Malta

Vivimos en una sociedad cada vez más rica en datos donde la información es más accesible y compartida que nunca. Sin embargo, al mismo tiempo, la necesidad de proteger esta información contra la apropiación indebida es vital.

Los avances tecnológicos significan que las organizaciones dependen cada vez más de la información y el intercambio de datos para satisfacer las necesidades de los clientes y ciudadanos.

Sin embargo, las tecnologías para proteger esta información no han reconocido la importancia crítica de los aspectos relacionados de la Seguridad de la Información efectiva.

Sin lugar a dudas, mantener actualizada la tecnología y la legislación de seguridad cibernética es un desafío, ya que los delincuentes siempre están un paso por delante.

Los delincuentes y los terroristas están apuntando al mundo cibernético como un nuevo mercado. Y no pasa un día sin leer sobre un nuevo caso de violación de datos o un nuevo tipo de ciberataque contra las empresas locales que sufren las repercusiones.

Las nuevas industrias y tecnologías, como blockchain, son nuevos objetivos para el delito cibernético. Por lo tanto, se encuentran entre los principales objetivos de las nuevas leyes y políticas de seguridad cibernética.

Veamos la legislación sobre ciberseguridad existente en Malta.

Legislación

Malta no tiene una legislación específica de ciberseguridad por lo que las normas que regulan este tema son las siguientes.

Ley de Protección de Datos

Como Estado miembro de la Unión Europea, las leyes de protección de datos de Malta incluyen el Reglamento general de protección de datos de la UE (2016/679) (RGPD).

El Capítulo 586 de la Ley de Protección de Datos de 2018, junto con su legislación subsidiaria, entró en vigor el 28 de mayo de 2018, derogando la anterior Ley de Protección de Datos de 2001.

Malta también es parte en el Convenio para la Protección de individuos con respecto al procesamiento automático de datos personales (ETS.108), que entró en vigor en 2003.

La Oficina del Comisionado de Protección de Información y Datos maneja principalmente los asuntos de cumplimiento como la autoridad de supervisión de Malta en el campo de la protección de datos. Su responsabilidad es supervisar la aplicabilidad y el cumplimiento de la ley de protección de datos de acuerdo con los requisitos del RGPD.

La Ley de Protección de Datos de 2018 especifica las multas administrativas que puede imponer el Comisionado y las sanciones que cualquier persona puede enfrentar cuando viola las leyes de protección de datos.

Código penal

Las cuestiones relacionadas con la ciberseguridad están, hasta la fecha, reguladas en el Código Penal, bajo el título «Uso indebido de computadoras», en ausencia de una legislación específica.

El contenido de esta sección refleja en gran medida las disposiciones contenidas en el Convenio sobre el delito cibernético del Consejo de Europa, ratificado por Malta en 2012.

Las disposiciones prohíben el acceso ilegal o el uso de información, incluido el uso ilegal de un ordenador u otro dispositivo o equipo para:

  • acceder a cualquier información o software de documentación de respaldo que se encuentre en cualquier ordenador; o
  • copiar o modificar dichos datos, software o documentación de respaldo en cualquier otro ordenador.

El Código también considera que las actividades no autorizadas que impiden el acceso a los datos y la divulgación ilegal de datos y contraseñas son actos delictivos, entre otros.

Reglamento UE de Redes y Servicios de Comunicaciones Electrónicas

Este Reglamento impone requisitos a los proveedores de servicios de comunicaciones electrónicas para garantizar la seguridad e integridad de las redes ante incidentes, amenazas o vulnerabilidades.

Una empresa que preste servicios de comunicaciones electrónicas disponibles públicamente a través de redes de comunicaciones públicas debe tomar todas las medidas necesarias para garantizar la mayor disponibilidad posible de estos servicios en caso de una falla catastrófica de la red.

Al pertenecer a la UE, dicho Reglamento es aplicable también en Malta.

Medidas para un alto nivel común de seguridad de la red y el orden de los sistemas de información

Esta legislación transpone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, sobre medidas para un alto nivel común de seguridad de redes y sistemas de información en toda la Unión Europea.

La presente Directiva establece las medidas necesarias para:

  • garantizar la protección de los intereses esenciales de su seguridad,
  • salvaguardar las políticas públicas y la seguridad pública, y
  • permitir la investigación, detección y enjuiciamiento de delitos.

Sectores más afectados por la regulación de ciberseguridad

Los principales sectores afectados por las leyes y reglamentos de ciberseguridad son:

  • electrónica (incluida la telefonía móvil),
  • banca,
  • pagos,
  • telecomunicaciones,
  • servicios de gobierno electrónico,
  • proveedores de servicios web y
  • centros de uso compartido y los juegos remotos.

En general, son las industrias reguladas y el propio gobierno electrónico los que lideran el camino en el campo de la ciberseguridad. Los campos que han experimentado un mayor crecimiento a través de los canales web y móviles y también están involucrados en el manejo de grandes volúmenes de datos sensibles. Estas son las industrias que más han respondido a los desafíos de seguridad cibernética.

Definición de ciberseguridad y cibercrimen

En la actualidad, no existen definiciones específicas de ciberseguridad y cibercrimen en los estatutos o jurisprudencia de Malta.

Sin embargo, se puede encontrar orientación para estos términos en el subtítulo del Código Penal relacionado con el uso indebido de la computadora. Se define una computadora como un dispositivo electrónico que realiza funciones lógicas de aritmética y memoria manipulando impulsos electrónicos o magnéticos. E incluye todas las entradas y salidas, procesamiento, almacenamiento, software y servicios de comunicación que están conectados o relacionados con una computadora en un sistema informático o red informática.

Los «datos informáticos» se definen aquí como cualquier representación de hechos, información o conceptos en una forma adecuada para procesar en un sistema informático, incluido un programa adecuado para hacer que un sistema informático realice una función.

Obligaciones de las empresas en materia de ciberseguridad

El controlador de datos está obligado por la Ley de Protección de Datos a implementar medidas técnicas y organizativas apropiadas para proteger los datos personales procesados ​​contra la destrucción, pérdida accidental o procesamiento ilegal.

Las medidas de seguridad que se implementarán deben tener en cuenta:

  • las posibilidades técnicas disponibles,
  • el coste de tales medidas,
  • los riesgos especiales relacionados con el procesamiento de los datos y
  • la sensibilidad de los datos que se procesan.

El Comisionado de Información y Protección de Datos puede:

  • responsabilizar a los controladores de datos de la ciberseguridad inadecuada,
  • ordenar la rectificación de la violación,
  • instituir procedimientos legales civiles cuando se hayan violado o estén a punto de violarse disposiciones de la Ley, y
  • remitir cualquier delito penal a la autoridad pública competente.

Las sanciones penales pueden ser aplicables a las infracciones de la seguridad de la información en virtud de esta Ley.

En sectores regulados como los servicios financieros y los juegos remotos, los proveedores de servicios se someten a certificaciones y controles de supervisión. Estos tienen que mostrar y justificar que las medidas de seguridad tomadas son proporcionales y adecuadas a los riesgos.

En el caso de que el organismo de supervisión no esté satisfecho, a los proveedores se les puede denegar una licencia. O enfrentar multas o suspensión de su licencia, o ambas.

Además, en el sector de servicios financieros, los titulares de licencias están cada vez más obligados a establecer una función de auditoría interna que sea independiente de las actividades operativas.

El objetivo principal de dicha auditoría sería evaluar la idoneidad de las políticas y procedimientos internos del proveedor de servicios, incluidas las políticas de seguridad de la información y gestión de riesgos. Y revisar la conformidad de la organización con las mismas.

Medidas de protección mínimas

Solo existen requisitos genéricos en virtud de la legislación aplicable en materia de ciberseguridad. Estos establecen que la seguridad de los sistemas debe ser adecuada en relación con la sensibilidad de la información y las repercusiones que pueden surgir como resultado de las infracciones de seguridad de la información.

No existen requisitos legislativos explícitos o específicos además de los anteriores.

Sin embargo, las empresas que están obligadas a mantener la seguridad adecuada en sus negocios (como servicios financieros, telecomunicaciones, juegos remotos) y que normalmente tienen que someterse a controles de supervisión por parte de sus autoridades de licencias, normalmente adoptan la norma ISO 27001.

Además, los proveedores de servicios financieros que tienen que someterse al cumplimiento de PCI generalmente siguen las reglas aplicables también con respecto al almacenamiento de datos y su encriptación.

En el sector de servicios financieros, la legislación de servicios financieros aplicable no contiene ningún requisito obligatorio sobre la certificación de centros de datos o aplicaciones de software para ser utilizados por las empresas financieras.

Sin embargo, durante la fase de solicitud, la autoridad supervisora ​​considerará la estructura de TI propuesta caso por caso y esperará que el solicitante identifique centros de datos y proveedores de software acreditados que mejoren su capacidad para garantizar la provisión continua y regular de las actividades financieras autorizadas y adecuadas.

Principales ciberactividades penalizadas

Las principales ciberactividades criminalizadas en virtud del artículo 337C del Código Penal son las siguientes:

  • uso de un ordenador u otro dispositivo para acceder, usar, copiar o modificar datos u otra información almacenada;
  • salida de datos u otra información del ordenador donde se almacena;
  • copia de datos u otra información a un medio de almacenamiento u otra ubicación que no sea aquella en la que se encuentra;
  • prevención u obstaculización del acceso a dichos datos;
  • obstaculizar o perjudicar el funcionamiento u operación de un sistema informático o software;
  • obstaculizar o interrumpir el funcionamiento de un sistema de información al ingresar datos del ordenador, al transmitir, dañar, eliminar, deteriorar, alterar o suprimir dichos datos, o al hacer que dichos datos sean inaccesibles;
  • posesión o uso de datos;
  • instalación, alternancia, movimiento, daño, eliminación, deterioro, supresión, destrucción, variación o adición de cualquier dato u otra información o hacer que dichos datos sean inaccesibles;
  • divulgación de una contraseña u otra forma de acceso a una persona no autorizada;
  • uso del código de acceso de otra persona, contraseña, nombre de usuario, dirección de correo electrónico u otro medio de identificación de acceso en un ordenador para obtener acceso sin autorización a la totalidad o parte de un sistema de información;
  • interceptación por medios técnicos de transmisión de datos; o
  • producción o cualquier otra forma de adquisición de un dispositivo que está diseñado o adaptado para cometer los actos mencionados anteriormente.

El incumplimiento de las obligaciones y deberes puede dar lugar a sanciones penales según:

  • Ley de Protección de Datos,
  • Ley de Comunicaciones Electrónicas,
  • Legislación Subsidiaria 460.35 Medida para un alto nivel común de seguridad de la red y
  • Orden de Sistemas de Información.

Cooperación entre el gobierno y el sector privado

El proceso de promulgar leyes y reglamentos aplicables al campo de la ciberseguridad y las TIC conlleva discusiones detalladas y sesiones informativas de consulta que involucran a actores clave de la industria, partes interesadas en el campo y el público en general para unir ideas con organismos gubernamentales.

Esto ayuda a garantizar que las reglamentaciones creadas para este campo en el que surgen constantemente riesgos más nuevos y más complejos estén dirigidas de manera eficiente en la creación de estándares y procedimientos de seguridad cibernética.

Autoridades en materia de ciberseguridad en Malta

El Comisionado de Información y Protección de Datos es la persona autorizada por la Ley de Protección de Datos para garantizar y hacer cumplir las sus disposiciones.

La Fuerza de Policía Maltesa estableció una Unidad de Delitos Cibernéticos dedicada en 2003, cuya función principal es proporcionar asistencia técnica en la detección, investigación y enjuiciamiento de delitos en los que el ordenador es el objetivo o el medio utilizado. La Unidad de Delitos Cibernéticos está compuesta por agentes de policía capacitados en la investigación de delitos que tienen lugar en Internet o mediante el uso de un ordenador.

Además, los organismos reguladores sectoriales pueden iniciar y llevar a cabo la aplicación mediante licencias y mecanismos de multa.

El CIIP también se estableció como la autoridad nacional que supervisará y supervisará los servicios digitales como el marketing en línea, los motores de búsqueda en línea y la computación en la nube.

Sanciones

Las sanciones aplicables en virtud de la Ley de Protección de Datos pueden variar desde multas que oscilan entre 1.250 y 50.000 euros y prisión de hasta seis meses. Las sanciones penales varían según las disposiciones de la Ley que se infringe.

Al encontrar una violación de la Ley, que podría conducir a un proceso penal, el Comisionado debe remitir la situación a las autoridades competentes. Estas tendrían que tomar medidas en los tribunales penales.

Otras infracciones de la Ley pueden dar lugar a multas administrativas. Pueden variar desde multas únicas de hasta 25.000 euros y multas diarias de hasta 50 euros, por cada día durante el cual dicha violación persiste.

Ahora que el RGPD se ha transpuesto a la ley maltesa, las multas por incumplimiento podrían alcanzar los 20 millones de euros o el 4 por ciento de la facturación anual mundial.

En el sector de juegos remotos, en caso de que los operadores no cumplan con su política de seguridad de la información y la política de control de acceso al sistema, la Autoridad de Juego solicitará que los operadores tomen las medidas adecuadas para garantizar el cumplimiento. Si esto no se hace a satisfacción de la autoridad, se pueden imponer multas.

En el sector financiero, la Autoridad de Servicios Financieros de Malta se reserva el derecho de imponer ciertas sanciones cuando la entidad ya no cumpla las condiciones requeridas para la concesión de la licencia en general. Dichas sanciones incluyen la revocación o restricción de una licencia. Y la imposición de sanciones administrativas en caso de incumplimiento de la legislación aplicable sobre servicios financieros.

Tendencias en el futuro

Sin duda, mantener actualizadas las regulaciones de ciberseguridad es un desafío. Este desafío solo puede abordarse adecuadamente si los interesados ​​de las industrias relevantes son consultados constantemente. De lo contrario, cualquier regulación estaría fuera de contacto con la realidad y las necesidades de las diversas industrias a las que afecta.

Las nuevas industrias y tecnologías, como blockchain, serán uno de los principales factores que afectarán las leyes y políticas de ciberseguridad.

Los gobiernos deben ser proactivos en lo que respecta a tales nuevas industrias y ser los primeros en comprender los potenciales y riesgos que estos crean para legislar adecuadamente sin disminuir las perspectivas que plantearía tal tecnología o industria.

Ejemplos de ciberataques

Como cualquier país, Malta también ha sido objeto de ataques informáticos. Aquí dejamos algunos ejemplos.

Ciberataque al Banco de La Valeta

En febrero de 2019, el Banco de La Valeta, uno de los más grandes proveedores de servicios financieros del país y el más antiguo, tuvo que suspender todas las operaciones después de ser víctima de un ataque informático.

Los hackers consiguieron acceder al sistema del banco y trasladaron a cuentas extranjeras hasta 13 millones de euros.

Todas las actividades del banco, incluidas la banca móvil, sucursales, cajeros automáticos y servicios de correo electrónico fueron interrumpidos. Y la página web dejó de funcionar.

La entidad bancaria confirmó a sus clientes que no se comprometieron sus cuentas.