Modalidades de la estafa informática

¿Qué modalidades puede adoptar la estafa informática?

La estafa informática puede revertir diferentes formas, aunque la finalidad del delito siempre es el beneficio económico del autor y el perjuicio hacia la víctima. En la práctica podemos encontrar numerosos actos que constituyen una estafa informática, entre otros, podemos nombrar:

• El delito de estafa informática a través de tarjetas bancarias, que se tipifica en el artículo 248, apartado 2, letra c) del C.P. 
• El delito de estafa informática a través de ofertas de empleo falsas. 
• El ''phishing'', delito muy habitual en el ámbito bancario y que converge en ocasiones con el delito de blanqueo de capitales. 
• Conductas de estafa a través de Bitcoins (criptomonedas) y su naturaleza informática. (Ver STS, n.º 326/2019, de 20 de junio. ECLI:ES:TS:2019:2109 que resuelve un asunto de este tipo).
• Cartas nigerianas: tipo de fraude informático consistente en el envío de correos electrónicos a personas residentes en el extranjero para la obtención de sus datos bancarios y así acceder al capital de la víctima. A través de este delito se pretende mover grandes cantidades de dinero a nivel internacional.

Nuestro Tribunal Supremo se ha pronunciado en numerosas ocasiones sobre estafas de este tipo. Como ejemplo podemos citar la STS, n.º 470/2017, de 22 de junio. ECLI:ES:TS:2017:3173 donde se condena a un delito de estafa el fraude de cartas nigerianas cometido a través del envío de cartas o correos electrónicos a personas residentes en países extranjeros, comunicándoles haber sido agraciados con un premio falso de lotería española y para cuyo cobro deberían enviar previamente cantidades diversas de dinero en concepto de tasas e impuestos varios.

También en la reciente STS, n.º 54/2021, de 27 de enero. ECLI:ES:TS:2021:150 se trata el fraude de las cartas nigerianas, y es de destacar dentro de sus fundamentos, el punto sexto en lo relativo a la configuración del engaño típico del delito de estafa. Los recurrentes cuestionaban si el engaño al que fue sometida la víctima fue bastante, o por el contrario, esta desatendió sus deberes de autoprotección al considerar que "cualquier persona, en el contexto social donde se produce, ciudadano británico, conoce y sabe que no le puede tocar un premio al que no ha jugado, y que, una vez agraciado con un premio, no se piden cantidades ingentes de dinero para cobrarlo, pues más bien se pagan los impuestos con posterioridad al cobro y no al contrario".

La Sala de lo Penal del TS citando diferentes sentencias dictadas por la Sala en las que declaraba, respecto a los deberes de autotutela o de autoprotección del perjudicado, que "no debe desplazarse indebidamente sobre los perjudicados la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, y el autor ha conseguido su objetivo, lucrándose en perjuicio de su víctima. En este sentido la STS 228/2014, de 26 de marzo, considera que 'únicamente el burdo engaño, esto es, aquel que puede apreciar cualquiera, impide la concurrencia del delito de estafa, porque, en ese caso, el engaño no es 'bastante'. Dicho de otra manera: el engaño no tiene que quedar neutralizado por una diligente actividad de la víctima ( STS 1036/2003, de 2 de septiembre), porque el engaño se mide en función de la actividad engañosa activada por el sujeto activo, no por la perspicacia de la víctima".

Para el alto tribunal si el sujeto pasivo fuera capaz siempre de detectar el ardid del autor o agente del delito, nunca se llegaría a consumar una estafa, "el engaño ha de entenderse bastante cuando haya producido sus efectos defraudadores, logrando el engañador, mediante el engaño, engrosar su patrimonio de manera ilícita, o lo que es lo mismo, es difícil considerar que el engaño no es bastante cuando se ha consumado la estafa. Como excepción a esta regla sólo cabría exonerar de responsabilidad al sujeto activo de la acción cuando el engaño sea tan burdo, grosero o esperpéntico que no puede inducir a error a nadie de una mínima inteligencia o cuidado" (STS, n.º 1243/2000, de 11 de julio. ECLI:ES:TS:2000:5692).

Finaliza determinando que, la "doctrina de la Sala sobre la configuración del engaño típico del delito de estafa señala que en su análisis ha de partirse de la base de que el tráfico mercantil ha de regirse por los principios de buena fe y confianza ( STS 838/2012, de 23 de octubre). Por ello, el marco de aplicación del deber de autoprotección debe ceñirse a aquellos casos en que consta una omisión patentemente negligente de las más mínimas normas de cuidado o porque supongan actuaciones claramente aventuradas y contrarias a la más mínima norma de diligencia".

En el supuesto de autos, el hecho probado fue que, el autor o autores desconocidos comenzaron a contactar con ciudadanos extranjeros vía email o carta, haciéndoles creer que les había tocado la lotería y que, para poder cobrar el premio, debían hacer unos pagos adelantados. "Las víctimas caían en la trampa con esos pagos por adelantado porque recibían documentos ficticios como supuestas cartas del Ministerio de Hacienda, o certificados de bancos, u otros que simulaban ser seguros, tasas, e impuestos, entre otros trámites inventados".

Para el Supremo, de esta forma "aparece el engaño como factor transversal causante de la realización de los distintos actos que determinaron el desapoderamiento de los perjudicados. El desplazamiento no fue consecuencia, en los términos expresados por la doctrina de esta Sala, de la falta de perspicacia, estúpida credulidad o extraordinaria indolencia de los sujetos pasivos del delito, sino del actuar de quienes contraviniendo los principios de buena fe y confianza que deben regir en el tráfico mercantil, hicieron creer a sus víctimas que habían sido agraciados con un premio. Para ello aparentaban seriedad y solvencia a través de la remisión de documentos ficticios como supuestas cartas del Ministerio de Hacienda, o certificados de bancos, u otros que simulaban ser seguros, tasas, e impuestos, lo que aseguraba la confianza de las víctimas quienes procedieron a realizar transferencias de importantes cantidades de dinero que nunca recuperaron".

Delito de estafa en el ámbito bancario en métodos de pago distintos al efectivo

Si bien el propio artículo 248, apartado 2, letra c), del Código Penal dispone que, son reos de estafa ''los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero'', en el marco europeo se ha venido desarrollando normativa aplicable y protectora hacia los ciudadanos en el seno de relaciones u operaciones de tipo bancario. Es el caso de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo que sustituye la anterior Decisión Marco 2001/413/JAI del Consejo que se suscribía bajo el mismo nombre y con el mismo fin. 

A través de esa Directiva se aportan la relación de definiciones e infracciones que pueden darse en el ámbito del fraude y falsificación de medios de pago distintos del efectivo, con el objetivo de prevenirlas y amparar a las víctimas, obligando a los Estados Miembros a adoptar las medidas necesarias para dar cumplimiento efectivo a tal norma. 

A TENER EN CUENTA. El artículo 20 de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, dispone que los Estados miembros deben adoptar las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo ordenado en la misma, con fecha límite de 31 de mayo de 2021, debiendo informar de ello a la Comisión. 

Es importante partir del concepto de ''instrumento de pago distinto del efectivo'', que la propia Directiva facilita y consisten en: ''un dispositivo, objeto o registro protegido, material o inmaterial, o una combinación de estos, exceptuada la moneda de curso legal, que, por sí solo o en combinación con un procedimiento o conjunto de procedimientos, permite al titular o usuario transferir dinero o valor monetario incluso a través de medios digitales de intercambio''.

Partiendo de esta descripción y de la obligación de los Estados miembros para adoptar todas las medidas necesarias para garantizar que sean punibles la utilización fraudulenta de un instrumento de pago distinto del efectivo que haya sido objeto de robo o de otra forma de apropiación u obtención ilícita, así como la utilización fraudulenta de un instrumento de pago distinto del efectivo falsificado o alterado, siempre que hayan sido cometidos intencionadamente, el artículo 4 de la de la citada Directiva, establece que constituyen infracciones relacionadas con la utilización fraudulenta de instrumentos de pago materiales distintos del efectivo los siguientes actos:

• La sustracción o cualquier otra forma de apropiación ilícita de un instrumento de pago material distinto del efectivo.
• La falsificación o alteración fraudulenta de un instrumento de pago material distinto del efectivo.
• La posesión, para su utilización fraudulenta, de un instrumento de pago material distinto del efectivo que haya sido objeto de robo u otra forma de apropiación ilícita, o de falsificación o alteración.
• La obtención, para uno mismo o para otra persona, incluida la recepción, apropiación, compra, transferencia, importación, exportación, venta, transporte o distribución, de un instrumento de pago material distinto del efectivo que haya sido robado, falsificado o alterado para su utilización fraudulenta.

Y constituyen infracciones relacionadas con la utilización fraudulenta de instrumentos de pago inmateriales distintos del efectivo:

• La obtención ilícita de un instrumento de pago inmaterial distinto del efectivo, al menos cuando tal obtención haya supuesto la comisión de alguna de las infracciones a que se refieren los artículos 3 a 6 de la Directiva 2013/40/UE, es decir, que haya un acceso sin autorización a un sistema de información violando una medida de seguridad o que sea una transmisión no pública de datos informáticos, de manera intencionada y sin autorización.
• La apropiación indebida de un instrumento de pago inmaterial distinto del efectivo.
• La falsificación o alteración fraudulenta de un instrumento de pago inmaterial distinto del efectivo.
• La posesión, para su utilización fraudulenta, de un instrumento de pago inmaterial distinto del efectivo que haya sido objeto de obtención ilícita, falsificación o alteración, al menos si el origen ilícito del instrumento se conocía en el momento de su posesión.
• La obtención, para uno mismo o para otra persona, incluida la venta, transferencia y distribución, o la puesta a disposición de terceros, de un instrumento de pago inmaterial distinto del efectivo que haya sido obtenido de manera ilícita, falsificado o alterado, para su utilización fraudulenta.

En la práctica se da una interpretación muy interesante de los preceptos jurídicos aplicables, en concreto del término de ''estafa'' y su concurrencia en el ámbito de delitos bancarios ya que confluyen trascendentalmente otros factores materiales en la comisión de delito que hacen que deba aclararse, de manera incansable, donde reside el ''error'' que da lugar al delito de estafa, así como de la conducta más común entre los estafadores en la manipulación de tarjetas de crédito, a través de sistemas informáticos de gran complejidad que les permiten cancelar información e introducir otra que le interese para sus fines ilícitos:

STS, n.º 675/2007, de 17 de julio. ECLI:ES:TS:2007:5439

''De la prueba practicada se desprende que el acusado se había dotado de un completo sistema informático idóneo para cancelar la información incorporada a las bandas magnéticas de tarjetas de crédito y para introducir en ellas otros datos, con el fin bien acreditado de hacer uso de las mismas en cajeros automáticos y así obtener dinero. Consta que, en efecto, lo hizo en una multiplicidad de ocasiones, de manera que obtuvo fondos por un importe ciertamente significativo. Y consta que este proceder se mantuvo en el tiempo durante varios meses.

De este conjunto de indicaciones se infiere con claridad meridiana un proceder perfectamente idóneo para operar de manera clandestina, accediendo a fondos ajenos, con el fin de obtener alguna parte de éstos. Algo que en el recurso no se discute. El cuestionamiento de la sentencia se limita a un último aspecto: el relativo al fin último del dinero efectivamente conseguido.

Pues bien, en este punto hay que decir el modus operandi acreditadamente puesto en práctica goza de plena funcionalidad al destino que se le atribuye en la sentencia, ya que, por lo común, es tal la forma de comportarse de los sujetos que obtienen de los bancos dinero que no les pertenece, actuando de forma ilegítima sobre sus cajeros electrónicos''. 

Siguiendo lo anterior, el Alto Tribunal ha llegado a considerar que el uso abusivo de tarjetas que permiten operar en un cajero puede asimilarse a la tipificación del delito de estafa, con íntima relación entre las conductas ilícitas conformadas por la elaboración de programas informáticos que faciliten la estafa, y el uso de tarjetas de crédito en perjuicio de un tercero:

STS, n.º 185/2006, de 24 de febrero. ECLI:ES:TS:2006:928

''Es claro que el delito de estafa, único por el que el recurrente ha sido acusado, no concurre en estos casos, dado que sólo puede ser engañada una persona que, a su vez, pueda incurrir en error. Por lo tanto, ni las máquinas pueden ser engañadas -es obvio que no es "otro", como reclama el texto legal-, ni el cajero automático ha incurrido en error, puesto que ha funcionado tal como estaba programado que lo hiciera, es decir, entregando el dinero al que introdujera la tarjeta y marcara el número clave.

Sin embargo cabría pensar, sólo hipotéticamente, que el uso abusivo de tarjetas que permiten operar en un cajero automático puede ser actualmente subsumido bajo el tipo del art. 248.2 CP , dado que tal uso abusivo constituye un "artificio semejante" a una manipulación informática, pues permite lograr un funcionamiento del aparato informático contrario al fin de sus programadores. Pero este tipo, no puede ser considerado homogéneo con el del art. 248.1 CP y, en todo caso, no ha sido objeto de acusación''.

Y completa la STS, n.º 369/2007, de 9 de mayo.  ECLI:ES:TS:2007:3258:

''Esta postura es compartida por aquellos que consideran que en tales casos se están ocultando datos reales e introduciendo datos falsos en el sistema: se oculta la identidad real del operador y se suplanta la del verdadero titular. Tal identificación, a través de la introducción del numero secreto obtenido indebidamente, tiene una relevancia o eficacia jurídica que constituye el dato clave para estimar que si estamos ante una manipulación informática. Dicha relevancia se pone de manifiesto a través de la consideración de que teclear el password ante el sistema es tanto como identificarse''.

En los autos dictados por el Tribunal Supremo, n.º 108/2021, de 28 de enero. ECLI:ES:TS:2021:3372A, y n.º 852/2020, de 10 de diciembre. ECLI:ES:TS:2020:12367A, se refieren al delito de estafa por medio del uso indebido de tarjetas de crédito por parte de las personas cuidadoras de dos dependientes, que abusan de su posición y de la confianza depositada por las víctimas, para usar las tarjetas de crédito de las personas a las que cuidan y realizar reintegros en sus cuentas personales o sacar dinero del cajero sin el consentimiento de las víctimas.

Como vemos, la casuística es inagotable en los delitos cometidos relativos a métodos de pago diferentes al efectivo, como son las tarjetas de crédito. Por ejemplo:

CUESTIÓN

Si usan mi tarjeta bancaria en un cajero, ¿se trata de un delito de robo o de estafa?

Para aclarar la calificación de esta conducta es necesario hacer un estudio profundo de los diferentes factores que confluyen en la conducta delictiva. Es interesante la reflexión que se recoge en la STS, n.º 369/2007, de 9 de mayo. ECLI:ES:TS:2007:3258, relativo a la apropiación indebida de una tarjeta bancaria y su uso en un cajero para extraer dinero. El debate rige en el concepto de tarjeta como llave para acceder a un dispositivo, en este caso, un cajero automático, aunque no llave en su definición originaria de medio para abrir puertas, cajas o cualquier lugar o espacio físico donde se guardan cosas susceptibles de ser robadas.

Hablaremos de delito de robo cuando el uso de la tarjeta permite acceder a esos lugares a tal fin de apropiarse indebidamente de ciertos objetos. No obstante, si hacemos una conceptualización de la tarjeta como llave que permite la extracción de dinero, la disposición patrimonial aquí se ejerce sobre la cuantía que se apropia a través del cajero (lo que sería un delito de estafa del art. 248.2 del C.P.). Al margen queda el acceso al lugar del cajero, ya que lo trascendental es que, empleando la tarjeta se están introduciendo datos en un sistema informático que ordenan la disposición patrimonial sin consentimiento del titular, que hará valer su derecho y poder demostrar el daño sufrido ya que dispone de acceso al registro minucioso que la entidad bancaria hace de todos los movimientos de su capital dinerario. 

Literalmente, recoge la citada resolución: 

''En efecto no basta con que la tarjeta sea llave, es necesario que ésta haya sido empleada para acceder al lugar en el que las cosas se guardan. La fuerza en las cosas típica del robo es aquella precisa para "acceder al lugar donde éstas se encuentren", tal y como lo define legalmente el art. 237 CP. Y el dinero en los cajeros se halla en un cajetín en el interior del mismo al que en ningún momento se accede.

Al operar con la tarjeta en un cajero, lo esencial es que se introducen datos en el ordenador y que el sistema efectúa una disposición patrimonial no consentida con el titular que se llega a registrar contablemente. Es accesorio que se acceda con la tarjeta (lo que no siempre es así) al recinto donde se halla el cajero y no cabe afirmar que se acceda al lugar donde el dinero se guarda. Los arts. 238 y 239 no son aplicables a estos supuestos. El empleo de la tarjeta como llave permite calificar de robo cuando con la misma se accede al lugar donde están las cosas (v.gr.: la tarjeta es la llave de la habitación del hotel a la que se consigue entrar para robar algún objeto)''.

Cabe hablar también en este punto, de que la falsificación de documentos privados o uso de medios para lucrarse y transferir fondos, cuyo acceso no requiere de clave, constituye estafa y, a mayor abundamiento, razona el Alto Tribunal en:

STS, n.º 860/2008, de 17 de diciembre. ECLI:ES:TS:2008:6984

''TERCERO: Aplicando la doctrina jurisprudencial expuesta al caso examinado, la conducta de quien, sin tener autorización para utilizar el servicio BBVA net Office para realizar transferencias para realizar pagos, accede al mismo aprovechando que tal servicio no tenia clave para realizar transferencias de fondos, dirige a la entidad bancaria el preceptivo y habitual fax firmado por un administrador autorizando una transferencia a favor de un proveedor real y por una operación también real y valida, pero enviándolo en primer lugar, a un numero inexistente para que la operación quedase inicialmente frustrada, y a continuación a través del servicio BBVA net office realizar la transferencia a su propia cuenta, esto es está alterando o modificando el numero de las cuentas corrientes a las que debía ir a parar el dinero, aparentando ser las cuentas corrientes de los proveedores de la empresa, no cabe duda de que está empleando un artificio ante el banco o entidad de crédito a quien suministra los datos requeridos para que se produzca una transferencia de fondos a sus propias cuentas, y no solo finge unas operaciones realmente autorizadas, sino que consigue que las mismas pasaran inadvertidas en la cuenta de la empresa, en la que aparecen realizados los cargos a favor del cliente designado en el fax, con la consiguiente disminución de su patrimonio, ha de considerarse como constitutiva del "artificio semejante a la manipulación informática" que consigue la transferencia inconsentida de fondos. Consecuentemente el delito cometido es la estafa del art. 248.2 CP . en cuanto ha habido animo de lucro, engaño integrado por el artificio semejante a los informáticos y transferencia indebida de fondos (...)''.