Análisis del Dictamen de Delitos Informáticos - Perú

76
Análisis del Dictamen de la Comisión de Justicia y Derechos Humanos recaído en los Proyectos de Ley 034/2011 - CR, 307/2011 - CR y 1136/2011 - CR con un texto sustitutorio. Ley de Delitos Informáticos Álvaro J. Thais Rodríguez Abogado Tecnologías de Seguridad e Información Perú, agosto de 2012

description

Análisis del Dictamen de Delitos Informáticos - Perú, por Álvaro J. Thais Rodríguez

Transcript of Análisis del Dictamen de Delitos Informáticos - Perú

Page 1: Análisis del Dictamen de Delitos Informáticos - Perú

Análisis del Dictamen de la Comisión de Justicia y Derechos Humanos recaído en los Proyectos de Ley 034/2011-CR, 307/2011-CR y 1136/2011-CR con un texto sustitutorio.

Ley de Delitos Informáticos

Álvaro J. Thais Rodríguez Abogado

Tecnologías de Seguridad e Información Perú, agosto de 2012

Page 2: Análisis del Dictamen de Delitos Informáticos - Perú

Siglas utilizadas

Page 3: Análisis del Dictamen de Delitos Informáticos - Perú

Siglas utilizadas

DI: Dato(s) informático(s).

BD: Base(s) de datos.

SI: Sistema(s) informático(s).

EM: Electromagnético(a).

TC: Telecomunicaciones.

MEP: Medio(s) electrónico(s) de pago.

Page 4: Análisis del Dictamen de Delitos Informáticos - Perú

Metodología

Page 5: Análisis del Dictamen de Delitos Informáticos - Perú

Metodología

Esquema del texto legal

Presentación del texto legal en forma de esquema, para facilitar

la exposición

¿Qué se busca sancionar?

Exposición de algunos ejemplos cotidianos de las conductas reprimidas en el texto legal

anteriormente esquematizado

Page 6: Análisis del Dictamen de Delitos Informáticos - Perú

Generalidades

Page 7: Análisis del Dictamen de Delitos Informáticos - Perú

Sanción penal

Sistemas informáticos

Patrimonio

Fe pública Derechos de autor

Conductas que afectan

Mediante cualquier medio informático, electrónico o análogo.

Garantizar las condiciones

mínimas para que las

personas gocen del derecho al

desarrollo.

Objeto

Page 8: Análisis del Dictamen de Delitos Informáticos - Perú

Delitos contra los Sistemas Informáticos

Page 9: Análisis del Dictamen de Delitos Informáticos - Perú

Intrusismo

Sin autorización

Acceder o mantenerse en

SI

Interceptar datos informáticos o de

usuario en su origen, destino o al interior de SI, o señales EM que provienen de SI que los transporta

Interferir, impedir u

obstaculizar el acceso a SI o a sus datos o a una red de TC

Page 10: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

El rastreo furtivo de datos de ubicación o de criterios de búsqueda del usuario para su reventa sin consentimiento.

La obstaculización del acceso a internet.

La captura ilegítima de mensajes de correo o de SMS y otros datos durante su transmisión.

El acceso no autorizado a cuentas de correo ajenas.

Page 11: Análisis del Dictamen de Delitos Informáticos - Perú

Sabotaje (1)

Software o programa

malicioso o cualquier otro

con efectos dañinos para un

SI

Diseñar

Producir

Desarrollar

Distribuir

Traficar

Adquirir

Vender

Ejecutar

Programar

Enviar

Introducir

Extraer de cualquier forma de

un SI

Page 12: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La producción y distribución de virus dañinos, de troyanos o de programas de pharming.

La destrucción o alteración de datos de usuario.

La distribución de troyanos a través de las redes sociales.

La creación de programas falsos que simulan ser los originales para causar daños al usuario o a su información.

Page 13: Análisis del Dictamen de Delitos Informáticos - Perú

Sabotaje (2)

Sin autorización

Destruir

Borrar

Desvanecer

Quitar

Dañar

Deteriorar

Suprimir

Alterar

Datos informáticos o de usuario, el

funcionamiento de un SI o de una red

de TC

Page 14: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

El ataque de denegación de servicio (Anonymous).

El daño o deterioro intencional de la conexión a internet.

Los ataques para capturar páginas web e introducir mensajes falsos u ofensivos.

Page 15: Análisis del Dictamen de Delitos Informáticos - Perú

Contra la intimidad y el secreto de las comunicaciones (1)

Sin autorización

Diseñar

Producir

Desarrollar

Distribuir

Traficar Vender

Ejecutar

Programar

Enviar

Páginas electrónicas, enlaces o ventanas

emergentes suplantando sitios

web.

Para obtener información

personal.

Page 16: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La clonación de páginas web.

El envío de esquemas de phishing.

El envío de spam con enlaces maliciosos.

Page 17: Análisis del Dictamen de Delitos Informáticos - Perú

Contra la intimidad y el secreto de las comunicaciones (2)

Claves secretas, códigos

personales o datos

personales

Obtener

Compilar

Sustraer

Ofrecer

Vender

Intercambiar

Enviar

Comprar

Interceptar

Divulgar

Modificar

Utilizar

Contenidos en ficheros, archivos o

bases de datos electrónicos o medios

similares

Page 18: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

Hurto de bases de datos para su venta en el mercado negro (son utilizados por extorsionadores y secuestradores).

El robo y venta de datos de usuario y contraseñas privadas.

La interceptación de contraseñas durante su envío y recepción.

Page 19: Análisis del Dictamen de Delitos Informáticos - Perú

Intrusismo, sabotaje y delito contra la intimidad y el secreto de las comunicaciones (Formas agravadas)

Recae sobre cualquier SI, sus

datos o sus señales EM, red de TC, claves

secretas o códigos personales.

Intrusismo

Sabotaje

Contra la intimidad y el secreto de la

comunicaciones

Destinados a funciones públicas o a servicios

privados con información personal o patrimonial

reservada sobre personas naturales o jurídicas.

Page 20: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

El sabotaje de páginas web destinadas a funciones públicas. (Ej, la del JNE, la del RENIEC, la de la ONPE, la de la SUNAT, la de Essalud, etc.).

La captura de los datos de usuario y de las contraseñas de los clientes del sistema financiero, para producir daños patrimoniales.

El intrusismo y venta de datos relacionados con las enfermedades, ingresos económicos, orientación sexual, ideas políticas, religiosas y filosóficas y demás relacionados con la vida privada de las personas.

Page 21: Análisis del Dictamen de Delitos Informáticos - Perú

Delitos informáticos contra el patrimonio

Page 22: Análisis del Dictamen de Delitos Informáticos - Perú

Hurto de tiempo

Usar un SI

Sin autorización

Excediendo el tiempo

autorizado

Page 23: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

Al igual que en la figura del hurto de uso, se busca sancionar el uso y aprovechamiento no autorizado de recursos patrimoniales ajenos. Esta es una figura muy extendida en el derecho comparado.

La utilización del servicio de internet disponible en la oficina para fines distintos a los autorizados reglamentariamente en el centro de trabajo.

La conexión ilegítima a una red, pese a que el proveedor del servicio ha desconectado al usuario por vencimiento del plazo contractual.

Page 24: Análisis del Dictamen de Delitos Informáticos - Perú

Hurto informático

Cualquier SI, red de sistema

electrónico, telemático o semejante

Acceso

Interceptación Interferencia

Se apodera de bienes o valores tangibles o intangibles de

carácter patrimonial

Para obtener provecho para sí o para otro

Page 25: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La interceptación de un sistema informático para desviar el destino de una transferencia de dinero a una cuenta distinta de la del titular de la cuenta de origen o de la del titular de la cuenta de destino.

La utilización de claves o contraseñas de los usuarios para apoderarse de datos o de información privada ajenas que tienen un valor patrimonial propio.

La ruptura de las medidas de seguridad de un sistema informático bancario para incrementar la cuantía de los depósitos o de los abonos en cuenta del agente.

Page 26: Análisis del Dictamen de Delitos Informáticos - Perú

Fraude informático

Procurar para sí o para otro un

provecho ilícito en perjuicio de tercero

Introducción, alteración, borrado o supresión de datos

informáticos

Cualquier interferencia en el funcionamiento de

un SI

Page 27: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La suplantación de la identidad de un cliente bancario o comercial, mediante el empleo de su nombre de usuario y de su contraseña, para obtener beneficios económicos no autorizados por el cliente.

La alteración de los datos referidos al domicilio de un cliente mediante el ataque a un sistema informático, con el objeto de recibir bienes o servicios en un lugar distinto al que fijó el verdadero cliente para tal fin.

El empleo de la información obtenida mediante formas delictivas tales como: phishing, pharming, clonación de tarjetas, ataques man in the middle, man in the browser, etc.

Page 28: Análisis del Dictamen de Delitos Informáticos - Perú

Obtención indebida de bienes o servicios

Sin autorización utiliza un MEP

ajeno

Cualquier efecto Bien Servicio

Para obtener indebidamente

Page 29: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La utilización no autorizada de una tarjeta de crédito o de débito ajena para comprar en establecimientos o para hacer retiros en ATM, independientemente de la causa por la que se posea la tarjeta.

La utilización de los datos o de la información contenida en una tarjeta de crédito o de débito ajena para hacer compras por internet.

Las compras de pasajes aéreos, o las recargas de celulares mediante el empleo de tarjetas de crédito ajenas.

Page 30: Análisis del Dictamen de Delitos Informáticos - Perú

Manejo fraudulento de MEP (1)

Información o DI o datos relativos al

tráfico

Crear

Capturar

Grabar

Copiar Alterar

Duplicar

Eliminar

Contenidos en un MEP o en un SI relacionado o que pueda relacionar al MEP

Page 31: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La clonación de tarjetas de crédito o de débito.

La utilización de equipos para la captura de la información contenida en la tarjeta de crédito (skimming).

La captura de datos o de contraseñas relacionadas con tarjetas de crédito o de débito, mediante el empleo de cámaras, teclados falsos, la alteración del POS o de medios técnicos ocultos.

Page 32: Análisis del Dictamen de Delitos Informáticos - Perú

Manejo fraudulento de MEP (2)

Información o DI de un

SI

Crear

Duplicar Alterar

Para incorporar usuarios, cuentas, registros o consumos

inexistentes o modificar la cuantía de éstos.

Page 33: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La entrada al sistema informático de un banco para modificar el monto real de los consumos efectuados por un cliente mediante el empleo de sus tarjetas.

La alteración de los datos contenidos en el sistema informático de un banco para incorporar a un supuesto usuario (cliente) con datos falsos.

La manipulación de los datos contenidos en el sistema de un banco para consignar un abono o depósito inexistente.

Page 34: Análisis del Dictamen de Delitos Informáticos - Perú

Manejo fraudulento de MEP (3)

Cualquier tipo de

mecanismo

Adquirir

Comercializar

Poseer

Distribuir

Vender

Realizar

Para intervenir MEP o DI o información contenida o datos relativos al tráfico contenida en

MEP o en un SI relacionado o que pueda relacionar al MEP

Page 35: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La posesión o fabricación de skimmers para la clonación de tarjetas de crédito o de débito.

La producción y distribución de equipos diseñados para capturar la información de las tarjetas de crédito (teclados falsos, boquetas con skimmer, utensilios similares a los del ATM con cámaras ocultas, etc.).

La producción y distribución de POS falsos, destinados a capturar la información de las tarjetas o los datos que viajan a través del sistema de las empresas adquirentes.

Page 36: Análisis del Dictamen de Delitos Informáticos - Perú

Apropiación de MEP

MEP perdido, extraviado o entregado

por equivocación

Usar

Vender

Transferir Adquirir

Recibir

Page 37: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La utilización o comercialización no autorizada de tarjetas de crédito o de débito ajenas, aunque no hayan sido reportadas como perdidas o robadas.

La utilización de tarjetas de crédito entregadas por error o por confabulación con la mensajería.

La adquisición de tarjetas de crédito o de débito en el mercado negro.

Page 38: Análisis del Dictamen de Delitos Informáticos - Perú

Provisión indebida de bienes o servicios

Información o datos contenidos en MEP, SI, red,

BD o datos relativos al tráfico

Grabar

Usar

Vender

Comprar

Copiar

Adquirir Alterar

Duplicar

Distribuir

Transmitir

Eliminar

Indebidamente

Para obtener, para sí o para otro, bienes o

servicios

Page 39: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La clonación de tarjetas de crédito para adquirir fraudulentamente bienes y servicios.

La comercialización de bases de datos de usuarios, contraseñas, información de banda magnética para la comisión de fraudes.

La captura de datos relacionados con la tarjeta de crédito o de débito, mediante cámaras ocultas, teclados falsos, alteración de POS, con el propósito de cometer un fraude.

Page 40: Análisis del Dictamen de Delitos Informáticos - Perú

Posesión de equipo informático para falsificación de MEP

Equipo de fabricación de

MEP o cualquier otro equipo o componente

Recibir

Adquirir

Poseer

Custodiar

Distribuir

Transferir

Comercializar

Vender

Indebidamente

Que capture, grabe, copie o transmita DI o

de usuario o información relativos

al tráfico de MEP

Page 41: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La posesión indebida de equipos para la fabricación de tarjetas de crédito y de débito.

La comercialización de equipos o de máquinas para la fabricación de tarjetas.

La posesión o distribución indebida de POS, partes y piezas de ATM, lectoras de banda de tarjetas.

Page 42: Análisis del Dictamen de Delitos Informáticos - Perú

Delitos informáticos contra la fe pública

Page 43: Análisis del Dictamen de Delitos Informáticos - Perú

Falsificación de documento informático

Indebidamente

Crea, modifica o elimina un documento o

cualquiera de sus datos contenidos en un SI

Incorpora en un SI un documento ajeno a éste.

Es circunstancia agravante la actuación con el fin de procurar para sí o para otro de

beneficio o la producción de un perjuicio efectivo a otro

Page 44: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La alteración de los datos contenidos en el sistema informático del órgano encargado de certificar la identidad de las personas, para cometer un fraude.

La eliminación indebida de los antecedentes penales del registro informático oficial, para sorprender a una entidad que hace selección de personal.

La inclusión de datos falsos en el sistema informático de una universidad, para acreditar grados y títulos fraudulentos.

Page 45: Análisis del Dictamen de Delitos Informáticos - Perú

Falsificación de DI

DI

Captura

Graba

Copia

Duplica

Sin autorización

Contenido en un medio de almacenamiento de DI

O como consecuencia de todo esto, usa el DI

Page 46: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La copia sin autorización de un dato informático original protegido o sujeto a resguardo, como puede ser la captura inalámbrica de información contenida en un smartphone.

La utilización del dato informático obtenido indebidamente, con independencia de la autoría de la obtención indebida, como si se tratara de un dato legalmente obtenido.

La captura de un dato informático original y protegido para duplicarlo sin autorización (información de banda magnética de la tarjeta llave de la habitación de un hotel).

Page 47: Análisis del Dictamen de Delitos Informáticos - Perú

Delitos informáticos contra los derechos

de autor

Page 48: Análisis del Dictamen de Delitos Informáticos - Perú

Reproducción de obra sin autorización

Software u otra obra del intelecto

obtenida mediante el acceso a un SI o

medio de almacenamiento

de DI

Reproducir

Copiar

Modificar Distribuir

Divulgar

Sin autorización

Para obtener un provecho económico, para sí o para otro

Page 49: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca sancionar?

La comercialización de software protegido por derechos de autor sin autorización del titular de estos derechos o sin adquirir la licencia correspondiente.

La intrusión en sistemas informáticos para acceder a archivos, que de por sí constituyen obras protegidas por el derecho de autor.

La vulneración de las medidas de seguridad incorporadas en los software originales, para copiarlos y distribuirlos masivamente sin adquirir la licencia correspondiente.

Page 50: Análisis del Dictamen de Delitos Informáticos - Perú

Disposiciones comunes

Page 51: Análisis del Dictamen de Delitos Informáticos - Perú

Agravantes

En calidad de integrante de una organización ilícita dedicada a estos delitos.

Haciendo uso de información privilegiada obtenida en función de su cargo.

Atentando contra servicios públicos esenciales.

Atentando contra entidades financieras.

Atentando contra la seguridad nacional.

Cuando el agente comete

delito informático

Page 52: Análisis del Dictamen de Delitos Informáticos - Perú

Penas accesorias (1)

Delito cometido

A los DI A información

reservada

Al conocimiento privilegiado de

contraseñas, códigos informáticos

Con abuso de una posición de acceso

En razón del ejercicio de un cargo o función

públicos

Inhabilitación para el ejercicio de funciones o empleos públicos luego de cumplida o

conmutada la pena

Page 53: Análisis del Dictamen de Delitos Informáticos - Perú

Penas accesorias (2)

Delito cometido

A los DI A información

reservada

Al conocimiento privilegiado de

contraseñas, códigos informáticos

Con abuso de una posición de acceso

En razón del ejercicio privado de la

profesión u oficio

Inhabilitación para el ejercicio de la profesión, arte o industria luego de cumplida

o conmutada la pena

Page 54: Análisis del Dictamen de Delitos Informáticos - Perú

Penas accesorias (3)

Delito cometido

A los DI A información

reservada

Al conocimiento privilegiado de

contraseñas, códigos informáticos

Con abuso de una posición de acceso

En razón del desempeño en una

institución o empresa privada

Inhabilitación para laborar en instituciones o empresas del ramo luego de cumplida o

conmutada la pena

Page 55: Análisis del Dictamen de Delitos Informáticos - Perú

Consecuencias accesorias (1)

El juez podrá imponer el decomiso o la incautación cautelar

Utilizados en la

comisión de delitos

Equipos

Dispositivos

Instrumentos

Materiales Útiles

Herramientas

Cualesquiera objetos

Page 56: Análisis del Dictamen de Delitos Informáticos - Perú

Consecuencias accesorias (2)

El juez podrá imponer medidas aplicables a las personas jurídicas (Art. 105 CP)

Persona jurídica

Por cuya actividad se

realizó el delito

Con cuya organización se facilitó el

delito

Con cuya organización se encubrió

el delito

Page 57: Análisis del Dictamen de Delitos Informáticos - Perú

Colaboración eficaz (1)

Podrá reducirse la pena hasta debajo del mínimo para autores y eximirse de la pena en

el caso de partícipes, si:

Proporcionan información eficaz que permita

Evitar la continuidad

del delito

Evitar la consumación

del delito

Conocer las circunstancias en

las que se cometió el delito e identificar a los

autores y partícipes

Dentro de una investigación a cargo del MP o en el

desarrollo de un proceso penal por cualquiera de los

delitos informáticos

Page 58: Análisis del Dictamen de Delitos Informáticos - Perú

Colaboración eficaz (2)

La pena del autor se reduce hasta debajo del mínimo y el partícipe queda exento de pena,

si:

Restituyen voluntariamente

al agraviado

La totalidad de los bienes apropiados

Entregan una suma

equivalente al valor

apropiado

La totalidad de los valores

apropiados

Dentro de una investigación a cargo del MP o en el

desarrollo de un proceso penal por cualquiera de los

delitos informáticos

La reducción o la exención de pena se aplica solamente a

quienes realicen la restitución o entrega del valor.

Page 59: Análisis del Dictamen de Delitos Informáticos - Perú

Codificación de la pornografía infantil

La PNP puede mantener material

de pornografía infantil en medios

de almacenamiento de DI

Con la autorización y supervisión del MP

Para fines exclusivos del cumplimiento de

la función policial

La PNP debe contar con una

BD debidamente

codificada

Page 60: Análisis del Dictamen de Delitos Informáticos - Perú

Agente encubierto en el ciberespacio

Con el propósito

de…

Determinar la estructura

Identificar a los dirigentes

Identificar a los integrantes

Identificar los recursos

Identificar el modus

operandi

Identificar las conexiones con

asociaciones ilícitas de organizaciones

criminales destinadas a

cometer estos delitos

El Fiscal podrá autorizar a un agente PNP infiltrarse en una organización criminal para actuar como agente encubierto

El agente encubierto debe actuar con la reserva del caso

y ocultando su identidad, utilizando razonablemente

cualquier medio electrónico o de comunicación

Page 61: Análisis del Dictamen de Delitos Informáticos - Perú

Acceso a información de los protocolos de internet

No está dentro del alcance del secreto de las

comunicaciones

Identidad de los titulares de telefonía

móvil

Números de registro del

cliente

Números de registro de

la línea telefónica

Números de registro del

equipo

Tráfico de llamadas

Números de protocolo de

internet Las empresas proveedoras de servicios proporcionarán la

información con los datos de identificación del titular a la PNP o al MP, con la autorización del Juez,

dentro de las 48 horas, bajo responsabilidad.

Page 62: Análisis del Dictamen de Delitos Informáticos - Perú

¿Qué se busca conseguir?

Limitar la protección del secreto de las comunicaciones a la inviolabilidad del mensaje, de conformidad con la Constitución, sin extender ésta a otros supuestos no protegidos en medios alternativos de comunicación (telefonía fija y correspondencia escrita).

Facilitar la acción inmediata de la PNP para la captura de delincuentes, cuando la víctima recibe una llamada desde un equipo móvil, o se detecta una actividad originada en una dirección IP, desde donde se extorsiona, se distribuye pornografía infantil, se cometen fraudes o algún delito flagrante.

La entrega de la información que se requiera para las investigaciones deberá ser autorizada por el juez, con respeto de todas las garantías constitucionales establecidas, para evitar requerimientos indebidos, al igual que ya sucede en países líderes en protección de datos personales y con estándar Budapest, como España (Ley 25/2007 del 18 de octubre).

Page 63: Análisis del Dictamen de Delitos Informáticos - Perú

Disposiciones procesales

Page 64: Análisis del Dictamen de Delitos Informáticos - Perú

Intervención y control de las comunicaciones y documentos privados

El Fiscal puede pedir al Juez

La intervención de comunicaciones y

documentos privados

El control de comunicaciones y

documentos privados

En caso excepcional (Ley

27697)

Para la investigación de delitos informáticos

Page 65: Análisis del Dictamen de Delitos Informáticos - Perú

Reserva de la investigación

Investigación

Delitos informáticos

Información puede generar

pánico en sectores sensibles

Investigación es reservada si…

Prohibido a los operadores del sistema

penal revelar información o

suministrar material incorporado a la

investigación a terceros o a medios de

comunicación social

Page 66: Análisis del Dictamen de Delitos Informáticos - Perú

Disposición complementaria

derogatoria

Page 67: Análisis del Dictamen de Delitos Informáticos - Perú

Disposición derogatoria

Numeral 3 del segundo párrafo del Artículo 186

Artículo 207-A

Artículo 207-B

Artículo 207-C

Extremos del Código Penal a ser derogados

Page 68: Análisis del Dictamen de Delitos Informáticos - Perú

Críticas y aportes

Page 69: Análisis del Dictamen de Delitos Informáticos - Perú

Críticas y aportes (1)

“Es orwelliana y viola el secreto

de las TC”

• No se excluye a las comunicaciones electrónicas de la protección constitucional.

• La obligación de entregar información, previo mandato judicial, ya existe.

• Se hace un desarrollo constitucional para liberar ataduras legales que favorecen a la delincuencia (extorsionadores, defraudadores, pederastas), solamente para el caso de investigación de delitos.

• No se obliga a identificar todos los números IP.

• En ningún extremo del proyecto de ley se compromete el secreto del contenido del mensaje, ni se avalan interceptaciones (chuponeos) indiscriminadas o generales, sin aprobación judicial.

“Se compromete la neutralidad regulatoria”

• No hay que perder de vista que la peligrosidad de la conducta penal a través de las TIC es exponencialmente mayor a la que exhibe la delincuencia tradicional. Un solo fraude informático puede alcanzar 550 millones de pesos, como fue en el sonado caso bancario de La Araucania (http://www.estrategia.cl/detalle_noticia.php?cod=61996). En el mundo real, se necesitaría producir 58 asaltos bancarios a mano armada para igualar dicha suma. La pena debe ser mayor para la conducta más peligrosa.

• Se justifica plenamente el agravante para quienes se valen de las TIC en la perpetración de delitos (ver exposición de motivos), porque dicho medio favorece la peligrosidad de la conducta.

“Solo hay que sancionar a los que

actúan dolosamente“

• Esto ya existe en el Artículo 12 del Código Penal de 1991 (basta leerlo para convencerse).

Page 70: Análisis del Dictamen de Delitos Informáticos - Perú

Críticas y aportes (2)

“No criminalizar el hurto de tiempo ni la comercialización de

BD”

• En el derecho comparado existen numerosos casos en los que se sanciona el hurto de tiempo.

• Dejar de sancionar la comercialización y difusión de bases de datos equivale a legalizar la actividad delictiva de los intrusistas o del personal deshonesto de entidades públicas y privadas que abastecen de insumos informativos a los comerciantes del centro de Lima dedicados a estas actividades. Esta información luego es utilizada por spammers, extorsionadores, secuestradores y otros delincuentes. La sanción a esta conducta existe en países bajo el estándar de la Convención de Budapest, acuerdo internacional al que el Perú debe adherirse.

“El legislador debe ser el que autoriza el

acceso y no un privado”

• Para que se configure el intrusismo informático, se requiere una actuación dolosa que vulnere el derecho del titular de un SI o de los datos para autorizar o no el acceso de terceros. Así sucede en el mundo entero (inclusive en países bajo el estándar Budapest).

“El manejo fraudulento de MEP no puede tener

sanción mayor a la producción de

pornografía infantil“

• La solución no pasa por reducir las penas del fraude (conducta exponencialmente más peligrosa que su equivalente en el mundo real o físico), sino por incrementar las penas por la producción de pornografía infantil.

• Hace falta un replanteo de la política nacional de sanciones penales.

Page 71: Análisis del Dictamen de Delitos Informáticos - Perú

Críticas y aportes (3)

“Las direcciones IP son datos personales y

están protegidos por la Ley 29733”

• La Ley 29733 no establece tal cosa (basta leerla para convencerse). En primer lugar, la Ley 29733 solamente protege datos de personas naturales, no de personas jurídicas. Segundo, el Artículo 3 de dicha ley excluye de su aplicación a los datos personales destinados a ser contenidos en bancos de datos de administración pública , en tanto su tratamiento sea necesario para la seguridad pública y para el desarrollo de actividades en materia penal para la investigación y represión del delito.

“No hay que tipificar el fraude informático porque es igual a una estafa por internet”.

• En un Estado de Derecho, el juez no puede aplicar la ley penal por analogía. Para eso existe el principio de legalidad. En la estafa, el tipo penal exige que se mantenga en error al agraviado para obtener un provecho ilícito. En el fraude informático, se “engaña” a un sistema informático, mediante la introducción de datos falsos o ajenos o su manipulación, sin que el agraviado real incurra en error alguno o tenga conocimiento de la acción delictiva. Como se puede ver, el fraude informático dista mucho de encajar en el tipo penal de la estafa.

Page 72: Análisis del Dictamen de Delitos Informáticos - Perú

Sugerencias

Page 73: Análisis del Dictamen de Delitos Informáticos - Perú

Sugerencias (1)

Convención de Budapest

• El Perú no debe dejar pasar la oportunidad de adherirse a la Convención de Budapest, a fin de estandarizar sus normas para hacer más eficaz la cooperación técnica, policial y judicial, evitando así que nuestro país se convierta definitivamente en un paraíso informático de la delincuencia.

Gradación de las penas

• Hay que tener cuidado con la gradación de las penas. Por ejemplo, consideramos que el delito previsto en el Artículo 12 debería tener una pena mayor a la del delito tipificado en el inciso 1 del Artículo 10, ya que en el primer caso se deberá probar, adicionalmente, la existencia de un ánimo de aprovechamiento patrimonial ilícito.

La tipificación de conductas

• El Artículo 15 puede redactarse de una manera más clara, que deje en claro que el dato informático sobre el que recae la acción delictiva es uno original y protegido por un resguardo especial. Asimismo, falta incluir la acción de modificar el dato informático de tales características.

Page 74: Análisis del Dictamen de Delitos Informáticos - Perú

Sugerencias (2)

Glosario de términos técnicos

• Podría incluirse un glosario de términos técnicos para limitar la interpretación abierta de jueces insuficientemente capacitados. Pero más importante que eso es que el Ministerio Público y el Poder Judicial inviertan en constituir unidades especializadas y capacitadas en materia de delitos informáticos, replicando la exitosa experiencia de la PNP (DIVINDAT).

Precisión respecto al secreto de las

comunicaciones

• Resultaría conveniente precisar, al igual que en la legislación española, que la extracción de algunos datos, entre ellos el número IP, del manto de protección constitucional del secreto de las comunicaciones y documentos privados, es un mecanismo de excepción que únicamente responde a los casos de investigación oficial de delitos, bajo responsabilidad.

Page 75: Análisis del Dictamen de Delitos Informáticos - Perú

Reflexión final

Page 76: Análisis del Dictamen de Delitos Informáticos - Perú

El dictamen contiene una iniciativa legal que evidentemente resulta perfectible. Pero el costo beneficio de contar con una regulación penal que desaliente la comisión de conductas que, en otros países sí se encuentran tipificadas, supera con enorme amplitud la tolerancia a cualquier posible imperfección que siempre está presente en toda obra humana. La problemática del delito informático en nuestro país es agobiante. El Perú no puede terminar de convertirse en un paraíso informático para los ciberdelincuentes.

Reflexión final