Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/04/2012
Deixarà el Parlament Europeu les ferramentes hacking fora de la llei?
El Parlament Europeu ha votat un esbós de proposta per a actualitzar la legislació existent sobre les definicions i les persecucions dels ciberdelictes a l’entorn de la Unió Europea. La proposta ha sigut controvertida i ha fet saltar algunes alarmes en el sector, encara que pareix que la reforma completa no serà tan dura com es preveia en un principi.
Esta proposta ha generat gran controvèrsia, com ja informem des d’ací.
Citant textualment el Parlament Europeu:
Els ciberatacs en els sistemes IT es podrien convertir en delictes punibles, almenys, amb dos anys de presó en tota la UE en virtut d’un projecte de llei que el Comité de Drets Civils va donar suport dimarts passat. La possessió i la distribució de programari pirata i ferramentes també passarà a ser delicte i les empreses serien responsables dels ciberatacs comesos en benefici seu.
Encara que a primera vista este paràgraf aïllat i abreviat sobre les addicions i les esmenes proposades pot paréixer alarmant en alguns aspectes, la legislació en si mateixa (2010/0273(COD) té un aire més raonable.
Dins de l’estil característic de la UE, el document és enrevessat: 33 propostes, 13 de les quals són noves i la resta esmenes. En tot cas, es tracta d’un document molt meditat i amb una base racional. El document apel·la a una harmonització de penes per a delictes informàtics, com també a una harmonització en les definicions sobre allò que exactament constituïx este tipus de delictes al llarg de tot el territori de la Unió. Introduïx l'Europol com a centre d’intel·ligència central per als organismes nacionals d’aplicació de la llei i promou l’intercanvi de pràctiques millors. També reconeix la importància de la infraestructura nacional crítica i emmarca les obligacions legals a les nacions per a l’ús “d’estàndards adequats” de protecció dels sistemes d’informació. Així mateix, assenyala que com més gran és el risc inherent en el compromís d’un sistema, major hauria de ser el pressupost dedicat a la salvaguarda d’este. El document també introduïx un concepte molt democràtic indicant que si l’accés a un sistema està retingut il·legalment, no constituirà cap delicte entrar-hi sense autorització.
Quant a les propostes sobre les ferramentes de pirateria, la legislació actual fa un bon treball modificant i aclarint els termes del document anterior en eixe sentit. Esta nova proposta introduïx el concepte “d’intenció” en el nucli de les clàusules relatives a ferramentes de pirateria informàtica i reconeix molt clarament la naturalesa de doble propòsit de moltes d’estes ferramentes. Per exemple, la simple “possessió” d’estes ferramentes ja no s’ubica a l’abast d’este document (esmena 22) a pesar d’allò que el comunicat de premsa del Parlament diu, i els termes “ús” i “intenció” s’han modificat perquè diga “propòsit clar” i “intenció clara”. Sens dubte, és possible legislar sobre el mal ús de qualsevol ferramenta que tinga la intenció de delinquir, i no hi ha cap diferència en funció de si la ferramenta és física o és digital. La clau d’esta legislació, que no tindrà impacte en el legítim treball dels investigadors de seguretat i de les organitzacions, és la qüestió d’intenció, que crec que queda adequadament coberta en este projecte.
Es pot llegir l’article complet en el blog de Trend Micro.