Delito de daños por interrupción y obstaculización de un programa informático ajeno

Irrupción en el funcionamiento de un sistema informático ajeno

Como recogía el mencionado Convenio sobre la Ciberdelincuencia de Budapest de 2001 en su artículo 5 y con posterioridad la Directiva 2013/40/UE en su artículo 4, en ambos se dispone la obligación de los Estados miembros para adoptar medidas sancionadoras respecto a conductas que obstaculicen o irrumpan de manera significativa el funcionamiento de un sistema de información. Por ello, mediante la LO 1/2015, de 30 de marzo, fue introducido el artículo 264 bis a nuestro Código Penal, quedando redactado en el siguiente sentido:

«1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:

a) realizando alguna de las conductas a que se refiere el artículo anterior;

b) introduciendo o transmitiendo datos; o

c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.

2. Se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior.

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.»

Como bien recoge la redacción de este precepto, para su correcta aplicación e interpretación se necesita del artículo 264 del CP. De esta forma, constituirán delito del artículo 264 bis del CP:

1. Borrar.
2. Dañar.
3. Deteriorar.
4. Alterar.
5. Suprimir.
6. Hacer inaccesibles datos informáticos.

Así también conforma este tipo penal la introducción, transmisión de datos, destrucción, daño o inutilizar un sistema informático mediante su sustitución. La propia Fiscalía argumenta, en la Circular 3/2017, de 21 de septiembre, que todas esas conductas son reconducibles a los actos citados en el párrafo anterior del artículo 264 del CP,  «por lo que en una pluralidad de ocasiones la aplicación de uno u otro tipo penal vendrá determinada por la capacidad de la acción para afectar a la operatividad o al funcionamiento del sistema informático en su conjunto».

CUESTIÓN

Respecto a la alteración o introducción de datos, ¿cómo confluyen ambas conductas? y, ¿cómo suelen darse?

Se intuye que mediante la introducción de datos estos pueden ser alterados, conductas típicas que recogen los artículos 264 y 264 bis del CP Por tanto, estamos ante la casuística que fija la Circular, es decir, la introducción de datos reconduce a la acción de alterarlos.

Respecto a la forma en que pueden darse estos delitos, lo más común es a través de los DDoS (Distributed Denial of Service), nombre que reciben los ataques de denegación de servicio, convirtiéndolo en inaccesible por sus usuarios. 

Características del delito regulado en el artículo 264 bis del CP conforme a la doctrina de la Fiscalía General del Estado en la Circular 3/2017, de 21 de septiembre

Atendiendo a lo razonado en la disposición doctrinal, el delito consistente en obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno presenta las siguientes particularidades:

• Delito de resultado: conforme a doctrina, el delito del artículo 264 bis del CP se trata de un delito de resultado.
• Gravedad en el delito: en la Circular se reflexiona sobre el término «grave» y entiende con ello que no todo acto obstaculizador o que interrumpa el funcionamiento de un sistema es constitutivo de un ilícito penal, sino que ha de afectar «realmente y de forma significativa a la funcionalidad del sistema atacado», apreciando necesario para esos casos la aportación de informes técnicos. 
• El carácter ajeno y falta de autorización: deben integrarse e interpretarse de manera conjunta. Como recoge la corriente doctrinal «serían típicas aquellas acciones que se realizan intencionadamente sobre los mismos, con los objetivos indicados, sin estar habilitado para ello» y quedarían al margen de la aplicación de este precepto penal las actuaciones sobre sistemas informáticos que no requieran de autorización y sobre los que el titular tiene pleno control. 

Tipo agravado del artículo 264 bis del CP 

Como precisa esta norma, en sus apartados 1, 2 y 3, el tipo agravado se aplicará cuando:

• Los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública: pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.
• Si el delito se comete en el marco de una organización criminal; si ocasiona daños de especial gravedad o afecta a un número importante de sistemas informáticos; si afecta a servicios públicos esenciales o bienes de primera necesidad; si afecta al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la UE o de un Estado Miembro de la UE; si para la comisión del delito produjera o adquiriera un programa informáticos o contraseña, clave de acceso, o similar, de un ordenador: pena de prisión de 3 a 8 años y multa del triplo al décuplo del perjuicio ocasionado. 
• Las penas anteriores se impondrán en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

A TENER EN CUENTA. En el tipo agravado del artículo 264 bis, apartados 2 y 3 del CP,  ante la referencia explícita que hace al 264 del CP debe prestarse atención a las consideraciones que se recogen en este último precepto (expuestas en el punto anterior en el que se desarrollan los tipos agravados del artículo 264 del CP) .

De nuevo, trayendo a colación la doctrina de la Fiscalía General del Estado en la Circular 3/2017, de 21 de septiembre, esta estima:

«Es evidente, por tanto, que  el Legislador ha considerado notablemente más graves y peligrosas –porque así lo son efectivamente– las acciones dirigidas contra el sistema informático en su conjunto que provocan su interrupción u obstaculizan de forma grave su normal funcionamiento, respecto de aquellas otras que afectan exclusivamente a los datos, programas o documentos electrónicos  aun cuando tengan incidencia, al menos indirecta, en el sistema en el que se integran, siempre que no impliquen una pérdida significativa en la funcionalidad del mismo».