¿Qué son los delitos informáticos y qué conductas engloban? Aproximación a la normativa internacional y Europea
“El Convenio de Budapest ha servido de base para establecer una definición y clasificación del concepto y clasificación de los delitos informáticos”
(Foto: E&J)
¿Qué son los delitos informáticos y qué conductas engloban? Aproximación a la normativa internacional y Europea
“El Convenio de Budapest ha servido de base para establecer una definición y clasificación del concepto y clasificación de los delitos informáticos”
(Foto: E&J)
La importancia de la materia es tal que ya en una de las normas básicas de la Unión Europea, como es el propio Tratado de funcionamiento de la Unión Europea, tras la modificación realizada a raíz del Tratado de Lisboa, regula la asunción de competencias de la Unión respecto a las normas mínimas relativas a la definición de las infracciones penales y de las sanciones, en particular, también de los delitos informáticos para el legislador comunitario[1].
“Artículo 83
1. El Parlamento Europeo y el Consejo podrán establecer, mediante directivas adoptadas con arreglo al procedimiento legislativo ordinario, normas mínimas relativas a la definición de las infracciones penales y de las sanciones en ámbitos delictivos que sean de especial gravedad y tengan una dimensión transfronteriza derivada del carácter o de las repercusiones de dichas infracciones o de una necesidad particular de combatirlas según criterios comunes.
Estos ámbitos delictivos son los siguientes: el terrorismo, la trata de seres humanos y la explotación sexual de mujeres y niños, el tráfico ilícito de drogas, el tráfico ilícito de armas, el blanqueo de capitales, la corrupción, la falsificación de medios de pago, la delincuencia informática y la delincuencia organizada”.
El problema es que no establece una definición sobre el mismo. Simplemente se limita a enumerar las competencias en el ámbito delictivo sin realizar una definición expresa, entre las que se encuentra la que aquí nos ocupa.
Del trasfondo de la extensa regulación comunitaria relacionada con los delitos informáticos se infiere una preocupación del legislador por definir en qué consiste este fenómeno y también de qué modo se puede clasificar.
Un claro ejemplo de ello es la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013[2] que pretende armonizar las legislaciones nacionales respecto a la lucha contra la piratería, la propagación de virus y los ataques de denegación de servicios imponiendo las bases de los delitos de daños informáticos o el de acceso ilícito a sistemas informáticos.
Ya en su artículo 1 se afirma que el objeto de la citada norma es establecer normas mínimas relativas a la definición de las infracciones penales, además de las sanciones aplicables en el ámbito de los ataques contra los sistemas de información y otros, como la prevención y la cooperación entre autoridades competentes.
En el artículo 2 no establece una definición de qué es un delito informático, pero sí establece una serie de definiciones propias de los elementos que lo integran (al menos, de los delitos allí regulados) que ayudan a acotar aún más el concepto:
“Artículo 2. Definiciones.
A efectos de la presente Directiva, se aplicarán las definiciones siguientes:
- «sistema de información»: todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento;
- «datos informáticos»: toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función;
- «persona jurídica»: toda entidad a la cual el derecho vigente reconoce este estatuto, salvo los Estados y otros organismos públicos que ejercen prerrogativas públicas y las organizaciones internacionales de carácter público;
- «sin autorización»: un comportamiento al que se refiere la presente Directiva, incluido el acceso, la interferencia o la interceptación, que no haya sido autorizado por el propietario u otro titular del derecho sobre el sistema o parte del mismo o no permitido por el Derecho nacional”.
Asimismo, dicha norma establece una conceptualización de distintos actos que nos facilitan una mayor aproximación al concepto de delito informático o, más bien, a una parte de las acciones que se encuadran bajo dicho concepto, como son:
- El acceso ilegal a los sistemas informáticos (art. 3: “Acceso sin autorización al conjunto o a una parte de un sistema de información (…) cuando se haya cometido con violación de una medida de seguridad”),
- La interferencia ilegal a los sistemas de información (Art. 4: “La obstaculización o la interrupción significativas del funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, intencionalmente y sin autorización”),
- La interferencia ilegal en los datos (Art. 5: “borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información, intencionalmente y sin autorización”),
- Interceptación ilegal (Art. 6: “La interceptación, por medios técnicos, de transmisiones no públicas de datos informáticos hacia, desde o dentro de un sistema de información, incluidas las emisiones electromagnéticas de un sistema de información que contenga dichos datos informáticos, intencionalmente y sin autorización”),
- Los instrumentos para la comisión de los delitos anteriores (Art. 7: “La producción intencional, venta, adquisición para el uso, importación, distribución u otra forma de puesta a disposición de los siguientes instrumentos, sin autorización y con la intención de que sean utilizados con el fin de cometer cualquiera de las infracciones mencionadas en los artículos 3 a 6: a) un programa informático, concebido o adaptado principalmente para cometer una infracción de las mencionadas en los artículos 3 a 6; b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información).
- Dicha norma igualmente deja clara la responsabilidad penal de las personas jurídicas en lo que respecta a este tipo de delitos.
Existen otras normas en el ámbito de la Unión Europea que hacen lo propio en relación con otros delitos encuadrables dentro de la Ciberdelincuencia, como la Directiva 2011/77/UE y 2012/28/UE, en relación a la protección jurídica de la propiedad intelectual, o la Directiva 98/84/CE, relativa a la protección de los servicios de acceso condicional o basados en dicho acceso, o la Directiva 2000/31/CE, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior.
En lo relativo a la Organización de Naciones Unidas, además de los conceptos de Delito Informático en sentido amplio y estrictos a los que se hacen referencia en los apuntes del módulo, aparecido por primera vez en uno de los documentos de antecedentes para el 10º Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del Delincuente, existen numerosas resoluciones que hacen alusión a los delitos informáticos[3].
Merece especial atención alguno de los materiales desarrollados, entre otros, en el 13º Congreso de las Naciones Unidas sobre Prevención del Delito y Justicia Penal celebrado en Doha en el año 2015, en particular, el “Seminario 3 relativo al fortalecimiento de las respuestas de prevención del delito y justicia penal frente a las formas de delincuencia en evolución, como la ciberdelincuencia y el tráfico de bienes culturales, incluidas las lecciones aprendidas y la cooperación internacional” (13º Congreso De Las Naciones Unidas Sobre Prevención Del Delito Y Justicia Penal, 2015. Ver enlace).
En el mismo se afirmaba que “ (…) Un enfoque moderno de la cuestión consiste en reconocer que la ciberdelincuencia[4] no es necesariamente un término jurídico técnico, sino más bien un término genérico para referirse a un conjunto de hechos cometidos en contra o a través del uso de datos o sistemas informáticos. Otros enfoques se centran en los delitos contra la información computadorizada o el uso de recursos de información con fines ilícitos”.
Este, igualmente y en relación con la clasificación de los ciberdelitos, hace alusión a los actos comprendidos habitualmente en la categoría de “ciberdelincuencia” los cuales, según afirma, son aquellos en los que los datos o sistemas informáticos son el objeto contra el que se dirige el delito, así como los actos en que los sistemas informáticos o de información forman parte integrante del modus operandi del delito. Algunos ejemplos de los primeros son los delitos contra la confidencialidad, la integridad y la disponibilidad de los datos o sistemas informáticos, como el acceso ilegal a datos o sistemas informáticos (a veces denominados delitos cibernéticos “principales”). Algunos ejemplos de los segundos son el uso de datos o sistemas informáticos para estafar, robar o causar daño a otras personas, así como los delitos relacionados con contenidos informáticos o de Internet, como los discursos de incitación al odio, la pornografía infantil, los delitos relacionados con la identidad y la venta por Internet de mercancías ilícitas.
No obstante, si existe una norma en el ámbito europeo (e, incluso, en el panorama internacional mundial) que ha servido de base para establecer una definición y clasificación del concepto y clasificación de los delitos informáticos es, sin duda, el Convenio de Budapest[5].
Merece hacer alusión expresa a la misma por su importancia, como decíamos, para fijar unos estándares en su conceptualización y clasificación que, tras el estudio realizado por el que suscribe, se aprecia que están resultando útiles para fijar unos ciertos estándares en el panorama internacional y no solo en el ámbito de la Unión Europea.
En este sentido la Interpol, en su 6ª Conferencia Internacional Sobre Ciberdelincuencia realizada en el Cairo en abril de 2005 recomendó a todos sus países miembros que utilizaran el Convenio sobre Ciberdelincuencia del Consejo de Europa como referencia en materia de normas internacionales procedimentales y legales mínimas para la lucha contra la ciberdelincuencia[6].
El Convenio de Budapest, de 23 de noviembre de 2001, estableció ya en su artículo 1 una serie de definiciones relativas a los distintos elementos que integran las acciones típicas del delito informático.
- Así, entendió por «sistema informático» todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa;
- Por «datos informáticos» cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función;
- Por «proveedor de servicios»: i) Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar por medio de un sistema informático, y ii) cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios de ese servicio;
- Por «datos sobre el tráfico» se entenderá cualesquiera datos informáticos relativos a una comunicación por medio de un sistema informático, generados por un sistema informático como elemento de la cadena de comunicación, que indiquen el origen, destino, ruta, hora, fecha, tamaño y duración de la comunicación o el tipo de servicio subyacente.
Igualmente, el Convenio de Budapest, estableció una clasificación de los “Delitos Informáticos” según a continuación se detalla:
- Delitos contra la confidencialidad, integridad y disponibilidad de los sistemas y datos informáticos (Acceso ilícito, Interceptación ilícita, Interferencia de datos, Interferencia del sistema, Uso indebido de dispositivos).
- Delitos informáticos (falsificación informática y fraude informático).
- Delitos relacionados con el contenido (relacionados con la pornografía infantil)
- Delitos relacionados con infracciones de derechos de autor y derechos afines.
Esta clasificación quedó complementada con las disposiciones del protocolo adicional al citado convenio nº 185 (Convenio de Budapest) sobre cibercriminalidad relativo a la incriminación de actos de naturaleza racista y xenófobos cometidos a través de los sistemas informáticos.
En el mismo se hizo una regulación expresa de la incriminación de los actos de naturaleza racista y xenófobos cometidos a través de los sistemas informáticos.
En concreto, quedaron positivizados los siguientes aspectos:
- La difusión de material racista y xenófobo a través de sistemas informáticos,
- La amenaza con motivación racista y xenófoba,
- Injurias con motivación racista y xenófoba
- Negación, minimización grosera, aprobación o justificación del genocidio o de los crímenes de lesa humanidad.
Probablemente estas son las normas internacionales que más han contribuido a concretar qué es el delito informático (o, más bien, el ciberdelito) y su clasificación.
[1] Tratado De Funcionamiento De La Unión Europea, 2010.
[2] Parlamento Europeo y Consejo, 2013.
[3] Como la Resolución nº A/RES/75/264 de 2021, la nº A/RES/73/15 de 2018, la nº A/RES/70/125 de 2015, la nº S/RES/2185 de 2014.
[4] Véase que en el mismo se hace alusión expresa al término “Ciberdelincuencia” en lugar de a “Delito Informático” según la tendencia actual de sustituir la designación de este fenómeno desde “Delito informático” o “delito relacionado con la informática” a conceptos tales como “Ciberdelincuencia” o “delito cibernético”.
[5] Consejo de Europa, 2001.
[6] Acuria del Pino, 2016.