‘La Sociedad de la Información y el uso de las nuevas tecnologías conllevan enormes e incuestionables ventajas. Sin embargo, también facilita la aparición y comisión de nuevos delitos, amparados por el anonimato y la globalidad de Internet, toda vez que pueden perpetrarse por cualquier persona, desde cualquier lugar del mundo y cuyo sujeto pasivo puede ser cualquier usuario de la red. Por ello es necesario que todos los países unifiquen criterios e instauren en sus Ordenamientos Jurídicos las medidas adecuadas y aúnen esfuerzos frente a los ciberdelincuentes con el fin de mantener la confianza de los millones de usuarios de la Red, fin que persigue la Directiva europea relativa a los ataques a los sistemas de información’.
En el artículo se ofrece un análisis sobre la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los Sistemas de información (DOUE, nº L218/8, de 14 de agosto de 2013), y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo, así como su impacto ennuestro Código Penal. El objetivo principal de esta nueva Directiva es endurecer las penas contra el hacking ilegal y armonizar penalmente el tratamiento que dan los países de la Unión Europea a los ataques contra los Sistemas de información.
Respecto a los antecedentes de la Directiva, Elena Ballesteros comenta que sus orígenes se remontan al Convenio del Cibercrimen de 2001, suscrito por países de la UE y no europeos como Japón, Canadá, Sudáfrica y Estados Unidos, y aprobado por el Comité de Ministros del Consejo de Europa, donde se obligó por primera vez, a todos los Estados firmantes a tipificar los ciberdelitos en su legislación interna, clasificándolos en cuatro grandes grupos:
‘a) Delitos de intrusión: se integran dentro de este grupo las infracciones penales contra la confidencialidad, integridad y disponibilidad de datos y sistemas informáticos, entre los que se encuentran el backdoor, bomba lógica, bots, cracker, cryptovirus, keylogger, leapfrog o spam, entre otros.
b) Delitos patrimoniales: falsedades y estafas, entre los que se contemplan especialmente delitos económicos, en particular, las defraudaciones bancarias comúnmente conocidas como phishing y pharming, sabotajes y fraudes informáticos.
c) Delitos de contenido: en los que exclusivamente se incluyen delitos de corrupción de menores en su modalidad de pornografía infantil.
d) Delitos de infracción de la propiedad intelectual y derechos conexos: que comprende todos los delitos contra la propiedad intelectual y de los derechos afines según la legislación de cada estado parte del Convenio, tales como el spoofing, counterfeiting, copyright, cybersquatting, piratería o abuso de marca’.
En tal sentido, Elena Ballesteros explica que tomando como base este Convenio, ‘la Directiva ahora aprobada intenta que los ataques contra los Sistemas de información sean castigados en todos los Estados miembros con penas efectivas, proporcionadas y disuasorias, mejorando y fomentando la cooperación judicial entre las autoridades judiciales y demás autoridades competentes’. En cuanto a la penalización de las conductas, Elena Ballesteros señala que ‘el artículo 2 de la Directiva hace referencia a los ataques “sin autorización” como elemento esencial de la conducta, ya que es lo que va a determinar que el acceso a un Sistema de Información sea legal o ilegal y, por tanto, perseguible penalmente […] es decir, al igual que ya ocurre en nuestro Ordenamiento Jurídico, para acceder a los Sistemas de información será necesario contar con autorización del propietario o del titular de los derechos sobre el sistema’.
Respecto a las conductas descritas como ‘ataque a un Sistema de Información’, en los artículos 3 a 6 de la Directiva, cuyo contenido se enuncia a continuación:
‘Artículo 3: Acceso ilegal a los sistemas de información, cometido intencionadamente.
Artículo 4: Interferencia ilegal en los sistemas de información, entendida como la obstaculización o la interrupción significativas del funcionamiento de un sistema de información.
Artículo 5: Interferencia ilegal en los datos, consistente en borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información, intencionalmente y sin autorización.
Artículo 6: Interceptación ilegal, entendida como la interceptación, por medios técnicos, de transmisiones no públicas de datos informáticos hacia, desde o dentro de un sistema de información, intencionalmente y sin autorización’.
Ballesteros apunta que ‘La totalidad de conductas en ellos descritas y que han de considerarse como infracción penal ya son delitos en España desde la reforma del Código Penal operada por la Ley Orgánica 5/2010, de 23 de junio, en vigor en nuestro país desde el 23 de diciembre de 2010’. No obstante lo anterior, Ballesteros comenta que ‘no podemos decir lo mismo si hablamos de las penas a imponer por la comisión de estos delitos’, dado que en nuestro sistema actual las penas no exceden de los 2-3 años, y siempre y cuando los delitos sean muy graves.
Para terminar sobre el apartado de la responsabilidad penal de las personas jurídicas, ‘al igual que también lo hace nuestro Código Penal desde el año 2010, la Directiva establece en su artículo 10 que las personas jurídicas responderán penalmente por la comisión de ataques a los Sistemas de información, siempre que se hayan cometido en su beneficio, por personas que ostenten un cargo directivo o por cualquier otra persona sometida a su autoridad, cuando exista una falta de supervisión o control’. Apostilla Elena Ballesteros.
Elena Ballesteros, socia de Corporate Compliance & Litigation de ECIJA
