¿QUÉ SON LOS DELITOS DE DAÑOS INFORMÁTICOS?
Ante la tendencia hacia ataques masivos cada vez más graves y recurrentes contra los sistemas de información, los datos y programas informáticos reciben en la legislación penal una protección al menos equiparable a la que tienen los objetos corpóreos ante los daños causados contra ellos de manera deliberada.
Así pues, el Código Penal, en sus artículos 264 a 264 quater, regula los llamados “delitos de daños informáticos” que son los daños en los sistemas informáticos propiamente dichos (artículo 264), la obstaculización o interrupción del funcionamiento de un sistema informático (artículo 264 bis), una serie de conductas en relación con los programas informáticos o contraseñas que permiten el acceso a un programa informático y que tienen como objetivo la facilitación de los anteriores delitos (artículo 264 ter) y la posibilidad de hacer responsable a las PERSONAS JURÍDICAS de estos delitos (artículo 264 quater).
¿QUÉ MODALIDADES Y PENAS EXISTEN EN EL DELITO DE DAÑOS EN LOS DATOS INFORMÁTICOS, PROGRAMAS INFORMÁTICOS O DOCUMENTOS ELECTRÓNICOS AJENOS?
1. MODALIDAD BÁSICA
La modalidad básica del artículo 264.1 castiga con una PENA de prisión de seis meses a tres años al que por cualquier medio o procedimiento y sin estar autorizado de manera grave borre, deteriore, altere, suprima o haga inaccesibles los datos informáticos, los programas informáticos o cualquier documento electrónico ajeno y provoque un resultado grave en los mismos.
El Legislador, por tanto, abarca todas las posibles conductas susceptibles de afectar a los elementos informáticos, tanto las que implican su destrucción (total o parcial) como alteración (sea ésta por eliminación, supresión o borrado parcial del elemento o por la incorporación de datos nuevos que supongan la modificación de su alcance o contenido inicial).
Asimismo hacer inaccesibles los datos, programas informáticos o documentos electrónicos implica que, sin afectar a su existencia o esencia, acceder a los mismos se hace imposible, sea para conocer su contenido u operar con ellos de cualquier forma.
Por poner un ejemplo, piénsese en el programa malicioso conocido como ransomware, el cual actúa restringiendo el acceso a partes o archivos del sistema a través, por norma, de su cifrado.
2. MODALIDADES AGRAVADAS
La PENA prevista para el delito será de dos a cinco años de prisión y multa del tanto al décuplo del perjuicio ocasionado cuando concurra alguna de las siguientes circunstancias:
• Se hubiera cometido en el marco de una organización criminal
• Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos
Se tratan dos conductas de resultado heterogéneo, pero igualmente merecedoras de sanción penal: la agravación puede aplicarse tanto si los daños de especial gravedad son causados en un solo sistema de información como si una considerable cantidad de sistemas son perjudicados, pero no de manera notable.
• El hecho hubiera perjudicado gravemente al funcionamiento de servicios públicos esenciales o a la provisión de bienes de primera necesidad
Son servicios públicos esenciales de la comunidad aquellos necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.
Por su parte, son bienes de primera necesidad aquellos que son fundamentales para el desarrollo de la vida de los ciudadanos y para la atención de sus necesidades primarias (alimentos, medicamentos, viviendas y otros productos de consumo necesarios para la subsistencia y salud de las personas).
• Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado miembro de la Unión Europea
A estos efectos, infraestructura crítica será un elemento, sistema o parte de éste que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.
• El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter
La acción típica merece mayor reproche penal a juicio del legislador cuando se emplee alguna de las herramientas que recoge el artículo 264 ter del Código Penal: programas informáticos concebidos o adaptados para cometer los delitos o contraseñas, códigos de acceso o similares que posibiliten acceder a todo o parte del sistema de información. El caso paradigmático es el de los denominados programas informáticos maliciosos o malware.
Como previsión general, el artículo 264.2 en su último inciso, advierte de la imposición de la PENA superior en grado si los hechos hubieran resultado de extrema gravedad.
Además, las PENAS previstas se impondrán en su mitad superior cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona (no exclusivamente la víctima del delito) para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.
En estos casos, los datos personales de este tercero son un medio para la ejecución de la acción típica al permitir acceder al sistema informático atacado o para recabar la confianza de un tercero, que favorece o hace más sencillo causar los daños.
¿QUÉ SE CONSIDERA OBSTACULIZACIÓN O INTERRUPCIÓN DEL FUNCIONAMIENTO DE LOS SISTEMAS INFORMÁTICOS?
MODALIDAD BÁSICA
El artículo 264 bis del Código Penal dispone que será castigado con la PENA de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:
• Realizando alguna de la conductas del artículo anterior. En referencia a la forma de comisión de aquellas actuaciones por medio de las cuales se provoquen daños en los datos informáticos, programas informáticos o documentos electrónicos ajenos.
• Introduciendo o transmitiendo datos, o
• Destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.
¿QUÉ ES UN SISTEMA INFORMÁTICO EN EL DELITO DE DAÑOS INFORMÁTICOS?
A tenor de la Directiva 2013/40/UE, del Parlamento Europeo y del Consejo, base de la normativa penal vigente en esta materia, SISTEMA INFORMÁTICO es todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento.
MODALIDADES AGRAVADAS
Se trata de supuestos de agravación de la penalidad similares a los previstos para los daños en los datos y programas informáticos, y documentos electrónicos ajenos:
• Cuando los hechos perjudiquen de forma relevante la actividad normal de una empresa, negocio o una Administración Pública, la PENA se impondrá en su mitad superior, pudiéndose alcanzar la pena superior en grado.
• Cuando hubiera concurrido en los hechos alguna de las circunstancias del precepto anterior (organización criminal, daños de especial gravedad o afectación a un número elevado de sistemas informáticos, grave perjuicio al funcionamiento de servicios públicos esenciales o a la provisión de bienes de primera necesidad, afectación a infraestructuras críticas, programas maliciosos o contraseñas y códigos para el acceso al sistema de información), la PENA a imponer podrá ser de tres a ocho años de prisión y multa del triplo al décuplo del perjuicio ocasionado.
• Cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero la PENA se impondrá en su mitad superior.
PROGRAMAS O CONTRASEÑAS QUE PERMITEN EL ACCESO A UN PROGRAMA INFORMÁTICO Y QUE TIENEN COMO OBJETIVO LA FACILITACIÓN DE LOS DELITOS
El artículo 264 ter del Código Penal prevé la punición de las conductas consistentes en obtener o facilitar a otro la disponibilidad de programas informáticos concebidos o adaptados principalmente para la comisión de alguno de los delitos descritos anteriormente, o de contraseñas de ordenador, códigos de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.
La PENA para estas actuaciones delictivas se sitúa entre los seis meses y dos años de prisión o multa de tres a dieciocho meses.
¿PUEDEN SER LAS PERSONAS JURÍDICAS PENALMENTE RESPONSABLES DEL DELITO DE DAÑOS INFORMÁTICOS?
Las personas jurídicas sí pueden ser penalmente responsables de estos delitos de daños informáticos. Las penas que se les impondrán serán de multa, cuya cuantía será acorde a la pena de prisión que se impondría en caso de ser el delito cometido por una persona física:
• Multa de dos a cinco años o del quíntuplo a doce veces el valor del perjuicio causado, si resulta una cantidad superior, cuando se trate de delitos castigados con una pena de prisión de más de tres años.
• Multa de uno a tres años o del triple a ocho veces el valor del perjuicio causado, si resulta una cantidad superior, en el resto de los casos.
También caben medidas como la disolución de la persona jurídica, la suspensión de sus actividades por plazo, la clausura de sus locales y establecimientos por plazo, la inhabilitación para obtener subvenciones y ayudas públicas o para contratar con el sector público (artículo 264 quater en relación con las letras b) a g) del apartado 7 del artículo 33 del Código Penal).
