El delito de daños informáticos
El delito de daños informáticos, también conocido como sabotaje informático, es aquel que se comete con el objeto de causar un mal para perjudicar a la víctima. Nuestro Bufete de Abogados dispone de Abogados expertos en delitos informáticos con altos conocimiento en derecho jurídico-tecnológico.
El tipo delictivo
Dentro de los delitos informáticos, el delito de daños informáticos, se contempla en los artículos 264, 264 bis, 264 ter, 264 quater y 265 del vigente Código Penal tras la reforma de LO 1/2015 de 30 de marzo, en los que se contemplan de la forma siguiente:
Concretamente el art. 264, manifiesta lo siguiente:
1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.
2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:
1.ª Se hubiese cometido en el marco de una organización criminal.
2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.
3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.
4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.
5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.(utilización programas informáticos o usando contraseñas)
Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.
3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.
Desde un punto de vista penal será absolutamente irrelevante el hecho de que los datos informáticos borrados puedan ser recuperados por parte del sujeto que tiene un derecho sobre otro soporte.
El delito de interrupción de un programa informático ajeno
También dentro del capítulo de los delitos de daños, en el art. 264 bis, se recoge el delito de interrumpir y obstaculizar un programa informático ajeno que causa un grave daño, de la forma siguiente:
«1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:
a) realizando alguna de las conductas a que se refiere el artículo anterior; (art. 264)
b) introduciendo o transmitiendo datos; o
c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.
Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.
2. Se impondrá una pena deprisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior.
3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.»
El delito de creación de programas informáticos para espiar o dañar informáticamente – (programas de hackeo informático)
El legislador de la reforma penal de 2015, ha considerado que debe ser castigados y así se contempla en el art. 264 ter lo siguiente:
«Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:
a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o
b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.»
Delitos de daños informáticos cometidos por personas jurídicas o empresas
En el Código Penal se contempla la responsabilidad penal de las personas jurídicas (empresas o sociedades) en diversos artículos, entre ellos se encuentra el art. 264 quater, que se contempla dicha responsabilidad penal de la forma siguiente:
«Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los tres artículos anteriores, se le impondrán las siguientes penas:
a) Multa de dos a cinco años o del quíntuplo a doce veces el valor del perjuicio causado, si resulta una cantidad superior, cuando se trate de delitos castigados con una pena de prisión de más de tres años.
b) Multa de uno a tres años o del triple a ocho veces el valor del perjuicio causado, si resulta una cantidad superior, en el resto de los casos.
El artículo 31 bis del CP requiere solamente de una omisión de los deberes de control y vigilancia correspondientes a la persona jurídica cuando la actividad delictiva se cometa por parte de un sujeto subordinado. En definitiva este sistema de imputación de responsabilidad penal a las personas jurídicas no prevé el posible déficit de estructura organizativa.
De conformidad al artículo 33.7 del CP a la persona jurídica se le podrá aplicar una de las siguientes penas: a) disolución de la persona jurídica; b) suspensión de sus actividades por un plazo que no podrá exceder de cinco años; c) clausura de sus locales y establecimientos por un plazo que no podrá exceder de cinco años; d) prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya come-tido, favorecido o encubierto el delito; e) inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la Seguridad Social, por un plazo que no podrá exceder de quince años; f) intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores por el tiempo que se estime necesario, que no podrá exceder de cinco años.
La exención de responsabilidad penal de dicha persona jurídica pasa por la configuración de la figura del compliance penal y la realización de todos los protocolos contemplados en el art. 31 bis del Código Penal.