Читать книгу Derecho penal y nuevas tecnologías - Mª Pilar Serrano Ferrer - Страница 11

Especial mención deben recibir los programas informáticos pues la LO 1/2015, de 30 de marzo (RCL 2015, 439 y 868), realiza un ajuste de los tipos. Ya no se habla del artículo 197.3 y del acceso a los programas informáticos sino de un nuevo artículo 197 bis (delito de allanamiento o intrusismo informático), cuyo contenido es básicamente coincidente en su apartado primero:

“El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”.

Un ejemplo sería el de aquel sujeto que vulneró las medidas de seguridad que impedían tener acceso a la cuenta de Facebook de su expareja, accedió al mismo y publicó un mensaje haciéndose pasar por la víctima (poco después colgó otro pidiendo perdón).

La contraseña de Facebook, según se explica en la Sentencia núm. 358/2015, de 22 de junio (PROV 2015, 262182), es una medida de seguridad ad hoc, ya que con tal contraseña se controla el acceso y la permanencia en el sistema y el acceso supone el quebranto de la clave y el ingreso en el sistema por el que se obtiene la disponibilidad del dato o del programa, de modo que el sujeto está en condiciones de visualizarlo, de copiarlo, de imprimirlo, de destruirlo, de modificarlo, de cederlo, de revelarlo, etcétera.

Esta sentencia explica la concurrencia de los elementos típicos del artículo 197 bis de la siguiente manera [la sentencia se refiere al antiguo 197.3 CP/1995 por ser los hechos anteriores a 2015. Ahora sería el 197 bis.1 CP/1995]:

De las alternativas que presenta la inserción entre los delitos de descubrimiento de esta nueva infracción, la tesis que registra una mayor adhesión es la de que el artículo 197.3 escapa a la lógica de la tutela directa y única de la intimidad y los datos personales y que marca un nuevo espacio de protección con un objeto jurídico diferenciado: la seguridad o la intangibilidad de los sistemas informáticos. Esta idea se encuentra avalada por la normativa internacional y comparada concordante.

Con respecto a tal objeto, el delito de intrusión se comportaría como una figura de lesión, ya que, en tanto la consumación viene determinada por el acceso o la permanencia, estas conductas suponen evidentemente la vulneración de la seguridad y la intangibilidad de los sistemas informáticos.

En definitiva, con base en razones de orden sistemático, se plantea que el artículo 197.3 sigue estando vinculado con la protección de la intimidad y los datos personales, en tanto que constituirían los bienes jurídicos protegidos. Ahora bien, las conductas que dicha norma sanciona no representan genuinas afecciones de la intimidad y de los datos personales –o sea, descubrimiento o revelación–, sino que se adelanta el umbral típico hasta incorporar estadios previos, lo que convierte al precepto en una figura de peligro en relación con la intimidad y los datos personales, que sería abstracto puesto que se presumiría de la ejecución de las acciones seleccionadas (acceso y mantenimiento).

Así, pues, se puede considerar que el número 3 del artículo 197 supone un adelantamiento de la protección en un doble sentido:

a) primero, porque permite sancionar hechos que representan riesgos para la intimidad y los datos personales, y

b) segundo, porque permite sancionar hechos dirigidos a descubrir y/o revelar la intimidad o los datos personales.

En todo caso la conducta típica exige la vulneración de medidas de seguridad ad hoc.

Pero el presupuesto legal no constituye, sin más, una condición del objeto de la conducta sino que en rigor va referido a las conductas, a las que delimita. De modo que deben realizarse vulnerando las medidas de seguridad, siempre que dichas medidas estén establecidas precisamente para impedir esos comportamientos; es decir, en principio, no únicamente el acceso sino también la permanencia típicos. Esto supone que, de las múltiples medidas de seguridad informática, son relevantes para el tipo solo las que se interponen para evitar la realización de las conductas.

Solo serían relevantes las medidas ligadas a la seguridad de la información, como sería el caso de los llamados cortafuegos. No quedarían abarcadas, en cambio, las medidas de seguridad ajenas a esta, como son en principio los antispam. Aun así, resultarían típicas aquellas medidas que por ejemplo ofrecen productos como determinados antivirus, que en rigor proporcionan una seguridad integral, al menos en sus versiones premium. Es decir: cortafuegos, administración de cuentas de usuarios, detección y prevención de intrusos, infraestructura de llave pública, conexión única “single sign on (SSO)”, biometría, cifrado, cumplimiento de privacidad, acceso remoto, firma digital, intercambio electrónico de datos “EDI” y transferencia electrónica de fondos “EFT”, transferencia electrónica segura “SET”. Aun así, conviene advertir que estas tecnologías con frecuencia son, por así decirlo, de doble uso, es decir, que constituyen una respuesta no solo a la seguridad de la información sino, en general, a la seguridad informática.

El establecimiento de medidas de seguridad suficientes no puede identificarse sin más con la existencia de una declaración más o menos expresa de negación de acceso. Eso, que quizás pueda valer respecto del delito de allanamiento de morada, no es aquí predicable. Dicho de otro modo, insistiendo en lo expuesto más arriba, la medida de seguridad es autónoma respecto de la existencia o no de autorización.

Por todo ello, debe descartarse que puedan tomarse en consideración unas medidas de seguridad tan burdas que no exijan un nivel técnico especialmente alto para su vulneración 73, como ocurre cuando la clave de acceso apare en la pantalla, bastando con pulsar la tecla “intro” o confirmando la clave 74. Algunas resoluciones de tribunales extranjeros exigen que las claves tengan cierta complejidad, lo que no ocurre si la clave es, por ejemplo, “password”, “123456” o “qwerty” 75.

Se ha planteado también si las contraseñas y, en definitiva, las medidas de seguridad que abren las puertas del sistema en el que se encuentran datos o programas, o de una parte del sistema, pueden ser considerados como objetos de las conductas de acceso. La respuesta no es sencilla, pero parece que es preciso distinguir según que las claves estén recogidas en el sistema como otros datos o programas o estén ligadas al mismo cumpliendo solo la función de medida de seguridad a través de la que se controla el acceso (como las contraseñas de paso) o la permanencia en el sistema. En este último caso, el acceso al sistema supone el quebranto de la clave y se correspondería, en consecuencia, con el ingreso en el sistema, pero no necesariamente con el acceso a datos o programas (por ejemplo, si el ordenador es nuevo y está aún sin contenido relevante). Sin embargo, en el primero cabría considerar que el acceso a la clave constituye un descubrimiento de secreto que puede ser punible conforme al artículo 197.1 del CP/1995.

Una vez obtenido el acceso, el simple acceso no basta pues el tipo, con respecto a la conducta de acceso, vincula la acción típica con los datos o los programas. En consecuencia –contra el criterio de una parte de la doctrina y de la configuración de las infracciones del Convenio sobre Ciberdelincuencia y de la Decisión Marco, que refieren el acceso al sistema informático sin más–, una vez dentro del sistema informático, por así decirlo, se precisa algo más (aunque no necesariamente hacer algo más).

Una alternativa identificaría el acceso, una vez superada la medida de seguridad, con la asunción del control o, mejor, por la disponibilidad del dato o del programa, de modo que el sujeto está en condiciones de visualizarlo, de copiarlo, de imprimirlo, de destruirlo, de modificarlo, de cederlo, de revelarlo, etcétera, sin que sea preciso que efectivamente ello tenga lugar ni que tenga ante sí el dato. Esta interpretación parece) coherente en términos político-criminales y concuerda con la evolución indicada antes, así como con la voluntad del legislador, pero convierte al tenor literal en una metáfora del comportamiento típico (acceder a datos) y, por ello, desborda los límites legales.

En resumen, lo que viene a decir esta sentencia es que la protección de este artículo se ha de relacionar con la seguridad o la intangibilidad de los sistemas informáticos, cuya protección se adelanta a la barrera de protección típica configurándolo como un delito de peligro abstracto, puesto que ese acceso o permanencia no se pone inmediatamente en peligro concreto la intimidad o la seguridad informática sino que es a partir de este cuando puede surgir la lesión.

Las medidas de seguridad a las que se refiere el tipo han de ser idóneas para impedir el acceso y permanencia por lo que no todas se consideran ligadas a la seguridad de la información. Algunas resoluciones exigen que las claves tengan cierta complejidad para entenderse que verdaderamente constituyen un impedimento y una verdadera negación del usuario sobre el acceso.

Así, hablaremos de:

– Un delito de acceso ilegal a sistemas informáticos (197 bis 1.°)

– Un delito de interceptación ilegal de datos informáticos (197 bis 2.°)

– El delito de abuso de dispositivos (197 ter)

Debemos prestar especial atención a la Circular 3/2017 sobre la reforma del Código Penal operada por la LO 2/2015 de 30 de marzo en relación con los delitos de descubrimiento y revelación de secretos y los delitos de daños informáticos.

En esta se concretan una serie de extremos a tomar en consideración que resumimos a continuación (no obstante, se recomienda el estudio de la misma dado el gran número de conceptos y definiciones que alberga):

–El acceso en el 197 bis 1.°, ha de llevarse a efecto sin autorización y vulnerando las medidas de seguridad establecidas para impedirlo. Eventualmente podría ser aplicable la circunstancia genérica de agravación de abuso de confianza del artículo 22.6.° CP si la vulneración de las medidas de seguridad se ve facilitada por la propia posición privilegiada que ocupa el agente como usuario del sistema atacado.

–Se contempla como conducta típica “el propio acceso” a un sistema informático ajeno y “el facilitar” a otra persona ese acceso.

–El objeto de la conducta típica se concreta en el conjunto o una parte de un sistema de información abarcando incluso aquellos accesos que alcanzan únicamente a archivos de meca configuración el sistema.