agli articoli 2, 3, 4 e 5.

 

     Art. 9. Sanzioni applicabili alle persone giuridiche.

     1. Ciascuno Stato membro adotta le misure necessarie affinché alla persona giuridica ritenuta responsabile ai sensi dell’articolo 8, paragrafo 1, siano applicabili sanzioni effettive, proporzionate e dissuasive, che comprendano sanzioni pecuniarie penali o non penali e che possano comprendere anche altre sanzioni quali:

     a) misure di esclusione dal godimento di un beneficio o aiuto pubblico;

     b) misure di divieto temporaneo o permanente di esercitare attività commerciali;

     c) assoggettamento a sorveglianza giudiziaria; o

     d) provvedimenti giudiziari di scioglimento.

     2. Ciascuno Stato membro adotta le misure necessarie affinché alle persone giuridiche ritenute responsabili ai sensi dell’articolo 8, paragrafo 2, siano applicabili sanzioni o provvedimenti effettivi, proporzionati e dissuasivi.

 

     Art. 10. Competenza giurisdizionale.

     1. Ciascuno Stato membro stabilisce la propria competenza giurisdizionale in ordine ai reati di cui agli articoli 2, 3, 4 e 5 laddove i reati siano stati commessi:

     a) interamente o in parte sul suo territorio; oppure

     b) da un suo cittadino; oppure

     c) a beneficio di una persona giuridica che ha la sua sede legale nel territorio dello Stato membro stesso.

     2. Nello stabilire la propria competenza giurisdizionale ai sensi del paragrafo 1, lettera a), ciascuno Stato membro provvede a che tale giurisdizione abbracci i casi in cui:

     a) l’autore abbia commesso il reato mentre era fisicamente presente nel suo territorio, indipendentemente dal fatto che il sistema di informazione contro il quale è stato commesso il reato si trovi o meno nel suo territorio; oppure

     b) il reato sia stato commesso ai danni di un sistema di informazione che si trova nel suo territorio, indipendentemente dal fatto che l’autore del reato fosse o meno fisicamente presente nel suo territorio al momento della commissione del reato.

     3. Uno Stato membro che, in base al suo ordinamento giuridico, non estrada o non consegna ancora i suoi cittadini adotta le misure necessarie a stabilire la propria competenza giurisdizionale e ad avviare, laddove opportuno, l’azione penale nei confronti dei reati di cui agli articoli 2, 3, 4 e 5, qualora siano posti in essere da uno dei suoi cittadini al di fuori del suo territorio.

     4. Qualora un reato rientri nella competenza giurisdizionale di più di uno Stato membro e quando ciascuno degli Stati interessati potrebbe validamente avviare un’azione penale sulla base degli stessi fatti, gli Stati membri interessati cooperano per decidere quale di essi perseguirà gli autori del reato allo scopo, se possibile, di concentrare i procedimenti in un solo Stato membro. A tal fine, gli Stati membri possono avvalersi di qualsiasi organismo o meccanismo istituito all’interno dell’Unione europea per agevolare la cooperazione tra le loro autorità giudiziarie ed il coordinamento del loro operato. Si può tener conto, per gradi successivi, dei seguenti elementi:

     — si tratta dello Stato membro nel cui territorio sono stati commessi i reati a norma del paragrafo 1, lettera a), e del paragrafo 2;

     — si tratta dello Stato membro di cui l’autore del reato ha la cittadinanza;

     — si tratta dello Stato membro in cui è stato trovato l’autore del reato.

     5. Uno Stato membro può decidere di non applicare, o di applicare solo in situazioni o circostanze specifiche, le regole in materia di competenza giurisdizionale di cui al paragrafo 1, lettere b) e c).

     6. Qualora decidano di avvalersi del paragrafo 5, gli Stati membri ne informano il segretariato generale del Consiglio e la Commissione, precisando, ove necessario, i casi o le circostanze specifici in cui si applica tale decisione.

 

     Art. 11. Scambio di informazioni.

     1. Per lo scambio delle informazioni relative ai reati di cui agli articoli 2, 3, 4 e 5, fatte salve le disposizioni sulla protezione dei dati personali, gli Stati membri procurano di servirsi della rete esistente di punti di contatto operativi ventiquattr’ore su ventiquattro e sette giorni su sette.

     2. Ciascuno Stato membro informa il segretariato generale del Consiglio e la Commissione in merito al proprio punto di contatto operativo stabilito per lo scambio d’informazioni sui reati connessi ad attacchi ai danni di sistemi di informazione. Il segretariato generale trasmette tali informazioni agli altri Stati membri.

 

     Art. 12. Attuazione.

     1. Gli Stati membri adottano le misure necessarie per conformarsi alle disposizioni della presente decisione quadro entro il 16 marzo 2007.

     2. Entro il 16 marzo 2007 gli Stati membri trasmettono al segretariato generale del Consiglio e alla Commissione il testo delle disposizioni inerenti al recepimento nella legislazione nazionale degli obblighi imposti dalla presente decisione quadro. Sulla base di una relazione redatta a partire da tali informazioni e di una relazione scritta della Commissione, il Consiglio esamina entro il 16 settembre 2007 in quale misura gli Stati membri si siano conformati alla presente decisione quadro.

 

     Art. 13. Entrata in vigore.

     La presente decisione quadro entra in vigore il giorno della pubblicazione nella Gazzetta ufficiale dell’Unione europea.