Erhalten Sie Zugang zu diesem und mehr als 300000 Büchern ab EUR 5,99 monatlich.
- Herausgeber: Ediciones Experiencia
- Kategorie: Fachliteratur
- Sprache: Spanisch
La seguridad informática adquiere en la actualidad una relevancia práctica y una autonomía conceptual como consecuencia de la creciente amplitud de las relaciones a través de las nuevas tecnologías de la información y comunicación, que en el ámbito de la tutela penal no cobra un protagonismo especial. Para la punición de las infracciones penales informáticas se atiende fundamentalmente al establecimiento de circunstancias agravantes específicas y tipos o subtipos agravados, pues se complementan las infracciones penales existentes al abordarse la punición de los delitos informáticos desde los tipos existentes, teniendo en consideración el incremento del desvalor de la acción o del resultado. El Derecho Penal Informático comprende la descripción típica de una gran variedad de comportamientos que materializan riesgos y amenazas característicos del ámbito informático, no existiendo en nuestro Código Penal un Título que con base en el bien jurídico de la seguridad informática tipifique los delitos informáticos. Consideramos de interés en relación con los aspectos generales relacionados con los ciberdelitos, poner de manifiesto con carácter previo que la ciberseguridad es un aspecto técnico de la seguridad y un eje fundamental de nuestra sociedad, y se encarga de la seguridad en el medio informático o telemático; el ciberespacio que hace partícipes a sus usuarios de una globalización sin precedentes que propicia nuevas oportunidades, a la vez que comporta nuevos riesgos y amenazas; las ciberamenzas que ponen de manifiesto la creciente actividad tanto por parte de Estados, que persiguen la expansión de sus intereses geopolíticos a través de acciones de carácter ofensivo y subversivo, como de organizaciones terroristas, grupos de crimen organizado y actores individuales; la ciberdelincuencia que supone un tipo de criminalidad característica y especial en la que se refleja la ausencia de fronteras y la inmaterialidad de la comunicación a través de las Tecnologías de la Comunicación y la Información, y que conduce a la escasa relevancia de los límites temporales y espaciales que han constituido, tradicionalmente, el límite en el ámbito del Derecho Penal; y el Convenio de Ciberdelincuencia que constituye un referente internacional a la hora de hablar de la delincuencia informática. Los ciberdelitos que tienen lugar en el ciberespacio, son delitos convencionales que toman nueva vida con el uso de las Tecnologías de la Información y la Comunicación y no representan un tipo de criminalidad específica; y son también responsables de los mismos los menores y las personas jurídicas. Clasificamos los ciberdelitos en consideración al Código Penal y al Código Penal Militar, teniendo en cuenta también la clasificación que se realiza en la Circular de la Fiscalía General del Estado 3/2017, además de la que se lleva a cabo en el Convenio de Ciberdelincuencia, por la doctrina, la Organización de Cooperación y Desarrollo Económico, la Organización de Naciones Unidas y la Unión Europea.
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 458
Veröffentlichungsjahr: 2020
Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:
Ähnliche
CIBERDELITOS
Daniel Fernández Bermejo
Doctor en Derecho
Profesor Contratado Doctor de la UDIMA
Gorgonio Martínez Atienza
Tridoctor en Derecho
Licenciado en Criminología
Graduado en Ciencias Jurídicas de las Administraciones Públicas
Profesor Tutor
Profesor Asociado
Título: CIBERDELITOS
© Daniel Fernández Bermejo - Gorgonio Martínez Atienza
© Ediciones Experiencia
ISBN ePub: 978-84-121905-6-4
Conversión a libro electrónico: Ulzama Digital
No se permite la reproducción total o parcial de este libro, ni su incorporación a un sistema informático, ni su transmisión en cualquier forma o por cualquier medio, sea este electrónico, mecánico, por fotocopia, por grabación u otros métodos, sin el permiso previo y por escrito del editor. La infracción de los derechos mencionados puede ser constitutiva de delito contra la propiedad intelectual (Art. 270 y siguientes del Código Penal)
ABREVIATURAS
CE
Constitución Española
CP
Código Penal
CPM
Código Penal Militar
FFAA
Fuerzas Armadas
FGE
Fiscalía General del Estado
LEC
Ley de Enjuiciamiento Civil
LECr
Ley de Enjuiciamiento Criminal
LO
Ley Orgánica
RD
Real Decreto
LOPJ
Ley Orgánica del Poder Judicial
LOPD
Ley Orgánica de Protección de Datos
LSP
Ley de Seguridad Privada
OCDE
Organización de Cooperación y Desarrollo Económico
ONU
Organización de las Naciones Unidas
RLOPD
Reglamento de la Ley Orgánica de Protección de Datos
SSTC
Sentencias del Tribunal Constitucional
SSTEDH
Sentencias del Tribunal Europeo de Derechos Humanos
SSTS
Sentencias del Tribunal Supremo
STC
Sentencias del Tribunal Constitucional
STS
Sentencia del Tribunal Supremo
TRLET
Texto Refundido de la Ley del Estatuto de los Trabajadores
TC
Tribunal Constitucional
TS
Tribunal Supremo
UE
Unión Europea
NOTA PRELIMINAR
La seguridad informática adquiere en la actualidad una relevancia práctica y una autonomía conceptual como consecuencia de la creciente amplitud de las relaciones a través de las nuevas tecnologías de la información y comunicación, que en el ámbito de la tutela penal no cobra un protagonismo especial.
Para la punición de las infracciones penales informáticas se atiende fundamentalmente al establecimiento de circunstancias agravantes específicas y tipos o subtipos agravados, pues se complementan las infracciones penales existentes al abordarse la punición de los delitos informáticos desde los tipos existentes, teniendo en consideración el incremento del desvalor de la acción o del resultado.
El Derecho Penal Informático comprende la descripción típica de una gran variedad de comportamientos que materializan riesgos y amenazas característicos del ámbito informático, no existiendo en nuestro Código Penal un Título que con base en el bien jurídico de la seguridad informática tipifique los delitos informáticos.
Consideramos de interés en relación con los aspectos generales relacionados con los ciberdelitos, poner de manifiesto con carácter previo que la ciberseguridad es un aspecto técnico de la seguridad y un eje fundamental de nuestra sociedad, y se encarga de la seguridad en el medio informático o telemático; el ciberespacio que hace partícipes a sus usuarios de una globalización sin precedentes que propicia nuevas oportunidades, a la vez que comporta nuevos riesgos y amenazas; las ciberamenzas que ponen de manifiesto la creciente actividad tanto por parte de Estados, que persiguen la expansión de sus intereses geopolíticos a través de acciones de carácter ofensivo y subversivo, como de organizaciones terroristas, grupos de crimen organizado y actores individuales; la ciberdelincuencia que supone un tipo de criminalidad característica y especial en la que se refleja la ausencia de fronteras y la inmaterialidad de la comunicación a través de las Tecnologías de la Comunicación y la Información, y que conduce a la escasa relevancia de los límites temporales y espaciales que han constituido, tradicionalmente, el límite en el ámbito del Derecho Penal; y el Convenio de Ciberdelincuencia que constituye un referente internacional a la hora de hablar de la delincuencia informática.
Los ciberdelitos que tienen lugar en el ciberespacio, son delitos convencionales que toman nueva vida con el uso de las Tecnologías de la Información y la Comunicación y no representan un tipo de criminalidad específica; y son también responsables de los mismos los menores y las personas jurídicas. Clasificamos los ciberdelitos en consideración al Código Penal y al Código Penal Militar, teniendo en cuenta también la clasificación que se realiza en la Circular de la Fiscalía General del Estado 3/2017, además de la que se lleva a cabo en el Convenio de Ciberdelincuencia, por la doctrina, la Organización de Cooperación y Desarrollo Económico, la Organización de Naciones Unidas y la Unión Europea.
El estudio sistematizado de los ciberdelitos lo realizamos con base en los delitos especialmente relacionados con la nuevas tecnologías de la información y la comunicación y otros delitos cometidos a través de las nuevas tecnologías o que tienen como objeto material las mismas, además de hacer alusión a la extensión de la protección penal informática.
Y por último, hacemos alusión a la provocación para delinquir por medios informáticos, y a la responsabilidad criminal en los delitos que se cometan utilizando medios o soportes de difusión mecánicos.
Índice
ABREVIATURAS
NOTA PRELIMINAR
CIBERDELITOS
I ASPECTOS GENERALES
A CIBERSEGURIDAD
B CIBERESPACIO
C CIBERAMENAZAS
D CIBERDELINCUENCIA
E CONVENIO DE CIBERDELINCUENCIA
II CONCEPTO
III RESPONSABILIDAD PENAL DE LOS MENORES Y DE LAS PERSONAS JURÍDICAS EN LOS CIBERDELITOS
A RESPONSABILIDAD PENAL DE LOS MENORES
B RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS
IV CLASIFICACION E INVESTIGACIÓN Y PRUEBA
A CLASIFICACIÓN
B INVESTIGACIÓN Y PRUEBA
C JURISDICCIÓN Y COMPETENCIA
V DELITOS ESPECIALMENTE RELACIONADOS CON LAS NUEVAS TECNOLOGÍAS
VI ACOSO FAMILIAR Y NO FAMILIAR
VII VIOLENCIA FAMILIAR HABITUAL
VIII DETERMINAR A UN MENOR DE 16 AÑOS A PARTICIPAR O PRESENCIAR ACTOS SEXUALES
IX CONTACTO A TRAVÉS DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN CON MENOR DE 16 AÑOS PARA COMETER ABUSOS O AGRESIONES SEXUALES O UTILIZARLE CON FINES PORNOGRÁFICOS
X VENTA, DIFUSIÓN O EXHIBICIÓN DE MATERIAL PORNOGRÁFICO ENTRE MENORES O PERSONAS DISCAPACITADAS NECESITADAS DE ESPECIAL PROTECCIÓN
XI UTILIZACIÓN DE MENORES O PERSONAS CON DISCAPACIDAD NECESITADAS DE ESPECIAL PROTECCIÓN CON FINES EXHIBICIONISTAS O PORNOGRÁFICOS
XII DESCUBRIMIENTO DE SECRETOS O VULNERACIÓN DE LA INTIMIDAD POR PARTICULAR
XIII INTRUSISMO INFORMÁTICO E INTERCEPTACIÓN SIN AUTORIZACIÓN DE TRANSMISIONES NO PÚBLICAS DE DATOS INFORMÁTICOS
XIV FACILITAR A TERCEROS LA COMISIÓN DE DELITOS CONTRA LA INTIMIDAD
XV DESCUBRIMIENTO DE SECRETOS O VULNERACIÓN DE LA INTIMIDAD POR AUTORIDAD O FUNCIONARIO PÚBLICO
XVI CALUMNIA E INJURIA CON PUBLICIDAD
XVI LLAVES FALSAS
XVII ESTAFA INFORMÁTICA
XVIII USO DE EQUIPO TERMINAL DE TELECOMUNICACIÓN NO AUTORIZADO
XIX DAÑOS INFORMÁTICOS
XX OBSTACULIZACIÓN O INTERRUPCIÓN GRAVES DEL FUNCIONAMIENTO DE UN SISTEMA INFORMÁTICO AJENO SIN AUTORIZACIÓN
XXI FACILITACIÓN DE DAÑOS INFORMÁTICOS Y OBSTACULIZACIÓN O INTERRUPCIÓN GRAVES DEL FUNCIONAMIENTO DE UN SISTEMA INFORMÁTICO AJENO SIN AUTORIZACIÓN
XXII COMPORTAMIENTOS TÍPICOS BÁSICOS CONTRA LA PROPIEDAD INTELECTUAL
XXIII ESPIONAJE EMPRESARIAL
XXIV ALTERACIÓN DE PRECIOS EN EL MERCADO
XXV INFRACCIÓN DE LAS TECNOLOGÍAS DE ACCESO CONDICIONAL A SERVICIOS RADIOFÓNICOS, TELEVISIVOS E INFORMÁTICOS
XXVI BLANQUEO DE CAPITALES
XXVII FALSIFICACIÓN DOCUMENTAL POR AUTORIDAD O FUNCIONARIO PÚBLICO O RESPONSABLE DE CONFESIÓN RELIGIOSA
XXVIII FALSIFICACIÓN DOCUMENTAL PÚBLICA, OFICIAL O MERCANTIL POR PARTICULAR, Y TRÁFICO DE DOCUMENTO DE IDENTIDAD FALSO
XXIX FALSIFICACIÓN DE DOCUMENTO PRIVADO Y PRESENTACIÓN O USO DEL MISMO
XXX FABRICACIÓN, RECEPCIÓN, OBTENCIÓN O TENENCIA DE ÚTILES, MATERIALES, INSTRUMENTOS, SUSTANCIAS, DATOS Y PROGRAMAS INFORMÁTICOS, APARATOS, ELEMENTOS DE SEGURIDAD U OTROS MEDIOS PARA LA COMISIÓN DE FALSEDADES
XXXI SUSTRACCIÓN, DESTRUCCIÓN, INUTILIZACIÓN U OCULTACIÓN DE DOCUMENTOS POR QUIEN TIENE SU CUSTODIA
XXXII DESTRUCCIÓN O INUTILIZACIÓN DE LOS MEDIOS QUE IMPIDEN EL ACCESO A DOCUMENTOS
XXXIII ACCESO A DOCUMENTOS SECRETOS SIN LA DEBIDA AUTORIZACIÓN
XXXIV INFIDELIDAD EN LA CUSTODIA DE DOCUMENTOS POR PARTICULAR
XXXV FALSEDAD CONTABLE Y FACILITACIÓN DE INFORMACIÓN MENDAZ ECONÓMICA PÚBLICAS
XXXVI AMENAZAS, CALUMNIAS O INJURIAS AL REY O A SUS FAMILIARES
XXXVII OTRAS CALUMNIAS E INJURIAS Y UTILIZACIÓN DE LA IMAGEN DEL REY O DE SUS FAMILIARES
XXXVIII CALUMNIAS, INJURIAS O AMENAZAS CONTRA OTRAS INSTITUCIONES
XXXIX CALUMNIAS, INJURIAS Y AMENAZAS GRAVES CONTRA MIEMBROS DE LAS CORPORACIONES LOCALES
XL PROVOCACIÓN O INCITACIÓN A LA DISCRIMINACIÓN, AL ODIO O A LA VIOLENCIA; LESIONES A LA DIGNIDAD DE LAS PERSONAS; Y JUSTIFICACIÓN Y ENALTECIMIENTO PÚBLICOS DE LOS DELITOS COMETIDOS CONTRA UN GRUPO
XLI ESCARNIO Y VEJACIÓN PÚBLICOS DE LOS SENTIMIENTOS RELIGIOSOS
XLII INTERCEPTACIÓN ILEGAL DE LA CORRESPONDENCIA Y DIVULGACIÓN DE LA INFORMACIÓN OBTENIDA
XLIII INTERCEPTACIÓN ILEGAL DE LAS TELECOMUNICACIONES Y DIVULGACIÓN DE LA INFORMACIÓN OBTENIDA
XLIV PERTURBACIÓN GRAVE DE LOS SERVICIOS PÚBLICOS CON DAÑOS EN LOS MEDIOS QUE LOS PROPORCIONAN
XLV DELITOS DE TERRORISMO INFORMÁTICOS
XLVI AUTODOCTRINAMIENTO TERRORISTA
XLVII ENALTECIMIENTO O JUSTIFICACIÓN TERRORISTA
XLVIII FAVORECIMIENTO DEL ENEMIGO POR ESPAÑOL QUE HOSTILIZA A ESPAÑA E IMPIDE QUE LAS TROPAS NACIONALES RECIBAN NOTICIAS
XLIX ESPIONAJE
L INJERENCIA EN LA SOBERANÍA DEL ESTADO
LI RELACIÓN CON GOBIERNOS EXTRANJEROS PARA PERJUDICAR A ESPAÑA O PROVOCAR UNA GUERRA O REBELIÓN
LII CORRESPONDENCIA CON PAÍS ENEMIGO
LIII PROCURAR, REVELAR, FALSEAR O INUTILIZAR INFORMACIÓN MILITAR RESERVADA O SECRETA
LIV REPRODUCCIÓN SIN AUTORIZACIÓN DE DOCUMENTOS Y TENENCIA ILEGAL DE OBJETOS O INFORMACIÓN MILITARES
LV DESCUBRIMIENTO, VIOLACIÓN, REVELACIÓN, SUSTRACCIÓN O UTILIZACIÓN DE INFORMACIÓN RESERVADA O SECRETA RELACIONADA CON LA ENERGÍA NUCLEAR
LVI VIOLACIÓN DE LA CORRESPONDENCIA O DOCUMENTACIÓN RESERVADA O SECRETA
LVII OTROS DELITOS COMETIDOS A TRAVÉS DE LAS NUEVAS TENOLOGÍAS O QUE TIENEN COMO OBJETO MATERIAL LAS MISMAS
A INDUCCIÓN AL SUICIDIO
B AMENAZAS REALIZADAS POR CUALQUIER MEDIO DE COMUNICACIÓN O DE REPRODUCCIÓN
C TRATO DEGRADANTE
D DESCUBIMIENTO, REVELACIÓN O CESIÓN DE DATOS RESERVADOS DE PERSONAS JURÍDICAS
E CALUMNIAS O INJURIAS CON PUBLICIDAD Y LEYES ESPCIALES
F HURTO AGRAVADO
G ROBO CON FUERZA EN LAS COSAS
H APROPIACIÓN INDEBIDA
I DEFRAUDACIÓN DE ENERGÍA ELÉCTRICA Y ANÁLOGAS
J COMPORTAMIENTO TÍPICO AGRAVADO CONTRA LA PROPIEDAD INTELECTUAL
K USURPACIÓN DE PATENTES O MODELOS DE UTILIDAD O MODELOS O DIBUJOS INDUSTRIALES O ARTÍSTICOS O TOPOGRAFÍAS
L USURPACIÓN DE DERECHOS DE PROPIEDAD INDUSTRIAL O DE UN TÍTULO DE OBTENCIÓN VEGETAL REGISTRADOS Y VENTA AMBULANTE
M PUBLICIDAD ENGAÑOSA
N DEFRAUDACIÓN AL CONSUMIDOR
Ñ INFRACCIÓN DE LAS TECNOLOGÍAS DE ACCESO CONDICIONAL A SERVICIOS RADIOFÓNICOS, TELEVISIVOS E INFORMÁTICOS
O FALSIFICACIÓN O ALTERACIÓN DE MEDICAMENTOS O PRODUCTOS SANITARIOS AGRAVADAS
P FALSIFICACIÓN DE TARJETAS DE CRÉDITO Y DÉBITO Y CHEQUES DE VIAJE
Q USURPACIÓN DEL ESTADO CIVIL DE OTRO
R ASOCIACIONES ILÍCITAS
S ENTRADA O REGISTRO DOMICILIARIO ILEGAL Y VEJACIÓN O DAÑO ILÍCITOS CON MOTIVO DE UN REGISTRO LÍCITO
T PERTURBACIÓN GRAVE DE LOS SERVICIOS PÚBLICOS CON DAÑOS EN LOS MEDIOS QUE LOS PROPORCIONAN
U ORGANIZACIÓN CRIMINAL
V GRUPO CRIMINAL
LVIII EXTENSIÓN DE LA PROTECCIÓN PENAL INFORMÁTICA
LIX PROVOCACIÓN PARA DELINQUIR POR MEDIOS INFORMÁTICOS
LX RESPONSABILIDAD CRIMINAL EN LOS DELITOS QUE SE COMETAN UTILIZANDO MEDIOS O SOPORTES DE DIFUSIÓN MECÁNICOS
BIBLIOGRAFÍA A CONSULTAR
CIBERDELITOS
I ASPECTOS GENERALES
A CIBERSEGURIDAD
La ciberseguridad, que surge para neutralizar las amenazas derivadas de la utilización del ciberespacio y se refiere generalmente a la capacidad de controlar el acceso a las redes, sistemas de información y todo tipo de recursos de información, consiste en la aplicación de un proceso de análisis y gestión de los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información o datos y los sistemas y procesos usados basándose en los estándares internacionalmente aceptados, y debe formularse proactivamente como un proceso continuo de análisis y gestión de los riesgos asociados al ciberespacio.
Donde los controles de ciberseguridad son eficaces, el ciberespacio es considerado confiable, flexible y seguro; y donde los controles de ciberseguridad están ausentes, incompletos, o mal diseñados, el ciberespacio es considerado como tierra de nadie. El extraordinario desarrollo experimentado por las Tecnologías de la Información y la Comunicación ha convertido al ciberespacio en un recurso vital para el funcionamiento de la sociedad actual, ya que, por una parte, favorece y simplifica la relación entre ciudadanos, administraciones públicas y empresas y, por otra, es una pieza básica para la prestación de servicios esenciales para la comunidad. Y el principio de territorialidad que se basaba en el de soberanía, ha quedado igualmente desfasado con esta nueva realidad, que aconseja derivar la ``potestas´´ de los Estados hacia el Derecho Internacional, y considerando el Derecho Comunitario.
La ciberseguridad que es un aspecto técnico de la seguridad y un eje fundamental de nuestra sociedad, no ha sido definida todavía en una legislación específica y completa, aunque si existe a nivel nacional una legislación distribuida en distintos ámbitos ministeriales (no se ha desarrollado todavía una política común que refleje su ámbito nacional y estratégico) y unas disposiciones normativas comunitarias destacando la Directiva 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como Directiva NIS (Network and Information Security).
La ciberseguridad, seguridad informática o seguridad de las Tecnologías de la Información y la Comunicación sólo se encarga de la seguridad en el medio informático o telemático, diseñando las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable; y se encuentra enfocada esencialmente en la información que se encuentra en formato digital y los sistemas interconectados que la procesan, transmiten o almacena, por lo que tienen una mayor cercanía a la seguridad informática o seguridad de las tecnologías de la información y la comunicación. Con los avances tecnológicos que se incorporan cada vez más a nuestras vidas cotidianas, la dependencia de la tecnología se incrementa, y como consecuencia se genera la necesidad de su aplicación.
La ciberseguridad se concreta en un conjunto de actuaciones orientadas a asegurar los sistemas que constituyen el ciberespacio, preservando la confidencialidad, disponibilidad e integridad de la información; y es una actividad por la que la información contenida en los sistemas de información, está protegida contra su uso no autorizado. En la Recomendación de la Unión Internacional de Telecomunicaciones-T X.1205 (04/2008) es definida como, “el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno (incluye a usuarios, redes, dispositivos, todo el software, procesos, información almacenada o que circula, aplicaciones, servicios y sistemas que están conectados directa o indirectamente a las redes)”.
Se puede entender por ciberseguridad, “la protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, almacena o transporta mediante los sistemas de información interconectados”. En ella se comprenden actuaciones orientadas a asegurar las redes y sistemas de la información y la comunicación que dan vida al ciberespacio, mediante la detección y enfrentamiento a intrusiones e incidentes, preservando la confidencialidad, disponibilidad e integridad de la información.
En la cibersociedad surgen nuevos términos con el prefijo ``ciber´´ para denominar eventos que se producen en el ciberespacio, como son el ciberentorno, ciberactivismo, ciberdelincuencia, ciberterrorismo, ciberamenaza, ciberguerra, ciberrebelión, ciberejército, ciberarma, etc.
B CIBERESPACIO
El desarrollo de las Tecnologías de Información y la Comunicación ha generado un nuevo espacio de relación, en el que la rapidez y facilidad de los intercambios de información han eliminado las barreras de distancia y tiempo. El ciberespacio es el conjunto de medios y procedimientos basados en las Tecnologías de la Información y la Comunicación, configurados para la prestación de servicios; y está constituido por hardware, software, internet, servicios de información y sistemas de control que garantizan la provisión de aquellos servicios esenciales para la actividad socioeconómica de cualquier nación, y en especial aquellos ligados a sus infraestructuras críticas (el ciberespacio es un ámbito de actuación relativamente nuevo, que se encuentra en una continua evolución dinámica).
El ciberespacio, nombre por el que se designa al dominio global y dinámico compuesto por las infraestructuras de las Tecnologías de la Información y la Comunicación, ha venido a difuminar fronteras, haciendo partícipes a sus usuarios de una globalización sin precedentes que propicia nuevas oportunidades, a la vez que comporta nuevos riesgos y amenazas.
El Diccionario de la Real Academia Española define el ciberespacio, como el «ámbito artificial creado por medios informáticos».
La Comisión Europea define vagamente el ciberespacio como «el espacio virtual por donde circulan los datos electrónicos de los ordenadores del mundo».
Puede definirse el ciberespacio como, “un conjunto de sistemas de información interconectados, dependientes del tiempo, junto con los usuarios que interactúan con estos sistemas; y como un ámbito caracterizado por el uso de la electrónica y el espectro electromagnético para almacenar, modificar e intercambiar datos a través de los sistemas en red y la infraestructura física asociada”.
El ciberespacio es un dominio global o espacio virtual dinámico de relación, en el que los intercambios de la información y comunicación son fáciles y rápidos, teniendo como base una red interdependiente de infraestructuras de las Tecnologías de la Información y la Comunicación; y se puede considerar como la interconexión de los seres humanos a través de los ordenadores y las telecomunicaciones, en un espacio virtual dinámico de relación globalizado.
Es un aspecto positivo del ciberespacio la generación de nuevas capacidades en campos como las comunicaciones, la investigación científica, los procesos industriales o la gestión del conocimiento; y es un aspecto negativo del ciberespacio los ataques contra la seguridad de los sistemas de las Tecnologías de la Información y la Comunicación de gobiernos, administraciones públicas y empresas con alto valor estratégico.
Entre los procedimientos de actuación más significativos por medio de las nuevas tecnologías de la información y la comunicación, que están en continua evolución, se encuentran: El sniffing (permite el control invisible y no consentido del correo electrónico), snooping (permite la interceptación del tráfico en la red y acceso a documentos con fines de espionaje o robo de información o software), spoofing (permite la actuación en nombre de otros usuarios para realizar acciones en su nombre y en su evolución el looping dificulta la identificación y la ubicación del atacante), rastreo o monitorización (permiten la intromisión en la privacidad informática de los usuarios), spaming (permite el bloqueo de todo un sistema informático y en su evolución la conducta del hoax permite captar direcciones de correo y saturar la red o un servidor), cracking o piratería informática (permite la obtención de copias no autorizadas y la distribución ilegal de programas informáticos con vulneración de los derechos de autor), daños o vandalismo informático (permite ocasionar perturbaciones de sistemas y modificar o destruir datos), hacking o intrusismo informático (permite el acceso o interferencia, sin autorización, en un sistema de tratamiento de la información; son especifidades de las conductas de intrusismo la introducción de datos falsos o data diddling, redondeo de cuentas o salami o rounding dow, y recogida de información residual o scavenging), phreaking (permite la manipulación de los sistemas informáticos de las compañías de telefonía con la finalidad de hacer llamadas sin costes), phising (permite la suplantación de identidad para llegar al patrimonio ajeno, y, se conoce como smishing cuando se hace a través de SMS), linking (permite la utilización ilícita de hipervínculos), inlining (permite la utilización ilícita de imágenes), deep linking (permite ingresos por publicidad), framing (permite el acceso o reproducción en pantalla reducida), caching (permite la realización de una copia de una página web), mirroring (permite la creación de sitios idénticos a otros existentes), softlifting (permite la copia en diferentes ordenadores de un mismo usuario, empresa o institución, de un software del que se posee una sola licencia de uso), downloading (permite descargar en un ordenador una obra digitalizada), uploading (permite la puesta a disposición de terceros de los archivos digitales para la posterior descarga por otros usuarios), pygginbaking (permite el acceso a áreas restringidas dentro de los sistemas o dispositivos periféricos como consecuencia de puertas abiertas o dispositivos desconectados), data leakcage (permite la sustracción de información confidencial almacenada en un sistema desde un punto remoto), impersonation (permite la utilización de claves ajenas de acceso, llaves o tarjetas magnéticas), wiretapping (permite interferir las líneas de transmisión de datos, recuperando la información que circula por ella), carding (permite la manipulación de tarjetas de crédito pertenecientes a otras personas con la finalidad de cometer fraudes), etc.
C CIBERAMENAZAS
Mejorar la seguridad en el ciberespacio pasa por fortalecer la legislación, reforzar la capacidad de resistencia y recuperación de los sistemas de gestión y comunicación de las infraestructuras y los servicios críticos, y por fomentar la colaboración público-privada con este fin. Es necesaria la coordinación de los diversos agentes involucrados, así como impulsar la cooperación internacional con el objetivo de desarrollar acuerdos de control de las ciberamenazas; y la ausencia de una legislación armonizada en materia de ciberseguridad, así como el hecho de que Internet fuera diseñado como un canal de comunicación accesible, sencillo y útil, sin considerar debidamente la dimensión de su seguridad, son elementos que incrementan las posibilidades de que las ciberamenazas sean una realidad.
El ciberespacio, al igual que los espacios marítimo, aéreo y ultraterrestre, son espacios comunes globales que conectan el mundo y permiten el libre flujo de personas, bienes, información, servicios e ideas. Son espacios abiertos a todos los Estados, también a los particulares, a nadie se le puede excluir de su disfrute. Se caracterizan por no tener fronteras físicas, la ausencia general de soberanía y jurisdicción por parte de los Estados, la difícil atribución de acciones delictivas y su débil regulación. La regulación y una adecuada gestión de estos espacios comportan una importante dimensión comunitaria, por lo que es clave la cooperación internacional y la asistencia mutua; y a la perspectiva de cualquier disrupción en los espacios comunes globales hay que añadir la capacidad y rapidez de extensión de la incertidumbre que supondría una desconexión funcional e informativa.
Las amenazas en el espacio digital adquieren una dimensión global que va más allá de la tecnología; y el ciberespacio es un escenario con características propias marcadas por su componente tecnológico, fácil accesibilidad, anonimidad, alta conexión y dinamismo. En los últimos tiempos, las acciones negativas en el ámbito de la ciberseguridad han aumentado notablemente en número, alcance y sofisticación. Tales acciones adquieren creciente relevancia para España, un país altamente interconectado y que ocupa una posición de liderazgo en Europa en materia de implantación de redes digitales.
En lo relativo a las ciberamenazas, es creciente la actividad tanto por parte de Estados, que persiguen la expansión de sus intereses geopolíticos a través de acciones de carácter ofensivo y subversivo, como de organizaciones terroristas, grupos de crimen organizado y actores individuales. Estos grupos aprovechan el carácter anónimo que el ciberespacio ofrece para conseguir sus fines a un mínimo coste y asumiendo un riesgo menor dada la dificultad de atribución. El robo de datos e información, los ataques ransomware y de denegación de servicios, el hackeo de dispositivos móviles y sistemas industriales y los ciberataques contra las infraestructuras críticas, son ejemplos de ciberamenazas; que se caracterizan por su bajo coste, la fácil ejecución con independencia de la localización de los agresores, la efectividad e impacto y el reducido riesgo para el atacante (la multiplicidad de potenciales atacantes incrementa los riesgos y amenazas que pueden poner en graves dificultades los servicios prestados por las Administraciones Públicas, las Infraestructuras Críticas o las actividades de las empresas y ciudadanos).
Las vulnerabilidades de los sistemas son el elemento fundamental de las ciberamenazas porque es la esencia de las capacidades ofensiva, defensiva y de inteligencia en el ciberespacio; y son aquellas actividades realizadas en el ciberespacio, que tienen por objeto la utilización de la información que circula por el mismo, para la comisión de distintos delitos. Y generalizan el uso de las nuevas Tecnologías de la Información y la Comunicación como instrumento para desarrollar su actuación delictiva; destacando actualmente el ciberterrorismo (empleo de las Tecnologías de la Información y la Comunicación con el fin terrorista de desactivar unas determinadas infraestructuras tecnológicas) y el ciberespionaje (obtención de información almacenada electrónicamente de carácter estratégico especialmente).
D CIBERDELINCUENCIA
En la actualidad nos encontramos ante un nuevo escenario estratégico, criminológico y político-criminal, en el que se aprecia no sólo un salto cuantitativo sino cualitativo, pues los escenarios de los ataques son muy variados, con diferentes niveles de riesgo y de muy diversa escala de impacto potencial, lo que complica extraordinariamente su prevención y la respuesta estatal (el nuevo terrorismo y la nueva criminalidad transnacional, se muestran con una mayor agresividad y representan un auténtico desafío para los Estados).
La mayoría de las sociedades mundiales se enfrentan actualmente con una segunda revolución industrial, la “revolución informática”. Los avances tecnológicos en la información y comunicación ha supuesto la entrada de nuevos valores y bienes susceptibles de protección jurídica, que determinan la necesidad de cambios legales y de mayor cooperación internacional.
La sociedad de la información, la ausencia de fronteras y la inmaterialidad de la comunicación a través de las Tecnologías de la Comunicación y la Información, conducen en el ámbito del Derecho Penal, a la escasa relevancia de los límites temporales y espaciales que han constituido, tradicionalmente, su límite.
La delincuencia informática y los delitos relacionados con ella, suponen un tipo de criminalidad característica y especial (se diferencian la criminalidad informática, consistente en la realización de determinados delitos que sólo pueden materializarse a través de mecanismos informáticos o sobre los mismos programas y sistemas informáticos; y la criminalidad clásica relacionada con la informática, relativa a las figuras delictivas tradicionalmente contenidas en los textos punitivos en los que la presencia de estas tecnologías no es sustancial a las mismas, sino instrumental). Tal especialidad es aportada por los medios a través de los cuales se materializan estas conductas delictivas, como son los medios informáticos y telemáticos.
Las nuevas Tecnologías de la Información y la Comunicación han obligado a que en el seno del Derecho Penal Sustantivo se haya procedido a una mayor precisión en la tipificación de los delitos informáticos, que avanzan al mismo tiempo que aquellas y de los que pueden ser responsables criminalmente también las personas jurídicas.
Las nuevas Tecnologías de la Información y la Comunicación obligan a que en el seno del Derecho Procesal Penal se tengan especialmente en consideración los aspectos referidos a la aplicación extraterritorial de la ley penal, la cooperación internacional, la extradición, el reconocimiento mutuo de resoluciones penales en la Unión Europea (la Ley 23/2014, de 20 de noviembre, establece en su art. 2.2 que son instrumentos de reconocimiento mutuo los siguientes: La orden europea de detención y entrega, la resolución por la que se impone una pena o medida privativa de libertad, la resolución de libertad vigilada, la resolución sobre medidas de vigilancia de la libertad provisional, la orden europea de protección, la resolución de embargo preventivo de bienes o de aseguramiento de pruebas, la resolución de decomiso, la resolución por la que se imponen sanciones pecuniarias y el exhorto europeo de obtención de pruebas) y las diligencias de investigación y prueba relacionadas con el registro de dispositivos de almacenamiento masivo de información y con los registro remotos sobre equipos informáticos, así como lo relacionado con la delincuencia organizada y el agente encubierto informático).
Cuando el Tribunal Supremo considera que la conducta que persigue producir sus efectos en territorio español debe entenderse igualmente cometida en España, no está defendiendo la aplicación del principio de ubicuidad sino el de territorialidad, sin necesidad de que el delito cometido sea uno de los establecidos en el art. 23.3 LOPJ. El Tribunal Supremo identifica el lugar de comisión del delito, no sólo por el lugar donde se pone en marcha o se ejecuta la acción (teoría de la actividad) o por el lugar de producción del resultado (teoría del resultado), sino también por el lugar en el que el autor piensa atacar el orden jurídico nacional. La utilización de esta interpretación teleológica del principio de territorialidad para la determinación del «lugar de comisión», cuando se trata de delitos cometidos a través de las Tecnologías de la Información y la Comunicación, puede resultar muy positiva para que los Tribunales Españoles reclamen para sí el enjuiciamiento de aquellos ciberdelitos que, cometidos desde el extranjero, hayan provocado o persiguieran la comisión de un delito grave en España contra ciudadanos o intereses españoles.
E CONVENIO DE CIBERDELINCUENCIA
1º.- Consideraciones generales.
El Convenio sobre ciberdelincuencia, también conocido como el Convenio de Budapest sobre ciberdelincuencia o simplemente como Convenio Budapest de 8 de noviembre de 2001, que entró en vigor el pasado día 1 de julio de 2004 (España firmó el Convenio el 23 de noviembre de 2001 y lo ratificó el 1 de octubre de 2010, aunque las reformas necesarias tras su ratificación no se convirtieron en una realidad en nuestro ordenamiento jurídico penal hasta la entrada en vigor de la Ley Orgánica 5/2010, de 22 de junio, que se produjo el 24 de diciembre de 2010), constituye un referente internacional a la hora de hablar de la delincuencia informática; y su principal objetivo, que figura en el Preámbulo, es aplicar una política penal común encaminada a la protección de la sociedad contra el cibercrimen, especialmente mediante la adopción de una legislación adecuada y el fomento de la cooperación internacional. Es el primer Tratado Internacional que busca hacer frente a los delitos informáticos mediante la armonización de leyes nacionales, la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones (los artículos 2 a 13 conforman el Derecho Penal Internacional -delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos; delitos informáticos; delitos relacionados con la pornografía infantil; y delitos relacionados con infracciones de la propiedad intelectual y derechos afines-, y, los artículos 14 a 35 conforman el Derecho Procesal Penal Internacional-). El pasado día 1 de marzo de 2006, el Protocolo Adicional a la Convención sobre el delito cibernético entró en vigor; y los Estados que han ratificado el Protocolo Adicional a la Convención penalizan la difusión de propaganda racista y xenófoba a través de los sistemas informáticos, así como de las amenazas racistas y xenófobas e insultos
Se trata del primer tratado internacional en hacer frente a los delitos informáticos y los delitos en Internet mediante la armonización de leyes nacionales, la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones. Incluye aspectos legales como la jurisdicción y la extradición; también establece medidas de coordinación como la asistencia mutua para establecer un contacto permanente entre todas las autoridades competentes de los Estados firmantes.
El Convenio de Ciberseguridad persigue armonizar el Derecho Penal Material, establecer medidas procesales o cautelares adaptadas al medio digital y poner en funcionamiento un régimen rápido y eficaz de cooperación internacional.
2º.- Ilícitos penales.
Los comportamientos que necesariamente han de ser configurados como ilícitos penales en las correspondientes legislaciones internas, se concretan en los siguientes:
1.- Infracciones contra la confidencialidad, la integridad y la disponibilidad de los datos informáticos: Se deben describir como infracciones penales las siguientes conductas: El acceso ilícito doloso y sin autorización a sistemas informáticos (art. 2); la interceptación dolosa e ilícita, sin autorización, a través de medios técnicos, de datos informáticos, en el destino, origen o en el interior de un sistema informático (art. 3); los atentados contra la integridad de los datos, consistente en dañar, borrar, deteriorar, alterar o suprimir dolosamente y sin autorización los datos informáticos (art. 4); los atentados contra la integridad del sistema, esto es, la obstaculización grave, dolosa y sin autorización, del funcionamiento de un sistema informático, mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos (art. 5); el abuso de equipos e instrumentos técnicos, que comporta la producción, venta, obtención para su utilización, importación, difusión u otras formas de puesta a disposición de dispositivos principalmente concebidos o adaptados para cometer las infracciones antes referidas; la de una palabra de paso (contraseña), de un código de acceso o de datos similares que permitan acceder a un sistema informático; y la posesión de alguno de los elementos antes descritos (art. 6).
2.- Infracciones informáticas: Se deben sancionar penalmente los siguientes comportamientos: Las falsedades informáticas, que contienen la introducción, alteración, borrado o supresión dolosa y sin autorización, de datos informáticos, generando datos no auténticos (art. 7); y la estafa informática, que precisa la producción de un perjuicio patrimonial a otro, de forma dolosa y sin autorización, a través de la introducción, alteración, borrado o supresión de datos informáticos, o de cualquier otra forma de atentado al funcionamiento de un sistema informático, siempre con la intención fraudulenta de obtener un beneficio económico (art. 8).
3.- Infracciones relativas al contenido: Se describen conductas relativas a pornografía infantil (art. 9).
4.- Infracciones vinculadas a los atentados a la propiedad intelectual y a los derechos afines (art. 10).
5.- Disposiciones técnicas: En relación con la sanción de la complicidad, la tentativa (art. 11), la responsabilidad de las personas jurídicas (art. 12) y las sanciones y medidas a imponer (art. 13).
Desde una perspectiva penal sustantiva, se trata del primer instrumento normativo en el ámbito europeo, lo que de por si supone un paso decisivo hacia la armonización de las legislaciones en esta materia. Ahora bien, no debe confundirse armonización con unificación, pero en cualquier caso constituye el presupuesto necesario para la cooperación internacional y para avanzar hacia una mayor integración legal. En este sentido, como toda norma internacional, establece los mínimos comunes que los Estados miembros están obligados a incorporar a sus ordenamientos, pero desde luego no fija los máximos de intervención punitiva. En otro orden de consideraciones, aunque el texto se refiere a comportamientos cometidos en el ciberespacio, algunos de ellos no dejan de ser estructuras típicas tradicionales, que bien por el medio comisivo empleado (nuevas tecnologías) o bien por la mayor gravedad de su uso, se incluyen dentro de esta categoría.
3º.- Disposiciones de naturaleza procesal.
En lo referente al ámbito de aplicación, se faculta a los Estados para que instauren procedimientos o procesos específicos para la investigación de los ilícitos penales antes descritos; o de cualquier otro delito cometido a través de un sistema informático, o para la recogida de pruebas electrónicas (art. 14). Igualmente advierte que los Estados velarán para que se respeten las garantías y derechos individuales proclamados en la normativa interna de cada Estado y especialmente en la normativa internacional (art. 15).
Relevante es la obligación de los Estados de disciplinar la conservación inmediata de datos (art. 16), así como la de conservación y divulgación inmediata de los datos de tráfico (art. 17). De igual modo deben adoptar medidas tendentes a la identificación o mandato de comunicación (art. 18), al registro y decomiso de datos informáticos almacenados (art. 19), a la recogida en tiempo real de datos informáticos (art. 20) y a la interceptación de datos relativos al contenido (art. 21). De gran interés la regulación de la competencia, que insta a los Estados para que se atribuyan jurisdicción respecto a cualquier infracción penal contenida entre los arts. 2 a 11 del presente Convenio, cuando la misma se haya cometido en su territorio, a bordo de una nave que ondee pabellón del Estado; a bordo de una aeronave inmatriculada en ese Estado, o por uno de sus súbditos (art. 22). En este sentido, advertir que el Convenio mantiene el principio de la territorialidad como criterio de atribución de competencia, y no introduce reglas de ampliación o extensión de la jurisdicción. En lo relativo a la cooperación internacional, junto a los principios generales (art. 23), se estipulan las reglas de extradición (art. 24), y un conjunto de medidas de colaboración y asistencia (arts. 25 a 35). Todo ello supone un significativo avance para la persecución e investigación de estos ilícitos. Recordar asimismo el Protocolo Adicional sobre incriminación de actos de naturaleza racista y xenófoba, cometidos a través de sistemas informáticos, aprobado por el Consejo de Europa el 30 de enero de 2003. Con este Protocolo, anclado en la protección de los derechos fundamentales, se corrige una importante laguna del Convenio, persiguiéndose la armonización en este sensible ámbito.
A los efectos del presente Convenio se entiende por “sistema informático” “… todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa”.
II CONCEPTO
El término ciberdelito permite englobar todos los delitos cometidos a través de las nuevas tecnologías, y aunque no es fácil determinar las conductas que se incluyen en los mismos, hemos de tener en cuenta a efectos legales la utilización de sistemas y datos informáticos como el objeto material del delito, el instrumento para su comisión y el simple soporte de la información.
El ciberdelito, cibercrimen o delito informático es un concepto que manejamos socialmente para referirnos a un conjunto de conductas que vulneran los derechos de terceros y se producen en un escenario o medio tecnológico, provocando un rechazo social y sobre las que media el Derecho Penal.
Los ciberdelitos son delitos convencionales que toman nueva vida con el uso de las Tecnologías de la Información y la Comunicación (no representan un tipo de criminalidad específica y tienen lugar en el ciberespacio), que se caracterizan por el uso de redes de transmisión de datos y por su relación con los sistemas informáticos, y, que pueden afectar a bienes jurídicos diversos de naturaleza individual o supraindividual (son delitos pluriofensivos en los hay que tener siempre presente los nuevos intereses derivados de la sociedad global de la información, como son la información en sí misma, los datos informáticos y, la fiabilidad y seguridad colectiva en los medios y sistemas de tratamiento y transferencia de la información.
Con la expresión ciberdelito se define a todo ilícito penal llevado a cabo a través de medios informáticos y que está íntimamente ligado a los bienes jurídicos relacionados con las Tecnologías de la Información y la Comunicación o que tiene como fin estos bienes (se caracteriza por ser un delito permanente al precisar de la repetición y el automatismo del hecho; su extensa y elevada lesividad; sus dificultades de averiguación y comprobación; su alto volumen de cifra negra; su mayor frecuencia, diversidad y peligrosidad; su distanciamiento espacio-temporal; y su transnacionadad).
III RESPONSABILIDAD PENAL DE LOS MENORES Y DE LAS PERSONAS JURÍDICAS EN LOS CIBERDELITOS
A RESPONSABILIDAD PENAL DE LOS MENORES
En la responsabilidad penal de los menores entre los 14 y 18 años en los ciberdelitos se tendrá en consideración la Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores (los menores de 14 años no tienen responsabilidad penal, pero les será de aplicación la LO 1/1996, de 15 de enero, de Protección Jurídica del Menor). Las Tecnologías de la Información y la Comunicación han posibilitado la aparición de conductas entre los menores como: El sexting (envío de contenidos eróticos a través del móvil), el cyberbullying (acoso a menores por parte de otros menores), el grooming (acoso sexual a menores por parte de adultos), el porn revenge (difusión por venganza u otro motivo de imágenes íntimas), el griefing (robo de propiedades virtuales en videojuegos), el hacking (acceso sin autorización a datos o programas informáticos), el sextorsión (chantajear utilizando imágenes o vídeos íntimos de la víctima), el smishing (envío de mensajes con la finalidad de captar datos personales), el happy slapping (grabar y difundir un ataque premeditado), el cyberbaiting (provocar a un profesor y luego grabar y difundir su reacción), etc. Los menores tienen derecho a buscar, recibir y utilizar la información adecuada a su desarrollo; y se prestará especial atención a la alfabetización digital y mediática, de forma adaptada a cada etapa evolutiva, que permita a los menores actuar en línea con seguridad y responsabilidad y, en particular, identificar situaciones de riesgo derivadas de la utilización de las nuevas tecnologías de la información y la comunicación, así como las herramientas y estrategias para afrontar dichos riesgos y protegerse de ellos.
B RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS
Después de la LO 5/2010, de 22 de junio, es una novedad importante a considerar en relación con algunos delitos informáticos, la responsabilidad penal de las personas jurídicas, que deja de ser un tema de lege ferenda para convertirse en una problemática de lege data, que se encuentra prácticamente generalizada en el ámbito del Derecho Penal Europeo (Circular 1/2016, de 22 de enero, sobre la responsabilidad de las personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica 1/2015, de 30 de marzo).
El catálogo de delitos en los que el legislador ha previsto la responsabilidad de las personas jurídicas es taxativo. La incorporación del art. 31 bis CP supone la superación del principio ``societas delinquere non potest´´ y la implantación del principio ``societas delinquere et puniri potest´´, al establecer la responsabilidad penal de las personas jurídicas en los supuestos donde expresamente esta prevista por el legislador.
El art. 33.7 CP introduce un específico catalogo de penas aplicables a las personas jurídicas, que tienen todas la consideración de graves, lo cual puede ser de interés en la aplicación de la institución de la prescripción que regulan los arts. 133 y 134 CP (la multa es la pena por excelencia elegida por el legislador para las personas jurídicas; y, dada la imposibilidad de utilizar penas privativas de libertad para las personas jurídicas, no cabe recurrir en caso de impago a la responsabilidad penal subsidiaria en los términos que establece el art. 53 CP); el art. 52.4 CP prevé una pena de multa proporcional para las personas jurídicas; el art. 66 bis CP establece una serie de reglas penológicas para la imposición de penas a las personas jurídicas; y el legislador ha impedido toda posible extinción de la responsabilidad de las personas jurídicas, al disponer en el art. 130.2º CP que la transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal, que se trasladará a la entidad o entidades en que se transforme, quede fusionada o absorbida y se extenderá a la entidad o entidades que resulten de la escisión.
El art. 31 bis.1 CP establece los delitos de los que las personas jurídicas serán responsables cuando son cometidos por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma; o por quienes, estando sometidos a la autoridad de las personas físicas mencionadas anteriormente, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso. El art. 31 bis.2 y 3 CP establece que si el delito fuere cometido por las personas indicadas en el art. 31 bis.1 a) CP, la persona jurídica quedará exenta de responsabilidad si se cumplen las condiciones establecidas legalmente. El art. 31 bis.4 CP establece una exención de responsabilidad pena si el delito fuere cometido por las personas indicadas en el art. 31 bis.1 b) CP. El art. 31 bis.5 CP establece que los modelos de organización y gestión referidos en el art. 31 bis.2.1ª y 4 CP deberán cumplir los requisitos establecidos legalmente.
El art. 31 ter CP establece la responsabilidad penal de las personas jurídicas con independencia de la individualización de la persona física responsable; el art. 31 quater CP establece las circunstancias atenuantes de la responsabilidad penal de las personas jurídicas; y el art. 31 quinquies CP establece la aplicación de las disposiciones sobre la responsabilidad penal de las personas jurídicas (introducidos por la LO 1/2015, de 30 de marzo).
Son responsables las personas jurídicas de los delitos informáticos previstos y penados en los arts. 183 ter y 189 CP, con base en el art. 189 bis CP; arts. 197.1 y 2 y 197 bis CP, con base en el art. 197 ter CP; art. 248 CP, con base en el art. 251 bis; art. 264, 264 bis y 264 ter CP, con base en el art. 264 quater CP; art. 270 CP, con base en el art. 288 CP; y arts. 278 y 279 CP, con base en el art. 288 CP.
IV CLASIFICACION E INVESTIGACIÓN Y PRUEBA
A CLASIFICACIÓN
Con el término ciberdelito, que es acuñado internacionalmente con el Convenio de Ciberdelincuencia, hacemos referencia a los delitos propios de la sociedad de la información que tienen su fundamento en las nuevas tecnologías de la información y la comunicación (en sentido estricto se incluyen todos los delitos en los que las nuevas tecnologías son usadas como medio y como objetivo del delitos, y, en sentido amplio se incluyen todos los delitos donde las nuevas tecnologías son esenciales para su ejecución).
1º.- Código Penal y Código Penal Militar.
1. Código Penal.
En nuestro Código Penal, no se halla un Título específico que contenga los delitos que coloquialmente conocemos como tecnológicos o informáticos, sino que se encuentran diseminados en diferentes Títulos y artículos en los que las acciones típicas pueden estar relacionadas con la ciberdelincuencia.
Cabe clasificar como delitos informáticos, todos aquellos delitos cometidos a través del medio telemático y cuya vía probatoria se sustenta en la prueba informática.
Si analizamos el Código Penal, encontraremos multitud de tipos penales cuya comisión, en determinadas circunstancias, exige la metodología de la investigación informática.
Actualmente, los tipos penales informáticos de nuestro Código Penal son:
1.- Contacto a través de las Tecnologías de la Información y la Comunicación con menor de 16 años para proponerle con actos materiales de acercamiento concertar un encuentro con el fin de cometer abusos o agresiones sexuales con fines pornográficos (art. 183 ter CP introducido por la LO 1/2015, de 30 de marzo).
El consentimiento libre del menor de dieciséis años excluirá la responsabilidad penal por este delito de contacto a través de las Tecnologías de la Información y la Comunicación con menor de 13 años para la comisión de los delitos de agresiones o abusos sexuales y la utilización con fines pornográficos.
2.- Utilización de menores o personas con discapacidad necesitadas de especial protección con fines pornográficos (art. 189 CP redactado por la LO 1/2015, de 30 de marzo).
Con base en la Circular 3/2017 de la Fiscalía General del Estado, sobre la reforma del Código Penal operada por la Ley Orgánica 1/2015, de 30 de marzo, cuando las imágenes obtenidas y posteriormente difundidas se refieran a un menor o a una persona con discapacidad y merezcan la consideración de material pornográfico, tal y como se define en el art. 189 del CP, se plantea una situación de concurso entre la figura prevista en el 197.7 CP y los preceptos correspondientes a los delitos de pornografía infantil. En estos supuestos se produciría un concurso ideal entre el delito que se examina, art. 197.7, párrafo 2º y el art. 189.1º b) ambos del CP, a penar de conformidad con el art. 77.2 del mismo texto legal dado que la acción ilícita, no solamente lesiona la intimidad del afectado cuya imagen se difunde sin su autorización, sino que pone también en peligro la indemnidad sexual de los menores, genéricamente considerados, como bien jurídico protegido en los delitos de pornografía infantil.
3.- Descubrimiento de secretos o vulneración de la intimidad por particular; acceso o facilitación a otro para acceder a un sistema de información sin estar debidamente autorizado; facilitar a terceros la comisión de delitos; delitos cometidos en el seno de una organización o grupo criminal; responsabilidad penal de las personas jurídicas en los delitos de descubrimiento y revelación de secretos comprendidos en los arts. 197, 197 bis y 197 ter CP; revelación y divulgación de secretos ajenos; y descubrimiento, revelación o cesión de datos (arts. 197 CP redactado por la LO 1/2015, de 30 de marzo; 197 bis CP introducido por la LO 1/2015, de 30 de marzo; 197 ter CP introducido por la LO 1/2015, de 30 de marzo; 197 quater CP introducido por la LO 1/2015, de 30 de marzo; 197 quinquies CP introducido por la LO 1/2015, de 30 de marzo; 199 CP; y 200 CP).
4.- Calumnias e injurias hechas con publicidad informática (art. 211 CP).
5.- Estafas informáticas (arts. 248 y 249 CP redactados por la LO 1/2015, e 30 de marzo).
6.- Uso de cualquier equipo terminal de telecomunicación sin consentimiento de su titular (art. 256 CP redactado por la LO 1/2015, de 30 de marzo).
7.- Daños informáticos; obstaculización o interrupción graves del funcionamiento de un sistema informático ajeno sin autorización; facilitación de daños informáticos y obstaculización o interrupción graves de un sistema informático ajeno sin autorización; y responsabilidad penal de las personas jurídicas en los delitos de daños (arts. 264 y 264 bis CP introducido por la LO 1/2015, de 30 de marzo; 264 ter CP introducido por la LO 1/2015, de 30 de marzo; y 264 quater CP introducido por la LO 1/2015, de 30 de marzo).
8.- Delitos informáticos contra la propiedad intelectual (art. 270 CP redactado por la LO 1/2015, de 30 de marzo).
9.- Delitos informáticos contra la propiedad industrial (arts. 273 y 274 CP redactado por la LO 1/2015, de 30 de marzo).
10.- Falsedades informáticas -espionaje empresarial y deslealtad profesional- (arts. 278 y 279 CP).
11.- Falsedades documentales informáticas (arts. 390.1, 2 y 3; 392; 395; y 400 CP).
12.- Delitos terroristas informáticos (art. 573.2 CP delitos tipificados en los arts. 197 bis y 197 ter y 264 a 264 quater CP cuando los hechos se cometan con alguna de las finalidades a las que se refiere el art. 573.1 CP).
13.- Otros delitos cometidos a través de los sistemas informáticos cuando su utilización fuera determinante.
2. Código Penal Militar.
La promulgación de la LO 14/2015, de 14 de octubre, del Código Penal Militar, ha sido necesaria por el tiempo transcurrido desde la entrada en vigor del CPM de 1985 y por el mandato establecido en la Disposición Final 8ª de la LO 9/2011, de 27 de julio, de derechos y libertades de los miembros de las Fuerzas Armadas, además de por su naturaleza de ley penal especial que debe acoger en su articulado únicamente los preceptos que no tienen cabida en el texto común o, aún teniéndola, requieren alguna previsión singular que justifique su incorporación a la ley militar dentro del ámbito estrictamente castrense que preside su reconocimiento constitucional; los bienes jurídicos protegidos por el CPM han de ser estrictamente castrenses en función de los fines que constitucionalmente corresponden a las FFAA, de los medios puestos a su disposición para cumplir sus misiones y del carácter militar de las obligaciones y deberes cuyo incumplimiento se tipifica como delito militar. Regula el ámbito de aplicación del CPM de 2015, con separación de las infracciones administrativas disciplinarias; mantiene las definiciones castrenses de militar y autoridad militar, actualizadas de acuerdo con las exigencias derivadas de la legislación interna e internacional ratificada por España y las precisiones aportadas por la jurisprudencia y la doctrina; la noción de delito militar abarca los definidos en la parte especial del Código Castrense como delitos militares y las conductas que lesionen bienes jurídicos estricta o esencialmente militares incriminados en la legislación penal común cualificados por la condición militar del autor y por su especial afección a los intereses castrenses; es notable la simplificación del sistema penológico y su adecuación al CP; y en relación con los delitos contra la seguridad y defensa nacionales, tipifica de forma independiente determinadas conductas constitutivas del delito de traición militar al no encontrarse previstas en el delito de traición del CP, y en relación con el delito de revelación de secretos e informaciones relativas a la seguridad y defensa nacionales se remite al CP con base en su art. 26. El CPM de 2015 será de aplicación a las infracciones que constituyan delitos militares para la protección de bienes jurídicos estrictamente castrenses, y, es de aplicación en todo caso el Título Preliminar del CP y serán aplicables el resto de sus disposiciones a los delitos militares como supletorias en lo no previsto expresamente por el CPM. Cuando a una acción u omisión constitutiva de un delito militar le corresponda en el CP una pena más grave, se aplicará dicho Código por la Jurisdicción Militar.
Al amparo del art. 25 CPM de 2015 (art. 52 CPM de 1985), el delito de espionaje militar es cometido por el extranjero que, en situación de conflicto armado, se procurare, difundiera, falseare o inutilizare información clasificada como reservada o secreta o de interés militar susceptible de perjudicar a la seguridad o a la defensa nacionales, o de los medios técnicos o sistemas empleados por las FFAA o la Guardia Civil o las industrias de interés militar, o la revelase a potencia extranjera, asociación u organismo internacional. El militar español que cometiere este delito será considerado autor de un delito de traición militar. El espionaje militar requiere la condición de extranjero del sujeto activo y, además, ha de tener lugar en situación de conflicto armado; y el espionaje común, puede ser cometido por español no militar y extranjero en tiempo de paz. La distinción entre espionaje militar y el espionaje común viene determinada no por la conducta, sino por el tiempo en que se produce, y por la condición del sujeto activo.
Son también delitos militares susceptibles de comisión por medio de la Tecnologías de la Información y la Comunicación: Especialmente los ultrajes a España e injurias a la organización militar con publicidad informática tipificados en los arts. 36 y 37 CPM; las coacciones, amenazas, calumnias o injurias graves a un superior con publicidad informática tipificado en el art. 43 CPM; y la deslealtad tipificada en el art. 55 CPM.
2º.- Circular de la Fiscalía General del Estado 3/2017.
Los delitos de descubrimiento y revelación de secretos y los delitos de daños informáticos, son consideraos en la Circular de la Fiscalía General del Estado 3/2017, de 21 de septiembre, sobre la reforma del Código Penal operada por la LO 1/2015, de 30 de marzo (el Ministerio Fiscal impulsa una actuación eficaz, dinámica y decidida ante el crecimiento exponencial de la ciberdelincuencia mediante la unificación de criterios y una adecuada coordinación en las investigaciones).
En los delitos de descubrimiento y revelación de secretos se establece una nueva circunstancia agravatoria del art. 197.4 b) CP (hechos sancionados en los párrafos 1º y 2º del art. 197 CP se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima -por datos personales habrían de entenderse no solo los datos de identidad oficial, en sentido estricto, sino cualesquiera otros, propios de una persona o utilizados por ella, que le identifiquen o hagan posible su identificación frente a terceros tanto en un entorno físico como virtual-); el art. 197.7 CP sanciona penalmente la divulgación a terceros de imágenes o grabaciones audiovisuales de una persona que, aun obtenidas con su consentimiento, se difunden, revelan o ceden sin su anuencia, lesionando gravemente su intimidad personal -habrá que entender por las mismas los contenidos perceptibles únicamente por la vista, como los que se perciben conjuntamente por el oído y la vista y también aquellos otros que, aun no mediando imágenes, pueden captarse por el sentido auditivo-); la reubicación sistemática del delito de acceso ilegal a sistemas informáticos del art. 197 bis 1 CP deja constancia de que el bien jurídico protegido en el mismo, no es directamente la intimidad personal, sino más bien la seguridad de los sistemas de información en cuanto medida de protección del ámbito de privacidad reservado a la posibilidad de conocimiento público (en la práctica será frecuente la concurrencia de este tipo, acceso ilegal a sistemas, con cualquiera de las conductas previstas en el art. 197. 1 y 2 CP, siendo en estos casos de apreciar un concurso medial del art. 77 CP, al igual que en los supuestos en que el acceso ilegal tuviera por objeto el descubrimiento de secretos de empresa del art. 278 CP o el descubrimiento de secretos oficiales de los arts. 598 y siguientes CP; o una progresión delictiva que llevaría a considerar el concurso de normas sancionable por la vía del art. 8.3 CP, en los que no sea posible el acceso a la información íntima o a los datos personales por medio distinto que la vulneración de medidas de seguridad del sistema); el delito de interceptación ilegal de datos informáticos del art. 197 bis 2 CP requiere que quien efectúa la interceptación no esté autorizado para ello y que la misma se realice utilizando como medio artificios o instrumentos técnicos, debiendo entenderse por tales cualesquiera herramientas o mecanismos que hagan posible este objetivo aunque no estén específicamente destinados a ello (cuando concurren la interceptación ilegal del art. 197 bis 2 CP y los delitos del art. 197.1 CP, el criterio a aplicar será el del concurso de normas a resolver conforme al principio de absorción del art. 8.3 CP, siendo de aplicación el art. 197.1 CP; y en el supuesto de que la interceptación ilegal del art 197 bis 2 CP concurra con alguna de las conductas ilícitas contempladas en el art. 197.2 CP habrá de apreciarse un concurso medial del art 77 CP); en el delito de abuso de dispositivos del art. 197 ter CP los instrumentos y herramientas pueden ser: programas informáticos y/o contraseñas, códigos de acceso o datos similares que hagan posible el acceso a un sistema (la falta de autorización para la elaboración, importación, adquisición o facilitación a terceros de esos instrumentos o herramientas y la exigencia de que dichas acciones estén orientadas a facilitar la comisión de alguno de los delitos a que se refieren los arts. 197. 1 y 2 y 197 bis CP); el art. 197 quater establece la agravación derivada de la comisión del hecho en el seno de una organización o grupo criminal; y con base en el art. 201 CP para proceder por estos delitos será necesaria denuncia de la persona agraviada o de su representante legal, sin perjuicio de las facultades asignadas al Ministerio Fiscal cuando se trate de personas menores de edad o en situación de discapacidad.
En el delito de daños en datos, programas informáticos o documentos electrónicos del art. 264 CP, para la aplicación de la agravación del art. 264.2.2ª CP, la conjunción no es necesario que concurran conjuntamente ambas circunstancias; la circunstancia del art. 264.2.3ª CP será aplicable cuando el ataque informático a datos, programas o documentos electrónicos afecte gravemente a la prestación ordinaria de servicios esenciales o a la provisión de bienes de primera necesidad; y la agravación del art. 264.2.4ª CP operará con la simple afección al sistema informático de una infraestructura crítica.
En el delito de obstaculización o interrupción del funcionamiento de sistemas informáticos ajenos del art. 264 bis CP la obstaculización o interrupción del funcionamiento ha de ser grave (aquella que afecte realmente y de forma significativa a la funcionalidad del sistema atacado) y los sistemas informáticos ajenos (han de integrarse e interpretarse conjuntamente con el requisito de la falta de autorización o, dicho de otra forma, con la falta de disponibilidad de los contenidos o del sistema sobre el que se actúa).
