ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ. Πρόταση ΑΠΟΦΑΣΗΣ ΠΛΑΙΣΙΟΥ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Transcript

1 ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ Βρυξέλλες, COM(2002)173 τελικό 2002/0086 (CNS) Πρόταση ΑΠΟΦΑΣΗΣ ΠΛΑΙΣΙΟΥ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για τις επιθέσεις κατά των συστηµάτων πληροφοριών (υποβληθείσα από την Επιτροπή)

2 ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ 1. ΕΙΣΑΓΩΓΗ Τα δίκτυα ηλεκτρονικής επικοινωνίας και τα συστήµατα πληροφοριών αποτελούν εγγενές τµήµα της καθηµερινής ζωής των πολιτών της ΕΕ και διαδραµατίζουν ουσιαστικό ρόλο στην επιτυχία της ευρωπαϊκής οικονοµίας. Τα δίκτυα και τα συστήµατα πληροφοριών συγκλίνουν και είναι ολοένα και περισσότερο διασυνδεδεµένα. Αυτή η εξέλιξη συνεπάγεται πολλά και σαφή προτερήµατα, αλλά συνοδεύεται επίσης από ανησυχητικό κίνδυνο σκόπιµων επιθέσεων κατά των συστηµάτων πληροφοριών. Αυτές οι επιθέσεις µπορούν να λαµβάνουν διάφορες µορφές, συµπεριλαµβανόµενης της παράνοµης πρόσβασης, της διάδοσης ψευδών κωδικών και επιθέσεων "άρνησης παροχής υπηρεσίας". Οι επιθέσεις είναι δυνατόν να εξαπολυθούν από οποιοδήποτε προς οποιοδήποτε µέρος του κόσµου και οποτεδήποτε. Νέες απροσδόκητες µορφές επιθέσεων µπορούν να εµφανισθούν στο µέλλον. Οι επιθέσεις κατά των συστηµάτων πληροφοριών αποτελούν απειλή για τη δηµιουργία µιας πιο ασφαλούς κοινωνίας της πληροφορίας και ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης και πρέπει ως εκ τούτου να υπάρξει απάντηση στο επίπεδο της Ευρωπαϊκής Ένωσης. Η παρούσα πρόταση απόφασης πλαισίου για την προσέγγιση του ποινικού δικαίου όσον αφορά τις επιθέσεις κατά των συστηµάτων πληροφοριών αποτελεί τµήµα της συµβολής της Επιτροπής στην επίλυση του συγκεκριµένου προβλήµατος Είδη επιθέσεων κατά των συστηµάτων πληροφοριών Η φράση "σύστηµα πληροφοριών" χρησιµοποιείται σκοπίµως στο προκείµενο µε την πλέον ευρεία έννοιά της αναγνωρίζοντας τη σύγκλιση µεταξύ των δικτύων ηλεκτρονικής επικοινωνίας και των διαφόρων συνδεδεµένων συστηµάτων. Για τους σκοπούς της παρούσας πρότασης, τα συστήµατα πληροφοριών καλύπτουν συνεπώς τους αυτόνοµους προσωπικούς υπολογιστές, τις προσωπικές ηλεκτρονικές ατζέντες, τα κινητά τηλέφωνα, τα εσωτερικά δίκτυα (intranets), τα εξωτερικά δίκτυα (extranets), και, φυσικά, τα δίκτυα, τους εξυπηρετητές και άλλες υποδοµές του διαδικτύου. Στην ανακοίνωσή της "Ασφάλεια δικτύων και πληροφοριών - πρόταση ευρωπαϊκής πολιτικής" 1, η Επιτροπή πρότεινε την ακόλουθη περιγραφή των απειλών κατά των συστηµάτων πληροφοριών: (α) Μη εξουσιοδοτηµένη πρόσβαση σε συστήµατα πληροφοριών. Αυτό καλύπτει την έννοια του "hacking" (πειρατεία). Η πειρατεία συνίσταται στην µη εξουσιοδοτηµένη πρόσβαση σε υπολογιστή ή δίκτυο υπολογιστών. Μπορεί να λάβει διάφορες µορφές από την απλή αξιοποίηση πληροφοριών που προέρχονται από το εσωτερικό µέχρι τις βίαιες επιθέσεις και την υποκλοπή συνθηµατικών. Πρόκειται συχνά, αν όχι πάντα, για δόλια προαίρεση αντιγραφής, τροποποίησης ή καταστροφής δεδοµένων. Η δολιοφθορά ιστοθέσεων ή η πρόσβαση σε υπηρεσίες που προστατεύονται από πρόσβαση υπό όρους άνευ πληρωµής µπορεί να αποτελεί έναν από τους στόχους της µη εξουσιοδοτηµένης πρόσβασης. 1 Ανακοίνωση της Επιτροπής στο Συµβούλιο, το Ευρωπαϊκό Κοινοβούλιο, την Οικονοµική και Κοινωνική Επιτροπή και την Επιτροπή Περιφερειών "Ασφάλεια δικτύων και πληροφοριών - πρόταση ευρωπαϊκής πολιτικής" της COM (2001) 298 τελικό. 2

3 (β) Αποδιοργάνωση συστηµάτων πληροφοριών. Υπάρχουν διάφοροι τρόποι αποδιοργάνωσης των συστηµάτων πληροφοριών µε δόλιες επιθέσεις. Ένας από τους πιο γνωστούς τρόπους που παραλύουν ή υποβαθµίζουν τις υπηρεσίες που προσφέρονται από το διαδίκτυο είναι οι επιθέσεις τύπου άρνησης παροχής υπηρεσίας (denial of service- DoS).Κατά κάποιο τρόπο αυτή η επίθεση οµοιάζει µε τον κατακλυσµό των συσκευών φαξ από µακροσκελή και επαναλαµβανόµενα µηνύµατα. Οι επιθέσεις που παραλύουν την παροχή υπηρεσίας επιχειρούν να υπερφορτώσουν τους εξυπηρετητές ή τους φορείς παροχής υπηρεσιών πρόσβασης στο διαδίκτυο (ISP) µε αυτοµάτως αποστελλόµενα µηνύµατα. Άλλα είδη επιθέσεων µπορούν να περιλαµβάνουν την αποδιοργάνωση εξυπηρετητών που χρησιµοποιούν το σύστηµα ονοµάτων τοµέων του διαδικτύου (DNS) ή να αφορούν τους "δροµολογητές". Οι επιθέσεις που έχουν σαν στόχο την αποδιοργάνωση των συστηµάτων υπήρξαν επιζήµιες για ορισµένες σηµαντικές θέσεις του Ιστού, όπως οι πύλες. Ορισµένες µελέτες έχουν υπολογίσει ότι η πρόσφατη επίθεση προξένησε ζηµιές που υπολογίζονται σε πολλές εκατοντάδες εκατοµµύρια ευρώ, χωρίς να λαµβάνεται υπόψη η µη αριθµητικά υπολογίσιµη ζηµία από πλευράς φήµης. Οι επιχειρήσεις, όσον αφορά τις δραστηριότητές τους, στηρίζονται ολοένα και περισσότερο στη διαθεσιµότητα των ιστοθέσεων τους και εκείνες που εξαρτώνται από την "έγκαιρη " προµήθεια είναι ιδιαίτερα ευάλωτες. (γ) Εκτέλεση δόλιων λογισµικών που τροποποιούν ή καταστρέφουν δεδοµένα. Το πιο γνωστό είδος δόλιου λογισµικού είναι ο ιός. Οι ιοί I Love You, Melissa και Kournikova αποτελούν διάσηµα παραδείγµατα. Περίπου το 11% των ευρωπαίων χρηστών προσβλήθηκε από ιό στον οικιακό του υπολογιστή. Υπάρχουν και άλλα είδη δόλιων λογισµικών. Ορισµένα προξενούν ζηµίες στον ίδιο τον υπολογιστή, ενώ άλλα χρησιµοποιούν τον υπολογιστή για να προσβάλουν άλλα στοιχεία του δικτύου. Ορισµένα προγράµµατα (που αποκαλούνται "λογικές βόµβες") παραµένουν ανενεργά µέχρις ότου αρχίσουν να λειτουργούν µε την επέλευση ορισµένου γεγονότος όπως είναι συγκεκριµένη προθεσµία και προκαλούν σηµαντικές ζηµίες µεταβάλλοντας ή καταστρέφοντας δεδοµένα. Άλλα προγράµµατα φαίνονται ανώδυνα, αλλά όταν τίθενται σε λειτουργία, προκαλούν δόλια επίθεση (για το λόγο αυτό αποκαλούνται " ούρειος ίππος"). Μια άλλη εκδοχή προγράµµατος (που αναφέρεται συχνά ως "λογισµικό σκουλήκι") δεν µολύνει άλλα προγράµµατα όπως ο ιός αλλά αυτοαναπαράγεται σε πολλά αντίτυπα που καταλήγουν να κατακλύζουν το σύστηµα. (δ) Υποκλοπή επικοινωνιών. Η δόλια υποκλοπή επικοινωνιών θέτει σε κίνδυνο τις αξιώσεις εµπιστευτικότητας και ακεραιότητας των χρηστών. Συχνά αποκαλείται "sniffing". (ε) Παραπλανητικές/ψευδείς δηλώσεις: Τα συστήµατα πληροφοριών παρέχουν νέες δυνατότητες παραπλανητικών δηλώσεων και απάτης. Η χρησιµοποίηση της ταυτότητας άλλου προσώπου στο διαδίκτυο και η χρήση της για δόλιους σκοπούς καλείται "spoofing" Ο χαρακτήρας του κινδύνου Υπάρχει έκδηλη ανάγκη να συγκεντρωθούν αξιόπιστες πληροφορίες για την έκταση και τον χαρακτήρα των επιθέσεων κατά των συστηµάτων πληροφοριών. Ορισµένες από τις πλέον σοβαρές επιθέσεις που διαπράττονται κατά των συστηµάτων πληροφοριών στρέφονται κατά φορέων ηλεκτρονικών δικτύων επικοινωνιών και παρόχων 3

4 υπηρεσιών ή κατά εταιριών ηλεκτρονικού εµπορίου. Πιο παραδοσιακοί τοµείς µπορούν εξίσου να θιγούν σοβαρά λόγω του ολοένα και πιο σηµαντικού επιπέδου διασύνδεσης που παρατηρείται στο σύγχρονο περιβάλλον των επικοινωνιών: οι βιοµηχανικοί κλάδοι, οι υπηρεσίες, τα νοσοκοµεία, άλλοι οργανισµοί του δηµόσιου τοµέα και οι κυβερνήσεις. Εντούτοις, τα θύµατα των επιθέσεων δεν είναι µόνον οργανισµοί οι επιθέσεις µπορούν επίσης να προξενούν άµεσες και σοβαρές ζηµίες σε ιδιώτες. Το οικονοµικό βάρος που συνεπάγονται ορισµένες από αυτές τις επιθέσεις για τους δηµόσιους οργανισµούς, τις εταιρείες και τους ιδιώτες είναι σηµαντικό και απειλεί να καταστήσει τα συστήµατα πληροφοριών πιο δαπανηρά και ασύµφορα για τους χρήστες. Τα είδη επιθέσεων που περιγράφονται ανωτέρω πραγµατοποιούνται συχνά από άτοµα που δρουν για λογαριασµό τους, ενίοτε από ανηλίκους που ενδεχοµένως δεν έχουν επίγνωση της σοβαρότητας των πράξεών τους. Εντούτοις, το επίπεδο πολυπλοκότητας και οι φιλοδοξίες των επιθέσεων µπορούν να αυξηθούν. Υπάρχει ολοένα και µεγαλύτερος φόβος ότι οργανωµένες εγκληµατικές οµάδες µπορούν να χρησιµοποιήσουν τα δίκτυα επικοινωνίας για να εξαπολύσουν επιθέσεις κατά των συστηµάτων πληροφοριών για την εξυπηρέτηση των δικών τους σκοπών. Οι οργανωµένες οµάδες πειρατείας που είναι εξειδικευµένες στην πειρατεία και στην καταστροφή ιστοσελίδων του διαδικτύου δρουν ολοένα και περισσότερο σε παγκόσµιο επίπεδο. Πρόκειται, για παράδειγµα, για τους Brazilian Silver Lords και την Pakistan Gforce, που επιχειρούν να εκµαιεύσουν χρήµατα από τα θύµατά τους προτείνοντας εξειδικευµένη βοήθεια µετά την "πειρατεία" των συστηµάτων τους πληροφοριών. Η σύλληψη σηµαντικών οµάδων "hackers" οδηγεί στη σκέψη ότι το "hacking" µπορεί ολοένα και περισσότερο να αποτελέσει φαινόµενο οργανωµένου εγκλήµατος. Πολύπλευρες και οργανωµένες επιθέσεις είχαν πρόσφατα σαν στόχο τα δικαιώµατα πνευµατικής ιδιοκτησίας και έγιναν απόπειρες εκµαίευσης σηµαντικών ποσών από τραπεζικές υπηρεσίες 2. Οι παραβιάσεις της ασφάλειας των εµπορικών βάσεων δεδοµένων του ηλεκτρονικού εµπορίου στις οποίες παρέχεται πρόσβαση στις πληροφορίες του πελάτη, συµπεριλαµβανοµένων των στοιχείων πιστωτικών καρτών, αποτελεί λόγο ανησυχίας. Αυτές οι επιθέσεις καταλήγουν σε αυξηµένες ευκαιρίες απάτης όσον αφορά τις πληρωµές και σε κάθε περίπτωση εξαναγκάζουν την τραπεζική βιοµηχανία να ακυρώνει και να επανεκδίδει χιλιάδες κάρτες. Μία περαιτέρω συνέπεια είναι η ανυπολόγιστη ζηµία της υπόληψης του εµπόρου και ο κλονισµός της εµπιστοσύνης του καταναλωτή στο ηλεκτρονικό εµπόριο. Προληπτικά µέτρα, όπως ελάχιστες αξιώσεις ασφάλειας για online εµπόρους που δέχονται κάρτες πληρωµών, συζητούνται σύµφωνα µε το πρόγραµµα δράσης για να αποτραπεί η απάτη και η πλαστογραφία στις πληρωµές µε µέσα πλην των µετρητών 3. Η παρούσα πρόταση αποτελεί επίσης µέρος της συµβολής της Επιτροπής στην αντιµετώπιση της απειλής τροµοκρατικής επίθεσης κατά ζωτικών συστηµάτων πληροφοριών στο εσωτερικό της Ευρωπαϊκής Ένωσης. Συµπληρώνει τις προτάσεις της Επιτροπής που αποβλέπουν να αντικαταστήσουν στο πλαίσιο της Ευρωπαϊκής Ένωσης τη διαδικασία 2 3 Σύµφωνα µε έρευνα που δηµοσιεύθηκε από την Communications Management Association (CMA), επιθέσεις υπό µορφή πειρατείας έχουν ήδη πραγµατοποιηθεί κατά του ενός τρίτου των µεγάλων επιχειρήσεων και οργανισµών του δηµόσιου τοµέα του Ηνωµένου Βασιλείου, περιλαµβανοµένων των κυβερνητικών υπηρεσιών, προκαλώντας ζηµίες που ξεκινούν από την διείσδυση σε τραπεζικούς λογαριασµούς επιχειρήσεων µέχρι την υποκλοπή πληροφοριών. Βλ. την έρευνα στη διεύθυνση: Ανακοίνωση της Επιτροπής "Πρόληψη της απάτης και της πλαστογραφίας όσον αφορά τα µέσα πληρωµής πλην των µετρητών", COM(2001) τελικό. Εγκρίθηκε από την Επιτροπή στις

5 έκδοσης µε ένα ευρωπαϊκό ένταλµα σύλληψης 4 και να επιτύχουν την προσέγγιση των νοµοθεσιών στον τοµέα της τροµοκρατίας 5, για τα οποία επιτεύχθηκε πολιτική συµφωνία στο Ευρωπαϊκό Συµβούλιο του Laeken της 14/15ης εκεµβρίου Αυτά τα νοµικά µέσα από κοινού θα κατοχυρώσουν ότι τα κράτη µέλη της Ευρωπαϊκής Ένωσης διαθέτουν αποτελεσµατική ποινική νοµοθεσία για την καταπολέµηση της τροµοκρατίας στον κυβερνοχώρο και θα ενισχύσουν τη διεθνή συνεργασία κατά της τροµοκρατίας. Η παρούσα πρόταση δεν καλύπτει µόνο τις πράξεις που έχουν σαν στόχο τα κράτη µέλη. Εφαρµόζεται επίσης σε συµπεριφορές στην επικράτεια της Ευρωπαϊκής Ένωσης οι οποίες στρέφονται κατά των συστηµάτων πληροφοριών στην επικράτεια τρίτων χωρών. Αυτό αντικατοπτρίζει τη δέσµευση που έχει αναληφθεί από την Επιτροπή να καταπολεµήσει τις επιθέσεις κατά των συστηµάτων πληροφοριών τόσο στο επίπεδο της Ευρωπαϊκής Ένωσης όσο και σε παγκόσµιο επίπεδο. Πράγµατι, υπήρξαν πρόσφατα πολλές περιπτώσεις κατά τις οποίες οι εντάσεις στις διεθνείς σχέσεις οδήγησαν σε έξαρση των επιθέσεων κατά των συστηµάτων πληροφοριών, οι οποίες συχνά περιελάµβαναν επιθέσεις κατά θέσεων του Ιστού. Πιο σοβαρές επιθέσεις µπορούν όχι µόνο να έχουν σοβαρές οικονοµικές επιπτώσεις αλλά, σε ορισµένες περιπτώσεις, µπορούν επίσης να προκαλέσουν την απώλεια ανθρώπινων ζωών (νοσοκοµειακά συστήµατα, συστήµατα ελέγχου της εναέριας κυκλοφορίας). Η σηµασία την οποία προσδίδουν τα κράτη µέλη καταδεικνύεται από την προτεραιότητα που χορηγείται στις διάφορες πρωτοβουλίες προστασίας των ζωτικής σηµασίας υποδοµών. Για παράδειγµα, το κοινοτικό πρόγραµµα για την τεχνολογία της κοινωνίας της πληροφορίας (IST) 6 δηµιούργησε, σε συνεργασία µε το αµερικανικό υπουργείο εξωτερικών υποθέσεων, µια κοινή Task Force ΕE/ΗΠΑ για την προστασία των ζωτικής σηµασίας υποδοµών Η ανάγκη ορθών πληροφοριών και στατιστικών Υπάρχουν ελάχιστες αξιόπιστες στατιστικές για την πραγµατική έκταση του φαινοµένου του εγκλήµατος πληροφορικής. Ο αριθµός των εισβολών που έχουν διαπιστωθεί και αναφερθεί µέχρι σήµερα δεν παρέχει εµφανώς ακριβή ιδέα για την έκταση του προβλήµατος. Σύµφωνα µε µια αµερικανική έρευνα 8, το 1999 µόνο το 32% των επιχειρήσεων που απήντησαν και υπήρξαν θύµατα εισβολέων κατά τη διάρκεια του προηγούµενου έτους το κατήγγειλαν στην αστυνοµία. Βεβαίως, επρόκειτο για βελτίωση σε σχέση µε τα προηγούµενα έτη κατά τη διάρκεια των οποίων µόνο το 17% των σχετικών επιχειρήσεων προσέφυγαν στην αστυνοµία. Αυτή η σιωπή δικαιολογείται από διάφορους λόγους. εδοµένης της περιορισµένης γνώσης και εµπειρίας των διαχειριστών συστηµάτων και των χρηστών, πολλές εισβολές δεν έχουν διαπιστωθεί. Επιπλέον, πολλές επιχειρήσεις δεν είναι διατεθειµένες να καταγγείλουν περιπτώσεις καταχρήσεων στο δίκτυο, προκειµένου να αποφύγουν την δυσφήµισή τους και να µην εκτεθούν στον κίνδυνο νέων επιθέσεων. Οι αστυνοµικές υπηρεσίες, στην µεγάλη Πρόταση απόφασης πλαισίου του Συµβουλίου σχετικά µε το ευρωπαϊκό ένταλµα σύλληψης. COM(2001) 522 τελικό. Εγκρίθηκε από την Επιτροπή στις Πρόταση απόφασης πλαισίου του Συµβουλίου σχετικά µε την καταπολέµηση της τροµοκρατίας COM(2001) 521 τελικό. Εγκρίθηκε από την Επιτροπή στις Το πρόγραµµα IST διευθύνεται από την Ευρωπαϊκή Επιτροπή. Αποτελεί τµήµα του πέµπτου προγράµµατος πλαισίου που καλύπτει την περίοδο Για περισσότερες πληροφορίες, βλ. Υπό την αιγίδα της κοινής συµβουλευτικής οµάδας που δηµιουργήθηκε βάσει της συµφωνίας επιστηµονικής και τεχνολογικής συνεργασίας µεταξύ Ευρωπαϊκής Κοινότητας και ΗΠΑ. Tο Computer Security Institute (CSI) και το Federal Bureau of Investigation (FBI) δηµοσιεύουν στην αρχή κάθε έτους έκθεση µε τον τίτλο "Computer Crime and Security Survey". Βλ. ιστοσελίδα του CSI και άλλες πληροφορίες σχετικά µε τη µελέτη στη διεύθυνση www. gocsi.com 5

6 πλειοψηφία τους, δεν διαθέτουν ακόµη στατιστικές για τις χρήσεις υπολογιστών και συστηµάτων επικοινωνίας στη διάπραξη αδικηµάτων αυτού του είδους και άλλων µορφών εγκλήµατος 9. Οι αρχές που είναι αρµόδιες για την επιβολή του νόµου δεν διαθέτουν την κατάλληλη κατάρτιση για να ανακαλύπτουν και εντοπίζουν τα εγκλήµατα πληροφορικής και να διεξάγουν έρευνες σχετικά µε αυτά. Εντούτοις, η Ευρωπαϊκή Ένωση άρχισε να εξετάζει αυτό το ζήτηµα συγκεντρώνοντας αριθµητικά στοιχεία σχετικά µε τις επιθέσεις που διαπράττονται κατά των συστηµάτων πληροφοριών. Σε ένα κράτος µέλος υπολογίστηκε ότι διαπράχθηκαν µεταξύ και επιθέσεων κατά των συστηµάτων πληροφοριών το 1999, ενώ καταχωρήθηκαν µόνο 105 επίσηµες καταγγελίες στο συγκεκριµένο τοµέα. Το 1999, επτά κράτη µέλη καταχώρησαν συνολικά µόνο 1844 επίσηµες καταγγελίες αδικηµάτων που διαπράχθηκαν κατά των συστηµάτων πληροφοριών και των ηλεκτρονικών δεδοµένων. Αυτό αντιπροσωπεύει εντούτοις το διπλάσιο του αριθµού αδικηµάτων που καταγγέλθηκαν το 1998, όπου µόνο 972 περιπτώσεις καταχωρήθηκαν επισήµως σε αυτά τα επτά κράτη µέλη 10. Επιπλέον, πρόσφατη έρευνα 11 κατέδειξε ότι το 13% των επιχειρήσεων που υπέπεσαν θύµατα οικονοµικού εγκλήµατος προσδιόρισαν ότι ένα από τα αδικήµατα που υπέστησαν ανήκει στην κατηγορία του εγκλήµατος πληροφορικής. Αυτή η έρευνα αποκαλύπτει επίσης την αυξηµένη ανησυχία σε σχέση µε το έγκληµα πληροφορικής, δεδοµένου ότι το 43% των απαντήσεων θεωρεί ότι το έγκληµα πληροφορικής συνιστά µελλοντικό κίνδυνο. Μια άλλη µελέτη κατέληξε στο συµπέρασµα ότι οι hackers και οι ιοί αποτελούν την κύρια απειλή διάπραξης εγκλήµατος πληροφορικής για τους οργανισµούς, µε κύριους δράστες hackers (45%), πρώην υπαλλήλους (13%), οργανωµένο έγκληµα (13%) και τωρινούς υπαλλήλους (11%) 12. Αυτά τα στοιχεία πρέπει να αναµένεται ότι θα συνεχίσουν να αυξάνονται παράλληλα µε την αυξηµένη χρήση των συστηµάτων πληροφοριών και την αυξηµένη διασύνδεση και παράλληλα µε τη µεγαλύτερη προθυµία καταγγελίας των επιθέσεων. Εντούτοις, είναι σαφές ότι πρέπει να ληφθούν επείγοντα µέτρα µε σκοπό να δηµιουργηθεί ένα στατιστικό εργαλείο που να µπορεί να χρησιµοποιηθεί σε όλα τα κράτη µέλη κατά τρόπο ώστε να µπορεί να αξιολογηθεί από ποσοτική και ποιοτική άποψη το έγκληµα πληροφορικής στην Ευρωπαϊκή Ένωση. Το σηµείο εκκίνησης µιας τέτοιας ανάλυσης είναι ο κοινός ορισµός στο επίπεδο της Ευρωπαϊκής Ένωσης των αδικηµάτων που περιλαµβάνουν επιθέσεις κατά των συστηµάτων πληροφοριών Πολιτικό πλαίσιο στην Ευρωπαϊκή Ένωση Στο συγκεκριµένο πλαίσιο, κατά το Ευρωπαϊκό Συµβούλιο της Λισσαβόνας το Μάρτιο 2000, το Ευρωπαϊκό Συµβούλιο τόνισε τη σηµασία που έχει η µετάβαση προς µια ανταγωνιστική, δυναµική και βασιζόµενη στη γνώση οικονοµία και κάλεσε το Συµβούλιο και την Επιτροπή να εκπονήσουν ολοκληρωµένο πρόγραµµα δράσης για µια ηλεκτρονική Ευρώπη (eeurope Action Plan) προκειµένου να αξιοποιηθεί στο µέγιστο αυτή η ευκαιρία. 13 Το πρόγραµµα δράσης που εκπονήθηκε από την Επιτροπή και το Συµβούλιο και εγκρίθηκε από το Το ιταλικό υπουργείο Εσωτερικών δηµοσίευσε πρόσφατα στατιστικές για τις λειτουργικές δραστηριότητές του στον τοµέα του εγκλήµατος πληροφοριών το 1999 και 2000 (βλ. διεύθυνση Το 2000, 98 περιπτώσεις "hacking" διαπιστώθηκαν επισήµως, δηλαδή 4 φορές περισσότερες από το 1999, όπου είχαν καταχωρηθεί επισήµως µόνο 21 περιπτώσεις. Εγγραφο του Συµβουλίου 8123/01 ENFOPOL 38. ιατίθεται στην ιστοσελίδα του Συµβουλίου Εuropean Economic Crime Survey 2001, PricewaterhouseCoopers 2001 ( ) The Cybercrime Survey 2001, Confederation of British Industry (see ) Συµπεράσµατα της προεδρίας, Ευρωπαϊκό Συµβούλιο της Λισσαβόνας της 23ης και 24ης Μαρτίου 2000, διαθέσιµα στην ιστοσελίδα 6

7 Ευρωπαϊκό Συµβούλιο της Φέιρα τον Ιούνιο 2000, περιλαµβάνει ενέργειες που αποβλέπουν στην ενίσχυση της ασφάλειας των δικτύων και προβλέπει την ανάπτυξη συντονισµένης και συνεκτικής προσέγγισης όσον αφορά το έγκληµα πληροφορικής µέχρι τα τέλη του Ως µέρος της συµβολής της σε αυτή την εντολή σχετικά µε το έγκληµα στον κυβερνοχώρο, η Επιτροπή δηµοσίευσε ανακοίνωση µε τον τίτλο " ηµιουργία ασφαλέστερης κοινωνίας της πληροφορίας µε την ενίσχυση της ασφάλειας των υποδοµών πληροφόρησης και την καταπολέµηση του εγκλήµατος πληροφορικής" 14. Προτείνει εξισορροπηµένη προσέγγιση για να αντιµετωπισθούν τα προβλήµατα της εγκληµατικότητας στον κυβερνοχώρο λαµβάνοντας πλήρως υπόψη τη γνώµη όλων των ενδιαφεροµένων µερών, συµπεριλαµβανοµένων των υπηρεσιών επιβολής του νόµου, φορέων παροχής πρόσβασης, φορέων εκµετάλλευσης δικτύων, άλλων βιοµηχανικών οµάδων, ενώσεων καταναλωτών, αρχών επιφορτισµένων µε την προστασία των δεδοµένων και ενώσεων για την προστασία της ιδιωτικής ζωής. Η ανακοίνωση προτείνει ορισµένες νοµοθετικές και µη νοµοθετικές πρωτοβουλίες. Ένα σηµαντικό παράδειγµα συνεχιζόµενης δράσης υπάρχει στο πλαίσιο του Προγράµµατος ΙDA, όπου τα κράτη µέλη και η Επιτροπή εργάζονται ήδη για µια κοινή πολιτική ασφάλειας και εφαρµόζουν ένα ασφαλές δίκτυο για την ανταλλαγή διοικητικών πληροφοριών. Ένα από τα θέµατα κλειδιά που εξετάζονται από την ανακοίνωση είναι η ανάγκη αποτελεσµατικής δράσης για την αντιµετώπιση απειλών κατά της αξιοπιστίας, της ακεραιότητας, της εµπιστευτικότητας και της διαθεσιµότητας των συστηµάτων και δικτύων πληροφοριών. Έχουν γίνει ήδη σηµαντικά επιτεύγµατα στον τοµέα του κοινοτικού δικαίου. Έχουν ήδη θεσπισθεί πολλά νοµοθετικά µέτρα σε κοινοτικό επίπεδο τα οποία έχουν ειδικές επιπτώσεις στην ασφάλεια των δικτύων και πληροφοριών. Η απόφαση πλαίσιο συµπληρώνει αυτά που έχουν ήδη επιτευχθεί στον τοµέα του κοινοτικού δικαίου για την προστασία των συστηµάτων πληροφοριών, όπως η οδηγία 95/46/ΕΚ, η οδηγία 97/66/ΕΚ και η οδηγία 95/84/ΕΚ για τη νοµική προστασία των υπηρεσιών που βασίζονται ή συνίστανται στην παροχή πρόσβασης υπό όρους. Ειδικότερα, το ευρωπαϊκό πλαίσιο τηλεπικοινωνιών και προστασίας των δεδοµένων (οδηγίες 95/46/EΚ και 97/66/EΚ 15 ) περιλαµβάνει διατάξεις οι οποίες επιδιώκουν να εξασφαλίσουν ότι οι φορείς παροχής υπηρεσιών τηλεπικοινωνιών που διατίθενται στο κοινό είναι υποχρεωµένοι να λαµβάνουν τα κατάλληλα τεχνικά και οργανωτικά µέτρα για να εξασφαλίζουν την ασφάλεια και την εµπιστευτικότητα των υπηρεσιών τους και ότι αυτά τα µέτρα οφείλουν να κατοχυρώνουν επίπεδο ασφάλειας αντίστοιχο προς τον κίνδυνο που διατρέχεται. Η πρόληψη και η εκπαίδευση αποτελούν τους πλέον σηµαντικούς και αποτελεσµατικούς τρόπους για την αντιµετώπιση αυτών των προβληµάτων. Η ανακοίνωση τονίζει τη σηµασία της ύπαρξης, ανάπτυξης και αποτελεσµατικής χρήσης τεχνολογιών πρόληψης. Τονίζει ότι είναι απαραίτητο να ευαισθητοποιηθεί το κοινό στους κινδύνους που δηµιουργούνται από το έγκληµα πληροφορικής, να προωθηθούν οι βέλτιστες πρακτικές όσον αφορά την ασφάλεια των τεχνολογιών πληροφόρησης, να προσδιοριστούν αποτελεσµατικά µέσα και διαδικασίες για να καταπολεµηθεί το έγκληµα πληροφορικής, καθώς επίσης να ενθαρρυνθούν τα επιτεύγµατα στον τοµέα των µηχανισµών έγκαιρης προειδοποίησης και διαχείρισης κρίσεων. Το κοινοτικό πρόγραµµα τεχνολογιών της κοινωνίας των πληροφοριών (ΤΚΠ) 16 παρέχει το COM (2000) 890 τελικό ΕΕ L. 281, της , σ , ΕΕ L. 024, της , σ Το πρόγραµµα IST διευθύνεται από την Ευρωπαϊκή Επιτροπή. Αποτελεί τµήµα του πέµπτου προγράµµατος πλαισίου, το οποίο διαρκεί από το 1998 έως το Περισσότερες πληροφορίες στη διεύθυνση 7

8 πλαίσιο για την ανάπτυξη των απαραίτητων ικανοτήτων και τεχνικών για την κατανόηση και επισήµανση των προκλήσεων που αρχίζει να θέτει το έγκληµα πληροφορικής. Πιο πρόσφατα, το Ευρωπαϊκό Συµβούλιο της Στοκχόλµης της 23ης και 24ης Μαρτίου αναγνώρισε την ανάγκη συµπληρωµατικών ενεργειών στον τοµέα της ασφάλειας των δικτύων και πληροφοριών και κατέληξε στο συµπέρασµα ότι "το Συµβούλιο από κοινού µε την Επιτροπή θα θέσει σε εφαρµογή εκτεταµένη στρατηγική στον τοµέα της ασφάλειας των ηλεκτρονικών δικτύων, προβλέποντας µέτρα πρακτικής εφαρµογής. Αυτή η στρατηγική θα πρέπει να είναι εγκαίρως έτοιµη για το Ευρωπαϊκό Συµβούλιο του Γκέτεµποργκ". Η Επιτροπή ανταποκρίθηκε σε αυτό το κάλεσµα µε την ανακοίνωση "Ασφάλεια των δικτύων και των πληροφοριών - πρόταση ευρωπαϊκής πολιτικής" 17. Αυτή η ανακοίνωση αναλύει τα τρέχοντα προβλήµατα όσον αφορά την ασφάλεια των δικτύων και καθορίζει ένα στρατηγικό πλαίσιο δράσης στο συγκεκριµένο τοµέα. Στη συνέχεια ακολούθησε ψήφισµα του Συµβουλίου της 6ης εκεµβρίου 2001 για κοινή προσέγγιση και ειδικές δράσεις στον τοµέα της ασφάλειας δικτύων και πληροφοριών. Αυτές οι πρωτοβουλίες δεν αρκούν από µόνες τους για να δοθούν όλες οι απαραίτητες απαντήσεις σε σοβαρές επιθέσεις κατά των συστηµάτων πληροφοριών. Οι δύο ανακοινώσεις της Επιτροπής αναγνωρίζουν επίσης ότι επείγει να εναρµονισθεί στο εσωτερικό της Ευρωπαϊκής Ένωσης το ποινικό δίκαιο που αφορά τις επιθέσεις κατά των συστηµάτων πληροφοριών. Αυτό αντικατοπτρίζει τα συµπεράσµατα του Ευρωπαϊκού Συµβουλίου του Τάµπερε του Οκτωβρίου , το οποίο ενέγραψε το έγκληµα που χρησιµοποιεί προηγµένες τεχνολογίες σε περιοριστικό κατάλογο τοµέων στους οποίους πρέπει να καταβληθούν προσπάθειες για να επιτευχθεί συµφωνία όσον αφορά κοινούς ορισµούς, ποινικούς χαρακτηρισµούς και κυρώσεις και περιλαµβάνεται επίσης στη σύσταση αριθ. 7της στρατηγικής της Ευρωπαϊκής Ένωσης για την πρόληψη και την καταστολή του οργανωµένου εγκλήµατος για την επόµενη χιλιετία, που εγκρίθηκε από το Συµβούλιο ΕΥ το Μάρτιο του Η παρούσα πρόταση απόφασης πλαισίου αποτελεί εξίσου µέρος του προγράµµατος εργασίας της Επιτροπής για το έτος και του πίνακα αποτελεσµάτων για την εξέταση της προόδου που υλοποιήθηκε µε σκοπό τη δηµιουργία χώρου ελευθερίας, ασφάλειας και δικαιοσύνης, που υποβλήθηκε από την Επιτροπή στις 30 Οκτωβρίου Η ανάγκη προσέγγισης του ποινικού δικαίου των κρατών µελών Στο συγκεκριµένο τοµέα, το ποινικό δίκαιο των κρατών µελών παρουσιάζει νοµικά κενά και σηµαντικές διαφορές που µπορούν να παρεµποδίσουν την καταπολέµηση του οργανωµένου εγκλήµατος και της τροµοκρατίας, καθώς και των σοβαρών επιθέσεων κατά των συστηµάτων πληροφοριών που διαπράττονται από ιδιώτες. Η προσέγγιση των ποινικών δικαίων στον τοµέα του εγκλήµατος που χρησιµοποιεί τις προηγµένες τεχνολογίες θα κατοχυρώσει ότι οι εθνικές νοµοθεσίες είναι επαρκώς εκτενείς ώστε όλες οι µορφές σοβαρών επιθέσεων κατά των συστηµάτων πληροφοριών να µπορούν να αποτελούν το αντικείµενο ποινικών ερευνών χρησιµοποιώντας τις τεχνικές και τις µεθόδους που υπάρχουν στο ποινικό δίκαιο. Οι δράστες αυτών των αδικηµάτων πρέπει να εντοπίζονται, να παραπέµπονται στη δικαιοσύνη και τα δικαστήρια πρέπει να διαθέτουν κατάλληλες και ανάλογες κυρώσεις. Αυτό θα αποτελέσει COM(2001) 298 τελικό, 6Ιουνίου Πρόληψη και έλεγχος του οργανωµένου εγκλήµατος: στρατηγική της Ευρωπαϊκής Ένωσης για την αρχή της νέας χιλιετίας (ΕΕ 2000 C124, ). COM(2001) 628 τελικό,

9 ισχυρό αποτρεπτικό µήνυµα για τους ενδεχόµενους δράστες επιθέσεων κατά των συστηµάτων πληροφοριών. Εξάλλου, τα νοµικά κενά και οι διαφορές µπορούν να εµποδίσουν την αποτελεσµατική αστυνοµική και δικαστική συνεργασία στις περιπτώσεις επιθέσεων κατά των συστηµάτων πληροφοριών. Οι επιθέσεις κατά των συστηµάτων πληροφοριών υπερβαίνουν συχνά από το χαρακτήρα τους τα εθνικά σύνορα και απαιτούν διεθνή αστυνοµική και δικαστική συνεργασία. Η προσέγγιση των νοµοθεσιών θα βελτιώσει αυτή τη συνεργασία εξασφαλίζοντας την εκπλήρωση της αξίωσης του διπλού αξιοποίνου (σύµφωνα µε την οποία µια δραστηριότητα πρέπει να αποτελεί αδίκηµα και στις δύο σχετικές χώρες έτσι ώστε αυτές να µπορούν να παρέχουν αµοιβαία δικαστική συνδροµή στο πλαίσιο ποινικής έρευνας). Θα είναι χρήσιµη στα κράτη µέλη της ΕΕ για να µπορούν να συνεργάζονται µεταξύ τους, καθώς και για την ενίσχυση της συνεργασίας µεταξύ των κρατών µελών της ΕΕ και των τρίτων χωρών (εφόσον έχει συναφθεί η απαραίτητη συµφωνία αµοιβαίας δικαστικής συνδροµής). Υπάρχει επίσης ανάγκη να εφαρµοσθούν τα νοµικά µέσα που υπάρχουν στο επίπεδο της Ευρωπαϊκής Ένωσης. Η απόφαση πλαίσιο για το ευρωπαϊκό ένταλµα σύλληψης 22, το παράρτηµα της σύµβασης Ευρωπόλ 23 και η απόφαση του Συµβουλίου για τη δηµιουργία του Eurojust 24 περιλαµβάνουν αναφορές στο έγκληµα πληροφορικής που πρέπει να προσδιορισθεί επακριβέστερα. Για τους σκοπούς αυτών των µέσων, το έγκληµα πληροφορικής θεωρείται ότι περιλαµβάνει επιθέσεις κατά των συστηµάτων πληροφοριών όπως ορίζεται στην παρούσα απόφαση πλαίσιο, η οποία θα εξασφαλίσει ένα πολύ µεγαλύτερο επίπεδο προσέγγισης των στοιχείων αυτών των αδικηµάτων. Η παρούσα απόφαση πλαίσιο συµπληρώνει επίσης την απόφαση πλαίσιο για την καταπολέµηση της τροµοκρατίας 25, η οποία καλύπτει τροµοκρατικές ενέργειες που προκαλούν εκτεταµένη καταστροφή υποδοµών, συµπεριλαµβανοµένων των συστηµάτων πληροφοριών, θέτουν σε κίνδυνο ανθρώπινες ζωές ή προξενούν σηµαντικές οικονοµικές ζηµίες Πεδίοεφαρµογής και αντικείµενοτης απόφασης πλαισίου Στόχος της παρούσας απόφασης πλαισίου του Συµβουλίου είναι ως εκ τούτου η προσέγγιση του ποινικού δικαίου των κρατών µελών όσον αφορά τις επιθέσεις κατά των συστηµάτων πληροφοριών και η εξασφάλιση της καλύτερης δυνατής αστυνοµικής και δικαστικής συνεργασίας όσον αφορά τα ποινικά αδικήµατα που συνίστανται σε επιθέσεις που κατά των συστηµάτων πληροφοριών. Επιπλέον, η παρούσα πρόταση συµβάλλει στις προσπάθειες της Ευρωπαϊκής Ένωσης για την καταπολέµηση του οργανωµένου εγκλήµατος και της τροµοκρατίας. εν αποτελεί στόχο της να αξιώσει από τα κράτη µέλη να ποινικοποιήσουν ασήµαντες ή κοινότοπες συµπεριφορές. Προκύπτει σαφώς από το άρθρο 47 της συνθήκης για την Ευρωπαϊκή Ένωση ότι η παρούσα απόφαση πλαίσιο δεν θίγει το κοινοτικό δίκαιο. Ιδιαίτερα, δεν επηρεάζει τα δικαιώµατα προστασίας της ιδιωτικής ζωής ή προστασίας των δεδοµένων και τις υποχρεώσεις που προβλέπονται από το κοινοτικό δίκαιο (οδηγίες 95/46 και 97/66, για παράδειγµα). εν αξιώνεται από τα κράτη µέλη να ποινικοποιήσουν παραβάσεις των κανόνων που αφορούν την πρόσβαση σε προσωπικά δεδοµένα ή την αποκάλυψη προσωπικών δεδοµένων, το απόρρητο ΕΕ C...σ. Πράξη του Συµβουλίου της 26ης Ιουλίου 1995 για την κατάρτιση της σύµβασης για την ίδρυση Ευρωπαϊκής Αστυνοµικής Υπηρεσίας (Σύµβαση Ευρωπόλ) ΕΕ C 316, , σ ΕΕ C...σ. ΕΕ C...σ. 9

10 των επικοινωνιών, την ασφάλεια επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα, τις ηλεκτρονικές υπογραφές 26 ή τις παραβιάσεις δικαιωµάτων πνευµατικής ιδιοκτησίας και τελεί υπό την επιφύλαξη της οδηγίας 98/84/ΕΚ για τη νοµική προστασία των υπηρεσιών που βασίζονται ή συνίστανται στην παροχή πρόσβασης υπό όρους 27. Αυτά είναι σηµαντικά ζητήµατα, τα οποία όµως καλύπτονται από το ισχύον κοινοτικό δίκαιο. Οποιαδήποτε προσέγγιση του ποινικού δικαίου στους συγκεκριµένους τοµείς για την επίτευξη κοινοτικών νοµοθετικών στόχων, όπως η προστασία δεδοµένων προσωπικού χαρακτήρα, η αµοιβή των φορέων παροχής υπηρεσιών που χρησιµοποιούν πρόσβαση υπό όρους ή η πνευµατική ιδιοκτησία, πρέπει κατά συνέπεια να εξετάζεται στο πλαίσιο του κοινοτικού δικαίου και όχι σε αυτό του τίτλου VI της ΣΕΕ. Κατά συνέπεια, η παρούσα απόφαση πλαίσιο καλύπτει µόνο τις συµπεριφορές που περιγράφονται στα σηµεία α) έως γ) του τµήµατος 1.1. Οι νοµοθετικές διατάξεις στο επίπεδο της Ευρωπαϊκής Ένωσης πρέπει εξίσου να λαµβάνουν υπόψη την κατάσταση σε άλλα ευρωπαϊκά φόρα. Όσον αφορά την προσέγγιση του ποινικού δικαίου στον τοµέα των επιθέσεων κατά των συστηµάτων πληροφοριών, το προβάδισµα έχει το Συµβούλιο της Ευρώπης. Το Συµβούλιο της Ευρώπης έχει ξεκινήσει να προετοιµάζει µια διεθνή σύµβαση για το έγκληµα πληροφορικής ήδη από το Φεβρουάριο 1997, και η Σύµβαση εγκρίθηκε και κατατέθηκε για υπογραφή το Νοέµβριο Η σύµβαση επιδιώκει να προσεγγίσει σειρά ποινικών αδικηµάτων, συµπεριλαµβανοµένων των αδικηµάτων κατά του απορρήτου, της ακεραιότητας και της διαθεσιµότητας των συστηµάτων και δεδοµένων ηλεκτρονικών υπολογιστών. Η παρούσα απόφαση πλαίσιο τηρεί την προσέγγιση που υιοθετείται στη σύµβαση του Συµβουλίου της Ευρώπης για αυτά τα αδικήµατα. Κατά τις συζητήσεις της οµάδας G8 σχετικά µε το έγκληµα που συνδέεται µε προηγµένες τεχνολογίες, προσδιορίστηκαν δύο κύριες κατηγορίες απειλών. Πρώτον, απειλές που στρέφονται κατά των υποδοµών πληροφορικής και αφορούν ενέργειες αποδιοργάνωσης, αλλοίωσης ή καταστροφής πληροφοριών που βρίσκονται σε ηλεκτρονικούς υπολογιστές και δίκτυα ηλεκτρονικών υπολογιστών ή των ίδιων των υπολογιστών και δικτύων. εύτερον, απειλές µε τη βοήθεια υπολογιστών, συγκεκριµένα δόλιες δραστηριότητες, όπως απάτες, ξέπλυµα χρήµατος, παιδική πορνογραφία, παραβίαση δικαιωµάτων πνευµατικής ιδιοκτησίας και κυκλοφορία ναρκωτικών, που διευκολύνονται µε τη χρήση υπολογιστή. Η παρούσα πρόταση ασχολείται µε την πρώτη κατηγορία απειλών. Η προσέγγιση στο επίπεδο της ΕΕ πρέπει να λαµβάνει υπόψη την κατάσταση στα διεθνή φόρα και να είναι σύµφωνη µε τις ισχύουσες κοινοτικές πολιτικές. Η παρούσα πρόταση επιδιώκει επίσης να επιτύχει µεγαλύτερη προσέγγιση στο εσωτερικό της ΕΕ απ ότι κατέστη δυνατό σε άλλα διεθνή φόρα. 2. ΝΟΜΙΚΗ ΒΑΣΗ Ο στόχος που συνίσταται στη δηµιουργία χώρου ελευθερίας, ασφάλειας και δικαιοσύνης πρέπει να υλοποιηθεί µε την πρόληψη και την καταπολέµηση του εγκλήµατος, οργανωµένου ή µη, περιλαµβανοµένης της τροµοκρατίας, µε πιο στενή συνεργασία µεταξύ των υπηρεσιών επιβολής του νόµου και των δικαστικών αρχών των κρατών µελών και µε την προσέγγιση Οδηγία 1999/93/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου, της 13ης εκεµβρίου 1999, για ένα κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές, ΕΕ L. 13 της ΕΕ L 320, , σ Το κείµενο βρίσκεται στο διαδίκτυο, σε δύο γλώσσες, στα γαλλικά : και στα αγγλικά: 10

11 των ποινικών διατάξεων στα κράτη µέλη. Η παρούσα πρόταση απόφασης πλαισίου επιδιώκει κατά συνέπεια την προσέγγιση των νοµοθετικών και κανονιστικών διατάξεων των κρατών µελών που αφορούν την αστυνοµική και δικαστική συνεργασία στον ποινικό τοµέα. Προβλέπει "ελάχιστους κανόνες σχετικά µε την αντικειµενική υπόσταση των εγκληµατικών πράξεων", σε µεγάλο βαθµό στον τοµέα του οργανωµένου εγκλήµατος και της τροµοκρατίας. Επιδιώκει επίσης να "εξασφαλίσει το συµβιβάσιµο των κανόνων που ισχύουν στα κράτη µέλη" προκειµένου να διευκολύνει και να επιταχύνει τη συνεργασία µεταξύ των δικαστικών αρχών. Η νοµική βάση που ορίζεται στο προοίµιο της πρότασης είναι συνεπώς το άρθρο 29, το άρθρο 30, στοιχείο α), και το άρθρο 34, παράγραφος 2, στοιχείο β), της συνθήκης για την Ευρωπαϊκή Ένωση. Η παρούσα πρόταση δεν θα έχει δηµοσιονοµικές επιπτώσεις στον προϋπολογισµό των Ευρωπαϊκών Κοινοτήτων. 3. Η ΑΠΟΦΑΣΗ ΠΛΑΙΣΙΟ : ΑΡΘΡΑ Άρθρο 1-Πεδίο εφαρµογής και στόχος της απόφασης πλαισίου Αυτό το άρθρο ορίζει ρητά ότι η απόφαση πλαίσιο έχει σαν στόχο την προσέγγιση του ποινικού δικαίου των κρατών µελών στον τοµέα των σοβαρών επιθέσεων κατά των συστηµάτων πληροφοριών, κυρίως τη συµβολή στην καταπολέµηση του οργανωµένου εγκλήµατος και της τροµοκρατίας και, πράττοντας τοιουτοτρόπως, την εξασφάλιση της µέγιστης δυνατής συνεργασίας στον τοµέα των ποινικών αδικηµάτων που έχουν σχέση µε επιθέσεις κατά των συστηµάτων πληροφοριών. Σύµφωνα µε το άρθρο 47 της συνθήκης για την Ευρωπαϊκή Ένωση, η παρούσα απόφαση πλαίσιο δεν θίγει επίσης το κοινοτικό δίκαιο. Πρόκειται ειδικότερα για τα δικαιώµατα προστασίας της ιδιωτικής ζωής και των δεδοµένων και για τις υποχρεώσεις που προβλέπονται από τις οδηγίες 95/46 και 97/66. Η απόφαση πλαίσιο δεν προτίθεται να αξιώσει από τα κράτη µέλη να ποινικοποιήσουν παραβάσεις των κανόνων που αφορούν την πρόσβαση σε προσωπικά δεδοµένα ή την αποκάλυψη προσωπικών δεδοµένων, το απόρρητο επικοινωνιών, την ασφάλεια επεξεργασίας δεδοµένων προσωπικού χαρακτήρα, τις ηλεκτρονικές υπογραφές 29 ή τις παραβιάσεις των δικαιωµάτων πνευµατικής ιδιοκτησίας και τελεί υπό την επιφύλαξη της οδηγίας 98/84/ΕΚ για τη νοµική προστασία των υπηρεσιών που βασίζονται ή συνίστανται στην παροχή πρόσβασης υπό όρους 30. Η παρούσα απόφαση πλαίσιο δεν αξιώνει από τα κράτη µέλη να ποινικοποιήσουν µικρότερης σηµασίας ή κοινότοπες συµπεριφορές. Τα άρθρα 3 και 4 καθορίζουν τα κριτήρια που πρέπει να πληρούνται προκειµένου η πράξη να θεωρείται αξιόποινη. Αυτά τα κριτήρια τηρούν τις δυνατότητες παρέκκλισης και επιφύλαξης που προβλέπονται στο σχέδιο σύµβασης του Συµβουλίου της Ευρώπης σχετικά µε το έγκληµα πληροφορικής. Όλα τα ποινικά αδικήµατα που καλύπτονται από την απόφαση πλαίσιο πρέπει να πρέπει να έχουν διαπραχθεί εκ προθέσεως. Ο όρος "εκ προθέσεως" χρησιµοποιείται ρητά στα άρθρα 3, 4 και 5. Πρέπει να ερµηνευθεί σύµφωνα µε τις κανονικές αρχές ποινικού δικαίου των κρατών µελών που διέπουν την πρόθεση. Τοιουτοτρόπως, η παρούσα απόφαση πλαίσιο δεν αξιώνει την ποινικοποίηση πράξεων όταν υπάρχει βαριά αµέλεια ή απερισκεψία αλλά όχι δόλος. Η πρόθεση παράνοµης πρόσβασης ή παρεµβολής σε συστήµατα πληροφοριών θα µπορούσε εν γένει να θεωρείται επαρκής χωρίς να χρειάζεται να αποδειχθεί ότι η εκ προθέσεως πράξη στρεφόταν κατά ειδικού συστήµατος πληροφοριών Οδηγία 1999/93/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 13ης εκεµβρίου 1999 για ένα κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές, ΕΕ L.13της ΕΕ L 320, , σ

12 Άρθρο 2-Ορισµοί Η προτεινόµενη απόφαση πλαίσιο του Συµβουλίου περιλαµβάνει τους ακόλουθους ορισµούς: (α) (β) (γ) (δ) " ίκτυο ηλεκτρονικών επικοινωνιών". Αυτός ο ορισµός είναι ο ίδιος µε εκείνον που εγκρίθηκε από το Συµβούλιο και το Ευρωπαϊκό Κοινοβούλιο στις 14 Φεβρουαρίου 2002 στην οδηγία σχετικά µε κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες επικοινωνιών 31. Ηλεκτρονικός υπολογιστής. Αυτός ο ορισµός βασίζεται στο άρθρο 1 του σχεδίου σύµβασης για το έγκληµα πληροφορικής του Συµβουλίου της Ευρώπης. Ο ορισµός καλύπτει εξίσου για παράδειγµα τους αυτόνοµους προσωπικούς υπολογιστές, τις προσωπικές ηλεκτρονικές ατζέντες, τους ψηφιακούς αποκωδικοποιητές, τις προσωπικές συσκευές µαγνητοσκόπησης και τα κινητά τηλέφωνα (εφόσον π.χ. διαθέτουν λειτουργίες επεξεργασίας δεδοµένων, π.χ. WAP και τρίτης γενεάς) τα οποία δεν καλύπτονταν µόνο από τον ορισµό των δικτύων ηλεκτρονικών επικοινωνιών. Ηλεκτρονικά δεδοµένα. Αυτός ο ορισµός βασίζεται στον ορισµό των δεδοµένων του ISO 32. εν προτίθεται να καλύψει ενσώµατα αντικείµενα όπως βιβλία. Εντούτοις, καλύπτει ένα βιβλίο που είναι αποθηκευµένο υπό τη µορφή δεδοµένων ηλεκτρονικού υπολογιστή (π.χ. αποθηκευµένο σε ηλεκτρονική µορφή ως δελτίο επεξεργασίας κειµένου) ή έχει µετατραπεί σε ηλεκτρονικά δεδοµένα µέσω σάρωσης. Για το συγκεκριµένο λόγο, ο ορισµός καθιστά σαφές ότι τα ηλεκτρονικά δεδοµένα χρειάζεται να έχουν "δηµιουργηθεί υπό µορφή ή να έχουν λάβει µορφή" που να µπορεί να αποτελέσει το αντικείµενο επεξεργασίας συστήµατος πληροφορικής ή να προκαλέσει λειτουργία συστήµατος πληροφορικής. Σύστηµα πληροφοριών". Ο ορισµός των συστηµάτων πληροφοριών έχει αρχικά ληφθεί από τον ορισµό που υιοθετήθηκε από τον ΟΟΣΑ το 1992 στις κατευθυντήριες για την ασφάλεια των συστηµάτων πληροφοριών και από προηγούµενους ορισµούς που κάνουν αναφορά στα δίκτυα ηλεκτρονικών επικοινωνιών, στους ηλεκτρονικούς υπολογιστές και στα ηλεκτρονικά δεδοµένα. Αυτοί οι όροι έχουν επίσης χρησιµοποιηθεί σε προηγούµενες πράξεις κοινοτικού δικαίου, όπως η απόφαση του Συµβουλίου, της 31ης Μαρτίου 1992, "στον τοµέα της ασφάλειας των συστηµάτων πληροφοριών" και της σύστασης του Συµβουλίου, της 7ης Απριλίου 1995, "για κοινά κριτήρια ασφάλειας της τεχνολογίας πληροφοριών". Πρέπει να είναι τεχνολογικά ουδέτερα και να αντικατοπτρίζουν µε ακρίβεια την ιδέα διασυνδεδεµένων δικτύων και συστηµάτων που περιέχουν δεδοµένα. Καλύπτει το υλικό και το λογισµικό του συστήµατος, όχι όµως το περιεχόµενο της ίδιας της πληροφορίας. Καλύπτει επίσης τα αυτόνοµα συστήµατα. Η Επιτροπή θεωρεί ότι είναι ευκταίο να επεκταθεί η προστασία που χορηγείται από το ποινικό δίκαιο στους αυτόνοµους υπολογιστές και να µην περιορίζεται στα διασυνδεδεµένα δίκτυα. (ε) Νοµικό πρόσωπο. Πρόκειται για τυποποιηµένο ορισµό προηγούµενων αποφάσεων πλαισίων του Συµβουλίου Για το τελικό κείµενο βλέπε Ο ιεθνής Οργανισµός Τυποποίησης (ISO) είναι παγκόσµια συνοµοσπονδία εθνικών οργανισµών τυποποίησης στην οποία συµµετέχουν περίπου 100 χώρες. 12

13 (στ) Εξουσιοδοτηµένο άτοµο". Πρόκειται για κάθε άτοµο το οποίο έχει το δικαίωµα, συµβατικά ή εκ του νόµου, ή τη νόµιµη άδεια, να χρησιµοποιεί, να διαχειρίζεται, να ελέγχει, να πραγµατοποιεί νόµιµες επιστηµονικές έρευνες ή να εκµεταλλεύεται κατ άλλο τρόπο σύστηµα πληροφοριών και το οποίο δρα σύµφωνα µε αυτό το δικαίωµα ή αυτήν την άδεια. Συµπεριλαµβάνει άτοµα που δρουν σύµφωνα µε νόµιµη συναίνεση άλλου ατόµου στο οποίο έχει δοθεί ρητή εξουσιοδότηση. Είναι ιδιαίτερα σηµαντικό να µην διώκονται ποινικά οι ακόλουθες κατηγορίες ατόµων και νόµιµων δραστηριοτήτων (εντός των ορίων των δικαιωµάτων, αδειών και αρµοδιοτήτων των ατόµων και σύµφωνα µε τους κοινοτικούς κανόνες που διέπουν την προστασία των δεδοµένων και το απόρρητο των επικοινωνιών) όταν η παρούσα απόφαση πλαίσιο µεταφερθεί στο εθνικό δίκαιο: πράξεις συνηθισµένων χρηστών, ιδιωτών ή εταιριών, συµπεριλαµβανοµένης της χρήσης εκ µέρους τους κρυπτοθέτησης για την προστασία των δικών τους επικοινωνιών και δεδοµένων αντίστροφη ανάλυση, εντός των ορίων που προβλέπονται από την οδηγία 91/250 της 14ης Μαίου 1991 "για τη νοµική προστασία των προγραµµάτων ηλεκτρονικών υπολογιστών" 33 πράξεις διαχειριστών, ελεγκτών και φορέων δικτύων και συστηµάτων πράξεις προσώπων εξουσιοδοτηµένων για τον έλεγχο συστήµατος, είτε στο εσωτερικό επιχείρησης είτε ατόµων που έχουν διορισθεί εξωτερικά και τους έχει δοθεί η άδεια να ελέγξουν την ασφάλεια συστήµατος νόµιµη επιστηµονική έρευνα. (ζ) Χωρίς δικαίωµα". Αυτή η έννοια είναι ευρεία και αφήνει ορισµένη ευελιξία στα κράτη µέλη για να καθορίσουν επακριβώς το αδίκηµα. Εντούτοις, προκειµένου να διευκολυνθεί η εφαρµογή της απόφασης πλαισίου του Συµβουλίου στο πλαίσιο των εθνικών νοµοθεσιών, η Επιτροπή κρίνει απαραίτητο να προσδιοριστεί ότι ορισµένες δραστηριότητες δεν πρέπει να αποτελούν αδίκηµα. εν είναι δυνατόν και πιθανόν ούτε ευκταίο, να καταρτισθεί πλήρης και περιοριστικός κατάλογος εξαιρέσεων στο επίπεδο της Ευρωπαϊκής Ένωσης. Η φράση "χωρίς δικαίωµα" συµπληρώνει τους προηγούµενους ορισµούς κατά τρόπο ώστε να αποκλείονται οι συµπεριφορές εξουσιοδοτηµένων ατόµων. Αποκλείεται επίσης οποιαδήποτε άλλη συµπεριφορά αναγνωριζόµενη ως νόµιµη σύµφωνα µε το εθνικό δίκαιο, συµπεριλαµβανοµένης της καθιερωµένης νοµικής υπεράσπισης και άλλων ειδών εξουσίας που αναγνωρίζονται στο εθνικό δίκαιο. Άρθρο 3-Επίθεση µέσω παράνοµης πρόσβασης σε συστήµατα πληροφοριών Αυτό το αδίκηµα καλύπτει την παράνοµη πρόσβαση σε συστήµατα πληροφοριών. Αυτό περιλαµβάνει την έννοια της πειρατείας ενός συστήµατος πληροφοριών. Τα κράτη µέλη είναι ελεύθερα να αποκλείσουν της µικρότερης σηµασίας η κοινότοπες περιπτώσεις από το πεδίο της ποινικής πρόβλεψης µεταφέροντας την απόφαση πλαίσιο στο εθνικό δίκαιο. Το αδίκηµα πρέπει να στοιχειοθετείται στο εθνικό δίκαιο των κρατών µελών µόνο στο µέτρο που διαπράττεται : 33 ΕΕ L 122, σ

14 (i) κατά οποιουδήποτε τµήµατος ενός συστήµατος πληροφοριών το οποίο υπόκειται σε ειδικά µέτρα προστασίας ή (ii) (iii) µε σκοπό να προξενήσει ζηµία σε φυσικό ή νοµικό πρόσωπο ή µε σκοπό την αποκόµιση οικονοµικού οφέλους. Η Επιτροπή δεν επιθυµεί να υποτιµήσει τη σηµασία που προσδίδει στη χρήση αποτελεσµατικών τεχνικών µέτρων για την προστασία των συστηµάτων πληροφοριών. Είναι εντούτοις ατυχές το γεγονός ότι µεγάλο µέρος των χρηστών εκτίθεται σε επιθέσεις χωρίς να διαθέτουν ανάλογη τεχνική προστασία (ή ακόµη χωρίς καµία προστασία). Προκειµένου να αποτρέψει τις επιθέσεις κατά αυτών των χρηστών, το ποινικό δίκαιο πρέπει να καλύψει την µη εξουσιοδοτηµένη πρόσβαση στα συστήµατά τους ακόµη και αν αυτά τα συστήµατα δεν διαθέτουν κατάλληλη τεχνική προστασία. Για αυτό το λόγο, και υπό τον όρο ότι υπάρχει είτε πρόθεση πρόκλησης ζηµίας είτε πρόθεση αποκόµισης οικονοµικού οφέλους δεν υπάρχει αξίωση να αποδειχθεί ότι χρειάσθηκε να ξεπεραστούν µέτρα ασφαλείας προκειµένου να διαπραχθεί το αδίκηµα. Άρθρο 4-Παράνοµη παρεµβολή σε συστήµατα πληροφοριών Αυτό το αδίκηµα καλύπτει την εκ προθέσεως, χωρίς δικαίωµα, διάπραξη µιας εκ των κάτωθι πράξεων : (α) τη σοβαρή παρεµπόδιση ή διακοπή, χωρίς δικαίωµα, της λειτουργίας συστήµατος πληροφοριών µε την εισαγωγή, µετάδοση, ζηµία, διαγραφή, φθορά, αλλοίωση ή απόκρυψη ηλεκτρονικών δεδοµένων. Τα στοιχεία της εισαγωγής ή µετάδοσης ηλεκτρονικών δεδοµένων αφορούν ειδικά το πρόβληµα των επιθέσεων τύπου άρνησης παροχής υπηρεσιών που συνίσταται στην σκόπιµη απόπειρα κατακλυσµού ενός συστήµατος πληροφοριών. Το αδίκηµα καλύπτει επίσης την "διακοπή" της λειτουργίας ενός συστήµατος πληροφοριών που θα µπορούσε να συµπεραίνεται από τον όρο "παρεµπόδιση", αλλά η οποία αναφέρεται ρητά για λόγους σαφήνειας. Τα άλλα στοιχεία του αδικήµατος (ζηµία, διαγραφή, φθορά, αλλοίωση ή απόκρυψη ηλεκτρονικών δεδοµένων) αφορούν ειδικά το πρόβληµα των ιών και άλλα είδη επιθέσεων που στοχεύουν στην παρεµπόδιση των λειτουργιών του συστήµατος πληροφοριών ή και στη διακοπή τους. (β) την διαγραφή, φθορά, αλλοίωση, κατάργηση ηλεκτρονικών δεδοµένων ή τον αποκλεισµό πρόσβασης σε δεδοµένα ενός συστήµατος πληροφοριών όταν αυτό γίνεται µε πρόθεση να προκληθεί ζηµία σε φυσικό ή νοµικό πρόσωπο. Αυτό καλύπτει τις επιθέσεις µέσω ιών που αφορούν το περιεχόµενο (ή ηλεκτρονικά δεδοµένα) του συστήµατος πληροφοριών, καθώς και τη φθορά ιστοθέσεων. Το στοιχείο α) περιλαµβάνει τους όρους "σοβαρή παρεµπόδιση ή διακοπή" ως στοιχείο της αντικειµενικής υπόστασης του αδικήµατος προκειµένου να περιγράψουν τα αποτελέσµατα µιας τέτοιας επίθεσης. Η έννοια του όρου "σοβαρή παρεµπόδιση" δεν προσδιορίζεται, επειδή η παρεµπόδιση µπορεί να λαµβάνει διάφορες µορφές και το επίπεδό της µπορεί να ποικίλει ανάλογα µε το είδος της επίθεσης και τις τεχνικές δυνατότητες του προσβαλλόµενου συστήµατος πληροφοριών. Κάθε κράτος µέλος καθορίζει για λογαριασµό του τα κριτήρια που πρέπει να πληρούνται ώστε ένα σύστηµα πληροφοριών να θεωρείται ότι "παρεµποδίζεται σοβαρά". Εντούτοις, οι µικρότερης σηµασίας διαταράξεις ή αποδιοργανώσεις της λειτουργίας των υπηρεσιών δεν πρέπει να θεωρούνται ότι πληρούν το στοιχείο της σοβαρότητας. 14

15 Όπως ορίζεται ανωτέρω, τα κράτη µέλη µπορούν να αποκλείσουν τις µικρότερης σηµασίας ή κοινότοπες περιπτώσεις από το πεδίο εφαρµογής του αδικήµατος κατά τη µεταφορά της παρούσας απόφασης πλαισίου στο εθνικό δίκαιο. Άρθρο 5- Υποκίνηση, συνδροµή, συνεργία και απόπειρα Το άρθρο 5, παράγραφος 1, επιβάλλει την υποχρέωση στα κράτη µέλη να εξασφαλίζουν ότι η εκ προθέσεως υποκίνηση, συνδροµή ή συνεργία στα αδικήµατα κατά των συστηµάτων πληροφοριών που περιγράφονται στα άρθρα 3 και 4 τιµωρείται. Το άρθρο 5, παράγραφος 2, αφορά ειδικότερα την απόπειρα. υνάµει αυτής της διάταξης, τα κράτη µέλη είναι υποχρεωµένα να εξασφαλίζουν ότι η απόπειρα διάπραξης ενός εκ των αδικηµάτων κατά των συστηµάτων πληροφοριών που περιγράφονται στα άρθρα 3 και 4 τιµωρείται. Άρθρο 6 Ποινές Η παράγραφος 1 αξιώνει από τα κράτη µέλη να λαµβάνουν τα απαραίτητα µέτρα ώστε τα αδικήµατα που ορίζονται 3 έως 5 να τιµωρούνται µε αποτελεσµατικές, ανάλογες και αποτρεπτικές ποινές 34. υνάµει αυτής της παραγράφου, τα κράτη µέλη οφείλουν να προβλέπουν ανάλογες προς τη σοβαρότητα του αδικήµατος ποινές, συµπεριλαµβανοµένων ποινών στερητικών της ελευθερίας, µε µέγιστη διάρκεια φυλάκισης άνω του ενός έτους στις σοβαρές περιπτώσεις. Οι σοβαρές περιπτώσεις θεωρείται ότι δεν περιλαµβάνουν περιπτώσεις κατά τις οποίες η συµπεριφορά δεν επιφέρει ζηµία ή οικονοµικό όφελος. Το ανώτατο όριο τουλάχιστον ενός έτους της ποινής φυλάκισης σε σοβαρές περιπτώσεις υπάγει αυτά τα αδικήµατα στο πεδίο εφαρµογής του ευρωπαϊκού εντάλµατος σύλληψης καθώς και άλλων νοµικών µέσων όπως η απόφαση πλαίσιο του Συµβουλίου της 26ης Ιουνίου για το ξέπλυµα χρηµάτων, τον προσδιορισµό, την ανίχνευση, το πάγωµα, την κατάσχεση και δήµευση των µέσων και προϊόντων του εγκλήµατος. Λαµβάνοντας υπόψη το χαρακτήρα όλων των αποφάσεων πλαισίων που δεσµεύουν τα κράτη µέλη ως προς το επιδιωκόµενο αποτέλεσµα αφήνοντάς τους το περιθώριο επιλογής της µορφής και των µέσων, τα κράτη µέλη διατηρούν ορισµένο βαθµό ευελιξίας για να προσαρµόσουν τις νοµοθεσίες τους σε αυτούς τους κανόνες και να καθορίσουν το βαθµό αυστηρότητας των εφαρµοστέων ποινών, εντός των ορίων που ορίζονται από την απόφαση πλαίσιο και κυρίως των επιβαρυντικών περιστάσεων του άρθρου 7. Η Επιτροπή τονίζει ότι εναπόκειται στα κράτη µέλη να ορίσουν τα κριτήρια για τον καθορισµό της βαρύτητας του αδικήµατος, στη βάση των αντίστοιχων νοµικών συστηµάτων τους. Οι κυρώσεις δεν πρέπει απαραιτήτως να συνίστανται σε ποινές στερητικές της ελευθερίας. Η παράγραφος 2 προβλέπει τη δυνατότητα των κρατών µελών να επιβάλουν πρόστιµα ως παρεπόµενη ή εναλλακτική ποινή, σύµφωνα µε τις σχετικές παραδόσεις και τα νοµικά συστήµατά τους. 34 Η φράση λαµβάνεται από την απόφαση του Ευρωπαϊκού ικαστηρίου της 21ης Σεπτεµβρίου 1989 στην υπόθεση 68/88 [1989] Συλλογή ΕΕ L 182, , σ.1 15

16 Άρθρο 7-Επιβαρυντικές περιστάσεις Αυτό το άρθρο προβλέπει ότι τα κράτη µέλη επιβάλλουν µεγαλύτερες ποινές από αυτές που ορίζονται στο άρθρο 6 υπό ορισµένες συνθήκες. Η Επιτροπή τονίζει ότι ο κατάλογος των επιβαρυντικών περιστάσεων που προβλέπεται από το συγκεκριµένο άρθρο τελεί υπό την επιφύλαξη οποιασδήποτε άλλης περίστασης θεωρείται επιβαρυντική από τη νοµοθεσία του συγκεκριµένου κράτους µέλους. Ο κατάλογος λαµβάνει υπόψη τις επιβαρυντικές περιστάσεις που αναφέρονται στις εθνικές διατάξεις των κρατών µελών όπως προβλέπονται σε προηγούµενες προτάσεις αποφάσεων πλαισίων της Επιτροπής. Εφόσον εκπληρώνεται ένας από τους ακόλουθους όρους που αναφέρονται στην παράγραφο 1, η µέγιστη ποινή φυλάκισης δεν µπορεί να είναι κατώτερη των τεσσάρων ετών: (α) (β) (γ) το αδίκηµα έχει διαπραχθεί στο πλαίσιο εγκληµατικής οργάνωσης, όπως ορίζεται από την κοινή δράση 98/733 ΕΥ, ανεξάρτητα από την προβλεπόµενη σε αυτήν ποινή το αδίκηµα έχει σαν αποτέλεσµα ή συνεπακόλουθο σηµαντικές άµεσες ή έµµεσες οικονοµικές ζηµίες, σωµατικές βλάβες σε φυσικό πρόσωπο ή σηµαντικές ζηµίες σε τµήµα των ζωτικής σηµασίας υποδοµών του κράτους µέλους ή το αδίκηµα απέφερε σηµαντικά οικονοµικά οφέλη. Τα κράτη µέλη πρέπει επίσης να εξασφαλίζουν ότι τα αδικήµατα που αναφέρονται στα άρθρα 3, 4 και 5 τιµωρούνται µε στερητικές της ελευθερίας ποινές µεγαλύτερες εκείνων που προβλέπονται σύµφωνα µε το άρθρο 6, όταν ο δράστης έχει καταδικασθεί µε τελεσίδικη απόφαση για παρόµοιο αδίκηµα σε κάποιο κράτος µέλος. Άρθρο 8-Ιδιαίτερες περιστάσεις Αυτό το άρθρο προβλέπει περιστάσεις λόγω των οποίων το κράτος µέλος µπορεί να αποφασίσει µείωση των ποινών που ορίζονται στα άρθρα 6 και 7 όταν οι αρµόδιες δικαστικές αρχές θεωρούν ότι ο δράστης του αδικήµατος προξένησε ζηµίες ήσσονος σηµασίας. Άρθρο 9-Ευθύνη νοµικών προσώπων Σύµφωνα µε την προσέγγιση που ακολουθείται σε ορισµένα νοµικά µέσα που εγκρίνονται στο επίπεδο της ΕΕ για την καταπολέµηση διαφόρων ειδών εγκλήµατος, είναι εξίσου απαραίτητο να καλυφθεί η κατάσταση κατά την οποία νοµικά πρόσωπα ενέχονται στις επιθέσεις κατά των συστηµάτων πληροφοριών. Κατά συνέπεια, το άρθρο 9 περιλαµβάνει διατάξεις που επιτρέπουν να θεωρηθεί νοµικό πρόσωπο υπεύθυνο για τα αδικήµατα που αναφέρονται στα άρθρα 3, 4 και 5, που διαπράττονται για λογαριασµό του από άτοµο που δρα είτε ατοµικά είτε ως µέλος οργάνου του νοµικού προσώπου, το οποίο κατέχει διευθυντική θέση στο εσωτερικό του νοµικού προσώπου. Με τον όρο "ευθύνη" νοείται τόσο η ποινική όσο και η αστική ευθύνη. Εξάλλου, σύµφωνα µε συνήθη πρακτική, η παράγραφος 2 ορίζει ότι κάποιο νοµικό πρόσωπο µπορεί εξίσου να θεωρείται υπεύθυνο όταν η απουσία εποπτείας ή ελέγχου εκ µέρους ατόµου που µπορεί να ασκήσει τέτοιο έλεγχο κατέστησε εφικτή τη διάπραξη των αδικηµάτων για λογαριασµό του συγκεκριµένου νοµικού προσώπου. Η παράγραφος 3 ορίζει ότι η έναρξη δίωξης κατά νοµικού προσώπου δεν αποκλείει τη δυνατότητα παράλληλης δίωξης κατά φυσικού προσώπου. 16