El pasado 23 de junio fue publicada en el BOE la modificación del Código Penal aprobado por la Ley Orgánica 10/1995 de 23 de noviembre, a través de la Ley Orgánica 5/ 2010, de 22 de junio, modificándose, entre otros, los artículos relativos a delitos informáticos.
Entre las modificaciones realizadas cabe resaltar las siguientes:
AMPLIACIÓN DEL CATÁLOGO DE DELITOS INFORMÁTICOS
Para cumplimentar y adaptar al ordenamiento jurídico español la
Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, se ha resuelto incardinar las conductas punibles en dos apartados diferentes al tratarse de bienes jurídicos distintos, por un lado el descubrimiento y revelación de secretos en relación con la intimidad del individuo; y por otro lado, los daños, con ánimo especifico de perjudicar:
ART. 197.
El primero, se refiere al descubrimiento y revelación de secretos (Art. 197), donde estaría comprendidas las siguientes acciones:
- El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación.
- Al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.
- El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo.
Estas acciones están penadas con penas de prisión que pueden oscilar entre el año y los 7 años, en función de las circunstancias atenuantes o agravantes que se den en cada caso, así como penas de multa (1) de doce a veinticuatro meses.
De igual modo, dentro de este artículo se tipifica la responsabilidad de las personas jurídicas, respecto de los delitos contenidos en este artículo como principal novedad, estableciendo penas de multa de 6 meses a dos años, pudiendo igualmente imponer las penas especificas previstas en el artículo 33.7 para las personas jurídicas.
ART. 264.
El segundo, relativo a los daños, donde quedarían incluidas las consistentes en borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas informáticos o documentos electrónicos ajenos; así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. (Art. 264)
Los delitos de daños tienen previstas penas de prisión que van desde los 6 meses a los 3 años, en función de las circunstancias agravantes y atenuantes que se den en cada caso. Igualmente hay prevista una pena de multa que variará del tanto al decuplo (diez veces) del perjuicio causado.
En el caso de delitos de daños cometidos por personas jurídicas, las penas de multa prevista oscilan entre el doble y el cuádruple del perjuicio causado, pudiendo igualmente imponer las penas especificas previstas para las personas jurídicas (art. 33.7 CP).
El hecho de no incluir hasta la actual reforma el mero acceso a un sistema de información vulnerando las medidas de seguridad establecidas para su protección dentro del tipo penal del artículo 197 podía suponer que determinadas conductas pudieran quedar impunes, por ejemplo, el denominado hacking directo (acceso indebido o no autorizado con el único ánimo de vulnerar las medidas de seguridad sin ánimo delictivo adicional, y sin necesidad de revelar datos o llevar a cabo un perjuicio directo del titular del sistema o de un tercero), cuando no se probase o acreditase que existía el elemento subjetivo del dolo (o voluntad deliberada de cometer un delito) o del perjuicio a tercero.
En este sentido, la jurisprudencia ha sido variada y contradictoria, así por ejemplo:
- Sentencia del Tribunal Supremo de 20 de Junio de 2.003, ante el acceso de unos padres/tutores a las comunicaciones de sus hijos/menores, donde establece lo siguiente: “Esta realidad consagrada en el art. 18 CE tiene su correspondiente reflejo en el art. 197 CP donde el sujeto activo del tipo es, como se ha dicho, «el que» realice alguna de las acciones típicas, es decir, cualquiera persona, sin distinción y sin excepción; y donde el sujeto pasivo es «otro», quienquiera que sea este otro, sin exclusión alguna, siendo singularmente significativo que en el CP vigente haya desaparecido incluso la dispensa penal que favorecía a padres o tutores respecto del descubrimiento de secretos de sus hijos o menores que se hallaren bajo su dependencia que figuraba como excepción en el art. 497 CP de 1973, todo lo cual evidencia, al entender de esta Sala, que ningún tipo de relación paterno-filial, matrimonial, contractual, ni de otra clase, ni las incidencias o vicisitudes que puedan surgir en su desarrollo, constituye excusa absolutoria o causa de justificación que exima de responsabilidad penal a quien consciente y voluntariamente violenta y lesiona el bien jurídicamente protegido por la norma penal.”
- La Sentencia del Tribunal Supremo de 11 de Julio de 2.001, indica: “La conducta se consuma, sin necesidad de que un ulterior perjuicio se produzca (…) El delito se consuma tan pronto el sujeto activo accede a los datos, esto es, tan pronto los conoce y tiene a su disposición, pues solo con eso se ha quebrantado la reserva que los cubre”
En este sentido dice que es un delito doloso, pero no de tendencia.
- Sentencia del TS de 18 de Febrero de 1.999 establece: “Esta Sala en la Sentencia de 18 de Febrero de 1.999, a propósito de este tema, ya llego a la conclusión de que no debía conceptuarse la expresión “en perjuicio de tercero”, como un ánimo especifico de perjudicar, cuya ausencia convertiría en impunes, conductas que hubiesen puesto al descubierto la intimidad de otro, atacando abiertamente el habeas data. De no entenderlo así quedaría desprotegido el bien jurídico que se trata de tutelar, haciendo ilusoria la previsión punitiva”
El artículo 264 establecía las penas previstas para los delitos de daños expresamente previstos en el art. 263, es decir; “
El que causare daños en propiedad ajena no comprendidos en otros títulos de este Código, será castigado con la pena de multa de seis a 24 meses, atendidas la condición económica de la víctima y la cuantía del daño, si éste excediera de 400 euros”, pasando a regular actualmente y de forma expresa, los daños ocasionados por la vulneración de un sistema de información, los programas en él implantados, o los datos alojados en el mismo.
Para completar el tipo de la revelación de secretos prevista en el art. 197 CP en relación con las personas físicas, el
artículo 278 establece el tipo de
revelación de secretos de personas jurídicas, diciendo:
"1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difundieren, revelaren o cedieren a terceros los secretos descubiertos.
3. Lo dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran corresponder por el apoderamiento o destrucción de los soportes informáticos.”
DELITOS DE ESTAFAS Y FRAUDES INFORMÁTICOS
Se amplía, del mismo modo, el catalogo de delitos de
estafas y fraudes informáticos, incluyendo aquellos relativos a estafas utilizando tarjetas bancarias ajenas o los datos en ella obrantes, así el
art. 248 establece:
“1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndole a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.
c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero”.
Así, el denominado phishing, o captación de datos bancarios y utilización de los mismos para cometer estafas o fraudes tendrá un tipo concreto que penalizara dichas acciones.
Como conclusión, podemos decir que el legislador ha sido consciente de la necesaria regulación que necesitan los sistemas de información y los delitos o faltas cometidos a través de ellos, ya que hasta ahora se venían regulando con analogías de los delitos y faltas del mundo “off-line”, quedando fuera del tipo penal características y especificaciones del mundo “on-line”.
(1) Se entiende por pena de multa, la imposición al condenado de una sanción de carácter económico. Para la determinación de este tipo de multas, suele establecerse un periodo de tiempo, así como una cuantía económica por día, cuya suma restituya en la medida de lo posible, los daños causados por el ilícito cometido.
Maria Gonzalez Moreno
Abogado - Consultor
Marco Legal y Regulatorio
División de Consultoría -
SIA
