Sumario: §I.- Introducción; §II.- Antecedentes; §III.- Ley 26.338; §IV.- Aspecto Objetivo; §V.-Virus informáticos; §VI.- Aspecto Subjetivo; §VII.- Consumación y Tentativa; §VIII.- Daños informáticos agravados; §IX.- Sujeto Activo y Sujeto Pasivo; §X.- Visión de la cuestión en el Código Penal español.
Por Rubén E. Figari [*]
- I.- Introducción.
Es innegable que el mundo actual se mueve a través de la informática, prácticamente nada se puede construir, en todo aspecto, sin ella. Todo avance logrado no ha podido prescindir de esta modalidad. Mas así como se han obtenido grandes logros gracias a ella y consecuentemente vivir en un mundo mejor lo cual implica un gran merecimiento, deja resquicios también para que se cuelen situaciones reprobables en todos los ámbitos, dejando tras sí inmensos daños de todo tipo y no solamente económicos. A ello apunta el derecho penal para punir conductas disvaliosas mediante la utilización de todo ingenio que la mente humana pone al servicio de perjudicar todo lo que se mueve en derredor de la utilización de los elementos informáticos. De modo que la legislación, en este aspecto debe ir al compás de toda esa ingeniería perversa que atenta contra la comunidad en general. Es sabido que normalmente la ley penal va detrás de los acontecimientos, por ello ante la velocidad que imprime todo este comportamiento que se da en el mundo virtual, el legislador debe estar atento para detectar las conductas no deseadas que se manifiestan en aquél con el fin de poder distinguir lo bueno de lo malo que nos aporta la órbita informática.-
“La existencia de una forma particularizada en la causación del daño – utilización de medios automáticos para el procesamiento de la información – justifica plenamente el tratamiento específico del problema encarnado por la dualidad informática – derecho, empleando una adaptación metodológica al objeto de estudio. La utilización de medios automáticos o electrónicos es el instrumento idóneo para la producción del daño informático. La expresión “medios electrónicos” pretende superar en amplitud y comprensividad a las variadas construcciones doctrinarias que referencian a computadoras, ordenadores, etc., por cuanto aparece suficientemente extensa como para receptar la evolución vertiginosa de la tecnología y la técnica, que, en breves espacios temporales, podría dejar tales expresiones obsoletas. El tratamiento informatizado de datos es propiamente el objeto de la informática, determinando el contenido de las operaciones efectuadas en utilización de sistemas de computación; es la sustancialidad de este aspecto que resulta definitiva de la informaticidad del daño, particularizándolo en relación a otros usos alternativos posibles mediante los mismos medios electrónicos” ([2]).-
Desde luego que no se puede pretender que un Código Penal como el que no rige previera estas cuestiones que ni por asomo se le presentaron en el imaginario de nuestros legisladores de antaño, es impensable pretender algo contrario. Toda la legislación se fue elaborando al compás de los avances tecnológicos y al margen de leyes dispersas de diversa índole, que sería sumamente extenso de mencionar, es recién a partir de anteproyectos de reforma al Código Penal en que en forma armónica se aborda el tema – en el caso concreto el daño informático –.-
- II.- Antecedentes.
El Anteproyecto de Reforma al Código Penal del MJDHN destina dos artículos para punir del daño informático: el art 187 que estipula lo siguiente: “Será reprimido con prisión de quince días a un año, el que por cualquier medio, destruya en todo o en parte, borre, suprima, o altere en forma temporal o permanente, o de cualquier manera impida la utilización de datos o programas contenidos en soportes magnéticos, electrónicos o informáticos de cualquier tipo o durante un proceso de transmisión de datos. La misma pena se aplicará a quien venda, distribuya o de cualquier manera haga circular o introduzca en un sistema informático, cualquier programa destinado a causar alguno de los hechos mencionados en el párrafo anterior, en los datos o programas contenidos en una computadora, en una base de datos o en cualquier tipo de sistema informático.”. Y el art. 188 que determina una agravante: “En los casos del artículo 186, la pena será de tres meses a cuatro años de prisión: …e) Cuando el daño se ejecute en sistemas informáticos o bases de datos públicos, o relacionados con la prestación de un servicio público.”.-
En el Anteproyecto de Reforma Integral al Código Penal de 2014 en el art. 161: “1. Será reprimido con prisión de seis meses a un año o multa de diez a cien días, el que destruyere, inutilizare, hiciere desaparecer o de cualquier modo dañare una cosa mueble o inmueble o un animal, total o parcialmente ajenos; 2. La misma pena se impondrá al que vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños; 3. El máximo de la pena de prisión será de cuatro años cuando el daño:… d) Se ejecutare en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, u otros servicios públicos.”.-
Proyecto de Reforma al Código Penal elaborado por la denominada “Comisión Borinsky” 2017/2018 el art. 494 consigna: “Se impondrá prisión de quince días a un año o uno a doce días-multa, al que ilegítimamente y sin autorización de su titular alterare, destruyere o inutilizare datos, documentos, programas, sistemas informáticos o registros informáticos de cualquier índole. Si los datos, documentos o programas afectados fueren aquellos protegidos por la Ley N° 24.766, la escala penal prevista se elevará en un tercio del mínimo y del máximo.”.-
El art. 495 establece: “La pena será de prisión de tres meses a cuatro años: 1°) Si el hecho se ejecutare en documentos, programas o sistemas informáticos públicos; 2°) Si el hecho se cometiere en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público; 3°) Si el daño recayere sobre un bien perteneciente al patrimonio cultural de la Nación Argentina o de un Estado extranjero.”.-
El art. 496 dispone: “La pena será de prisión de uno a cinco años si, por el modo de comisión: 1°) El hecho hubiere afectado a un número indiscriminado de sistemas informáticos; 2°) El hecho hubiere afectado el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad; 3°) El hecho hubiere creado una situación de peligro grave para la sociedad.”.-
El art. 497 reza: “Se impondrá prisión de uno a cinco años, al que ilegítimamente y sin autorización de su titular, mediante cualquier artificio tecnológico, mecanismo de cifrado o programas maliciosos, obstaculizare o interrumpiere el funcionamiento de un sistema informático ajeno o impida a los legítimos usuarios el acceso a los datos del sistema, siempre que el hecho no importe un delito más severamente penado.”.-
El art. 498 dice: “Se impondrá prisión de quince días a un año o uno a doce días-multa, al que vendiere, distribuyere, hiciere circular o introdujere en un sistema informático cualquier programa destinado a causar daños.”.-
- III.- Ley 26.338.
La Ley 26.388 (Junio 4 de 2008) incorpora el 2º párrafo del art. 183, referido al daño informático en estos términos: “En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños”.-
En atención al primer párrafo del art. 183 se veía que el objeto material del daño está constituido por una cosa mueble o inmueble o un animal, total o parcialmente ajeno. Entonces se planteaba el problema que los bienes intangibles – software o datos almacenados en soportes magnéticos, ópticos o electrónicos – no estaban directamente enunciados en la norma y el cuestionamiento era como solucionar esta laguna normativa.-
Palazzi indicaba que una primera solución podía ser interpretar ampliamente el concepto de cosa del art. 183 lo que se vería respaldado por la evolución jurisprudencial del concepto de cosa en materia penal, que registra una apertura al considerar punibles actos cometidos sobre determinados bienes cuya naturaleza de “cosa” podía ser discutible. De esta forma se aceptaba que es posible apropiarse – y por ende destruir, los pulsos telefónicos, la señal de cable y de cualquier energía susceptible de apropiación en virtud de que el art. 2311 del C.C. reformado por la ley 17.711 [actuales arts. 16 y 1883 del C.C y C.] otorga el carácter de cosa a la energía ([3]).-
Con esta última interpretación se sostuvo que la información que se encuentra en una computadora adopta la forma de energía, que podrá ser eléctrica o magnética según el soporte que la posea. La energía magnética que está en la superficie de un disco rígido o un diskette – se debería agregar también un CD o un pendrive –, por ser apropiable, se rige, entonces por las disposiciones de las cosas. Igual criterio se aplicará a la energía eléctrica que se encuentra en la memoria de un ordenador. Ambas pueden ser alteradas por manipulación de una persona, de un programa o un virus hecho a tal efecto. Entonces, la información contenida en una computadora – ya sea en un diskette, en un disco rígido o en la memoria – llega a poseer la entidad suficiente para ser reputada cosa a los efectos de aplicarles las mismas disposiciones. Por otro lado la doctrina moderna le atribuye a la información valor en sí misma como mercancía y la posibilidad de un derecho de propiedad sobre ella ([4]).-
En sentido contrario a lo antes expuesto se alzaron otras voces que consideraron que los llamados «daños informáticos» no se encontraban previstos en los casos señalados por los arts. 183 y 184 del Código Penal, puesto que expresamente el articulado mencionado en primer término se refería como objeto de delito a las cosas muebles, concepto normativo definido en el Código Civil. Es decir, «cosa mueble» implica todo objeto detectable materialmente, transportable y susceptible de tener un valor, definición que impediría considerar a un archivo de computadora almacenado en un soporte informático como cosa mueble y, en consecuencia, como objeto del delito de daño. Sobre el punto se ha explayado la doctrina al señalar que el contenido intelectual o la información almacenada, es decir la idea que transmite considerada como abstracción, no puede ser comprendida en el concepto de cosa mueble al destruir o borrar un archivo, esto es el disquete, no se daña, pues puede volver a utilizarse ([5]). Por lo tanto se consideró que ningún archivo o página web podía asimilarse al concepto de cosa, por no tratarse de un objeto corpóreo ni pasible de ser detectado materialmente, extremo que necesariamente conducía a la atipicidad de aquellas conductas dirigidas a dañar, destruir o inutilizar archivos, contenidos intelectuales o información almacenada en un soporte, diskette, disco rígido, unidad de almacenamiento extraíble o pendrive u ordenador. Así, fue entendido jurisprudencialmente por la Sala VI de la Cámara Nacional de Apelaciones en lo Criminal y Correccional en el conocido caso «Piamonti», de cuyos considerandos se advierte que el borrado o destrucción de un programa de computación no es una conducta aprehendida por el delito de daño (art. 183 C.P.), puesto el concepto de cosa es aplicable al soporte y no a su contenido ([6]).-
Esta laguna de la que se hablaba y su intención subsanatoria por parte de la jurisprudencia ha sido remedada por la incorporación del segundo párrafo del art. 183. En efecto, la reforma ha ampliado los objetos de protección, tutelándose especialmente al dato, al documento, a los programas y a los sistemas informáticos como banco u objeto de ataques ilegítimos, con el fin de mantener incólume su inalterabilidad y de este modo, la afectación de tales elementos pasa a estar comprendidos dentro de la protección que anteriormente se hacía de las “cosas fungibles”, con lo que – desde el punto de vista penal – el concepto de cosa se ha ampliado en forma notable, por lo que en la actualidad ya no será exclusivamente un objeto material corpóreo, sino que también se comprenderá la alteración o la destrucción de datos, documentos, programas y sistemas informáticos que tengan una calidad diferente, caracterizada principalmente por la inmaterialidad propia de tales elementos ([7]).-
Según Tazza – Carreras en la primera parte de la norma se incrimina el llamado “sabotaje informático” consistente en la alteración o destrucción de programas o de sistemas informáticos en general de un tercero. Es constitutivo de un delito de resultado al que se puede arribar aún alterando, total o parcialmente el nuevo objeto de protección que comprende también al denominado “software” de estas nuevas tecnologías. Incluso, con la protección ampliada de esta norma, la intangibilidad de una página web en internet es alcanzada por la norma en cuestión.-
- IV.- Aspecto Objetivo.
Los verbos típicos son “alterare, destruyere o inutilizare”. Si bien difiere del “daño común” pues se agrega el término “alterare”, se entiende que no hay mucha diferencia con los conceptos previstos en el tipo penal original, mas no se incluye la frase “hiciere desaparecer”.-
“Alterar” sería modificar un archivo de datos o programa sin destruirlo completamente. El verbo “inutilizar” sigue el mismo camino: no requiere la destrucción total, sino que el archivo no funcione, por ej. se puede eliminar un solo byte de un archivo ejecutable y éste no servirá para su finalidad; se puede modificar la extensión, y el ordenador no lo reconocerá ([8]).-
En el contexto informático, “destruir” quiere decir borrar definitivamente sin posibilidad de recuperación. La respuesta a si esto ocurre o no en un supuesto concreto dependerá del sistema informático y el operativo utilizado. En la mayoría de éstos la acción de borrar disiente en esta parificación pues considera que el verbo “inutilizar” sigue el mismo camino que el caso de “alterar”, pues, en su concepto no se requiere la destrucción total, sino que el archivo no funcione y pone el ejemplo de que se puede eliminar un solo byte de un archivo ejecutable y éste no servirá para su finalidad; se puede modificar la extensión y el ordenador no lo reconocerá. En cambio, “destruir” implica borrar definitivamente sin posibilidad de recuperación ([9]). La respuesta a si esto ocurre o no en un caso concreto dependerá del sistema informático y operativo utilizado. En la mayoría de los sistemas operativos la acción de borrar no implica que el hecho se produzca indefectiblemente, pues los archivos borrados se almacenan en una carpeta conocida como basurero o trash can. Generalmente para poder concluir la acción de borrado de datos el usuario debe reconfirmar el borrado para eliminar los documentos e incluso en estos casos es posible recuperarlos en algunas situaciones. Por ende, la consideración de la destrucción debe ser analizada caso por caso; sin embargo, el imputado que de algunas de las formas previstas en el tipo penal afecta el archivo o la información estará cometiendo el delito en cuestión ([10]). Existen otras formas de borrado mediante virus informáticos, o programas dañinos que pueden “saltearse” estas seguridades impuestas por los sistemas operativos. También cabría la posibilidad de destruir el hardware – generalmente de menor valor – con la finalidad de destruir los datos o software – de mayor valor –.
El hecho que exista un sistema de back up, como sucede en la mayoría de las empresas en modo alguno altera el delito de daño pues la restauración requiere un esfuerzo que ya implica reparar el daño causado ([11]). Por ello se afirma que no se requiere para su configuración de un daño sino que por el contrario, representa un delito de peligro y no de resultado ([12]).-
Palazzi considera que la jurisprudencia anterior que requería de un daño concreto y descartaba por atípicos los supuestos de pintadas en paredes, porque consideraba que no había alteración de la esencia de la pared y no afectaba al bien jurídico tutelado por el art. 183 no resulta aplicable al acto de borrar o alterar datos o software, porque tanto el borrado como la alteración modifican la esencia de la cosa en sí, independiente de que, por tratarse de objetos digitales puedan restaurarse con cierta facilidad. El archivo dañado ya no sirve o funciona en forma incorrecta y a veces no sólo repercute en la integridad de los datos o del funcionamiento del soft, sino que puede afectar el hardware el cual no funcionará sin el software adecuado, por otra parte no es comparable el daño o un sistema informático que puede detener el funcionamiento completo de una empresa con la pintada de una pared de menor valor ([13]).-
En cuanto al objeto sobre los que pueden recaer las acciones típicas son: “datos, documentos, programas o sistemas informáticos. Es evidente que la reforma amplió el tipo penal, de manera tal que tendrá aplicación fuera del ámbito de los ordenadores. Ello es así porque el nuevo tipo penal no requiere expresamente que los datos o programas estén contenidos en una computadora. Hoy en día existen infinidad de dispositivos que funcionan como tales y poseen tanto software como datos instalados de alto valor. Así, no solo un ordenador personal o una laptop, sino también un archivo almacenado en la memoria de una cámara digital, un teléfono, un flash drive o pen drive, un smartphone, una blackberry, un disco rígido externo, un ipod o cualquier otro dispositivo para almacenar información. La lista es abierta y se expandirá día a día con los desarrollos tecnológicos que surgen ([14]).-
No necesariamente se deben destruir datos personales, sino también datos anónimos, estadísticos o de cualquier naturaleza. Puede tratarse de un archivo de texto, fotos, videos, archivo de sonido en cualquier formato ya que el delito no distingue respecto al valor de los objetos. En el caso de una comunicación la cuestión se traslada al art. 197 del Código Penal y al caso de eliminar o desviar una correspondencia electrónica o correo electrónico, la norma aplicable sería la del art.153 porque en ambos casos estas figuras se desplazan al art. 183, todos del C.P.. Asimismo, en el caso que lo dañado es una obra intelectual contenido en un soporte informático (art. 1, ley 11.723) también se aplica el delito en trato ([15]).-
Con ello se incrimina el denominado “sabotaje informático” consistente en la alteración o destrucción de programas o de sistemas informáticos en general de un tercero, pudiéndose arribar a dicho resultado aún alterando, total o parcialmente, el nuevo objeto de protección que comprende también al denominado “software” de estas nuevas tecnologías ([16]), tal como se ha dicho párrafos más arriba.-
Por otra parte, además del daño informático tradicional se agrega una nueva modalidad de daño ya que se pune a quien “vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños”. Se entiende que estos programas, como por ejemplo un virus maker o herramientas específicas de destrucción de datos, son potencialmente dañosas. Por consiguiente, quien de alguna manera pone en el comercio un programa de tales características, con conocimiento del daño a producir, ayuda de esta forma a cometer el delito de daño a quien usará la herramienta. No se prohíbe la existencia de estos programas, sino que penaliza a quien los venda, los distribuya o los haga circular o introduzca concretamente en un sistema informático ([17]). Según Palazzi, el spyware no entra dentro de esta categoría sino causa o puede causar daño, a menos que se considere que el consumo de ciclos de CPU incide en la performance del ordenador, aunque entiende, que esa no ha sido la idea del legislador al penalizar con la reforma tales tipos de programas espías, que en todo caso afecta otros bienes jurídicos como la privacidad. Tampoco están comprendidas dentro de este concepto las herramientas usuales de trabajo informático tales como un programa de formateo, de borrado o de administración de archivos, que si bien el práctica pueden usarse para borrar información, no tienen como fin principal tal daño, de hecho, la diferencia es sutil, no es lo mismo un programa que puede ser usado para causar daños que aquel destinado solamente a producirlos ([18]).-
Se aprecia, en esta segunda parte de la disposición penal que la cuestión tiene vinculación con aquellas actividades referidas al manejo y manipulación de virus informáticos que pueden destruir programas existentes en tales sistemas, de modo que se sanciona tanto el acto de vender, distribuir, hacer circular, e incluso introducir tales programas que traen aparejado dicha afectación. La modalidad de “hacker” destructivo es la contemplada por esta disposición penal, aunque también el tipo penal se conforma con algo menos, como sería la acción de vender, distribuir o hacer circular tales programas aún antes de que ellos penetren en un sistema informático ([19]).-
Se señala que en cuanto a la posibilidad de incriminar a quienes producen una herramienta que puede eventualmente usarse para crear daños informáticos, el tema se plantea con las llamadas tecnologías de doble uso, de las cuales se ven miles de ejemplos en la vida cotidiana: la fotocopiadora, la video casetera, un equipo “doble casetera”, un ipod, un disco rígido, una grabadora de dvd, el software peer to peer, y un largo etcétera de software y hardware que permite copiar obras intelectuales, reproducirlas, difundirlas. Tanto doctrina como jurisprudencia coinciden ampliamente en que estas tecnologías no son ilegales ni susceptibles de ser prohibidas si tienen usos sustancialmente legítimos o no infractores, aunque de paso también tengan usos no legítimos. La solución legal más razonable en estos casos es permitir la existencia de estas herramientas y solamente sancionar su uso en un caso concreto cuando este uso sea ilícito pero permitiendo que coexistan los usos legítimos. Por ende si el programa destinado a causar daños encuentra un uso legítimo, tal uso no será ilegal, en cambio si no es posible encontrarle usos legítimos o que no produzcan daño, no se ve porque no debería prohibirse su distribución ([20]).-
En cierta forma la conducta que lleva a cabo el sujeto activo, se podría considerar como progresiva – aunque no necesariamente ocurra de esa forma – ya que comienza como una suerte de intrusismo – actividad que realiza el hacker – para luego pasar a ser un cracker, aunque a veces este último comienza directamente con la actividad vandálica. Esta conducta suele definirse como la de quebrar, remover o eliminar la protección de un programa de forma tal que el mismo funcione, luego de “crackeado”, como si hubiera sido adquirido por un usuario registrado. Se indica que una modalidad vandálica del cracking es la desarrollada por los cyberpunks, en la que la conducta suele venir preordenada por el específico ánimo de destruir datos, programas o soportes informáticos. Se define al cyberpunk como un cracker cuyo único fin es la entrada inconsentida en sistemas informáticos – conducta típica de hack – mediando la corrupción de un password – conducta típica de crack – para destruir datos o implementar en el sistema informático un virus, o bomba lógica, que destruye a los mismos ([21]).-
El último párrafo reformado del art. 184 pune la venta, distribución, circulación e introducción en un sistema informático de cualquier programa destinado a causar daños.-
Este programa consiste en un virus o un código inadecuado que pueda ser susceptible de causar un perjuicio al hardware o al software de un sistema informático. De hecho se está hablando de un delito de peligro abstracto porque se trata de una potencialidad lesiva. “…el programa en cuestión, analizado su funcionamiento, deberá demostrar que puede borrar datos o programas de ordenador. Puede hallarse escrito en cualquier lenguaje, incluso en un marco de Excel o Word, con capacidad para dañar los datos de uno de estos archivos” ([22]).-
Los especialistas expresan que el spyware no entra dentro de esta categoría sino causa o puede causar un daño salvo que se considere que el consumo de ciclos de CPU incide en la perfomance del ordenador, no obstante, se entiende que no fue la idea del legislador penalizar tal tipo de programa de espías y que en todo caso afecta otros bienes jurídicos como la privacidad. Asimismo están comprendidos dentro del concepto las herramientas usuales de trabajo informático tales como el programa de formateo, borrado o administración de archivos que no obstante pueden usarse para borrar información pero no tiene como fin principal provocar un daño.-
Ahora bien, el art. 183 del C.P. no prohíbe la existencia de estos programas sino que la punición recae sobre quien los venda, distribuya, haga circular o los introduzca en un sistema informático.-
El legislador estima que estos programas destinados a causar daños, como por ejemplo un virus o un virus maker o hots maker constituyen herramientas específicas de destrucción de datos o software que son potencialmente dañosas, por lo tanto quien en el comercio un programa de tales formatos con conocimientos del daño que puede producir, coopera a cometer el delito de daño a quien usará las herramientas en trato. Demás está decir tanto la potencialidad como la efectividad de estos programas facilita la provocación de daños de gran valor al paralizar el funcionamiento de sistemas informáticos de numerosas funciones esenciales y sobre todo de interés público ([23]). Imagine el lector el daño tremendo que se provoca con la introducción de dicho programa en sistemas informáticos destinados a ser funcionar aparatos médicos, seguridad aeroportuaria, transito vial, ferrocarriles, robo de identidad, etc..-
- V.-Virus informáticos.
Normalmente y asiduamente los mayores daños informáticos se producen mediante los denominados “virus informáticos”. Se han categorizado bajo un mismo denominador diferentes programas que, si bien afectan la información, lo hacen de forma diferente, y son en realidad códigos lógicos o programas diferentes que no tienen siempre las mismas características. De esta manera son agrupados bajo el rótulo de virus informáticos, programas que no cumplen con los requisitos propios de esta clase de archivos, concluyendo que un virus informático, es algo diferente a un gusano – worm –, un caballo de Troya – troyan horse – o una bomba lógica ([24]).-
Rosende restringe el concepto en cuanto a lo que abarca el virus informático, pues considera incorrecto tratar aspectos relativos a los problemas que platean las bombas lógicas, los gusanos y los caballos de Troya, pues estos archivos exceden las capacidades informáticas de lo que se denomina virus, mientras que a su vez les falta ciertas características propias de esta clase de amenaza informática, sin perjuicio de que se hayan creado programas que permitan agrupar distintas características de estas cuatro categorías, por ello considera más correcto hablar de “amenazas lógico informático” que permite embolsar tanto a los virus informáticos, como los gusanos, los caballo de Troya y las bombas lógicas ([25]).-
Entonces, los virus informáticos son pequeños programas cuya mayor cualidad es la capacidad de autorreproducirse, mediante su ejecución y copiado en un archivo de una computadora siendo una de sus posibles consecuencias el borrado de programas y archivos, la desestabilización del sistema operativo, la recarga de los recursos del sistema, o la memoria, o simplemente la inclusión de mensajes de chistes, realizando todas estas actividades sin la participación de un usuario y con el desconocimiento de éste, utilizando solamente los parámetros de su programación ([26]) y es esta capacidad de autoreproducción la que diferencia a los virus informáticos de los caballos de Troya y las bombas lógicas ([27]).-
Un programa gusano, recibe su designación por la forma en que se desliza en y fuera de una red de computación y como en la mayoría de los virus, un programa gusano es sólo peligroso cuando es diseñado para realizar alguna función particular y cuando uno de esos programas se escribe para realizar una función negativa, el programa se mueve a través de una red y desactiva las computadoras helando teclados y pantallas, llenando la memoria o reduciendo la velocidad. Los gusanos o worms son los archivos que más semejanza presentan con los virus por su autoreproducción, pero con la diferencia que éstos no producen efectos destructivos en su versión pura, sino que su objetivo es colapsar el sistema o ancho de banda, mediante su replicación constante.-
Las llamadas “bombas lógicas” liberan su carga activa cuando se cumple una condición determinada, como cuando se alcanza una fecha u hora específica o cuando se teclea una combinación de letras. La condición puede ser la llegada de una fecha – bomba de tiempo –, una combinación de teclas o una determinada técnica. Si no se produce ese evento disparador, las bombas lógicas permanecen ocultas y hasta pueden no activarse.-
Otra modalidad es el denominado “caballo de Troya” que son programas destructivos encubiertos, aparecen en forma de juego, utilidades y adjuntos de correos electrónicos y una vez abiertos actúan de una manera muy distinta a la esperada, algunos son sólo molestos y envían correo electrónico a todos los nombres incluidos en la libreta de direcciones, otros causan daños graves, a punto de robar contraseñas y archivos. A diferencia de los virus, los caballos de Troya no se autorreproducen. No se va a entrar en detalle del porqué se denominan así pues se sabe que viene del término caballo de Troya referido en el mítico relato de Homero ([28]).-
- VI.- Aspecto Subjetivo.
Hecho un somero panorama sobre algunos de los modos más corrientes en la forma que se producen los daños más frecuentes en la parte informática y ya apartándose de la cuestión operativa y volviendo a entrar en la parte jurídica, se puede afirmar, que desde el aspecto subjetivo al igual que en el daño convencional, se trata de un tipo que requiere dolo directo, sin necesidad de una ultra finalidad o motivos específicos. Aunque, Palazzi efectúa una distinción, sobre la base de que el tipo penal importa un adelantamiento de la punición a un momento anterior a la lesión del bien jurídico – el delito de peligro abstracto – pero se pregunta qué sucede cuando éste se concreta de otra forma, respondiéndose que si ocurre mediante un programa destinado a causar daños se aplicará la segunda parte del segundo párrafo del art. 183 y si sucede efectivamente de otro modo será de aplicación la primera parte del mismo artículo. Acepta que también podría cometerse por dolo eventual ejemplificando que introducir o distribuir un programa informático está destinado y tenga la capacidad de dañar y que podrá replicarse y propagarse – como es el caso de los virus informáticos –, el autor sabe que probablemente causará algún perjuicio aunque desconoce su extensión y sus víctimas. Entonces resume, que la figura no requiere daño sino que el dolo recae sobre el eventual daño que pueda causar el programa que libera y sobre su aptitud técnica para realizarlo ([29]).-
Lo concreto y real, es que a partir de la redacción de esta nueva fórmula, se puede decir que se instala el daño informático en nuestra legislación y se alejan todas las controversias jurisprudenciales que se produjeron sobre el particular.-
- VII.- Consumación y Tentativa.
El primer supuesto alberga todos delitos instantáneos que tienen su consumación cuando el dato o programa o cualquier otro elemento de esta naturaleza ha sido dañado.-
En el segundo supuesto si bien contienen delitos instantáneos en el caso del tipo que comprende el vender, distribuir y hacer circular en realidad no se consuma con la oferta sino en el supuesto que el programa dañino ha sido entregado por el sujeto activo a un tercero. La tentativa es factible en todos los casos ([30]).-
- VIII.- Daños informáticos agravados.
La ley 26.388 agrega dos nuevas agravantes al art. 184. Una se encuentra en el final del inc. 5 que establece que la pena será de tres meses a cuatro años de prisión en el supuesto de que el daño se ejecute sobre datos, documentos, programas o sistemas informáticos públicos y en el inc. 6 cuando se ejecuten en sistema informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o de trasporte de energía de medios de transporte u otro servicio público.-
Desde luego que la reforma tiene su lógica en la trascendencia de los sistemas informáticos destinados a la prestación de servicios de salud, comunicaciones, provisión o transporte de energía, de medios de transporte y en términos generales, de servicios públicos.-
En estos supuestos trasciende el daño al delito contra la propiedad pues en este caso es la comunidad en general la que recibe el perjuicio.-
Si bien la agravante está referida a sistemas informáticos mas no a los datos o programas de ordenador contenido en ellos, a fuer de decir verdad la redacción lo incluye pues sería sumamente dificultoso afectar directamente el hardware de un equipo mediantes ataque externos, en realidad se dañará el software, los datos o los medios de comunicación que hará que se caiga el sistema y no funcione ([31]).-
No hay una alusión en el inc. 5 al “uso público” puesto que la figura penal está constreñida a agravar los datos cometidos contra los sistemas informáticos del Estado, pero el inc. 6 amplía el número de bienes protegidos ya que la formula “u otro servicio público” determina la no taxividad de los casos ([32]).-
- IX.- Sujeto Activo y Sujeto Pasivo.
Si bien el sujeto activo puede ser cualquier persona para algunos autores, al sujeto activo de los delitos informáticos se le adjudica una inteligencia y educación común superior al nivel medio, y con vastos conocimientos informáticos ([33]) y para denominar esta clase de sujetos se suele hablar de los antes descriptos que están caracterizados por un saber informático especial. Si bien es cierto que existen y de hecho operan personas con esas calidades, no necesariamente el delincuente informático debe poseer conocimientos profundos en la materia pues, la computación se halla tan extendida hoy en día que cualquier persona con conocimientos mínimos de informática pueda tener acceso a un ordenador y realizar un delito informático. Se menciona el caso del cajero que desvía fondos mediante el ordenador que usa para contabilizar el dinero que recibe o ingresa falsamente un monto en una cuenta o el caso del empleado de seguridad que conoce los códigos de acceso al sistema y los usa en su provecho ([34]). Idéntica apreciación hace Rosende ([35]) quien cita a Hernandez pues explica que en la red, más allá de los hackers, y los crackers, están los que se denominan en la jerga underground de la red lamers o newvies (novatos), copyhackers, “bucaneros”, script kiddie, que demuestra los distintos grados de conocimiento que puede tener una persona para crear problemas en la red, y sin embargo, aún así, no saber nada realmente de tecnología – bucaneros – ([36]).-
El sujeto pasivo puede ser también cualquier persona más en el caso del segundo supuesto, al ser un delito de peligro puede tratarse de un sujeto pasivo concreto.-
- X.- Visión de la cuestión en el Código Penal español.
En el Titulo XIII “Delitos contra el patrimonio y contra el orden socioeconómico”, Capitulo IX “De los daños” aborda este panorama a partir del art. 263 1. y 2..
Comenta Muñoz Conde que el Código Penal no da un concepto de daño, pues con la redacción del art. 263 1. se da a entender que hay otros delitos de daños que, para afectar a otros bienes jurídicos más específicos, se tipifican en otros lugares, pero en ningún sitio se dice qué se debe entender por daño.-
No obstante se puede entender el “daño” en un sentido normativo como todo empobrecimiento en el patrimonio ajeno, es preferible un concepto de daño más descriptivo, ya que el concepto normativo produce una confusión entre el daño como causa y el perjuicio patrimonial como efecto. El daño al que se refiere el Código Penal tanto en este capítulo IX del Título XIII como en otros lugares, supone la destrucción o menoscabo de una cosa independientemente del perjuicio patrimonial que el daño puede ocasionar. La prueba de ello es que el delito de daños se castiga, en principio atendiendo al valor de la cosa dañada y no al del perjuicio patrimonial producido que sólo tiene interés para determinar la responsabilidad civil nacida del delito; únicamente en el tipo cualificado del número 5º del art. 263 2. se tiene en cuenta el empobrecimiento patrimonial para agravar la pena, con este entendimiento puramente descriptivo del daño patrimonial se comprende que puede existir un delito de daños, aunque produzca un enriquecimiento del titular de la cosa dañada – así por ej. la muerte de un animal enfermo o el derribo de una casa en ruinas, cuyo mantenimiento es muy costoso –, esta concepción del daño no significa que la cosa dañada debe tener algún valor patrimonial, por el escaso que sea. En todo caso la cosa dañada debe tener algún valor patrimonial económicamente valorable, porque sólo así puede determinarse la gravedad de la pena y considerarse los daños como un delito contra el patrimonio. Quedan excluidos de este delito, por tanto, los llamados “daños morales” que sólo son indemnizables por la vía de la responsabilidad civil ([37]).-
En definitiva, el delito de daños supone que se quite o disminuya el valor a la cosa dañada, lesionando su esencia o sustancia. Se discute si la alteración de su valor de uso o de su destino se incluye también en el delito de daños.-
La acción puede realizarse por cualquier medio – con la excepción de algunos casos de incendio, los estragos, la manipulación de sustancias radioactivas, etc. –. Es factible la comisión por omisión, dejar morir de hambre un animal, por ejemplo, siempre que se den los requisitos del art. 11. El objeto material es una cosa ajena, por lo tanto el delito de daños lesiona el bien jurídico de la propiedad y puede ser cometido también por el poseedor de la cosa. Asimismo es indiferente que la cosa sea un mueble o inmueble, pero ha de ser corporal y susceptible de deterioro o destrucción. Los malos tratos a animales, lesiones inferidas a los mismos pueden ser también considerados como daños en concurso con el delito del art. 337. El resultado ha de ser la destrucción o inutilización de la cosa sobre la que recae la acción. Este delito es eminentemente doloso y sólo el art. 267 expresamente prevé el castigo de los daños causados por imprudencia grave en cuantía superior a ochenta mil euros quedando supeditada la persecución penal a la previa denuncia de la persona agraviada o a su representante legal, salvo cuando se trate de menor de edad, incapaz o persona desvalida, en cuyo caso podrá denunciar al Ministerio Fiscal. El perdón de la persona agraviada o de su representante legal extinguirá la pena o la acción penal, sin perjuicio de lo dispuesto en el segundo párrafo del número 5º del apartado 1º del art. 130 ([38]).-
En cuanto al daño informático o sabotaje informático se han introducido varias reformas a partir de la ley LO-5/2010 de 22 de junio y asimismo L.O 1/2015 de 30 de marzo también lo ha hecho en los arts. 264. 1 .2. – incs. 1ª/5ª – y 3 ([39]); 264 bis 1. 2. y 3 ([40]). referidos a la obstaculización o interrupción del funcionamiento de un sistema informático ajeno; 264 ter ([41]) castiga al que produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores, y el 264 quáter ([42]) que sanciona a la personas jurídicas que incurran en los delitos antes mencionados y art. 400 ([43]).-
[*] Abogado egresado de U.N.C. en 1971; Doctor en Ciencias Jurídicas egresado de la Escuela de Posgrado de la U.N de L.M.; Posgrado en Derecho Penal y Procesal Penal de la Facultad de Derecho de Ciencias Sociales de la U.C.C.; Profesor de Derecho Penal I y Derecho Penal II y de posgrado de la U.N.S.L. en la carrera de Ciencias Jurídicas (F.C.E.J.S); Miembro titular de la Academia Nacional de Derecho de Córdoba (Secretaría Villa Mercedes, San Luis); Miembro del Comité de Redacción de la Revista de Derecho Penal y Criminología de la Ed. La Ley; Asistente y ponente en diversos congresos referidos al fuero Penal y Procesal Penal; Investigador y ensayista; Colaborador en aportes sobre la Parte Especial para la Comisión encargada de elaborar un Anteproyecto de Código Penal de la Nación (Dec. N° 678/12) 2012/13; autor, coautor y colaborador en 38 libros relacionados al fuero Penal y Procesal Penal; y autor de más de 70 artículos publicados en diversas revistas digitales e impresas en papel.
[2] CALDERÓN, Maximiliano Rafael – HIRUELA, María del Pilar, “Daño informático y derechos personalísimos”, en “Derecho de Daños. Economía. Mercado. Derechos Personalísimos”, GHERSI Carlos (director), Ed. Abeledo Perrot, Buenos Aires, 1999, ps. 366 y sgtes. citado por LEIVA Claudio Fabricio “Responsabilidad por daños derivados de Internet (Reparación y prevención de los daños)” en www.aaba.org.ar/bi22n004.htm.
[3] PALAZZI Pablo “Delitos informáticos” Ed. Ad- Hoc, Buenos Aires, 2000, p. 133.
[4] Ídem (ob. cit. p. 134).
[5] FILLIA Leonardo César – MONTELEONE Romina – NAGER Horacio Santiago – ROSENDE, Eduardo E. – SUEIRO Carlos Christian, “Analisis de la reforma de materia informática al Código Penal de la Nación. Ley (26.338)”, Suplemento LL Penal y Procesal Penal 28/08/08, citando a CARO Rodrigo “El archivo almacenado en soporte informático como objeto del delito de daño, artículo 183 del Código Penal” LL 2004- A- 1436. En igual sentido ROSENDE Eduardo “Derecho Penal e informática” Ed. Fabián Di Plácido, Buenos Aires, 2007, p. 212.
[6] FILLIA Leonardo César – MONTELEONE Romina – NAGER Horacio Santiago – ROSENDE, Eduardo E. – SUEIRO Carlos Christian (ob. cit. LL 28/08/08) citando a BROND Leonardo – BRIGNANI Sebastián “Delitos informáticos – panorama deslindante y criterio de demarcación” LL 2004- C- 1250
[7] TAZZA Alejandro – CARRERAS Eduardo “La protección del banco de datos personales y otros objetos de tutela penal” LL 20/08/08.
[8] PALAZZI Pablo “Los Delitos informáticos en el Código Penal. Análisis de la ley 26.388” 3era edición actualizada y ampliada, Ed. Abeledo Perrot, Buenos Aires, 2016, p. 178
[9] Idem (ob. cit. p. 178)
[10] Idem (ob. cit. p. 179)
[11] PALAZZI Pablo “Análisis del proyecto de ley de delitos informáticos aprobado por el Senado de la Nación en el año 2007” en “Revista de Derecho Penal y Procesal Penal”, Abril-Mayo 2008, Lexis Nexis
[12] TAZZA Alejandro – CARRERAS Daniel (ob. cit. p. 4); PALAZZI Pablo ““Los Delitos informáticos…” (ob. cit. p. 179).
[13] PALAZZI Pablo, “Los Delitos informáticos…” (ob. cit. ps. 179/180)
[14] Idem. (ob. cit. p. 180)
[15] Idem. (ob. cit. p. 181)
[16] TAZZA Alejandro – CARRERAS Daniel (ob. cit. p. 4).
[17] PALAZZI Pablo “Análisis…” (ob. cit. p. 21).
[18] Ídem “Los delitos…” (ob. cit. ps. 191/192)
[19] TAZZA Alejandro – CARRERAS Daniel (ob. cit. p. 4).
[20] PALAZZI Pablo “Análisis…” (ob. cit. ps. 21/22).
[21] MORÓN LERMA Esther “Internet y derecho penal: “hacking” y otras conductas ilícitas en la red” “Colecc., Derecho y proceso penal Nº 1”, Aranzadi. Pamplona, 1999, ps. 32/33 citado por RIQUERT Marcelo “Delitos informáticos” en “Derecho penal de los negocios” CARRERA Daniel – VAZQUEZ Humberto (Directores) Ed. Astrea, Buenos Aires, 2004, p. 327.
[22] PALAZZI Pablo, “Los Delitos informáticos…” (ob. cit. p. 182)
[23] Idem. (ob. cit. ps. 183/184)
[24] ROSENDE Eduardo (ob. cit. p. 133).
[25] Idem (ob. cit. p. 135).
[26] PALAZZI Pablo “Análisis…” (ob. cit. p. 145).
[27] ROSENDE Eduardo (ob. cit. p. 136).
[28] Idem (ob. cit. ps. 136/142).
[29] PALAZZI Pablo “Los delitos…” (ob. cit. p. 194)
[30] D´ALESSIO Andres (Director) DIVITO Mauro (Coordinador), “Código Penal de la Nación. Comentado y Anotado.” 2° Edición actualizada y ampliada, Ed. La Ley, Buenos Aires, 2009, t. II, p. 848
[31] PALAZZI Pablo, “Los Delitos informáticos…” (ob. cit. p. 191)
[32] D´ALESSIO Andres (Director) DIVITO Mauro (Coordinador), (ob. cit. t. II, p. 856)
[33] BUOMPADRE Jorge “La tutela penal del sistema informático” LL 1988 – A -985; LILLI Alicia Raquel – MASSA María Amalia “Delitos informáticos” LL 1986 – A – 832; JIJENA LEIVA Renato “Chile, la protección penal de la intimidad y el delito informático” Ed. Jurídica de Chile, Santiago, 1992, p. 110. Todos citados por PALAZZI Pablo “Delitos…” (ob. cit. p. 66 nota 85).
[34] PALAZZI Pablo (ob. cit. p. 67).
[35] ROSENDE Eduardo (ob. cit. p.158).
[36] HERNANDEZ Claudio “Hackers. Los piratas del chip y de Internet” Ed. Electrónica en español, 2001, p. 35. citado por ROSENDE Eduardo (ob. cit. p. 159 nota 113).
[37] MUÑOZ CONDE Francisco “Derecho Penal. Parte especial” 20ª edición, completamente revisada y puesta al día conforme a las Leyes Orgánicas 1/2015 y 2/2015, de 30 de marzo, Ed. Tirant lo Blanch, Valencia, 2015, ps. 409/410.
[38] Idem. (ob. cit. ps. 411/412).
[39] Art. 264: “1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años. 2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias: 1.ª Se hubiese cometido en el marco de una organización criminal. 2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos. 3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad. 4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones. 5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter. Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado. 3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero”.
[40] Art. 264 bis: “1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno: a) realizando alguna de las conductas a que se refiere el artículo anterior; b) introduciendo o transmitiendo datos; o c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica. Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado. 2. Se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior. 3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.
[41] Art. 264 ter: “Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores: a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información”.
[42] Art. 264 quater: “Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los tres artículos anteriores, se le impondrán las siguientes penas: a) Multa de dos a cinco años o del quíntuplo a doce veces el valor del perjuicio causado, si resulta una cantidad superior, cuando se trate de delitos castigados con una pena de prisión de más de tres años. b) Multa de uno a tres años o del triple a ocho veces el valor del perjuicio causado, si resulta una cantidad superior, en el resto de los casos. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.”
[43] Art. 400: “La fabricación, recepción, obtención o tenencia de útiles, materiales, instrumentos, sustancias, datos y programas informáticos, aparatos, elementos de seguridad, u otros medios específicamente destinados a la comisión de los delitos descritos en los Capítulos anteriores, se castigarán con la pena señalada en cada caso para los autores”.
Publicado en Revista Jurídica Región Cuyo, Editorial IJ Editores, Número 9, noviembre 2020