На основании данной Директивы государства-члены должны криминализировать следующие уголовные составы: незаконный доступ к информационным системам, незаконное вмешательство в функционирование информационных систем, незаконная обработка данных (например, удаление, копирование, изменение и т.п.) и незаконный перехват передачи данных. Также государства-члены обязаны обеспечить уголовное преследование лиц, производящих, продающих, покупающих, импортирующих и распространяющих орудия для подобных преступлений: компьютерные программы, пароли, коды доступа к информационным системам и любая соответствующая информация. Уголовно преследоваться должны соучастники, а также лица, которые покушались на совершение незаконного вмешательства в функционирование информационных систем и незаконную обработку данных.

Наказания должны назначаться, учитывая принципы эффективности, пропорциональности и превентивности. При этом санкции назначаются по правилу «максимума-минимума», при котором Европейский союз устанавливает необходимый минимум максимальных санкций. Соответственно, все вышеперечисленные составы, будучи криминализированными в государствах-членах, должны предусматривать максимальные санкции в виде лишения свободы на срок не менее двух лет. Если незаконное вмешательство в функционирование информационных систем или незаконная обработка данных были совершены умышленно и с нарушением функционирования большого количества информационных систем или больших объемов данных, то максимальные санкции должны предусматривать лишение свободы на срок не менее трех лет. Эти же преступные составы наказываются максимальными санкциями в виде лишения свободы на срок не менее пяти лет при наличии следующих квалифицирующих признаков: если они были совершены преступной организацией; если они повлекли серьезный ущерб; если преступление было совершено в отношении важной инфраструктурной информационной системы. Кроме того, государства – члены должны установить свою юрисдикцию в отношении подобных преступлений, если преступление или его часть были совершены на территории государства-члена; если преступление было совершено гражданином государства-члена; если преступник находится на территории государства-члена; и если информационная система, против которой было совершено преступление, находится на территории государства-члена. Также после соответствующего уведомления Европейской комиссии государство-член имеет право расширить свою юрисдикцию и на те случаи, когда преступник имеет свое обычное местожительство на территории государства-члена и когда преступление было совершено в пользу юридического лица, которое зарегистрировано в данном государстве-члене.

Основным нормативно-правовым актом Европейского союза в рамках противодействия онлайн-мошенничеству и смежных с ним преступных деяний является Рамочное решение Совета ЕС 2001/413/ JHA о противодействии мошенничеству и подделке безналичных платежных средств[8].

Это решение обязывает государства-члены криминализировать практически все основные уголовные составы, так или иначе связанные с безналичными расчетами: кража банковских карт, фальсификация платежных инструментов, умышленное использование заведомо краденых платежных средств и т.п. Государства обязаны криминализировать ряд преступлений, относящихся к сфере киберпреступлений, совершаемых онлайн посредством сети Интернет: получение выгоды за счет трансфера денежных средств другого лица без соответствующих прав на обработку (введение, изменение, удаление, копирование) персональных данных и соответствующих прав на вмешательство в функционирование компьютерной системы или программы. Также уголовно преследоваться должны изготовление, продажа, покупка и передача компьютерных программ, предназначенных для совершения вышеназванных киберпреступлений. Соответственно должны преследоваться соучастие и покушения на эти преступления.