04 septiembre 2010

Nueva politica penal en delitos informáticos

El pasado 23 de junio fue publicada en el BOE la modificación del Código Penal aprobado por la Ley Orgánica 10/1995 de 23 de noviembre, a través de la Ley Orgánica 5/ 2010, de 22 de junio, modificándose, entre otros, los artículos relativos a delitos informáticos.

Entre las modificaciones realizadas cabe resaltar las siguientes:

AMPLIACIÓN DEL CATÁLOGO DE DELITOS INFORMÁTICOS

Para cumplimentar y adaptar al ordenamiento jurídico español la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, se ha resuelto incardinar las conductas punibles en dos apartados diferentes al tratarse de bienes jurídicos distintos, por un lado el descubrimiento y revelación de secretos en relación con la intimidad del individuo; y por otro lado, los daños, con ánimo especifico de perjudicar:

ART. 197.

El primero, se refiere al descubrimiento y revelación de secretos (Art. 197),  donde estaría comprendidas las siguientes acciones:
    • El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación.
    • Al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.
    • El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo.
Estas acciones están penadas con penas de prisión que pueden oscilar entre el año y los 7 años, en función de las circunstancias atenuantes o agravantes que se den en cada caso, así como penas de multa (1) de doce a veinticuatro meses.

De igual modo, dentro de este artículo se tipifica la responsabilidad de las personas jurídicas, respecto de los delitos contenidos en este artículo como principal novedad, estableciendo penas de multa de 6 meses a dos años, pudiendo igualmente imponer las penas especificas previstas en el artículo 33.7 para las personas jurídicas.

ART. 264.

El segundo, relativo a los daños, donde quedarían incluidas las consistentes en borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas informáticos o documentos electrónicos ajenos; así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. (Art. 264)

Los delitos de daños tienen previstas penas de prisión que van desde los 6 meses a los 3 años, en función de las circunstancias agravantes y atenuantes que se den en cada caso. Igualmente hay prevista una pena de multa que variará del tanto al decuplo (diez veces) del perjuicio causado.

En el caso de delitos de daños cometidos por personas jurídicas, las penas de multa prevista oscilan entre el doble y el cuádruple del perjuicio causado, pudiendo igualmente imponer las penas especificas previstas para las personas jurídicas (art. 33.7 CP).

El hecho de no incluir hasta la actual reforma el mero acceso a un sistema de información vulnerando las medidas de seguridad establecidas para su protección dentro del tipo penal del artículo 197 podía suponer que determinadas conductas pudieran quedar impunes, por ejemplo, el denominado hacking directo (acceso indebido o no autorizado con el único ánimo de vulnerar las medidas de seguridad sin ánimo delictivo adicional, y sin necesidad de revelar datos o llevar a cabo un perjuicio directo del titular del sistema o de un tercero), cuando no se probase o acreditase que existía el elemento subjetivo del dolo (o voluntad deliberada de cometer un delito) o del perjuicio a tercero.

En este sentido, la jurisprudencia ha sido variada y contradictoria, así por ejemplo:
  • Sentencia del Tribunal Supremo de 20 de Junio de 2.003, ante el acceso de unos padres/tutores a las comunicaciones de sus hijos/menores, donde establece lo siguiente: “Esta realidad consagrada en el art. 18 CE tiene su correspondiente reflejo en el art. 197 CP donde el sujeto activo del tipo es, como se ha dicho, «el que» realice alguna de las acciones típicas, es decir, cualquiera persona, sin distinción y sin excepción; y donde el sujeto pasivo es «otro», quienquiera que sea este otro, sin exclusión alguna, siendo singularmente significativo que en el CP vigente haya desaparecido incluso la dispensa penal que favorecía a padres o tutores respecto del descubrimiento de secretos de sus hijos o menores que se hallaren bajo su dependencia que figuraba como excepción en el art. 497 CP de 1973, todo lo cual evidencia, al entender de esta Sala, que ningún tipo de relación paterno-filial, matrimonial, contractual, ni de otra clase, ni las incidencias o vicisitudes que puedan surgir en su desarrollo, constituye excusa absolutoria o causa de justificación que exima de responsabilidad penal a quien consciente y voluntariamente violenta y lesiona el bien jurídicamente protegido por la norma penal.”
  • La Sentencia del Tribunal Supremo de 11 de Julio de 2.001, indica: “La conducta se consuma, sin necesidad de que un ulterior perjuicio se produzca (…) El delito se consuma tan pronto el sujeto activo accede a los datos, esto es, tan pronto los conoce y tiene a su disposición, pues solo con eso se ha quebrantado la reserva que los cubre
    En este sentido dice que es un delito doloso, pero no de tendencia.
  • Sentencia del TS de 18 de Febrero de 1.999 establece: “Esta Sala en la Sentencia de 18 de Febrero de 1.999, a propósito de este tema, ya llego a la conclusión de que no debía conceptuarse la expresión “en perjuicio de tercero”, como un ánimo especifico de perjudicar, cuya ausencia convertiría en impunes, conductas que hubiesen puesto al descubierto la intimidad de otro, atacando abiertamente el habeas data. De no entenderlo así quedaría desprotegido el bien jurídico que se trata de tutelar, haciendo ilusoria la previsión punitiva
El artículo 264 establecía las penas previstas para los delitos de daños expresamente previstos en el art. 263, es decir; “El que causare daños en propiedad ajena no comprendidos en otros títulos de este Código, será castigado con la pena de multa de seis a 24 meses, atendidas la condición económica de la víctima y la cuantía del daño, si éste excediera de 400 euros”,  pasando a regular actualmente y de forma expresa, los daños ocasionados por la vulneración de un sistema de información, los programas en él implantados, o los datos alojados en el mismo.

Para completar el tipo de la revelación de secretos prevista en el art. 197 CP en relación con las personas físicas, el artículo 278 establece el tipo de revelación de secretos de personas jurídicas, diciendo:

"1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difundieren, revelaren o cedieren a terceros los secretos descubiertos.
3. Lo dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran corresponder por el apoderamiento o destrucción de los soportes informáticos.”


DELITOS DE ESTAFAS Y FRAUDES INFORMÁTICOS

Se amplía, del mismo modo, el catalogo de delitos de estafas y fraudes informáticos, incluyendo aquellos relativos a estafas utilizando tarjetas bancarias ajenas o los datos en ella obrantes, así el art. 248 establece:

“1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndole a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.
c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero”.


Así, el denominado phishing, o captación de datos bancarios y utilización de los mismos para cometer estafas o fraudes tendrá un tipo concreto que penalizara dichas acciones.

Como conclusión, podemos decir que el legislador ha sido consciente de la necesaria regulación que necesitan los sistemas de información y los delitos o faltas cometidos a través de ellos, ya que hasta ahora se venían regulando con analogías de los delitos y faltas del mundo “off-line”, quedando fuera del tipo penal características y especificaciones del mundo “on-line”.

(1) Se entiende por pena de multa, la imposición al condenado de una sanción de carácter económico. Para la determinación de este tipo de multas, suele establecerse un periodo de tiempo, así como una cuantía económica por día, cuya suma restituya en la medida de lo posible, los daños causados por el ilícito cometido.

Maria Gonzalez Moreno
Abogado - Consultor
Marco Legal y Regulatorio
División de Consultoría - SIA

8 comments :

OzoNe dijo...

Significa eso que usar un programa de análisis de red como Wireshark y ver "algo" ¿te puede caer cárcel?

Luis dijo...

Según tengo entendido, en principio no. Con el Wireshark sólo interceptas el tráfico que pasa por tu tarjeta de red. El problema aparece cuando la tarjeta está en modo monitor o si realizas un MITM. En este caso estás interceptando comunicaciones ajenas y entonces sí que es delito.

Anónimo dijo...

Hasta 7 años ... creo que se me estan quitando las ganas de hacer cosas malas ... pronto tendre 18 años y ya no me ampara la ley de menores, esta entrada me dio que pensar ...

juaxix dijo...

Entonces, digamos que sacar la clave wifi al vecino sigue siendo legal, pero por ejemplo cambiar la configuración del router ya es ilegal...no?

XayOn dijo...

Romper la clave wifi del vecino *no* es legal. Es más, que tu vecino te dé la clave de la wifi no es legal, cosas curiosas de los idiotas que legislan para favorecer a unas pocas compañias. Y al sacar la clave de la wifi del vecino necesitas esnifar paquetes de su red, lo cual seria ilegal, estas interceptando sus comunicaciones.

Martincho dijo...

En qué países se aplicará esa nueva ley penal?

Yago Jesus dijo...

@Martincho En España

kikiosan dijo...

Aqui me surge una duda.
¿Entonces no se puede monitorear la red por parte de las empresas,isp's u organismos de seguridad nacional?
y si acaso,¿de poderlo hacer,bajo que circunstancias?
Porque considero que se vulneran bastantes nuestros derechos.
Antiguamente se podian interceptar las comunicaciones analogicas,sin incurrir delito.