En esta época tan convulsa en la que, prácticamente, cada semana nos enteremos de algún tipo de ataque que roba datos altamente sensibles o tumba algún servicio, los Estados miembros de la Unión Europea han decidido plantearse algunas medidas para protegerse. Por un lado, la Unión Europea quiere poner en marcha, en el plazo de un año, su propio Cibercomando que sirva de centro de coordinación para los distintos centros de respuesta que los Estados miembros tienen activos. Pero, por otro lado, el Parlamento Europeo tiene sobre su mesa una propuesta con la que disuadir a aquellos que quieran atentar contra sus intereses: imponer sanciones y castigos más severos a los ciberdelincuentes.
Estas nuevas normas, que aún deben tener el visto bueno del Parlamento Europeo, establecería una serie de penas mínimas para los ciberataques contra cualquier sistema de información. De hecho, no sólo se estaría buscando endurecer los castigos para los autores de ciberataques sino que, también, se castigaría el desarollo de herramientas, el establecimiento de redes de bots o la interceptación de comunicaciones y datos. La idea es que un endurecimiento de los castigos combinado con un centro de coordinación y respuesta ante los ciberataques minimicen el efecto de cualquier ataque o, en algunos casos, puedan disuadir a los potenciales atacantes.
El borrador que se maneja distinguiría entre tres tipos de condenas mínimas en base a la severidad y alcance del ataque, recogería lo siguiente:
- En términos generales, la ciberdelincuencia tendría una pena mínima de dos años de prisión
Se impondrían, como mínimo, tres años de prisión, si el ataque se produce contra un "número significativo" de sistemas de información, por ejemplo, utilizando una red de bots
Si el origen del ataque proviniese de un grupo criminal organizado que hubiese provado grandes daños a los sistemas de información de algún país miembro o hubiesen lanzado un ataque contra un sistema crítico, los culpables podrían enfrentarse a una pena mínima de cinco años de prisión.
Pensar en penas de prisión es, posiblemente, la parte más sencilla de todo esto ya que identificar a los culpables, de manera feaciente, es lo más complejo, sobre todo, sin cometer errores que evidencien el sistema. Casos como el del viernes en España con la detención de la "cúpula" de Anonymous son un claro ejemplo de que identificar no es tan fácil como parece y que, endureciendo las penas, se corre un alto riesgo de condenar a "cabezas de turco".
Según la propia UE:
Estas nuevas condiciones agracantes, y sus castigos, nos permiten abordar las nuevas amenazas que plantean los ciberataques a gran escala que, cada vez, son más habituales en Europa y tienen el potencial de dañar gravemente los intereses públicos de los países miembros
