por Enrique Angel Alvarez Aldana, Dr.  Jorge Gorini y Dr.  Cristian Varela

Comisión de Delitos Informáticos. Buenos Aires,  24 de septiembre de 2001.

Consejo de Europa

El Comité Especial de Expertos sobre Delitos relacionados con el empleo de Computadoras (cyber crime) en su reunión del 29 de junio de 2001 en  Estrasburgo,  realizó en materia de derecho sustantivo una  profusa sistematización de las conductas más comunes que son configurativas de delitos informáticos y que como tal requieren de los estados parte un urgente tratamiento legislativo.

En lo que atañe al derecho de fondo el convenio  establece:

El  Título 1, correspondiente al Capítulo II, Sección I,    define a  los "Delitos contra la confidencialidad, la integridad y la disponibilidad de datos y sistemas informáticos";  ese Título 1 en los artículos 2 a 6,  hace referencia a los "Delitos relacionados con el acceso ilegítimo a sistemas", "Interceptación ilegítima", "Interferencia de datos", "Interferencia de sistemas" y "Mal uso de Dispositivos"; El título II, en los artículos 7 y 8,  se refiere a la "Falsificación relacionada con las computadoras";  el Título 3,  artículo 9, "Delitos relacionados con los contenidos" dónde se mencionan los delitos relacionados con la pornografía infantil;  el Título 4,  artículo 10, "Delitos relacionados con la violación de los derechos de autor y otros delitos" y el título 5, artículos 11 y 12,  de la "Responsabilidad y sanciones auxiliares".

España:

Este país reformó su Código Penal en el año 1995 (L.O. 10/1995, de 23 de noviembre) y de esta reforma surge que:

1.   Se equiparan los mensajes de correo electrónico a las cartas y papeles privados (artículo 197)

2.   Se castiga a quien sin estar autorizado se apodere, utilice o modifique, en perjuicio de tercero, datos personales de otro que se hallen registrados, entre otros, en soportes informáticos (artículo 197)

3.   Se reprime el delito de amenazas hechas "por cualquier medio de comunicación" (artículo 169)

4.   Se castigan las calumnias e injurias difundidas por cualquier medio (artículo 211)

5.   Se modifica el artículo 248 que tipifica el delito de estafa incluyendo a los que con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.

6.   Se protege el software al castigarse a quien dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos (artículo 264), así como la fabricación, puesta en circulación y tenencia de cualquier medio destinado a facilitar la supresión no autorizada de cualquier dispositivo utilizado para proteger programas de ordenador (artículo 270)

7.   Se sanciona la fabricación o tenencia de programas de ordenador, entre otros,  específicamente destinados a la falsificación de todo tipo de documento (artículo 400).

Alemania:

Por ley  del 15 de mayo de 1986 llamada " Contra la criminalidad económica"  se penalizó distintas conductas relacionadas con los delitos informáticos.

1.   El espionaje de datos, art. 202;

2.   El fraude informático, artículo 263

3.   El engaño en el tráfico jurídico durante la elaboración de datos, artículo 270,

4.   El uso de autenticaciones o almacenamiento de datos falsos, artículo 273;

5.   La falsificación de datos probatorios relevantes, artículo 269,

6.   La supresión de documentos, inutilización, o alteración de datos, artículo 274;

7.   El delito de daño,  tipificando conductas dirigidas a borrar, eliminar, hacer inútil o alterar ilícitamente datos, artículo 303ª y

8.   El  sabotaje informático, en cuanto a la acción de destruir, inutilizar, eliminar, o alterar una instalación de elaboración de datos  o un soporte de datos.

Austria:

La reforma del Código Penal Austriaco es del 22 de diciembre de 1987 y contempla dos figuras relacionadas con nuestra materia, la destrucción de datos, personales, no personales y programas (artículo 126) y la estafa informática (artículo 148).

Francia:

La ley 88/19 del 5 de enero de 1988 sobre fraude informático penaliza el acceso fraudulento a un sistema de elaboración de datos (artículo 462/2); el sabotaje informático, consistente en la alteración de funcionamiento de un sistema de tratamiento automatizado de datos (artículo 462/3); y la destrucción de datos (artículo 462/4).

Estados Unidos

En el marco Federal, este país ya contaba -desde por lo menos 1986- con la Federal Abuse and Fraud Act que le brindaba un  marco legal para defenderse de los delitos informáticos. Sin embargo en 1994 se adopto la Fraud and related activity in connection with computer (18 U.S.C. 1030)que resulto un instrumento mucho más completo y actualizado para perseguir una serie de conductas tales como las que paso a detallar:

1.   Hacking (intromisión o acceso indebido o más allá del autorizado) seguido de descubrimiento de información protegida por razones de seguridad nacional o relaciones con el extranjero o simplemente información de circulación restringida por ley. [(a) (1)]

2.   Hacking con el objeto de hacerse de un archivo financiero de una entidad financiera o de un usuario de tarjeta según los términos de  la sección 1602 (n) del titulo 15, o de un archivo de un consumidor  que este en poder de una Consumer reporting Agency.[(a)(2) (A)]

3.   Hacking con el objeto de  obtener información de un Departamento o Agencia del Estado norteamericano.

4.   Hacking con el objeto de obtener información de una "computadora protegida" ( que la define como la que esta exclusivamente a disposición de una entidad financiera o el gobierno de los EEUU, o cuando no es exclusivamente para uso de alguno de los dos mencionados pero la ofensa altera el uso que de ella hacen estos dos tipos de entidades)

5.   Se salvaguarda expresamente el derecho de las Agencias del servicio secreto de los EEUU o otras agencias con autoridad similar (piénsese en FBI) de investigar los delitos aquí tipificados.

6.   Hacking accediendo a una computadora ilegítimamente con la intención de defraudar, y cuyo accionar logra efectivamente su objetivo, y  siempre que dicha defraudación supere los $5000 obtenidos en un periodo menor a un año. [(a)(4)]

7.   Quien con plena intención, causa la transmisión de un programa, información, código o comando, y como resultado de ello, causa un daño indebido a una computadora "protegida"

8.   Quien accede ilegítimamente a una computadora y negligentemente causa un daño.

9.   Quien simplemente accede a una computadora protegida y causa objetivamente un daño.

10. Quien con plena intención de defraudar vende, transfiere, dispone o obtiene control sobre con la intención de transmitir, una password o información similar mediante la cual una computadora puede ser accedida sin autorización, siempre que esa venta o transferencia:

a)   Afecte el comercio interestatal o internacional

b)   Esa computadora sea usada por el Gobierno de los EEUU

11. Quien con la intención de extorsionar a una persona, firma, asociación, institución, gobierno o otra entidad transmite entre el comercio entre estados o internacionalmente una amenaza de causar daño a una computadora "protegida"

Las penas van desde los  10 años hasta el año, con accesoria de multa. Para los reincidentes la pena es de 20 años, con accesoria de multa.

Si bien el 18 U.S.C. 1030 es una de los instrumentos fundamentales dentro del marco federal, no es el único. El mismo se complementa con los siguientes:

18.U.S.C. 875 Interstate Communication Including Threats, kidnapping, Ransom, extortion

18 U.S.C. 1029  Possession of access Devices

18 U.S.C. 1343  Fraud by wire, radio or television

18 U.S.C. 1361  Injury to Goverment Property

18 U.S.C. 1362 Government Communication systems

18 U.S.C. 1831  Economic Espionage Act

18 U.S.C. 1832  Trade Secrets Act

Asimismo, se debe destacar que existe una abundante cantidad de legislación dentro década uno de los mas de cincuenta estados. Estos suelen avanzar tanto en lo que hace a la tipificación de los delitos u ofensas (spam, etc), como respecto de materias procedimentales.

Valga como ejemplo:

i.          Arizona Computer Crimes Laws, Section 13-2316

ii.         Iowa Computer Crime Law, Chapter 716A.9

iii.         Kansas Computer Crimes Law, Kansas, Section 1-3755

iv.            Louisiana revised Status 14:73.4 (Computer Fraud)

v.                Michigan Compiled Laws Section 752.794 (Access to computers for devising or excecuting scheme to defraud or obtain money, property, or services).

Italia

Por reforma del Código Penal del año 1993 incluyó  la figura del fraude informático (art. 640 ter).

Posteriormente en el año 1995 se volvió a reformar el Código Penal Italiano para contemplar la figura del daño informático (arts. 420 y 633 ) , comprendiendo en ello la difusión de virus.

Asimismo se contempla la conducta del hacking, o acceso ilegítimo a datos (artículo 615 ter )

Holanda

La ley que penaliza los delitos informáticos es del 1 de  marzo de 1993.  Los delitos que contempla son el acceso ilegítimo a datos, y la utilización de servicios de telecomunicaciones evitando el pago del servicio (phreaking), la distribución de virus y la entrega de información por engaño.

Asimismo desde principios de este año entró en vigencia la ley de protección de datos personales.

Inglaterra

Mediante la "Computer Misuse Act"  o ley de abuso informático de 1990 trata los accesos ilegítimos a sistemas (Deals with unauthorised access to computers).

Chile

Por reforma del año 1993 se redactó una ley especial que contempla las figuras del delito informático entre las cuales se encuentran:

1.         La destrucción maliciosa de un sistema de tratamiento de información, o de alguno de sus componentes, así como impedir u obstaculizar su funcionamiento.

2.         La interceptación, interferencia o acceso a un sistema con el ánimo de apoderarse o usar la información.

3.         La alteración, o daño de datos contenidos en un sistema de tratamiento de la información.

4.         Revelar o difundir datos contenidos en un sistema de información.

Perú

La reforma del Código Penal en materia de delitos informáticos es la más reciente puesto que data de fines del año 2000.

Entre las figuras más salientes se encuentran:

1. El ingreso o uso  indebido,  a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos (art. 207 A).

2.  El uso,  ingreso o interferencia  indebida de una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos (art. 207 B).

3. Agravantes:  cuando se  accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función del cargo; o sí el autor pone en peligro la seguridad nacional (art. 207 c).

Méjico

El Código Penal contempla el acceso ilegítimo a sistemas y equipos informáticos.

Se dan distintas figuras en los artículos 211 bis, 1 a 7:

1.  El acceso ilegítimo  para alterar, destruir o modificar la información contenida en equipos informáticos protegidos por mecanismos de seguridad.

 2.  Copiar  o conocer  sin autorización, información contenida en sistemas o equipos informáticos protegidos por algún mecanismo de seguridad.

3.  Quién estando autorizado al acceso de equipos informáticos del Estado indebidamente  modifica,  destruya  o causa  la pérdida de información, o la copia.

4. El que sin autorización modifica, destruye o provoca la pérdida de la información contenida en equipos informáticos de instituciones que integran el sistema financiero.

5.  El que sin autorización conoce o copia información contenida en sistemas o equipos de informática de instituciones que integren el sistema financiero y que se encuentren protegidos por algún dispositivo de seguridad.

Bolivia

Por Ley 1768, del  10 de marzo de 1.997 modificó su Código Penal.

Legisla sobre:

1. Alteración, acceso y uso indebido de datos informáticos (artículo 363)-

2. Fraude informático (artículo 363 bis) .

Argentina

La normativa original del código penal no contemplaba  la protección de la información entendida como bien intangible.

Recién a partir de la sanción de la Ley de Protección de los Datos Personales, mejor conocida como Habeas Data,  ( Ley N°25.326) que añadió al Código Penal los artículos 117 bis y 157 bis se le brinda protección penal a la información entendida como bien inmaterial, pero sólo cuando ésta se refiere a datos personales.

Existen otras leyes especiales que también dan tutela a ciertos intangibles, a titulo de ejemplo:

La 24.766, llamada de confidencialidad de la información, que protege a ésta  sólo cuando importa un secreto comercial; 

La ley  24.769, de delitos tributarios, que  brinda tutela penal a la información del Fisco Nacional a fin de evitar su supresión o alteración.

La ley 11.723 luego de sanción de la ley 25.036  ha extendido la protección penal al software.

En el caso "Pinamonti, Orlando M", resuelto por la sala vi de la cámara del crimen el 30/4/93 el Tribunal debió absolver al imputado al tender que el borrado de software no importaba el delito de daño.

El caso "Ardita, Julio", es otro claro ejemplo puesto que el nombrado accedió ilegítimamente a sistemas de datos y utilizó el servicio de acceso gratuito (0800) de la empresa Telecom con el que se comunicaba fraudulentamente.

El delito de acceso ilegítimo no le pudo ser reprochado puesto que para nuestra ley no configura delito, sí se le atribuyó el delito de estafa.

Curiosamente en los estados unidos, país que pidió su extradición por violación de sistemas informáticos, de la Marina y de la Universidad de Harvard, un Tribunal de la Ciudad de Boston lo condenó  a tres años de prisión y multa de cinco mil dólares.

Asimismo existe otro antecedente nacional en que el Juzgado Federal de Río Cuarto, el 26 de abril de 1999,  desestimó una denuncia de la Universidad de Río Cuarto en un caso de acceso ilegítimo al sistema informático por no importar delito.

A modo de conclusión, se podría decir que se advierte que en la Argentina existe la necesidad de regular los delitos informáticos ante la imposibilidad de aplicar por analogía otras figuras relacionadas con delitos convencionales  contemplados  por el Código Penal, en virtud del principio de legalidad.        

Como se ha visto  hay una diversidad de conductas antijurídicas, como ser, el  acceso ilegítimo a sistemas o datos informáticos, daños y sabotajes informáticos, fraudes cometidos a través de la red, desvío electrónico de dinero,  delitos que no en todos los casos pueden ser perseguidos penalmente por la falta de  una legislación específica, puesto que lo contrario importaría violar el  mentado principio, que se encuentra consagrado en todas las naciones civilizadas del mundo.

Esa es la principal razón de la necesidad de tipificar las conductas delictivas más comunes en materia de delincuencia informática a fin de llenar los vacíos legales que el derecho penal, ante la ausencia de una ley previa, no puede cubrir (artículo 18 de la Constitución Nacional).

El derecho penal objetivo se alza de esta manera como el límite infranqueable  de la facultad de reprimir por parte del Estado puesto que en derecho penal no hay crimen ni pena sin ley previa, y todo lo que no está prohibido por una ley está permitido. Aquí juega aquello de que  nadie puede ser obligado a  hacer lo que la ley no manda ni privado de lo que ella prohibe (artículo 19 de la Constitución Nacional que recepta el principio de reserva).

Sobre este tema, uno de nuestros más importantes doctrinarios, el Dr. Sebastián Soler, definió al derecho penal como "Un sistema discontinuo de ilicitudes, ello es, que entre una figura y otra no hay solución de continuidad, cada una de ellas es autónoma y está meramente yuxtapuesta a otra: el total de figuras delictivas es una suma y no un producto".

CONTENIDO DEL ANTEPROYECTO

Antes de avanzar sobre el comentario del articulado se vuelve necesario remarcar la importancia, para la real aplicabilidad de los tipos ya definidos y los que en el futuro se puedan crear, de demarcar claramente dos conceptos centrales para esta ley. Cabe referirse a las definiciones de "sistema informático" y "dato informático o información". 

La Comisión ha podido comprobar, fruto del debate que tuvo lugar en su seno y alimentado por los debates que se producen en otras latitudes, que la inmensa cantidad de las conductas ilegitimas que se buscan reprimir atentan ya sea contra uno u otro de estos dos conceptos definidos. Consiguientemente se decidió -siguiendo la Convención del consejo de Europa sobre Cyber crime- que, demarcando con nitidez ambos conceptos y haciéndolos jugar dentro de la tipología elegida, se lograba abarcar en mayor medida las conductas reprochables, sin perder claridad ni caer en soluciones vedadas por principios centrales del derecho penal: a saber, Principio de legalidad y Principio de Prohibición de la Analogía.

El anteproyecto se estructura en tres figuras fundamentales y  disposiciones comunes a ellas. La incriminación de las conductas descriptas es el producto de la sistematización a la que hemos llegado luego de analizar exhaustivamente  proyectos e iniciativas que han tenido lugar en distintos países. A saber:

a)         Acceso ilegítimo informático

b)         Daño informático

c)                  Fraude informático

d)                 Disposiciones comunes

En el primero de los casos se acuña el tipo básico de todo acceso ilegítimo a sistemas o datos informáticos, figura que contempla el llamado hacking, delito que vulnera la confidencialidad de la información (en sus dos aspectos, intimidad y exclusividad) y que puede ser la antesala de otros delitos más graves, por ejemplo  el daño, o el fraude informático.

Dicha figura se complementa con dos agravantes según si el autor divulga o revela la información, o sí el sistema accedido concierne a la seguridad, defensa nacional, salud pública o la prestación de servicios públicos.

En el segundo de los casos el tipo penal incrimina legislativamente  el llamado daño informático, también conocido como sabotaje informático o cracking, acción dirigida a dañar sistemas o datos informáticos.

Como en el supuesto anterior  se redactó una figura básica y tres incisos que prevén distintas agravantes, contemplando el tercero de ellos una pena máxima para el caso que se produzcan las consecuencias dañosas previstas en la ley.

El fraude informático consta de una figura básica que tiene como carácter distinto del daño el ánimo de lucro que persigue el autor del hecho, quién se vale de manipular sistemas o datos informáticos, o utiliza cualquier artificio tecnológico semejante para procurar la transferencia no consentida de cualquier activo patrimonial de un tercero.

Si el fraude informático perjudica a la Administración Pública Nacional o Provincial, o a entidades financieras la pena se eleva de dos a ocho años de prisión.

El proyecto se completa con disposiciones comunes que se dirigen a penalizar las conductas de los responsables de la custodia, operación, mantenimiento o seguridad de un sistema o dato informático y a definir estos dos últimos conceptos.

Por las razones expuestas es que solicitamos la consideración el presente anteproyecto de ley.