Agravaciones en el delito de daños informáticos

Delitos de daños informáticos con penas agravadas

La Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013, concreta en su artículo 9, apartados 4 y 5, en cuanto a los delitos cometidos por la interferencia ilegal en los sistemas de información o interferencia ilegal de datos:

''4. Los Estados miembros adoptarán las medidas necesarias para garantizar que las infracciones mencionadas en los artículos 4 y 5 se castiguen con una sanción máxima de privación de libertad de al menos cinco años cuando:

a) se cometan en el contexto de una organización delictiva con arreglo a la Decisión marco 2008/841/JAI, con independencia del nivel de la sanción que se establezca en la misma;

b) causen daños graves, o 

c) se cometan contra el sistema de información de una infraestructura crítica.

5. Los Estados miembros tomarán las medidas necesarias para garantizar que, cuando las infracciones a que se refieren los artículos 4 y 5 sean cometidas utilizando ilícitamente datos de carácter personal de otra persona con la finalidad de ganar la confianza de un tercero, causando así daños al propietario legítimo de la identidad, ello pueda ser considerado, de conformidad con el Derecho nacional, como circunstancia agravante, a menos que tal circunstancia ya esté contemplada en otra infracción que sea sancionable con arreglo al Derecho nacional''.

Para un correcto encuadre de este apartado es importante exponer el concepto de organización delictiva que refiere el anterior artículo de la citada Directiva europea, por lo que, consultando lo regulado en la Decisión marco 2008/841/JAI, en particular su artículo 1, esta organización será:

''Una asociación estructurada de más de dos personas, establecida durante un cierto período de tiempo y que actúa de manera concertada con el fin de cometer delitos sancionables con una pena privativa de libertad o una medida de seguridad privativa de libertad de un máximo de al menos cuatro años o con una pena aún más severa, con el objetivo de obtener, directa o indirectamente, un beneficio económico u otro beneficio de orden material'.

1. Subtipo agravado del artículo 264.2 C.P. con referencias a la doctrina de la Fiscalía General del Estado en la Circular 3/2017, de 21 de septiembre

En atención a lo anterior, en el artículo 264, apartado 2, del Código Penal, se regula un tipo agravado del delito de daños informáticos, con penas de prisión de dos a cinco años y multa del tanto hasta diez veces del perjuicio ocasionado, pudiendo aplicarse las penas en su mitad superior cuando se utilicen a su vez de manera ilícita los datos personales de otra persona para acceder fácilmente al sistema informático o ganarse la confianza de un tercero. La casuística constitutiva de agravio en el delito de daño informático se apreciará en los siguientes casos:

• Delito cometido en el marco de una organización criminal (Art. 264.2.1ª C.P.).

Como se refiere en el apartado anterior, citando la Decisión marco 2008/841/JAI, respecto a la calificación de organización delictiva, en nuestro Código Penal se refiere a organización criminal, y es el artículo 570 bis C.P. el que ofrece una definición de la misma, siendo esta: ''la agrupación formada por más de dos personas con carácter estable o por tiempo indefinido, que de manera concertada y coordinada se repartan diversas tareas o funciones con el fin de cometer delitos''.

Aprecia la doctrina que este agravante se refiere, únicamente, a una organización criminal, no grupo criminal, ya que, de ser este caso, se aplicaría un concurso real de delitos entre el artículo 264 C.P. y 570 ter. C.P. ''cuando el sujeto activo del delito de daños constituya, financie o integre a su vez un grupo criminal, en las circunstancias y condiciones que se establecen en dicho precepto''.

• Cuando el delito afecta de manera muy grave (ocasionando daños de especial gravedad) o a un número importante de sistemas informáticos (Art. 264.2.2ª C.P.).

Debemos partir de la referida Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013, que en sus consideraciones (decimotercera) expone:

''Es conveniente establecer sanciones más severas cuando un ataque contra un sistema de información se comete en el contexto de una organización delictiva, tal como se define en la Decisión marco 2008/841/JAI del Consejo, de 24 de octubre de 2008, relativa a la lucha contra la delincuencia organizada (1), o cuando el ciberataque se realiza a gran escala y afecta a un número importante de sistemas de información, en particular cuando el ataque tiene por objeto crear una red infectada o si el ciberataque causa un daño grave, incluido cuando se lleva a cabo a través de una red infectada. Conviene también establecer sanciones más severas cuando el ataque se lleva a cabo contra una infraestructura crítica de los  Estados miembros o de la Unión''.

Se entiende que, ante el planteamiento disyuntivo en la citada norma de ambos requisitos, estos no tienen que darse de manera conjunta. En palabras de la Fiscalía en su Circular 3/2017, de 21 de septiembre: ''puede tratarse por tanto de daños de especial gravedad causados en uno solo o en una pluralidad de sistemas de información  o de una acción que genere efectos en un número importante de sistemas, aun cuando el daño causado en cada uno de ellos no sea de especial gravedad, si el volumen de sistemas afectados justifica la aplicación de la agravación''.

La gravedad del delito viene exigiéndose tanto es su tipo básico como ahora para la aplicación de una agravante, tanto para los supuestos del artículo 264.2.2ª C.P. como para los del artículo 264.2.3ª C.P. Siguiendo lo declarado por la doctrina, mientras en el tipo básico se concreta el requisito de grave tanto en el modo de ejecución como en el resultado de la acción, en el subtipo agravado se interpreta, conforme a los daños ocasionados, los efectos del ilícito en términos materiales o inmateriales:  

''Quiere decirse con ello que procedería la aplicación de esta agravante cuando, concurriendo los requisitos del tipo básico, los efectos lesivos causados por el delito merecieran por su entidad la consideración de especialmente graves y además no estuvieran incluidos en ninguno de los supuestos previstos en los restantes subtipos contemplados en el mismo artículo''.

Y en base al razonamiento de la Fiscalía este subtipo agravado será de aplicación en los supuestos en que, superando la trascendencia significativa de los daños que se exige par el tipo básico, el delito cometido es de especial relevancia (gravedad) pero sin llegar al tipo (más extremo) del artículo 264.2.3ª del C.P.

Así mismo, respecto a la referencia del artículo a ''número importante de sistemas informáticos'', en base a lo contemplado en la Directiva 2013/40/UE y a la lectura global del artículo 264 C.P., la Fiscalía concluye que tal inciso ha de aplicarse de manera específica en los supuestos en los que se vieran afectados un número tan importante de sistemas de información que pudieran generar un riesgo de ataque masivo.

• Cuando afecte gravemente al funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad (Art. 264.2.3ª C.P.).

En este punto hay que definir a qué se refiere la ley con servicios esenciales y bienes de primera necesidad y, de manera sucinta, estos serán:

- Los servicios públicos esenciales: se trata de un concepto amparado por la propia C.E. en su artículo 128.2. Así, el artículo 2 de la Ley 8/2011, de 28 de abril los define como un ''servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas''.

En palabras del TC, son aquellos que hacen posible que los miembros de una comunidad puedan ejercer sus derechos y libertades básicas (STC, n.º 26/1981, de 17 de julio. ECLI:ES:TC:1981:26) y completa la STS, n.º 8/1992, de 16 de enero. ECLI:ES:TC:1992:8 expresando:

''Antes que a determinadas actividades industriales y mercantiles de las que derivarían prestaciones vitales y necesarias para la vida de la comunidad, la noción de servicio esencial de la comunidad hace referencia a la naturaleza de los intereses a cuya satisfacción la prestación se endereza, entendiendo por tales los derechos fundamentales, las libertades públicas y los bienes constitucionalmente protegidos, con la consecuencia de que a priori ningún tipo de actividad productiva puede ser considerado en sí mismo como esencial (...)''.

No obstante, al margen del carácter público de estos servicios y su prestación por órganos de tal carácter, en ocasiones pueden ser desempeñados por empresas privadas, siempre bajo una estricta regulación (es el caso del teléfono, la luz, el gas...).

- Los bienes de primera necesidad, que son aquellos imprescindibles para la supervivencia de las personas: alimentos, vivienda, productos primarios, medicamentos...

Como se acuerda en la STS, n.º 1307/2006, de 22 de diciembre. ECLI: ES:TS:2006:8332: ''Por cosas de primera necesidad u otros bienes de reconocida utilidad social, además de las viviendas, expresamente mencionadas, habrá que entender todas aquellas que resulten imprescindibles para la subsistencia o salud de las personas (...)''.

En conclusión, solo concurrirá la aplicación de esta agravante cuando los efectos del delito hayan afectado realmente a servicios esenciales o bienes de primera necesidad, analizando cada caso concreto para hacer una correcta apreciación del daño a tales intereses.

• Dispone el artículo 264.2.4ª C.P. que se aplicará tipo agravado cuando el acto ilícito afecte al ''sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la UE o de un Estado Miembro de la UE'', refiriéndose como infraestructura crítica a un elemento, sistema o parte de ese sistema que sea esencial para el mantenimiento de las funciones vitales de ''la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones''.

Para poder comprender el concepto de infraestructura crítica podemos acudir al artículo 2 de la Ley 8/2011, de 28 de abril que las define como las infraestructuras estratégicas (instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales) ''cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales''. Son ejemplos de infraestructuras críticas: las centrales eléctricas, redes de transporte, redes de órganos de gobierno...

Fue la Directiva 2013/40/UE la que ya ordenaba que, existiendo en la UE una serie de infraestructuras críticas cuya perturbación o destrucción puede tener repercusiones transfronterizas importantes, aquellas deben ser protegidas mediante un sistema penal que actúe de manera severa ante posibles ataques informáticos.

En definitiva, este tipo agravado se aplica cuando el acto ilícito afecta, sin el requisito de gravedad, a un sistema informático de infraestructuras de tal naturaleza. No obstante, la segunda apreciación del apartado legal ''situación de peligro grave para la seguridad...'', vuelve a exigir la concurrencia de tal requisito, la gravedad de los hechos para poder aplicar la agravante.

A mayor abundamiento, como dispone el artículo 573, apartado 2, del C.P., los delitos del articulo 264 C.P. pueden considerarse también como delitos de terrorismo. En este caso estaríamos ante un concurso de normas que se resolverán por el principio de especialidad, observando las reglas del artículo 8 del C.P. 

• El artículo 264.2.5ª C.P. ordena que si el delito se ejecuta mediante un programa informático configurado para cometer tal hecho o usando una contraseña, código o similar que permita acceder a la totalidad o parte de un sistema informático (medios que se refieren en el artículo 264 ter del C.P.), en estos supuestos, en que los hechos hubieran resultado de extrema gravedad, puede imponerse la pena superior en grado. 

La Fiscalía concluye al respecto que el uso de contraseñas o códigos no tiene por qué estar vinculado a ataques informáticos plurales. Es más, resulta curioso a juicio de la doctrina, respecto a la redacción del legislador, que este hubiera optado por penalizar el empleo de estas claves, individualizadas, con una sanción más elevada, por lo que, ''los Sres. Fiscales deberán valorar con especial cautela la aplicación de este subtipo en estos últimos supuestos restringiendo su apreciación a aquellos casos en los que el uso de dichas claves o contraseñas implique efectivamente un incremento en el plus de antijuridicidad de la conducta''.

2. Subtipo agravado del artículo 264.3 C.P. con referencias a la doctrina de la Fiscalía General del Estado en la Circular 3/2017, de 21 de septiembre

Atendiendo al contenido de la Directiva 2013/40/UE (artículo 9, apartado 5), el artículo 264, apartado 3, del C.P. dispone otro tipo agravado al fijar que:

''Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero''.

No obstante, nuestro Código Penal hace una regulación de este subtipo pero sin la apreciación que sí recoge la Directiva europea en la comisión de estos hechos ilícitos, pues en ella se concreta que han de causar daños ''al propietario legítimo de la identidad''. Sin embargo, de la lectura del artículo 264, apartado 3, del C.P. refiriéndose a la facilitación de acceso a un sistema informático o simplemente para ganarse la confianza de un tercero con intención de cometer un acto dañoso, puede deducirse que el legislador hace un encaje más extenso de este subtipo agravado, al no exigir específicamente la apreciación de un daño.

Cabe resaltar en la redacción de este precepto penal la ilicitud del uso de datos personales, es decir, la ausencia de autorización o consentimiento del afectado por los hechos cometidos. Al respecto cabe recordar el Reglamento (UE) sobre Protección de Datos, 679/2016 del Parlamento y del Consejo de 27 de abril para poder explicar, de manera sucinta, estos conceptos:

• El consentimiento del ofendido consistirá en la ''manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen''.
• Con datos personales nos referiremos a toda la información sobre una persona física identificada o identificable (nombre, apellidos, DNI, número de teléfono, número de afiliación a la Seguridad Social, correo electrónico...).