1. El qui, per qualsevol mitjà, intencionadament i sense autorització, accedeixi al conjunt o una part d’un sistema d’informació, amb violació d’almenys una mesura de seguretat, quan el resultat produït sigui greu, ha de ser castigat amb una pena de presó de tres mesos a tres anys.
2. El qui, per qualsevol mitjà, intencionadament i sense autorització, obstaculitzi o interrompi el funcionament de xarxes o sistemes d’informació introduint, transmetent, danyant, esborrant, deteriorant, alterant, suprimint o fent inaccessibles dades informàtiques, quan el resultat produït sigui greu, ha de ser castigat amb una pena de presó de tres mesos a tres anys.
3. El qui, per qualsevol mitjà, intencionadament i sense autorització, esborri, danyi, deteriori, alteri, suprimeixi o faci inaccessibles dades informàtiques contingudes en un sistema d’informació, quan el resultat produït sigui greu, ha de ser castigat amb una pena de presó de tres mesos a tres anys.
4. El qui, per qualsevol mitjà tècnic, intencionadament i sense autorització, intercepti transmissions no públiques de dades informàtiques cap a un sistema d’informació, des d’un sistema d’informació o dins d’un sistema d’informació, incloses les emissions electromagnètiques d’un sistema d’informació que contingui les dites dades informàtiques, quan el resultat produït sigui greu, ha de ser castigat amb una pena de presó de tres mesos a tres anys.
5. El qui, intencionadament, produeixi, vengui, adquireixi per a l’ús, importi, distribueixi o d’una altra forma posi a disposició els instruments següents sense autorització, i amb la intenció que siguin utilitzats amb la finalitat de cometre els fets referits als apartats anteriors, ha de ser castigat amb una pena de presó de tres mesos a tres anys:
a) Un programa informàtic, un dispositiu o un equip concebut o adaptat principalment per cometre els fets referits.
b) Una clau d’ordinador, un codi d’accés o dades similars que permetin accedir a la totalitat o a una part d’un sistema d’informació.
6. S’imposa una pena de presó de tres a sis anys i una multa del tant al quàdruple del perjudici ocasionat quan en una conducta de les descrites als apartats anteriors es doni alguna de les circumstàncies següents:
a) S’hagi comès en el marc d’un grup organitzat.
b) S’hagin ocasionat danys d’una gravetat especial.
c) S’hagi perjudicat greument el funcionament de serveis públics essencials o la provisió de béns de primera necessitat.
d) S’hagi comès contra una xarxa o un sistema d’informació d’una infraestructura crítica.
e) S’hagi creat una situació de perill greu per a la seguretat de l’Estat.
7. Als efectes d’aquest article, es consideren servei públic essencial tots els serveis oferts per una entitat el tipus de la qual s’emmarca en el de les entitats essencials previstes en la legislació en matèria de mesures per a la seguretat de les xarxes i dels sistemes d’informació en vigor en cada moment, que resulten necessaris per al manteniment de les funcions socials bàsiques, la salut, la seguretat, el benestar social i econòmic dels ciutadans o el funcionament eficaç de les institucions de l’Estat i les administracions públiques, que depenen per proveir-se de xarxes i sistemes d’informació, i que poden veure greument afectada la continuïtat de les seves prestacions en supòsits de ciberincidents i, en conseqüència, ocasionar un greu perjudici social i econòmic al Principat d’Andorra.
8. Als efectes d’aquest article, es consideren infraestructura crítica tots els actius, sistemes o part d’aquests sistemes necessaris per prestar un servei essencial i que són indispensables i no permeten solucions alternatives, per la qual cosa pertorbar-los o destruir-los tindria efectes perjudicials significatius sobre la prestació d’un o més serveis essencials.