En esta nota revisamos las medidas contra los cibercrímenes que amenazan al Viejo Continente. Esto incluye sanciones comerciales.
La invasión rusa ha vuelto a poner de moda el régimen de las sanciones y embargos internacionales que, como es sabido, es una de las medidas disuasorias, por un lado, y coercitivas de otro, de que disponen los estados para sancionar a aquellos países que amenazan la paz y seguridad mundial.
Con la aplicación de este tipo de sanciones, se persigue el cese de un determinado comportamiento por parte de un estado, debilitar su posición e, incluso, denunciar públicamente a todos aquellos que suponen una amenaza para la paz internacional.
Medidas contra los ciberataques
Tradicionalmente, Europa también ha venido imponiendo sanciones comerciales a algunos países y entidades conflictivas, en particular por su apoyo a organizaciones terroristas. Especialmente, las sanciones de la Unión Europea han venido siendo particularmente graves con respecto a Irán y Siria, si bien también se han impuesto sanciones y embargos contra Afganistán, Egipto, Irak, Corea del Norte, Sudán y Libia.
Conceptualmente, las medidas restrictivas son una herramienta de la Política Exterior y de Seguridad Común (PESC) de la Unión Europea, a través de la cual puede intervenir para prevenir conflictos o responder a crisis emergentes o actuales, y promover la paz, la democracia, el respeto por el estado de derecho, los derechos humanos y el derecho internacional.
¿Hay sanciones por ciberataques?
El 19 de junio de 2017 el Consejo europeo aprobó la conocida como la cyberdiplomacy toolbox, o «caja de herramientas de ciberdiplomacia», gracias a la cual se abordaba la creciente necesidad de proteger la integridad y la seguridad de la Unión Europea, sus estados y sus ciudadanos frente a los ciberataques y las ciberactividades maliciosas que amenazan la integridad de los países miembros y de sus empresas y ciudadanos.
Un año más tarde, en octubre de 2018, los estados miembros solicitaron la creación de un nuevo régimen de sanciones europeas, con tal de desarrollar mejores capacidades cibernéticas en la Unión Europea y reforzar la disuasión frente a aquellos países o entidades que se planteasen preparar ataques cibernéticos contra suelo europeo.
Vea también: La ciberseguridad de Taiwán en el punto de mira de EE.UU. y China
“Fruto de ello, se terminó aprobando un conjunto de medidas restrictivas específicas consistentes en la congelación de activos y, en su caso, en la restricción de movimientos, para aquellas personas y/o entidades responsables de los ciberataques o tentativas de ciberataques”, afirma Francisco Pérez Bes, socio de Derecho digital en Ecix y antiguo Secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE).
Aunque, también, frente a aquellas personas que participen u ofrezcan apoyo financiero, técnico o material a los ciberatacantes y a quienes ayuden, alienten, facilitan o están asociados con ellos. «Actualmente, en la lista publicada por la Unión europea podemos encontrar a personas y entidades de nacionalidad china, rusa y coreana», añade Pérez Bes.
Desde la óptica legal, los actos aprobados por el Consejo europeo a los efectos de imponer sanciones relacionadas con actividades ilícitas en el ciberespacio son básicamente dos: el Reglamento y la Decisión del Consejo relativo a medidas restrictivas contra los ciberataques que amenazan a la Unión o a sus estados miembros.
Vencimiento de las sanciones
Evidentemente, no puede mantenerse una sanción por tiempo indefinido, sino que debe mantenerse durante el tiempo necesario para que una medida de esta naturaleza pueda producir sus efectos de manera eficaz. De lo contrario, no se estaría respetando la legislación internacional. En este caso de los ciberataques, el régimen de medidas actuales vence el 18 de mayo de 2023.
La importancia del cibercompliance en las organizaciones
En este tipo de asuntos es muy importante que las empresas, especialmente aquellas con presencia internacional o que trabajan con proveedores internacionales, tengan muy en cuenta el régimen internacional de sanciones y embargos en sus planes de cumplimiento normativo, tomando en consideración que es de obligado cumplimiento para las personas y organizaciones europeas.
«Lo contrario podría derivar en sanciones, incluso de naturaleza penal, contra la propia empresa por no respetar los pronunciamientos internacionales a este respecto. De este modo, a la vista del incremento de sanciones a países, entidades y ciudadanos de terceros países, resulta cada vez más importante un control intenso para poder asegurarse de que nuestra empresa no está haciendo negocios con otra empresa, especialmente proveedora, que pueda estar afectada de alguna manera por este régimen sancionador», concluye Pérez Bes.
