Los gobiernos europeos han dado 'luz verde' este viernes a un nuevo régimen para poder imponer sanciones en respuesta a ciberataques que constituyan una amenaza externa para la UE o sus estados miembro o para intentar disuadirlos.
El nuevo régimen permitirá por primera vez imponer sanciones a personas o empresas que sean "responsables" de cometer ciberataques o intentarlo, pero también a aquellos que presten apoyo financiero, técnico o material para ello o estén implicados de otra forma e incluso a personas o entidades vinculadas a los responsables.
El marco jurídico, especialmente abanderado por Reino Unido y Países Bajos, también permitirá imponer sanciones por ciberataques perpetrados contra terceros países u organizaciones internacionales cuando sean necesarias para lograr objetivos de la Política Exterior y de Seguridad Común europea.
Los Veintiocho podrán acordar sanciones en respuesta a ciberataques con un impacto "significativo" o potencialmente, que estén originados o perpetrados desde fuera de la Unión Europea o empleando infraestructura que se encuentra fuera del territorio europeo o estén perpetrados por personas o entidades que operan fuera de la UE o que se lleven a cabo con el apoyo de personas o empresas extranjeras.
"La inclusión de individuos o entidades en la lista no equivale a la atribución", ha aclarado una fuente de alto nivel europea, que ha explicado que la atribución de un ciberataque a "cualquier Estado" constituye "una decisión soberana de los Estados miembro".
MECANISMO PARA COORDINAR LA ATRIBUCIÓN, DECISIÓN SOBERANA
La UE no tiene "competencia" para atribuir a un país un ciberataque. "No tenemos autoridad. No hacemos atribución. Es algo que hacen los Estados miembro y luego coordinamos a nivel europeo", ha precisado.
Los Veintiocho, a nivel de expertos, están ultimando un mecanismo para "coordinar la atribución a nivel de la UE".
"Estamos en la fase final de crear este mecanismo", ha precisado, aclarando que la iniciativa podrá partir de "uno o dos estados" o "una coalición" de países. "Dependerá del caso. Es algo que ocurrirá caso por caso", han incidido.
A pesar de la dificultad para establecer la autoría de los ciberataques y conocer la identidad de las personas que operan detrás de grupos de hackers como los 'ATP', vinculados presuntamente con el servicio de Inteligencia ruso (GRU), fuentes europeas aseguran que se conocen "más" de lo que se cree y que "hay margen" para poder actuar, si bien han dejado claro que no hay trabajo "formal" para preparar sanciones por ciberataques.
Las sanciones tendrán que aprobarlas por unanimidad los gobiernos. El nuevo marco permitirá congelar los activos de las personas y entidades responsables o asociadas y las personas también tendrán la entrada prohibida en el territorio de la Unión. Las personas y empresas europeas tampoco podrán a su vez facilitarles financiación.
Los jefes de Estado y de Gobierno de la UE reclamaron en octubre de 2018 avanzar en el trabajo interno para crear un régimen de sanciones para responder a ciberataques tras el ataque frustrado ruso contra la Organización para la Prevención de las Armas Químicas (OPAQ), que investigaba ataques químicos en Siria, por parte de Países Bajos en cooperación con Reino Unido.
Los ciberataques han crecido exponencialmente en los últimos años. El bloque está especialmente preocupado por los ciberataques desde Rusia y China.