Consejo de la Unión Europea Bruselas, 6 de junio de 2016 (OR. en) 6289/1/16 REV 1 DCL 1 GENVAL 22 CYBER 16 DESCLASIFICACIÓN Documento: Fecha: Nueva clasificación: 6289/1/16 REV 1 13 de abril de 2016 Asunto: 7.ª ronda de evaluaciones mutuas «Aplicación práctica y funcionamiento de las políticas europeas de prevención y lucha contra la ciberdelincuencia» Público - Informe sobre España Adjunto se remite a las Delegaciones la versión desclasificada del documento de referencia. El texto del documento es idéntico al de la versión anterior. 6289/1/16 REV 1 DCL 1 lon DGF 2A ES RESTREINT UE/EU RESTRICTED Consejo de la Unión Europea Bruselas, 13 de abril de 2016 (OR. en) 6289/1/16 REV 1 RESTREINT UE/EU RESTRICTED GENVAL 22 CYBER 16 INFORME De: A: Secretaría General del Consejo Delegaciones Asunto: 7.ª ronda de evaluaciones mutuas «Aplicación práctica y funcionamiento de las políticas europeas de prevención y lucha contra la ciberdelincuencia» - Informe sobre España 6289/1/16 REV 1 DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 1 ES RESTREINT UE/EU RESTRICTED ANEXO Índice 1 Resumen ________________________________________________________ 5 2 Introducción _____________________________________________________ 8 3 Asuntos y estructuras generales ____________________________________ 11 3.1 Estrategia de Ciberseguridad Nacional.................................................................. 11 3.2 Prioridades nacionales en lo que respecta a la ciberdelincuencia ......................... 12 3.3 Estadísticas en materia de ciberdelincuencia......................................................... 13 3.3.1 Principales tendencias que conducen a la ciberdelincuencia ................................. 13 3.3.2 Número de casos registrados de ciberdelincuencia................................................ 14 3.4 Presupuesto nacional dedicado a prevenir y combatir la ciberdelincuencia y financiación de la UE ............................................................................................ 17 3.5 Conclusiones.......................................................................................................... 17 4 ESTRUCTURAS NACIONALES ___________________________________ 19 4.1 Administración de justicia (ministerio público y tribunales) 19 4.1.1 Estructura interna ................................................................................................... 19 4.1.2 Capacidad de éxito de los procesos judiciales y obstáculos para los mismos ....... 20 4.2 Cuerpos y fuerzas de seguridad ............................................................................. 22 4.3 Otras autoridades/instituciones/asociación público-privada ................................. 24 4.4 Cooperación y coordinación a nivel nacional........................................................ 28 4.4.1 Obligaciones legales o de actuación ...................................................................... 28 4.4.2 Recursos asignados a la mejora de la cooperación ................................................ 31 4.5 Conclusiones.......................................................................................................... 31 5 Aspectos jurídicos ________________________________________________ 35 5.1 Derecho penal sustantivo correspondiente a la ciberdelincuencia ........................ 35 5.1.1 Convenio del Consejo de Europea sobre la Ciberdelincuencia ............................ 35 5.1.2 Descripción de la legislación nacional ................................................................... 35 A/ Decisión Marco 2005/222/JAI del Consejo relativa a los ataques contra los sistemas de información y Directiva 2013/40/UE relativa a los ataques contra los sistemas de información ................................................................................................................ 35 B/ Directiva 2011/93/UE relativa a la lucha contra los abusos sexuales y la explotación sexual de menores y la pornografía infantil ............................................................................... 37 C/ Fraude en línea con tarjetas de pago .......................................................................... 38 5.2 Cuestiones procesales ............................................................................................ 39 5.2.1 Técnicas de investigación ...................................................................................... 39 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 2 ES RESTREINT UE/EU RESTRICTED 5.2.2 Criminalística y cifrado.......................................................................................... 42 5.2.3 Prueba electrónica .................................................................................................. 42 5.3 Protección de los derechos humanos y las libertades fundamentales .................... 43 5.4 Competencia judicial ............................................................................................. 44 5.4.1 Principios aplicados en la investigación de delitos informáticos .......................... 44 5.4.2 Normas aplicables en caso de conflicto de jurisdicción y remisión a Eurojust .... 45 5.4.3 Jurisdicción para actos de ciberdelincuencia cometidos en la "nube" .................. 46 5.4.4 Punto de vista de España en lo referente al marco jurídico para combatir la ciberdelincuencia ............................................................................................... 46 5.5 Conclusiones.......................................................................................................... 47 6 Aspectos operativos ______________________________________________ 49 6.1 Ciberataques .......................................................................................................... 49 6.1.1 Carácter de los ciberataques.................................................................................. 49 6.1.2 Mecanismo de respuesta a los ciberataques .......................................................... 49 6.2 Acciones contra la pornografía infantil y los abusos sexuales en línea................. 52 6.2.1 Bases de datos y programas para identificar a las víctimas y evitar que las víctimas vuelvan a serlo ................................................................................... 52 6.2.2 Medidas para hacer frente a la explotación o abusos sexuales en línea, el sexteo o el ciberacoso ....................................................................................................... 52 6.2.3 Medidas preventivas contra el turismo sexual, espectáculos de pornografía infantil y otros .................................................................................................................... 54 6.2.4 Actores y medidas para combatir los sitios web que contienen o difunden pornografía infantil ................................................................................................ 56 6.3 Fraude en línea con tarjetas de pago...................................................................... 56 6.3.l Denuncias en línea ................................................................................................. 56 6.3.2 Función del sector privado .................................................................................... 57 6.4 Conclusiones.......................................................................................................... 57 7 Cooperación internacional _________________________________________ 60 7.1 Cooperación con organismos de la UE ................................................................. 60 7.1.1 Requisitos formales para la cooperación con el Centro Europeo de Ciberdelincuencia de Europol, Eurojust, ENISA ................................................................................ 60 7.1.2 Evaluación de la cooperación con el Centro Europeo de Ciberdelincuencia de Europol, Eurojust, ENISA .................................................................................................... 60 7.1.3 Rendimiento operativo de los equipos conjuntos de investigación y ciberpatrullas62 7.2 Cooperación entre las autoridades españolas e Interpol ........................................ 63 7.3 Cooperación con terceros Estados ......................................................................... 64 7.4 Cooperación con el sector privado ........................................................................ 64 7.5 Instrumentos de cooperación internacional ........................................................... 66 7.5.1 Asistencia judicial mutua ...................................................................................... 66 7.5.2 Instrumentos de reconocimiento mutuo ................................................................ 69 7.5.3 Entrega y extradición ............................................................................................. 70 7.6 Conclusiones.......................................................................................................... 71 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 3 ES RESTREINT UE/EU RESTRICTED 8 Formación, concienciación y PREVENCIÓN _________________________ 74 8.1 Formación específica ............................................................................................. 74 8.2 Concienciación ...................................................................................................... 77 8.3 Prevención ............................................................................................................. 79 8.3.1 Legislación y política nacionales y otras medidas ................................................ 79 8.3.2 Asociaciones público-privadas .............................................................................. 85 8.4 Conclusiones.......................................................................................................... 85 9 Observaciones finales y recomendaciones ____________________________ 88 9.1 Sugerencias de España........................................................................................... 88 9.2 Recomendaciones .................................................................................................. 89 9.2.1 Recomendaciones a España .................................................................................. 89 9.2.2 Recomendaciones a la Unión Europea, sus instituciones y otros Estados miembros 9.2.3 Recomendaciones a Eurojust, Europol y ENISA.................................................. 92 Annex A: Programme for the on-site visit and persons interviewed/met ________ 93 Annex B: Persons interviewed/met_______________________________________ 97 Annex C: List of abbreviations/glossary of terms __________________________ 102 Annex D: The SPANISH Legislation ____________________________________ 104 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 91 4 ES RESTREINT UE/EU RESTRICTED 1 RESUM E N Las autoridades españolas prepararon muy bien la visita, que incluyó reuniones con los actores pertinentes con competencias en el ámbito de la prevención y la lucha contra la ciberdelincuencia y en el de la aplicación y puesta en práctica de las medidas europeas, como, por ejemplo, el Departamento de Seguridad Nacional, el Centro Nacional de Inteligencia, el Ministerio del Interior, el Ministerio de Justicia, la Fiscalía General del Estado, el Cuerpo Nacional de Policía, la Guardia Civil y el Instituto Nacional de Ciberseguridad (INCIBE). Durante la visita sobre el terreno, las autoridades españolas hicieron todo lo posible para proporcionar al equipo evaluador información completa y aclaraciones sobre los aspectos jurídicos y operativos de la prevención y la lucha contra la ciberdelincuencia, la cooperación transfronteriza y la cooperación con organismos de la UE y relativas a la estrategia cibernética. España posee una sólida Estrategia de Ciberseguridad Nacional, adoptada en diciembre de 2013 por su Consejo de Seguridad Nacional. La Estrategia de Ciberseguridad Nacional es conforme a la Estrategia de Seguridad Nacional adoptada anteriormente en mayo de 2013. El Consejo de Ciberseguridad Nacional, un organismo político con una composición variada y flexible, es responsable de la aplicación de la Estrategia de Ciberseguridad Nacional. Dispone de una visión general completa de los problemas que afectan a la ciberseguridad. En lo que respecta a la legislación, la mayor parte de la legislación europea relativa a la ciberdelincuencia se aplicaba en el ordenamiento jurídico español en el momento de la visita. Se ha ratificado el Convenio sobre la Ciberdelincuencia de Budapest y se aplica cuando existe un vacío en la legislación nacional. Después de la visita se adoptó la Ley Orgánica 13/2015 de 5 de octubre de 2015 que modifica la Ley de Enjuiciamiento Criminal para reforzar las garantías procesales y regular las medidas de investigación tecnológica. Resuelve además varios problemas cuando se precisan técnicas específicas de investigación tecnológica. La legislación española no contiene una definición concreta de ciberdelincuencia. No obstante, a nivel práctico la ciberdelincuencia comprende todos los delitos contra los sistemas y datos informáticos, así como los delitos posibilitados por el uso de un sistema informático. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 5 ES RESTREINT UE/EU RESTRICTED El principio que rige la Estrategia de Ciberseguridad Nacional es velar por la adecuada coordinación y cooperación entre todas las autoridades públicas y también implicar al sector privado y a los ciudadanos cuando sea necesario. Todos los actores y organismos pertinentes deberían trabajar juntos para abordar con éxito las situaciones críticas. La coordinación y la cooperación son particularmente necesarias teniendo en cuenta la complejidad de la tarea, tanto en lo que se refiere al número de actores involucrados en actuar contra la ciberdelincuencia como a la manera en que se distribuyen las competencias, especialmente entre las fuerzas o cuerpos de seguridad y los diferentes organismos de coordinación. Aunque España cuenta con dos fuerzas de seguridad (el Cuerpo Nacional de Policía y la Guardia Civil), el sistema en su conjunto parece estar bien organizado y ser funcional. Las subdivisiones de los ámbitos de competencia cubren el conjunto del territorio en asuntos relacionados con la ciberseguridad, bajo la coordinación de una estructura central facultada para distribuir las actividades operativas implicadas en investigaciones. El desarrollo de herramientas informáticas a medida por parte de la Guardia Civil y el Cuerpo Nacional de Policía merece destacarse especialmente. España posee un sistema complejo de diferentes equipos de respuesta a emergencias informáticas tanto en el sector público como en el privado. Aunque coexisten en paralelo, cada institución tiene la capacidad de gestionar emergencias informáticas con eficacia, con contribuciones técnicas y tácticas a las investigaciones. Debe valorarse en particular el trabajo del INCIBE en lo que respecta a su papel en la mejora del nivel de seguridad de las tecnologías de la información en la industria y entre los ciudadanos, con actividades en el ámbito de la prevención y las campañas de sensibilización. Se considera que el Servicio Antibotnet desarrollado por el INCIBE es una herramienta muy útil para detectar y limpiar los dispositivos infectados de los usuarios. Además, el INCIBE coopera estrechamente con las fuerzas de seguridad informando sobre actividades en línea sospechosas. No obstante, no se ha observado una suficiente puesta en común de la información entre las fuerzas de seguridad y el INCIBE, lo que contribuiría a evaluar mejor los resultados del trabajo de esta institución. Con todo, es preciso considerar que el INCIBE es un organismo relativamente nuevo y que la comunicación entre las fuerzas de seguridad y el INCIBE está en proceso de aplicación. La comunicación debe desarrollarse de acuerdo con los procedimientos legales. Así, solo pueden compartirse los datos técnicos, pues se considera que los datos personales están limitados a la policía y las autoridades judiciales. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 6 ES RESTREINT UE/EU RESTRICTED España ha desarrollado una asociación entre el sector público y el privado en el sector de las tecnologías de la información con varios actores. La política consiste en dirigirse a los grandes operadores privados (como Telefónica) y establecer una buena asociación con ellos. No obstante, los mecanismos de notificación deben reforzarse y cubrir también la cooperación con los pequeños operadores. A pesar de la colaboración estrecha y eficaz existente entre los proveedores de servicios de Internet y los cuerpos y fuerzas de seguridad, es aconsejable establecer relaciones jurídicas con las empresas privadas (por ejemplo, concluyendo acuerdos). Se recomienda una asociación similar con el sector bancario. España está comprometida y bien equipada para hacer frente a la ciberdelincuencia. Se han puesto en marcha una serie de iniciativas y buenas prácticas en términos de campañas de sensibilización en las escuelas (por ejemplo, en colaboración con Disney), formación de los profesionales y prevención. Por lo tanto se está creando una cultura de la ciberseguridad, con una profusión de orientaciones para un comportamiento adecuado en Internet (por ejemplo, orientaciones para detectar el acoso sexual, redactadas por médicos), herramientas gratuitas para la ciberseguridad en la banca en línea, campañas de sensibilización y participación en ejercicios cibernéticos. La implicación significativa del mundo académico en este sentido también merece destacarse. Dado que la ciberdelincuencia es un fenómeno relativamente nuevo, la cuestión de la máxima importancia es la formación y el desarrollo del conocimiento. España ha desarrollado formación a medida para la aplicación de la ley. La Fiscalía General del Estado y el Consejo General del Poder Judicial han incluido formación específica en materia de ciberdelincuencia para los fiscales y los jueces, respectivamente. No obstante, se ha informado de que no muchos jueces han participado en esta formación. La organización de actos conjuntos de formación a los que asistieran jueces y fiscales, agentes de policía y especialistas en tecnologías de la información también podría contribuir a cubrir el proceso completo por el cual un caso penal es llevado finalmente ante los tribunales. Se ha creado una intranet para los profesionales de la Justicia con una recopilación general de toda la legislación contenida en los tratados firmados por España y los instrumentos europeos en materia de cooperación judicial, el Prontuario, con el fin de facilitar la asistencia judicial mutua. Independientemente de la complejidad y de la fragmentación del sistema creado para hacer frente a la ciberdelincuencia, la impresión general del equipo de evaluación es que el sistema español funciona y produce buenos resultados. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 7 ES RESTREINT UE/EU RESTRICTED 2 I NTRO D UCCI Ó N A raíz de la adopción de la Acción común 97/827/JAI de 5 de diciembre de 1997 1 se creó un mecanismo para evaluar la aplicación y ejecución a escala nacional de los compromisos internacionales en la lucha contra la delincuencia organizada. De conformidad con el artículo 2 de la acción común, el Grupo «Cuestiones Generales, incluida la Evaluación» decidió el 3 de octubre de 2013 que la séptima ronda de evaluaciones mutuas se dedicase a la aplicación práctica y al funcionamiento de las políticas europeas de prevención y lucha contra la ciberdelincuencia. La elección de la ciberdelincuencia como tema de la séptima ronda de evaluaciones mutuas fue muy bien acogida por los Estados miembros. Sin embargo, en vista de la amplia gama de delitos que abarca el término «ciberdelincuencia», se acordó que la evaluación se centraría en los delitos que, según los Estados miembros, requerían especial atención. Por ello, la evaluación cubre tres ámbitos específicos: los ataques informáticos, el abuso sexual de menores y la pornografía infantil en línea, y el fraude en línea con tarjetas de pago; además, examinará a fondo los aspectos jurídicos y prácticos de la lucha contra la ciberdelincuencia, la cooperación transfronteriza y la cooperación con los correspondientes organismos de la UE. A este respecto, son especialmente pertinentes la Directiva 2011/93/UE, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil 2 (fin de plazo de incorporación al Derecho nacional: 18 de diciembre de 2013) y la Directiva 2013/40/UE 3, relativa a los ataques contra los sistemas de información (fin de plazo de incorporación al Derecho nacional: 4 de septiembre de 2015). Además, las Conclusiones del Consejo, de 2013, sobre una estrategia de ciberseguridad de la Unión Europea 4 reiteran el objetivo de que se ratifique cuanto antes el Convenio sobre la Ciberdelincuencia (Convenio de Budapest) 5 del Consejo de Europa, de 23 de noviembre de 2001, y subrayan en el prefacio que «la UE no defiende la creación de nuevos instrumentos jurídicos internacionales para abordar las cuestiones relacionadas con el ciberespacio». Complementa a este Convenio el Protocolo adicional relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos 6. 1 2 3 4 5 6 Acción común de 5 de diciembre de 1997 (97/827/JAI), DO L 344, de 15.12.1997, p. 7. DO L 335 de 17.12.2011, p. 1. DO L 218 de 14.8.2013, p. 8. 12109/13 POLGEN 138 JAI 612 TELECOM 194 PROCIV 88 CSC 69 CIS 14 RELEX 633 JAIEX 55 RECH 338 COMPET 554 IND 204 COTER 85 ENFOPOL 232 DROIPEN 87 CYBER 15 COPS 276 POLMIL 39 COSI 93 DATAPROTECT 94. STCE n.º 185; abierto a la firma el 23 de noviembre de 2001; entró en vigor el 1 de julio de 2004. STCE n.º 189; abierto a la firma el martes, 28 de enero de 2003; entró en vigor el 1 de julio de 2004. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 8 ES RESTREINT UE/EU RESTRICTED La experiencia de evaluaciones pasadas indica que cada Estado miembro estará en una situación diferente en lo que respecta a la aplicación de los instrumentos jurídicos pertinentes, y el proceso de evaluación en curso podría aportar información valiosa también para los Estados miembros que no hayan aplicado todos los aspectos de los distintos instrumentos. No obstante, la evaluación tiene por objeto ser amplia e interdisciplinar y centrarse no solo en la aplicación de los distintos instrumentos relacionados con la lucha contra la ciberdelincuencia, sino también en los aspectos operativos en los Estados miembros. Por lo tanto, aparte de la cooperación con las fiscalías, también deberá incluirse la manera en que las autoridades policiales cooperan con Eurojust, ENISA y el Centro Europeo de Ciberdelincuencia de Europol y el modo en que se encauza la información de retorno proporcionada por los actores hacia los servicios policiales y sociales adecuados. La evaluación se centra en la aplicación de las medidas nacionales relativas a la eliminación de los ataques informáticos y el fraude, así como la pornografía infantil. La evaluación también cubre las prácticas operativas en los Estados miembros en lo que respecta a la cooperación internacional y la ayuda ofrecida a las víctimas de la ciberdelincuencia. El Grupo «Cuestiones Generales, incluida la Evaluación» decidió el orden de las visitas a los Estados miembros el 1 de abril de 2014. España fue el noveno Estado miembro en ser evaluado durante esta ronda de evaluaciones. De conformidad con el artículo 3 de la Acción común, la Presidencia estableció una lista de expertos en las evaluaciones que debían llevarse a cabo. Los Estados miembros designaron a expertos con conocimientos prácticos sustanciales en el ámbito a raíz de una solicitud escrita enviada a las Delegaciones el 28 de enero de 2014 por el presidente del Grupo «Cuestiones Generales, incluida la Evaluación». Los equipos de evaluación están formados por tres expertos nacionales, con el apoyo de dos miembros del personal de la Secretaría General del Consejo y observadores. Para la séptima ronda de evaluaciones mutuas, el Grupo «Cuestiones Generales, incluida la Evaluación» aceptó la propuesta de la Presidencia de que la Comisión Europea, Eurojust, ENISA y el Centro Europeo de Ciberdelincuencia de Europol fueran invitados como observadores. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 9 ES RESTREINT UE/EU RESTRICTED Los expertos encargados de llevar a cabo la evaluación de España fueron D.ª Ioana Bogdana Albani (Rumanía), D. Gianluigi Umetelli (Italia) y D. Rafał Kierzynka (Polonia). También estuvieron presentes los siguientes observadores: D.ª Daniela Buruiana (Eurojust), junto con D.ª Monika Ivanova Kopcheva y D. Sławomir Buczma de la Secretaría General del Consejo. El presente informe fue elaborado por el equipo de expertos con la asistencia de la Secretaría General del Consejo, basándose en las conclusiones extraídas de la visita de evaluación que tuvo lugar en España entre el 8 y el 12 de junio de 2015 y en las respuestas detalladas de las autoridades españolas al cuestionario de evaluación junto con las respuestas detalladas a las preguntas destinadas a garantizar el seguimiento. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 10 ES RESTREINT UE/EU RESTRICTED 3 ASUN TO S Y ES T RUC TUR AS G ENE RAL ES 3.1 Es t r a t e gia de Ci be r s e gur i dad Nac i onal España cuenta con una Estrategia de Ciberseguridad Nacional, adoptada el 5 de diciembre de 2013 por el Consejo de Seguridad Nacional, que establece las orientaciones en materia de seguridad en el ciberespacio y prevé la coordinación y la cooperación entre todas las autoridades públicas, implicando al sector privado y a los ciudadanos. Uno de los seis objetivos de esa Estrategia se concreta precisamente en potenciar las capacidades de prevención, detección, reacción, investigación y coordinación frente a las actividades del terrorismo y la delincuencia en el ciberespacio. Desde un punto de vista estructural, la Estrategia de Ciberseguridad Nacional se aplica en los tres niveles siguientes: 1.Estratégico-político: el Consejo de Seguridad Nacional, el Consejo de Ciberseguridad Nacional, los Comités de Situación y el Departamento de Seguridad Nacional junto con el Centro de Situación para la gestión de crisis; 2. Operativo: el Ministerio de la Presidencia, el Centro Nacional de Inteligencia, el Ministerio de Defensa, el Ministerio del Interior (Secretaría de Estado de Seguridad), el Ministerio de Industria, Energía y Turismo, el Ministerio de Justicia, la Fiscalía General del Estado y los cuerpos y fuerzas de seguridad; 3. Táctico y técnico: el Centro Criptológico Nacional (CCN-CERT), el Mando Conjunto de Ciberdefensa, el Centro Nacional para la Protección de las Infraestructuras Críticas, la Oficina de Coordinación Cibernética y el INCIBE. La Estrategia de Ciberseguridad Nacional es conforme a la Estrategia de Seguridad Nacional adoptada anteriormente en mayo de 2013. En el nivel estratégico-político, el Consejo de Ciberseguridad Nacional apoya al Consejo de Seguridad Nacional en asuntos de ciberseguridad. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 11 ES RESTREINT UE/EU RESTRICTED 3.2 Pr i o r i dade s nac i ona l e s e n l o que r e s pe c t a a l a c i be r de linc ue nc i a La Estrategia de Ciberseguridad Nacional fija seis objetivos prioritarios específicos: 1) garantizar que los sistemas de información y telecomunicaciones que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia; 2) en lo que respecta a las empresas e infraestructuras críticas, impulsar la seguridad y resiliencia de los sistemas de información y telecomunicaciones usados por el sector empresarial en general y los operadores de infraestructuras críticas en particular; 3) en la esfera judicial y policial, potenciar las capacidades de prevención, detección, reacción, investigación y coordinación frente a las actividades del terrorismo y la delincuencia en el ciberespacio; 4) en lo que respecta a las campañas de sensibilización, sensibilizar a los ciudadanos, profesionales, empresas y Administraciones Públicas españolas de los riesgos derivados del ciberespacio; 5) en cuanto a la creación de capacidades, alcanzar y mantener los conocimientos, habilidades, experiencia y capacidades tecnológicas que necesita España para sustentar todos los objetivos de ciberseguridad; y 6) en lo referente a la cooperación internacional, contribuir a la mejora de la ciberseguridad apoyando el desarrollo de una política de ciberseguridad coordinada en la Unión Europea y en las organizaciones internacionales, así como haciendo uso de la política de cooperación al desarrollo para ayudar a los Estados que necesiten crear capacidades para ello. A fin de cumplir estos objetivos, el capitulo IV de la Estrategia fija, entre otras, como líneas de actuación las siguientes directrices: • integrar en el marco legal español las soluciones a los problemas que surjan relacionados con la ciberseguridad para la determinación de los tipos penales y el trabajo de los departamentos competentes; 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 12 ES RESTREINT UE/EU RESTRICTED • ampliar y mejorar las capacidades de los organismos con competencia en la investigación y persecución del ciberterrorismo y la ciberdelincuencia así como asegurar la coordinación de estas capacidades con las actividades en el campo de la ciberseguridad, a través del intercambio de información e inteligencia por los canales de comunicación adecuados; • asegurar a los profesionales del Derecho el acceso a la información y el nivel de conocimientos técnicos adecuado para la mejor aplicación del marco jurídico. Las prioridades nacionales están ligadas a los objetivos estratégicos y los planes de acción operativos elaborados en relación con la prioridad de la UE de lucha contra la delincuencia. 3.3 Es t a dí s t ic as e n m at e r i a de ci be r de l i nc ue nc i a 3 . 3 . 1 Pr i nc i pal e s te nde nc i as que c onduc e n a l a c i be r de linc ue nc i a Las autoridades españolas han elaborado una lista que recoge las siguientes tendencias principales en lo que respecta a la ciberdelincuencia en los últimos años: • explotación sexual infantil a través de Internet; • fraude en línea; • ataques informáticos. Según los últimos informes de la Fiscalía General del Estado, en 2012 se incoaron 7 957 procedimientos relacionados con hechos ilícitos cometidos haciendo uso de tecnologías de la información y la comunicación (TIC), y en 2013 se incoaron otros 11 990 procedimientos de este tipo. En el momento de la visita sobre el terreno, los datos correspondientes al año 2014, aún no habían plenamente contrastados, pero de la información examinada se constata claramente el incremento de los mismos. 7 En la Unidad de Investigación Tecnológica del Cuerpo Nacional de Policía, el número de investigaciones por hechos ilícitos relacionados con el uso de las TIC distribuidos por años es el siguiente: 286 investigaciones en el año 2012, 354 en 2013 y 348 en 2014. 7 Después de verificar los datos correspondientes a 2014 las autoridades españolas observaron un claro aumento de los casos de ciberdelincuencia (20 534). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 13 ES RESTREINT UE/EU RESTRICTED 3 . 3 . 2 Nú m e r o de cas os r e gi st r ados de c i be r de linc ue nc i a La Fiscalía General del Estado elabora informes anuales que compilan datos estadísticos sobre el enjuiciamiento de todo tipo de actividades delictivas. Desde 2011, todos los procedimientos judiciales o procedimientos de investigación penal relacionados con la ciberdelincuencia han sido supervisados por las fiscalías provinciales, y la información se emplea para obtener resultados cuantitativos y cualitativos a escala nacional para cada tipo concreto de delito. Según la Memoria de la Fiscalía General del Estado de los años 2012 y 2013, los datos estadísticos correspondientes a procedimientos incoados y escritos de acusación presentados, son los que aparecen en las tablas adjuntas. En el momento de la visita sobre el terreno aún no se habían recopilado las estadísticas correspondientes a 2014. No obstante, las autoridades españolas indicaron que los datos revelan un incremento muy significativo en el número de procedimientos relacionados con actos de ciberdelincuencia. PROCEDIMIENTOS INCOADOS 2012 TOTAL % Daños, sabotaje informático 66 0,83 Acceso sin autorización 76 0,96 Descubrimiento y revelación de secretos 420 5,28 Contra los servicios de radiodifusión 15 0,19 Estafa 5 992 75,30 Acoso a menores de 13 años 30 0,38 Pornografía y corrupción de menores o discapacitados 619 7,78 Contra la propiedad intelectual 40 0,50 Usurpación de Identidad 7 0,09 Falsificación documental 50 0,63 Injurias y calumnias contra funcionarios públicos 205 2,58 Amenazas y coacciones 240 3,02 Contra la integridad moral 33 0,41 Apología o incitación a la discriminación y/o genocidio 28 0,35 Otro tipo delictivo 136 1,71 TOTAL 7 957 100,00 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 14 ES RESTREINT UE/EU RESTRICTED ACUSACIONES MINISTERIO FISCAL - 2012 TOTAL % Daños, sabotaje informático 5 0,46 Acceso sin autorización 22 2,01 Descubrimiento y revelación de secretos 89 8,15 Contra los servicios de radiodifusión 12 1,10 Estafa 427 39,10 Acoso a menores de 13 años 12 1,10 Pornografía y corrupción de menores o discapacitados 343 31,41 Contra la propiedad intelectual 21 1,92 Usurpación de Identidad 3 0,27 Falsificación documental 20 1,83 Injurias y calumnias contra funcionarios públicos 15 1,37 Amenazas y coacciones 27 2,47 Contra la integridad moral 11 1,01 Apología o incitación a la discriminación y/o genocidio 4 0,37 Otro tipo delictivo 81 7,42 TOTAL 1 092 100,00 PROCEDIMIENTOS INCOADOS 2013 TOTAL % Daños, sabotaje informático 84 0,70 Acceso sin autorización 195 1,63 Descubrimiento y revelación de secretos 343 2,86 Contra los servicios de radiodifusión 17 0,14 Estafa 9 663 80,59 Acoso a menores de 13 años 69 0,58 Pornografía y corrupción de menores o discapacitados 521 4,35 Contra la propiedad intelectual 32 0,27 Falsificación documental 32 0,27 Injurias y calumnias contra funcionarios públicos 231 1,93 Amenazas y coacciones 249 2,08 Contra la integridad moral 160 1,33 Apología o incitación a la discriminación 14 0,12 Otro tipo delictivo 380 2,99 TOTAL 11 990 100,00 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 15 ES RESTREINT UE/EU RESTRICTED ACUSACIONES del Ministerio Fiscal 2013 TOTAL % Daños, sabotaje informático 13 1,03 Acceso sin autorización 39 3,09 Descubrimiento y revelación de secretos 71 5,63 Contra los servicios de radiodifusión 11 0,87 Estafa 618 48,97 Acoso a menores de 13 años 9 0,71 Pornografía y corrupción de menores o discapacitados 305 24,17 Contra la propiedad intelectual 14 1,11 Falsificación documental 12 0,95 Injurias y calumnias contra funcionarios públicos 11 0,87 Amenazas y coacciones 55 4,36 Contra la integridad moral 7 0,55 Apología o incitación a la discriminación 10 0,79 Otro tipo delictivo 87 6,89 TOTAL 1262 100,00 Los cuerpos y fuerzas de seguridad mantienen estadísticas independientes y separadas de las judiciales y fiscales. No obstante, las autoridades españolas está trabajando para resolver este problema estableciendo un protocolo de cooperación. Las estadísticas elaboradas por los cuerpos y fuerzas de seguridad son las siguientes: • la Unidad de Investigación Tecnológica del Cuerpo Nacional de Policía (UIT) informó de la apertura de 348 investigaciones centradas en delitos informáticos en 2014. El número de detenidos e imputados en 2014 en relación con delitos informáticos fue de 732 en 2014; • En 2014, las unidades de la Guardia Civil informaron de 162 operaciones contra la corrupción de menores y la pornografía infantil. El número de detenidos e imputados fue de 148. El equipo de evaluación pudo apreciar que una minoría de las investigaciones llega a la fase de juicio. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 16 ES RESTREINT UE/EU RESTRICTED 3.4 Pr e s upue s t o nac i onal de di c a do a pr e ve ni r c i be r de linc ue nc i a y f i nanc iac i ón de la UE y c om bat i r la Las autoridades españolas informaron de que, aunque no existe una partida presupuestaria asignada, la Estrategia de Ciberseguridad Nacional se modificará en el futuro, permitiendo que se asignen cantidades a cada uno de los operadores del sector. 3.5 Co nc l us i one s • La Estrategia de Ciberseguridad Nacional se adoptó en España en 2013. Desde entonces se ha desarrollado el sistema, formado por diferentes organismos gubernamentales responsables de la aplicación de la estrategia y de la respuesta inmediata antes las diferentes amenazas en el ciberespacio. • En el nivel estratégico-político, se creó el Consejo de Ciberseguridad Nacional para apoyar al Consejo de Seguridad Nacional en asuntos de ciberseguridad. • El nivel táctico está formado por instituciones que representan a los cuerpos y fuerzas de seguridad y organismos de orientación técnica, como el Equipo de Respuesta a Emergencias Informáticas de Seguridad e Industria (CERTSI), para cubrir la seguridad y la resiliencia de las redes nacionales de infraestructuras, infraestructuras críticas, defensa y el sector privado. • Se han establecido seis objetivos específicos que incluyen tareas y resultados para reforzar las Administraciones Públicas, las empresas y las infraestructuras críticas, la cooperación internacional, la formación, la sensibilización y por último, aunque no por ello menos importante, medidas para cubrir y hacer frente al ciberterrorismo y la ciberdelincuencia. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 17 ES RESTREINT UE/EU RESTRICTED • Cada una de las instituciones implicadas en la prevención y detección (equipos de respuesta a emergencias informáticas), investigación (cuerpos y fuerzas de seguridad) y enjuiciamiento mantiene estadísticas relativas a casos de ciberdelincuencia dentro de sus propias competencias. Según se explicó al equipo de evaluación, cada año se elabora un informe penal conjunto (por parte de la Fiscalía y de los cuerpos y fuerzas de seguridad) en materia de ciberdelincuencia, siguiendo la definición proporcionada por el Convenio de Budapest para este tipo de delitos. • Sin embargo, no se dispone de estadísticas integradas a escala nacional, ni tampoco de estadísticas sobre personas condenadas por los diferentes tipos de delitos relacionados con la ciberdelincuencia. En el momento presente no existen estadísticas específicas y completas sobre delincuencia en el ciberespacio (es decir, que reproduzcan la cadena completa, incluidas las investigaciones iniciadas y los escritos de acusación presentados). Por consiguiente, podría resultar útil recoger y recopilar todas las estadísticas relacionadas con la ciberdelincuencia para proporcionar una visión general a escala nacional de cómo se está desarrollando el fenómeno. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 18 ES RESTREINT UE/EU RESTRICTED 4 ESTR UC TUR AS N ACI O NA LES 4.1 Adm i ni s tr a c i ón de j us t i ci a (m i ni st e r io públ i c o y t r i bunal e s ) 4.1.1 Estructura interna De conformidad con el artículo 773, apartado 2, de la Ley de Enjuiciamiento Criminal, el Ministerio Fiscal tiene la facultad de incoar y tramitar por si mismo investigaciones relacionadas con actividades ilícitas con el objetivo de comprobar la realidad del hecho y las personas responsables del mismo. Si las primeras diligencias estimaren que existen motivos suficientes para continuar el proceso, el fiscal deberá remitir las actuaciones practicadas al órgano judicial solicitando del mismo la incoación del proceso penal correspondiente. También el fiscal ha de remitir las actuaciones al juez cuando se incoe proceso penal por los mismos hechos. Los jueces de instrucción son responsables de la investigación en los procedimientos penales en España para todos los tipos de delito, al margen de los cometidos por menores. No obstante, el Ministerio Fiscal desarrolla en España una importante labor de colaboración con el órgano judicial en la fase de instrucción del proceso penal, que expresamente se reconoce en el artículo 773 de la Ley de Enjuiciamiento Criminal. España no cuenta con jueces especializados para instruir y juzgar casos de ciberdelincuencia. En 2011, la Fiscalía General del Estado creó un servicio especializado en delitos informáticos a escala nacional. El servicio es dirigido y coordinado desde la capital a través de un fiscal de sala (primera categoría) con competencia en todo el territorio del Estado. Este servicio especial dispone de una red de unidades territoriales, una por cada provincia (50 en total). Para cada una de estas unidades puede designarse uno o más fiscales, dependiendo de la carga de trabajo de cada fiscalía. Las competencias de este servicio vienen definidas en la Instrucción 2/2011 de la Fiscalía General del Estado. Los fiscales encargados del servicio –en función del volumen de procedimientos existentes en cada territorio– intervienen directamente en los expedientes o procedimientos por ciberdelincuencia y/o coordinan la actuación de los restantes fiscales en relación con ello. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 19 ES RESTREINT UE/EU RESTRICTED Dado que el Ministerio Fiscal en España se rige por los criterios de unidad de actuación y dependencia jerárquica –además de los de legalidad e imparcialidad– (art. 124 de la Constitución Española), la actuación en red de estos servicios garantiza y potencia la unidad de criterio y la coordinación de aquellas investigaciones –muy frecuentes en este tipo de actuaciones– relativas a hechos que producen efectos en diversos lugares del territorio español. 4.1.2 Capacidad de éxito de los procesos judiciales y obstáculos para los mismos A nivel operativo, se están tomando medidas específicas para reforzar la coordinación entre las unidades policiales especializadas en la investigación de la ciberdelincuencia y las unidades territoriales del Ministerio Fiscal que se ocupan de los delitos informáticos. Con ese mismo objetivo, a escala nacional se han constituido en la Unidad Central de Criminalidad Informática sendas oficinas de enlace con el Cuerpo Nacional de Policía y la Guardia Civil justamente para reforzar e impulsar la transmisión ágil y eficaz de la información y, en definitiva, la actuación coordinada de las distintas fuerzas policiales con el Ministerio Fiscal en esta materia. En lo que respecta a la formación de los profesionales de la Justicia, la política de especialización aplicada por el Ministerio Fiscal se ve reforzada por las medidas de formación destinadas a mejorar las competencias en este ámbito. Los fiscales especialmente implicados en la investigación de delitos informáticos pueden alcanzar un mayor grado de especialización, mientras que otros fiscales pueden mejorar su conocimiento general de este ámbito. Sin embargo, el equipo de evaluación fue informado de que los jueces de instrucción, que desempeñan también un papel importante en las investigaciones, no participan a menudo en estas formaciones. Las autoridades españolas mencionaron que muchos de los obstáculos para procesar a los ciberdelincuentes proceden de la naturaleza transfronteriza de este tipo de delitos. La naturaleza de la ciberdelincuencia es tal que afecta a diferentes territorios y jurisdicciones. Si las consecuencias se sufren en diferentes provincias españolas, la práctica habitual es iniciar investigaciones en todos los lugares afectados. En estos casos, la coordinación de todas las investigaciones es crucial para evitar los retrasos indebidos que podrían surgir si cada uno de los organismos judiciales implicados se 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 20 ES RESTREINT UE/EU RESTRICTED inhibe (con el riesgo subsiguiente de que se pierdan o se desactiven pruebas electrónicas), proporcionando al mismo tiempo una respuesta global de la justicia penal que sea proporcional a la escala real del delito. Uno de los objetivos prioritarios de la unidad especializada en delitos informáticos del Ministerio Fiscal es velar por la necesaria coordinación de las investigaciones con consecuencias múltiples en diferentes partes del territorio nacional español. Por tanto, el sistema de comunicación entre los fiscales especializados destinados en cada una de las provincias españolas permite formular una respuesta coherente y apropiada a este fenómeno. Sin embargo, si estas actividades rebasan las fronteras estatales, los mecanismos de cooperación internacional no siempre funcionan lo bastante rápido. En algunos casos, esto puede perjudicar a la eficacia de la investigación. En el momento de la visita sobre el terreno, la legislación insuficiente se mencionó también como uno de los principales problemas que dificultan el éxito de los procesos judiciales. No obstante, se han observados avances considerables en el ámbito sustantivo con el fin de adaptar la legislación a las exigencias derivadas de estas nuevas formas de delincuencia. La reforma introducida por la Ley Marco 5/2010, por la que se traspone la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, representó un paso fundamental, así como la actualización del Código Penal por la que se clasifican nuevos tipos de comportamiento relacionados con el uso de las TIC y se adaptan otros tipos de delitos ya existentes para tener en cuenta las formas específicas en que pueden cometerse haciendo uso de la tecnología. Otro paso importante fue la introducción de la Ley Marco 1/2015, por la que se aplican la Directiva 2011/93/JAI relativa a la lucha contra los abusos sexuales y la explotación sexual de menores y la pornografía infantil y la Directiva 2013/40/UE relativa a los ataques contra los sistemas de información, que entró en vigor el 1 de julio de 2015. Introdujo la interceptación de datos electrónicos y modificaciones respecto a los delitos sexuales, los delitos relativos al descubrimiento y la revelación de secretos, daños informáticos, etc. En lo que respecta a la normativa procedimental, las autoridades españolas informaron durante la visita de la inexistencia de normas procedimentales aplicables a muchas de las técnicas de investigación. Sin embargo, la Ley Orgánica 13/2015 de 5 de octubre que modifica la Ley de Enjuiciamiento Criminal para reforzar las garantías procesales y regular las medidas de investigación tecnológica resuelve muchos de los problemas relativos a las investigaciones tecnológicas. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 21 ES RESTREINT UE/EU RESTRICTED Los cuerpos y fuerzas de seguridad mencionaron los siguientes fenómenos como principales escollos: • la naturaleza transnacional de los delitos tecnológicos; • las dificultades a la hora de establecer la competencia judicial de las investigaciones. 4.2 Cue r pos y f ue r zas de s e gur idad España posee dos cuerpos y fuerzas de seguridad para prevenir y combatir la ciberdelincuencia: el Cuerpo Nacional de Policía y la Guardia Civil. Ambos están integrados en el Ministerio del Interior y son coordinados por la Secretaría de Estado de Seguridad. El Cuerpo Nacional de Policía Incluye la Unidad de Investigación Tecnológica (UIT), encargada de la prevención y represión de los delitos tecnológicos como unidad central con competencia en todo el territorio nacional, así como en todo lo relativo a la colaboración internacional, formación y apoyo técnico a otras unidades. La UIT está formada por dos brigadas: la Brigada central de Investigación Tecnológica y la Brigada central de Seguridad Informática. La Brigada central de Investigación Tecnológica está compuesta a su vez por tres secciones: una sección de lucha contra la explotación sexual infantil en Internet cuyo cometido principal es la investigación de delitos contra menores en Internet; una sección de Redes dedicada a la investigación de delitos cometidos en el ámbito de las Redes Sociales, así como investigaciones en Fuentes Abiertas y delitos de amenazas, calumnias e injurias cometidos en Internet y una sección técnica que presta apoyo técnico a la propia unidad y a otras unidades operativas y realiza tareas tanto de formación como de Investigación y Desarrollo. Por otro lado la Brigada central de Seguridad Informática está compuesta de dos secciones: una de seguridad lógica dedicada a la investigación de todo tipo de ataques informáticos, intrusiones, uso de malware, etc. y otra de fraude en línea que investiga una amplia variedad de fraudes cometidos a través del uso de las nuevas tecnologías. Cada una de las secciones mencionadas está compuesta por grupos especializados en las diferentes áreas de la delincuencia informática. El Cuerpo Nacional de Policía cuenta también con unidades regionales encargadas de la prevención y represión de los delitos tecnológicos en sus respectivas demarcaciones policiales. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 22 ES RESTREINT UE/EU RESTRICTED La Guardia Civil La Guardia Civil cuenta con un planteamiento estratégico para combatir los delitos cometidos en Internet. Este planteamiento consiste en diferenciar las Unidades de Seguridad Ciudadana, como unidades policiales genéricas, de las Unidades de Policía Judicial específicas. Mientras que las primeras son las llamadas a recibir la inmensa mayoría de las denuncias, ya que son el primer contacto con el que cuentan las víctimas de ciberdelitos, sobre las Unidades de Policía Judicial recae la responsabilidad de investigar aquellos hechos delictivos que requieren una formación específica. Las Unidades Orgánicas de Policía Judicial cuentan con una Sección de Investigación que aborda los casos más graves. Los denominados delitos tecnológicos o ciberdelitos se investigan desde dos frentes distintos: • los delitos relacionados con personas son afrontados por los Equipos Mujer-Menor (EMUME), responsables de las investigaciones vinculadas a la pornografía infantil y a delitos cometidos contra menores, incluida la corrupción de menores. Además de investigar la ciberdelincuencia como tal, el objetivo en último término es identificar a las víctimas infantiles y, cuando los autores del delito son menores a su vez, velar por que la investigación sea realizada por personal especializado; • los delitos relacionados con el patrimonio son combatidos por los EDITE (Equipos de Investigación Tecnológica), responsables de hacer frente a todo delito que se sirva para su comisión de herramientas tecnológicas cuya complejidad exija investigadores especialmente formados, a excepción de los delitos relacionados con menores. A escala nacional y operativa, existen también los siguientes actores implicados en la lucha contra la ciberdelincuencia: 1) el Grupo de Delitos Tecnológicos (GDT) de la Unidad Central Operativa (UCO) el que desarrolla la investigación de este tipo de hechos cuando revisten especial dificultad, complejidad o trascendencia. Igualmente, presta los apoyos técnico-operativos requeridos por las unidades territoriales antes mencionadas. 2) dentro de la Unidad de Inteligencia Criminal, se dispone de una Sección de Análisis Criminal que se encarga de la elaboración de la inteligencia relativa a la ciberdelincuencia, canaliza las informaciones e intercambios de datos, tanto a nivel nacional como internacional, dirige la participación en los foros que se establecen al respecto (nacionales o internacionales), realiza un seguimiento de los estudios de casos en este ámbito, coordina las investigaciones de las unidades cuando es preciso, se encarga de materializar la formación y actualización técnica y operativa de los especialistas de las unidades operativas de la policía judicial, y centraliza las relaciones institucionales que, en el ámbito de la policía judicial, tengan relación con la ciberdelincuencia. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 23 ES RESTREINT UE/EU RESTRICTED 3) en el Servicio de Criminalística, el Departamento de Electrónica e Informática (DEI) tiene como cometido la realización de peritajes informáticos y digitales así como el análisis forense de los dispositivos e indicios electrónicos, intervenidos en actuaciones de las unidades operativas y que servirán posteriormente como prueba ante los tribunales de justicia. 4) la Jefatura de Información posee un área dedicada en exclusiva a combatir el ciberterrorismo en todas sus vertientes y cualquier grupo que pueda considerarse como desestabilizador para la seguridad nacional. Las Comunidades Autónomas –el País Vasco, Cataluña y Navarra– poseen también cuerpos policiales con plenos poderes para investigar delitos en sus respectivos territorios. A fin de evitar el posible solapamiento de las investigaciones, se ha puesto en funcionamiento un sistema nacional de conformidad con el cual tanto el Cuerpo Nacional de Policía como la Guardia Civil incorporan información operativa a una plataforma denominada SINVES, vinculada al Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO). El CITCO está encuadrado en la Secretaría de Estado de Seguridad del Ministerio del Interior español. Por consiguiente, las investigaciones relacionadas o paralelas se detectan desde el primer momento. Cuando existen coincidencias, existe un protocolo especial para resolver la cuestión. El protocolo se basa inicialmente en un acuerdo entre las partes implicadas; si no es posible alcanzar un acuerdo, la decisión la toma el Ministerio del Interior. En caso de desacuerdo importante entre las fuerzas de seguridad es el protocolo de coordinación, dependiente de la Secretaría de Estado de Seguridad, el que zanja la cuestión. 4.3 O t r a s autor i dade s /i ns t it uc i one s / as oc iac i ón públ i c o- pri vada El Consejo de Ciberseguridad Nacional El Consejo de Ciberseguridad Nacional es un órgano político con una composición variada y flexible que posee una visión general completa de los problemas que afectan a la ciberseguridad. Está formado por representantes del Ministerio de Justicia, el Ministerio de Hacienda y Administraciones Públicas, el Ministerio de 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 24 ES RESTREINT UE/EU RESTRICTED Fomento, el Ministerio de Empleo y Seguridad Social, el Ministerio de Economía y Competitividad, el Centro Nacional de Inteligencia, el Ministerio de Educación, Cultura y Deporte, el Ministerio de Industria, Energía y Turismo, el Ministerio del Interior, el Ministerio de Defensa y el Ministerio de Asuntos Exteriores. Otros actores y especialistas pueden participar en sus reuniones si se considera necesario. Existen grupos de trabajo especializados creados como órganos de apoyo al Consejo de Ciberseguridad Nacional. El Consejo de Ciberseguridad Nacional apoya el trabajo del Consejo de Seguridad Nacional en el cumplimiento de sus funciones, particularmente asistiendo al presidente del Gobierno para dirigir y coordinar la Política de Seguridad Nacional en el ámbito de la ciberseguridad. Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) Este órgano ministerial es responsable de la dirección, la coordinación y el seguimiento de las actividades de la Secretaría de Estado de Seguridad del Ministerio del Interior en lo relacionado con la protección de infraestructuras críticas (PIC) en toda España. Su objetivo principal es ser el eje fundamental sobre el que pivota el Sistema Nacional de Protección de Infraestructuras Críticas español. Para el correcto ejercicio de sus funciones, como órgano director y coordinador de todo el sistema, el CNPIC mantiene estrechas relaciones tanto con otros departamentos de la Administración Pública, a nivel central y territorial, como con las empresas gestoras y propietarias de infraestructuras, tanto públicas como privadas. En 2014 se creó en el seno del CNPIC la Oficina de Coordinación Cibernética (OCC) con el objetivo de asegurar la gestión eficiente de las actividades de la Estrategia de Ciberseguridad Nacional que se encuentran bajo la jurisdicción del Ministerio del Interior. La OCC es también la interfaz natural con el CERTSI. Instituto Nacional de Ciberseguridad (Instituto Nacional de Ciberseguridad - INCIBE) y su Equipo de Respuesta a Emergencias Informáticas (CERT de Seguridad e Industria - CERTSI) Este organismo depende del Ministerio de Industria, Energía y Turismo de España. Su principal objetivo es contribuir a mejorar el nivel de seguridad TIC (Tecnología de la Información y las Comunicaciones) para industria y ciudadanos. Se encarga de la prevención y concienciación, y también de dar soporte a las víctimas ayudándolas a eliminar las infecciones informáticas. Asimismo, el INCIBE trabaja en la detección anticipatoria de victimas de botnets para su desinfección. Las principales líneas de trabajo son: 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 25 ES RESTREINT UE/EU RESTRICTED 1) La promoción de los servicios en el ámbito de la ciberseguridad que permitan el aprovechamiento de las TIC y eleven la confianza digital. En concreto, el INCIBE trabaja en la protección de la privacidad de los usuarios, fomenta el establecimiento de mecanismos para la prevención y reacción a incidentes de seguridad de la información, al tiempo que minimiza su impacto en el caso de que se produzcan, y promueve el avance de la cultura de la seguridad de la información a través de la concienciación y la formación. Las empresas y organizaciones disponen de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la comunicación para aprovechar al máximo las posibilidades de las TIC de forma segura y fiable. Focos de atención especial: Empresas y profesionales que hacen uso de las TIC: el INCIBE dedica especial atención a la protección de los sectores estratégicos, imprescindibles para la economía y la sociedad, así como a las instituciones afiliadas a RedIRIS. Expertos en ciberseguridad: a través de su equipo de especialistas en ciberseguridad, el INCIBE ofrece servicios de información y respuesta a colectivos de expertos y a profesionales a fin de mejorar los niveles de ciberseguridad en España. Ciudadanos: la Oficina de Seguridad del Internauta (OSI) es el servicio gratuito que proporciona información y soporte al usuario final para evitar y resolver los problemas de seguridad que le pueden surgir al navegar por Internet, sobre todo en sus primeros pasos en las nuevas tecnologías. 2) Investigación: el INCIBE cuenta con capacidad para abordar una amplia gama de proyectos complejos e innovadores. La dinámica de sus operaciones está asimismo orientada a la investigación, lo que permite que el INCIBE cuente con capacidad para generar inteligencia en ciberseguridad como motor para abordar su aplicación en nuevas tecnologías y mecanismos que reviertan también en la mejora de los servicios. 3) Coordinación: el INCIBE participa en redes de colaboración que facilitan la inmediatez, globalidad y efectividad a la hora de desplegar una actuación en el ámbito de la ciberseguridad, contando siempre con una perspectiva basada en la experiencia y en el intercambio de información. Por ello, la coordinación y colaboración con otras entidades, tanto públicas como privadas, nacionales e internacionales, de todo el ámbito de la ciberseguridad son características esenciales de la actividad del INCIBE. Este organismo se orienta de modo específico a los menores a fin de prevenir los riesgos específicos que plantea para ellos el uso de la tecnología en el ciberespacio (el «ciberhogar», la «ciberescuela» y el conjunto «ciberjuventud»). En relación con el Centro Antibotnet, el INCIBE se encarga de detectar y limpiar los dispositivos infectados de los usuarios. Además, el INCIBE imparte formación a los agentes de policía y cuenta con una herramienta forense portátil a la que solo pueden acceder los cuerpos y fuerzas de seguridad. Los agentes de policía colaboran con el INCIBE. Tienen acceso a las actividades desarrolladas por el INCIBE y el CERTSI del INCIBE se comunica con la Oficina de Coordinación Cibernética (OCC), que pertenece al Ministerio del Interior. Hay un oficial de policía destinado en el cuartel general del INCIBE para asesorar sobre la información que se ha de enviar a los cuerpos y fuerzas de seguridad para ulterior investigación. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 26 ES RESTREINT UE/EU RESTRICTED Mando Conjunto de Ciberdefensa de las Fuerzas Armadas (MCCD) Este órgano forma parte de la estructura operativa, subordinado al Jefe de Estado Mayor de la Defensa (JEMAD), y es responsable de realizar el planeamiento y la ejecución de las acciones relativas a la ciberdefensa militar en las redes y sistemas de información y telecomunicaciones de las Fuerzas Armadas u otros que pudiera tener encomendados, así como contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional. CCN-CERT El CCN-CERT, CERT Gubernamental Nacional, es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN). Este servicio se creó en el año 2006 como el CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002, por la que se rige el Centro Nacional de Inteligencia, el Real Decreto 421/2004, por el que se rige el CCN, y en el Real Decreto 3/2010, de 8 de enero, por el que se rige el Esquema Nacional de Seguridad (ENS). Es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas, de las administraciones públicas (a nivel general, autonómico y local) y de empresas y organizaciones de interés estratégico para el país. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, haciendo de centro de alerta y respuesta nacional que coordine, facilite respuestas rápidas y eficaces a los ciberataques y afronte de forma anticipatoria las ciberamenazas. Desde el CCN-CERT se llevan a cabo acciones de concienciación ante las ciberamenazas en sentido amplio en numerosos foros públicos y privados: el CCN-CERT también se encarga de formar al personal funcionario de las administraciones públicas en diferentes aspectos de la ciberseguridad. En este sentido, aunque la preocupación principal de este órgano sigue siendo el ciberespionaje, es cierto que muchas de las TTP (técnicas, tácticas y procedimientos) son comunes entre los diferentes actores de la amenaza y, por tanto, también las recomendaciones de seguridad que se ofrecen. Asimismo, el CCN-CERT dispone de sistemas de detección temprana de ciberataques desplegados en las administraciones públicas y empresas de interés estratégico, por lo que se notifican de manera habitual ataques informáticos que afectan a la sociedad española relacionados con el mundo de la ciberdelincuencia (Ej: troyanos bancarios, ransomware, botnets, etc.). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 27 ES RESTREINT UE/EU RESTRICTED Si bien el equipo de evaluación recibió detalles de una serie de investigaciones y enjuiciamientos, fue difícil precisar cuántos de los incidentes notificados a través del CCN-CERT como parte de su actividad en diferentes ámbitos habían dado lugar a investigaciones. Asociaciones público-privadas La cooperación con el sector privado es voluntaria y se basa en el entendimiento mutuo. El sector privado participa en la prevención (a través de campañas de concienciación) y en la lucha contra la ciberdelincuencia (denunciando delitos penales y facilitando datos a los cuerpos y fuerzas de seguridad de acuerdo con las disposiciones legales). Desde el punto de vista de la legislación, a dicha cooperación se aplica la Ley 25/2007 de conservación de datos y la Ley 34/2002 de servicios de la sociedad de la información y del comercio electrónico. Las instituciones privadas tienen la obligación genérica de denunciar todo tipo de delitos de los que tengan conocimiento; en general, los datos de identificación de autores requieren que la Autoridad Judicial expida un mandamiento judicial. Lo mismo puede decirse respecto al cierre o bloqueo de páginas web. El tipo de cooperación puede variar considerablemente en función del delito investigado y del perfil de la empresa: salvaguarda de datos o imágenes, cooperación en análisis forenses, control del acceso o instalación de alarmas basadas en pautas de comportamiento predeterminadas por los cuerpos y fuerzas de seguridad. 4.4 Co o pe r ac i ón y c oor di nac i ón a ni ve l nac i onal 4.4.1 Obligaciones legales o de actuación La Estrategia de Ciberseguridad Nacional está basada en una serie de principios rectores como dirección nacional y la coordinación de esfuerzos, así como la responsabilidad compartida. De la puesta en práctica de estos requisitos se encarga el Consejo de Seguridad Nacional, un órgano gubernamental colegiado de marcado carácter político presidido por el presidente de Gobierno, que dirige y supervisa la Política de Ciberseguridad Nacional. Además, dependientes del Consejo de Seguridad Nacional existen una serie de grupos de trabajo en los que los organismos competentes en cada caso elaboran los diferentes planes derivados que compondrán el Plan Nacional de Ciberseguridad. Algunos de estos planes derivados afectan específicamente a la ciberdelincuencia. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 28 ES RESTREINT UE/EU RESTRICTED Las autoridades españolas suponen que todos los agentes públicos y privados con responsabilidad en esta materia, incluyendo también a los propios ciudadanos, han de sentirse implicados con la ciberseguridad. Para ello, se hace precisa una intensa coordinación de los diferentes organismos de las administraciones públicas y una adecuada cooperación público-privada capaz de compatibilizar iniciativas y propiciar el intercambio de información. A fin de asegurar la coordinación entre las distintas autoridades nacionales, en el Plan se contemplan las siguientes líneas de acción: • LÍNEA DE ACCIÓN 1: Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas Asegurar la coordinación, la cooperación y el intercambio de información entre la administración general del Estado, las comunidades autónomas, las entidades locales, el sector privado y los organismos competentes de la UE e internacionales para asegurar la permanente concienciación, formación y capacidad de respuesta a través del Sistema de Intercambio de Información y Comunicación de Incidentes. Asegurar la cooperación de los órganos con responsabilidades en materia de ciberseguridad, en especial entre el CERT de la administración pública del Centro Criptológico Nacional (CCNCERT), el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas (MCCD) y el CERT de Seguridad e Industria. • LÍNEA DE ACCIÓN 3: Seguridad de los sistemas de información y telecomunicaciones que soportan las infraestructuras críticas Ampliar y mejorar las capacidades del CERTSI, potenciando la colaboración y coordinación con el Centro Nacional para la Protección de Infraestructuras Críticas, con los diferentes órganos con capacidad de respuesta ante incidentes y con las unidades operativas de las fuerzas y cuerpos de seguridad del estado. • LÍNEA DE ACCIÓN 4: Capacidad de investigación y persecución del ciberterrorismo y la ciberdelincuencia. Ampliar y mejorar las capacidades de los organismos con competencia en la investigación y persecución del ciberterrorismo y la ciberdelincuencia así como asegurar la coordinación de estas capacidades con las actividades en el campo de la ciberseguridad, a través del intercambio de información e inteligencia por los canales de comunicación adecuados. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 29 ES RESTREINT UE/EU RESTRICTED Asegurar a los profesionales del Derecho el acceso a la información y a los recursos que les proporcionen el nivel de conocimientos en el ámbito judicial necesario para la mejor aplicación del marco legal y técnico asociado. En este sentido, es especialmente importante la cooperación entre el Consejo General del Poder Judicial, la Abogacía del Estado, la Fiscalía General del Estado, la Fiscalía Coordinadora de la Criminalidad Informática y el Consejo General de la Abogacía Española. Los operadores de infraestructuras críticas y el CERTSI han desarrollado un modelo de colaboración en el que se comparte información entre estas entidades y el equipo de respuesta del CERTSI, que se encarga de tratarla de forma adecuada para que pueda ser comunicada a efectos de una mejor protección. Si bien la línea 1 del Plan Nacional de Ciberseguridad prevé la cooperación entre las entidades responsables de la ciberseguridad, en especial entre la administración pública, como el CCN-CERT, el MCCD, el INCIBE y los cuerpos y fuerzas de seguridad del Estado, se informó al equipo de evaluación de que los expertos del INCIBE no están al tanto del seguimiento dado a los informes que se envían a los cuerpos y fuerzas de seguridad. Por este motivo, es difícil evaluar la utilidad de la información transmitida a los cuerpos y fuerzas de seguridad, dado que se carece de información de retorno al respecto. Los proveedores de servicios de Internet están obligados a conservar los datos asociados a las comunicaciones en virtud de la Ley 25/2007 de conservación de datos. Los proveedores de servicios, según la Ley 34/2002 (Ley de servicios de la sociedad de la información y del comercio electrónico), no son responsables de los contenidos que transmiten o alojan o a los que facilitan acceso, si no participan en su elaboración o no tienen conocimiento de la ilegalidad de los mismos. Son responsables si conocen su ilicitud y no actúan rápidamente para retirarlos o imposibilitar el acceso a ellos. En tal caso, tienen la obligación de denunciar los contenidos delictivos que detecten en sus servidores. Las solicitudes de bloqueo de acceso a contenidos o sitios web o de retirada de los mismos deberán ser requeridas con un mandamiento judicial. Se considera que la cooperación con el sector privado es excelente. Las autoridades españolas consideran que la clave del éxito reside en un entorno de confianza. España ha realizado un gran esfuerzo para conseguir una buena relación entre el sector público y el privado. No obstante, el equipo de evaluación observó que la política se centra en el acuerdo con los grandes operadores privados (como Telefónica). Además, si bien se observó una intensa y eficaz colaboración entre los proveedores de servicios de Internet y los cuerpos y fuerzas de seguridad del Estado, dicha 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 30 ES RESTREINT UE/EU RESTRICTED colaboración carece de una base firme de soluciones jurídicamente vinculantes. A juicio de los evaluadores, esto podría mejorarse mediante la celebración de acuerdos destinados, por ejemplo, a establecer un protocolo de notificación de incidentes. 4.4.2 Recursos asignados a la mejora de la cooperación El INCIBE asigna recursos destinados a la cooperación con el sector privado. Asimismo, ha iniciado actividades de concienciación en cooperación con el sector privado, entre las que cabe citar: • la Oficina de Seguridad del Internauta del INCIBE, operativa desde 2009, con servicios y contenidos de ciberseguridad para el público en general y para los menores; • un sitio web con servicios y contenidos de ciberseguridad para pymes y profesionales: Protege tu empresa. El equipo de evaluación tuvo la oportunidad de visitar Telefónica, la primera compañía española del sector de la telefonía fija y móvil. Existe un acuerdo de cooperación con el Gobierno español. Telefónica señaló el enorme incremento de material de abuso sexual en los últimos años, así como el hecho de que este tipo de material, que puede alojarse y al que puede accederse mediante dispositivos tanto móviles como fijos, representa un desafío de primera magnitud para ellos y para las autoridades españolas. Hay un contacto permanente entre Telefónica y los cuerpos y fuerzas de seguridad del Estado. Hay agentes de policía destinados en las oficinas de Telefónica encargados de asesorar a la compañía. También se dispone de un canal seguro para el intercambio de información. 4.5 • Co nc l us i one s En el sistema judicial español los fiscales desempeñan un importante papel en la investigación de los casos de ciberdelincuencia. Desde 2011 la Fiscalía española desarrolla una red nacional de fiscales especializados en ciberdelincuencia. La jurisdicción se basa en la Instrucción dictada por el Fiscal General, que abarca los principales actos de ciberdelincuencia. La Instrucción se aplica con carácter obligatorio a las competencias de los cuerpos y fuerzas de seguridad del Estado. Las fiscalías incorporan representantes de la Policía Nacional y de la Guardia Civil destinados en comisión de servicio a fin de facilitar la cooperación administrativa entre estas instituciones. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 31 ES RESTREINT UE/EU RESTRICTED Con arreglo a la legislación española, el juez de instrucción se encarga de la investigación en los procedimientos penales relacionados con cualquier tipo de delito (incluida la ciberdelincuencia) a excepción de los cometidos por menores. No obstante la fiscalía española tiene un importante papel que desempeñar durante la fase de investigación preliminar de los procedimientos penales en términos de asistencia al juez de instrucción. Se explicó al equipo de evaluación que los jueces de instrucción no están especializados en ciberdelincuencia. Lo mismo se aplica a los jueces responsables de las vistas. El equipo de evaluación opina que la investigación, el enjuiciamiento y la resolución de los casos de ciberdelincuencia requieren conocimientos específicos y que el éxito en el enjuiciamiento y la sentencia depende en gran medida del grado de pericia y experiencia de las autoridades encargadas de la investigación y resolución del caso. En consecuencia, los jueces, en particular los de instrucción, deben recibir una formación más amplia en materia de ciberdelincuencia. Durante la visita sobre el terreno resultó difícil evaluar cómo se desarrollan los casos en la práctica en niveles específicos y cómo se relacionan los jueces instructores con la información, fundamentalmente en materia de ciberdelincuencia. Además, no quedó claro si las autoridades judiciales, en especial los jueces de instrucción que desempeñan una función en la fase de investigación, intervienen o no en los contactos con el sector privado. Por ello España debería considerar la posibilidad de que los fiscales y los agentes de los cuerpos y fuerzas de seguridad intervengan en las reuniones o debates con el sector privado a fin de asegurar que las pruebas se recogen de conformidad con la legislación vigente y son admisibles a efectos del juicio. España cuenta con dos cuerpos o fuerzas de seguridad que intervienen en la lucha contra la ciberdelincuencia. Dentro del Cuerpo Nacional de Policía, existe una unidad policial especializada para la investigación de los delitos informáticos, la Unidad de Investigación Tecnológica (UIT), que tiene oficinas de ámbito local, regional y nacional coordinadas por órganos de cooperación policial. Estos órganos policiales cuentan con oficiales especializados en la ciberdelincuencia. La Guardia Civil también posee grupos especializados a nivel tanto central como regional. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 32 ES RESTREINT UE/EU RESTRICTED Aunque España tiene dos cuerpos o fuerzas de seguridad distintos activos en el ámbito de la prevención y la lucha contra la ciberdelincuencia, existe un sistema nacional que permite a ambos actores, la Policía Nacional y la Guardia Civil, cargar la información operativa en una plataforma general (el CITCO). Cuando existen coincidencias, existe un protocolo especial para resolver la cuestión. El INCIBE es un órgano gubernamental que responde ante el Ministerio de Industria, Energía y Turismo, y que se ocupa de las amenazas informáticas fuera del marco de los cuerpos y fuerzas de seguridad y del sistema judicial. Con todo, se mantiene estrechamente vinculado a estos, como órgano forense que presta sus servicios a estas organizaciones, entre otras. Es preciso señalar que en los departamentos del INCIBE hay numerosos agentes de policía destinados en comisión de servicio a fin de mejorar y racionalizar la cooperación y la coordinación entre los dos ámbitos principales del sistema de lucha contra la ciberdelincuencia, a saber, las TI y la actuación policial. Esta solución específica puede ser también ventajosa, al permitir una cooperación más flexible en comparación con los cuerpos y fuerzas de seguridad. Por consiguiente, a juicio de los evaluadores, el trabajo realizado por el INCIBE y la forma en que está conectado con los cuerpos y fuerzas de seguridad pueden considerarse como práctica de referencia. Sin embargo, el marco jurídico vigente no contempla que los cuerpos y fuerzas de seguridad proporcionen información de retorno al INCIBE. Desde la perspectiva de los expertos del INCIBE, estos dejan de tener conocimiento del caso en el momento en que presentan el informe a los cuerpos y fuerzas de seguridad, mientras el INCIBE no recibe información de retorno alguna sobre los ulteriores procedimientos incoados por los cuerpos y fuerzas de seguridad, sus decisiones o cualquier deficiencia en el material enviado. Desde el punto de vista del equipo de evaluación, tal información de retorno podría facilitar la cooperación mutua entre los dos principales interesados en la lucha contra la ciberdelincuencia y mejorar la calidad y eficacia de sus esfuerzos. El cometido del CCN-CERT es contribuir a la mejora de la seguridad informática en España, organizando la forma en que se abordan y se gestionan los incidentes informáticos que afectan a los sistemas clasificados pertenecientes a la administración pública. El CERTSI coopera con las compañías privadas, los ciudadanos y los operadores de infraestructuras críticas, mientras que el CNPIC mantiene estrechas relaciones tanto con otros departamentos de la Administración Pública, a nivel central y territorial, como con las empresas gestoras y propietarias de infraestructuras, tanto públicas como privadas. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 33 ES RESTREINT UE/EU RESTRICTED La impresión general es que España tiene un sistema muy complejo de CERT diferentes en el sector público y el privado. Aunque coexisten en paralelo, cada institución tiene la capacidad de gestionar emergencias informáticas con eficacia, con contribuciones técnicas y tácticas a las investigaciones. Con todo, durante la visita sobre el terreno no quedó clara la forma precisa en que todos los CERT se coordinan y supervisan a nivel nacional. Se observó el desarrollo de una asociación entre el sector público y el privado en el sector de las tecnologías de la información con varios actores. Si bien se constató una colaboración intensa y eficaz entre los proveedores de servicios de Internet y los cuerpos y fuerzas de seguridad del Estado, es conveniente fijar estas relaciones en una base jurídica (mediante la celebración de acuerdos, por ejemplo) a fin de establecer un protocolo de notificación de incidentes y, siempre que sea posible, hacer que intervengan miembros del cuerpo judicial para asegurar la coordinación efectiva de las actividades emprendidas. La política de centrarse en los grandes operadores privados (como Telefónica) y de establecer una buena colaboración y mecanismos de notificación con ellos no debería ir en detrimento de la cooperación con los pequeños operadores. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 34 ES RESTREINT UE/EU RESTRICTED 5 ASPE CT O S JURÍ DI CO S 5. 1 De r e c ho pe nal s us t a nt i vo cor r e s pondi e nt e a la c i be r del i nc ue nc ia 5.1.1 Convenio del Consejo de Europea sobre la Ciberdelincuencia España ha ratificado el Convenio de Budapest sobre la Ciberdelincuencia (BOE de 17 de septiembre de 2010). Algunas disposiciones del Convenio de Budapest se han incorporado al Derecho nacional, como el artículo 16 que regula la conservación de datos, mediante la Ley Orgánica 13/2015 que modifica la Ley de Enjuiciamiento Criminal para reforzar las garantías procesales y regular las medidas de investigación. El 11 de noviembre de 2014, España ratificó el Protocolo adicional al Convenio sobre la Ciberdelincuencia relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos, firmado en Estrasburgo el 28 de enero de 2003 (BOE de 30 de enero de 2015). 5.1.2 Descripción de la legislación nacional A/ Decisión Marco 2005/222/JAI del Consejo relativa a los ataques contra los sistemas de información y Directiva 2013/40/UE relativa a los ataques contra los sistemas de información La Decisión Marco 2005/222/JAI del Consejo relativa a los ataques contra los sistemas de información se transpuso al Código Penal español mediante la Ley Orgánica 5/2010 de 22 de junio de 2010. La Directiva 2013/40/UE relativa a los ataques contra los sistemas de información se transpuso mediante la Ley Orgánica 1/2015, de 30 de marzo de 2015, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre de 1995, del Código Penal (CP). Existe un amplio corpus jurídico vigente aplicable a los delitos informáticos 8. Las circunstancias atenuantes y agravantes se especifican en el CP. Conforme al Derecho español, son responsables criminalmente de los delitos los autores y los cómplices. Las personas jurídicas son responsables criminalmente de los delitos cometidos en el ejercicio de su actividad o en su provecho o en su nombre. 8 Debido al gran número de páginas, la descripción pormenorizada no se ha incluido en el informe. Para más información, véase el anexo D. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 35 ES RESTREINT UE/EU RESTRICTED Las enmiendas recientemente incorporadas para adaptar plenamente la legislación nacional a la normativa europea son las siguientes: En materia de acceso ilegal o interceptación ilegal de datos o sistemas Se tipifica en el nuevo artículo 197 bis del CP la interceptación de transmisiones no públicas de datos informáticos desde un sistema de información, hacia él o dentro de él, incluidas las emisiones electromagnéticas de los mismos. Asimismo se tipifica en el artículo 197 ter del CP que alguien, sin estar debidamente autorizado, produzca, adquiera, importe o de cualquier modo facilite a terceros determinadas herramientas e instrumentos que permitan el acceso ilegal a sistemas de información o la interceptación ilegal de los mismos, con la intención de cometer estos delitos. Se contempla como agravante específico la utilización no autorizada de datos personales de la victima en la ejecución de este tipo de delitos. En materia de daños informáticos Se establecen con mayor detalle las circunstancias de agravación en atención a la importancia de los daños causados o de los sistemas afectados, así como la afectación de infraestructuras críticas o de servicios públicos esenciales. Se contempla como agravante específico el que los hechos se cometan utilizando ilícitamente datos personales de otros. Se tipifica expresamente en el artículo 264 ter que alguien, sin estar debidamente autorizado y con intención de utilizarlos para ese fin produzca, adquiera, importe o de cualquier modo facilite a terceros determinadas herramientas e instrumentos que permitan realizar la comisión de este tipo de delitos. El equipo de evaluación no encontró definición alguna de «delito informático», «sistema informático» o «datos informáticos» en la legislación española. El CP no contiene capítulo específico sobre los delitos informáticos. La explicación que se dio fue que la Estrategia de Ciberseguridad Nacional define la ciberdelincuencia como los delitos contra los sistemas informáticos o la utilización de dichos sistemas para la comisión de actos delictivos, lo que es muy amplio y puede también plantear problemas a la hora de recopilar datos estadísticos. Como orientación, España se vale del Convenio de Budapest y de las leyes de transposición de las Directivas de la UE sobre ciberdelincuencia, así como de las instrucciones de la Fiscalía General del Estado. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 36 ES RESTREINT UE/EU RESTRICTED B/ Directiva 2011/93/UE relativa a la lucha contra los abusos sexuales y la explotación sexual de menores y la pornografía infantil La Directiva 2011/93/UE relativa a la lucha contra los abusos sexuales y la explotación sexual de menores y la pornografía infantil se transpuso mediante la Ley Orgánica 1/2015, de 30 de marzo de 2015, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre de 1995, del Código Penal 9. Como consecuencia, se eleva la edad del consentimiento sexual a los dieciséis años. La edad del consentimiento sexual prevista en el CP anteriormente era de trece años. De esta manera, la realización de actos de carácter sexual con menores de dieciséis años será considerada, en todo caso, como un hecho delictivo, salvo que se trate de relaciones consentidas con una persona próxima al menor por edad y grado de desarrollo o madurez. En el caso de los menores de edad –de menos de dieciocho años– pero mayores de dieciséis años, constituirá abuso sexual la realización de actos sexuales interviniendo engaño o abusando de una posición reconocida de confianza, autoridad o influencia sobre la víctima. Por otra parte, se tipifica expresamente la conducta de hacer presenciar a un menor de dieciséis años actos o abusos sexuales sobre otras personas y en estos casos se prevé la imposición de penas de hasta tres años de prisión. En los delitos relacionados con la prostitución, se establece una separación más nítida entre los comportamientos cuya víctima es una persona adulta, de aquellos otros que afectan a menores de edad o a personas con discapacidad necesitadas de especial protección. En este segundo caso, se elevan las penas previstas y se introducen nuevas agravantes para combatir el fenómeno de la prostitución infantil. Se modifica el artículo 187 con el objetivo de perseguir con mayor eficacia a quien se lucre de la explotación de la prostitución ajena. Se presta especial atención al castigo de la pornografía infantil. El CP establece una definición legal de pornografía infantil que abarca no sólo el material que representa a un menor o persona con discapacidad participando en una conducta sexual, sino también las imágenes realistas de menores participando en conductas sexualmente explícitas, aunque no reflejen una realidad sucedida. En relación con la pornografía infantil, se castigan los actos de producción y difusión, e incluso la asistencia a sabiendas a espectáculos exhibicionistas o pornográficos en los que participen menores de edad o personas con discapacidad necesitadas de especial protección. También se castiga el uso o la adquisición de pornografía infantil. Por esta misma razón, se faculta expresamente a los jueces y tribunales para que puedan ordenar la adopción de medidas necesarias para la retirada de Internet de las páginas web que contengan o difundan pornografía infantil o, en su caso, para bloquear el acceso a dichas páginas. 9 En el anexo D figuran ejemplos más detallados de los delitos establecidos con la reforma. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 37 ES RESTREINT UE/EU RESTRICTED Otra aportación importante es la tipificación penal del acceso en línea a material pornográfico, en el nuevo artículo 189, apartado 5, del CP. En ese sentido se había pronunciado ya la Convención de Budapest (si bien en ese punto dejaba libertad de decisión a los Estados miembros) y más recientemente la propia Directiva de la UE 2011/93, en su artículo 5, apartado 3. C/ Fraude en línea con tarjetas de pago La Ley sobre servicios de pago crea la obligación de denunciar las actividades fraudulentas tanto para el titular de la tarjeta como para el proveedor de los servicios de pago. Con esta obligación se pretende proteger la información de seguridad personalizada asociada a la tarjeta (PIN, claves de acceso, coordenadas para operar por Internet o cualquier otro elemento de seguridad). Asimismo requiere la comunicación inmediata en caso de extravío, sustracción o utilización fraudulenta de la tarjeta. Las entidades emisoras, los bancos adquirentes e incluso los procesadores de tarjetas cada vez se conciencian más de la necesidad de implementar las medidas de seguridad en este ámbito. Las empresas que ofrecen servicios de comercio electrónico, si son de cierta entidad, disponen de políticas de cumplimiento normativo en las que suelen incluir suficientes medidas de protección tendentes a evitar el fraude. Asimismo, las empresas de tratamiento de medios de pago y las entidades bancarias están adheridas a organizaciones dedicadas a reunir y difundir entre sus asociados información sobre modus operandi, técnicas y procedimientos utilizados por los delincuentes para obtener los datos de interés de las tarjetas. No obstante, todo ello indica que se viene percibiendo una preocupación concreta sobre la utilización de tarjetas y monederos virtuales. También las entidades financieras tienen sus propios equipos de seguridad que trabajan en la protección de sus intereses. El INCIBE también ha puesto en marcha el Centro Antibotnets, que informa a las víctimas de botnets de que están infectadas y les da los medios para su desinfección. Dado que gran parte de las botnets están dirigidas al robo de credenciales bancarias, los evaluadores consideran que este servicio puede resultar muy útil a la hora de contrarrestar esta actividad. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 38 ES RESTREINT UE/EU RESTRICTED 5.2 Cue s t i one s pr oc e sal e s 5.2.1 Técnicas de investigación En el momento de la visita, la Ley de Enjuiciamiento Criminal no prescribía técnicas específicas para los fines de investigación de la ciberdelincuencia. Sin embargo, después de la visita entró en vigor la Ley Orgánica 13/2015 que modifica la Ley de Enjuiciamiento Criminal para reforzar las garantías procesales y regular las medidas de investigación tecnológica. Resuelve muchas de las cuestiones que se plantean en las investigaciones que recurren a medios tecnológicos, al establecer explícitamente técnicas específicas de investigación tecnológica, entre otras las siguientes: • la interceptación de las comunicaciones telemáticas como vía de investigación criminal de los ilícitos que se cometen a través de la red; • la captación y grabación de comunicaciones orales abiertas mediante el empleo de dispositivos electrónicos (artículo 588 quater, letras a) y ss.); • la identificación de equipos o usuarios a partir de una dirección IP (artículo 588 ter, letra k)); • la identificación de los terminales mediante captación de códigos de identificación del aparato o de sus componentes (artículo 588 ter, apartado l); • Identificación de titulares o terminales o dispositivos de conectividad. (Artículo 588 ter m); • la utilización de dispositivos técnicos de seguimiento, localización y captación de la imagen (artículo 588 quinquies, letras a) y ss.); • el registro de dispositivos informáticos de almacenamiento masivo (artículo 588 sexies, letra a) y ss.) y el registro remoto de equipos informáticos (artículo 588 septies, letras a) y ss. ); • la actuación bajo identidad supuesta en los canales cerrados de comunicación telemática, mediante la regulación del agente encubierto informático y para la grabación de imágenes y conversaciones, cuando fuera preciso. Mientras tanto, a fines de lucha contra la ciberdelincuencia, la legislación española permite las técnicas de investigación siguientes: • Registro e incautación de sistemas de información o de datos informáticos El registro y la incautación de sistemas informáticos o datos informáticos no están previstos de forma expresa en la Ley de Enjuiciamiento Criminal (LEC). Por consiguiente, se aplican a dicho fin las normas relativas al registro domiciliario (artículo 567 de la LEC) y las disposiciones sobre registro e intervención de libros, papeles y efectos del delito (artículos 573 a 578 de la LEC). Esta materia es objeto de una reforma de la LEC. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 39 ES RESTREINT UE/EU RESTRICTED • Interceptación y recopilación instantáneas de datos sobre tráfico y de contenidos La normativa que se aplica actualmente en esta materia es el artículo 579 de la LEC sobre detención, interceptación y observación de comunicaciones, completada con la doctrina consolidada del Tribunal Supremo y del Tribunal Constitucional sobre esta materia. El proyecto de ley sobre la reforma del procedimiento hace también referencia específica a este tema, y propone una reglamentación pormenorizada de la interceptación de las comunicaciones telefónicas e informáticas. • Conservación de datos informáticos La aplicación de esta medida se rige por la Ley 25/2007 de 18 de octubre de 2007 de conservación de datos de las comunicaciones electrónicas que trae causa de la Directiva 2006/24/CE. La reforma de la norma procesal incluye también un precepto sobre incorporación al proceso de datos electrónicos de tráfico o asociados. • Orden en relación con información sobre usuarios El artículo 41, apartado 1, de la Ley de Telecomunicaciones establece la obligación para los operadores de garantizar los niveles de protección de datos y de derechos exigidos por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). De conformidad con lo dispuesto en el artículo 11 de la LOPD, los datos de carácter personal solo podrán ser comunicados a terceros previo consentimiento del interesado, si bien no es preciso dicho consentimiento en los supuestos exceptuados en ese artículo. Por tanto la autoridad judicial puede acceder a la información sobre abonados, en todo caso, en el curso de una investigación criminal de acuerdo con el artículo 18 de la Constitución española y con la normativa específica antes mencionada. La Ley 25/2007 sobre conservación de datos cumplimenta la anterior Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE; se considera que cumple los requisitos de referencia establecidos por el TJUE en su sentencia de 8 de abril de 2014, por la que se anuló la citada Directiva. Hasta la fecha, ningún tribunal ha puesto en duda su constitucionalidad. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 40 ES RESTREINT UE/EU RESTRICTED En cuanto a las competencias de las fuerzas y cuerpos de seguridad del Estado, el Tribunal Constitucional y el Tribunal Supremo han sostenido tradicionalmente que cuando el acceso a la información no afecta a la confidencialidad de la comunicación, sino solo a la privacidad personal, y se dan circunstancias de urgencia y necesidad, pueden acceder a tal información en el ejercicio de sus legítimos cometidos de prevención e investigación del delito, descubrimiento de delincuentes y recogida de los instrumentos, efectos y pruebas del delito. No obstante, la Ley 25/2007, de 18 de octubre de 2007, sobre conservación de datos de las comunicaciones electrónicas obliga a los operadores que presten servicios de comunicaciones electrónicas a conservar determinados datos (entre ellos datos de abonados) generados y tratados en el marco de la prestación de ese servicio y en concreto los previstos en el artículo 3 de dicha Ley en la medida en que se requiera para: a) rastrear e identificar el origen de una comunicación; b) identificar el destino de una comunicación; c) determinar la fecha, hora y duración de una comunicación; d) identificar el tipo de comunicación; e) identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación. En relación con los datos referidos a abonados, la Ley 25/2007 establece un régimen especial a cuyo tenor dichos datos solo pueden ser entregados por los operadores a requerimiento de la autoridad judicial y con ocasión de la investigación de un delito grave. La entrega se efectuara a través de los agentes facultados que se concretan en el artículo 6 de la misma Ley. El capítulo V del título VIII del libro II de la reforma de la LEC reglamenta la identificación de las direcciones IP, al requerir que la resolución de la IP esté sujeta a autorización judicial, así como la identificación de los terminales mediante captación de códigos de identificación como los códigos de IIEM e IMEI, y habilita a los cuerpos policiales para la utilización de artificios técnicos que permitan su obtención, sin necesidad de autorización judicial. Asimismo habilita tanto al Ministerio Fiscal como a la Policía (y, por lo tanto, no es necesaria la autorización judicial) para solicitar directamente a los prestadores de servicios de comunicaciones, de acceso a una red de telecomunicaciones o de servicios de la sociedad de la información que les faciliten información acerca de la titularidad de un número de teléfono o de cualquier otro medio de comunicación o, en sentido inverso, informen del número de teléfono o de los datos de identificación de cualquier medio de comunicación de una determinada persona. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 41 ES RESTREINT UE/EU RESTRICTED 5.2.2 Criminalística y cifrado En el momento en el que se procedió a la visita sobre el terreno no se había realizado ninguna inspección judicial por medios electrónicos o a distancia. Las autoridades españolas indicaron en relación con el cifrado la importancia de estar familiarizado con las tecnologías de cifrado más recientes y la necesidad de estudiar los puntos débiles de los algoritmos y las implementaciones. Además se declaró que si no puede encontrarse la clave de cifrado de cualquier otra forma, es importante contar con una capacidad de computación (programas comerciales especializados e infraestructura de sistemas multiterminales en red a disposición del servicio de criminalística) lo mejor posible para realizar ataques por diccionario o por fuerza bruta para intentar obtener la clave de cifrado. El Centro Criptológico Nacional (CCN) actúa como centro de peritos judiciales ante requerimientos de los juzgados de instrucción. Es el único centro especializado que comparte recursos y procedimientos con el Centro Nacional de Inteligencia (CNI). No se realiza descifrado en colaboración con empresas privadas. 5.2.3 Prueba electrónica En la práctica se viene entendiendo que constituye prueba electrónica toda la información generada, almacenada o transmitida mediante el uso de dispositivos electrónicos que tiene aptitud para acreditar el hecho objeto de enjuiciamiento. Los efectos intervenidos, bien por mandato judicial o de otro modo, durante la investigación policial, quedan precintados y a disposición de la autoridad judicial que, por iniciativa propia o a petición de la Policía, podrá solicitar un análisis pericial de los mismos. La prueba electrónica se plantea e introduce en el proceso considerando que tiene naturaleza de prueba documental; esta es la opinión mayoritaria de la doctrina y jurisprudencia que apoyan este criterio. La prueba electrónica como tal no aparece expresamente regulada en la legislación procesal vigente, pero la posibilidad de su uso se desprende de alguno de sus preceptos, principalmente del artículo 299 de la LEC -que hace una relación de los medios de prueba que pueden emplearse en juicio- y del artículo 230 de la LOPJ, que autoriza a los juzgados y los tribunales a utilizar cualquier medio técnico electrónico, informático y telemático para el desarrollo de la actividad y el ejercicio de sus funciones. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 42 ES RESTREINT UE/EU RESTRICTED En el momento de la visita, no había unas normas específicas relativas a la admisibilidad de las pruebas electrónicas. Por ello se aplicaban en esta materia las normas generales de la LEC. Esta situación cambió con la Ley Orgánica 13/2015 que modifica la Ley de Enjuiciamiento Criminal para reforzar las garantías procesales y regular las medidas de investigación tecnológica. Regula expresamente la forma de las pruebas electrónicas y las garantías que han de observarse para la obtención de las mismas, ya que su correcta obtención y tratamiento asegurarán su valor como fuente de prueba al reunir los requisitos de validez sustancial, formal y procesal. Algunos aspectos que cabe destacar son: la regulación de la forma y garantías para el registro de dispositivos informáticos de almacenamiento masivo (y el registro remoto de equipos informáticos); la interceptación de comunicaciones telefónicas y telemáticas; la captación y grabación de comunicaciones; la utilización de dispositivos técnicos de seguimiento, localización y captación de la imagen y la regulación de la incorporación al proceso de datos electrónicos, de tráfico o asociados. 5.3 Pr o t e c c i ón de l os de r e c hos hum anos y l as l i ber tade s f undam e nt al es Según el ordenamiento jurídico español cualquier diligencia de investigación criminal que afecte a derechos fundamentales, como la intimidad o el secreto de las comunicaciones exige, salvo supuestos excepcionales, autorización judicial previa dictada en el curso de un procedimiento judicial de investigación. El Tribunal Constitucional y el Tribunal Supremo han ido definiendo un cuerpo de doctrina aplicable a los supuestos de injerencia, sin consentimiento del interesado, en el ámbito de privacidad y han insistido en lo siguiente: a) debe existir un fin constitucionalmente legítimo; b) debe haber una previsión legal de la medida limitativa del derecho; c) la medida debe ser estrictamente proporcional en términos de idoneidad, necesidad; d) debe mediar una autorización judicial previa motivada, salvo en los supuestos de intervención policial por razones de urgencia y necesidad, sujeta a aprobación posterior. A su vez, el derecho a la protección de datos se encuentra también amparado en el articulo 18, apartado 4, de la Constitución española y desarrollado posteriormente por la Ley Orgánica de protección de datos personales 15/1999, de 13 de diciembre de 1999. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 43 ES RESTREINT UE/EU RESTRICTED En cuanto a la libertad de expresión, se encuentra reconocida en el artículo 20 de la Constitución y las limitaciones al ejercicio de la libertad de expresión vienen definidas en su artículo 20, apartado 4, por el respeto a los otros derechos fundamentales y en especial el derecho al honor, la intimidad, la propia imagen y a la protección de la juventud y de la infancia. Los limites penales a la libertad de expresión a través de Internet vienen determinados por las exigencias de los tipos penales en los que se sancionan los excesos a esa libertad de expresión y en concreto en los delitos de injurias y calumnias, delitos contra la libertad e intimidad de las personas, delitos de odio y delitos de apología o enaltecimiento del terrorismo. 5.4 Co m pe t enc i a j udic i al 5.4.1 Principios aplicados en la investigación de delitos informáticos La legislación española no contempla la jurisdicción específica para los delitos informáticos. Por consiguiente, a los delitos tipificados como delitos informáticos se aplican las disposiciones generales. Cuando los hechos ilícitos se han cometido parcialmente en España, los tribunales españoles tienen competencia para investigar y enjuiciar los aspectos de la acción ilícita que sea constitutiva de delito en España. En España se siguen procedimientos judiciales por actuaciones parciales de una actividad delictiva proyectada desde otros países y con efectos no solo en España sino también en otros Estados. Tal es el caso en los fraudes bancarios mediante suplantación de identidad, en relación con los intermediarios captados en España y que han desarrollado su actuación ilícita allí, aun cuando esté integrada en el marco de una gran operación planificada y coordinada más allá de las fronteras españolas. Cuestión distinta es la relacionada con la aplicación de la jurisdicción española en casos de delitos y faltas cometidos fuera del territorio nacional. En esos casos la competencia de los Tribunales españoles se encuentra definida en el artículo 23 de la Ley Orgánica del Poder Judicial (LOPJ) respecto de los supuestos siguientes: 1) Los delitos que hayan sido cometidos fuera del territorio nacional, siempre que los responsables sean nacionales españoles o extranjeros que hayan adquirido la nacionalidad española con posterioridad a la comisión del hecho y concuerden los siguientes requisitos: • que el hecho sea punible en el lugar de ejecución (salvo alguna excepción); 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 44 ES RESTREINT UE/EU RESTRICTED • que el agraviado o el Ministerio Fiscal interpongan querella ante los tribunales españoles; • que el delincuente no haya sido absuelto, indultado o penado en el extranjero y en este caso que no haya cumplido la condena. 2) Los hechos cometidos fuera del territorio español por nacionales españoles o extranjeros cuando sean susceptibles de tipificarse según la ley española como algunos de los delitos incluidos en dicho precepto, entre ellos los siguientes: • los delitos contra la paz y la independencia del Estado; • la falsificación de la firma o estampilla reales del sello del Estado, de las firmas de los ministros y de los sellos públicos u oficiales; • cualquier falsificación que perjudique directamente al crédito o los intereses del Estado. 3) Los hechos cometidos por nacionales españoles o extranjeros fuera del territorio nacional susceptibles de tipificarse por la legislación española como algunos de los delitos incluidos en el precepto siempre que se cumplan las condiciones establecidas en el mismo, entre ellos los siguientes: • los delitos de terrorismo, según lo establecido en la legislación española; • los delitos de constitución, financiación o integración en grupo u organización criminal o los delitos cometidos en el seno de los mismos, siempre que se trate de grupos u organizaciones que actúen con miras a la comisión en España de un delito que esté castigado con pena máxima o igual a tres años de prisión; • los delitos de índole sexual cometidos contra menores, según lo establecido en la legislación española. 5.4.2 Normas aplicables en caso de conflicto de jurisdicción y remisión a Eurojust En el momento de la visita España no aplicaba todavía la ley que transpone tanto la Decisión Marco 2009/948/JAI del Consejo, de 30 de noviembre de 2009, relativa a la prevención y resolución de conflictos de ejercicio de jurisdicción en los procesos penales como la Decisión 2009/426/JAI del Consejo, de 16 de diciembre de 2008, por la que se refuerza Eurojust y se modifica la Decisión 2002/187/JAI por la que se crea Eurojust para reforzar la lucha contra las formas graves de delincuencia, respecto de la resolución de cualquier conflicto sin resolver. Esta situación ha cambiado entretanto, con la entrada en vigor de la ley 16/2015 de 7 de julio de 2015. Regula la situación de España en Eurojust como miembro nacional, los conflictos de jurisdicción, las redes de cooperación judicial internacional y la situación del personal del Ministerio de Justicia en el extranjero, e incorpora al Derecho nacional las dos leyes antes mencionadas. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 45 ES RESTREINT UE/EU RESTRICTED La remisión o recepción del procedimiento se efectúa de conformidad con el Convenio del Consejo de Europa sobre transmisión de procedimientos en materia penal, de 17 de marzo de 1972. El problema principal que surge con la aplicación de este Convenio es que establece un procedimiento de comunicación lento y obsoleto; el número de ratificaciones de los Estados miembros de la UE es escaso. Cuando se trata de Estados que no han ratificado el citado Convenio se acude a la regulación de «la denuncia a efectos procesales» que se recoge en el artículo 21 del Convenio de Asistencia Judicial en Materia Penal, de 1959. En la práctica, se ha dado al menos un caso de traslado de procedimiento por un asunto de ciberdelincuencia, relativo a un asunto bilateral con Bulgaria: en el marco de Eurojust fue creado un equipo conjunto de investigación por un Juzgado Central de Instrucción y la Fiscalía de la Audiencia Nacional, que culminó con el acuerdo de transferencia a Bulgaria. 5.4.3 Jurisdicción para actos de ciberdelincuencia cometidos en la "nube" Nada que señalar. 5.4.4 Punto de vista de España en lo referente al marco jurídico para combatir la ciberdelincuencia El primer problema del que han informado las autoridades españolas es el acceso a la información sobre la ciberdelincuencia. En segundo lugar, dependiendo de la entidad del ataque, los recursos con los que cuentan las Unidades de Investigación no son suficientes debido a la formación continua necesaria de los agentes, el elevado precio de las herramientas (en constante evolución) y la siempre mejorable asignación de medios e investigadores. En tercero, el carácter supranacional que tiene en la mayoría de los casos este tipo de ataques complica la investigación, al entrar a jugar factores como la competencia judicial o la colaboración policial internacional. Todo ello sin olvidar que dependiendo la procedencia del ataque, en el caso de no ser organizaciones delictivas o grupos terroristas clasificados, participan en la investigación otras agencias ajenas a las FCSE con las que el flujo de información no es lo suficientemente ágil. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 46 ES RESTREINT UE/EU RESTRICTED 5.5 Co nc l us i one s • España es parte del Convenio de Budapest desde 2010. La Decisión marco del Consejo 2005/222/JAI relativa a los ataques contra los sistemas de información se ha incorporado al Derecho español. Por consiguiente, los delitos tipificados tanto en el Convenio como en la Decisión marco 2005/222/JAI están tipificados en la legislación nacional. Como consecuencia de la Ley Orgánica 1/2015, de 30 de marzo de 2015, que modifica el Código Penal y aplica la Directiva 2013/40/UE relativa a los ataques contra los sistemas de información, se han eliminado algunas limitaciones en la penalización de delitos especiales relacionados con la ciberdelincuencia (por ejemplo, la interceptación ilegal de datos informáticos distintos de las comunicaciones personales). • La Directiva 2011/93/UE del Parlamento Europeo y del Consejo relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil se ha aplicado recientemente. • La lucha contra el fraude con tarjetas de pago está contemplada en el Código Penal y en la Ley sobre servicios de pago, pero también se basa en la cooperación con el sector privado. • El INCIBE también ha puesto en marcha el Centro Antibotnets, que, a juicio de los evaluadores, es una herramienta muy útil para informar a las víctimas de botnets y facilitarles medios para su desinfección. Dado que gran parte de las botnets están dirigidas al robo de credenciales bancarias, esta actividad debe considerarse una práctica idónea. • No existe una definición de ciberdelincuencia en el Código Penal, pero se establece una definición en la Estrategia de Ciberseguridad Nacional. Por consiguiente, se tiende a utilizar la definición de la Estrategia de Ciberseguridad Nacional, que se refiere a los delitos contra los sistemas informáticos o a la utilización de dichos sistemas para la comisión de actos delictivos. En la práctica, la ciberdelincuencia abarca todos los delitos contra sistemas informáticos y datos informáticos, así como los delitos posibilitados por el uso de un sistema informático. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 47 ES RESTREINT UE/EU RESTRICTED • En el momento de la evaluación, la legislación española no recogía disposiciones específicas en lo referente a búsquedas informáticas, recopilación de datos informáticos en tiempo real, preservación de datos informáticos y tráfico de datos informáticos, u operaciones encubiertas a través de la red. En estos casos se aplican las disposiciones generales. Sin embargo, tras la adopción de la Ley Orgánica 13/2015 de 5 de octubre de 2015 que modifica la Ley de Enjuiciamiento Criminal para reforzar las garantías procesales y regular las medidas de investigación tecnológica, ahora sí están previstas. • La Ley 25/2007 sobre conservación de datos transpone la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE; se considera que cumple los requisitos de referencia establecidos por el TJUE en su sentencia de 8 de abril de 2014, por la que se anuló la citada Directiva. Hasta la fecha, ningún tribunal ha puesto en duda su constitucionalidad. • La legislación española no contiene una definición concreta de la prueba electrónica, razón por la cual se aplican también a este tipo de prueba las disposiciones generales. El cifrado se considera un reto y las autoridades instructoras colaboran con el Centro Criptológico Nacional que actúa como perito judicial en los tribunales. • No existen normas específicas sobre la jurisdicción para los delitos informáticos. La Decisión Marco 2009/948/JAI del Consejo, de 30 de noviembre de 2009, relativa a la prevención y resolución de conflictos de ejercicio de jurisdicción en los procesos penales se incorporó al Derecho español mediante la ley 16/2015, de 7 de julio de 2015, que regula la situación de España en Eurojust como miembro nacional, los conflictos de jurisdicción, las redes de cooperación judicial internacional y la situación del personal del Ministerio de Justicia en el extranjero. Uno de los capítulos de esta ley aborda los conflictos de jurisdicción. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 48 ES RESTREINT UE/EU RESTRICTED 6 ASPE CT O S O PERATI VO S 6.1 Ci be r a t aque s 6.1.1 Carácter de los ciberataques Por parte del Equipo de Respuesta a Emergencias Informáticas(CERTSI) operado por INCIBE, se gestionan los incidentes relacionados con empresas, ciudadanos, operadores de infraestructuras críticas y red académica y de investigación (red IRIS). Para todos ellos, a lo largo de 2014 el CERTSI gestionó los siguientes tipos de incidentes: INCIDENTES GESTIONADOS - 2014 Contenido abusivo 1 006 Contenido malicioso 1 851 Obtención de información 426 Acceso/Intrusión 8 626 Disponibilidad 798 Seguridad/Confidencialidad de la información 94 Fraude 5 011 Servicio de ayuda 768 Otros 2 045 TOTAL 20 625 6.1.2 Mecanismo de respuesta a los ciberataques La Estrategia de Ciberseguridad Nacional establece un mecanismo para la respuesta ante ciberataques de alta gravedad. Consta de los siguientes elementos, bajo la dirección del presidente del Gobierno: A. El Consejo de Seguridad Nacional; El Consejo de Seguridad Nacional, que es la Comisión Delegada del Gobierno para la Seguridad Nacional, asiste al presidente del Gobierno en la dirección de la Política de Seguridad Nacional. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 49 ES RESTREINT UE/EU RESTRICTED B. El Comité Especializado de Ciberseguridad Nacional; El Comité Especializado de Ciberseguridad Nacional apoya el trabajo del Consejo de Seguridad Nacional en el cumplimiento de sus funciones, particularmente asistiendo al presidente del Gobierno para dirigir y coordinar la Política de Seguridad Nacional en el ámbito de la ciberseguridad. Además, refuerza las relaciones de coordinación, colaboración y cooperación entre las distintas administraciones públicas con responsabilidades en cuestiones de ciberseguridad, y entre los sectores público y privado, y facilita la toma de decisiones del Consejo analizando, estudiando y proponiendo iniciativas a escala tanto nacional como internacional. La composición del Comité Especializado de Ciberseguridad refleja el espectro de los ámbitos cubiertos por los departamentos, organismos y agencias de las administraciones públicas con responsabilidades en cuestiones de ciberseguridad para coordinar las actuaciones que deben ser tratadas conjuntamente con objeto de aumentar los niveles de seguridad. En el Comité pueden participar otros interlocutores y especialistas del sector privado cuya contribución se considera necesaria. En cumplimiento de sus funciones, el Departamento de Seguridad Nacional presta apoyo al Comité Especializado de Ciberseguridad como Secretaría Técnica y grupo de trabajo permanente del Consejo de Seguridad Nacional. C. El Comité Especializado de Situación, que es único para todo el Esquema Nacional de Seguridad: El Comité Especializado de Situación se convoca para llevar a cabo la gestión de las situaciones de crisis en el ámbito de la ciberseguridad que, atendiendo a la acentuada transversalidad o dimensión e impacto de sus efectos, produzcan el desbordamiento de los límites de capacidad de respuesta eficaz por parte de los mecanismos habituales previstos, siempre respetando las competencias asignadas a las distintas Administraciones Públicas y a los efectos de garantizar una respuesta inmediata y eficaz a través de un solo órgano de dirección políticoestratégica de la crisis. Está apoyado por el Centro de Situación del Departamento de Seguridad Nacional con el fin de garantizar su interconexión con los centros operativos implicados y dar una respuesta adecuada en situaciones de crisis, facilitando su seguimiento y control y la trasmisión de las decisiones. Para el cumplimiento eficaz de sus funciones de apoyo al Comité Especializado de Situación, el Centro de Situación puede ser reforzado por personal especializado procedente de los departamentos ministeriales u organismos competentes que forman la Célula de Coordinación en el ámbito de la Ciberseguridad. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 50 ES RESTREINT UE/EU RESTRICTED D. El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), como parte de la Secretaría de Estado de Seguridad del Ministerio del Interior, es responsable de la protección de las infraestructuras críticas. Mantiene estrechas relaciones con la administración pública a nivel central y regional y con compañías privadas que gestionan y poseen infraestructuras. Está compuesto por miembros de las fuerzas y cuerpos de seguridad del Estado. Para prevenir y responder a los ciberataques, el CNPIC ha establecido una alianza con INCIBE, y entre ambos organismos han creado el Equipo de Respuesta a Emergencias Informáticas (CERTSI), que se dedica específicamente a la ciberseguridad de las infraestructuras críticas, y presta servicios de respuesta ante un ciberataque a una infraestructura crítica. El CERTSI es el responsable de la gestión de los ciberataques contra las empresas, la red académica y los ciudadanos, por lo que dispone de contacto directo con los operadores de infraestructuras críticas. Como parte del CNPIC, la Oficina de Coordinación Cibernética (OCC) sirve de punto de contacto del Ministerio de Interior para todo lo relativo a la ciberseguridad. El enlace entre las fuerzas y cuerpos de seguridad del Estado y el CERT de Seguridad e Industria (CERTSI) como parte del INCIBE, se realiza a través de la OCC. Los ciudadanos y las compañías privadas participan en el mecanismo de respuesta con determinadas obligaciones de informar. Con carácter general, el artículo 259 de la Ley de Enjuiciamiento Criminal establece la obligación de todos y cada uno de los ciudadanos de poner en conocimiento del juez competente o del Ministerio Fiscal cualquier hecho delictivo del que tenga constancia. A su vez el artículo 262 del mismo texto legal, establece esa misma obligación para todos aquellos que por razón de su cargo, profesión u oficio, tuvieren noticia de la comisión de algún delito público. Los Prestadores de Servicios de la Sociedad de la Información (PSSI) están obligados a colaborar con el CERT competente según establece la Disposición Adicional Novena de la LSSI. Sin embargo, en la práctica esta disposición no está funcionando adecuadamente. Tan sólo existe un Código de Conducta voluntario (firmado entre INCIBE y proveedores de servicios de Internet), según el cual INCIBE identifica bots y envía esta información a los proveedores de servicios de Internet, que a su vez deben informar a sus clientes, para proceder a su desinfección. El nivel de riesgo de botnets lo evidencian las siguientes cifras: • un promedio de 5,2 millones de pruebas de conexiones botnets desde España diariamente, • un promedio de 59500 direcciones IP únicas afectadas diariamente en España, • datos de 857 sinkholes, lo que corresponde aproximadamente a 129 familias de botnets. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 51 ES RESTREINT UE/EU RESTRICTED Se ha observado que no existen flujos significativos de información sobre ciberseguridad desde los proveedores de servicios de Internet hacia INCIBE. Desde el punto de vista del equipo de evaluación, podría mejorarse la eficiencia del mecanismo de respuesta convirtiéndolo en obligatorio para las empresas del sector privado. 6.2 Ac c i o ne s c ont r a l a por nogr a f í a i nf anti l y l os abus os s e xual e s e n lí ne a 6.2.1 Bases de datos y programas para identificar a las víctimas y evitar que las víctimas vuelvan a serlo No existe en España una base de datos o programa específicamente concebidos para identificar a las víctimas. Se utiliza en su lugar la Base de Datos ICSE DB de la Secretaría General de Interpol. A juicio de las autoridades españolas, no es posible impedir que las imágenes o vídeos de los menores continúen difundiéndose en Internet. Por consiguiente, es muy difícil evitar que se siga produciendo daño a las víctimas. En consecuencia, es fundamental aplicar una solución, refrendada con su apoyo normativo, que permita a los cuerpos y fuerzas de seguridad retirar de manera permanente los contenidos audiovisuales en la red. Una vez que un contenido audiovisual entra en Internet se pierde el control sobre el mismo. En este punto se insiste en ponencias e intervenciones públicas ante la ciudadanía en general a modo de información y concienciación de la misma. Los cuerpos y fuerzas de seguridad no tienen competencia en la asistencia a las víctimas, ya que existen otros organismos especializados e instituciones ajenas a la policía para ello, relacionadas con la protección al menor, como son: la Fiscalía del Menor y la autoridad judicial competente a la hora de adoptar medidas de protección a la víctima; servicios sociales de las comunidades autónomas (CCAA) y del Estado, así como ONGs relacionadas con la protección al menor como por ejemplo Aliados. 6.2.2 Medidas para hacer frente a la explotación o abusos sexuales en línea, el sexteo o el ciberacoso Desde el Ministerio de Industria, Energía y Turismo en el marco de la Agenda Digital para España y el Plan de Confianza Digital, se están desarrollando diversas iniciativas para promover la prevención y el uso seguro de Internet y las TIC por parte de los menores. Más en concreto, sobre 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 52 ES RESTREINT UE/EU RESTRICTED los riesgos delos acosos sexuales (grooming), el sexteo y el ciberacoso se encuentra en periodo de ejecución el proyecto "Capacitación en materia de Seguridad TIC para padres, madres, tutores y educadores de menores de edad (2015-2016)". Dicho proyecto tiene por objeto la sensibilización y formación de padres, educadores y otros colectivos (cómo los cuerpos y fuerzas de seguridad) sobre los principales riesgos a los que se enfrentan los menores en el uso de Internet y las TIC. Para cada uno de los riesgos mencionados se ofrecen una serie de recursos y servicios formativos. Algunos de ellos son presenciales, a través de talleres, y otros a distancia mediante cursos en línea masivos y abiertos (CEMA), o sus siglas en inglés (MOOC, massive open online), unidades didácticas para trabajar en las aulas, y actividades y juegos para trabajar en familia. Entre los objetivos del proyecto se encuentra el promover la mediación parental en el hogar y la mediación docente en las escuelas con la intención de reducir los riesgos que se derivan del uso de Internet por los menores e incrementando la resiliencia a las experiencias problemáticas en línea. En relación al ciberacoso (ciberbullying y grooming) se ha presentado recientemente (febrero 2015) la primera «Guía clínica sobre el ciberacoso para profesionales de la salud», que han desarrollado conjuntamente el Ministerio de Industria, Energía y Turismo, a través de Red.es, la Sociedad Española de Medicina del Adolescente (SEMA) y el Hospital Universitario La Paz. La guía tiene por objeto facilitar el diagnóstico, tratamiento y prevención del ciberbullying y grooming en el ámbito médico, así como mejorar la coordinación entre los ámbitos familiar, escolar, policial y judicial. La guía pretende ser pionera en su ámbito y ayudar a interrelacionar campos de conocimiento y actuación, consiguiendo una mayor eficacia en la lucha contra el ciberacoso. Para luchar contra los delitos cometidos a través de Internet, los Cuerpos Policiales realizan frecuentemente investigaciones para identificar a los autores y víctimas de estos delitos, especialmente las de pornografía infantil. La mayoría de las investigaciones siguen la supervisión de las redes P2P. Desde el año 2010 se ha ido aumentando el nivel de exigencia a la hora de seleccionar objetivos con el objeto de disminuir la incidencia de registros negativos y centrar la actuación policial en aquellos más peligrosos. Además, se realizan campañas de prevención y concienciación orientadas a las potenciales víctimas y de aviso del carácter delictivo de estas conductas, con la población en general. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 53 ES RESTREINT UE/EU RESTRICTED La Ley 4/2015, de 27 de abril de 2015, sobre el Estatuto de la Víctima del Delito, que transpone la Directiva 2012/29/UE, de 25 de octubre de 2012, establece normas mínimas sobre los derechos, el apoyo y la protección de las víctimas de delitos, impone a la policía la obligación de facilitar a las víctimas información detallada, desde la primera toma de contacto. Este servicio se vuelve necesario para mejorar sus medidas de protección inmediatas que garantizarán su seguridad; todo ello sin perjuicio de la decisión posterior del juez o tribunal que resulte competente. La Ley 4/2015 se ocupa muy particularmente del derecho a la intimidad de las víctimas y de sus familias, así como de la utilización de las TIC en los procesos penales lo que resultará de gran utilidad también para las víctimas (fundamentalmente menores de edad) de la ciberdelincuencia. 6.2.3 Medidas preventivas contra el turismo sexual, espectáculos de pornografía infantil y otros Las autoridades españolas informaron de que los cuerpos y fuerzas de seguridad cooperan con ONGs para prevenir el turismo sexual. La participación de la policía nacional en el proyecto HAVEN (Halting Europeans Abusing Victims in Every Nation) de Europol se puso en marcha en noviembre de 2010 para detectar a los delincuentes procedentes de la Unión Europea que viajan para mantener contactos sexuales con niños, desbaratar sus planes y, en definitiva, establecer un sistema de notificación permanente y proactivo sobre los delincuentes sexuales europeos que viajan a otros países. Así mismo, existen asociaciones específicas que abordan acciones contra la explotación infantil y el turismo sexual, tales como operadores de turismo, y el Ministerio de Industria, Energía y Turismo ha llevado a cabo campañas de sensibilización y prevención. La Federación de Asociaciones para la Prevención del Maltrato Infantil (FAPMI) lidera las actuaciones de EPCAT Internacional (End Child Pornography and Trafficking of Children for Sexual Purposes - Acabar con la Prostitución Infantil, la Pornografía Infantil y el tráfico de Niños con Fines Sexuales) y el Código de Conducta, promoviendo la adhesión de las empresas del sector turístico al Código de Conducta, con el objetivo de luchar contra el turismo sexual infantil y cualquier otra manifestación de la explotación sexual comercial de niños, niñas y adolescentes. La actuación que desarrolla FAPMI ECPAT en este ámbito recibe el apoyo del Ministerio de Sanidad, Servicios Sociales e Igualdad por medio de la convocatoria de subvenciones con cargo al IRPF (Impuesto sobre la Renta de las Personas Físicas). FAPMI ECPAT desarrolla en España programas de prevención y detección entre los que destacan los siguientes: 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 54 ES RESTREINT UE/EU RESTRICTED • La Campaña para la Prevención de la Violencia Sexual contra la Infancia «Uno de Cada Cinco», organizada por el Consejo de Europa, pretende atribuir competencias a los gobiernos, parlamentarios, redes profesionales, la sociedad civil, los padres, madres, familias y a los niños, con el fin de que puedan tomar las medidas necesarias para frenar la violencia sexual contra la infancia. • «No mires para otro lado» - campaña global contra la prostitución infantil en los grandes eventos deportivos. La campaña pretende por una parte sensibilizar a los viajeros que asistan al Mundial sobre las leyes extraterritoriales, las consecuencias de los abusos para las víctimas y los riesgos de convertirse en explotadores en un contexto particularmente festivo y exótico. Además pretende también promover la notificación de casos de abusos sexuales sobre menores por parte de los turistas. ECPAT colabora con diversos servicios especializados de las policías europeas para crear una página web de denuncia a la escala europea. • La campaña «19 Días de Activismo para la prevención de la violencia contra la infancia», lanzada en 2011 por la Sección de Niños y Jóvenes de la Fundación Cumbre Mundial de la Mujer (WWSF por sus siglas en inglés) y otras asociaciones para aplicar los derechos de las mujeres y de los niños. Los cuerpos policiales han tomado medidas preventivas en colaboración con las Unidades especializadas, ONGs e instituciones públicas dedicadas al trabajo con menores (escuelas, medios de comunicación, etc...) para hacer uso de una Internet segura para los niños. En el marco de la Instrucción SES 7/2013 del «Plan Director para la mejora de la convivencia escolar en los Centros educativos y sus entornos», aplicado en todo el territorio nacional, se han realizado en centros escolares charlas y actividades de formación dirigidas a padres/madres, profesores y alumnos, con el objetivo fundamental de responder de manera coordinada y eficaz a las cuestiones relacionadas con la seguridad de menores y jóvenes en la escuela y su entorno, fortaleciendo la cooperación policial con las autoridades educativas en sus actuaciones para mejorar la convivencia y la seguridad en el ámbito escolar y reforzando el conocimiento y confianza en la policía. Dentro del Plan citado se presta especial atención a la prevención de los riesgos asociados a las nuevas tecnologías y al uso de las redes sociales. Asimismo, la Guardia Civil está colaborando con distintos organismos para desarrollar herramientas tanto forenses como de investigación, destacando la colaboración con la Universidad que ha permitido el desarrollo del programa «Quijote» para la búsqueda de pornografía infantil en las redes P2P, y diferentes herramientas forenses que permiten identificar a los usuarios de Internet que descargan ficheros de pornografía infantil. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 55 ES RESTREINT UE/EU RESTRICTED 6.2.4 Actores y medidas para combatir los sitios web que contienen o difunden pornografía infantil Son las operadoras las que realizan el filtrado con las herramientas que consideran más adecuadas, generalmente a través de filtrado de dominio. El bloqueo del acceso, la eliminación de contenidos o la retirada de páginas web los llevan a cabo los proveedores de servicio de Internet por propia iniciativa a través de un mandamiento judicial. El incumplimiento del mandamiento judicial constituye un delito. En términos generales, la operativa es rápida y eficaz, informando los proveedores de servicio a la autoridad (judicial o policial), la cual pone en marcha investigaciones. Procede mencionar el activo papel de Telefónica, el mayor proveedor de servicios de Internet en España, que administra aproximadamente el 80% de las direcciones IP en España. A pesar de su posición prácticamente de monopolio, coopera de manera fructífera con otros operadores más pequeños. Un resultado interesante de esta cooperación es una herramienta de Internet, que comparten todos los proveedores de servicios de Internet en España, conocido como el "botón de denuncia". Se trata del mismo icono de la interfaz para todos los proveedores, que puede pincharse para denunciar que un sitio web contiene material de pornografía infantil. Una solución de estas características hace que denunciar la presencia de contenidos prohibidos sea mucho más sencillo que con los medios habituales utilizados por los proveedores de otros países. El bloqueo de acceso a las páginas web que contengan o difundan pornografía infantil sólo puede hacerse efectivo por orden judicial. Las autoridades españolas no han informado hasta el momento de ningún bloqueo de páginas con pornografía infantil. No obstante, la reforma de la Ley de Enjuiciamiento Criminal siguiendo el planteamiento establecido en el artículo 25 de la Directiva 2011/93/UE puede mejorar esta situación. El artículo 189.8 del Código Penal relativo a esta materia contempla la posibilidad de que el órgano judicial acuerde esas medidas con carácter definitivo una vez dictada sentencia, y también, a petición del Ministerio Fiscal, con carácter cautelar, es decir antes de dictarse resolución sobre el fondo. 6.3 Fr a ude e n l í ne a c on t ar j e t as de pago 6.3.l Denuncias en línea La ley de servicios de pago establece obligaciones y derechos tanto para el usuario/titular de la tarjeta como para el proveedor de los servicios de pago. Con esta obligación se pretende proteger la información de seguridad personalizada asociada a la tarjeta (PIN, claves de acceso, coordenadas para operar por Internet o cualquier otro elemento de seguridad). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 56 ES RESTREINT UE/EU RESTRICTED Asimismo requiere la comunicación inmediata en caso de extravío, sustracción o utilización fraudulenta de la tarjeta. La mayoría de las denuncias por ese motivo, las realizan los titulares de las tarjetas bancarias que han sido utilizadas fraudulentamente. En menor escala, los comercios electrónicos, cuando el perjuicio causado es relevante, efectúan la correspondiente denuncia. Si bien de otra parte, dichos comercios, entidades emisoras, los bancos adquirentes e incluso, los procesadores de tarjetas, suelen aportar información de casos de casos concretos de fraude a los y cuerpos y fuerzas de seguridad. 6.3.2 Función del sector privado Las autoridades españolas han informado de una cooperación flexible entre la industria, los bancos, el sector privado y los cuerpos y fuerzas de seguridad. Ante incidentes graves por fraude, se da el intercambio de información entre los cuerpos y fuerzas de seguridad y los actores implicados. La cooperación entre los principales actores, en función del ámbito en el que se desarrolle puede en unos casos parecer excelente, como por ejemplo, en el caso de la realización de campañas de concienciación y participación en actividades de formación, mientras que en otros puede parecer totalmente deficitaria, como por ejemplo en aquellos casos en los que la comunicación de brechas de seguridad pueden conllevar daños para la reputación de la empresa y/o sanciones administrativas por incumplimiento normativo de protección de datos. Los actores pertinentes están intentando implantar un sistema de reuniones periódicas para atajar los problemas concernientes a los fraudes. Las autoridades españolas han indicado que, en relación con la implantación de nuevos medios de pago y el refuerzo de los sistemas de autenticación de los usuarios, cabría esperar un mayor esfuerzo por parte de las entidades que los ponen en funcionamiento, orientado a la identificación plena del ordenante y destinatario de la transacción, así como su trazabilidad, todo ello, sin que sea motivo de excusa la pequeña cuantía de la transacción. Según el INCIBE, esta cooperación es insuficiente, tanto en lo que se refiere a cooperación de bancos y empresas privadas con organismos públicos como entre ellos. 6.4 • Co nc l us i one s Cuando gestiona crisis de ciberseguridad a escala nacional, el Consejo de Seguridad Nacional está apoyado por el Comité Especializado de Situación y, en caso necesario, por el Comité Especializado de Ciberseguridad o la célula de ciberseguridad. Para la protección de infraestructuras críticas se recurre al Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). Reciben el apoyo operativo y técnico del INCIBE y del CERTSI, que se ocupan de manera específica de cuestiones de ciberseguridad, incluyendo los ciberataques a infraestructuras críticas. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 57 ES RESTREINT UE/EU RESTRICTED • El CERTSI es el responsable de la gestión de los ciberataques contra las empresas, la red académica y los ciudadanos, por lo que dispone de contacto directo con los operadores de infraestructuras críticas. Está obligado a denunciar a los cuerpos y fuerzas de seguridad cualquier incidente de carácter delictivo. Sin embargo, el equipo de evaluación pudo apreciar que, una vez que los cuerpos y fuerzas de seguridad habían recibido la denuncia y que se había iniciado un caso penal, la entidad denunciante (CERSTI) no había recibido ninguna información de retorno. • La legislación española impone a los ciudadanos la obligación de denunciar cuando tengan conocimiento de la comisión de un delito penal, incluida la ciberdelincuencia. Los proveedores de servicios de Internet también deben cooperar con el INCIBE así como las empresas privadas para denunciar incidentes, al menos si afectan a las infraestructuras críticas. Por consiguiente, a juicio de los evaluadores, deberían ampliarse las obligaciones de informar de las compañías privadas para incluir otro tipo de incidentes que pueden tener repercusiones serias en la sociedad, además de aquellos que afecten a las infraestructuras críticas. Dicha solución, al tiempo que salvaguarda la libertades cívicas, podría mejorar de manera notable el porcentaje de detección de ciberataques en España y lograr que la visión global de este fenómeno sea más fiable. También podría racionalizar la adopción de herramientas informáticas específicas de manera adecuada y medidas legales para contrarrestarlo. • Esta obligación también debe implicar el traspaso de información de empresas que detecten incidentes a los cuerpos y fuerzas de seguridad y de éstos a la Fiscalía. Se explicó al grupo que van a producirse cambios en la ley relativa a las telecomunicaciones y que podría convertirse en obligatorio que los proveedores de servicios de Internet comuniquen información sobre incidentes de seguridad al CERTSI. • España ha desarrollado varios proyectos para luchar contra el abuso infantil y la pornografía infantil en línea. Una herramienta conocida como el "botón de denuncia" desarrollado por Telefónica es digno de mención como uno de los ejemplos. Se trata del mismo icono de la interfaz para todos los proveedores, que puede pincharse para denunciar que un sitio web contiene material de pornografía infantil. Una solución de estas características hace que denunciar la presencia de contenidos prohibidos sea mucho más sencillo que con los medios habituales utilizados por los proveedores de otros países. Otro logro es la «Guía clínica sobre el ciberacoso para profesionales de la salud», elaborada por médicos y psicólogos. Por consiguiente, a juicio de los evaluadores, esta actividad debe considerarse una práctica idónea. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 58 ES RESTREINT UE/EU RESTRICTED • Los funcionarios del INCIBE informaron al equipo de evaluación de la celebración de varios acuerdos de cooperación con compañías privadas de informática y de ciberseguridad. A juicio de los evaluadores, esta política debe continuar en el futuro. Resulta especialmente importante intentar alcanzar dichos acuerdos con los representantes del sector financiero, principalmente los bancos y los mercados financieros. Una cooperación multifacética entre el INCIBE y actores clave del sector financiero podría beneficiar a ambas partes y aumentar de manera significativa el nivel de ciberseguridad en España. • La experiencia de España en lo referente a la información por parte del sector privado de fraudes con tarjetas de pago es desigual. Se destacó la escasa información facilitada por las instituciones financieras y por los bancos. Una de las razones que podría justificar esta situación sería la falta de un sistema uniforme de información en línea. Representantes de los cuerpos y fuerzas de seguridad declararon también que cabría esperar mayores esfuerzos por parte del sector privado. En opinión de los representantes del INCIBE con los que se reunió el equipo de evaluación, la cooperación de los bancos y de la empresa privada con los organismos públicos es insuficiente. • Una cooperación global entre el INCIBE y el sector privado ha dado lugar a algunos logros espectaculares a la hora de poner a disposición pública herramientas gratuitas para combatir la ciberdelincuencia, a través de una instalación única en el mundo: el Centro Antibotnet. Su objetivo es atenuar los botnets desinfectando los dispositivos de los usuarios infectados con bots. El servicio también proporciona un canal directo y efectivo destinado a aumentar la concienciación de los usuarios en relación con este problema. Esta herramienta permite a cualquier usuario de Internet poner en marcha una comprobación gratuita para determinar si la dirección IP que está utilizando está infectada por alguno de los botnets reconocidos en la base de datos el INCIBE. Dado que el riesgo de infección de botnets parece ser extremadamente alto, la disponibilidad de dicha herramienta, concebida y desarrollada por un organismo público de confianza, es, a juicio de los evaluadores, extremadamente útil. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 59 ES RESTREINT UE/EU RESTRICTED 7 CO O PER ACI Ó N I NTE RNA CI O NAL 7 . 1 Co o pe r ac i ón c on or gani s m os de l a UE 7.1.1 Requisitos formales para la cooperación con el Centro Europeo de Ciberdelincuencia de Europol, Eurojust, ENISA En el momento de la visita no había procedimientos específicos para las comunicaciones correspondientes a la ciberdelincuencia entre las fiscalías y agencias como Eurojust, Europol y ENISA. La entrada en vigor de la ley 16/2015 establece un mecanismo para la interacción entre las administraciones nacionales y Eurojust. 7.1.2 Evaluación de la cooperación con el Centro Europeo de Ciberdelincuencia de Europol, Eurojust, ENISA En lo que respecta a la cooperación con Eurojust, los representantes de la Fiscalía participaron en varios equipos conjuntos constituidos para facilitar las investigaciones con derivaciones en distintos países europeos. Entre los ejemplos más recientes figuran la operación «Onymous» o el equipo conjunto de investigación (ECI) de la Operación «Eurymus». El Miembro Nacional español participa en prácticamente en todos los ECI de los que forman parte las autoridades españolas. Se sigue facilitando financiación de la UE a tal fin. De hecho por parte del Ministerio Fiscal no pueden encontrar un valor añadido específico de Eurojust que resulte diferenciado del que tiene de forma genérica en relación a sus funciones en materia de cooperación, coordinación y auxilio en general a las autoridades nacionales competentes. Del mismo modo, las autoridades españolas informaron de una absoluta falta de conocimiento de la existencia, funciones y capacidades del Centro Europeo de Ciberdelincuencia de Europol por parte de las autoridades judiciales españolas, ello a pesar de que Eurojust tiene una representación permanente en dicho Centro. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 60 ES RESTREINT UE/EU RESTRICTED No obstante, las autoridades españolas informaron de la participación del Centro Europeo de Ciberdelincuencia de Europol en reuniones de coordinación en Eurojust si bien con pobres resultados; en un caso el centro de coordinación se frustró por retrasos de uno de los Estados implicados y en otro declinaron su participación. Tanto la Guardia Civil como el Cuerpo Nacional de Policía participan en todos los Focal Points con competencias en el ámbito de ciberdelincuencia (Cyborg, Twins, Terminal, ) así como en los distintos grupos de trabajo y equipos que se van desarrollando (J-CAT, EUCTF, EUFCC,….). En el ámbito operativo, son varias las investigaciones que se han llevado a cabo bajo la coordinación de Europol en el ámbito de la ciberdelincuencia. Durante el mes de noviembre un especialista de la UIT acudió a La Haya, donde en un entorno de trabajo cooperativo, dentro de la filosofía de trabajo del EC3 de Europol y del fichero AWF TWINS (Analisys Work File TWINS), se procedió a una puesta en común de conocimientos y pruebas y se llevó cabo un trabajo conjunto multinacional de expertos en identificación de víctimas. Así, se procedió al análisis de una ingente cantidad de material. Además participaron especialistas de Estados Unidos, Suecia, Países Bajos, Alemania, Australia, Francia y Reino Unido. En lo que respecta a ENISA, representantes de las autoridades españolas participaron en conferencias y seminarios de la UE en las que también estaba representada ENISA. El Departamento de Seguridad Nacional forma parte del Consejo de Dirección de ENISA y dispone de dos funcionarios de enlace nacionales en este organismo. El Departamento de Seguridad Nacional es el punto de contacto nacional y ha llevado a cabo varios proyectos con ENISA, entre ellos la planificación del ejercicio «Ciber Europe» a escala nacional. A juicio de las autoridades españolas, el entorno global de Internet, en el que se mueve la ciberdelincuencia, genera la necesidad de que se aporten respuestas globales. Como resultado, el trabajo realizado por estos organismos de la UE es de importancia capital, tanto en términos de coordinación entre Estados miembros como de intercambio de información. Sin embargo, en algunos casos la operatividad y la coordinación efectiva no son lo suficientemente rápidas. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 61 ES RESTREINT UE/EU RESTRICTED 7.1.3 Rendimiento operativo de los equipos conjuntos de investigación y ciberpatrullas Son varios los equipos conjuntos de investigación en los que ha participado el Ministerio Fiscal, incluyendo: • la «operación Eurimus», desarrollada con el objetivo de desmantelar una organización delictiva que se valía de programas o malwares creados al efecto, para llevar a cabo intrusiones en los sistemas informáticos de distintas empresas de las que se descargaban bases de datos con información sobre tarjetas de crédito y usuario de sus clientes con intención de venderlas a terceros para su ilícito uso. • la «operación Onymous», dirigida contra mercados clandestinos de Internet, tras geolocalizarse en Arenys de Mar (Barcelona) una página Web desde la que supuestamente se estaba llevando a efecto la venta de euros falsos a cambio de bitcoins. La participación del Fiscal Delegado de Barcelona resultó decisiva para poder materializar la práctica simultánea con Europa y Estados Unidos de las diligencias de entrada y registro acordadas. Eurojust felicitó a la Fiscalía española por su actuación en esta operación. • «Operación Atelier» dirigida contra un grupo de personas que de manera estable y estructurada utilizaban niñas menores de edad, incluso menores de 13 años, para elaboración de material pedófilo, mediante la elaboración de guiones para los posados y vídeos, selección de niñas concretas y envío de ropas para las niñas. Los materiales eran enviados por el sospechoso español al intermediario en Suecia, quien a su vez lo enviaba a fotógrafos en República Checa. La colaboración de los tres países resultó esencial para la detención de los sospechosos y para la realización de las diligencias de entradas y registros simultáneas, lo que permitió, sin que existiera destrucción de pruebas electrónicas, la incautación de los dispositivos informáticos donde se almacenaba el material pedófilo. • «Operación Alfonsos» iniciada como consecuencia de información remitida por la Fiscalía sueca a la española, acerca de la intervención, en un grupo organizado internacional, de producción y venta de pornografía infantil, de un sospechoso español. El sospechoso ya había sido condenado en España, en 2013, por su participación en hechos similares («Operación Koala», en 2007) en el proceso de producción y compraventa de pornografía infantil. Por este motivo se formó, en el seno de Eurojust, un Equipo Conjunto de Investigación (ECI). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 62 ES RESTREINT UE/EU RESTRICTED La valoración española de los ECI es claramente positiva, pues supone el marco ideal para desarrollar investigaciones con comunicación directa entre todas las autoridades involucradas, lo que permite crear una dinámica de actuación de grupo. Sin embargo, se han identificado algunos aspectos importantes para que los ECI constituyan un instrumento más eficaz en las investigaciones transfronterizas, entre los que cabe señalar: • la necesidad de realizar una valoración previa respecto de las necesidades de la investigación; • la valoración de la idoneidad y adecuación del mecanismo del ECI para el fin perseguido (relación coste/efectividad); • el establecimiento de una estrategia de investigación; • el intercambio de información sobre los sistemas nacionales en los aspectos que pueda resultar de interés conocer, tales como el secreto de las actuaciones; • la agilización del proceso negociador; • la coordinación de investigaciones y operaciones; • la valoración de la pertinencia de la implicación de Eurojust y Europol; • el proceso de finalización y la valoración final del funcionamiento y resultados. Actualmente España, a través de la Unidad de Investigación Tecnológica, colidera la subprioridad de ciberataques del proyecto EMPACT. En el plan operativo de dicha subprioridad existe una actividad (5.1) relativa a las ciberpatrullas la cual es coliderada por España junto con Alemania. 7.2 Co o pe r ac i ón e nt r e l as aut or idade s e s pañol as e Int e r po l Las autoridades españolas participan en grupos de trabajo sobre ciberdelincuencia y utilizan estos foros para la cooperación internacional sobre investigaciones. Se informó de la experiencia en el uso de la Base de Datos Internacional sobre Explotación Sexual de Niños, de Interpol. La UIT dispone de agentes con acceso a las bases de datos y que son usuarios experimentados; algunos han efectuado el curso de formador en la base de datos y ocasionalmente han aumentado su contribución añadiendo imágenes de explotación sexual infantil a la misma. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 63 ES RESTREINT UE/EU RESTRICTED 7.3 Co o pe r ac i ón c on t er c e r os Est ados Las autoridades españolas hacen uso de varios acuerdos bilaterales o multilaterales en los que es parte España para enviar comisiones rogatorias a los EE.UU y a Perú, por ejemplo. Sin embargo, los representantes españoles entrevistados observaron que las instituciones de la UE deben estudiar posibles maneras de acelerar la cooperación internacional con terceros países. El INCIBE coopera con el CERT competente en países concretos, para que desde su capacidad de acción nacional pueda cooperar en la desactivación de la amenaza que afecta a activos españoles. Del mismo modo CCN-CERT realiza la gestión de un incidente habitualmente entre equipos CERT internacionales a través del intercambio de información técnica. Estos equipos CERT en principio no requieren operar sobre la base de resoluciones judiciales porque se está resolviendo un ataque sobre sistemas. 7.4 Co o pe r ac i ón c on e l s e c t or pri vado La evaluación de las autoridades españolas de la cooperación con el sector privado es positiva. La colaboración con el sector privado se basa en el mutuo entendimiento, pues en la mayoría de los casos son las propias empresas las víctimas de estos delitos. La Ley 25/2007 de conservación de datos y la Ley 34/2002 de servicios de la sociedad de la información y del comercio electrónico se aplican a las compañías privadas. Los proveedores de servicios, según la Ley 34/2002, no son responsables de los contenidos que transmiten o alojan o a los que facilitan acceso, si no participan en su elaboración o no tienen conocimiento de la ilegalidad de los mismos. Son responsables si conocen su ilicitud y no actúan rápidamente para retirarlos o imposibilitar el acceso a ellos. Sin embargo, el nivel de cooperación con empresas privadas que tienen su sede principal en terceros países varía en función de la empresa de que se trate. Algunas compañías atienden directamente a las solicitudes de información emitidas por las autoridades nacionales, mientras que otras sólo facilitan datos en virtud de los acuerdos de colaboración mutua legal. La UIT considera que la operadora Twitter presenta bastantes dificultades a la hora de facilitar datos técnicos necesarios para las investigaciones, incluso en muchas ocasiones solicitando la tramitación de una comisión rogatoria internacional para realizar dicho trámite. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 64 ES RESTREINT UE/EU RESTRICTED El sector privado desempeña un papel muy importante en la labor de prevención y represión de la delincuencia especialmente en lo que se refiere a la protección de los niños y a las actividades de sensibilización. Su contribución es clave para canalizar las denuncias a los cuerpos y fuerzas de seguridad (véase mayor información sobre sus actividades en el punto 8.3.2). La Policía Nacional colabora en diferentes proyectos, a través de acuerdos marco y asociaciones para el desarrollo de actividades determinadas. A modo de ejemplo, el proyecto conjunto de la Policía Nacional y del INCIBE ASASEC (Advisory System Against Sexual Exploitation of Children) financiado por la UE incluye una solución tecnológica innovadora que mejora la tecnología actual utilizada para combatir la pornografía infantil, facilitando una plataforma para gestionar casos y pruebas relacionados con dichos delitos. Esta herramienta diseñada por el CNP y desarrollada por el INCIBE durante el año pasado, emplea visión artificial, análisis forense automatizado y minería de datos como mecanismos que permitan mejorar la eficiencia de la Policía Nacional en la resolución de dichos casos. Además, el INCIBE centrará su atención en establecer «Evidence Detector» como la herramienta forense de facto para el análisis de pruebas en los procedimientos de entrada y registro policiales. En él también intervienen como socios tecnológicos la Universidad de León, la Universidad Politécnica de Madrid y la Asociación de Ingenieros e Ingenieros Técnicos en Informática. La Universidad de Alcalá de Henares (UAH) a través de la «Cátedra Amaranto» impulsa y forma parte de manera principal y proactiva del «Foro de colaboración Público/Privada en Ciberseguridad centrado en el poder Legislativo/Judicial». El Foro surge con la idea de fomentar los mecanismos necesarios para realizar acciones que alienten la colaboración público-privada en materia de ciberseguridad y promover el establecimiento un sistema de gestión del conocimiento asociado, dando soporte al mismo tiempo a todas las partes interesadas, desde los ámbitos tecnológicos, legales y físicos hacia el poder jurídico/legal. Forman parte del Foro, a título personal, nunca representando a sus organizaciones: letrados de las Cortes Generales (Senado y Congreso), personal de Fiscalía de Sala de Criminalidad Informática, personal del CNP, de GC, del Mando Conjunto de Ciberdefensa y del CCN. También incluye a personas vinculadas al mundo universitario (UAH y UAM) y del sector privado (Telefónica, CaixaBank, Bankia, BBVA, E&Y, Eulen Seguridad, Ferrovial, Iberdrola, Repsol, etc…). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 65 ES RESTREINT UE/EU RESTRICTED La UAM (Universidad Autónoma de Madrid) - El ICFS-UAM dirigió durante dos años un proyecto financiado por la UE en el que se buscaba potenciar la colaboración público-privada en la lucha contra la ciberdelincuencia. En particular, se buscaba formar el triángulo red académica – cuerpos y fuerzas de seguridad – empresas privadas a través de la creación de un centro de excelencia en ciberseguridad. Así, además de la UAM participaron Guardia Civil, Cuerpo Nacional de Policía y la empresa S21sec. El proyecto Centro Nacional de Excelencia en Ciberseguridad (CNEC) se centró mayormente en el desarrollo de acciones formativas dirigidas exclusivamente a miembros de GC y CNP. De manera más concreta, creó: • cinco cursos en temas avanzados de lucha contra la ciberdelincuencia. • dos programas de certificación, que permiten la obtención de un certificado de recogida de evidencia digital, dirigido a First Responders, y un certificado sobre análisis de sistemas Windows. 7.5 I ns t r um ent os de coope r ac i ón i nt e r nac i onal 7.5.1 Asistencia judicial mutua Dentro del marco normativo español no existe una ley de cooperación judicial en materia penal, por lo que la legislación aplicable incluye los convenios internacionales de los que España es parte. La Fiscalía General del Estado, el Consejo General del Poder Judicial y el Ministerio de Justicia han elaborado un instrumento para todos los operadores jurídicos en materia de cooperación judicial internacional. Se trata de una herramienta informática (www.prontuario.org) que proporciona información sobre todos los tratados firmados por España y los instrumentos europeos en materia de cooperación judicial internacional además de información práctica sobre puntos de contacto de la RJE y Eurojust. La información se complementa con formularios elaborados por estas instituciones y con los modelos estándar de los instrumentos de reconocimiento mutuo. Las autoridades competentes para recibir o reenviar las solicitudes varían en función del instrumento internacional que se aplique. Cuando se aplica el Convenio Europeo relativo a la Asistencia Judicial en Materia Penal entre los Estados miembros de la Unión, de 29 de mayo de 2000, las solicitudes han de remitirse directamente entre las autoridades judiciales competentes. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 66 ES RESTREINT UE/EU RESTRICTED Cuando las solicitudes de asistencia judicial se tramiten sobre la base del Convenio Europeo de Asistencia Judicial en Materia Penal, de 20 de abril de 1959, o en el marco de los distintos Convenios bilaterales firmados por España sobre la materia, tanto la remisión como recepción de las solicitudes se realiza a través de la Autoridad Central, en el caso de España del Ministerio de Justicia. En los casos en los que para la tramitación de las solicitudes de asistencia judicial se aplica el principio de reciprocidad, su envío y recepción se realiza a través de la vía diplomática. En los casos en los que la solicitud se remite a través de la Autoridad Central, esta comprueba que se cumplen los requisitos formales aplicables al caso concreto, dejando en manos de la autoridad judicial competente las decisiones concretas acerca de la ejecución de la citada solicitud. En España son autoridades judiciales competentes para recibir (o reenviar) solicitudes de asistencia judicial en general en la investigación de todo tipo de delitos (y, por tanto también en investigaciones de delitos informáticos) los jueces de instrucción y los fiscales. La Fiscalía General del Estado ha dictado numerosas instrucciones, que son de obligado cumplimiento para todos los fiscales, con el propósito de ajustar la actuación de los miembros de la Carrera Fiscal a las disposiciones reguladoras de Eurojust y la RJE, tales como: • la Instrucción 3/2001, de 28 de junio, sobre los actuales mecanismos y modalidades de asistencia judicial internacional en materia penal, que recopila para los fiscales españoles la normativa europea y los mecanismos existentes en materia de cooperación judicial internacional penal, con mención expresa de la Red Judicial Europea y Eurojust; • la Instrucción 2/2003, de 11 de julio, sobre actuación y organización de las Fiscalías en materia de Cooperación Judicial Internacional, que crea el Servicio Especial de Cooperación Judicial Internacional y el sistema informático para el registro de asuntos de cooperación internacional. La Instrucción delimita asimismo las funciones de los fiscales integrantes de la Red de Fiscales de Cooperación Judicial Internacional, resuelve problemas comunes inherentes a la ejecución de comisiones rogatorias y establece criterios de coordinación para la ejecución de solicitudes de auxilio en territorio de varias fiscalías. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 67 ES RESTREINT UE/EU RESTRICTED • la Instrucción 2/2007 sobre la organización de la Sección de Cooperación Internacional de la Secretaría Técnica de la Fiscalía General del Estado y el ejercicio de las funciones que atribuye al Ministerio Público la ley 16/2006, de 26 de mayo por la que se regula el Estatuto del Miembro Nacional de Eurojust y las relaciones con este órgano de la Unión Europea; • la Instrucción 1/2011 sobre las funciones y facultades del Fiscal de Sala de Cooperación Penal Internacional, que atribuye al Fiscal de Sala de Cooperación Penal Internacional (en cuanto Jefe de la Unidad de Cooperación Internacional de la Fiscalía General del Estado) las funciones relativas al auxilio judicial internacional, incluyendo las actuaciones derivadas de las actividades de Eurojust, de las relaciones con la OLAF, con la Red Judicial Europea o con IberRed y, en consecuencia, la dirección y coordinación de las actividades de la Red de Fiscales de Cooperación Internacional. • la Instrucción 3/2011, sobre el nuevo régimen de intercambio de información derivado de la Decisión del consejo de la Unión Europea de diciembre de 2008, por la que se refuerza Eurojust. La FGE ha creado un registro para las solicitudes de asistencia judicial entrantes. Sin embargo, se comunicó al equipo de evaluadores que no existe registro de las solicitudes de asistencia judicial emitidas. Esto significa que es difícil conocer la manera en que se ejecutan las solicitudes e identificar qué solicitudes son complejas y no pueden ejecutarse rápidamente. El Ministerio de Justicia, como Autoridad Central, ha tramitado 300 solicitudes de auxilio judicial en asuntos relacionados con la ciberdelincuencia, 220 de las cuales han sido activas, siendo los principales estados receptores EE.UU., Rumanía, Perú, Rusia y el Reino Unido. Los instrumentos utilizados más a menudo han sido el Convenio Europeo relativo a la Asistencia Judicial en Materia Penal y, cuando se ha tratado de Estados no comunitarios, el Convenio Europeo de Asistencia Judicial en Materia Penal. En cuanto a los Estados que no son parte de ninguno de estos Convenios, se ha recurrido al correspondiente Convenio bilateral o al principio de reciprocidad. Se han remitido solicitudes en lo que se refiere a los siguientes actos delictivos: estafas o fraudes, amenazas, calumnia o injurias, terrorismo, pornografía infantil o corrupción de menores, y revelación de secretos. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 68 ES RESTREINT UE/EU RESTRICTED Los representantes de la judicatura entrevistados señalaron que, cuando se trata de asistencia internacional, la clave consiste en una cooperación correcta y rápida con Estados Unidos, dado que numerosos proveedores de servicios de Internet populares están localizados en su territorio (p. ej. Google, Yahoo, etc.). Se quejaron de la calidad de esta cooperación, especialmente en el ámbito de la conservación de datos y a la hora de revelar la dirección IP del titular de una cuenta de Facebook. El legislador de la UE debe adoptar legislación sobre monedas encriptadas y servicios de anonimización en Internet, cuestiones que están dificultando la eficacia de las investigaciones de delitos informáticos. 7.5.2 Instrumentos de reconocimiento mutuo Los instrumentos de reconocimiento mutuo se incorporaron al ordenamiento jurídico español mediante la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea (y la Ley Orgánica 6/2014, de 29 de octubre de 2014, complementaria de la Ley de reconocimiento mutuo de resoluciones penales en la Unión Europea). Esta ley transpone los instrumentos europeos relativos a la aplicación del principio de reconocimiento mutuo de sentencias en materia penal por las que se imponen penas u otras medidas privativas de libertad (la Decisión marco 2008/909/JAI, de 27 de noviembre de 2008), de sentencias y resoluciones de libertad vigilada con miras a la vigilancia de las medidas de libertad vigilada y las penas sustitutivas (la Decisión marco 2008/947/JAI, de 27 de noviembre de 2008), a las resoluciones sobre medidas de vigilancia como sustitución de la prisión provisional (la Decisión marco 2009/829/JAI, de 23 de octubre de 2009), sobre la orden europea de protección (la Directiva 2011/99/UE, de 13 de diciembre de 2011), de sanciones pecuniarias (la Decisión marco 2005/214/JAI, de 24 de febrero de 2005), de resoluciones de decomiso (la Decisión marco 2006/783/JAI, de 6 de octubre de 2006) y a la orden europea y a los procedimientos de entrega (la Decisión marco 2002/584/JAI). La Ley 23/2014 cubre asimismo la incorporación inicial al Derecho interno de la Decisión marco 2003/577/JAI, de 22 de julio de 2003, relativa a la ejecución en la Unión Europea de las resoluciones de embargo preventivo de bienes y aseguramiento de pruebas, así como la Decisión marco 2008/978/JAI, de 18 de diciembre de 2008, relativa al exhorto europeo de obtención de pruebas para recabar objetos, documentos y datos destinados a procedimientos en materia penal. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 69 ES RESTREINT UE/EU RESTRICTED Las autoridades españolas han indicado que, salvo en el caso de la OEDE, los instrumentos de reconocimiento mutuo han tenido una aplicación muy limitada en lo que se refiere a la asistencia judicial activa. En lo que respecta a la cooperación judicial pasiva, los datos de la Memoria de 2014 de la Fiscalía presentan un resultado de 2.595 comisiones rogatorias frente a 22 solicitudes de reconocimiento mutuo recibidas en las distintas fiscalías o en la Unidad de Cooperación Internacional (referidas a cualquier tipo de delito, no específicamente relacionadas con ciberdelincuencia). Por lo tanto, el porcentaje de las solicitudes de reconocimiento mutuo representa el 0,86% del total, algo que también puede deberse al papel más limitado de la Fiscalía en la ejecución de los instrumentos de reconocimiento mutuo. 7.5.3 Entrega y extradición La Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea regula un mecanismo de entrega basado en la OEDE. Las autoridades españolas han señalado que el uso de la red para la práctica de actividades delictivas se considera una actividad transversal, de modo que muchos de los tipos delictivos descritos en el Código Penal no se contemplan como delitos cibernéticos, aunque la red pueda considerarse un instrumento para cometerlos. Así, entre los delitos exentos de control de doble incriminación se han descrito casos de uso de la red para la comisión de delitos de terrorismo y chantaje y extorsión; sirviéndose de la red se pueden cometer también muchos otros delitos (tráfico de seres humanos, tráfico de drogas y otros delitos de tráfico). El uso de la red es habitual en otros muchos delitos, como determinados delitos de estafa (fraude en el listado), en casos como las cartas nigerianas o los «boiler rooms» u otros fraudes con medios de pago. La extradición está regulada en la Ley 4/1985, de 21 de marzo, de extradición pasiva. Además, muchos tratados de extradición suscritos por España contienen normativa específica sobre los delitos que dan lugar a la extradición. La recepción de las OEDE es competencia de los Juzgados Centrales de Instrucción, y las extradiciones competen al Ministerio de Justicia. La emisión de OEDE y solicitudes de extradición corresponde a los juzgados y tribunales españoles competentes por razón del delito cometido. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 70 ES RESTREINT UE/EU RESTRICTED No existen estadísticas específicas sobre las OEDE en materia de ciberdelincuencia emitidas o recibidas. Las OEDE y solicitudes de extradición por ciberdelincuencia siguen el mismo procedimiento que las demás solicitudes. Respecto de las solicitudes urgentes no existe ningún régimen especial. No existe ningún procedimiento específico en la tramitación de OEDE o extradiciones por tipo de delito. En el contexto de una OEDE es posible dictar la prisión provisional mientras se desarrolla el procedimiento de entrega, con objeto de garantizar el buen fin del expediente de entrega. La prisión preventiva está sujeta a las mismas reglas y condiciones que en el contexto de una investigación nacional. En el ámbito de los procedimientos de extradición conforme a la Ley de extradición pasiva también es posible acordar la prisión provisional si el Estado reclamante así lo solicita; esta prisión provisional queda sin efecto si a los cuarenta días de haberse acordado el Estado reclamante no ha presentado en forma la reclamación de extradición. Los tratados bilaterales suscritos por España contienen también normativa específica relativa a la prisión provisional. 7.6 Co nc l us i one s España participa de forma activa en operaciones conjuntas con Eurojust (por ejemplo, las operaciones Onymous, Eurymus, Ransomware, etc.) y con Europol. España ha participado en varios ECI establecidos con ayuda de Eurojust, y ha asistido en la ejecución de varias solicitudes de asistencia judicial. La cooperación se considera fructífera. Sin embargo, se ha señalado que debería estudiarse un modo de intercambio de información más rápido. Representantes de la Guardia Civil y del Cuerpo Nacional de Policía participan en todos los puntos focales con competencias en el ámbito de la ciberdelincuencia (Cyborg, Twins y Terminal), así como en grupos de trabajo de Europol (como el J-CAT). La actividad de estos grupos especializados se considera muy eficiente. Los cuerpos y fuerzas de seguridad conocen Europol, y participan también en los proyectos EMPACT desarrollados en el marco del ciclo de actuación de la UE. Se ha llevado a cabo alguna cooperación con ENISA. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 71 ES RESTREINT UE/EU RESTRICTED Se ha informado al equipo de evaluación de la falta de conocimiento por parte de las autoridades judiciales españolas de las funciones y capacidades de Eurojust y del Centro Europeo de Ciberdelincuencia de Europol. Los evaluadores consideran por lo tanto que estos organismos de la UE deberían explicar mejor el papel que desempeñan, así como el valor añadido que puede aportar su asistencia a las autoridades nacionales competentes. En general, la evaluación de la cooperación con las empresas privadas ubicadas en España es positiva. Sin embargo, las autoridades españolas han informado de algunas dificultades con respecto a la cooperación con empresas privadas que tienen su sede principal en terceros países. España carece de disposiciones nacionales específicas que regulen la cooperación internacional en materia de ciberdelincuencia. La base jurídica para esta cooperación son los convenios internacionales suscritos por España. Las autoridades judiciales utilizan todos los canales disponibles: funcionarios y magistrados de enlace y organismos de la UE. Las autoridades españolas consideran positiva la cooperación con los Estados miembros. Sin embargo, se ha informado de que la cooperación con terceros países es a menudo difícil, y las respuestas llegan con retraso. Otra cuestión que se indica es la relativa al intercambio de información operativa y datos personales con terceros países. Consideran que, en el mundo en constante evolución de la ciberdelincuencia, se precisa un canal de comunicación rápido y seguro aunque a menudo, debido a los tratados vigentes, este tipo de información solo pueda encaminarse por canales diplomáticos. En opinión de los evaluadores, para mejorar esta cooperación podría ser de utilidad servirse de los puntos de contacto creados por Eurojust y Europol en terceros países, pudiendo así establecer acuerdos de cooperación u operativos con un número mayor de terceros países. Aunque el equipo de evaluación no observó grandes obstáculos a las solicitudes de asistencia judicial, sí existen algunos problemas lingüísticos, y el proceso es demasiado lento. La Autoridad Central dispone de un registro para las solicitudes de asistencia judicial tanto entrantes como salientes. Pero en la Fiscalía no hay ningún registro de las solicitudes de asistencia judicial salientes. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 72 ES RESTREINT UE/EU RESTRICTED • Los representantes españoles entrevistados confían en que las instituciones de la UE estudien posibles maneras de acelerar la cooperación internacional con terceros países. Desean además que el legislador de la UE adopte legislación sobre monedas encriptadas y servicios de anonimización en Internet, cuestiones que están dificultando la eficacia de las investigaciones de delitos informáticos. En lo que se refiere a la cooperación con proveedores en la nube (como Google, Yahoo, etc.) consideran que deberían establecerse disposiciones especiales para reducir los plazos y obtener la información en formatos que los tribunales puedan aceptar. Pese a la complejidad del sistema de investigación y enjuiciamiento español, España ha desarrollado varios instrumentos interesantes y valiosos, algunos de los cuales pueden utilizarse en la lucha contra la ciberdelincuencia. La Fiscalía General del Estado, el Consejo General del Poder Judicial y el Ministerio de Justicia han desarrollado un portal web llamado Prontuario que contiene información sobre todos los tratados suscritos por España y los instrumentos europeos de cooperación judicial, así como información práctica sobre la RJE y Eurojust, y que se ha puesto a disposición de los profesionales de la Justicia para apoyar su labor en cuestiones de cooperación internacional. Recoge información heterogénea que cubre los instrumentos jurídicos existentes, formularios, así como los datos de contacto de las contrapartes en materia de cooperación judicial y de otros interesados. Parece un instrumento de gran utilidad para todos los profesionales de la investigación y la judicatura. En opinión de los evaluadores, la creación y el desarrollo de estas herramientas para los profesionales debe considerarse una práctica idónea. Además se han emitido unas directrices para la interpretación de los instrumentos jurídicos, dirigidas a clarificar algunos aspectos de la cooperación judicial y a contribuir a que la judicatura adquiera un mayor conocimiento del marco jurídico nacional e internacional. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 73 ES RESTREINT UE/EU RESTRICTED 8 FO RM AC I Ó N, CO NCI EN CI ACI Ó N Y PREV EN CI Ó N 8.1 Fo r m a c i ón e s pe c í fic a Los propios cuerpos y fuerzas de seguridad se encargan de facilitar la formación a su personal y de determinar las prioridades con arreglo a la estrategia definida por las autoridades nacionales. También participan en los cursos que suelen organizar CEPOL y EC3-Europol y son parte del grupo ECTEG que se reúne dos veces al año. En cuanto a la formación de la Policía Nacional, la UIT organiza anualmente, en colaboración con la división de formación, dos cursos de especialización sobre delitos tecnológicos: uno dirigido a los agentes de policía y otro a los subinspectores e inspectores. La UIT participa además en diferentes cursos de formación en materia de delitos tecnológicos en colaboración con organismos y entidades como Europol, Interpol y el CNEC. También organiza cursos de formación y mesas redondas sobre ciberseguridad para magistrados y fiscales, con un total de 56 trabajadores en prácticas en el último periodo. La formación de la Guardia Civil consta de dos aspectos: a) La formación impartida por agentes de la Guardia Civil especializados en ciberdelincuencia, tanto en modo presencial como en formación a distancia. Se ofrece un curso básico de investigación tecnológica anual de una semana en el que se imparte formación a treinta agentes sobre análisis de redes, intervención de dispositivos de almacenamiento, búsqueda en fuentes abiertas y programas malintencionados. Por otra parte, anualmente se imparte un curso no presencial en línea en el que doscientos agentes no especializados reciben nociones normativas y aprenden técnicas básicas sobre investigación tecnológica; b) Por otra parte, se imparte una formación especializada de alto nivel, para la cual se recurre a entidades externas como centros universitarios, agencias internacionales (EC3-Europol), empresas privadas del sector y el CNEC. En este caso, el tema varía en función de las necesidades del momento. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 74 ES RESTREINT UE/EU RESTRICTED Los cuerpos y fuerzas de seguridad consideran que sería de utilidad que el Ministerio de Interior se implicara más en la organización de la formación a los profesionales. A juicio de las autoridades españolas, la participación del mundo académico resulta clave en un mundo altamente globalizado. El mundo académico desempeña un papel muy importante a la hora de proporcionar una plataforma para la colaboración entre las empresas privadas y los cuerpos y fuerzas de seguridad. Por esta razón, las universidades españolas (por ejemplo, la UAM o la UAH) participan en la organización de la formación a los profesionales. La Universidad de Alcalá de Henares (UAH), en su Cátedra Amaranto de Seguridad Digital, ofrece gran variedad de formaciones altamente especializadas en materia de ciberseguridad dirigidas a los cuerpos y fuerzas de seguridad y a la Fiscalía Especial para la Criminalidad Informática, como por ejemplo: • Cursos dirigidos a los equipos de investigación tecnológica (EDITE) de la Guardia Civil, tres ediciones de una duración de diez días una vez al año; • Curso dirigido a los miembros de la Fiscalía Especial para la Criminalidad Informática, tres ediciones de una duración de cinco días una vez al año; • Talleres dirigidos a los miembros de la Policía Nacional, la Guardia Civil y el Ejército español, como parte de las Jornadas Ciberseg (una conferencia de dos días dedicada a debates y talleres sobre ciberseguridad y defensa). Dos series de cuatro talleres de dos horas sobre cuestiones específicas de ciberseguridad avanzada. Dentro del programa CNEC de la Universidad Autónoma de Madrid (UAM), hasta noviembre del 2014 se ofrecieron unos cursos a los que asistieron en parte miembros de los cuerpos y fuerzas de seguridad. También se realizaron certificaciones exclusivas para los cuerpos y fuerzas de seguridad, centradas en las pruebas digitales, y concretamente en dos ámbitos: la recogida de pruebas digitales (para los primeros intervinientes) y el análisis forense de dispositivos Windows. Por último, desde septiembre de 2015 se ofrece un curso de postgrado sobre pruebas digitales y lucha contra la ciberdelincuencia. Este máster está abierto al público, pero incluye una rama especializada y reservada a los miembros de los cuerpos y fuerzas de seguridad. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 75 ES RESTREINT UE/EU RESTRICTED En la UAM, el CNEC está desarrollando actualmente un proyecto financiado por la UE cuyo objetivo es crear material de formación y establecer un marco de certificaciones para los miembros de los cuerpos y fuerzas de seguridad y los fiscales. La idea es que esta formación conjunta les ayude a unificar criterios y a desarrollar un entendimiento común que les sea útil en sus actividades de investigación. El papel fundamental del CNEC es ayudar a coordinar la formación dispensada a los cuerpos y fuerzas de seguridad con la que se imparte en el resto de Europa. Con este fin se han traducido varios cursos del ECTEG, y también la Guía de recogida de pruebas digitales del Consejo de Europa (programa Octopus). En septiembre de 2015 tuvo lugar un curso piloto en el que intervinieron expertos de varios países europeos. El UNED-IUISI, Instituto Universitario de Investigación sobre Seguridad Interior de la Universidad Nacional de Educación a Distancia, participa en actividades de formación y seminarios conjuntos en materia de ciberdelincuencia con la Escuela de Oficiales de la Guardia Civil, seminarios internacionales como el titulado «Estándares europeos de seguridad», desarrollo de programas de investigación académica en materia de seguridad sobre temas como el uso de las nuevas tecnologías en el proselitismo, la coordinación y otras acciones de actuación criminal, o el rendimiento policial en la lucha contra la delincuencia organizada, así como talleres en materia de inteligencia prospectiva. El Consejo General del Poder Judicial imparte formación a los jueces. Para jueces y fiscales, la formación continua no es obligatoria. Únicamente los jueces en prácticas deben seguir un seminario sobre ciberdelincuencia. La formación de los fiscales depende del Ministerio de Justicia, que destina anualmente un presupuesto al efecto. Las autoridades policiales organizan cursos y mesas redondas sobre ciberseguridad dirigidos a jueces y fiscales. Sin embargo, se comunicó al equipo de evaluadores que no existe una formación común para los representantes de las distintas instituciones implicadas en la lucha contra la ciberdelincuencia (entre ellos agentes de policía, fiscales y jueces). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 76 ES RESTREINT UE/EU RESTRICTED 8.2 Co nc i e nc i ac i ón En el marco de la Agenda Digital para España, el Estado español ha desarrollado el Plan de Confianza Digital, la totalidad de cuyas actuaciones relativas al Eje 1 se refieren a la prevención y la concienciación. Como parte del Plan de Confianza Digital (DAS-5) y, concretamente, del «Eje I: Experiencia digital segura», se está examinando un programa piloto que evaluará la conveniencia y la viabilidad de incorporar a los planes de estudios un elemento de confianza digital. La entidad FAPMI ECPAT ha participado en la campaña Make it Safe, una campaña mundial por una Internet segura para los niños y adolescentes. En 2014 se procedió a su aplicación piloto en la Comunidad Autónoma de Castilla y León, con el desarrollo de unas sesiones de formación dirigidas a alumnos del último ciclo de Primaria y de Educación Secundaria Obligatoria. En España, tanto el sector privado como el sector público desarrollan actividades de concienciación. El Cuerpo Nacional de Policía dispone de perfiles corporativos en redes sociales (Twitter y Facebook) que utiliza para desarrollar campañas de divulgación masivas en materia de prevención en todos los ámbitos, y en especial en el campo de la ciberdelincuencia. La cuenta de Twitter es la que dispone de más seguidores en el ámbito de los cuerpos y fuerzas de seguridad a escala mundial. La UIT colabora en todas las campañas institucionales de prevención destinadas a crear conciencia sobre la ciberdelincuencia. Concretamente, la UIT está entablando contactos con universidades para establecer una especialización mayor en la materia mediante cursos sobre diferentes temas relacionados con las nuevas tecnologías. También colabora en ponencias que se presentan en distintos cursos y cursos de postgrado sobre ciberdelincuencia organizados por las universidades. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 77 ES RESTREINT UE/EU RESTRICTED El INCIBE realiza acciones de prevención y concienciación, y en particular ha organizado: • dos grandes congresos en 2014 centrados en los distintos programas de concienciación y formación para diversos públicos: • Cybercamp’14 en Madrid, con mas de 4.800 participantes procedentes de todos los ámbitos, incluyendo familias, menores y educadores; • ENISE’14 en León, con más de 800 asistentes del ámbito privado y publico. A la luz del Plan Nacional de Ciberseguridad que ejecuta la Estrategia de Ciberseguridad Nacional, se ha establecido un Plan específico para la Cultura de la Ciberseguridad. Dicho Plan incluye actuaciones, y está centrado en concienciar sobre la ciberseguridad y aumentar la cultura de la ciberseguridad en varios ámbitos: sector público, sector privado, sociedad, empresas y compañías, magistrados y cuerpos y fuerzas de seguridad. El sector privado desarrolla sus propias campañas y servicios de sensibilización, ya sea como un valor añadido para sus clientes o como parte de su política de responsabilidad social corporativa. El sector privado participa activamente en los foros profesionales para la protección del menor (como el grupo de trabajo de menores e Internet), e interviene cuando la ocasión lo requiere en campañas de sensibilización conjuntas (como las Jornadas por una mayor seguridad en Internet, en 2015). En la UAH, la Cátedra Amaranto ha desarrollado actos conjuntos con la policía judicial de la Guardia Civil y con miembros de la Policía Nacional para concienciar a los sectores de la población considerados de mayor riesgo: personas de la tercera edad, a través de la Universidad de Mayores de la UAH, alumnos de instituto y módulos de formación profesional, con jornadas realizadas en la UAH, y alumnos universitarios, con jornadas anuales y charlas mensuales en materia de ciberseguridad. El ICFS de la UAM ofrece un programa de certificaciones y cursos a medida destinados a aumentar la concienciación. En la UAM están pendientes de la aprobación de un plan para introducir las certificaciones de concienciación en la enseñanza secundaria (tanto para profesores como para alumnos). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 78 ES RESTREINT UE/EU RESTRICTED 8.3 Pr e v e nc ión 8. 3 . 1 Le g i s l aci ón y pol í t ic a nac i onal es y ot r as m e di das La Estrategia nacional de ciberseguridad, en su línea de acción 7 (Cultura de ciberseguridad), contempla la necesidad de concienciar a los ciudadanos, profesionales y empresas de la importancia de la ciberseguridad y del uso responsable de las nuevas tecnologías y de los servicios de la sociedad de la información. Esta línea de acción se aplica principalmente mediante las campañas de concienciación del INCIBE, dependiente del Ministerio de Industria y Telecomunicaciones. En febrero de 2013 se publicó la Agenda Digital para España como marco de referencia para establecer una hoja de ruta en materia de tecnologías de la información y las comunicaciones (TIC) y de administración electrónica; establecer la estrategia de España para alcanzar los objetivos de la Agenda Digital para Europa; maximizar el impacto de las políticas públicas en materia de TIC para mejorar la productividad y la competitividad; y transformar y modernizar la economía y sociedad españolas mediante el uso eficaz e intensivo de las TIC por la ciudadanía, las empresas y las administraciones. Uno de los seis objetivos principales de la Agenda, el número 4, es reforzar la confianza en el ámbito digital. La Agenda plantea tres líneas de actuación principales en el ámbito de la confianza: impulsar el mercado de los servicios de confianza, reforzar las capacidades actuales para promover la confianza digital e impulsar la excelencia de las organizaciones en materia de confianza digital. También se han establecido algunas líneas de actuación para reforzar las capacidades en materia de confianza digital, concretamente: 1. Consolidar la posición del INCIBE como centro de excelencia en confianza digital (extendiendo su participación e incluyendo todos los aspectos de la confianza, entre ellos la protección de menores y la protección de la privacidad, en coordinación con otras entidades que operan en el ámbito de la confianza digital; situarlo como entidad de referencia en materia de ciberseguridad para sectores estratégicos, empresas y ciudadanía; y crear las capacidades necesarias para estudiar riesgos emergentes, anticipar necesidades y adoptar medidas preventivas). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 79 ES RESTREINT UE/EU RESTRICTED 2. Desarrollar programas de sensibilización, concienciación, educación y formación para todos los colectivos que aborden los diversos ámbitos de la confianza. Estos programas buscarán el apoyo de los demás sectores de la sociedad a través de modelos de cooperación público-privada y potenciarán la creación de talento para lograr establecer un verdadero centro de excelencia en España, en especial en el ámbito de la ciberseguridad. 3. Impulsar la incorporación de contenidos sobre seguridad, protección de la privacidad y uso responsable de las TIC a los planes de estudios del sistema educativo. 4. Seguimiento y diagnóstico permanente de la confianza digital mediante indicadores, e información integrada y completa. En junio de 2013 se publicó el Plan de confianza en el ámbito digital (ADpE -5), uno de los siete planes que articulan la Agenda Digital para España y que desarrolla en mayor profundidad la estrategia para la protección del menor en Internet. En el Eje I de este Plan, titulado «Experiencia digital segura», se incluyen varias actuaciones relacionadas con la protección del menor en Internet. Estas son: • Concienciación el INCIBE simplificará, reorientará y reforzará las actuaciones de sensibilización, concienciación y formación en confianza digital que se venían desarrollando hasta el 2012, ampliando su oferta a los socios públicos y privados que manifiesten su interés en participar. Además organizará el mes de la ciberseguridad en el marco de la Estrategia Europea de Ciberseguridad. • Programa piloto de planes de estudio: puesta en marcha de un programa piloto para evaluar la oportunidad y viabilidad de incorporar contenidos de confianza digital a los planes de estudio. • Plan de menores en Internet: este Plan reforzará el portal de Red.es, www.chaval.es, estudiará la viabilidad de un mecanismo para etiquetar contenidos digitales para menores en la red e impulsará un grupo de trabajo específico para la protección del menor. Durante la visita, se informó al equipo de evaluación acerca del programa «Navega seguro», una herramienta de gran utilidad dirigida a niños y menores. El programa ha sido desarrollado en cooperación con la empresa Walt Disney y presenta algunas normas básicas para navegar seguro por Internet ilustradas con personajes de las películas de Disney. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 80 ES RESTREINT UE/EU RESTRICTED Federación de asociaciones para la prevención del maltrato infantil (FAPMI) La campaña mundial por una Internet segura para los niños y adolescentes «Make IT safe» fue documentada por la FAPMI ECPAT («End Child Prostitution and Trafficking») y en 2014 se procedió a su aplicación piloto en la Comunidad Autónoma de Castilla y León mediante sesiones de formación dirigidas a alumnos del último ciclo de Primaria y de Educación Secundaria Obligatoria. Es una iniciativa internacional en la que organizaciones que trabajan en pro de los derechos de la infancia constituyen una coalición global para la protección de los niños y adolescentes frente a los riesgos derivados del uso de las TIC. Su objetivo fundamental es sensibilizar sobre los riesgos asociados a un uso inadecuado de las TIC y mejorar la seguridad de niños y adolescentes en su uso. La FAPMI-ECPAT España es la entidad gestora de la iniciativa en España y dirige sus actuaciones mediante: • acciones de sensibilización dirigidas a niños y adolescentes, a la sociedad en general y a organizaciones e industrias privadas; • acciones de presión al sector privado de las TIC para que adopte políticas, programas y otras medidas que hagan las TIC seguras para los jóvenes; • acciones de apoyo a los gobiernos y estamentos internacionales para que se comprometan a tomar medidas que garanticen que el uso de las TIC sea seguro para los niños y adolescentes. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS La Agencia Española de Protección de Datos proporciona información y crea conciencia sobre el valor de la privacidad y la importancia que tienen los datos de carácter personal, como contribución para prevenir la exposición a situaciones de riesgo que puedan derivar en actividades delictivas. Con el enfoque puesto en los menores como grupo de población vulnerable y del que a partir de determinada edad cerca del 100% será usuario intensivo de Internet, la Agencia ha desarrollado una serie de actuaciones dirigidas en ese sentido, entre otras la creación del portal «TÚ DECIDES», disponible en la página web de la Agencia, donde se ponen a disposición de padres, educadores, y de los propios menores materiales y recursos especialmente diseñados para esa finalidad. La finalidad de este portal es generar interés y crear conciencia, de manera que el usuario adquiera el hábito de utilizar la información personal con responsabilidad y constituya así un obstáculo para quienes se aprovechan de un uso menos responsable con fines delictivos. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 81 ES RESTREINT UE/EU RESTRICTED La Agencia proporciona además información sobre el riesgo de descuidar la privacidad en Internet, para prevenir así situaciones indeseadas. Ello incluye una serie de vídeos tutoriales titulada «Protege tus datos en Internet» sobre el modo de configurar la privacidad en navegadores, redes sociales y sistemas operativos. La Agencia pone en conocimiento de los órganos competentes (Juzgados, Ministerio Fiscal) información relativa a la «usurpación de identidad relacionada con los sistemas informáticos» y el «envío o control de los envíos de correo electrónico no deseado», ya que una inadecuada utilización de la información personal en Internet podría facilitar la comisión de estos delitos (pues la dirección de correo electrónico contiene datos de carácter personal). La Universidad de Alcalá de Henares (UAH), a través de su Instituto de Políticas Públicas y en particular de su Instituto de Investigación en Ciencias Policiales, realiza una serie de actividades encaminadas a mejorar las políticas de ciberseguridad, en cooperación con la Policía Nacional. Colabora con la Guardia Civil y la Policía Nacional para crear herramientas y facilidades informáticas en la persecución y prevención de la delincuencia en redes sociales y redes P2P. La Universidad Autónoma de Madrid (UAM) creó hace más de tres años la Agencia de Certificaciones de Ciberseguridad. Esta agencia ofrece un catálogo de certificaciones en este ámbito. En particular, ofrece una certificación en Concienciación para un uso seguro de las TIC. Además ofrece formación sobre este tema dentro de la empresa. Entre las actividades en el campo de la prevención realizadas en colaboración con la empresa privada y las universidades se incluyen las siguientes: • la revista digital SIC, producida por el SIC; • la empresa multinacional S21sec, que proporciona servicios de ciberseguridad y tecnología y realiza análisis de evaluación y materiales sobre prevención. En el marco de la Agenda Digital para España y el Plan de Confianza Digital, en el Ministerio de Industria, Energía y Turismo se está desarrollando el proyecto «Capacitación en materia de seguridad TIC para padres, madres, tutores y educadores de menores de edad (2015-2016)». Este proyecto tiene por objeto la sensibilización y formación de padres, educadores y otros colectivos (como los cuerpos y fuerzas de seguridad) sobre los principales riesgos a los que se enfrentan los menores en el uso de Internet y las TIC. Para cada uno de los riesgos mencionados se ofrecen una serie de recursos y servicios formativos, tanto presenciales a través de talleres, como a distancia mediante cursos en línea abiertos, unidades didácticas para trabajar en las aulas y actividades y juegos para trabajar en familia. Uno de los objetivos del proyecto es promover la mediación parental en el hogar y la mediación docente en las escuelas, con la intención de reducir los usos problemáticos de Internet entre los menores, a la vez que se incrementa la resiliencia a las experiencias problemáticas en línea. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 82 ES RESTREINT UE/EU RESTRICTED En lo que se refiere al ciberacoso, recientemente se presentó la primera «Guía clínica sobre el ciberacoso para profesionales de la salud», que han desarrollado conjuntamente el Ministerio de Industria, Energía y Turismo (a través de Red.es), la Sociedad Española de Medicina del Adolescente (SEMA) y el Hospital Universitario La Paz. La guía pretende ser pionera en su ámbito y ayudar a relacionar campos de conocimiento y actuación, consiguiendo así una mayor eficacia en la lucha contra el ciberacoso (para más información, véase el punto 6.2.2.). El 10 de febrero se celebraron las «Jornadas por una mayor seguridad en Internet» para promover el uso responsable de la tecnología y los dispositivos móviles, especialmente entre los niños y adolescentes. El evento fue organizado por el Ministerio de Industria, Energía y Turismo, a través de Red.es, entidad pública empresarial adscrita a la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), bajo el lema «Creemos una Internet mejor juntos». Entre los temas debatidos durante el evento se incluyen las buenas prácticas para la protección de los menores en Internet y distintas iniciativas que se promueven actualmente en España para garantizar un entorno digital más seguro para los menores. El INCIBE ha lanzado las siguientes actividades de prevención y concienciación: • la Oficina de Seguridad del Internauta del INCIBE (www.osi.es), operativa desde 2009, con servicios y contenidos en materia de ciberseguridad para el público en general y los menores; • el CERTSI, que ofrece servicios para grandes empresas, sectores estratégicos e infraestructuras críticas y emite alertas sobre vulnerabilidades en sistemas de control industrial, proporciona informes mensuales de ciberseguridad y desarrolla un blog para profesionales de la ciberseguridad en sistemas de control industrial; • en 2014 se llevó a cabo la tercera edición de los ciberejercicios de ciberseguridad para operadores estratégicos e infraestructuras críticas, el CIBER-EX’14, que congregó a quince operadores, y cuyas conclusiones están enfocadas a sensibilizar y formar a los responsables técnicos y directivos en materia de ciberseguridad. Desde 2012 se han realizado ya tres ediciones de este evento, que ha atraído a más de treinta operadores estratégicos. • una página web con servicios y contenidos de ciberseguridad para pymes y profesionales titulada «Protege tu empresa»; 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 83 ES RESTREINT UE/EU RESTRICTED • el CERTSI, operado conjuntamente por el CNPIC y el INCIBE, que presta servicios para grandes empresas, sectores estratégicos e infraestructuras críticas. • El INCIBE también ha puesto en marcha el Centro Antibotnets, que identifica a víctimas españolas de redes de ordenadores zombis (botnets), les informa de que están infectadas y les da los medios para su desinfección (hay que tener en cuenta que gran parte de estas redes están dirigidas al robo de datos bancarios). • La ASASEC (http://asasec.eu/) tiene como objetivo el desarrollo de una solución tecnológica innovadora que mejore los medios técnicos actuales para la lucha a escala internacional contra el abuso sexual infantil. Esta solución permitirá a las fuerzas y cuerpos de seguridad del Estado automatizar las tareas de investigación (análisis forense de dispositivos, detección de personas o registro de casos), minimizando así los tiempos en la resolución de casos. La Policía Nacional lleva a cabo de manera habitual campañas de prevención en el ámbito de la ciberdelincuencia, entre otras: • Campañas en Twitter sobre prevención de la explotación sexual infantil en Internet, como por ejemplo #crecerseguros, centradas en la educación, prevención y concienciación para menores, padres y profesionales de la educación. Estas campañas se apoyan en vídeos disponibles en la web de la policía (www.policia.es) y otros medios de comunicación. • La campaña de concienciación «Plan Contigo» para la prevención del ciberacoso en los colegios como parte de un programa a escala nacional que incluye presentaciones, conferencias y sugerencias para menores y padres. • Participación en las Jornadas por una mayor seguridad en Internet (Safer Internet Day): el centro de Internet seguro en España está coordinado por el Ministerio de Industria y la entidad pública Red.es. • Materiales de comunicación: el CNP produce regularmente vídeos cortos destinados a concienciar sobre la seguridad en Internet, y ofrece consejos y medidas de prevención para el público en general (www.youtube.com y www.policia.es). • Carteles y folletos creados por la Policía Nacional que presentan medidas preventivas para la seguridad en Internet. • La cuenta en Twitter @policia, que cuenta actualmente con más de 1.530.000 seguidores, en la que se publican noticias y consejos relativos a la prevención y las medidas de seguridad en Internet. • La web www.policia.es dispone de una sección de consejos para la navegación por Internet y alertas con una finalidad preventiva, por ejemplo sobre el virus Police Ransomware. • La Unidad de Investigación Tecnológica dispone de una cuenta propia en Facebook (www.facebook.com/BrigadaInvestigacionTecnologica), donde se publican consejos y cuestiones relativas a la ciberdelincuencia. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 84 ES RESTREINT UE/EU RESTRICTED 8 . 3 . 2 As o c i ac i one s públ i c o- pr i va das Las entidades del sector privado (asociaciones, organizaciones no gubernamentales y fundaciones) son actores relevantes en la labor de prevención y lucha contra la delincuencia. Contribuyen a promover la sensibilización y son un elemento clave para canalizar las denuncias a los cuerpos y fuerzas de seguridad. Estas entidades tienen su representación en el grupo de trabajo públicoprivado que gestiona Red.es, y en el que participan los principales actores vinculados a la protección del menor en Internet (Administración General del Estado, industria y otros sectores). Algunas de las entidades del sector privado más relevantes son: • Fundación Alia2 - entidad sin ánimo de lucro que trabaja para proteger los derechos de los menores en Internet, fomentando el uso seguro y responsable de la red; • Padres 2.0. - organización sin ánimo de lucro en España que ofrece un tratamiento integrado frente a los riesgos derivados de las nuevas tecnologías (TIC): prevención, sensibilización, formación, mediación y asistencia psicológica y jurídica; • Fundación Anar - organización sin ánimo de lucro que se dedica, en el marco de la Convención de los Derechos del Niño de Naciones Unidas, a la promoción y defensa de los derechos de los niños y adolescentes en situación de riesgo y desamparo, mediante el desarrollo de proyectos; • Pantallas Amigas - organización sin ánimo de lucro que tiene como objetivo promover el uso seguro y saludable de las nuevas tecnologías y fomentar la ciudadanía digital responsable en la infancia y la adolescencia. 8. 4 Co nc l us i one s • La formación en ciberdelincuencia forma parte de la Estrategia de Ciberseguridad Nacional, pero cada una de las instituciones implicadas en la detección, prevención e investigación de la delincuencia debe desarrollar su propia política de formación para su personal. • Por una parte, las autoridades españolas participan en varios cursos de formación en materia de lucha contra la ciberdelincuencia junto con Europol, Interpol, el ECTEG, el mundo académico y el sector privado. En España se desarrollan gran variedad de iniciativas de formación. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 85 ES RESTREINT UE/EU RESTRICTED • Dos veces al año la UIT ofrece a los agentes de la Policía Nacional cursos de formación y especializados. La Guardia Civil proporciona una formación separada a sus agentes, en forma asistencial y de aprendizaje a distancia. El CERT ofrece además a los cuerpos y fuerzas de seguridad unos programas de formación que también están abiertos a representantes de la judicatura (fiscales y jueces). • Por otra parte, la consecuencia de esta organización separada de formación para los agentes públicos es que aquellos que participan en la lucha contra la ciberdelincuencia, como jueces, fiscales y agentes de policía, no disponen de una plataforma común para compartir las mejores prácticas en términos de éxito en la lucha contra este fenómeno. En opinión de los evaluadores es importante que tanto la judicatura como los cuerpos y fuerzas de seguridad tengan la posibilidad de seguir cursos especializados y sean animados a mejorar sus conocimientos sobre ciberdelincuencia. Por lo tanto, sería de utilidad considerar la posibilidad de organizar formaciones conjuntas para los representantes de los cuerpos y fuerzas de seguridad y de la judicatura, que podrían constituir una plataforma para intercambiar puntos de vista y experiencias en relación con la ciberdelincuencia. • Para jueces y fiscales, la formación continua no es obligatoria. Sin embargo, los evaluadores consideran que la participación en estos eventos podría ser reconocida por la jerarquía como un activo a efectos de promoción. La introducción de estos incentivos podría animar a jueces y fiscales a participar en cursos de formación especializados, sin que ello afecte a la independencia de la judicatura. • Aunque los jueces no reciben una formación especial en materia de ciberdelincuencia, el equipo de evaluación fue informado de que los jueces en prácticas sí deben asistir a seminarios sobre este tema. Los evaluadores consideran esta política el mejor modo de iniciar una formación sobre ciberdelincuencia. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 86 ES RESTREINT UE/EU RESTRICTED • Se han comunicado al equipo de evaluación las buenas prácticas en cuanto a la participación del sector privado y el mundo académico (entre otros Telefónica y la Universidad de Madrid) en un trabajo conjunto con los cuerpos y fuerzas de seguridad y los CERT para desarrollar campañas de sensibilización y ofrecer servicios y formación a los ciudadanos y las empresas (CNEC). • Muchas de las asociaciones público-privadas cubren la sensibilización (por ejemplo la plataforma web OSI.es, el servicio antibotnet), la formación para los cuerpos y fuerzas de seguridad, el desarrollo de herramientas técnicas o forenses (como ASASEC, una plataforma y base de datos para apoyar las investigaciones sobre pornografía infantil) y la prevención (actividades desarrolladas en cooperación con el Ministro de Industria, Energía y Turismo). Una de estas herramientas es el programa «Navega seguro», dirigido a niños y menores. Ha sido desarrollado en cooperación con la empresa Walt Disney y presenta algunas normas básicas para el uso seguro de Internet, sirviéndose de personajes de las películas de Disney. Debido a su formato atractivo para el público joven, «Navega seguro» constituye un buen ejemplo de buenas prácticas. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 87 ES RESTREINT UE/EU RESTRICTED 9 O BSERV ACI O NE S FI NAL ES Y R E CO M EN DACI O N ES 9.1 Sug e r e nc i as de Es paña En opinión de las autoridades españolas, es necesario mejorar la coordinación entre todos los interlocutores públicos y privados con responsabilidad en el ámbito de la ciberdelincuencia, incluyendo a los propios ciudadanos. Con este fin se precisa una estrecha coordinación de los diferentes organismos de las administraciones públicas y una adecuada cooperación entre el sector público y el sector privado. También sería necesaria una inversión económica mayor. Las autoridades implicadas en la lucha contra la ciberdelincuencia deberían disponer de un marco jurídico adecuado que les permita recurrir a las técnicas de investigación necesarias para la lucha contra la ciberdelincuencia (investigación de programas malintencionados, agentes encubiertos en la red, etc.). Esto puede conseguirse animando a los países a adherirse a la Convención de Budapest e incorporarla a su Derecho interno. En consonancia con este planteamiento supranacional, los países deberían constituir un frente común para erradicar los «paraísos tecnológicos» ubicados en aquellos Estados que favorecen el alojamiento de servicios directamente relacionados con la ciberdelincuencia y con los que no existe realmente ninguna forma de colaboración policial ni judicial. Las autoridades españolas consideran que la lucha contra la explotación sexual infantil debe ser una de las prioridades de la lucha contra la ciberdelincuencia. Es preciso adoptar medidas con respecto a los adolescentes - menores de 18 años - que cometen este tipo de delitos, y que requieren una intervención psicoeducativa para evitar que se perpetúen en estos comportamientos. Debería mejorarse la educación de niños y adolescentes de modo que dispongan de las herramientas necesarias para hacer frente a los nuevos peligros que plantea la ciberdelincuencia. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 88 ES RESTREINT UE/EU RESTRICTED 9.2 Re c o m e ndac i one s En lo que se refiere a la aplicación práctica y al funcionamiento de la Decisión marco y las Directivas, el equipo de expertos que participó en la evaluación a España pudo hacer una valoración favorable del sistema español. España deberá adoptar medidas consecutivas a las recomendaciones del presente informe dieciocho meses después de la evaluación, y presentar un informe de seguimiento al grupo «Cuestiones Generales, incluida la Evaluación» (GENVAL). El equipo de evaluación estima conveniente dirigir a las autoridades españolas una serie de sugerencias. Además, sobre la base de distintos ejemplos de buenas prácticas, algunas recomendaciones también se destinan a la UE y sus instituciones y organismos, en particular a Eurojust y Europol. 9.2.1 Recomendaciones a España 1. Debería elaborar un método para recabar estadísticas completas sobre incidentes, investigaciones, enjuiciamientos y sentencias en relación con la ciberdelincuencia, divididas en ámbitos específicos de ciberdelincuencia, de preferencia los identificados a escala de la UE, como el abuso sexual infantil en línea, el fraude en línea con tarjetas de pago y los ciberataques (véanse los puntos 3.3.2 y 3.5); 2. Debería considerar reforzar la coordinación y supervisión de todos los CERT operativos en todo el país (véanse los puntos 4.4.1 y 4.5); 3. Debería considerar establecer un mecanismo para que los cuerpos y fuerzas de seguridad puedan hacer observaciones al INCIBE sobre la información y los datos que se les facilitan, de modo que el INCIBE pueda tener una visión general sobre si se ha dado seguimiento a sus informes y sobre cualquier actividad que se haya llevado a cabo (véanse los puntos 4.4.1 y 4.5); 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 89 ES RESTREINT UE/EU RESTRICTED 4. Debería considerar establecer un concepto común de ciberdelincuencia, que esté basado en un planteamiento integrado y permita una medición fiable de los incidentes, investigaciones, enjuiciamientos y sentencias en materia de ciberdelincuencia, y que pueda ser compartido por todos los actores implicados en la lucha contra la ciberdelincuencia (véanse los puntos 5.1.2 y 5.5.); 5. Debería considerar reforzar la obligación de las empresas privadas de facilitar información, al menos añadiendo otros tipos de incidentes que puedan tener consecuencias graves para la sociedad a los tipos ya existentes relativos a las infraestructuras críticas (véanse los puntos 6.1.2 y 6.4); 6. Debería considerar analizar y medir la escasez de información por parte de las entidades financieras (bancos incluidos) con respecto a la delincuencia enfocada a los instrumentos de pago electrónicos (véanse los puntos 6.3.2 y 6.4); 7. Debería considerar crear un registro de las solicitudes de asistencia judicial emitidas, con objeto de mejorar la trazabilidad de cada solicitud y los tiempos de respuesta (véanse los puntos 7.5.1 y 7.6); 8. Debería adoptar las medidas necesarias para impartir formación sobre ciberdelincuencia a los jueces de instrucción y a los magistrados (véanse los puntos 8.1 y 8.4); 9. Debería considerar desarrollar un planteamiento integrado para la formación común de jueces, fiscales y representantes de los cuerpos y fuerzas de seguridad como plataforma de debate sobre los obstáculos para la admisibilidad de pruebas e intercambio de experiencias y mejores prácticas en relación con la ciberdelincuencia (véanse los puntos 8.1 y 8.4); 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 90 ES RESTREINT UE/EU RESTRICTED 9.2.2 Recomendaciones a la Unión Europea, sus instituciones y otros Estados miembros 1. Los Estados miembros deberían considerar la posibilidad de desarrollar una página web que contenga información sobre todos los tratados e instrumentos de cooperación judicial aplicables, junto con información práctica sobre la RJE y Eurojust, para los profesionales del Derecho (en particular jueces y fiscales), en la línea del portal de Internet español Prontuario (véanse los puntos 4.5, 7.5.1 y 7.6); 2. Se anima a los Estados miembros a que elaboren un método para identificar a las víctimas de redes de ordenadores zombis (botnets) y proporcionarles información sobre la infección y herramientas para desinfectarse, en la línea del Centro Antibotnets desarrollado en España por el INCIBE (véanse los puntos 5.5, 6.4 y 8.3.1); 3. Se anima a los Estados miembros a que cooperen estrechamente con el mundo académico, concretamente en lo que se refiere al abuso infantil en línea, en colaboración con las escuelas, los padres y la judicatura (véanse los puntos 6.2.2, 6.4, 8.3.1 y 8.4); 4. Se recomienda a los Estados miembros que recurran a asociaciones público-privadas para luchar contra el abuso infantil y la pornografía infantil en línea, desarrollando herramientas que permitan la denuncia en línea de contenidos ilegales en Internet, como la establecida en España con Telefónica (véanse los puntos 6.2.4 y 6.4) 5. Los Estados miembros deberían considerar impartir formación sobre ciberdelincuencia a los profesionales del Derecho, concretamente al inicio de su carrera (véanse los puntos 8.1 y 8.4); 6. Se recomienda a los Estados miembros que desarrollen herramientas destinadas a niños y menores presentadas en un formato sencillo y atractivo que contengan normas básicas sobre el uso seguro de Internet y otras amenazas, en la línea de la herramienta «Navega seguro» de España (véanse los puntos 8.3.1 y 8.4); 7. La UE debería desarrollar soluciones para mejorar y acelerar el proceso de comunicación entre los Estados miembros y países terceros (concretamente con respecto al intercambio de información operativa y a las solicitudes de asistencia judicial) (véanse los puntos 7.3 y 7.6); 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 91 ES RESTREINT UE/EU RESTRICTED 8. La UE debería dilucidar la cuestión de la celebración de acuerdos con grandes empresas privadas para facilitar la cooperación en asuntos penales (como Facebook o Google); (véanse los puntos 7.5.1 y 7.6); 9. La UE debería considerar la adopción de normas en el ámbito de las monedas encriptadas y los servicios de anonimización en Internet (véanse los puntos 7.5.1 y 7.6); 9.2.3 Recomendaciones a Eurojust, Europol y ENISA 1. Eurojust, Europol y el Centro Europeo de Ciberdelincuencia deberían considerar promover su papel y el valor añadido que pueden aportar en términos de facilitar la cooperación, coordinación y asistencia general entre las autoridades nacionales competentes, y concretamente entre los profesionales del Derecho locales (véanse los puntos 7.1.2 y 7.6); 2. Eurojust debería elaborar un método más rápido para el intercambio de información (véanse los puntos 7.1.2 y 7.6); 3. Eurojust y Europol deberían considerar redoblar esfuerzos para ampliar sus puntos de contacto en terceros países y establecer acuerdos de cooperación o acuerdos operativos con un número mayor de terceros países (véanse los puntos 7.3 y 7.6). 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 92 ES RESTREINT UE/EU RESTRICTED A N N E X A: P R O G R A M M E FOR THE ON-SITE VISIT AND PERSONS INTERVIEWED/MET Seventh Round of Mutual Evaluations –“CYBER CRIME”-, 8-12 June 2015 MADRID and LEÓN (SPAIN) Monday, 8 June 2015, Madrid Arrival of GENVAL Experts at Madrid-Barajas Airport. Transfer to the hotel (“Atrium Hotel”) 3, Emilio Vargas St. Informal meeting and introductions at the hotel 14.00 – 15.30 15.30 – 16.00 Lunch at the “Atrium Hotel” Transfer to the Spanish Presidency. A6- Moncloa • 16.00 – 17.00 17.00 – 17.30 Spanish Presidency– National Security Department (DSN) o Welcoming and Introduction by Joaquín Castellón Moreno. Operational Director of the DSN o Presentation by the Security Office, IT and Cybersecurity. National Security Strategy and National Cybersecurity Strategy. National Cybersecurity model. Cybersecurity Plan for Culture. Transfer to the CNI. (National Intelligence Centre). 20, Argentona St. • National Intelligence Centre o Introduction of the Cybercrime National Council o Structure and tasks • National Cryptologic Centre/CCN CERT ( Spanish Governmental CERT) o Introduction o Structure and tasks 17.30- 18.30 18.00 – 18.30 Back to the hotel 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 93 ES RESTREINT UE/EU RESTRICTED Tuesday, 9 June 2015, Madrid 08.30- 09.00 Pick up of the Evaluation Team and transfer to the Ministry of the Interior. 7, Amador de los Ríos St. 09.00 – 11.00 • 11.00 – 11.30 Transfer to the Ministry of Justice. 62, San Bernardo St. • Ministry of the Interior – State Secretariat for Security o Opening and Welcoming o Presentation Joint Meeting between the Ministry of Justice, General Council of the Judiciary (CGPJ) and State Prosecution Office: - Ministry of Justice: o Mrs. Paula Mongé Royo. Deputy Director Office for International Justice Cooperation. o Mrs. Ana de Andrés Ballesteros. Deputy Director Office for the EU and IIOO o Mrs. MªEugenia Hernández. Prosecutor. Advisor to the Ministry of Justice. o Mrs. Alejandra Frías López. Magistrate. Advisor to the Ministry of Justice. Member of the National Cybersecurity Council. 11.30 – 14.00 - CGPJ: o Mr. José Miguel García Moreno. Magistrate. Chief of Section. International Relations Service. o Mr. Eloy Velasco Nuñez. Magistrate. Instruction Central Court nº 6. - State Prosecution Office: o Mrs. Elvira Tejada de la Fuente. Chamber Prosecutor, coordinating Cyber Crime. o Mrs. Ana Mª Martín de la Escalera. Attached Prosecutor to the Cyber Crime Office. o Mrs. Mª Pilar Rodríguez Fernández. Attached Prosecutor to the Cyber Crime Office. o Mr. Pedro Pérez Enciso. Attached Prosecutor to the Criminal and International Cooperation Office. Lunch 14.00 – 15.30 15.30- 16 .00 Transfer by foot to the State Secretariat of Security. 2, Amador de los Ríos St. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 94 ES RESTREINT UE/EU RESTRICTED 16.00 – 17.00 17.00 – 17.15 • Ministry of the Interior – State Secretariat for Security- Cyber Coordination Office-. o Introduction and presentation by the head of the CCO. Back to the hotel Wednesday, 10 June 2015, León 07.00 - 10.00 Pick up of Evaluation Team. Trip to León. 41, José Aguado Av. • 10.00 - 10.30 Ministry of Industry, Energy and Tourism – State Secretariat for Telecomunications - INCIBE – (Spanish National Cybersecurity Institute) o Welcome reception and Breakfast o o Current and future operations and cybersecurity Technologies of CERTSI Development of advanced Technologies for cybersecurity. 11.15-13.15 o o Promotion of specialized talent and the impulse of R&D+i in cybersecurity. The investigation as key for the generation and sharing of contents adapted to each target Group. 13.15 - 13.45 o A Tour of the installations. 10.30 - 11.15 Lunch (Old town) 14.00 - 15.30 15.30 - 17.00 17.00 - 20.00 León Old Town Sightseeing Tour. Back to Madrid and transfer of GENVAL Delegation to the hotel. Thursday, 11 June 2015, Madrid 08.30- 09.00 Pick up of Evaluation Team. Transfer to the National Police Headquarters. Julián González Segador. 09.00 – 09.30 Ministry of the Interior. State Secretariat for Security- CITCO (Organized Crime and Counterterrorism National Intelligence Centre). “Coordination mechanism between Enforcement Agencies”. EMPACT Project. 09.30 – 11.30 • • National Police Force. Organization Tech Investigation Unit (UIT). Structure o Introduction and presentation of the “Open Sources” and “Social Networks” Department . Chief Inspector Roberto Fernández Alonso. o “Logic Security” Department. Chief InspectorCarlos Yuste González o Introduction and presentation of the “On-Line Fraud” Department. Inspector Enrique Hernández González. o 6289/1/16 REV 1 ANEXO Introduction and presentation of the “On-line Child Sexual Exploitation” Department and visit to the Unit. Chief Inspector Luis García Pascual. DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 95 ES RESTREINT UE/EU RESTRICTED 11.30 – 12.00 Transfer to the Civil Guard Force Headquarters. 110, Guzmán el Bueno St. 12.00- 14.00 Ministry of the Interior: Civil Guard. Criminal Police Headquarters. Visit to the Tech Crime Squad (GDP) o 14.00 – 15.00 15.00 – 15.30 Lunch Transfer to Private CERT. “Telefónica” (Private Telecomunications Company) o 16.00 - 17.30 20.30 – 22.00 Organization, tasks, results and closure. Organization, tasks, results and closure Pick up of Evaluation Team from hotel. Dinner at “Torre Europa” Restaurant Friday, 12 June 2015, Madrid 09.00 - 09.30 Pick up of Evaluation Team. Transfer to the National Police Headquarters. Julián González Segador. 09.30- 10.30 • Ministry of Justice Coffee Break 10.30 - 11.00 • 11.00 - 13.00 Lunch (General National Police Headquarters) 13.00 – 14.00 14.00 Closing Session o Overview of the Evaluation Visit. o Question and Answer Session o General remarks and conclusions. Transfer to Madrid-Barajas Airport of GENVAL Delegation. -/- 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 96 ES RESTREINT UE/EU RESTRICTED A N N E X B: P E R S O N S INTERVIEWED/MET Meetings 8 June 2015 Venue: Spanish Presidency - National Security Department (DSN), Madrid Person interviewed/met Organisation represented Joaquín Castellón Moreno Director Operativo del Departamento de Seguridad Nacional Maria del Mar López Gil Jefa de la Oficina de Seguridad y TI Andrés J. Ruiz Vazquez Departamento de Seguridad Nacional Héctor Moreno García Comisario, Jefe de la Unidad de Delincuencia Especializada Bibiana Andujar Fernandez Comisaría General de Policía Judicial, Inspectora Frederico Millan Maricalva Comisaría General de Policía Judicial, Inspectora Venue: National Intelligence Centre (CNI) and National Cryptologic Centre (CCN-CERT), Madrid Person interviewed/met Organisation represented Carlos Abad Coordinador del CNN-CERT Meetings 9 June 2015 Venue: Ministry of Interior - State Secretariat for Security, Madrid Person interviewed/met Organisation represented Fernando José Sánchez Gómez CNPIC Director José Ignacio Carabias Corpas CNPIC Gabinete de Coordinación y Estudios Rafael Pedrera CNPIC Jefe de la OCC Venue: Ministry of Justice, General Council of the Judiciary (CGPJ) and State Prosecution Office, Madrid Person interviewed/met Organisation represented Paula Mongé Royo Deputy Director Office for International Justice Cooperation Ana de Andrés Ballesteros 6289/1/16 REV 1 ANEXO DGD2B Deputy Director Office for the EU and IIOO cb/CB/psm RESTREINT UE/EU RESTRICTED 97 ES RESTREINT UE/EU RESTRICTED Person interviewed/met Organisation represented Maria Eugenia Hernández Prosecutor. Advisor to the Ministry of Justice Alejandra Frías López Magistrate. Member of the National Cybersecurity Council José Miguel García Moreno Magistrate. Chief of Section. International Relations Service Eloy Velasco Nuñez Magistrate. Instruction Central Court nº 6 Elvira Tejada de la Fuente. Chamber Prosecutor, coordinating Cyber Crime Ana Maria Martín de la Escalera Attached Prosecutor to the Cyber Crime Office Maria Pilar Rodriguez Fernández Attached Prosecutor to the Cyber Crime Office Pedro Pérez Enciso Attached Prosecutor to the Criminal and International Cooperation Office Meetings 10 June 2015 Venue: Ministry of Industry, Energy and Tourism - State Secretariat for Telecommunications ICIBE, Leon Person interviewed/met Organisation represented Ignacio González Ubierna Subdirector - Dirección de Operaciones Marcos Gómez Hidalgo Subdirector - Dirección de Operaciones Bibiana Andujar Fernandez Comisaría General de Policía Judicial, Inspectora Frederico Millan Maricalva Comisaría General de Policía Judicial, Inspectora 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 98 ES RESTREINT UE/EU RESTRICTED Meetings 11 June 2015 Venue: The National Police Headquarter, Madrid Person interviewed/met Organisation represented Carlos Yuste González Chief Inspector - Tech Investigation Unit (UIT) Juan Miguel Manzanas Manzanas Senior Superintendent, Tech Investigation Unit (UIT), Comisaría General de Policía Judicial Tomas Vincente Riquelme Senior Superintendent, Tech Investigation Unit (UIT), Comisaría General de Policía Judicial Héctor Moreno García Senior Superintendent, Comisaría General de Policía General, Jefe de la Unidad de Delincuencia Especializada Roberto Fernández Alonso Chief Inspector - Tech Investigation Unit (UIT) Luis García Pascual Chief Inspector - On-line Child Sexual Exploitation” Department Enrique Hernández González Inspector - On-Line Fraud Department Bibiana Andujar Fernandez Inspector, Comisaría General de Policía Judicial Frederico Millan Maricalva Inspector, Comisaría General de Policía Judicial Esperanza Jalkh Guerrero Inspector, Comisaría General de Policía Judicial Venue: Guardia Civil Force Headquarter, Madrid Person interviewed/met Organisation represented Luis Fernando Hernández García Teniente Coronel. Jefatura de Información. Área Técnica Luis Peláez Piñeiro Teniente Coronel. Jefatura de policía Judicial. Unidad Técnica de Policía Judicial. Departamento de Análisis Criminal 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 99 ES RESTREINT UE/EU RESTRICTED Daniel Martínez Gonzalez Comandante. Jefatura de Información. Area Técnica. Ciberseguridad Manuel Izquierdo Bernal Comandante. Jefatura de Servicios Técnicos Alberto Redondo Sánchez Capitán. Jefatura de Policía Judicial. Unidad Técnica de Policía Judicial. Grupo de Delincuencia tecnológica. Ramón González Gallego Capitán. Jefatura de Policía Judicial. Unidad Central Operativa. Grupo de Delitos Tecnológicos Juan José Pérez Martinez Teniente. Jefatura de Policía Judicial. Unidad Técnica de Policía Judicial. Departamento de Cooperación Internacional Miguel Torres Durán Teniente. Jefatura de Policía Judicial. Servicio de Criminalística. Departamento de Ingeniería Venue: Private CERT 'Telefonica', Madrid Person interviewed/met Organisation represented Alberto Moreno Rebollo Director Regulación del Telefónica José Angel González Andrés Experto en Ciberseguridad 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 100 ES RESTREINT UE/EU RESTRICTED Meetings 12 June 2015 Venue: The National Police Headquarter, Madrid Person interviewed/met Organisation represented Jose Santiago Sanchez Aparicio Comisario – Principal, Comisario General de Policia Judicial. Eugenio Pereiro Blanco Comisario, Jefe de la Unidad de InvestigacionTecnológica Ignacio González Ubierna Subdirector - INCIBE Alberto Redondo Sánchéz Capitán Miguel Torres Area Departamento de Igeniería Servicio de Criminalística Teniente Juan José Pérez Martinez Teniente de la UTPJ Frederico Millan Maricalva Comisaría General de Policía Judicial Inspector Alfonso Morales Fernandez Ministerio Industria, Energia Y Turismo Tomas Aller Floreancing Federacion Asociacion Prevencion Maltrato Infantil "FAMPI" Alvaro Ortigosa Universidad Autónoma Jose Javier Martinez Herraiz Universidad Alcalá de Henares Fanny Castro - Rial Universidad Nacional de Educación A Distancia 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 101 ES RESTREINT UE/EU RESTRICTED A N N E X C: L I S T OF ABBREVIATIONS/GLOSSARY OF TERMS LIST OF SPANISH ACRONYMS, OR ACRONYM IN ABBREVIATIONS ORIGINAL AND TERMS LANGUAGE SPANISH ENGLISH OR ACRONYM IN ORIGINAL LANGUAGE CCN CCN Centro Criptológico Nacional National Cryptology Centre CERTSI CERTSI CERT de Seguridad e Industria Computer Emergency Response Team CNI CNI Centro Nacional de Inteligencia National intelligence centre CNEC CNEC Centro Nacional de Excelencia en Ciberseguridad National Centre of Excellence in Cybersecurity CNPIC CNPIC Centro Nacional Para la Protección de las Infraestructuras Criticas National Centre for the Protection of Critical Infrastructure DEI DEI Departamento de Electrónica e Informática Electronic Security and Computer Forensics Department ECPAT International ECPAT International EDITEs EDITEs Equipos de Investigación Tecnológica Technological investigation teams of the Guardia Civil EMUMEs EMUMEs Equipos Mujer Menor Teams for women and minors ENS ENS Esquema Nacional de Seguridad National security system FAPMI FAPMI Federación de Asociaciones Federation of Associations para la Prevención del for the Prevention of Child Abuse Maltrato Infantil 6289/1/16 REV 1 ANEXO DGD2B End Child Pornography and Trafficking of Children for Sexual Purposes cb/CB/psm RESTREINT UE/EU RESTRICTED 102 ES RESTREINT UE/EU RESTRICTED LIST OF SPANISH ACRONYMS, OR ACRONYM IN ABBREVIATIONS ORIGINAL AND TERMS LANGUAGE SPANISH ENGLISH OR ACRONYM IN ORIGINAL LANGUAGE GDT GDT Grupo de Delitos Telemáticos Guardia Civil's E-crime Group INCIBE INCIBE Instituto Nacional de Ciberseguridad National Institute of Cybersecurity MCCD MCCD Mando Conjunto de Ciberdefensa de las Fuerzas Armadas Cyber Defence Joint Command of the Armed Forces OCC OCC Oficina de Coordinación Cibernética The Cybernetics Coordination Office OSI OSI Oficina de Seguridad del Internauta Internet Users’ Security Office PSSI PSSI Prestadores de Servicios de la Sociedad de la Información Providers of information society services UAM UAM Universidad Autónoma de Madrid Autonomous University of Madrid UCO UCO E-crime Group within the Central Operational Unit UIT UIT National Police's Technological Investigations Unit UNED-IUISI UNED-IUISI 6289/1/16 REV 1 ANEXO DGD2B Instituto Universitario de Investigación sobre Seguridad Interior Internal Security Research Institute at the National Distance Education University cb/CB/psm RESTREINT UE/EU RESTRICTED 103 ES RESTREINT UE/EU RESTRICTED A N N E X D: T H E S P A N I S H L E G I S L A T I O N Illegal access to an information system (Article 197a to the CC) 1. Whoever, by any means or procedure, in breach of the security measures established to prevent it, and without being duly authorised, obtains or provides another person with access to a computer system or part thereof, or who remains within it against the will of whoever has the lawful right to exclude him or her, shall be punished with a prison sentence of six months to two years.' Illegal system interference (Article 264a of the CC) '1. Punishment by six months to three years in prison shall be imposed on any person who, without being authorised and in a serious way, hinders or interrupts operation of a computer system pertaining to another by: (a) any of the actions referred to in the preceding Article; (b) adding or transmitting data; or (c) destroying, damaging, disabling, removing or replacing a computer or electronic data storage .' Illegal data interference (Article 264 of the CC) '1. Whoever, by any means, without authorisation and in a serious way, were to erase, damage, deteriorate, alter, suppress, or make computer data, computer programmes or electronic documents pertaining to others inaccessible, when the result produced is serious, shall be punished with a sentence of imprisonment of six months to two years.' Illegal interception of computer data (Article 197a of the CC) 'Any person using technical devices or means to intercept non-public transmissions of computer data to, from or within an information system, including electromagnetic emissions therefrom, and who is not duly authorised, shall be punishable by imprisonment of three months to two years or a fine of three to twelve months.' Misuse of devices: production, distribution, procurement for use, import or otherwise making available or possession of tools for the misuse of computer systems (Article 197c of the Criminal Code) 'Any person who, with the intention of facilitating the commission of one of the offences referred to in Article 197(1) and (2) and Article 197a (i.e. illegal system interference under Article 197(1) CC, illegal data interference under Article 197(2) CC, illegal access to a computer system under Article 197a(1) CC or illegal interception of computer data under Article 197a(2) CC), produces, procures, imports or otherwise makes available, without being duly authorised: 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 104 ES RESTREINT UE/EU RESTRICTED a) a computer programme designed or adapted principally to commit such offences; or b) a computer password, access code, or similar data by which the whole or any part of an information system is capable of being accessed shall be punishable by imprisonment of six months to two years or a fine of three to eighteen months.' Content-related acts to child sexual abuse online and child pornography: Computer-related production, distribution or possession of child pornography (Article 189 of the CC) '1. Imprisonment of one to five years shall be imposed on: a) any person who recruits or uses a child or person with a disability requiring special protection for exhibitionist or pornographic purposes or performances, whether public or private, or to produce any kind of pornographic material, whatever the medium, or who finances or profits from any of these activities. b) any person who produces, sells, distributes, displays, offers or facilitates the production, sale, dissemination or display, by any means, of child pornography or of pornography the production of which has involved a person with a disability requiring special protection, or is found to be in possession of such pornography for those purposes, even if the material is of foreign or unknown origin. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 105 ES RESTREINT UE/EU RESTRICTED For the purposes of this Title, child pornography or pornography the production of which has involved a person with a disability requiring special protection means: a) any material that visually depicts a child or a person with a disability requiring special protection engaged in real or simulated sexually explicit conduct; b) any depiction, for primarily sexual purposes, of the sexual organs of a child or a person with disability requiring special protection; c) any material that visually depicts any person appearing to be a child engaged in real or simulated sexually explicit conduct or any depiction of the sexual organs of any person appearing to be a child, for primarily sexual purposes, unless the person appearing to be a child is in fact 18 years of age or older at the time of depiction. d) realistic images of a child engaged in sexually explicit conduct or realistic images of the sexual organs of a child, for primarily sexual purposes; 2. Imprisonment of five to nine years shall be imposed on any person who perpetrates the acts referred to in paragraph 1 of this Article, where any of the following circumstances apply: a) the acts involve the abuse of children under the age of sixteen; b) the acts are particularly degrading or humiliating in nature; c) the pornographic material depicts either a child or a person with a disability requiring special protection, who is a victim of physical or sexual violence; d) the offender has endangered the life or health of the victim, maliciously or due to serious negligence; e) the quantity of pornographic material is significant; f) the offender belongs to an organisation or association, even if transitory in nature, whose purpose is to carry out such activities; g) the person responsible is a relative in the ascending line, guardian, carer, foster carer, teacher or any other person responsible for the child or person with a disability requiring special protection, even temporarily and whether on a legal or facto basis, or is a member of that child or person's family cohabiting with the child or person, who has abused a recognised position of trust or authority; h) there are aggravating circumstances relating to recidivism. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 106 ES RESTREINT UE/EU RESTRICTED 3. If the acts referred to in the first paragraph of 1(a) are committed by violent means or intimidation, the penalties imposed shall be a degree higher than those provided for in the above paragraphs. 4. Any person who knowingly attends an exhibitionist or pornographic performance involving the participation of a child or person with a disability requiring special protection shall be punishable by imprisonment of six months to two years. 5. Any person procuring for personal use or found to be in possession of child pornography or of pornography the production of which involved persons with a disability requiring special protection shall be punishable by imprisonment of three months to one year or a fine of six months to two years. 6. Any person who has parental responsibility for a child or person with a disability requiring special protection or who is their guardian, custodian or foster carer and who is aware that they are being prostituted or corrupted, but fails do their utmost to put an end to that situation, and does not ask the competent authority to do so, if they do not have sufficient means to care for the child or person with a disability requiring special protection, shall be punishable by imprisonment of three to six months or a fine of six to twelve months. 7. The Public Prosecution Service shall see to it that the relevant steps are taken so that a person who engages in any of the conduct described above is stripped of their responsibility as parents, guardians, custodians or foster carers. 8. Judges and courts shall order that the necessary measures be taken to ensure the removal of web pages or internet applications containing or disseminating child pornography or pornography the production of which involved persons with a disability requiring special protection, or where appropriate, to block access to such pages or applications by internet users in Spain. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 107 ES RESTREINT UE/EU RESTRICTED Definition used: Child pornography and pornography the production of which has involved a person with a disability requiring special protection are treated on the same footing. 'person with a disability requiring special protection' means a person with a disability which, whether or not it affects their legal capacity, means that they require assistance or support in the exercise of their legal capacity and in taking decisions in respect of their person, rights or interests, due to their permanent intellectual or mental impairment. (Article 25 of the Criminal Code). Throughout Title VIII of the CC, entitled, 'Sexual offences', which is part of the volume entitled 'Offences and penalties', child pornography or pornography the production of which has involved a person with a disability requiring special protection means: a) any material that visually depicts a child or a person with a disability requiring special protection engaged in real or simulated sexually explicit conduct; b) any depiction, for primarily sexual purposes, of the sexual organs of a child or a person with disability requiring special protection; c) any material that visually depicts any person appearing to be a child engaged in real or simulated sexually explicit conduct or any depiction of the sexual organs of any person appearing to be a child, for primarily sexual purposes, unless the person appearing to be a child was in fact 18 years of age or older at the time of depiction; d) realistic images of a child engaged in sexually explicit conduct or realistic images of the sexual organs of a child, for primarily sexual purposes; Article 189(1) of the CC it is an offence to: a) recruit or use a child or person with a disability requiring special protection for exhibitionist or pornographic purposes or performances, whether public or private, or to produce any kind of pornographic material, whatever the medium, or finance or profit from any of such activities; b) produce, sell, distribute, display, offer or facilitate the production, sale, dissemination or display by any means of child pornography, or of pornography the production of which has involved a person with a disability requiring special protection, or possess such pornography for those purposes, even if the material is of foreign or unknown origin. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 108 ES RESTREINT UE/EU RESTRICTED Possession of child pornography (Article 189(5) of the CC) '- procurement for personal use or possession of child pornography or of pornography the production of which involved persons with a disability requiring special protection; - using information and communication technologies to knowingly access child pornography or pornography the production of which involved persons with a disability requiring special protection.'. Computer-related solicitation or 'grooming' of children (Article 183(a) of the CC) 'Any person who, for sexual purposes, causes a child under the age of 16 to participate in conduct of a sexual nature or witness sexual acts, even if that person does not actually participate in those acts, shall be punishable by imprisonment of six months to two years. Article 183c of the CC: '1. Any person who uses the internet, telephone or any other information and communication technology to contact a child under the age of sixteen years and proposes a meeting with him or her in order to commit any of the offences described in Articles 183 and 189, provided such a solicitation is accompanied by material acts aimed at approaching him or her, shall be punishable by imprisonment of one to three years or a fine of twelve to twenty-four months, without prejudice to the relevant penalties for the offences committed in each case. The upper half of the range of penalties shall be imposed where the the victim is approached by coercion, intimidation or deceit. 2. Any person who uses the internet, telephone or any other information and communication technology to contact a child under the age of sixteen and commits acts with a view to soliciting them to provide pornographic material or show pornographic images in which a child appears or is represented, shall be punishable by imprisonment of six months to two years.' 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 109 ES RESTREINT UE/EU RESTRICTED Computer-related fraud or forgery (Article 248(2) of the CC) 1. Swindling is committed when, for profit, a person uses sufficient deceit to cause another person to commit an error, inducing them to carry out an act of disposal to their own detriment or that of another person. 2. The following persons shall also be found guilty of swindling: (a) Persons who, for profit, and by making use of a computer manipulation or similar scheme, bring about an unauthorised transfer of assets to the detriment of another person. (b) Persons who manufacture, upload, possess or supply computer programmes specifically aimed at committing the swindles provided for in this Article. (c) Persons who, by using credit or debit cards, or travellers' cheques, or the data contained in any of these, perform operations of any kind to the detriment of their holder or a third person. Computer-related identity offences (Article 197of the CC) 1.'Any person who, in order to discover the secrets or breach the privacy of another, and without that person's consent, seizes papers, letters, electronic mail messages or any other documents or personal effects, or intercepts telecommunications or uses technical devices for listening to, transmitting, recording or playing sounds or images, or any other communication signal, shall be punishable by imprisonment of one to four years and a fine of twelve to twenty-four months.' '2. The same penalties shall be imposed upon any person who, without being authorised, seizes, uses or amends, to the detriment of a third party, reserved data of a personal or family nature of another person that are recorded in computer, electronic or computer files or media, or in any other kind of file or public or private record. The same penalties shall be imposed on any person who, without being authorised, accesses such data by any means, and any person who alters or uses them to the detriment of the data subject or a third party.' 4.(a) if the acts are perpetrated by persons in charge of or responsible for the files, computer, or electronic media, archives or records; or (b) if they are carried out by means of unauthorised use of personal data of the victim. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 110 ES RESTREINT UE/EU RESTRICTED 5. If the acts concern personal data that reveal the ideology, religion, beliefs, health, racial origin or sexual life of the victim, or if the victim is a minor or a person with a disability requiring special protection, the penalties provided for in the upper half of the range shall be imposed. 6. If the acts are perpetrated for material gain, penalties in the upper half of the range shall be imposed. If, in addition to being motivated by material gain, the acts concern personal data which reveal the ideology, religion, beliefs, health, racial origin or sexual life of the victim, the penalty imposed shall be imprisonment of four to seven years. Second paragraph of Article 197(3) CC: The dissemination, disclosure or transfer to third parties, by any person not involved in the discovery, of the data discovered in the cases described in Article 197(1) CC and Article 197(2) CC shall be considered an offence, provided that the dissemination, disclosure or transfer is carried out with knowledge of the unlawful origin of the data. Clear intentionality shall thus be required. Sexting (art. 197(7) of the CC) 'Any person who, without the authorisation of the person concerned, disseminates, discloses or transfers to third parties audiovisual images or recordings of that person obtained with his or her consent in a place of residence or any other place outside the sight of third parties, when disclosure causes serious detriment to the privacy of that person, shall be punishable by imprisonment of three months to one year or a fine of six to twelve months.' Harassment (Article 172b of the CC) '1. Any person who harasses another person, performing any of the following acts in an insistent and repeated way, and without legitimate authorisation, in such a way as to seriously disrupt the conduct of his or her daily life, shall be punishable by imprisonment of three months to two years or a fine of six to twenty-four months: 1. Spies on or follows the person in question, or seeks physical proximity. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 111 ES RESTREINT UE/EU RESTRICTED 2. Establishes, or attempts to establish, contact with that person through any means of communication, or through the agency of third persons. 3. By means of the improper use of his or her personal data, acquires products or goods, or contracts services, or causes third persons to enter into contact with him or her. 4. Interferes with his or her freedom or property, or with the freedom or property of a person close to him or her. Offences relating to intellectual property (Article 270 of the CC) Any person who, for the purpose of obtaining a direct or indirect economic benefit and to the detriment of a third party, reproduces, plagiarises, distributes, publicly discloses or exploits economically in any other way all or part of a literary, artistic or scientific work or performance, or transforms, interprets or performs it artistically in any kind of support or medium, without the authorisation of the holders of the relevant intellectual property rights or their assignees, shall be punishable by imprisonment of six months to four years and a fine of twelve to twenty-four months. 2. The same penalty shall be imposed on any person who, in the provision of information society services, for the purpose of obtaining a direct or indirect economic benefit and to the detriment of a third party, facilitates, in an active and non-neutral way and not limited to purely technical processing, access to, or placing on the internet of, works or performances that are the subject of intellectual property, without the permission of the holders or assignees of the corresponding rights, in particular by providing organised and classified lists of links to the works and content referred to above, even if those links had been initially supplied by the recipients of his or her services. 3. In such cases, the judge or court of law shall order the withdrawal of the works or performances that were the subject of the infringement. When the content referred to in the previous paragraphs is disseminated exclusively or predominantly through an internet website or information society service, the suspension thereof shall be ordered, and the judge may adopt any other precautionary measures intended to protect the intellectual property rights. In exceptional cases, when the acts in question have taken place repeatedly, blockage of access may be ordered when such a measure is proportionate, efficient and effective. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 112 ES RESTREINT UE/EU RESTRICTED 4. In the cases referred to in paragraph 1 above, itinerant or merely occasional trading or distribution shall be punishable by imprisonment of six months to two years. However, in the light of the characteristics of the offender and the low amount of any financial profit obtained, as long as none of the circumstances provided for under Article 271 apply, the judge may impose a fine of one to six months or community service of thirty-one to sixty days. 5. The penalties provided for in the previous sections shall be applied to persons who: (a) Export or store intentionally copies of the works, productions or performances referred to in the first two paragraphs of this Article, including digital copies thereof, without the relevant authorisation and with the intention of reproducing, distributing or communicating them publicly. (b) Import intentionally such products without authorisation, and with the intention of reproducing, distributing or communicating them publicly, regardless of whether they are of lawful or unlawful origin in their country of origin; however, the importation of such products from a Member State of the European Union shall not be punishable when the products have been acquired directly from the holder of the rights in that State, or with his or her consent. (c) Support or facilitate the carrying out of the acts referred to in paragraphs 1 and 2 of this Article, eliminating or modifying, without the authorisation of the holders or assignees of the intellectual property rights, the built-in technological measures intended to prevent or restrict such acts. (d) For the purpose of obtaining a direct or indirect economic benefit, and with the aim of facilitating third-party access to a copy of a literary, artistic or scientific work or performance, or to its transformation, interpretation or artistic performance, fixed in any kind of support or communicated through any medium, without the authorisation of the holders or assignees of the relevant intellectual property rights, circumvent, or facilitate the circumvention of, the technological measures intended to prevent such acts. 6. Any person who manufactures, imports, places in circulation or possesses for commercial purposes any means primarily designed, produced, adapted or created in order to facilitate the unauthorised removal or circumvention of any technical device used to protect computer programmes or any other works, interpretations or performances under the terms provided for in the first two paragraphs of this Article shall also be punishable by imprisonment of six months to three years. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 113 ES RESTREINT UE/EU RESTRICTED Hate offences involving the use of social media, internet or information technologies Article 510(1) and (2) of the CC Imprisonment of one to four years and a fine from six to twelve months shall be imposed on: (a) anyone who publicly foments, promotes or incites, directly or indirectly, hatred, hostility, discrimination or violence against a group, or a part thereof, or against a particular person, by reason of his or her membership of that group, for racist, anti-Semitic or other discriminatory motives relating to ideology, religion or beliefs, family situation, the ethnic group, race or nation to which he or she belongs, his or her sex or sexual orientation or identity, or an illness or disability from which he or she suffers. (b) anyone who produces, prepares, possesses for the purpose of distribution, facilitates access to third persons, distributes, disseminates or sells documents or any other kind of material or media which, by virtue of its content, is suitable for fomenting, promoting or inciting, directly or indirectly, hatred, hostility, discrimination or violence against a group, or a part thereof, or against a particular person, by reason of his or her membership of that group, for racist, anti-Semitic or other discriminatory motives relating to ideology, religion or beliefs, family situation, the ethnic group, race or nation to which he or she belongs, his or her sex or sexual orientation or identity, or an illness or disability from which he or she suffers. (c) anyone who publicly denies, seriously trivialises or glorifies crimes of genocide, crimes against humanity or against protected persons or property in the event of armed conflict, or who glorifies the authors of such crimes, when they are committed against a group, or a part thereof, or against a particular person, by reason of his or her membership of that group, for racist, anti-Semitic or other discriminatory motives relating to ideology, religion or beliefs, family situation, the ethnic group, race or nation to which he or she belongs, his or her sex or sexual orientation or identity, or an illness or disability from which he or she suffers, when a climate of violence, hostility, hate or discrimination against such persons is thereby fomented or facilitated. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 114 ES RESTREINT UE/EU RESTRICTED 2. Imprisonment of six months to two years and a fine from six to twelve months shall be imposed on: (a) anyone who violates human dignity through actions involving humiliation, contempt or discredit for any of the groups, or part thereof, referred to in the previous section, or against any particular individual by reason of his or her membership of that group, for racist, anti-Semitic or other discriminatory motives relating to ideology, religion or beliefs, family situation, the ethnic group, race or nation to which he or she belongs, his or her sex or sexual orientation or identity, or an illness or disability from which he or she suffers, or who produces, prepares, possesses for the purpose of distribution, facilitates access to third persons, distributes, disseminates or sells documents or any other kind of material or media which, by reason of its content, is suitable for attacking human dignity by causing serious humiliation, contempt or discredit to one of the groups mentioned above, or part thereof, or to particular persons belonging to such a group. (b) anyone who praises or justifies by any means of public expression or of dissemination offences that have been committed against a group, or a part thereof, or against a particular person by reason of his or her membership of that group, for racist, anti-Semitic or other motives relating to ideology, religion or beliefs, family situation, the ethnic group, race or nation to which he or she belongs, national origin, his or her sex or sexual orientation or identity, or an illness or disability from which he or she suffers, or anyone who has participated in the commission of such an offence. Imprisonment of one to four years and a fine of six to twelve months shall be imposed where the acts promote or encourage a climate of violence, hostility, hate or discrimination against the groups mentioned above. Public disorder offences/incitement to commit public disorder( Article 559 of the CC) 'The distribution or public dissemination, through any medium, of messages or slogans that incite the commission of any of the offences of disturbance of public law and order provided for in Article 557a of the Criminal Code, or that serve to reinforce the decision to commit such acts, shall be punishable by a fine of three to twelve months or imprisonment for three months to one year.' 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 115 ES RESTREINT UE/EU RESTRICTED Terrorism offences Article 573 of the CC lists the offences to be regarded as terrorism, and paragraph 2 in particular refers in this context to 'computer-related offences criminalised in Articles 197a and 197b and Articles 264 to 264c if the acts are committed for any of the purposes referred to in the previous paragraph.' These purposes are: '1. Undermining the constitutional order, or destroying or seriously destabilising the functioning of the political institutions or economic or social structures of the State, or compelling the public authorities to perform or to abstain from performing an act; 2. Seriously disturbing the public peace; 3. Seriously destabilising the functioning of an international organisation; 4. Provoking a state of terror in the general public or a section of it.' Under Article 575(2) of the CC: 'The same penalty shall be imposed on anyone who, for the same purpose of training to commit any of the offences criminalised in this Chapter, performs himself or herself any of the activities provided for in the previous paragraph. Anyone who, for this purpose, regularly accesses one or more communication services publicly available online or contents accessible via the internet or electronic communications services whose contents are intended or likely to encourage individuals to join a terrorist group or organisation, or to collaborate with any such entity or in their aims, shall be deemed to be committing such an offence. The acts shall be regarded as being committed in Spain if the contents are accessed from Spanish territory.(...)' Article 578(1) and (2) of the CC: 'Public glorification or justification of the offences included in Articles 572 to 577, or of anybody who has participated in the commission thereof, or in perpetrating acts that involve discrediting, showing contempt for or humiliating the victims of terrorist offences or members of their family, shall be punishable by imprisonment of one to three years and a fine of twelve to eighteen months. In the judgment, the judge may also order one or more of the prohibitions provided for in Article 57, for such period of time as he or she may determine. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 116 ES RESTREINT UE/EU RESTRICTED 2. The upper half of the range of penalties provided for in the previous paragraph shall be imposed where the acts have been carried out by disseminating services or content accessible to the public via the media, the internet or electronic communication services, or using information technology.' Article 578(4)of the CC '4. The judge or court shall order the destruction, deletion or deactivation of the books, archives, documents, articles or any other medium by which the offence was committed. If the offence was committed using information and communications technology, the removal of the content shall be ordered. If the acts were committed using services or content accessible via the internet or electronic communication services, the judge or court may order the removal of the illegal content or services. In the alternative, the judge or court may order host service providers to remove the illegal content, search engines to delete the links to it and electronic communications service providers to prevent access to the illegal content or services where one of the following circumstances applies: (a) where the measure is in proportion to the seriousness of the acts and to the importance of the information and is necessary to prevent its dissemination. (b) where the content disseminated is exclusively or predominantly the content referred to in the previous paragraphs.' Public incitement, provocation, conspiracy or solicitation to commit terrorist acts by any means including information and communication technology (Article 579 of the CC) 1. Anyone who, through any medium, publicly disseminates messages or slogans intended to, or whose content is likely to, incite others to commit any of the offences set out in this Chapter, shall be subject to a penalty that is one or two degrees lower than that laid down for the offence in question. 2. The same penalty shall be imposed on anyone who, publicly or before an assembly of persons, incites others to commit any of the offences set out in this Chapter, and on anyone who requests another person to do so. 3. The other acts of provocation, conspiracy and solicitation to commit any of the offences laid down in this Chapter shall also be subject to a penalty that is one or two degrees lower than that applicable respectively to the acts provided for in this Chapter. 6289/1/16 REV 1 ANEXO DGD2B cb/CB/psm RESTREINT UE/EU RESTRICTED 117 ES