Desde que el 17 de mayo de 2019 el DOUE (L 129 I, pág.13 y ss.) publicó la Decisión (PESC) 2019/797 del Consejo, de 17 de mayo de 2019, relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros han transcurrido dos años en los que han acaecido acontecimientos transcendentales para el desarrollo digital de la economía -esencialmente, la crisis provocada por la pandemia de la COVID 19– que han exigido que el Consejo de la UE haya prorrogado el periodo inicial de aplicación de su Decisión (PESC) 2029/979 -que llegaba al el 18 de mayo de 2022- hasta el 18 de mayo de 2022.
La espiral del riesgo y la resiliencia digitales en Europa
La espiral del riesgo digital puede explicarse apoyándose en la imagen de la estructura helicoidal ascendente de la secuencia del ADN en la que se suceden el mayor uso de las herramientas digitales en la ecomomia y, especialmente, en las finanzas; que incrementa exponencialmente el riesgo digital en forma de estafas (por ejemplo, en el mercado de criptoactivos, de las que nos hemos hecho eco en este blog recientemente) y de ciberataques a las estructuras públicas y privadas (por ejemplo, el hackeo y consiguiente chantaje del sistema de distribución informático de uno de los principales oleoducto privados en los EEUU); que incrementa la inversión (por ejemplo , en este blog el lector podrá encontrar numerosas referencias al crecimiento proyectado de inversiones de los fondos europeos en el sector digital); que incrementarán exponencialmente los riesgos digitales. Basta como ejemplo citar el Acuerdo del Consejo de Ministros de 27 de abril de 2021, por el que aprueba el Plan de Recuperación, Transformación y Resiliencia. publicado por la Resolución de 29 de abril de 2021, de la Subsecretaría (BOE Núm. 103 del viernes 30 de abril de 2021 Sec. I. Pág. 51346 y ss.). que destaca que “el Plan supone además un 39,12 % de inversión verde, y un 29 % de inversión en transformación digital, por encima de los umbrales mínimos establecidos en la normativa europea”.
La espiral del riesgo digital que acabamos de describir tiene como consecuencia inmediata la necesidad de promover y regular la resiliencia operativa digital del sector financiero. Hemos de recordar que el concepto de resiliencia operativa digital como “la capacidad de las empresas de garantizar que pueden soportar todo tipo de perturbaciones y amenazas relacionadas con las tecnologías de la información y de las comunicaciones (TIC)” . En este sentido, el epígrafe 2.4 del Dictamen del Comité Económico y Social Europeo sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero añade que “la dependencia cada vez mayor que presenta el sector financiero respecto de los programas informáticos y los procesos digitales hace que los riesgos relacionados con las TIC sean inherentes a las finanzas. Las empresas financieras se han convertido en blanco de ciberataques, que causan graves daños financieros y de reputación a los consumidores y las empresas. Es preciso comprender y gestionar correctamente estos riesgos, sobre todo en tiempos de tensión” (el lector puede consultar la entrada de este blog del pasado 11 de mayo sobre la “Resiliencia operativa digital del sector financiero y Estrategia de Finanzas Digitales en la UE: Dictámenes del Comité Económico y Social Europeo”).
Por último, debemos advertir que, desde el punto de vista estrictamente jurídico, la a espiral del riesgo digital que hemos descrito se proyecta el incremento constante de la responsabilidad civil de los operadores digitales y el crecimiento paralelo de la necesidad de su cobertura preventiva a costo parcial mediante el seguro de responsabilidad civil (el lector interesado en esta materia puede informarse en nuestros estudios recientes sobre “La responsabilidad civil derivada del uso de la inteligencia artificial y su aseguramiento” publicado en la Revista de la Asociación Española de Abogados Especializados en Responsabilidad Civil y Seguro n.º 76 (2020), pp. 79 a 10 y sobre el “Decálogo de la inteligencia artificial ética y responsable en la Unión Europea” publicado en La Ley Unión Europea n.º 87, Sección Doctrina, y en el Diario La Ley, 30 de diciembre de 2020).
El Consejo de la UE prorroga hasta el 18 de mayo de 2022 la Decisión (PESC) 2029/979
En el DOUE de 18.5.2021 (L 174 I, pág.1 y ss.) se publicó la Decisión (PESC) 2021/796 del Consejo, de 17 de mayo de 2021, por la que se modifica la Decisión (PESC) 2019/797 relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros. La modificación ha afectado a su artículo 10 que queda redactado como sigue:: “La presente Decisión será aplicable hasta el 18 de mayo de 2022 y estará sujeta a revisión continua. Se prorrogará o modificará, según proceda, si el Consejo estima que no se han cumplido sus objetivos”.
Conviene recordar que, cuando la ciberseguridad falla y se producen los ciberataques, hay que tener predispuesto un sistema de sanciones proporcionadas y disuasorias de los mismos en el aspecto de mayor incentivo y sensibilidad para sus autores, que no es otro que el de los beneficios económicos que con ellos obtienen.
Por ello, en su día dimos cuenta en este blog de dos disposiciones de la UE de enorme transcendencia por cuanto representan actuaciones efectivas y contundentes para prevenir y solventar los ciberataques que amenacen a la propia UE o a sus Estados miembros (ver la entrada del 3 de junio de 2019 sobre “Un sistema de defensa europeo frente a los ciberataques”). Nos referimos a las dos disposiciones siguientes publicadas en el DOUE de 17.5.2019:
El Reglamento (UE) 2019/796 del Consejo de 17 de mayo de 2019 relativo a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros.
La Decisión (PESC) 2019/797 del Consejo de 17 de mayo de 2019 relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros.
Ahora, transcurridos dos años y sufriendo la crisis económica causada por la pandemia de la COVID 19, encontramos que el DOUE de 18.5.2021 (L 174 I, pág.1 y ss.) publica la Decisión (PESC) 2021/796 del Consejo, de 17 de mayo de 2021, por la que se modifica la Decisión (PESC) 2019/797. Y ello es una buena oportunidad para recordar cómo se articula el sistema de defensa europeo frente a los ciberataques:
Los dos elementos básicos que integran el sistema de defensa europeo frente a los ciberataques
Supuesto de hecho: los ciberataques relevantes
En primer lugar, es preciso identificar los ciberataques que amenacen a la Unión o a sus Estados miembros. En este sentido, la Decisión (PESC) 2021/796 y el Reglamento (UE) 2019/796 se aplican a los ciberataques con un efecto significativo (incluidas las tentativas de ciberataque con un efecto significativo potencial) que constituyan una amenaza externa para la UE o para sus Estados miembros. Este supuesto se integra por los siguientes elementos:
a) En primer lugar, los ciberataques, que se definen como acciones que implican cualesquiera de los siguientes 4 elementos:
a.1) El acceso a sistemas de información; teniendo en cuenta que se define “sistemas de información” como “todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos digitales, así como los datos digitales almacenados, tratados, recuperados o transmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento”.
a.2) La intromisión en sistemas de información; definida como “obstaculización o interrupción del funcionamiento de un sistema de información introduciendo datos digitales, transmitiendo, dañando, borrando, deteriorando, alterando o suprimiendo tales datos, o haciéndolos inaccesibles”.
a.3) La intromisión en datos; definida como “borrado, dañado, deterioro, alteración o supresión de los datos digitales en un sistema de información, o inutilización del acceso a estos datos. También incluirá el robo de datos, fondos, recursos económicos o derechos de propiedad intelectual”.
a.4) La interceptación de datos; definida como “interceptación, por medios técnicos, de transmisiones no públicas de datos digitales hacia, desde o dentro de un sistema de información, incluidas las emisiones electromagnéticas de un sistema de información que contenga dichos datos digitales”.
Estos 4 tipos de acciones se considerarán ciberataques cuando “no estén debidamente autorizadas por el propietario o por otro titular de derechos del sistema o de los datos, o de parte de los mismos, o no estén permitidas por el Derecho de la Unión o de un Estado miembros”.
b) En segundo lugar, los ciberataques serán relevantes siempre que tengan un efecto significativo en función de una serie de factores tales como los siguientes: a) el alcance, la escala, la repercusión o la gravedad de la perturbación ocasionada; incluido en las actividades económicas y sociales, los servicios esenciales, las funciones fundamentales del Estado, el orden público o la seguridad pública; b) el número de personas físicas o jurídicas, entidades u organismos afectados; c) el número de Estados miembros afectados; d) el importe de las pérdidas económicas ocasionadas, por ejemplo mediante un robo a gran escala de fondos, de recursos económicos o de propiedad intelectual; e) los beneficios económicos obtenidos por el infractor, para sí o para otros; f) la cantidad o la naturaleza de los datos sustraídos o la magnitud de las violaciones de datos; o g) la naturaleza de los datos comercialmente sensibles a los que se haya tenido acceso
c) En tercer lugar, los ciberataques serán relevantes siempre que representen una amenaza que se cualifica en dos sentidos o direcciones:
c.1) Primero, por su procedencia del exterior a la UE ya que, entre los ciberataques que constituyen una amenaza externa se incluyen aquellos que: a) se originen, o se cometan, desde el exterior de la Unión; b) utilicen infraestructura fuera de la Unión; c) hayan sido cometidos por una persona física o jurídica, una entidad o un organismo establecidos o que tengan actividad fuera de la Unión; o d) hayan sido cometidos con el apoyo, bajo la dirección o bajo el control de una persona física o jurídica que tenga actividad fuera de la Unión.
c.2) Segundo, por su destino que puede ser triple:
c.2.1) Ciberataques que constituyen una amenaza para los Estados miembros, entre los que se incluyen los que afecten a los sistemas de información relacionados, entre otros aspectos, con: a) las infraestructuras críticas, incluidos los cables submarinos y los objetos lanzados al espacio ultraterrestre, que resulten esenciales para el mantenimiento de funciones vitales de la sociedad, o para la salud, la seguridad, la protección y el bienestar económico o social de las personas; b) los servicios necesarios para el mantenimiento de actividades sociales o económicas esenciales, en particular en los sectores de la energía (electricidad, petróleo y gas); el transporte (aéreo, ferroviario, fluvial o marítimo y por carretera); la actividad bancaria; las infraestructuras de los mercados financieros; el sector sanitario (proveedores de asistencia sanitaria, hospitales y clínicas privadas); el suministro y la distribución de agua potable; las infraestructuras digitales; y cualquier otro sector que resulte esencial para el Estado miembro de que se trate; c) las funciones vitales del Estado, en particular en los ámbitos de la Defensa, la gobernanza y el funcionamiento de las instituciones, incluido en el caso de las elecciones públicas o los procesos electorales, el funcionamiento de las infraestructuras económicas y civiles, la seguridad interior, y las relaciones exteriores, también a través de las misiones diplomáticas; d) el almacenamiento o el tratamiento de información clasificada; o e) los equipos de respuesta de emergencia del Estado.
c.2.2) Ciberataques que constituyen una amenaza para la UE, entre los que se incluyen los cometidos contra sus instituciones, órganos y organismos, sus delegaciones en terceros países o ante organizaciones internacionales, sus operaciones y misiones de la política común de seguridad y defensa (PCSD) y sus representantes especiales.
c.2.3.) Ciberataques que tengan un efecto significativo contra terceros Estados u organizaciones internacionales, cuando se estime necesario para el cumplimiento de los objetivos de la política exterior y de seguridad común (PESC) en las disposiciones pertinentes del artículo 21 del Tratado de la Unión Europea.
Consecuencia jurídica: las medidas restrictivas de inmovilización de los fondos y recursos económicos de los responsables de los ciberataques
El segundo elemento que integra el sistema de defensa europeo frente a los ciberataques reside en identificar las medidas restrictivas frente a aquellos ciberataques respondiendo a las dos preguntas siguientes:
a) ¿Qué alcance objetivo tendrán las medidas restrictivas?
Estas medidas restrictivas consistirán en la inmovilización de todos los fondos y recursos económicos que pertenezcan a cualquier persona física o jurídica, entidad u organismo que figure en el anexo I de la Decisión (PESC) 2021/796 y del Reglamento (UE) 2019/796.
Se establece una gran amplitud de efectos de estas medidas restrictivas desde dos puntos de vista:
a.1) Amplitud conceptual porque:
a.1.1) Se consideran fondos “los activos y beneficios financieros de cualquier naturaleza incluidos en la siguiente relación no exhaustiva: efectivo, cheques, derechos dinerarios, efectos, giros y otros instrumentos de pago; depósitos en entidades financieras u otros entes, saldos en cuentas, deudas y obligaciones de deuda; valores negociables e instrumentos de deuda públicos y privados, tales como acciones y participaciones, certificados de valores, bonos, pagarés, warrants, obligaciones y contratos relacionados con productos financieros derivados; intereses, dividendos u otros ingresos devengados o generados por activos”; etc., etc.
a.1.2) Se considera que es una inmovilización de recursos económicos “toda actuación con la que se pretenda impedir el uso de recursos económicos para obtener fondos, bienes o servicios de cualquier manera, incluidos la venta, el alquiler o la constitución de una hipoteca”.
a.1.3) Se considera que es una inmovilización de fondos “el hecho de impedir cualquier movimiento, transferencia, alteración, utilización, negociación de fondos o acceso a estos, cuyo resultado sea un cambio de volumen, importe, localización, titularidad, posesión, naturaleza o destino de esos fondos, o cualquier otro cambio que permita la utilización de dichos fondos, incluida la gestión de cartera”.
a.2) Amplitud funcional porque dicha inmovilización de fondos: por un lado, se extenderá a todos los fondos y recursos económicos que esas personas físicas o jurídicas, entidades u organismos posean, detengan o controlen; y, por otro lado, no se pondrá a disposición directa ni indirecta de las personas físicas o jurídicas, entidades u organismos ni se utilizará en su beneficio ningún tipo de fondos o recursos económicos.
b) ¿Qué alcance subjetivo tendrán las medidas restrictivas?
También se constata una notable amplitud subjetiva porque el anexo I de la la Decisión (PESC) 2021/796 y del Reglamento (UE) 2019/796 incluirá -tal y como estén definidas por el Consejo de conformidad con el artículo 5, apartado 1, de la Decisión (PESC) 2019/797- a los tres grupos de personas siguientes:
b.1) Las personas físicas o jurídicas, entidades u organismos que sean responsables de los ciberataques o intentos de ciberataques.
b.2) Las personas físicas o jurídicas, entidades u organismos que presten ayuda financiera, técnica o material o que estén implicadas de alguna otra forma en ciberataques o tentativas de ciberataque, en particular mediante la planificación, preparación, dirección o fomento de dichos ataques, así como la participación en ellos o la ayuda a su comisión, o la facilitación de su comisión por acción u omisión.
b.3) Las personas físicas o jurídicas, entidades u organismos asociados con las personas físicas o jurídicas, entidades u organismos a que se refieren las letras a) y b) del presente apartado.
Sin perjuicio de la amplitud general señalada de las medidas restrictivas de inmovilización de los fondos y recursos económicos de los responsables de los ciberataques, es lo cierto que los arts.4 y ss. del Reglamento (UE) 2019/796 establecen diferentes excepciones en las que los Estados miembros podrán autorizar la liberación de determinados fondos o recursos económicos.
Desde el punto de vista jurídico tiene una importancia muy especial la exoneración de responsabilidad que contempla el art.10 del Reglamento (UE) 2019/796 cuando establece que “la inmovilización de fondos y recursos económicos o la negativa a facilitarlos, llevadas a cabo de buena fe con la convicción de que dicha acción se atiene al presente Reglamento, no dará origen a ningún tipo de responsabilidad por parte de la persona física o jurídica, entidad u organismo que la ejecute, ni de sus directores o empleados, a menos que se pruebe que los fondos o recursos económicos han sido inmovilizados o retenidos por motivo de negligencia”.