Un sistema de defensa europeo frente a los ciberataques
Junto a los efectos manifiestamente positivos que implica la digitalización de la sociedad en general y de las tecnofinanzas (Fintech) en particular para los mercados financieros y la economía en general, se presentan riesgos evidentes que hay que prevenir mediante las medidas óptimas de ciberseguridad. A este aspectos hemos dedicado una especial atención dentro de este blog. Valga como ejemplo inicial la entrada de 17 de abril de 2017 sobre “FINTECH, ciberseguridad, manipulaciones de dominios de internet, “pishing” y responsabilidad bancaria: Jurisprudencia civil y penal reciente”.
Y, cuando la ciberseguridad falla y se producen los ciberataques, hay que tener predispuesto un sistema de sanciones proporcionadas y disuasorias de los mismos en el aspecto de mayor sensibilidad para sus autores, que no es otro que el de los beneficios económicos que con ellos obtienen.
Por ello, ahora nos parece de especial importancia dar cuenta de dos disposiciones de la UE de enorme transcendencia por cuanto representan actuaciones efectivas y contundentes para prevenir y solventar los ciberataques que amenacen a la propia UE o a sus Estados miembros. Nos referimos a las dos disposiciones siguientes publicadas en el DOUE de 17.5.2019:
El Reglamento (UE) 2019/796 del Consejo de 17 de mayo de 2019 relativo a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros.
La Decisión (PESC) 2019/797 del Consejo de 17 de mayo de 2019 relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros.
Especial referencia a la ciberseguridad y a los ciberataques en el ámbito financiero
Según veremos, este sistema de defensa europeo frente a los ciberataques tiene una especial importancia en el ámbito financiero desde dos puntos de vista:
a) Por sus causas o efectos, ya que veremos como la relevancia de los ciberataques se valorará en función, entre otros factores, de sus efectos significativos en forma de su alcance, escala, repercusión o gravedad de la perturbación ocasionada en las actividades económicas; el importe de las pérdidas económicas ocasionadas, por ejemplo mediante un robo a gran escala de fondos o de recursos económicos.
b) Por las medidas restrictivas que consistirán en la inmovilización de los fondos y recursos económicos de los responsables de los ciberataques.
Los dos elementos básicos que integran el sistema de defensa europeo frente a los ciberataques
Supuesto de hecho: los ciberataques relevantes
En primer lugar, es preciso identificar los ciberataques que amenacen a la Unión o a sus Estados miembros. En este sentido, el Reglamento (UE) 2019/796 se aplica a los ciberataques con un efecto significativo (incluidas las tentativas de ciberataque con un efecto significativo potencial) que constituyan una amenaza externa para la UE o para sus Estados miembros. Este supuesto se integra por los siguientes elementos:
a) En primer lugar, los ciberataques, que se definen como acciones que implican cualesquiera de los siguientes 4 elementos:
a.1) El acceso a sistemas de información; teniendo en cuenta que se define “sistemas de información” como “todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos digitales, así como los datos digitales almacenados, tratados, recuperados o transmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento”.
a.2) La intromisión en sistemas de información; definida como “obstaculización o interrupción del funcionamiento de un sistema de información introduciendo datos digitales, transmitiendo, dañando, borrando, deteriorando, alterando o suprimiendo tales datos, o haciéndolos inaccesibles”.
a.3) La intromisión en datos; definida como “borrado, dañado, deterioro, alteración o supresión de los datos digitales en un sistema de información, o inutilización del acceso a estos datos. También incluirá el robo de datos, fondos, recursos económicos o derechos de propiedad intelectual”.
a.4) La interceptación de datos; definida como “interceptación, por medios técnicos, de transmisiones no públicas de datos digitales hacia, desde o dentro de un sistema de información, incluidas las emisiones electromagnéticas de un sistema de información que contenga dichos datos digitales”.
Estos 4 tipos de acciones se considerarán ciberataques cuando “no estén debidamente autorizadas por el propietario o por otro titular de derechos del sistema o de los datos, o de parte de los mismos, o no estén permitidas por el Derecho de la Unión o de un Estado miembros”.
b) En segundo lugar, los ciberataques serán relevantes siempre que tengan un efecto significativo en función de una serie de factores tales como los siguientes: a) el alcance, la escala, la repercusión o la gravedad de la perturbación ocasionada; incluido en las actividades económicas y sociales, los servicios esenciales, las funciones fundamentales del Estado, el orden público o la seguridad pública; b) el número de personas físicas o jurídicas, entidades u organismos afectados; c) el número de Estados miembros afectados; d) el importe de las pérdidas económicas ocasionadas, por ejemplo mediante un robo a gran escala de fondos, de recursos económicos o de propiedad intelectual; e) los beneficios económicos obtenidos por el infractor, para sí o para otros; f) la cantidad o la naturaleza de los datos sustraídos o la magnitud de las violaciones de datos; o g) la naturaleza de los datos comercialmente sensibles a los que se haya tenido acceso
c) En tercer lugar, los ciberataques serán relevantes siempre que representen una amenaza que se cualifica en dos sentidos o direcciones:
c.1) Primero, por su procedencia del exterior a la UE ya que, entre los ciberataques que constituyen una amenaza externa se incluyen aquellos que: a) se originen, o se cometan, desde el exterior de la Unión; b) utilicen infraestructura fuera de la Unión; c) hayan sido cometidos por una persona física o jurídica, una entidad o un organismo establecidos o que tengan actividad fuera de la Unión; o d) hayan sido cometidos con el apoyo, bajo la dirección o bajo el control de una persona física o jurídica que tenga actividad fuera de la Unión.
c.2) Segundo, por su destino que puede ser triple:
c.2.1) Ciberataques que constituyen una amenaza para los Estados miembros, entre los que se incluyen los que afecten a los sistemas de información relacionados, entre otros aspectos, con: a) las infraestructuras críticas, incluidos los cables submarinos y los objetos lanzados al espacio ultraterrestre, que resulten esenciales para el mantenimiento de funciones vitales de la sociedad, o para la salud, la seguridad, la protección y el bienestar económico o social de las personas; b) los servicios necesarios para el mantenimiento de actividades sociales o económicas esenciales, en particular en los sectores de la energía (electricidad, petróleo y gas); el transporte (aéreo, ferroviario, fluvial o marítimo y por carretera); la actividad bancaria; las infraestructuras de los mercados financieros; el sector sanitario (proveedores de asistencia sanitaria, hospitales y clínicas privadas); el suministro y la distribución de agua potable; las infraestructuras digitales; y cualquier otro sector que resulte esencial para el Estado miembro de que se trate; c) las funciones vitales del Estado, en particular en los ámbitos de la Defensa, la gobernanza y el funcionamiento de las instituciones, incluido en el caso de las elecciones públicas o los procesos electorales, el funcionamiento de las infraestructuras económicas y civiles, la seguridad interior, y las relaciones exteriores, también a través de las misiones diplomáticas; d) el almacenamiento o el tratamiento de información clasificada; o e) los equipos de respuesta de emergencia del Estado.
c.2.2) Ciberataques que constituyen una amenaza para la UE, entre los que se incluyen los cometidos contra sus instituciones, órganos y organismos, sus delegaciones en terceros países o ante organizaciones internacionales, sus operaciones y misiones de la política común de seguridad y defensa (PCSD) y sus representantes especiales.
c.2.3.) Ciberataques que tengan un efecto significativo contra terceros Estados u organizaciones internacionales, cuando se estime necesario para el cumplimiento de los objetivos de la política exterior y de seguridad común (PESC) en las disposiciones pertinentes del artículo 21 del Tratado de la Unión Europea.
Consecuencia jurídica: las medidas restrictivas de inmovilización de los fondos y recursos económicos de los responsables de los ciberataques
El segundo elemento que integra el sistema de defensa europeo frente a los ciberataques reside en identificar las medidas restrictivas frente a aquellos ciberataques respondiendo a las dos preguntas siguientes:
a) ¿Qué alcance objetivo tendrán las medidas restrictivas?
Estas medidas restrictivas consistirán en la inmovilización de todos los fondos y recursos económicos que pertenezcan a cualquier persona física o jurídica, entidad u organismo que figure en el anexo I del Reglamento (UE) 2019/796.
Se establece una gran amplitud de efectos de estas medidas restrictivas desde dos puntos de vista:
a.1) Amplitud conceptual porque:
a.1.1) Se consideran fondos “los activos y beneficios financieros de cualquier naturaleza incluidos en la siguiente relación no exhaustiva: efectivo, cheques, derechos dinerarios, efectos, giros y otros instrumentos de pago; depósitos en entidades financieras u otros entes, saldos en cuentas, deudas y obligaciones de deuda; valores negociables e instrumentos de deuda públicos y privados, tales como acciones y participaciones, certificados de valores, bonos, pagarés, warrants, obligaciones y contratos relacionados con productos financieros derivados; intereses, dividendos u otros ingresos devengados o generados por activos”; etc., etc.
a.1.2) Se considera que es una inmovilización de recursos económicos “toda actuación con la que se pretenda impedir el uso de recursos económicos para obtener fondos, bienes o servicios de cualquier manera, incluidos la venta, el alquiler o la constitución de una hipoteca”.
a.1.3) Se considera que es una inmovilización de fondos “el hecho de impedir cualquier movimiento, transferencia, alteración, utilización, negociación de fondos o acceso a estos, cuyo resultado sea un cambio de volumen, importe, localización, titularidad, posesión, naturaleza o destino de esos fondos, o cualquier otro cambio que permita la utilización de dichos fondos, incluida la gestión de cartera”.
a.2) Amplitud funcional porque dicha inmovilización de fondos: por un lado, se extenderá a todos los fondos y recursos económicos que esas personas físicas o jurídicas, entidades u organismos posean, detengan o controlen; y, por otro lado, no se pondrá a disposición directa ni indirecta de las personas físicas o jurídicas, entidades u organismos ni se utilizará en su beneficio ningún tipo de fondos o recursos económicos.
b) ¿Qué alcance subjetivo tendrán las medidas restrictivas?
También se constata una notable amplitud subjetiva porque el anexo I del Reglamento (UE) 2019/796 incluirá -tal y como estén definidas por el Consejo de conformidad con el artículo 5, apartado 1, de la Decisión (PESC) 2019/797- a los tres grupos de personas siguientes:
b.1) Las personas físicas o jurídicas, entidades u organismos que sean responsables de los ciberataques o intentos de ciberataques.
b.2) Las personas físicas o jurídicas, entidades u organismos que presten ayuda financiera, técnica o material o que estén implicadas de alguna otra forma en ciberataques o tentativas de ciberataque, en particular mediante la planificación, preparación, dirección o fomento de dichos ataques, así como la participación en ellos o la ayuda a su comisión, o la facilitación de su comisión por acción u omisión.
b.3) Las personas físicas o jurídicas, entidades u organismos asociados con las personas físicas o jurídicas, entidades u organismos a que se refieren las letras a) y b) del presente apartado.
Sin perjuicio de la amplitud general señalada de las medidas restrictivas de inmovilización de los fondos y recursos económicos de los responsables de los ciberataques, es lo cierto que los arts.4 y ss. del Reglamento (UE) 2019/796 establecen diferentes excepciones en las que los Estados miembros podrán autorizar la liberación de determinados fondos o recursos económicos.
Desde el punto de vista jurídico tiene una importancia muy especial la exoneración de responsabilidad que contempla el art.10 del Reglamento (UE) 2019/796 cuando establece que “la inmovilización de fondos y recursos económicos o la negativa a facilitarlos, llevadas a cabo de buena fe con la convicción de que dicha acción se atiene al presente Reglamento, no dará origen a ningún tipo de responsabilidad por parte de la persona física o jurídica, entidad u organismo que la ejecute, ni de sus directores o empleados, a menos que se pruebe que los fondos o recursos económicos han sido inmovilizados o retenidos por motivo de negligencia”.
Este Reglamento (UE) 2019/796 entro en vigor el pasado día 18 de mayo de 2018, al igual que la Decisión (PESC) 2019/797 es aplicable desde esa fecha