EURÓPAI BIZOTTSÁG Brüsszel, 2017.9.13. COM(2017) 474 final A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK annak értékeléséről, hogy a tagállamok milyen mértékben tették meg az információs rendszerek elleni támadásokról szóló 2013/40/EU irányelvben foglaltak teljesítéséhez szükséges intézkedéseket, valamint a 2005/222/IB tanácsi kerethatározat felváltásáról HU HU
Tartalomjegyzék 1. Bevezetés... 3 1.1. Az irányelv célja és hatálya... 3 1.2. A jelentés célja és módszere... 5 2. Átültető intézkedések... 6 2.1. Jogi fogalommeghatározások (az irányelv 2. cikke)... 6 a) Információs rendszer... 6 b) Számítógépes adatok... 7 c) Jogi személy... 7 d) Jogosulatlanul... 7 2.2. Különös bűncselekmények (az irányelv 3 7. cikke)... 7 a) Információs rendszerekhez való jogellenes hozzáférés... 7 b) Rendszert érintő jogellenes beavatkozás... 7 c) Adatot érintő jogellenes beavatkozás... 8 d) Jogellenes adatszerzés... 8 e) A bűncselekmények elkövetéséhez használt eszközök... 8 2.3. Az érintett bűncselekményekre vonatkozó általános szabályok (az irányelv 8 12. cikke)... 9 a) Felbujtás és bűnsegély... 9 b) Kísérlet... 9 c) Szankciók... 9 d) A jogi személyek felelőssége... 11 e) A jogi személyekkel szemben alkalmazandó szankciók... 11 f) Joghatóság... 12 2.4. Operatív kérdések (az irányelv 13. és 14. cikke)... 12 a) Az operatív nemzeti kapcsolattartó pontokra vonatkozó rendelkezés... 12 b) A létrehozott operatív nemzeti kapcsolattartó pontokra vonatkozó információk... 12 c) Jelentéstételi csatornák... 12 d) Statisztikai adatgyűjtés... 13 e) A statisztikai adatok Bizottsághoz történő továbbítása... 13 3. Következtetések és következő lépések... 13 2
1. Bevezetés Az internetes szervezett bűnözés általi fenyegetettség Europol általi 2016. évi értékelése (IOCTA) szerint a kiberbűnözés egyre agresszívabb és ellenségesebb. Ez a kiberbűnözés több formájára is jellemző, ideértve az információs rendszerek ellen intézett támadásokat is 1. A támadások Europol által említett súlyos formái közé tartozik a rosszindulatú számítógépes programok használata és a pszichológiai manipuláció annak érdekében, hogy beférkőzzenek az információs rendszerekbe és átvegyék a hatalmat azok fölött, illetve lehallgassák a kommunikációt, valamint a hálózatokat érintő széles körű támadások indítása, ideértve a kritikus infrastruktúrákat is. E támadások komoly fenyegetést jelentenek társadalmunk számára. A felhőkben tárolt egyre nagyobb mennyiségű információ, illetve az információ és a bűnözők mára nagy fokúvá vált mobilitása miatt a kiberbűnözéssel kapcsolatos nyomozások többsége esetében elengedhetetlenné vált a bűnüldöző hatóságok határokon átnyúló együttműködése. Annak érdekében, hogy a tagállamok hatékonyan tudjanak fellépni e bűncselekményekkel szemben, közösen kell meghatározniuk, hogy milyen cselekményeket kell az információs rendszerek elleni támadásnak tekinteni. A tagállamoknak emellett egymáshoz közelített szankciómértékekkel és a bűncselekmények hatóságok közötti jelentéséhez és a hatóságok közötti információcseréhez szükséges operatív eszközökkel kell rendelkezniük. Ezért 2013. augusztus 12-én a Tanács és az Európai Parlament elfogadta az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról szóló 2013/40/EU irányelvet (a továbbiakban: irányelv). 2 1.1. Az irányelv célja és hatálya Az irányelv célja, hogy közelítse a tagállamok 3 büntetőjogát az információs rendszerek elleni támadások terén, és hogy javítsa a tagállamok illetékes hatóságai közötti együttműködést. Ezt az információs rendszerek elleni támadások terén a bűncselekmények tényállására és szankcióikra vonatkozó minimumszabályok megállapítása és a hét minden napján 24 órában működő kapcsolattartó pontok felállítása révén kívánja elérni. A vonatkozó fogalmak meghatározása körében az irányelv az alábbiakra hivatkozik: Az információs rendszer a 2. cikk a) pontjában 4. A fogalommeghatározás hasonló a számítástechnikai rendszer fogalmának az Európa Tanács számítástechnikai bűnözésről szóló, 2001. november 23-i egyezménye (a továbbiakban: Budapesti Egyezmény) 1. cikkének a) pontjában szereplő meghatározásához azzal a kivétellel, hogy az irányelv kifejezetten bevonja a fogalom körébe a számítógépes adatokat is. 1 Europol, az internetes szervezett bűnözés általi fenyegetettség 2016. évi értékelése (IOCTA), amely az alábbi linken érhető el: https://www.europol.europa.eu/sites/default/files/documents/europol_iocta_web_2016.pdf. 2 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2013:218:0008:0014:en:pdf. 3 A továbbiakban és kifejezett eltérő jelzés hiányában a tagállamok vagy az összes tagállam kifejezés azokat a tagállamokat jelenti, amelyeket köti az irányelv, vagyis Dánia amely az Európai Unióról szóló szerződéshez és az Európai Unió működéséről szóló szerződéshez csatolt, Dánia helyzetéről szóló jegyzőkönyv 1. és 2. cikkével összhangban nem vett részt az irányelv elfogadásában kivételével minden uniós tagállamot. Az Egyesült Királyság és Írország helyzetéről szóló 21. jegyzőkönyv 3. cikke alapján mindketten részt vettek az irányelv elfogadásában, így az őket is köti. 4 Eltérő jelzés hiányában minden említett cikk az irányelv cikkeire utal. 3
A számítógépes adatok a 2. cikk b) pontjában. A fogalommeghatározás a Budapesti Egyezmény 1. cikkének b) pontjában szereplőt követi azzal, hogy számítástechnikai rendszer helyett információs rendszerre hivatkozik. A jogi személy a 2. cikk c) pontjában. A fogalommeghatározás célja, hogy egyaránt biztosítsa a természetes és a jogi személyek felelősségét, kizárva ugyanakkor a fogalom köréből a tagállamokat, harmadik országokat, a közjogi szerveket és a nemzetközi közjogi szervezeteket. A jogosulatlanul a 2. cikk d) pontjában. A fogalommeghatározás a büntetőjog egyik általános elvéhez kapcsolódik, és célja a büntetőjogi felelősség kizárása olyan személyek esetében, akik a nemzeti jog által lehetővé tett módon vagy az információs rendszer vagy a rendszer része tulajdonosának vagy egyéb jogosultjának engedélyével járnak el. Az irányelv különös bűncselekményeket is meghatároz; ezek a következők: az információs rendszerekhez való jogellenes hozzáférés (3. cikk); a rendszert érintő jogellenes beavatkozás (4. cikk), amely az információs rendszerhez való bármely olyan jogellenes hozzáférést foglalja magában, amely a rendszer működésének súlyos akadályozását vagy megszakítását okozza; Az adatot érintő jogellenes beavatkozás (5. cikk), amely a számítógépes adatokat érintő, azok integritását és hozzáférhetőségét csorbító jogellenes beavatkozásokat jelenti; A nem nyilvános számítógépes adatok és az információs rendszerekből érkező, ilyen adatokat hordozó elektromágneses sugárzás jogellenes megszerzése (6. cikk); A fenti bűncselekmények elkövetéséhez használt eszközök jogellenes rendelkezésre bocsátása (7. cikk). Ebben az összefüggésben eszköznek minősülhet a számítógépes program, a számítógépes jelszó vagy bármely más olyan adat, amellyel egy információs rendszerhez hozzá lehet férni. Az irányelv emellett kiterjeszti a büntetőjogi felelősséget a természetes és/vagy jogi személyek által megvalósított, a fent említett bűncselekményekre való felbujtásra és az azok elkövetéséhez nyújtott bűnsegélyre, valamint azok elkövetésének kísérletére (8. cikk). Míg a felbujtás és a bűnsegély a 3 7. cikkben szereplő összes bűncselekményre kiterjedhet, addig a kísérlet csak a 4. és 5. cikkben említett bűncselekményekre vonatkozhat. Az irányelvben szereplő bűncselekményekre vonatkozó szankciók felső határának minimumai a 9. cikkben szerepelnek: A szabadságvesztés-büntetés felső határa alapesetben a 8. cikkben meghatározottak kivételével egységesen legalább 2 év minden bűncselekmény tekintetében (9. cikk (2) bekezdés). A 4. és 5. cikkben meghatározott bűncselekmények esetében amennyiben azok jelentős számú információs rendszert érintettek (ezeket általában ún. botnet bűncselekményeknek nevezzük) a büntetés felső határa legalább 3 év szabadságvesztés (9. cikk (3) bekezdés). A büntetés felső határa legalább 5 év szabadságvesztés, amennyiben a 4. és 5. cikkben meghatározott bűncselekményeket bűnszervezetben követték el (9. cikk (4) bekezdés a) pont), azok súlyos kárt okoztak (9. cikk (4) bekezdés b) pont), vagy azokat valamely, a kritikus infrastruktúra részét képező információs rendszer ellen követték el (9. cikk (4) bekezdés c) pont). 4
Ha a 4. és 5. cikkben meghatározott bűncselekményeket egy másik személy személyes adataival visszaélve követték el, a tagállamoknak biztosítaniuk kell, hogy ezt súlyosító körülménynek lehessen tekinteni, kivéve, ha e körülmény már egy másik bűncselekményt valósít meg (9. cikk (5) bekezdés). Az ezt követő cikkek a jogi személyek felelősségének minimális feltételeit (10. cikk) és az azokkal szemben alkalmazható szankciók példálózó jellegű felsorolását (11. cikk) tartalmazzák. Tekintettel arra, hogy a fent említett bűncselekmények úgy is elkövethetők (vagyis megvalósíthatók ), hogy az elkövető ténylegesen a támadással érintett információs rendszerre gyakorolt hatás helyétől eltérő helyen fejti ki tevékenységét, a 12. cikk a joghatóság megállapítására vonatkozó kötelezettségeket tartalmaz, különbséget téve az alábbiak között: a hely, ahol az elkövető a bűncselekmény elkövetésekor fizikailag jelen van, a támadással érintett információs rendszer helye, az elkövető állampolgársága, az elkövető szokásos tartózkodási helye, valamint az a hely, ahol a jogi személy, akinek javára a bűncselekményt elkövették, letelepedett. Az információcserét illetően a 13. cikk (1) bekezdése szerint a tagállamok kötelesek a hét minden napján 24 órában rendelkezésre álló saját operatív nemzeti kapcsolattartó pontjuk létrehozásáról gondoskodni annak érdekében, hogy a sürgős külföldi segítségkérésekre 8 órán belül válaszolni tudjanak. Ezen túlmenően a tagállamoknak meg kell hozniuk a szükséges intézkedéseket annak érdekében, hogy elősegítsék, hogy az illetékes nemzeti hatóságok felé be lehessen jelenteni a fent említett bűncselekményeket (13. cikk (3) bekezdés), és hogy össze lehessen gyűjteni és meg lehessen osztani az e bűncselekményekre vonatkozó minimális statisztikai adatokat (14. cikk). 1.2. A jelentés célja és módszere Az irányelv 16. cikke szerint arra kötelezi a tagállamokat, hogy léptessék hatályba és közöljék a Bizottsággal azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy az irányelvnek 2015. szeptember 4-ig megfeleljenek. Ez a jelentés az irányelv 17. cikkében foglalt azon kötelezettségnek tesz eleget, amely szerint a Bizottság köteles jelentést benyújtani az Európai Parlamentnek és a Tanácsnak, amelyben értékeli, hogy a tagállamok milyen mértékben tették meg a szükséges intézkedéseket annak érdekében, hogy az irányelvnek megfeleljenek. A jelentés célja tehát, hogy tömör, mégis informatív áttekintést nyújtson a tagállamok főbb átültető intézkedéseiről. A tagállami átültetés magában foglalta a vonatkozó jogszabályokról és közigazgatási intézkedésekről való információgyűjtést, az információk elemzését, új jogszabályok megszövegezését vagy az esetek többségében már létező jogi aktusok módosítását, azok elfogadását és végül azok Bizottsággal való közlését. 5
Az átültetési határidőn belül 22 tagállam értesítette arról a Bizottságot, hogy teljes mértékben elvégezte az irányelv átültetését. 2015 novemberében a Bizottság a nemzeti átültető intézkedések bejelentésének elmulasztása miatt kötelezettségszegési eljárást indított a maradék 5 tagállammal szemben, amelyek a következők: BE, BG, EL, IE valamint SI 5. A nemzeti átültető intézkedések bejelentésének elmulasztása miatt BE-vel, BG-vel és IE-vel szemben indított kötelezettségszegési eljárások 2017. május 31-én még mindig folyamatban voltak. 6 Az e jelentésben szereplő leírás és elemzés a tagállamok által 2017. május 31-ig szolgáltatott információkon alapul. 7 Az ezt követően tett bejelentések figyelmen kívül maradtak. Minden nemzeti jogszabályra vonatkozó bejelentett intézkedés, bírósági határozat és adott esetben általános jogelméleti tétel figyelembevételére sor került. Emellett az elemzés elvégzése során a Bizottság közvetlenül is felvette a kapcsolatot a tagállamokkal, amennyiben ez szükséges és célszerű volt annak érdekében, hogy további információhoz vagy magyarázathoz jusson. Minden így beszerzett információ figyelembevételére sor került az elemzés szempontjából. A e jelentésben azonosított problémákon kívül előfordulhatnak az átültetéssel kapcsolatos további nehézségek és a Bizottság felé be nem jelentett más rendelkezések, illetve jövőbeli jogszabályi és nem jogszabályi változások is. Ezért e jelentés nem akadályozza a Bizottságot abban, hogy egyes rendelkezéseket tovább értékeljen és továbbra is támogassa a tagállamokat számára az irányelv átültetésében és végrehajtásában. 2. Átültető intézkedések 2.1. Jogi fogalommeghatározások (az irányelv 2. cikke) Az irányelv 2. cikkében szerepel az információs rendszer (a) pont), a számítógépes adatok (b) pont), a jogi személy (c) pont) és a jogosulatlanul (d) pont) fogalmának jogi meghatározása. Csak CY és UK (Gibraltár) hoztak olyan jogszabályokat, amelyekben a fent felsorolt fogalommeghatározások minden eleme szerepel. Ez részletesen a következőket jelenti: a) Információs rendszer Az irányelv meghatározása a számítástechnikai rendszer fogalmának a Budapesti Egyezmény 1. cikkének a) pontjában szereplő meghatározására épül, az információs rendszer részévé téve magukat a számítógépes adatokat is. CY, EL, IE, FI, HR, MT, PT és UK (Gibraltár) az információs rendszer fogalmának meghatározását tartalmazó jogszabályi rendelkezéseket vezettek be, a DE, ES, FR, LU, LV, PL, SE és SK által szolgáltatott információk pedig nem voltak egyértelműek. A többi tagállam, vagyis AT, BE, BG, CZ, EE, HU, IT, LT, NL, RO, SI és UK (Gibraltár kivételével) esetében az egyes jogi fogalommeghatározásokban nem szerepel kifejezetten a számítógépes adatok fogalma. E rendelkezések a Budapesti Egyezmény 1. cikkének a) pontjára hivatkoznak a számítástechnikai rendszer fogalmának meghatározása szempontjából azonos hatállyal. 5 A jelen dokumentumban a tagállamok az alábbiak szerint vannak rövidítve: http://publications.europa.eu/code/hu/hu-5000600.htm. 6 A Bizottság kötelezettségszegési eljárásokban hozott határozatairól az alábbi weboldalon találhatók információk: http://ec.europa.eu/atwork/applying-eu-law/infringementsproceedings/infringement_decisions/?lang_code=hu. 7 IE az irányelv teljes mértékű átültetését 2017. május 31-én jelentette be. 6
b) Számítógépes adatok A számítógépes adatok fogalmának meghatározása szerepel AT, BG, CY, CZ, DE, EE, EL IE, FI, HR, LT, MT, NL, PT, RO és UK (Gibraltár) jogi szabályozásában, az ES, FR, IT, LU, LV, PL, SE, SK és UK (Gibraltár kivételével) által szolgáltatott információk pedig nem voltak egyértelműek. SE esetében azonban a hivatkozó cikkek sajátos kialakítása feleslegessé teszi e fogalom meghatározását. Ami a többi tagállamot illeti, HU csak az irányelv 4. és 5. cikkében szereplő bűncselekményekre vonatkoztatja a számítógépes adatok fogalmának meghatározását, BE és SI pedig a számítógépes adatok fogalmának meghatározásából mellőzi a beleértve azon programokat is, amelyek alkalmasak valamely funkciónak egy információs rendszer általi elvégeztetésére kitételt. c) Jogi személy LU kivételével amely nem szolgáltatott a 2. cikk c) pontjának átültetésére vonatkozó egyértelmű információt a jogi személy fogalommeghatározásának átültetése nem okozott problémát. Ez azért lehetséges, mert a meghatározás általában már szerepelt a többnyire polgári jogi vagy kereskedelmi jogi tagállami rendelkezésekben. Csak CY rendelkezik egy különös rendelkezéssel az irányelv átültetése céljából elfogadott intézkedésekben. d) Jogosulatlanul A 2. cikk d) pontjában szereplő jogosulatlanul fogalmának meghatározását illetően csak CY, IE, RO és UK (Gibraltár) jelentette be az átültetést, ami azt jelenti, hogy a többi 23 tagállam nem fogadott el az e fogalommeghatározást átültető intézkedéseket. Meg kell azonban jegyezni, hogy minden tagállamban érvényesül az az alapelv, hogy bármely cselekmény tekintetében mentesül a büntetőjogi felelősség alól az, aki cselekményét megfelelően feljogosítva valósította meg. 2.2. Különös bűncselekmények (az irányelv 3 7. cikke) a) Információs rendszerekhez való jogellenes hozzáférés Az információs rendszerekhez való jogellenes hozzáférés tekintetében az irányelv 3. cikkét AT, CY, CZ, EL, ES, IE, FI, FR, LT, LU, NL, PL, PT, SE és SK nemzeti jogszabályai ültetik át. A többi tagállam, vagyis BE, BG, DE, EE, HR, HU, IT, LV, MT, RO, SI és UK e bűncselekményre vonatkozó nemzeti rendelkezése az irányelv ezzel kapcsolatos kifejezett rendelkezésével ellentétben nem tesz különbséget az információs rendszer egészéhez vagy annak csak egy részéhez való hozzáférés között. Emellett a DE általi átültetés nem terjed ki a számítógépes hardverhez való puszta hozzáférésre, AT és LU pedig további követelményeket határoztak meg egy különleges szándékot illetően (az információ megszerzésére, hátrány okozására irányuló vagy csalárd szándék), illetve LV a jelentős károkozást illetően. BE, BG, FR, HR, LU, MT, PT, RO, SI és UK esetében a nemzeti rendelkezések hatálya tágabb, mint az irányelvé, mivel e nemzeti rendelkezések a büntetőjogi felelősség megállapításához nem követelik meg valamely biztonsági intézkedés megsértését. A többi tagállam vagy kifejezetten kimondja, hogy a bűncselekményt valamely biztonsági intézkedés megsértésével kell elkövetni (CY, EL és SK), vagy hasonló szavakkal írják le ezt az elemet (AT, CZ, DE, EE, ES, FI, HU, IT, LT, LV, NL, PL és SE). b) Rendszert érintő jogellenes beavatkozás Az irányelv 4. cikke a rendszert érintő jogellenes beavatkozásra vonatkozik. Az irányelv 8 lehetséges cselekményt (számítógépes adatok bevitele, továbbítása, megrongálása, törlése, minőségi rontása, megváltoztatása vagy elrejtése, vagy ilyen adatok hozzáférhetetlenné tétele), és e cselekmények 2 lehetséges eredményét (valamely információs rendszer 7
működésének súlyos akadályozása vagy megszakítása) sorolja fel. BE, CY, CZ, EL, IE, FR, HR, LU, MT, PT, SE és UK (Gibraltár kivételével) ennek megfelelő jogszabályi intézkedéseket vezettek be. BG kizárólag vírusok bevitelét említi, míg a többi tagállam (AT, DE, EE, ES, HU, IT, LV, NL, PL, RO, SI, SK és UK) tekintetében 1 vagy akár 4 is kimaradt a lehetséges elkövetési módok listájából. E tekintetben megállapítható, hogy a legtöbb problémát a minőségi rontás (amely 8 esetben hiányzik) és a hozzáférhetetlenné tétel (amely 9 esetben hiányzik) kifejezések okozták. c) Adatot érintő jogellenes beavatkozás Az irányelv 5. cikke az adatot érintő jogellenes beavatkozásra vonatkozik, és a következő 6 lehetséges cselekményt sorolja fel: adatok törlése, megrongálása, minőségi rontása, megváltoztatása vagy elrejtése, vagy az ilyen adatok hozzáférhetetlenné tétele. CY, EL, IE és MT szó szerint ültették át a rendelkezést; BE, CZ, LT, PT és SE ennél általánosabban fogalmaztak annak érdekében, hogy minden lehetséges cselekményt a rendelkezés hatálya alá vonjanak. A többi tagállam átültető intézkedéseiben a lehetőségek közül csak 5 (FI és SK) vagy kevesebb (AT, BG, DE, EE, FR, HR, HU, IT, LU, NL, PL, RO, SI és UK) szerepel. A legtöbb problémát a megrongálás (amely 8 esetben hiányzik), a minőségi rontás (amely 13 esetben hiányzik), az elrejtés (amely 11 esetben hiányzik) és az adatok hozzáférhetetlenné tétele (amely 13 esetben hiányzik) jelentette. Az irányelv megfogalmazásán túl FI a kár vagy pénzügyi veszteség okozására irányuló szándékot, LT és LV pedig a súlyos vagy jelentős károk okozását kívánja meg a büntetőjogi felelősséghez. d) Jogellenes adatszerzés A 6. cikk a jogellenes adatszerzést szabályozza, és a továbbított, nem nyilvános számítógépes adatokra, valamint az információs rendszerekből érkező, ilyen adatokat hordozó elektromágneses sugárzásra vonatkozik. CY, CZ, DE, ES, IE, FI, HR, LV, MT, RO, SE, SK és UK (Gibraltár) a 6. cikknek teljes mértékben megfelelő jogi szabályozást vezettek be. Az irányelv számítógépes adatok megszerzésével kapcsolatos általános hatálya az üzenetekre (AT és BG), a személyek megfigyelésére (EE) vagy a levelezésre (FR és HU) korlátozott. Emellett a következő tagállamok átültető intézkedései nem tartalmazzák az elektromágneses sugárzás megszerzését: BE, BG, EE, FR, HU, IT, LT, LU, NL, PL, PT, SI és UK (Gibraltár kivételével). Ezen túlmenően egyes tagállamok különös szándékot (például információ vagy gazdasági előny megszerzésére vagy hátrány okozására irányuló szándékot lásd: AT, EL, HU) vagy további különös cselekményeket (például a megszerzett tartalom rögzítését vagy az arról való tudomásszerzést lásd: BG és HU) kívánnak meg. e) A bűncselekmények elkövetéséhez használt eszközök A 7. cikk büntetendőnek nyilvánít a 3 6. cikkben említett bűncselekmények elkövetéséhez használt eszközökkel például számítógépes programokkal vagy belépési kódokkal kapcsolatos egyes cselekményeket: az ilyen eszközök előállítását, árusítását, használatra történő beszerzését, behozatalát, forgalomba hozatalát vagy egyéb módon történő hozzáférhetővé tételét. AT, BE, CY, DE, EL, IE és SK ennek megfelelő nemzeti jogi szabályozást vezettek be. Egyes tagállamok nem ültették át az összes hivatkozott bűncselekményt (EE, IT, MT, PL és SI). Egyes tagállamok a 7. cikk szerinti elkövetőt nem különböztetik meg a 3 6. cikk szerinti bűncselekmények elkövetőitől (CZ és SI). Néhány tagállam konkrét szándékot (károkozásra irányuló vagy egyébként csalárd szándékot lásd: FI, IT és LU), konkrét eredményt, például a titkosság megsértését (BG) vagy a fenti bűncselekmények legalább előkészítő fázisba kerülését (SE) követeli meg. Végül a 7. cikk és a nemzeti intézkedések közötti eltérések mutatkoznak meg az összes felsorolt lehetséges cselekmény átültetésének hiányában is. Ez a helyzet BG, CZ, EE, ES, FR, HR, HU, IT, LT, LU, LV, PL, PT, RO, SI és UK esetében. Ezek közül LU jogszabálya kifejezetten ötöt említ 8
meg az irányelvben szereplő hat lehetséges cselekményből, míg a többi tagállam kifejezetten csak négy vagy kevesebb cselekményt említ. Csak ES ültette át a használatra történő beszerzés lehetőségét. 2.3. Az érintett bűncselekményekre vonatkozó általános szabályok (az irányelv 8 12. cikke) a) Felbujtás és bűnsegély A 8. cikk (1) bekezdése szerint a tagállamok biztosítják, hogy a 3 7. cikkben említett bűncselekményekre való felbujtás, vagy az azok elkövetéséhez nyújtott bűnsegély bűncselekménynek minősüljön. E rendelkezést minden tagállam átültette. b) Kísérlet A 8. cikk (2) bekezdése szerint a 4. és 5. cikkben említett bűncselekmények kísérletének bűncselekménynek kell minősülnie. PT a 4. cikk szerinti bűncselekmények elkövetésének nem minden fajtájú kísérletét minősíti bűncselekménynek, SE-ben pedig a kommunikáció titkossága megsértésének kísérlete miatt nem lehet büntetőjogi felelősséget megállapítani; az összes többi tagállam rendelkezik az e rendelkezést átültető jogi szabályozással. c) Szankciók aa) Általános rendelkezés A 9. cikk (1) bekezdése általánosságban megköveteli, hogy a tagállamok az irányelvben meghatározott bűncselekményeket hatékony, arányos és visszatartó erejű büntetőjogi szankciókkal sújtsák. Ezt alapvetően a legtöbb tagállam betartja, de AT, BE, BG, IT, PT, SE és SI nem minden esetben felelnek meg a 9. cikk (2) bekezdésében meghatározott minimális felső határra vonatkozó követelményeknek (lásd a fenti 1.1. pontot). Ez kihat a 9. cikk (1) bekezdésének átültetésére is, mivel a 9. cikk (2) bekezdésében támasztott minimumkövetelményeket úgy tekinthetjük, mint a hatékony, arányos és visszatartó erejű büntetőjogi szankciók biztosítékai. bb) A szankciók felső határának általános minimuma A 9. cikk (2) bekezdése szerint a 3 7. cikkben szereplő általános bűncselekményekért kiszabható szankciók felső határának minimuma legalább 2 év szabadságvesztés. A legtöbb tagállam megfelel e rendelkezésnek. Csak 6 tagállamban találhatók bizonyos eltérések: AT (maximum 6 hónap szabadságvesztés), BG (maximum 1 év szabadságvesztés a jogellenes adatszerzés esetének kivételével), IT (maximum 1 év szabadságvesztés a 7. cikk b) pontja szerinti bűncselekményért), PT (maximum 1 év szabadságvesztés a 3. cikk szerinti bűncselekményért), SE (maximum 1 év szabadságvesztés a károkozás bűncselekményért) és SI (maximum 1 év szabadságvesztés a 3., 6. és 7. cikk szerinti bűncselekményekért). BE esetében a 3., 6. és 7. cikk szerinti bűncselekményekért kiszabható szankciók felső határának minimumát csak akkor érik el, ha a bűncselekményeket csalárd szándékkal követik el. cc) Jelentős számú információs rendszer érintettsége A 9. cikk (3) bekezdése 3 év szabadságvesztésre emeli fel a szankciók felső határának minimumát azokban az esetekben, amelyekben a 4. és 5. cikkben említett bűncselekmények jelentős számú információs rendszert érintettek. A tagállamok általában ennek megfelelő jogi szabályozást vezettek be, DE csak a jelentős fontosságú információs rendszereket említi, FI a bűncselekmény egészének értékelését követeli meg a szigorúbb büntetés kiszabásához, LV pedig nem utal jelentős számú információs rendszerre (vagy más hasonlóra), csak jelentős károk okozására. A BG és SI által szolgáltatott információ nem volt egyértelmű. 9
dd) Bűnszervezetek A 9. cikk (4) bekezdésének a) pontja szerint a szankciók felső határa minimum 5 év szabadságvesztés, ha a 4. és 5. cikkben említett bűncselekményeket a 2008/841/IB kerethatározat értelmében vett bűnszervezet követte el. A legtöbb tagállam megfelel a 9. cikk (4) bekezdésének a) pontja szerinti rendelkezésnek. LU és SI büntetőjoga szerint a bűnszervezet által elkövetett bűncselekményre vonatkozó rendelkezések nem vonatkoznak a kiberbűnözésre. BE jogi szabályozása az 5. cikkben említett bűncselekmények tekintetében csak 3 év szabadságvesztésben határozza meg a szankció felső határát, DE jogi szabályozása nem vonatkozik arra az esetre, ha a bűncselekmények áldozatai természetes személyek, FI jogi szabályozása a bűncselekmény egészének értékelését is megköveteli, SE jogi szabályozása pedig maximum 4 év szabadságvesztést határoz meg a nagy mértékű károkozásért. ee) Súlyos kár okozása A 9. cikk (4) bekezdésének b) pontja 5 évben határozza meg a szankció felső határának minimumát, ha a 4. és 5. cikkben említett bűncselekmény súlyos kárt okozott. Annak ellenére, hogy a súlyos kár fogalma nincs meghatározva, BG, DE, FI, HU, LU és SE kivételével minden tagállam az irányelvnek megfelelő jogi szabályozást vezetett be. A HU által szolgáltatott információ nem volt egyértelmű. BG nem éri el a szankció felső határaként megkívánt 5 éves minimumot, LU pedig olyan általános, súlyos kár okozása esetén alkalmazható szankciós rendelkezésre utal, amely nem vonatkozik a kiberbűnözésre. Kisebb eltérések fordulnak elő DE (ahol a természetes személyekre mint áldozatra nem vonatkoznak a rendelkezések), FI (ahol a bűncselekmény egészének értékelését követelik meg a szigorúbb büntetés kiszabásához) és SE (ahol 4 év szabadságvesztés szabható ki maximum, ha nagy mértékű kárt okoznak) esetében. ff) A kritikus infrastruktúra részét képező információs rendszerek Ahogyan azt a 9. cikk (4) bekezdésének c) pontja kimondja, a kritikus infrastruktúra részét képező információs rendszerek ellen elkövetett, a 4. és 5. cikkben említett bűncselekmények esetén kiszabható szankciók felső határa minimum 5 év szabadságvesztés. A legtöbb tagállam megfelel e rendelkezésnek, BG pedig nem szolgáltatott az átültetésre vonatkozó konkrét információt. BE 3 évben határozta meg az 5. cikk szerinti bűncselekmények esetén kiszabható szankció felső határát. DE szabályozása nem vonatkozik arra az esetre, ha az áldozatok természetes személyek. FI a bűncselekmény egészének értékelését is megköveteli, IT előírja, hogy ténylegesen kárt kell okozni, PT súlyos és tartós jellegű támadást kíván meg, és nem hivatkozik az 5. cikkre, SE pedig csak a súlyos szabotázs bűncselekménye esetében felel meg az irányelv követelményeinek. gg) Személyazonosság-lopás és a személyazonossághoz kapcsolódó egyéb bűncselekmények A 9. cikk (5) bekezdése előírja a tagállamok számára, hogy biztosítsák, hogy ha a 4. és 5. cikkekben említett bűncselekményeket egy másik személy személyes adataival visszaélve követték el egy harmadik fél bizalmának elnyerése céljából, és ezáltal kárt okoztak a személyazonosság jogos tulajdonosának, akkor ezt súlyosító körülménynek lehessen tekinteni, kivéve, ha e körülmény már egy másik bűncselekményt valósít meg. A széles körű mérlegelési jogkör a tagállamokban jelentős mértékben eltérő hatályú átültető intézkedésekhez vezetett. BE és EL nem jelentették be az átültetést, CZ büntetőjogi szabályozása pedig nem tartalmaz konkrét rendelkezést. AT, CY, ES, IE, MT, PT és SE (ez utóbbi a különös kiterveltség körülményére hivatkozva) a súlyosító megközelítést választotta, az összes többi tagállam pedig külön rendelkezésekben, egyedi 10
bűncselekményként szabályozza ezt a tényállást. A külön rendelkezéseket alkalmazó tagállamok körében a következő átültetési problémák figyelhetők meg: BG és NL különös szándékot kívánnak meg (amely haszonszerzésre és a személyazonosság eltitkolására vagy az azzal való visszaélésre irányul), DE csak az általában nem elérhető személyes adat kifejezést használja, FR a személy nevén kívül más személyes adatot nem említ, LV jelentős kár okozását követeli meg, RO szabályozása pedig csak valamely dokumentum használatára vonatkozik, és megtévesztést kíván meg. d) A jogi személyek felelőssége aa) Általánosságban A 10. cikk (1) bekezdése szerint a jogi személyek felelősségét meg kell állapítani a 3 8. cikkben említett bűncselekményekért, ha az elkövető olyan személy, akit megillet a) a jogi személy képviseletének joga, b) a jogi személy nevében történő döntéshozatal joga vagy c) a jogi személyen belüli ellenőrzés joga. Minden tagállam bevezetett az e cikknek megfelelő jogi szabályozást a következő kisebb problémákkal: BG-ben ez nem vonatkozik a 6. cikk szerinti bűncselekményre, HR pedig nem említi a jogi személyen belül ellenőrzés jogával rendelkező elkövetőt (10. cikk (1) bekezdés c) pont). bb) A felügyelet vagy ellenőrzés hiánya A 10. cikk (2) bekezdése szerint a tagállamok kötelesek intézkedni annak érdekében, hogy a jogi személyek felelősségre vonhatók legyenek, amennyiben a 10. cikk (1) bekezdésében említett személy általi felügyelet vagy ellenőrzés hiánya tette lehetővé, hogy a 3 8. cikkben említett valamely bűncselekményt elkövessék. Jóllehet majdnem minden tagállam megfelel e rendelkezésnek, a LU által szolgáltatott információ nem volt egyértelmű, BG szabályozásából pedig hiányzik a 6. cikk hatálya alá tartozó bűncselekmény elkövetésére való hivatkozás. e) A jogi személyekkel szemben alkalmazandó szankciók aa) Kötelező szankciók Az irányelv 11. cikkének (1) bekezdése értelmében a tagállamok a jogi személyekkel szemben hatékony, arányos és visszatartó erejű szankcióként büntetőjogi és nem büntetőjogi pénzbüntetéseket vagy bírságokat határoznak meg. IE és UK kivételével mindegyik tagállam bejelentette az ennek megfelelő nemzeti intézkedéseket. IE és UK esetében a pénzbüntetések, illetve bírságok felső határa konkrét jogszabályi rendelkezés hiányában továbbra sincs meghatározva. Ennek megfelelően nem vizsgálható a pénzbüntetések, illetve bírságok hatékonysága, arányossága és visszatartó ereje sem. bb) Választható szankciók A 11. cikk (1) bekezdése ezt követően a jogi személyekkel szemben alkalmazható további szankciókat sorolja fel. Ezek az alábbiak: az állami kedvezményekből és támogatásokból való kizárás (ezt választotta CY, CZ, EL, ES, HR, HU, LU, MT, PL, PT és SK), a kereskedelmi tevékenység folytatásától való átmeneti vagy végleges eltiltás (AT, BE, CY, CZ, EL, ES FR, HR, HU, IT, LT, LV, MT, PL, PT, RO, SE, SI és SK), a bírósági felügyelet alá helyezés (CY, ES, FR, MT, PT és RO), a bíróság által elrendelt felszámolás (CY, CZ, EL, ES, FR, HR, HU, LT, LU, LV, MT, PT, RO, SI és SK), valamint a bűncselekmény elkövetésére használt létesítmények ideiglenes vagy végleges bezárása (BE, CY, WS, FR, LT, MT, PT és RO). BG, DE, EE, IE, FI, NL és UK a fenti lehetőségek egyikét sem választotta ki. cc) A mulasztásért kiszabható szankciók A 11. cikk (2) bekezdése kimondja, hogy a tagállamoknak biztosítaniuk kell, hogy a 10. cikk (2) bekezdése szerinti mulasztásos bűncselekményekért felelős jogi személy hatékony, arányos és visszatartó erejű szankciókkal büntetendő legyen. A LU által szolgáltatott 11
információ nem volt egyértelmű. IE és UK kivételével az összes többi tagállam meghozta az ennek megfelelő jogszabályi rendelkezéseket. IE és UK esetében ugyanaz a probléma, mint a 11. cikk (1) bekezdése kapcsán: (lásd a fenti aa) pontot). f) Joghatóság aa) Kötelező joghatósági okok Az irányelv 12. cikkének (2) és (3) bekezdése előírja a tagállamok számára, hogy állapítsák meg joghatóságukat a 3 8. cikkben említett bűncselekmények tekintetében, amennyiben a bűncselekményt egészben vagy részben a területükön követték el akár ha az elkövető az elkövetés idején fizikailag ott volt jelen, akár ha az érintett információs rendszer a tagállam területén volt található vagy amennyiben a bűncselekményt külföldön egy állampolgáruk követte el. A legtöbb tagállam ennek megfelelő nemzeti jogi szabályozást vezetett be, IT jogi szabályozása az alapvető bűncselekmények esetében nem állapítja meg a joghatóságot a külföldön lévő saját állampolgárok tekintetében, LV és SI jogi szabályozása nem egyértelmű rendelkezésekre hivatkozik a területi vonatkozásokat illetően, MT joghatósága a részben a saját területén elkövetett bűncselekmények esetében nem egyértelmű, UK pedig az információs rendszer helyett számítástechnikai rendszerre hivatkozik. bb) Egyéb joghatósági okok A 12. cikk (3) bekezdése értelmében a tagállamok tájékoztatják a Bizottságot, ha további joghatóságot állapítanak meg azokban az esetekben, amelyekben az elkövető szokásos tartózkodási helye a területükön van (ezt választotta AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE és SK tagállam), vagy a bűncselekményt a területükön letelepedett jogi személy javára követték el (CY, CZ, LV, PT, RO és SK). 2.4. Operatív kérdések (az irányelv 13. és 14. cikke) a) Az operatív nemzeti kapcsolattartó pontokra vonatkozó rendelkezés A 13. cikk (1) bekezdése felhívja a tagállamokat, hogy hozzanak létre saját operatív nemzeti kapcsolattartó pontokat a 3 8. cikkben említett bűncselekményekre vonatkozó információk cseréjének céljából. E rendelkezés alapján a tagállamoknak biztosítaniuk kell olyan eljárások működését, amelyek lehetővé teszik az illetékes hatóság számára, hogy a kézhezvételtől számított 8 órán belül válaszolhasson bármely sürgős segítségkérésre. A közölt információk alapján a legtöbb tagállam felállította a szükséges infrastruktúrát. IE és RO megjegyezték, hogy kapcsolattartó pontjaik a napnak csak bizonyos időszakában elérhetőek, ami nem minden esetben teszi lehetővé a hatóság számára, hogy a kérés kézhezvételétől számított 8 órán belül reagáljon. Több tagállam jelezte, hogy a G7 hálózat keretében vagy az Európa Tanács számítástechnikai bűnözésről szóló Budapesti Egyezménye alapján létrehozott, már meglévő operatív kapcsolattartó hálózatokat vesztik igénybe. b) A létrehozott operatív nemzeti kapcsolattartó pontokra vonatkozó információk A 13. cikk (2) bekezdése szerint a tagállamok tájékoztatják a Bizottságot kapcsolattartó pontjaik elérhetőségeiről, a Bizottság pedig továbbítja ezeket az információkat a többi tagállamnak. Minden tagállam megküldte a szükséges információkat. c) Jelentéstételi csatornák A 13. cikk (3) bekezdése szerint a tagállamoknak biztosítaniuk kell, hogy megfelelő jelentéstételi csatornák álljanak rendelkezésre annak elősegítéséhez, hogy az illetékes nemzeti hatóságok felé be lehessen jelenteni a 3 6. cikkben említett bűncselekményeket. A HR, IT, IE és PT által szolgáltatott információ nem volt egyértelmű. A többi tagállam esetében úgy tűnik, hogy azok különféleképpen közelítik meg a jelentéstételi csatornákkal kapcsolatos végrehajtást. A legtöbb tagállam (BE, BG, CY, CZ, DE, EE, EL, FI, FR, HR, HU, IT, LT, 12
LV, MT, NL, PL, PT, RO, SE, SI, SK és UK) beszámolt a bűncselekményt elsőként bejelentő személy vagy szervezet például a kibertámadás áldozata számára a bejelentést megkönnyítő csatornák bevezetéséről (LV esetében a tényleges jelentéstételi csatornák nem voltak egyértelműek). Más tagállamok (AT, ES és LU) mindazonáltal a 13. cikk (1) és (2) bekezdésének végrehajtásáról ugyanazokat az információkat szolgáltatták, ami arra enged következtetni, hogy intézkedéseik főként a hatóságok közötti kommunikáció elősegítésére szolgálnak. d) Statisztikai adatgyűjtés A 14. cikk (1) és (2) bekezdése értelmében a tagállamok biztosítják egy olyan rendszer meglétét, amely rögzíti, előállítja és rendelkezésre bocsátja legalább a tagállamok által nyilvántartásba vett, a 3 7. cikkben említett bűncselekmények számára és az ilyen bűncselekmények miatt büntetőeljárás alá vont és elítélt személyek számára vonatkozó statisztikai adatokat. A megküldött információk alapján úgy tűnik, hogy a tagállamok jogszabályi és közigazgatási intézkedéseket is hoztak az általában egy általános nemzeti elektronikus rendszeren alapuló információgyűjtés biztosítása érdekében. Egyes tagállamoktól nem érkezett egyértelmű információ (EL, IE, UK [Gibraltár Észak-Írország és Skócia]). A felmerült problémák oka az volt, hogy az irányelvben meghatározott különös bűncselekményekre vonatkozó információt nem gyűjtötték külön (BE, DE és SE), vagy az összegyűjtött információ nem tartalmazta az irányelvben meghatározott összes bűncselekményt (RO). e) A statisztikai adatok Bizottsághoz történő továbbítása A 14. cikk (3) bekezdése felhívja a tagállamokat, hogy az általuk gyűjtött statisztikai adatokat továbbítsák a Bizottsághoz. UK (Gibraltár, Észak-Írország és Skócia) és HU kivételével minden ezzel kapcsolatban bejelentést tevő tagállam megerősítette, hogy jogszabályi vagy közigazgatási, esetleg mindkétféle intézkedést tett annak érdekében, hogy e kötelezettségnek eleget tegyen. EL, ES, LU és SI esetében nem érkezett egyértelmű információ. 3. Következtetések és következő lépések Az irányelv révén jelentős előrelépés történt a kibertámadások büntetőjogi szabályozásának hasonló szintre hozása terén a tagállamokban, ami elősegíti az ilyen típusú bűncselekmények miatt nyomozó bűnüldöző hatóságok határokon átnyúló együttműködését. A tagállamok módosították büntető törvénykönyveiket és egyéb vonatkozó jogszabályaikat, korszerűsítették eljárásaikat, és együttműködési rendszereket hoztak létre, vagy javították azokat. A Bizottság elismeri a tagállamok által az irányelv átültetése érdekében tett jelentős erőfeszítéseket. Az irányelvben rejlő teljes potenciál mindazonáltal akkor lenne kihasználható, ha a tagállamok annak minden rendelkezését teljes mértékben átültetnék. Az eddig elvégzett elemzések alapján a tagállamoknak többek között főleg a fogalommeghatározások (2. cikk) használata terén kell előrelépniük, amely hatással van az irányelv alapján a nemzeti jog által meghatározott bűncselekmények körére. Emellett a tagállamoknak látszólag nehézséget okozott a bűncselekményekkel kapcsolatos összes lehetséges elkövetési magatartás (3 7. cikk) és a kibertámadásokra vonatkozó egységes mértékű szankciók (9. cikk) nemzeti jogba történő beépítése. Emellett problémásnak bizonyult a megfelelő jelentéstételi csatornákra (13. cikk (3) bekezdés) és az irányelvben szereplő bűncselekmények nyomon követésére és statisztikájára (14. cikk) vonatkozó közigazgatási rendelkezések végrehajtása. A Bizottság továbbra is támogatást fog nyújtani a tagállamoknak az irányelv végrehajtásához. A határokon átnyúló együttműködéshez való lehetséges hozzájárulás fényében ez különösen 13
az irányelv információcserére (13. cikk (1) és (2) bekezdés), jelentéstételi csatornákra (13. cikk (3) bekezdés), valamint nyomon követésre és statisztikára (14. cikk) vonatkozó operatív rendelkezéseire vonatkozik. Ennek érdekében a Bizottság 2017 második felében további lehetőségeket fog biztosítani a tagállamok számára a bevált módszerek azonosítására és cseréjére. A Bizottság jelenleg nem látja szükségesnek az irányelv módosítását. Ezzel összefüggésben, valamint az információs rendszerek ellen intézett támadások, az internet felhasználásával elkövetett közönséges bűncselekmények és egyéb típusú bűncselekmények miatt indított nyomozások elősegítése érdekében a Bizottság olyan gyakorlati intézkedések fontolgat, amelyekkel javítható az elektronikus bizonyítékokhoz való határokon átnyúló hozzáférés a nyomozások során, ideértve jogalkotási intézkedésekre való javaslattételt is 2018 elejéig. 8 A Bizottság emellett vizsgálja a titkosítás nyomozások során betöltött szerepét is, és 2017 októberéig beszámol a vizsgálat eredményeiről 9. A Bizottság elkötelezett annak biztosítása mellett, hogy az átültetést Unió-szerte elvégezzék, és hogy a rendelkezéseket megfelelően végrehajtsák. Ehhez hozzátartozik annak nyomon követése, hogy a nemzeti intézkedések megfelelnek-e az irányelv vonatkozó rendelkezéseinek. A Bizottság szükség esetén kötelezettségszegési eljárások keretében érvényesíti a Szerződéseken alapuló végrehajtási hatáskörét. 8 Az elektronikus bizonyítékokhoz való, határokon átnyúló hozzáférésről szóló, 2017. augusztus 4-i bevezető hatásvizsgálat, elérhető az ec.europa.eu weboldalon 9 A hatékony és valódi biztonsági unió megvalósításáról szóló nyolcadik eredményjelentésről szóló közlemény, COM(2017) 354 final. 14