Por una vez en mucho tiempo parece que la Unión Europea va a legislar en el sentido adecuado en temas referidos a Internet. El Consejo de la UE ha aprobado una decisión marco en virtud de la cual los Estados miembros deberán modificar su legislación para que el acceso no autorizado a sistemas informáticos sea ilegal. Aunque parezca mentira, esta actividad no estaba tipificada como delito en la legislación de muchos de los países que forman parte de los Veinticinco.
El apartado 1 del artículo dos de la nueva norma europea reza establece que cada miembro de la UE "adoptará las medidas necesarias para que el acceso intencionado sin autorización al conjunto o a una parte de un sistema de información sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad". El segundo añade que cada Estado "podrá decidir que las conductas mencionadas en el apartado 1 sean objeto de acciones judiciales únicamente cuando la infracción se cometa transgrediendo medidas de seguridad".
Sin duda alguna, esta norma disgustará a muchos que defienden la legitimidad de los accesos no autorizados cuando "se hace sólo para aprender" o "como reto". Estas excusas no son válidas a la hora de justificar este tipo de acciones, aunque no se robe información o se cause daño alguno en el sistema en el que se ha entrado. Por buscar equivalentes en el mundo off line, entrar en la casa de alguien es allanamiento de morada con independencia de que una vez dentro el intruso se apropie o rompa algo o, por el contrario, se limite a cotillear los libros que uno tiene en su biblioteca.
Hasta este punto, todo está bien en la decisión marco. Sin embargo hay un punto que supone desprotección jurídica para quién más la necesita en estos casos. El apartado 2 del citado artículo deja claro que sólo se tratará de un delito cuando se transgredan medidas de seguridad. Volviendo al símil del allanamiento de morada, es como si esto se dejara de considerar delito porque la puerta de la casa está mal cerrada o no tiene cerradura. Puede ocurrir que un sistema informático no tenga medidas de seguridad debido a que no lo ha creado o instalado la persona adecuada. En este caso es un error del propietario, pero no por eso debe tener menor protección legal que otros.
Si alguien quiere que otros penetren en sus sistemas ya se encargará de hacerlo público. No debe considerarse que la falta de los adecuados sistemas de seguridad sea una autorización "por defecto". Esta debería existir sólo cuando fuera explicita, ya a una persona en particular ya en general (con un mensaje del tipo "cualquiera está autorizado a fisgar aquí").
