RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

Transcrição

1 COMISSÃO EUROPEIA Bruxelas, COM(2017) 474 final RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO que avalia a forma como os Estados-Membros tomaram as medidas necessárias para dar cumprimento à Diretiva 2013/40/UE relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho PT PT

2 Índice 1. Introdução Objetivos e âmbito de aplicação da diretiva Finalidade e metodologia do relatório Medidas de transposição Definições jurídicas (artigo 2.º da diretiva)... 6 a) Sistema de informação... 6 b) Dados informáticos... 6 c) Pessoa coletiva... 7 d) Não autorizado Infrações penais específicas (artigos 3.º a 7.º da diretiva)... 7 a) Acesso ilegal a sistemas de informação... 7 b) Interferência ilegal no sistema... 7 c) Interferência ilegal nos dados... 8 d) Interceção ilegal... 8 e) Instrumentos utilizados para cometer infrações Regras gerais aplicáveis às infrações em causa (artigos 8.º a 12.º da diretiva)... 9 a) Instigação e cumplicidade... 9 b) Tentativa... 9 c) Sanções... 9 d) Responsabilidade das pessoas coletivas e) Sanções aplicáveis às pessoas coletivas f) Competência Questões operacionais (artigos 13.º a 14.º da diretiva) a) Disposição relativa aos pontos de contacto operacionais nacionais b) Informação sobre os pontos de contacto operacionais nacionais estabelecidos c) Canais de comunicação d) Recolha de dados estatísticos e) Comunicação dos dados estatísticos à Comissão Conclusão e próximas etapas

3 1. Introdução Segundo a Avaliação da Ameaça da Criminalidade Organizada Dinamizada pela Internet (iocta) de 2016, efetuada pela Europol, a cibercriminalidade está a tornar-se cada vez mais agressiva e provocatória, o que pode ser observado em várias formas de cibercriminalidade, nomeadamente os ataques contra os sistemas de informação 1. A utilização de software maligno e engenharia social, para se infiltrar e controlar um sistema de informação ou para intercetar comunicações, e o lançamento de ataques a redes em larga escala, inclusive em infraestruturas críticas, constituem algumas das formas graves de ataques mencionadas pela Europol. Os referidos ataques são identificados como grandes ameaças para a nossa sociedade. Atendendo ao facto de que há cada vez mais informações a serem armazenadas em nuvem e de que tanto as informações como os criminosos gozam atualmente de uma elevada mobilidade, a cooperação transfronteiriça entre as autoridades de aplicação da lei passou a ser fundamental para a maior parte das investigações da cibercriminalidade. A fim de combater eficazmente estes crimes, é necessário que os Estados-Membros definam em conjunto quais os atos que devem ser considerados ataques contra os sistemas de informação. É igualmente necessário que disponham de níveis aproximados de sanções e de meios operacionais para comunicar infrações e proceder à troca de informações entre autoridades. Como tal, em 12 de agosto de 2013, o Parlamento Europeu e o Conselho adotaram a Diretiva 2013/40/UE (doravante a «diretiva») relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho Objetivos e âmbito de aplicação da diretiva A diretiva tem como objetivos aproximar o direito penal dos Estados-Membros 3 no domínio dos ataques contra os sistemas de informação e melhorar a cooperação entre as autoridades competentes. Para o efeito, foram estabelecidas regras mínimas relativas à definição de infrações penais e as sanções aplicáveis no domínio dos ataques contra os sistemas de informação, bem como foram impostos pontos de contacto operacionais disponíveis 24 horas por dia e sete dias por semana. Quanto à definição de termos pertinentes, a diretiva faz referência a: um «sistema de informação» no artigo 2.º, alínea a) 4. A definição é semelhante à definição de «sistema informático» enunciada no artigo 1.º, alínea a), da Convenção do Conselho da Europa sobre a Criminalidade Informática, de 23 de novembro de 1 Europol, Avaliação da Ameaça da Criminalidade Organizada Dinamizada pela Internet (iocta) de 2016, disponível para consulta em: Doravante e salvo indicação expressa em contrário, as expressões «Estados-Membros» ou «todos os Estados- Membros» remetem para os Estados-Membros vinculados à diretiva, ou seja, todos os Estados-Membros da UE, à exceção da Dinamarca, que não participou na adoção da diretiva, em conformidade com o disposto nos artigos 1.º e 2.º do Protocolo relativo à posição da Dinamarca, anexo ao Tratado da União Europeia (TUE) e ao Tratado sobre o Funcionamento da União Europeia (TFUE). Nos termos do disposto no artigo 3.º do Protocolo n.º 21, relativo à posição do Reino Unido e da Irlanda, ambos os países participaram na adoção da diretiva e estão vinculados pela mesma. 4 Todos os artigos mencionados referem-se aos artigos da diretiva, salvo indicação em contrário. 3

4 2001 (a «Convenção de Budapeste»), excetuando o facto de que a diretiva abrange ainda expressamente os próprios dados informáticos; «dados informáticos» no artigo 2.º, alínea b). A presente definição inspira-se na definição constante do artigo 1.º, alínea b), da Convenção de Budapeste, fazendo antes alusão a um sistema de informação em vez de um sistema informático; uma «pessoa coletiva» no artigo 2.º, alínea c). Esta definição visa assegurar a responsabilidade tanto das pessoas singulares como das pessoas coletivas, embora tenham ficado excluídos os Estados, os organismos públicos ou as organizações internacionais de direito público; «não autorizado» no artigo 2, alínea d). Esta definição remete para um princípio geral do direito penal e tem por objetivo evitar a imputação de responsabilidade penal a uma pessoa que aja nas condições previstas na lei nacional ou com o consentimento do proprietário ou de outro titular dos direitos do sistema ou de parte dele. As infrações penais específicas são objeto de definição, mais concretamente: o acesso ilegal a sistemas de informação propriamente dito (artigo 3.º); a interferência ilegal no sistema (artigo 4.º), que contempla qualquer acesso ilegal aos sistemas de informação que impeça ou interrompa gravemente o seu funcionamento; a interferência ilegal nos dados (artigo 5.º), que remete para quaisquer interferências ilícitas nos dados informáticos, comprometendo a sua integridade ou disponibilidade; a interceção ilegal (artigo 6.º) de transmissões não públicas de dados informáticos e emissões eletromagnéticas de um sistema de informação que comporte esses dados; a disponibilização ilegal de instrumentos utilizados para cometer as infrações mencionadas (artigo 7.º). No contexto em apreço, os referidos instrumentos podem consistir num programa informático, numa senha ou em quaisquer outros dados que permitam o acesso a um sistema de informação. Acresce que a diretiva estende a responsabilidade penal à instigação e à cumplicidade das pessoas singulares e/ou coletivas na prática e na tentativa da prática de uma das infrações anteriormente mencionadas (artigo 8.º). Enquanto a instigação e a cumplicidade compreendem todas as infrações previstas nos artigos 3.º a 7.º, a tentativa refere-se apenas aos artigos 4.º e 5.º. No artigo 9.º estão previstos níveis mínimos de sanções máximas aplicáveis às infrações enunciadas na diretiva: como base de referência, é instituída uma pena máxima de prisão não inferior a dois anos aplicável a todas as infrações, salvo as infrações nos termos do artigo 8.º (artigo 9.º, n.º 2); é aplicável uma pena máxima de prisão não inferior a três anos às infrações previstas nos artigos 4.º e 5.º, caso afetem um número significativo de sistemas de informação (geralmente denominadas «infrações "botnet"» (artigo 9.º, n.º 3); deve ser aplicada uma pena máxima de prisão não inferior a cinco anos às infrações previstas nos artigos 4.º e 5.º cometidas por uma organização criminosa (artigo 9.º, n.º 4, alínea a)) que causem danos graves (artigo 9.º, n.º 4, alínea b)) ou cometidas contra um sistema de informação que constitua uma infraestrutura crítica (artigo 9.º, n.º 4, alínea c)); sempre que as infrações previstas nos artigos 4.º e 5.º sejam cometidas no contexto da utilização abusiva de dados pessoais de outra pessoa, os Estados-Membros devem 4

5 assegurar que tal possa ser considerado uma circunstância agravante, salvo se tal circunstância já estiver abrangida por outra infração (artigo 9.º, n.º 5). Os artigos seguintes estabelecem condições mínimas de responsabilidade das pessoas coletivas (artigo 10.º) e fornecem uma lista de exemplos com eventuais sanções aplicáveis às mesmas (artigo 11.º). Reconhecendo que as infrações referidas acima podem ser cometidas (na aceção de «executadas») num local onde o autor da infração efetivamente atua, embora os seus efeitos no sistema de informação visado possam ocorrer em qualquer outro local, o artigo 12.º prevê obrigações tendentes a determinar a competência, estabelecendo uma distinção entre: o local onde o autor da infração está fisicamente presente quando pratica a infração; a localização do sistema de informação visado; a nacionalidade do autor da infração; a sua residência habitual; e o local de estabelecimento de uma pessoa coletiva em benefício da qual é cometida a infração. No que concerne à troca de informações, o artigo 13, n.º 1, estabelece que os Estados- Membros devem assegurar a existência de pontos de contacto operacionais nacionais disponíveis 24 horas por dia e sete dias por semana, de modo que possam dar resposta a quaisquer pedidos de assistência urgentes no prazo máximo de oito horas. Além disso, os Estados-Membros devem tomar as medidas necessárias para facilitar a comunicação das infrações anteriormente referidas às autoridades nacionais competentes (artigo 13.º, n.º 3) e para recolher e partilhar uma quantidade mínima de dados estatísticos sobre essas infrações (artigo 14.º). 1.2 Finalidade e metodologia do relatório De acordo com o artigo 16.º, a diretiva prevê que os Estados-Membros ponham em vigor as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à mesma até 4 de setembro de 2015, e comuniquem à Comissão esse facto. O presente relatório dá resposta ao requisito constante do artigo 17.º da diretiva, segundo o qual a Comissão deve apresentar ao Parlamento Europeu e ao Conselho um relatório destinado a avaliar em que medida os Estados-Membros tomaram as medidas necessárias para dar cumprimento à mesma. O relatório pretende, por conseguinte, apresentar uma panorâmica concisa mas informativa das principais medidas de transposição adotadas pelos Estados- Membros. A transposição por parte dos Estados-Membros envolveu a recolha de informações sobre as medidas legislativas e administrativas relevantes, a análise dessas informações, a elaboração de nova legislação ou, na maior parte dos casos, a alteração de atos existentes, o acompanhamento de todo o processo até à adoção e, por último, a comunicação à Comissão. Até à data de transposição, 22 Estados-Membros comunicaram à Comissão que tinham concluído plenamente a transposição da diretiva. Em novembro de 2015, a Comissão instaurou processos por infração contra os restantes cinco Estados-Membros por não 5

6 comunicação das medidas nacionais de transposição: BE, BG, EL, IE e SI 5. Em 31 de maio de 2017, continuavam pendentes os processos por infração por não comunicação das medidas nacionais de transposição contra BE, BG e IE 6. A descrição e a análise do presente relatório baseiam-se nas informações que os Estados- Membros forneceram até 31 de maio de As notificações recebidas após esta data não foram tomadas em consideração. Todas as medidas notificadas referentes às legislações nacionais foram tomadas em consideração, bem como as decisões judiciais e, sempre que adequado, a doutrina comum. Ademais, no decurso da análise, a Comissão contactou diretamente os Estados-Membros, sempre que foi necessário e adequado, para obter informações ou esclarecimentos adicionais. Todas as informações recolhidas foram tomadas em consideração para efeitos da análise. Além das questões identificadas no presente relatório, poderão surgir outros obstáculos à transposição, outras disposições não comunicadas à Comissão ou futuros desenvolvimentos legislativos e não legislativos. Por conseguinte, o presente relatório não impede a Comissão de prosseguir a avaliação de algumas disposições e de continuar a apoiar os Estados-Membros na transposição e aplicação da diretiva. 2. Medidas de transposição 2.1 Definições jurídicas (artigo 2.º da diretiva) O artigo 2.º da diretiva estabelece as definições jurídicas de «sistema de informação» (alínea a)), «dados informáticos» (alínea b)), «pessoa coletiva» (alínea c)) e «não autorizado» (alínea d)). Só CY e UK (Gibraltar) aprovaram legislação que abrange todos os aspetos das definições acima enumeradas. Especificamente, destaca-se o seguinte: a) Sistema de informação A definição da diretiva assenta na definição do termo «sistema informático» enunciado no artigo 1.º, alínea a), da Convenção de Budapeste, aditando os próprios dados informáticos como parte integrante do sistema de informação. CY, EL, IE, FI, HR, MT, PT e UK (Gibraltar) aprovaram disposições legislativas contendo a definição de um sistema de informação, ao passo que as informações fornecidas por DE, ES, FR, LU, LV, PL, SE e SK não se revelaram conclusivas. Quanto aos restantes Estados-Membros, ou seja, AT, BE, BG, CZ, EE, HU, IT, LT, NL, RO, SI e UK (com exceção de Gibraltar), as respetivas definições jurídicas não fazem menção específica aos «dados informáticos». Tal implica uma referência ao artigo 1.º, alínea a), da Convenção de Budapeste com um âmbito idêntico à definição de um sistema informático. b) Dados informáticos O termo «dados informáticos» encontra-se previsto na legislação de AT, BG, CY, CZ, DE, EE, EL IE, FI, HR, LT, MT, NL, PT, RO e UK (Gibraltar), ao passo que as informações fornecidas por ES, FR, IT, LU, LV, PL, SE, SK e UK (com exceção de Gibraltar) não se 5 No presente documento, os Estados-Membros são designados pelas suas siglas, em conformidade com: 6 As decisões da Comissão relativas a processos por infração por não comunicação podem ser consultadas em: 7 Em 31 de maio de 2017, a Irlanda comunicou a transposição integral da diretiva. 6

7 revelaram conclusivas. No entanto, no caso da SE, a configuração específica dos referidos artigos torna redundante a definição. No que tange aos restantes Estados-Membros, a HU só faz referência à definição de dados informáticos no caso das infrações descritas nos artigos 4.º e 5.º da diretiva, ao passo que a BE e a SI não incluíram na definição de «dados informáticos» a menção a um «programa que permite que um sistema de informação execute uma dada função». c) Pessoa coletiva Exceto no caso do LU, que não prestou quaisquer informações conclusivas sobre a transposição do artigo 2.º, alínea c), a transposição da definição de «pessoa coletiva» avançou sem quaisquer problemas. Esta situação deve-se, regra geral, ao facto de a referida definição já estar consagrada, sobretudo, nas disposições do direito civil ou do direito comercial dos Estados-Membros. Só CY incluiu uma disposição específica nas medidas adotadas para transpor a diretiva. d) Não autorizado Relativamente à definição do termo «não autorizado» constante do artigo 2.º, alínea d), somente CY, IE, RO e UK (Gibraltar) comunicaram a sua transposição, restando 23 Estados- Membros sem quaisquer medidas de transposição desta definição. Não obstante, importa ressaltar que em todos os Estados-Membros existe o princípio geral de não imputar responsabilidade penal a quaisquer ações caso as mesmas sejam realizadas com consentimento. 2.2 Infrações penais específicas (artigos 3.º a 7.º da diretiva) a) Acesso ilegal a sistemas de informação No que respeita ao acesso ilegal a um sistema de informação, o artigo 3.º da diretiva encontrase contemplado na legislação nacional de AT, CY, CZ, EL, ES, IE, FI, FR, LT, LU, NL, PL, PT, SE e SK. Quanto a todos os restantes Estados-Membros, ou seja, BE, BG, DE, EE, HR, HU, IT, LV, MT, RO, SI e UK, a respetiva descrição nacional de infração penal não difere entre a obtenção de acesso à totalidade ou a apenas a parte de um sistema de informação, embora esta situação esteja expressamente prevista na diretiva. Além disso, a transposição da DE não inclui o mero acesso ao hardware informático, bem como a AT e o LU preveem requisitos adicionais respeitantes a uma intenção especial (intenção de obter conhecimento, infligir desvantagens ou intenção fraudulenta) e a LV prevê requisitos adicionais relativos à provocação de danos substanciais. No caso de BE, BG, FR, HR, LU, MT, PT, RO, SI e UK, o âmbito das disposições nacionais é mais lato do que a diretiva, uma vez que as referidas disposições não impõem que se tenha de contornar quaisquer medidas de seguranças para a determinação da responsabilidade penal. Os restantes Estados-Membros referem literalmente o facto de a infração ser cometida em violação de uma medida de segurança (CY, EL e SK) ou recorrem a uma terminologia semelhante para descrever esse aspeto (AT, CZ, DE, EE, ES, FI, HU, IT; LT, LV, NL, PL e SE). b) Interferência ilegal no sistema O artigo 4.º da diretiva refere-se à interferência ilegal no sistema. A diretiva enumera oito possíveis atos (introduzindo dados informáticos, transmitindo, danificando, apagando, deteriorando, alterando ou suprimindo esses dados, ou tornando-os inacessíveis) e dois possíveis resultados do ato correspondente (impedir ou interromper gravemente o funcionamento de um sistema de informação). A BE, CY, CZ, EL, IE, FR, HR, LU, MT, PT, SE e UK (com exceção de Gibraltar) aprovaram medidas legislativas correspondentes. A BG 7

8 faz somente referência à introdução de um vírus, enquanto os demais Estados-Membros (AT, DE, EE, ES, HU, IT, LV, NL, PL, RO, SI, SK e UK) não mencionam especificamente um ou até quatro dos possíveis atos. Neste contexto, constata-se que a maioria das questões surgiu com os termos «deteriorando» (omisso em oito casos) e «tornando-os inacessíveis» (omisso em nove casos). c) Interferência ilegal nos dados O artigo 5.º da diretiva abrange a interferência ilegal nos dados e enumera os seis possíveis atos que se seguem: apagar, danificar, deteriorar, alterar ou suprimir dados, ou torná-los inacessíveis. CY, EL, IE e MT transpuseram literalmente a disposição em causa; a BE, CZ, LT, PT e SE utilizaram termos mais genéricos para abranger todos os possíveis atos. As medidas de transposição de todos os outros Estados-Membros não cobrem cada uma das possibilidades, mas, em vez disso, referem apenas cinco alternativas (FI e SK) ou menos (AT, BG, DE, EE, FR, HR, HU, IT, LU, NL, PL, RO, SI e UK). A maioria das questões surgiu com os termos «danificar» (omisso 8 vezes), «deteriorar» (13 vezes), «suprimir dados» (11 vezes) e «os tornar inacessíveis» (13 vezes). Além da redação da diretiva e para fins de imputação de responsabilidade penal, a FI exige a «intenção de causar danos ou perdas financeiras», ao passo que a LT e a LV impõem o «ato de incorrer em sérios danos ou substanciais prejuízos». d) Interceção ilegal O artigo 6.º diz respeito à interceção ilegal e visa as transmissões não públicas de dados informáticos e as emissões eletromagnéticas de um sistema de informação que comporte esses dados. CY, CZ, DE, ES, IE, FI, HR, LV, MT, RO, SE, SK e UK (Gibraltar) aprovaram legislação que cobre integralmente o disposto no artigo 6.º. O âmbito geral da diretiva no que respeita à interceção de dados informáticos restringe-se a mensagens (AT e BG), à observação de uma pessoa (EE) ou à correspondência (FR e HU). Acresce que as medidas de transposição dos seguintes Estados-Membros não abrangem a interceção de emissões eletromagnéticas: BE, BG, EE, FR, HU, IT, LT, LU, NL, PL, PT, SI e UK (com exceção de Gibraltar). Mais ainda, alguns Estados-Membros impõem uma intenção especial (tal como obter conhecimentos ou vantagens económicas, ou ocasionar prejuízos ver AT, EL, HU) ou atos adicionais específicos (tais como gravar ou tomar conhecimento do conteúdo intercetado ver BG e HU). e) Instrumentos utilizados para cometer infrações O artigo 7.º criminaliza uma série de atos relativos aos instrumentos, como programas informáticos ou códigos de acesso, destinados à prática de uma das infrações previstas nos artigos 3.º a 6.º: a produção de tais instrumentos, a sua venda, aquisição para utilização, importação, distribuição ou qualquer outra forma de disponibilização. A AT, BE, CY, DE, EL, IE e SK aprovaram legislação nacional correspondente. Alguns Estados-Membros não cobrem a totalidade das infrações referidas (EE, IT, MT, PL e SI). Outros não fazem referência ao autor enunciado no artigo 7.º enquanto pessoa distinta do autor das infrações mencionadas nos artigos 3.º a 6.º (CZ e SI). Outros impõem uma intenção específica (de causar danos ou agir de forma fraudulenta ver FI, IT e LU), um resultado específico como a violação da confidencialidade (BG) ou, pelo menos, um grau de preparação das infrações referidas (SE). Por último, são detetadas discrepâncias entre o artigo 7.º e as medidas nacionais devido à não transposição de todos os possíveis atos enumerados, o que é o caso, nomeadamente, de BG, CZ, EE, ES, FR, HR, HU, IT, LT, LU, LV, PL, PT, RO, SI e UK. De entre esses Estados-Membros, a legislação do LU menciona especificamente cinco dos seis atos possíveis enumerados na diretiva, ao passo que os outros Estados-Membros só referem expressamente quatro ou menos atos. 8

9 Somente a ES transpôs a alternativa de aquisição para utilização. 2.3 Regras gerais aplicáveis às infrações em causa (artigos 8.º a 12.º da diretiva) a) Instigação e cumplicidade O artigo 8.º, n.º 1, obriga os Estados-Membros a assegurarem que a instigação e a cumplicidade na prática de uma infração prevista nos artigos 3.º a 7.º sejam puníveis como infrações penais. Todos os Estados-Membros transpuseram esta disposição. b) Tentativa Nos termos do artigo 8.º, n.º 2, a tentativa da prática de uma das infrações previstas nos artigos 4.º e 5.º tem de ser punível como infração penal. Enquanto PT não abrange todos os tipos de tentativas da prática de uma das infrações previstas no artigo 4.º e a SE revela a inexistência de responsabilidade penal aplicável à tentativa da prática da infração respeitante à «violação da confidencialidade das comunicações», todos os outros Estados-Membros dispõem de legislação que transpõe esta disposição. c) Sanções aa) Disposições gerais O artigo 9.º, n.º 1, impõe aos Estados-Membros, em geral, que prevejam sanções penais efetivas, proporcionadas e dissuasivas aplicáveis às infrações abrangidas pela diretiva. Embora esta disposição seja assumida por praticamente todos os Estados-Membros, a AT, BE, BG, IT, PT, SE e SI não cumprem, em todos os casos, os níveis mínimos das sanções máximas estabelecidas no artigo 9.º, n.º 2 (ver secção 1.1 supra). Esta situação afeta a transposição do artigo 9.º, n.º 1, uma vez que se pode inferir que os requisitos mínimos constantes do artigo 9.º, n.º 2, constituem o nível mínimo para pressupor uma sanção penal efetiva, proporcionada e dissuasiva. bb) Nível mínimo geral da sanção máxima Nos termos do artigo 9.º, n.º 2, o nível mínimo da sanção máxima aplicável às infrações de base previstas nos artigos 3.º a 7.º consiste numa pena máxima de prisão não inferior a dois anos. A maior parte dos Estados-Membros dá cumprimento a esta disposição. Apenas seis Estados-Membros revelam algumas discrepâncias: AT (pena máxima de seis meses de prisão), BG (pena máxima de um ano de prisão aplicável a todas as infrações, com exceção da interceção ilegal), IT (pena máxima de um ano de prisão aplicável à infração prevista no artigo 7.º, alínea b)), PT (pena máxima de um ano de prisão aplicável à infração prevista no artigo 3.º), SE (pena máxima de um ano de prisão aplicável à infração por «prática de danos») e SI (pena máxima de um ano de prisão aplicável às infrações previstas nos artigos 3.º, 6.º e 7.º). No caso da BE, o nível mínimo da sanção máxima prevista nos artigos 3.º, 6.º e 7.º só é alcançado quando as infrações são cometidas com uma intenção fraudulenta. cc) Um número significativo de sistemas de informação afetados O artigo 9.º, n.º 3, elevou o nível mínimo das sanções máximas para uma pena máxima de prisão não inferior a três anos quando um número significativo de sistemas de informação é afetado por uma infração prevista nos artigos 4.º e 5.º. De um modo geral, os Estados- Membros aprovaram legislação correspondente, a DE faz apenas menção aos sistemas de informação «que se revestem de considerável importância para outro», a FI exige a avaliação da infração «na sua globalidade», para aplicar uma pena mais elevada, e a LV não faz referência a um número significativo de sistemas de informação (ou uma formulação 9

10 semelhante), mas só refere a provocação de «danos substanciais». As informações fornecidas pela BG e pela SI não se revelaram conclusivas. dd) Organizações criminosas Nos termos do artigo 9.º, n.º 4, alínea a), é aplicável uma pena máxima de prisão não inferior a cinco anos às infrações previstas nos artigos 4.º e 5.º quando cometidas no âmbito de uma organização criminosa, na aceção da Decisão-Quadro 2008/841/JAI. Uma vez mais, a maior parte dos Estados-Membros dá cumprimento ao disposto no artigo 9, n.º 4, alínea a). Ao abrigo do direito penal do LU e da SI, as disposições atinentes a uma infração cometida por uma organização criminosa não incluem a cibercriminalidade. A legislação da BE prevê a aplicação de uma pena máxima só de três anos de prisão às infrações previstas no artigo 5.º, a legislação da DE não abrange as pessoas singulares enquanto vítimas das infrações, a legislação da FI impõe uma avaliação adicional da infração «na sua globalidade» e a legislação da SE prevê a aplicação de uma pena máxima de quatro anos de prisão por «provocar danos graves». ee) Danos graves causados O artigo 9, n.º 4, alínea b), fixa uma pena máxima de prisão não inferior a cinco anos aplicável a quaisquer infrações previstas nos artigos 4.º e 5.º caso sejam causados danos graves. Embora não haja nenhuma definição do que deve ser considerado «dano grave», todos os Estados-Membros, com exceção de BG, DE, FI, HU, LU e SE, aprovaram legislação correspondente à diretiva. As informações fornecidas pela HU não se revelaram conclusivas. A BG não atinge o nível mínimo de cinco anos da sanção máxima, enquanto o LU faz alusão a uma cláusula penal geral aplicável às infrações que causem danos graves, não abrangendo a cibercriminalidade. Verifica-se a existência de pequenas discrepâncias nos casos da DE (as pessoas singulares enquanto vítimas de infrações não estão abrangidas), FI (a sanção mais elevada impõe uma avaliação adicional da infração «na sua globalidade») e SE (pena máxima de 4 anos de prisão aplicável a «provocar danos graves»). ff) Sistemas de informação que constituam infraestruturas críticas A implicação de sistemas de informação que constituam infraestruturas críticas nas infrações previstas nos artigos 4.º e 5.º traduz-se igualmente numa pena máxima de prisão não inferior a cinco anos, tal como enunciado no artigo 9, n.º 4, alínea c). Enquanto a maior parte dos Estados-Membros dá cumprimento a esta disposição, a BG não comunicou quaisquer informações específicas relativas à transposição. A BE fixou uma pena máxima de três anos de prisão aplicável às infrações previstas no artigo 5.º. A DE não abrange as pessoas singulares enquanto vítimas. A FI impõe uma avaliação adicional da infração «na sua globalidade», a IT impõe que a infração cause efetivamente «destruição», PT impõe a ocorrência de um ataque «grave e duradouro» e não menciona o artigo 5.º, e a SE cumpre os requisitos da diretiva apenas no que diz respeito à infração de «sabotagem grave». gg) Usurpação de identidade e outras infrações relacionadas com a identidade O artigo 9.º, n.º 5, estabelece que os Estados-Membros devem assegurar que, caso as infrações previstas nos artigos 4.º e 5.º sejam cometidas mediante a utilização abusiva de dados pessoais de outra pessoa com o objetivo de conquistar a confiança de terceiros, causando, assim, danos ao legítimo titular da identidade, tal possa ser considerado uma circunstância agravante, salvo se tal circunstância já estiver abrangida por outra infração. A considerável margem de discricionariedade redundou num vasto âmbito de medidas de transposição entre os Estados-Membros. A BE e a EL não comunicaram quaisquer medidas de transposição e a legislação penal da CZ não contém nenhuma disposição específica neste 10

11 domínio. A AT, CY, ES, IE, MT, PT e SE (este último Estado-Membro refere-se à circunstância de «planeamento especial») optaram pela abordagem de agravamento, ao passo que todos os outros Estados-Membros fazem menção a disposições suplementares aplicáveis à infração penal específica. Entre os Estados-Membros que fazem menção a disposições específicas, registam-se problemas de transposição, conforme descrito a seguir: a BG e os NL impõem uma intenção especial («obter uma vantagem» e «o objetivo de disfarçar ou usurpar a identidade»), a DE refere apenas os «dados pessoais que não sejam de acesso geral», a FR menciona apenas o nome da pessoa e nenhum outro dado pessoal, a LV impõe a exigência de «dano substancial» causado, a RO abrange apenas a utilização de «um documento» e impõe a prática de fraude. d) Responsabilidade das pessoas coletivas aa) Em geral O artigo 10.º, n.º 1, prevê o estabelecimento da responsabilidade das pessoas coletivas pelas infrações previstas nos artigos 3.º a 8.º caso o autor disponha de poder de representação da pessoa coletiva (alínea a)), de poderes para tomar decisões em nome da pessoa coletiva (alínea b)) ou de poderes para exercer controlo dentro da pessoa coletiva (alínea c)). Todos os Estados-Membros aprovaram legislação correspondente a este artigo, registando-se apenas as seguintes questões menores: a BG não consagra a infração prevista no artigo 6.º e a HR não faz referência ao autor com poderes para exercer controlo dentro da pessoa coletiva (artigo 10.º, n.º 1, alínea c)). bb) Em caso de falta de supervisão ou de controlo O artigo 10.º, n.º 2, exige que os Estados-Membros introduzam a responsabilidade das pessoas coletivas sempre que uma das infrações previstas nos artigos 3.º a 8.º tenha sido possibilitada pela falta de supervisão ou de controlo por parte de uma das pessoas referidas no artigo 10.º, n.º 1. Embora quase todos os Estados-Membros deem cumprimento a esta disposição, as informações fornecidas pelo LU não se revelaram conclusivas e a BG não faz qualquer referência à prática de uma infração abrangida pelo artigo 6.º. e) Sanções aplicáveis às pessoas coletivas aa) Sanções obrigatórias O artigo 11.º, n.º 1, da diretiva impõe aos Estados-Membros que prevejam multas ou coimas enquanto sanções efetivas, proporcionadas e dissuasivas aplicáveis às pessoas coletivas. Todos os Estados-Membros comunicaram as medidas nacionais em cumprimento do que precede, com exceção da IE e do UK. Nestes dois países, o montante máximo das eventuais multas ou coimas continua por definir devido à inexistência de disposições legislativas concretas. Assim sendo, tanto a eficácia como a proporcionalidade e o caráter dissuasivo das respetivas multas ou coimas não poderão ser objeto de avaliação. bb) Sanções opcionais O artigo 11.º, n.º 1, prossegue com uma lista de eventuais opções em matéria de sanções adicionais aplicáveis às pessoas coletivas. A saber: a exclusão do direito a benefícios ou auxílios públicos (escolhida por CY, CZ, EL, ES, HR, HU, LU, MT, PL, PT e SK), a proibição temporária ou permanente de exercer atividades comerciais (AT, BE, CY, CZ, EL, ES FR, HR, HU, IT, LT, LV, MT, PL, PT, RO, SE, SI e SK), a colocação sob vigilância judicial (CY, ES, FR, MT, PT e RO), a liquidação judicial (CY, CZ, EL, ES, FR, HR, HU,LT, LU, LV, MT, PT, RO, SI e SK) e o encerramento temporário ou definitivo dos estabelecimentos utilizados para a prática da infração (BE, CY, WS, FR, LT, MT, PT e RO). Fica a restar a BG, DE, EE, IE, FI, NL e UK, que não escolheram nenhuma das referidas opções. 11

12 cc) Sanções aplicáveis em caso de omissão Nos termos do artigo 11.º, n.º 2, os Estados-Membros devem assegurar a aplicação de sanções efetivas, proporcionadas e dissuasivas às pessoas coletivas consideradas responsáveis pelas infrações por omissão, a que se refere o artigo 10.º, n.º 2. As informações fornecidas pelo LU não se revelaram conclusivas. Todos os outros Estados-Membros, com exceção da IE e do UK, preveem disposições legislativas correspondentes. Nos casos da IE e do UK, coloca-se a mesma questão em relação ao artigo 11.º, n.º 1: (ver subalínea aa) supra). f) Competência aa) Critérios de competência O artigo 12.º, n. os 2 e 3, da diretiva exige aos Estados-Membros que determinem a sua própria competência relativamente às infrações previstas nos artigos 3.º a 8.º caso a infração tenha sido cometida total ou parcialmente no seu território seja quando o autor se encontrava fisicamente presente no seu território no momento de cometer a infração ou seja quando o sistema de informação afetado estava situado no território do Estado-Membro ou caso a infração tenha sido cometida no estrangeiro por um dos nacionais do Estado-Membro. A maior parte dos Estados-Membros aprovou legislação nacional correspondente. No entanto, a legislação da IT não determina a sua própria competência relativamente aos seus nacionais no estrangeiro no caso de infrações de base, as legislações da LV e da SI fazem referência a disposições pouco claras no que respeita aos aspetos territoriais, a competência de MT relativamente às infrações cometidas parcialmente no seu território é também pouco clara e o UK faz menção a um sistema informático em vez de um sistema de informação. bb) Outros critérios de competência O artigo 12.º, n.º 3, prevê que os Estados-Membros estabeleçam a sua competência relativamente aos casos em que o autor tenha a sua residência habitual no seu território (opção escolhida por AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE e SK) ou em que a infração tenha sido cometida em benefício de uma pessoa coletiva estabelecida no seu território (CY, CZ, LV, PT, RO e SK), devendo informar a Comissão desse facto. 2.4 Questões operacionais (artigos 13.º a 14.º da diretiva) a) Disposição relativa aos pontos de contacto operacionais nacionais O artigo 13.º, n.º 1, insta os Estados-Membros a criarem pontos de contacto operacionais nacionais para efeitos de troca de informações relativas às infrações previstas nos artigos 3.º a 8.º. Com base nesta disposição, os Estados-Membros devem assegurar a existência de procedimentos que permitam às autoridades competentes dar uma resposta no prazo máximo de oito horas a contar da receção de um pedido de assistência urgente. De acordo com as informações comunicadas, a maior parte dos Estados-Membros criou as infraestruturas necessárias. A IE e a RO mencionaram que os respetivos pontos de contacto só estão disponíveis durante um número limitado de horas por dia, o que não permitirá às autoridades competentes reagir, em todos os casos possíveis, no prazo máximo de oito horas a contar da receção do pedido. Diversos Estados-Membros indicaram que recorrem a redes de pontos de contacto operacionais existentes, criadas através da rede G7 ou ao abrigo da Convenção de Budapeste do Conselho da Europa sobre a cibercriminalidade. b) Informação sobre os pontos de contacto operacionais nacionais estabelecidos Nos termos do artigo 13.º, n.º 2, os Estados-Membros ficam obrigados a apresentar informações de contacto dos respetivos pontos de contacto à Comissão, que, por sua vez, 12

13 transmitirá essa informação aos restantes Estados-Membros. Todos os Estados-Membros apresentaram as informações necessárias. c) Canais de comunicação O artigo 13.º, n.º 3, estabelece que os Estados-Membros devem assegurar a disponibilização de canais de comunicação adequados para facilitar a comunicação das infrações previstas nos artigos 3.º a 6.º às autoridades nacionais competentes. As informações fornecidas pela BG e pela SI não se revelaram conclusivas. Quanto aos restantes Estados-Membros, aparentemente existem diferentes abordagens para pôr em prática os canais de comunicação. A maior parte dos Estados-Membros (BE, BG, CY, CZ, DE, EE, EL, FI, FR, HR, HU, IT, LT, LV, MT, NL, PL, PT, RO, SE, SI, SK e UK) comunicou medidas que preveem a disponibilização de canais para facilitar a comunicação à pessoa ou à organização que denuncia uma infração pela primeira vez, como, por exemplo, uma vítima de um ciberataque (embora os verdadeiros canais de comunicação não tenham ficado esclarecidos por parte da LV). Não obstante, outros Estados-Membros (AT, ES e LU) apresentaram informações idênticas sobre a aplicação do artigo 13.º, n. os 1 e 2, com base nas quais se afigura que as respetivas medidas facilitarão essencialmente a comunicação entre autoridades. d) Recolha de dados estatísticos Em conformidade com o disposto no artigo 14.º, n. os 1 e 2, os Estados-Membros devem assegurar a criação de um sistema de registo, produção e disponibilização de dados estatísticos sobre, pelo menos, o número de infrações previstas nos artigos 3.º a 7.º registado pelos Estados-Membros e o número de pessoas alvo de ação penal e condenadas pelas referidas infrações. Com base nas notificações obtidas, afigura-se que a maior parte dos Estados-Membros adotou medidas, tanto de natureza legislativa como administrativa, destinadas a assegurar a recolha das informações, normalmente através de um sistema eletrónico nacional geral. As informações de alguns Estados-Membros não se revelaram conclusivas [EL, IE, UK (Gibraltar, Irlanda do Norte e Escócia)]. Uma das razões para tal reside no facto de que as informações sobre as infrações específicas, previstas na diretiva, não podem ser recolhidas separadamente (BE, DE e SE) ou as informações recolhidas podem não incluir a totalidade das infrações previstas na diretiva (RO). e) Comunicação dos dados estatísticos à Comissão O artigo 14.º, n.º 3, insta os Estados-Membros a transmitirem à Comissão os respetivos dados estatísticos. Todos os Estados-Membros que comunicaram medidas, com exceção do UK (Gibraltar, Irlanda do Norte e Escócia) e da HU, confirmaram a aplicação de medidas de natureza legislativa ou administrativa, ou de ambas, destinadas a assegurar o cumprimento dessa obrigação. No que toca à EL, ES, LU e SI, as informações prestadas não se revelaram conclusivas. 3. Conclusão e próximas etapas A diretiva conduziu a progressos substanciais no âmbito da criminalização dos ciberataques a um nível comparável em todos os Estados-Membros, o que favorece a cooperação transfronteiriça entre as autoridades de aplicação da lei que investigam este tipo de infrações. Os Estados-Membros alteraram os respetivos códigos penais e demais legislações aplicáveis, aplicaram procedimentos simplificados e criaram ou melhoraram os programas de cooperação. A Comissão reconhece os esforços significativos envidados pelos Estados- Membros para transpor a diretiva. 13

14 Contudo, ainda existe uma margem considerável até que a diretiva atinja todo o seu potencial, isto caso os Estados-Membros aplicassem cabalmente todas as suas disposições. Até à data, a análise sugere que algumas das principais melhorias que os Estados-Membros devem introduzir passam pela utilização de definições (artigo 2.º), que afetam o âmbito das infrações definidas na legislação nacional decorrente da diretiva. Além disso, os Estados-Membros tiveram aparentemente grandes dificuldades em abarcar todas as possibilidades de definição dos atos em relação às infrações (artigos 3.º a 7.º) e em incluir normas comuns em matéria de sanções aplicáveis aos ciberataques (artigo 9.º). Outras questões parecem estar relacionadas com a aplicação de disposições administrativas relativas aos canais de comunicação adequados (artigo 13.º, n.º 3) e ao acompanhamento e estatísticas das infrações previstas na diretiva (artigo 14.º). A Comissão continuará a apoiar os Estados-Membros na respetiva aplicação da diretiva. Tendo em conta o potencial contributo para a cooperação transfronteiriça, a Comissão referese especialmente às disposições operacionais da diretiva relativas à troca de informações (artigo 13.º, n. os 1 e 2), aos canais de comunicação (artigo 13.º, n.º 3) e ao acompanhamento e estatísticas (artigo 14.º). Para o efeito, a Comissão proporcionará aos Estados-Membros novas oportunidades para que identifiquem e procedam à troca de boas práticas no segundo semestre de A Comissão considera que, de momento, não é necessário propor alterações à diretiva. Neste contexto, e para apoiar igualmente os inquéritos penais relativos a ataques contra sistemas de informação, crimes cometidos por via informática e outros tipos de crimes, a Comissão está a estudar medidas para melhorar o acesso transfronteiras a provas eletrónicas no âmbito de inquéritos penais, incluindo propor medidas legislativas no início de A Comissão pondera igualmente o papel da cifragem nas investigações criminais e apresentará um relatório sobre as suas conclusões em outubro de A Comissão está empenhada em velar pela conclusão da transposição em toda a UE e pela correta aplicação das disposições. Tal implica assegurar que as medidas nacionais são conformes com as disposições correspondentes da diretiva. Sempre que necessário, a Comissão utilizará os poderes de execução que lhe são conferidos pelos Tratados através de processos por infração. 8 Avaliação de impacto inicial sobre a melhoria do acesso transfronteiras a provas eletrónicas, de 4 de agosto de 2017, disponível em ec.europa.eu. 9 Comunicação intitulada «Oitavo relatório sobre os progressos alcançados rumo à criação de uma União da Segurança genuína e eficaz» (COM(2017) 354 final). 14