Delito de daños informáticos

1. ¿En qué consiste el delito de daños informáticos?

El daño de datos, programas informáticos o documentos electrónicos ajenos, fue ya introducido como delito específico por la Ley Orgánica 5/2010, de 22 de junio, que modificó el Código Penal (en adelante, CP), aunque, posteriormente, la Ley Orgánica 1/2015, de 30 de marzo, también modificadora del CP, ha introducido importantes novedades.

El delito de daños informáticos está regulado en los arts. 264 a 264 quater del CP. Es una figura autónoma del delito de daños genérico del artículo 263, y en él se incluyen varias conductas típicas, con un tipo básico y tipos agravados en base a determinadas circunstancias.

El delito de daños informáticos en sentido estricto se encuentra tipificado y sancionado en el apartado primero del artículo 264 del CP, cuyo tenor literal es el siguiente:

“El que, por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años”.

La conducta típica del delito de daños informáticos del tipo básico consiste en borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesible determinada información, consistente en datos, documentos o programas.

Para que se produzca la conducta típica es necesario que la pérdida de dicha información sea irreversible. En el caso de que existan copias de seguridad de los datos alterados o borrados se considera que no existe delito, o incluso que el delito se ha cometido en grado de tentativa.

Estamos ante un delito doloso, es decir, se debe acreditar la intención de causar el daño. El daño no tiene por qué recaer sobre el soporte que contiene los datos (por ejemplo, un CD o un USB), sino que basta con que el daño recaiga sobre el elemento en sí, por ejemplo, el formateo de un disco duro.

Por último, el resultado producido debe ser grave. La Audiencia Provincial de Madrid en su sentencia núm. 23/2017, de 10 de enero, destaca que el resultado grave de los daños causados debe ser valorado en base los siguientes criterios:

• La probabilidad de recuperar los daños informáticos
• La pérdida absoluta de los datos informáticos
• El coste económico de la reparación del daño
• La dificultad técnica que supone la recuperación.

Será importante contar con abogados expertos en ciberdelitos y nuevas tecnologías, que trabajen codo con codo con peritos informáticos, para acreditar el daño y defender tus derechos ante los tribunales de justicia.

2. El delito de daños informáticos con penas agravadas

El apartado 2 del artículo 264 del CP regula un tipo agravado del delito de daños informáticos con penas de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado cuando concurra alguna de las siguientes circunstancias:

• Se hubiese cometido en el marco de una organización criminal.

Cuando se refiere a organización criminal, está haciendo referencia a la definición dada por el artículo 570 bis del CP, esto es, una agrupación formada por más de dos personas con carácter estable o tiempo indefinido, que de manera concertada y coordinada se repartan diversas tareas o funciones con el fin de cometer delitos.

• Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

Ambos requisitos no tienen por qué darse de manera conjunta. La Fiscalía General del Estado, en su Circular 3/2017, de 21 de septiembre, sobre la reforma del CP, considera que puede tratarse de daños de especial gravedad causados en uno solo o en una pluralidad de sistemas informáticos, o de una acción que genere efectos en un número importante de sistemas, aun cuando el daño causado en cada uno de ellos no sea de especial gravedad, si el volumen de sistemas afectados justifica la aplicación de la agravación.

• El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, define los servicios públicos esenciales como los “servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones del Estado y las Administraciones Públicas”.

En cambio, los bienes de primera necesidad pueden ser definidos, en palabras del Tribunal Supremo en su sentencia núm. 1307/2006, de 22 de diciembre, como “cosas de primera necesidad u otros bienes de reconocida utilidad social, además de las viviendas, expresamente mencionadas, y todas aquellas que resulten imprescindibles para la subsistencia o salud de las personas…”

• Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea.

A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.

• El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Este apartado hace referencia a que el delito se cometa utilizando, o bien un programa informático, o bien una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte del sistema de información.

El último inciso del artículo 264 del CP prevé la aplicación de la pena superior en grado si los hechos hubieran resultado de extrema gravedad.

Además, el artículo 264.3 y el artículo 264 bis 3 establecen que las penas se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

3. El delito de interrupción del funcionamiento de servicio o ataques de denegación de servicios distribuidos

Por su parte, el artículo 264 bis del CP castiga con pena de prisión de seis meses a tres años al que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:

1. realizando alguna de las conductas a que se refiere el artículo anterior, ya comentadas;
2. introduciendo o transmitiendo datos; o
3. destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.”

En este caso, el bien sobre el que recae la conducta son los sistemas informáticos en general, siendo la finalidad la de interrumpir u obstaculizar su funcionamiento.

Esta conducta se introdujo en la reforma del 2010 del CP, para incorporar aquellas conductas delictivas que pretenden bloquear servidores o páginas web, por ejemplo, a través del envío masivo de comunicaciones comerciales – spam – o a través del acceso en un mismo momento de muchos visitantes desde diferentes direcciones IP.

El artículo 264 bis prevé una triple agravación de la pena cuando:

• Los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, de un negocio o de una Administración pública. En este caso, se impondrá la pena en su mitad superior, pudiéndose incluso alcanzar la pena superior en grado.
• Si en los hechos concurre algunas de los agravantes que hemos analizado con anterioridad en el apartado 2 del art. 264 del CP. En este caso, se impondrá la pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado.
• Si los hechos se cometen mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero. En este caso, las penas se impondrán, en sus respectivos casos, en su mitad superior.

4. La facilitación al delito de daños informáticos

El artículo 264 ter del CP tipifica la ayuda que pueda prestar un tercero en la comisión de estos delitos a través de conductas concretas y determinadas. Encontramos en este precepto un adelantamiento de la barrera de protección penal, puesto que se trata de una especie de acto preparatorio de los delitos previstos en los dos artículos anteriores.

Así, se castiga con pena de prisión de seis meses a dos años o multa de tres a dieciocho meses, al que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:

1. a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o
2. b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.”

Se trata de un delito de intención, consistente en facilitar por cualquier medio a terceros los datos o programas indicados, con el concreto objetivo destinado a la comisión de daños informáticos.

5. El sabotaje informático de las telecomunicaciones y de los servicios esenciales

El sabotaje informático de las telecomunicaciones y de los servicios esenciales está recogido dentro de los delitos contra el orden público, en el Capítulo III del Título XXII, titulado “De los desórdenes públicos” en el artículo 560 del CP.

El citado artículo establece lo siguiente:

“1. Los que causaren daños que interrumpan, obstaculicen o destruyan líneas o instalaciones de telecomunicaciones o la correspondencia postal, serán castigados con la pena de prisión de uno a cinco años.

2. En la misma pena incurrirán los que causen daños en vías férreas u originen un grave daño para la circulación ferroviaria de alguna de las formas previstas en el artículo 382.

3. Igual pena se impondrá a los que dañen las conducciones o transmisiones de agua, gas o electricidad para las poblaciones, interrumpiendo o alterando gravemente el suministro o servicio.”

Actualmente, todas las conducciones o trasmisiones de agua, gas y electricidad están controladas por sistemas informáticos, y constituyen servicios públicos, al igual que la red de telecomunicaciones.

6. La responsabilidad penal de la persona jurídica en el delito de daños informáticos

El delito de daños informáticos es uno de los delitos que conforman la lista numerus clausus de delitos en los que pueden ser responsables penalmente las personas jurídicas. Así lo establece el artículo 264 quater del CP, cuando enumera las penas que pueden ser aplicadas a las mismas cuando sean responsables de los delitos comprendidos en los artículos 264, 264 bis y 264 ter.