Delito de daños informáticos

Daños informáticos 

Desde la reforma llevada a cabo por la Ley Orgánica 1/2015, de 30 de marzo, entrada en vigor el 1 de julio del 2015, la responsabilidad penal de las personas jurídicas por los delitos de daños informáticos ha pasado del art. 264.4, al art. 264 quater, ambos del CP.

En términos generales, respecto al delito de daños cabe recordar que el Tribunal Supremo viene razonando, como en la STS n.º 475/2020, de 25 de septiembre, ECLI:ES:TS:2020:3038 que:

«(...) en el delito de daños el objeto de la acción es siempre una cosa y el resultado es la destrucción equivalente a la pérdida total de su valor, la inutilización, que supone la desaparición de sus cualidades y utilidades o el menoscabo de la cosa misma que consiste en una destrucción parcial, un cercenamiento a la integridad, perfeccionamiento o al valor de la cosa».

En este punto debe mencionarse el Convenio sobre la Ciberdelincuencia, celebrado en Budapest el 23 de noviembre de 2001, cuya razón de ser se fundamentaba, principalmente, en la preocupación surgida ante el uso, cada vez más común, de las redes informáticas e información electrónica y su manejo como medio para cometer delitos.

En base a los diferentes acuerdos europeos nacidos para la protección de la persona ante delitos de tipo informático, a nivel estatal, en fecha actual, podemos decir que el artículo 264 del Código Penal (redactado dentro del libro II, título XIII, capítulo IX) ha sido objeto de varias modificaciones desde su redacción original en la LO 10/1995, de 23 de noviembre. Si bien mediante LO 5/2010, de 22 de junio se reformó, incluyendo una regulación expresa acerca de los actos dañosos en programas informáticos o documentos electrónicos ajenos, destacando en esa redacción que el legislador exigía el requisito de gravedad tanto para la acción ejecutada como para el resultado producido, a su vez, con la LO 5/2010 también se eliminó la expresión que recogía su anterior (LO 10/1995) «o de cualquier otro modo dañe», cuya lectura establecía un número apertus de la acción típica (SAP de Madrid n.º 87/2015, de 23 de octubre, ECLI:ES:APM:2015:14091).

Partiendo de lo anterior y en respuesta a lo obligado por la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo, que pretendía aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra sistemas de información para la imposición de medidas más severas según la gravedad del daño sufrido a través de este tipo de delitos, el actual artículo 264 de nuestro Código Penal (modificado por la LO 1/2015, de 30 de marzo, que transpone tal Directiva) dispone y regula sobre la modalidad básica del delito de daño informático, recogiendo en su apartado 2 la conducta agravada, y establece que:

«1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.

2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:

1.ª Se hubiese cometido en el marco de una organización criminal.

2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.

5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero».

La Fiscalía General del Estado en su Circular 3/2017, de 21 de septiembre, razona al respecto de la reforma del artículo 264 del CP que, mediante la numeración de actos que hace en su apartado 1, «(...) el Legislador pretende abarcar todas las posibles conductas susceptibles de afectar a los elementos informáticos, tanto aquellas que impliquen su destrucción, bien sea total o parcial, como aquellas otras que comporten una modificación –alteración– de los mismos que igual podría producirse por eliminación, supresión o borrado parcial del elemento afectado como por la incorporación de nuevos datos que impliquen la variación del alcance o contenido inicial de aquellos».

CUESTIÓN

¿Cuál es el bien jurídico protegido en el delito de daños informáticos?

La SAP de Valencia n.º 447/2011, de 10 de junio, ECLI:ES:APV:2011:3331 hace el siguiente análisis respecto al bien jurídico protegido en el artículo 264 del CP:

«(...) contemplar prácticamente cualquier injerencia en un programa ajeno, con tal de que esta pueda tacharse de grave, ya que en su numero primero, como elenco de conductas punibles alude a: borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas o documentos, y, en su numero segundo a: obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno introduciendo, trasmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos. Con lo que nos marca el espíritu o la interpretación hacia la que habría de tender el precepto, aun cuando no este vigente, dado que aun cuando no se contemplara de una forma tan detallada y pormenorizada, toda esa serie de conductas no dejan de ser exponente de un funcionamiento anómalo del programa y por extensión de un determinado terminal, por consecuencia de una conducta voluntaria y deliberada de un tercero, que es definitiva lo que ocurre en el supuesto de autos».

Partiendo de lo regulado en el apartado 1, del artículo 264 del CP, que contempla la condena por este delito cuando se ejecuta una maniobra, sin autorización previa, que dañe, deteriore, altere... programas informáticos o documentos electrónicos ajenos, y siempre que el resultado fuera grave, el debate nace en dicha apreciación, la gravedad de los daños sufridos. La Audiencia Provincial de Madrid, en su sentencia n.º 305/2022, de 17 de mayo, ECLI:ES:APM:2022:9396 recoge una importante reflexión al respecto y destaca que el resultado grave de los daños causados debe ser valorado en base a criterios como:

• La probabilidad de recuperar los datos informáticos.
• La pérdida absoluta de los datos informáticos.
• El coste económico de la reparación del daño.
• La dificultad técnica que supone la recuperación.
• La duración de las tareas de recuperación.
• El perjuicio causado al titular de los datos.

También el Tribunal Supremo en su sentencia n.º 91/2022, de 7 de febrero, ECLI:ES:TS:2022:528, se ha pronunciado sobre el concepto de gravedad en estos términos:

«Pese a estas dificultades, concluimos que la gravedad de la acción no debe observarse a partir del mecanismo que se emplee para llevar a término la acción típica, pues el propio legislador plasma la punición de la conducta con independencia de cuál sea el medio que se emplee para borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles los datos informáticos, los programas informáticos o los documentos electrónicos ajenos, habiendo previsto como una agravación específica cuando el autor actúe por medio de programas informáticos concebidos o adaptados principalmente para cometer la acción, o cuando emplee para ello una contraseña, un código o un dato de acceso al sistema de información para cuyo uso no estuviera el sujeto activo legítimamente autorizado ( art. 264.2.5.ª, en relación con el artículo 264 ter del Código Penal).

La gravedad de la acción viene determinada por el daño funcional que el comportamiento genere, resultando atípicas todas aquellas actuaciones que, pese a satisfacer objetivamente alguna de las modalidades de obrar previstas en el tipo penal, resulten cualitativa o cuantitativamente irrelevantes para que el servicio o el sistema operen de manera rigurosa. Solo si la función digital deviene imposible o si se trastoca de manera relevante la utilidad o facilitación que introduce, la actuación dolosa de pervertir el sistema puede llegar a merecer el reproche penal.

En todo caso, la tipicidad exige además que la disfunción electrónica genere un resultado realmente gravoso para el titular de los instrumentos digitales. Nuestra sentencia anteriormente citada, atendiendo a que el supuesto que resolvíamos consistió en la eliminación de unos datos después recuperados de la "papelera de reciclaje" y compartiendo la posición sustentada en la Circular de la Fiscalía General del Estado n.º 3/2017, proclamaba que la gravedad típica se alcanza cuando es imposible recuperar la operatividad del sistema o cuando su recomposición es difícilmente reversible sin notables esfuerzos de dedicación técnica y económica. Debe observarse que las unidades o procesos informáticos que aquí se protegen, son elementos intangibles que no siempre presentan un valor económico intrínseco, ni siquiera lo tienen por el valor estimado de una recuperación incierta. El borrado del histórico fotográfico digital que una persona acopia durante toda su vida o la pérdida de las pruebas de diagnóstico y evolución que conforman su largo historial médico, ni son susceptibles de valoración intrínseca, ni existe la posibilidad de cuantificar el coste del trabajo preciso para una recuperación imposible, lo que no impide apreciar la trascendencia del perjuicio y lo dañino del resultado».

Por su parte, el art. 264 bis recoge la modalidad consistente en obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno, castigándolo con pena de prisión de 6 meses a 3 años.

También se recoge como delito, en el art. 264 ter, el producir, adquirir para su uso, importar o de cualquier modo facilitar a terceros un programa informático, concebido o adaptado principalmente para cometer los delitos de daños informáticos ya vistos, o una contraseña de ordenador, código de acceso o datos similares que permitan acceder a un sistema de información, imponiendo una pena de 6 meses a 2 años de prisión, o multa de 3 a 18 meses.

CUESTIÓN

¿Puede cometerse un delito de daños genérico cuando se afecte a un sistema informático o necesariamente se consideraría delito de daños informáticos?

Es importante diferenciar entre el delito de daños informáticos y delito de daños (como término genérico), aunque pueda afectar este último a un sistema de tipo informático. Un ejemplo serían los daños materiales ocasionados en un ordenador, en cuyo caso la conducta se condena por el artículo 263 del Código Penal, cuya pena dependería de la cuantía en que se valore los perjuicios causados. El delito de daño informático se configura como un tipo penal autónomo, diferenciado del delito de daños del art. 263 del CP con conductas típicas propias.