TRIBUNA

La piratería informática será delito en la UE

El Diario Oficial de la Unión Europea del 16 de marzo de 2005 publica la Decisión Marco 2005/222/JAI del Consejo relativa a los ataques contra los sistemas de información. En ella se establece la obligación de los Estados miembros de modificar sus legislaciones penales para tipificar como delitos algunas de las modalidades de hacking (piratería informática) como el acceso no autorizado a sistemas informáticos.

Las conductas que serán consideradas delito en el espacio común de la Unión Europea, serán:

l El acceso intencionado sin autorización al conjunto o a una parte de un sistema de información. Los Estados quedan en libertar para decidir que esta conducta sea perseguible únicamente cuando la infracción se cometa transgrediendo medidas de seguridad.

l La intromisión ilegal en los sistemas de información, consistente en cualquier acto intencionado cometido sin autorización destinado a obstaculizar o interrumpir de manera significativa el funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos.

l La intromisión ilegal en los datos, consistente en cualquier acto intencionado cometido sin autorización destinado a borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información.

También serán perseguibles la inducción, la complicidad y la comisión de estos delitos en grado de tentativa.

Las sanciones mínimas exigidas en la decisión serán de uno a tres años de prisión en su grado máximo. En el caso de que las infracciones se cometan en el marco de una organización delictiva, tal como la define la Acción Común 98/733/JAI, o cuando la infracción haya ocasionado daños graves o afectado a intereses esenciales, las penas serán, como mínimo, de dos a cinco años de prisión en su grado máximo.

Las personas jurídicas serán también responsables cuando las infracciones sean cometidas en su beneficio por cualquier persona que actúe a nivel personal o como parte de un órgano de la persona jurídica, que ostente un cargo directivo en la misma.

A las personas jurídicas también podrán exigírseles responsabilidades cuando la falta de vigilancia o control por parte de sus cargos directivos haya hecho posible que una persona sometida a su autoridad cometa uno de estos delitos. Ello significa que las empresas deberán extremar los controles (ISO 17799) y las medidas de seguridad para impedir que sus empleados realicen alguna de estas infracciones desde los sistemas informáticos corporativos.

Las sanciones a las empresas derivadas de los actos de sus empleados pueden llegar a la retirada de ventajas fiscales o subvenciones, la vigilancia judicial y la liquidación.

Otra novedad importante es que los Estados miembros podrán declararse competentes para enjuiciar los delitos que se cometan contra un sistema de información situado en su territorio, aunque el delincuente no se encuentre físicamente en el mismo, así como los delitos cometidos por delincuentes que se encuentren físicamente en el país, aunque el sistema atacado esté en el extranjero.

Los Estados miembros deberán introducir estos delitos en su legislación penal antes del 16 de marzo de 2007.