¿Cómo graduar la gravedad de los delitos informáticos?

Partimos de la base de que se trata de un doble requisito: que la conducta delictiva sea grave, pero también el resultado. La jurisprudencia por el momento NO ofrece soluciones interpretativas sobre la “gravedad” del daño. (Sentencias AP Asturias, 8ª, 4-2-13 o AP Madrid, 6ª, 3-6-13). Es por ello que para poder graduar la gravedad de conductas y resultados delictivos de sabotaje se deberá abordar algunos factores como los siguientes :

  fingerprint-150159__180

  1. Según el tipo de OBJETIVO atacado o FINALIDAD pretendida, etc. Interrogantes: ¿Revelación de secretos profesionales o hurto? ¿mala fe o buena fe?

 digital-388075__180

  1. Según el TIPO o NATURALEZA de datos, documentos electrónicos, o programas.

Así por ejemplo, la Sentencia de la Audiencia Provincial de Valencia, Secc. 4ª, 10-6-2011(software teléfonos móviles de TELEFÓNICA afectados) hace alguna consideración sobre la naturaleza intangible o inmaterial de un programa informático y su inutilización parcial en el supuesto enjuiciado que haría necesario someterlo a una reparación o revisión que no coincidiría con la idea tradicional de reparación material.

  1.  Según el PERJUICIO PATRIMONIAL directo e indirecto. Este aspecto no debería de estar incluído aquí sino en la órbitra de la responsabilidad civil. No se puede confundir “daño directo” –que es parte del tipo penal- con el perjuicio patrimonial.dollar-163473__180

Así por ejemplo, nos referiremos al perjuicio patrimonial indirecto, al coste de recuperación de los datos, programas informáticos o documentos electrónicos, que con la regulación actual no podrían ser tenidos en cuenta a la hora de determinar el contenido patrimonial del daño.

Los gastos de limpieza de mensajes, nuevo software de protección, lucro cesante, etc., serán conceptos integrados en el perjuicio objeto de la reclamación de responsabilidad civilpero no integran el concepto de daño.

Dicho ésto, y en la misma sentencia de Valencia, -supuesto de daños a terminales telefónicos, en la que se concedía a la perjudicada, Telefónica., una indemnización que se cifraba en 150.784 € – fue obligada a arbitrar un sistema de información para sus clientes y a dedicar personal especializado para depurar los diferentes terminales afectados.

Por otro lado, en la Sentencia Juzgado Penal nº 2, Lérida, 7.2.2006, se establece el pago por vía de responsabilidad civil a distintos proveedores de servicios de Internet y se decía que los mismos “no incluían los perjuicios de imagen”.

  1. Según si es REPARABLE O NO. Dado que en la interpretación clásica el objeto dañado queda inutilizado o destruido permanentemente.

Ej: Un borrado que hace que en el display del pc no aparezca la información, pero siga existiendo en el disco duro, podría ser reparable en las copias de seguridad.

 animal-1300257__180

  1. Según el grado de INTERRUPCIÓN del sistema. Ej: Una empresa que se dedica únicamente a e-commerce puede tener grandísimas pérdidas económicas a medida que pase el tiempo.

  1. Según si aparece o no alguna situación de DESCONFIANZA hacia el ofendido.

Nos referimos a los efectos negativos en la actividad profesional o empresarial del perjudicado y los efectos sociales y la situación de desconfianza generada hacia el ofendido.

 ¿Qué ocurre si graduamos la GRAVEDAD individualmente, bien por conducta, o bien por resultado?

Si interpretamos las conductas de “eliminar, suprimir, alterar, hacer innacesibles…etc..” (264.1 CP) podemos tener diferentes tipos de conductas: unas más graves y otras menos, ya que algunas podrán recuperar –o al menos intentar- la información y otras no.

En función de la GRAVEDAD DE LA CONDUCTA

 Parece que el foco de la atención a la hora de legislar, no se ha centrado tanto en la clasificación de la conducta delictiva del sabotaje informático, más allá de la mera enumeración del artículo, sino en la gravedad del resultado. Todo ello, sin darse cuenta que debería ceder éste al terreno “estricto” de la responsabilidad civil.

 Dicho esto y con el ánimo de pretender hacer una tipología de conducta según el modo operandi, divido las conductas en función de lo que describe el art. 264.1 CP , es decir, cuando:

 head-663997__180

  1. Los datos, e-documentos o programas han sido SUPRIMIDOS o BORRADOS pero pueden recuperarse.

Los datos no han desaparecido del hardware, sino que su representación visual no aparece. Los datos anteriores quedan alterados de tal manera que pueden resultar inaccesibles, si bien siguen manteniendo su existencia. Se trata de una técnica para dificultar el acceso pero con posibilidad de reparación o recuperación.

¿Deberíamos tener en cuenta que la “inaccesión” ha afectado al patrimonio? ¿o sólo ha efectos de R.C.? En mi opinión, no cabría incluir –aquí- los costes de recuperación del sistema ni los efectos sobre la capacidad competitiva de la empresa, que deberían ser reclamados civilmente, ni tampoco, incluiría el daño moral ni los costes generados para reparar las deficiencias de seguridad que han permitido el ataque al sistema.

2. Los datos, e-documentos o programas han sido SUPRIMIDOS O BORRADOS: Recuperación difícil o imposible.

Se ha dado una orden al sistema informático para reescribir el sector donde se encontraban los datos para dejarlo sin contenido –borrado masivo-. Los datos han dejado de existir. Por tanto, a diferencia del caso anterior, no estamos ante una mera técnica para hacer inaccesibles los datos, sino que estamos realmente ante la desaparición real (inexistencia) de dichos datos”.

También cabe preguntarse si el hacer inaccesible no ha afectado al patrimonio cuando la inaccesibilidad cesase daría lugar o no a la existencia de delito.20

  1. Los datos, e-documentos o programas han sido ALTERADOS.

En este caso entendemos que éstos han sido modificados o cambiados en todo o en parte esos elementos produciendo un daño.

¿Si se introducen nuevas configuraciones o programas sin eliminar o alterar lo existentes se podría plantear de nuevo si nos encontramos o no ante una acción típica? A mí entender, sí.

  1. Los datos, e-documentos o programas han sido DETERIORADOS.

El legislador pretende abarcar tanto los ataques físicos (arrojar un vaso de agua o arrancar una parte del equpo) como los informáticos.

 En función de la GRAVEDAD DEL RESULTADO

 La gravedad de los daños informáticos -desvalor del resultado- se deberá evaluar a través del valor de pérdida de funcionalidad del objeto del delito. El daño por lo general debe ser evaluable económicamente, pero no es un concepto preciso el de “gravedad”, además la jurisprudencia tampoco nos lo pone muy fácil, ya que apenas se ha pronunciado al respecto. En los casos interrupción u obstaculización de los sistemas informáticos que puede producir un ataque de denegación de servicios o DDoS(Distributed Denial of Service) no podría hablarse de afectación o daño de los datos o sistemas informáticos si la alteración no es definitiva. Sin embargo, este caso de DDos puede conllevar consecuencias de MUCHA GRAVEDAD.

Piénsese en la paralización durante cierto tiempo de la web de una empresa de servicios o ventas online-, por lo que cabe pensar que el legislador ha querido proteger con la redacción del precepto el “VALOR FUNCIONAL” de los datos o programas.

Además, las consecuencias de cada medio utilizado serán diferentes.

Virus.

Gusanos. Las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.
Bomba lógica o cronológica .Al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño.

 ghost-35852__180

 PROBLEMAS :

  1.  El mayor problema que hay sin duda es diferenciar el perjuicio respecto del daño. ¿Cómo calcular el daño y su gravedad, por ejemplo de un borrado masivo? ¿Dependerá del tipo de datos borrado? ¿Del carácter permanente o no del borrado? Lo que debemos atender es a la pérdida de la funcionalidad de los datos. ¿qué es una conducta grave en materia informática? Si la información destruida se puede rehabilitar o recuperar ¿cómo se calcula? ¿Cuánto vale 1 bit perdido y/o recuperado?Deberemos esperar a la creación de jurisprudencia al respecto.
  2.  No siempre se cumplirán los 2 requisitos para encuadrarlo el tipo penal del sabotaje informático. Ej: defacemen que en muchas ocasiones no cumplirán con el doble requisito de gravedad de conducta y resultado. Es una conducta de alteración de páginas web ajenas en la que el atacante modifica ilícitamente la web, en ocasiones insertando un mensaje reivindicativo, para darse notoriedad y afectar a la reputación de la empresa atacada.

 SOLUCIÓN

  1.  Mayor enfoque a la clasificación de la gravedad de la conducta. La actual política criminal es mejorable.
  2. Que se contemple la posibilidad de que haya conductas graves sin resultados graves.

  3.  Que el legislador o la jurisprudencia pueda diferenciar el tipo de perjuicio patrimonial directo e indirecto, grado de interrupción del sistema, etc…basándose en unos buenos informes periciales. Será esencial.

  __________________________________________

Bibliografia

  • VAN DEN EYNDE ADROER, Enatic. Abogacía Española Consejo General. Andreu “Análisis Jurídico del Sabotaje Informático”

En: http://www.abogacia.es/2015/03/09/analisis-juridico-del-sabotaje-informatico/

  • FIERRO GÓMEZ, Avelino. Fiscal Delegado. Fiscalía Provincial de León. “La evolución del delitos de daños informáticos en el código penal”.

  • Audiencia Provincial de Sevilla . Secc. 7ª . Stc. N.º516/2011 Rollo N.º 6474/2010

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s