Blog


Would you like to share an article on cybercrime? Please contribute!
 

These articles do not necessarily reflect official positions of the Council of Europe

المدوّنات المدوّنات
عودة

Fraude Informático y Estafa Informática: la necesidad de construir e incluir estos nuevos tipos penales en un código penal moderno

El Convenio de Europa sobre Ciberdelincuencia de 2001 incluye, en su parte sustantiva, los delitos de fraude informático y estafa informática como una categoría de conductas que deben tipificarse en las respectivas legislaciones penales de los países suscriptores del Acuerdo. De esta manera, el Convenio de Europa se convierte en un marco jurídico internacional donde se otorga un buen margen de actuación al legislador nacional para crear los tipos penales correspondientes. También sirve de ejemplo para otros países que aún no contemplan todos los tipos penales sobre criminalidad informática en sus respectivos códigos.

En el caso concreto de los delitos que nos interesa mencionar, es importante determinar si los tipos penales de estafa y fraude informático pertenecen a una categoría especial de infracciones o si son sólo una categoría de delitos incluida en la nomenclatura tradicional. Tal será el límite de nuestras observaciones.

Lo primero que llama la atención es que existe una aparente confusión en la terminología penal informática, pues las conductas y acciones que en algunos sitios denominan “estafa informática” otros lo asimilan a “fraude informático”, y otros más visualizan a este tipo de delito como una especie dentro de la generalidad de los fraudes informáticos.

En apoyo a esta relación jerárquica entre ambas figuras, encontramos la explicación de Claudio Magliona, de Chile, en referencia a las normas en los ordenamientos penales de otros países, quien sostiene que el tipo de fraude informático subsumió al de estafa, por estar construido con sus elementos básicos:

“Esta figura [del fraude informático] vino a absorber todas aquellas conductas defraudatorias que, por tener incorporada la informática como herramienta de comisión, no podían ser subsumidas en el tipo clásico de la estafa del derecho comparado. Esta vinculación con la estafa desde sus inicios determinó además que el concepto, estructura y contenido del fraude informático fueran construidos a partir de los elementos del delito de estafa.” (MAGLIONA MARKOVITCH, Claudio. “Delincuencia Informática en Chile, Proyecto de Ley”. En Revista de Derecho Informático Alfa Redi No.50 (septiembre del 2002) (Free translation)

No obstante tal opinión, intentaremos dar a cada una de esas infracciones un breve análisis por separado.

A.- El fraude informático como un nuevo tipo penal.

El fraude informático es quizás el tipo de delito más común dentro de las infracciones cibernéticas. De hecho, es el más conocido y probablemente el más antiguo, pues se tienen noticias de fraudes cometidos con computadoras que datan de la tercera generación de éstas, cuando éstas hicieron su aparición en la vida laboral de empresas de tipo financiero y bancario.

Las formas de cometer el fraude informático son muy variadas, aunque siempre convergen en el manejo ilegítimo de los sistemas de información, ya sea mediante la creación de usuarios fantasmas para recibir beneficios económicos, la creación de cuentas bancarias adicionales no autorizadas, la introducción de algoritmos matemáticos que alteren el funcionamiento normal del sistema para obtener ganancias ilícitas, la intervención directa en los procesos automáticos de la computadora, o el redondeo de cuentas bancarias o financieras, todo ello con el objeto de obtener algún provecho pecuniario.

Los medios para llevar a cabo los ilícitos derivan de la naturaleza intrínseca de los sistemas informáticos. Todos ellos han sido diseñados para recibir datos, almacenarlos, ordenarlos, modificarlos, borrarlos y posteriormente darlos a conocer como información particular para el consultante.

El Convenio sobre Ciberdelincuencia de 2001 incluye el marco de referencia que deberá tener en cuenta el legislador penal al momento de crear un tipo de esta naturaleza:

Artículo 7 - Falsificación informática

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno, cuando se cometa de forma deliberada e ilegítima, la introducción, alteración, borrado o supresión de datos informáticos que dé lugar a datos no auténticos, con la intención de que sean tenidos en cuenta o utilizados a efectos legales como si se tratara de datos auténticos, con independencia de que los datos sean o no directamente legibles e inteligibles. Cualquier Parte podrá exigir que exista una intención fraudulenta o una intención delictiva similar para que se considere que existe responsabilidad penal.

Usualmente, los tipos penales que tratan este tema son bastante extensos en cuanto a las conductas que describe. Se pretende abarcar en lo posible todas las modalidades que se conocen del fraude informático. Los verbos que indica deben ser analizados individualmente para comprender a cabalidad el nivel de protección que se busca.

En apoyo a esta tesis, la española Gutiérrez Francés mantiene siempre una visión “pluriofensiva” en el caso del fraude informático e incluye otros bienes jurídicos de orden económico, tales como el interés económico, la hacienda pública y el patrimonio, pero también hace énfasis en el funcionamiento de los sistemas informáticos:

“las conductas de fraude informático presentan un indudable carácter pluriofensivo. En cada una de sus modalidades se produce una doble afección: la de un interés económico (ya sea micro o macrosocial), como la Hacienda Pública, el sistema crediticio, el patrimonio, etc., y la de un interés macrosocial, vinculado al funcionamiento mismo de lo sistemas informáticos.” (GUTIÉRREZ FRANCÉS, María Luz, “Fraude informático y estafa”, Editorial Centro de Publicaciones Secretaría Técnica del Ministerio de Justicia Madrid, España, 1991 p. 269)

Después de esta breve explicación de la forma como puede infringirse daño a un sistema de información, sólo falta definir si tales conductas deberían ser merecedoras de un tipo penal especial o puede incluirse en el tipo tradicional de estafa.

La respuesta es decididamente afirmativa. Una vez más, se trata de un delito nomen iuris propio, sin lugar a dudas, que exige un tratamiento de resguardo especial por parte de la legislación punitiva. No encontramos en qué otro conducta podrían ser calificados esas posibles (y comprobables) infracciones.

Tal conclusión no significa que las legislaciones de algunos países como Chile o España consideren dicha idea como válida. En España se concibe a la “estafa informática” como una suerte de fraude mediante manipulaciones tecnológicas. Los bienes jurídicos que deberían tutelarse no parecen ser tomados en cuenta, sino que parece protegerse exclusivamente el patrimonio. Al respecto, Choclán Montalvo explica:

“El legislador español ha omitido contemplar el fenómeno del delito tecnológico con cierta autonomía y no ha tenido en cuanta como bien jurídico digno de tutela bienes de carácter colectivo como pudiera ser la información en la red, la regularidad en el funcionamiento del sistema informático u otros similares. Esta perspectiva reduccionista, impuesta por el principio de taxatividad, deja al margen del art. 248.2 buena parte de los delitos tecnológicos que se presentan en la actualidad.” (CHOCLÁN MONTALVO, José Antonio. “Infracciones patrimoniales en los procesos de transferencia de datos”. En la obra “Delincuencia Informática. Problemas de responsabilidad”. Cuadernos de Derecho Judicial, IX, 2002. (Director: Óscar Morales García). Consejo General del Poder Judicial, Madrid, 2002, p.248)

En el mismo sentido, Magliona, quien después de dar una serie de argumentos de peso para justificar su posición, expresa la necesidad de que el fraude informático sea considerado como un nuevo tipo penal en la legislación de Chile:

“Por todo lo anterior, es que creemos debe incorporarse a nuestra legislación el fraude informático, como una figura dolosa, en la cual se exija como elemento subjetivo del tipo el ánimo de lucro, y como elemento objetivo la obtención mediante una manipulación informática de una transferencia indebida de cualquier activo patrimonial en perjuicio de tercero”.

En conclusión, debe clasificarse esta infracción penal dentro de los “delitos informáticos propiamente dichos”, lo que refuerza nuestra tesis de que se trata de una figura autónoma y de necesaria tipificación, fuera de las normas punitivas tradicionales, situación que no se encuentra en todos los Códigos Penales.

B.- Estafa informática como un nuevo tipo penal.-

En el tipo penal común de estafa siempre se hace énfasis en los verbos de “ardid”, “engaño”, “artificio” o similares, que se apliquen contra una persona con el objetivo de sustraerle su patrimonio, en todo o en parte. Es decir, para que se configure el delito, se deberá incurrir en falsedad o de alguna manera hacer caer en error al otro, conducta que también tendrá como finalidad última la obtención de algún beneficio patrimonial de la víctima.

Por otra parte, el artículo 8 del Convenio de Europa sobre la Ciberdelincuencia de 2001 conceptúa la “estafa informática” como “la producción de un perjuicio patrimonial” contra otro, de manera intencional y sin autorización. Pero el artículo no incluye el engaño en contra de una persona, sino en contra los datos o la interferencia en el funcionamiento de un sistema computacional:

“Artículo 8 – Estafa informática

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno los actos deliberados e ilegítimos que causen un perjuicio patrimonial a otra persona mediante:

a.- cualquier introducción, alteración, borrado o supresión de datos informáticos;

b.- cualquier interferencia en el funcionamiento de un sistema informático,

con la intención fraudulenta o delictiva de obtener ilegítimamente un beneficio económico para uno mismo o para otra persona.”

Ahora bien, para comprender mejor los alcances de un tipo penal en la técnica jurídica, necesariamente requerimos de apelar al concepto de “sistema”. Veamos en qué consiste este singular principio, en un sentido abstracto, pero aplicado en especial a los sistemas automatizados.

Un sistema es un conjunto de elementos diseñados para funcionar juntos en estrecha relación. Dada esa naturaleza grupal, sus distintos elementos llegan a constituir partes indisolubles e insustituibles dentro de él. Desde el punto de vista funcional, el sistema es más que la suma de sus partes individuales. Es allí donde se aplica la noción “sinergética” del concepto, mediante la cual el sentido de cada componente no se explica por sí mismo, sino sólo en relación con todos los demás. Estructuralmente, desde una perspectiva muy elemental, todo sistema está constituido básicamente por tres partes, denominadas “entradas”, “procesos” y “salidas”. La “entrada” es todo dato o materia con que se alimenta el sistema. Por ejemplo, en la construcción de una base de datos, éstos serían la materia prima con que trabajará el sistema. El “proceso” consistirá en todo el cúmulo de procedimientos y maniobras mecánicas internas que realiza el sistema para procesar las entradas recibidas. Por último, la “salida” del sistema será el resultado final que se espera obtener, de acuerdo con los elementos primarios y los procesos posteriores internos. La actuación del sistema siempre estará limitada a un cierto “ambiente”, que es donde interactúa y en el que se retroalimenta.

El tipo penal básico de estafa informática procura abarcar esas tres variables, pues en cualquiera de ellas podría intervenir el sujeto activo. Por ejemplo, si una persona modifica datos de entrada, los omite o alimenta la base con información del tipo que sea, no necesariamente la correcta o completa, estaríamos ante los supuestos del tipo penal, cuyas acciones de utilización de datos falsos o incompletos, o su supresión previenen esta posibilidad. Conviene aclarar que la incorrecta utilización de los datos de entrada del sistema pueden ser ejecutados por cualquier individuo, sin necesidad de conocimientos técnicos particulares, con excepción de algunas instrucciones básicas para dotar de datos al sistema.

Por otra parte, es factible interferir también en el procesamiento de datos del sistema, es decir, en cualquiera de las partes mecánicas que componen la “caja negra” de ella. Esto es posible si se altera el “código” o instrucción lógico-funcional del programa o aplicación informática que utiliza el sistema en el proceso de ordenamiento de los datos, para obtener un resultado diferente o adicional del originalmente planificado. Esto se logra con la introducción de algoritmos matemáticos que pueden alterar los programas “fuentes” donde originalmente se ha escrito el código del programa, o bien, con la modificación directa de esos programas. Evidentemente, para cometer tal hecho se requiere de un conocimiento especial en el manejo de lenguajes de programación y tener acceso directo a los programas fuentes de las aplicaciones.

Deberá tratarse de acciones que influyan en el procesamiento de los datos, o bien, si se utilizare programación falsa, o en general cualquier acción que influyere sobre el proceso de los datos es suficiente como para modificar (lesionar, en términos jurídicos) los procesos que efectuarán las “cajas negras” de los sistemas de información. Las consecuencias de tal hecho serían necesariamente un resultado (salida de sistema) diferente, incompleta, incorrecta o adicional de información (según el concepto visto en este comentario), de la que se programó inicialmente.

Finalmente, es posible también para cualquier persona manipular un resultado originalmente correcto dado por un sistema. Es notorio que el contenido que abarca el fraude cibernético no deja de lado la posibilidad de que se influya en el resultado de los datos, tan importante como el procesamiento. Ya hemos visto que la información que se introduce a la base de datos es automáticamente ordenada y tiene una salida, denominada información. Es decir, el resultado del procesamiento de los datos es precisamente la información. Si ésta es errónea o incompleta, el sistema está arrojando una salida no conforme con la realidad. Por ello, no puede dejar de mencionarse que, si la conducta dañosa influye directamente sobre el resultado de los datos, debe quedar igualmente calificada como fraude informático.

Obsérvese que no es necesario provocar un resultado falso (que se logra en el manejo ilícito del proceso) sino que la acción puede producirse sobre resultados verdaderos que se manipulan para aparecer distintos de los originales. La estafa, pues, cobija también la posibilidad de modificación del resultado de los datos o su utilización indebida para referirse a estos supuestos en que la acción recae sobre los productos arrojados por el sistema. Al igual que el punto primero, referidos a las datos de entrada, en este caso no se necesita que el sujeto activo posea especiales conocimientos informáticos, sino tan sólo alguna experiencia en, por ejemplo, procesadores de palabras, programas de hojas electrónicas y búsqueda en bases de datos.

Es importante anotar que el afán de lucro es una constante fundamental que determina la naturaleza de la conducta. Si dicho deseo de obtener ganancias pecuniarias ilícitas no existiese, nos encontraríamos ante otro tipo de figura, quizás el sabotaje informático o acceso ilícito. En cualquiera de estos casos, se requerirá siempre la existencia de un afán lucrativo o alguna clase de beneficio personal en el resultado de la conducta del sujeto activo, como requisito sine qua non para abarcar la equivalencia con la “estafa informática” e incluso superar el concepto.

Esto nos lleva a considerar los objetos sobre los que puede recaer la acción de la falsificación informática. Se trata generalmente de información relativa a valores que bien podrán ser intangibles tales como datos sobre montos monetarios. En otros casos, los datos harán referencia a objetos corporales (dinero en efectivo y otros valores tangibles) que obtendría el sujeto activo mediante la manipulación del sistema. De otro modo, es decir, si no se busca el aumento patrimonial ilegítimo, podríamos encontrarnos ante otra figura penal, como podría ser el acceso no autorizado a sistemas o el sabotaje informático.

Todo ello sirve también como forma de explicar técnicamente por qué no es posible “engañar” o “estafar” un sistema informático. No es casualidad que el bien jurídico tutelado que debemos tener en cuenta sea precisamente el funcionamiento del sistema informático en los términos que expresa la Convención de Europa sobre Ciberdelincuencia, además de otros como la información obtenida con el procesamiento de sistemas automatizados o su transferencia por redes enlazadas remotamente.

En el caso de la estafa informática, las nociones tradicionales no tendrían forma de aplicarse, pues la característica de “engaño” no se adapta a los sistemas automatizados. Estos funcionan de acuerdo con las órdenes emanadas de una programación previa y no por estímulos humanos externos. Para que exista engaño, debe darse un proceso de toma de decisiones basado en supuestos falsos que lleven a una conclusión o resultado diferente del que esperaba el individuo embaucado. Es decir, trátase de acciones de desarrollo intelectual y funciones psicológicas que son eminentemente humanas. Las máquinas no tienen capacidad de tomar decisiones “erróneas”, sino que sólo ejecutan mecánicamente las órdenes para las cuales se les haya diseñado. De esta manera, el sistema automatizado no es la víctima del delito sino el medio por el cual se ejecuta la infracción.

Esta explicación, que podría parecer elemental, tiene un fuerte arraigo doctrinal e incluso jurisprudencial. Así, en España, la a menudo citada Sentencia del Tribunal Supremo de 19 de abril de 1991 indicó que:

“mal puede concluirse la perpetración de un delito de estafa por parte de procesado, al impedirlo la concepción legal y jurisprudencial del engaño, ardid que se produce e incide por y sobre personas… La inducción a un acto de disposición patrimonial sólo es realizable frente a una persona y no frente a una máquina… Con razón se ha destacado que a las máquinas no se las puede engañar, a los ordenadores tampoco, por lo que los casos en los que el perjuicio se produce directamente por medio del sistema informático, con el que se realizan las operaciones de desplazamiento patrimonial, no se produce ni el engaño ni el error necesarios para el delito de estafa.” (Sentencia del Tribunal Supremo Español de 19 de abril de 1991)

Sin embargo, no creemos hallarnos verdaderamente ante una situación de estafa en la concepción tradicional, precisamente porque no se exige la posibilidad de engaño hacia una persona (o, aunque sea imposible, hacia un sistema informático), sino más bien la utilización de sistemas automatizados como medios para la comisión del hecho. Obsérvese que sí se mantiene el criterio fundamental de obtención de “beneficio económico” (o, correlativamente, “perjuicio patrimonial” para la víctima) como resultado de la acción dolosa.

Pero, en este caso, el engaño o maniobra para lograr el embuste se ve sustituido por la manipulación en datos informáticos, esto es, “introducción, alteración, borrado o supresión” de ellos, o el “atentado” contra el funcionamiento del sistema informático. En tal caso, parece que no se podría hablar propiamente de “estafa” desde el punto de vista tradicional y sí de “falsificación informática o incluso “fraude informático”, pues las manipulaciones pueden recaer en las partes de que está compuesto un sistema informático, esto es, en la entrada, procesamiento o salidas de los datos. Por eso pensamos que los artículos 7 y 8 del Convenio sobre Ciberdelincuencia bien pueden llamarse o traducirse genéricamente como “estafa informática” o “fraude informático” ya que contiene las mismas ideas y verbos necesarios para ello y estar incluidos en un solo numeral, con cambios mínimos.

En esta misma línea de exposición, deseamos hacer hincapié en el bien jurídico que menciona el artículo 8. Se trata del funcionamiento del sistema informático como elemento novedoso, lo que justificaría de por sí la existencia de un nuevo tipo en un Código Penal moderno, quizás no como fraude informático pero sí susceptible de protegerse dentro de la ciber-defraudación. Una vez más, es un tipo penal nomen iuris propio.

Es por ello que se requiere la creación de un tipo penal específico para castigar la “estafa informática”, pues no basta con la aplicación del concepto de estafa en el sentido tradicional. Como primera conclusión vemos que el tipo tradicional de estafa resulta insuficiente para lograr ese nivel de amparo. Y no se trata sólo de un problema semántico sino que parece referirse a otro tipo de conducta que hace de aquél una infracción penal de difícil o imposible aplicación en estas circunstancias novedosas.

Un buen ejemplo de esta aparente confusión de conceptos puede verse en la legislación de Chile pues, según manifiesta Magliona, el tipo penal de estafa común en la legislación de este país no tiene el alcance necesario para proteger los sistemas de información de ataques que pongan en riesgo su integridad:

“Mucho se ha discutido si las conductas sancionadas mediante el fraude informático pueden ser sancionadas al amparo del delito de estafa (…) tipificado en el Art. 468 de nuestro Código Penal. En este sentido, creemos que el delito de estafa de nuestro Código Penal presenta dificultades para comprender a aquellas conductas defraudatorias realizadas por medios informáticos, en sistemas de tratamiento automatizado de la información en que no intervienen personas en su control, e incluso en aquellos en que existe la presencia de personas, pero cuyas intervenciones están limitadas a accesos meramente mecánicos.” MAGLIONA MARKOVITCH, Claudio. “Delincuencia Informática en Chile…”, op. cit.

Otro ejemplo de legislación que podría tenerse como confusa en sus denominaciones, traemos a colación el caso de España, que en el artículo 248 párrafo 2 del Código Penal de 2010 vislumbra la posibilidad de incurrir en estafa mediante la “manipulación informática” (lo que conllevaría en realidad, según hemos visto, a un fraude informático). El uso de tales voces no ayuda a encontrar una solución de consenso en este tema pues parece confundir uno y otro delito. No es de extrañar que se utilicen uno y otro tipo penal casi como sinónimos. Su contenido, modificado en el año 2010, es amplio por los términos empleados:

“Artículo 248.2.- (…)

También se consideran reos de estafa:

a) Los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) (…)”

Así las cosas, más que pensar en abarcar tales conductas en el tipo de estafa tradicional, debería crearse legislativamente las conductas que componen la “estafa informática” como categorías o acciones típicas nuevas, situación que no se contempla en códigos penales importantes como el de España o Chile. La idea no es nueva puesto que ya otras legislaciones contemplan esa posibilidad, lo que quizás contribuya a esclarecer de qué manera deberán ampararse los bienes jurídicos involucrados, tales como la información en sentido amplio o el funcionamiento de un sistema informático, que son los bienes jurídicos que se buscan proteger.

 

 

 

Comment by Jose Francisco Salas-Ruiz on March 20, 2013 at 9:32pm

This is the Spanish version of my first blog. I think it could be useful for others Spanish speakers.

 

Comments
No comments yet. Please sign in to comment.
Tools on Cybercrime & Electronic Evidence Empowering You!
عرض محتوى الويب عرض محتوى الويب

This tool is co-funded  by the GLACY  and Cybercrime@Octopus projects