Delito Electrónico

DELITOS ELECTRÓNICOS EN COLOMBIA

Ley 1273 de 2009.

“Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado denominado “la protección de la información” y se preservan integralmente los sistemas que

utilicen las tecnologías de la información y las comunicaciones, así mismo se dictan medidas para la prevención y sanción de los

delitos cometidos contra tales sistemas, cualquiera de sus componentes o mediante el uso de dichas tecnologías”.

JARVEY RINCÓN RÍOS

UNIVERSIDAD SANTIAGO DE CALI

Dirección de Posgrados en Derecho y Ciencias Económicas

Enero 2009

DELITOS INFORMÁTICOS Jarvey Rincón Ríos

2

Presentación

1er Foro de discusión sobre Fraude en la Contratación Electrónica Internacional. Legislación penal en la materia, una necesidad internacional. Marzo 7,8 y 9 de 2007

Los profesionales de hoy, deben estar más atentos a los vertiginosos cambios de la sociedad, deben tener más conocimiento de las estructuras coyunturales del mundo, para comprenderlo y explicarlo, y su análisis profundo, debe conducir al desarrollo integral que tanto necesitamos.

El siglo XXI, ha llegado a nuestros países, bajo la imperiosa necesidad de buscar caminos alternos para no sucumbir en un mercado internacional agresivo, deshumanizado y conflictivo. Pero a su vez, la cantidad de información y la apresurada utilización de las estrategias para circularla, crea la necesidad de ajustar normas que conduzcan a una regulación y protección de ciertos tópicos, de los cuales en tiempos pasados no se hablaban incluso, se creían tan remotos, que nuestros juristas y el propio sistema penal colombiano, ni siquiera habían considerado.

Es precisamente por esos cambios, que cobra importancia este Proyecto de Ley Estatutaria, porque procura prevenir esos nuevos usos de las tecnologías, las nuevas formas de hacer negocios, y propicia la credibilidad en lo virtual, que sin duda nos acerca mucho más a las formas de actuar del mundo competitivo.

Generando esa confianza, con base en unas normas ajustadas coherentes y precisas, será fácil de evitar papeleos y esperas interminables, antes de tomar decisiones; en últimas, la sociedad colombiana podrá confiar los sistemas virtuales y garantizará acercarnos al primer mundo.


3

Aquí está pues, contenida en proyecto de Ley Estatutaria, para que la sociedad entera, que disfruta de cambios en todas las áreas productivas del país, tenga la oportunidad de seguirlo haciendo, con la tranquilidad que genera la protección a temas específicos tales como: Espionaje informático, acceso ilegítimo a sistemas informáticos, bloqueo ilegítimo a sistemas informáticos, uso de virus, abuso de uso de medios informáticos; entre otros temas y sus acciones derivadas.

Por todos los aspectos considerados, la Universidad Santiago de Cali, invita a la comunidad académica, a los organismos estatales en todas las dimensiones Legislativa, Ejecutiva, Judicial, Administrativa y de Control, a participar en el debate para la construcción de una Ley que recogerá todas las inquietudes que generan las Nuevas Tecnologías, para lo cual hemos contado con la colaboración eficaz del ministerio del Interior y de Justicia, y en especial del Viceministro de Justicia el doctor Guillermo Francisco Reyes González, quien ha sido colaborador académico de esta casa de estudios prestando atención a las iniciativas de posgrado, facultades de Derecho, Ingenierías y Educación Virtual y atendiendo la propuesta del (Juez Virtual) Alexander Díaz García, Juez Segundo Promiscuo Municipal de Rovira, Tolima, estudioso de la materia, al cual hemos prestado oídos para enriquecer su propuesta. Ésta es nuestra contribución.

Hebert Celín Navas Rector Universidad Santiago de Cali.


4

TABLA DE CONTENIDO

1. DELITO ELECTRÓNICO EN COLOMBIA (DE PROYECTO DE ROVIRA A LEY DE LA REPÚBLICA) 5

2. “Proyecto de ley estatutaria por el cual se modifica el Código Penal y se crea un nuevo Bien Jurídico Tutelado: EL

DATO (E.D.I.)= marzo 7 de 2007” 9

3. EL DELITO INFORMÁTICO UNA ARGUMENTACIÓN SOBRE LA NECESIDAD DE SU TIPIFICACIÓN 25

4. TEXTO APROBADO EN LA COMISIÓN PRIMERA DE LA CÁMARA DE REPRESENTANTES DEL PROYECTO DE LEY NÚMEROS 042/07 CÁMARA ACUMULADO CON EL 123/07

CÁMARA=” 55

5. Ponencia negativa presentada a la Comisión Primera del Senado por el Dr. PARMENIO CUÉLLAR BASTIDAS. 63

6. TEXTO CONCILIADO AL PROYECTO DE LEY NÚMERO 281 DE 2008 SENADO, 042 Y 123 DE 2007 CÁMARA ACUMULADOS 79

7. Ley 1273 de 2009 85


5

1. DELITO ELECTRÓNICO EN COLOMBIA (DE PROYECTO DE ROVIRA A LEY DE LA REPÚBLICA)

“Por medio del cual se crea el bien jurídico tutelado – denominado “De la protección de la información y de los datos”– y se preservan integralmente

los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.

Después de mucho sufrimiento y tras trasegar arduamente en diferentes instancias, se aprueba por el Senado y Cámara el proyecto de ley conciliado, que genéricamente llamamos proyecto de delitos electrónicos en Colombia, que legislativamente se adopta con el nombre de bien jurídico tutelado, denominado DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS.

Vale la pena, por la memoria histórica legislativa, relatar lo que ha sido el proceso de este proyecto de ley, desde las intenciones y deseos hasta su resultado aprobado en los cuatro debates reglamentarios y el adicional conciliado entre senado y cámara.

A finales del año 2006, en el despacho del viceministro de justicia Doctor GUILLERMO REYES, se comentó de su parte, y por requerimiento del señor Presidente de la República Doctor ÁLVARO URIBE VÉLEZ, la necesidad de legislar en materia de delincuencia electrónica, y en razón a la cercanía con la Universidad Santiago de Cali, Dirección de posgrados en Derecho, acordamos trabajar de manera conjunta en dicho propósito.

Inmediatamente , teniendo conocimiento del Proyecto que venia trabajando el juez de Rovira Doctor ALEXANDER DÍAZ,, quien se encontraba asesorando a nuestra institución en temas de Derecho Informático, como los juzgados virtuales y la Especialización en Derecho Informático y Nuevas Tecnologías, adoptamos dicho


6

proyecto, con el pleno apoyo del Rector de la Universidad Santiago de Cali, doctor HEBERT CELÍN NAVAS, procediendo a su publicación preliminar y presentación, primero al ministerio del Interior y de Justicia y luego al Congreso, a cuyos integrantes, les hicimos llegar a cada uno, un ejemplar, que se constituyó en la presentación del 1er Foro de discusión sobre FRAUDE EN LA CONTRATACIÓN ELECTRÓNICA INTERNACIONAL, donde , en los días 7,8 y 9 de marzo del año 2007, se discutió en la Universidad Santiago de Cali, por expositores nacionales e internacionales, la necesidad de una legislación penal en la materia. Como una necesidad internacional, abriéndose la posibilidad al público en general, de inscribir ponencias en la página Web www.proyectodelitoelectronico.com, lo cual indiscutiblemente abrió el debate nacional sobre este tema, haciéndose la presentación en sociedad del proyecto escrito por nuestro querido amigo, el Juez de Rovira. Contamos con el pleno apoyo del ministerio del Interior y de Justicia, en cabeza de su viceministro de Justicia, igualmente vinculado a nuestra casa de estudios, y quien hasta último momento fungió de protector del proyecto, hasta su aprobación final, logrando los contactos del caso con los representantes y senadores de las diferentes bancadas. Igualmente, a nivel mundial contamos con Alfa Redí, con su director Eric Iriarte, abordando la discusión igualmente en el Congreso Mundial de Derecho Informático realizado en la Universidad Santiago de Cali, en el mes de octubre del 2008. En este Congreso, fue vital la colaboración e información de los asistentes María Isabel Restrepo y Eduardo Franco.

El debate no fue fácil. La discusión fue abordada por el ministerio de Relaciones Exteriores de Colombia, quien convocó a varias sesiones, incluso con miembros de la Comisión Europea, de cuyos debates surgió un proyecto distinto, el del representante GERMÁN VARÓN COUTRINO, quien se nutrió de la Cancillería, la cual sea dicho de paso, fue hostil con nuestro proyecto llegando a desconocer la autoría del juez de Rovira y el patrocinio de los posgrados de la Universidad Santiago de Cali, esto en manifestación escrita dirigida al ente europeo.

El Juez de Rovira, en defensa de su proyecto, convenció al senador HUMBERTO GÓMEZ GALLO, y al representante CARLOS ARTURO PIEDRAHÍTA, sobre la importancia del tema, quienes plasmaron estas inquietudes y las propias en el proyecto de ley, que fue aprobada por la Comisión Primera de la Cámara y su


7

plenaria, previamente de haber sido escuchados todos los sectores en sesión informal, facilitada por el representante PIEDRAHÍTA, quien nos permitió al juez, a funcionarios del ministerio del Interior, en especial a JOSÉ GREGORIO BELTRÁN y al suscrito, exponer nuestros puntos de vista. Aquí se cambio el nombre al proyecto, y se eliminó la propuesta de Spam como delito, nació el tipo legal “De la

protección de la información y de los datos” Gracias, doctor CARLOS ARTURO.

Lo importante de todo este camino, fue el debate suscitado. El Proyecto inicial que proponía la creación del bien jurídico tutelado “la información o el dato”, la postura de la Cancillería y de la Sijín en cabeza del mayor Freddy Bautista, recogido por el representante GERMÁN VARÓN, quienes optaban por la tesis mayoritaria de la agravación punitiva, y la postura negativa inicial del ponente del proyecto en la Comisión Primera del senador Doctor PARMENIO CUÉLLAR, en identidad con el representante a la Cámara, en su Comisión Primera doctor GERMÁN NAVAS TALERO, con la sustentación valiosa de considerar que los tipos penales tradicionales , subsumían dichos comportamientos , siendo necesaria la cultura de los fiscales y jueces para la calificación de las conductas electrónicas disvaliosas de la sociedad, los cuales en su mayoría expresan en sus providencias la atipicidad de los hechos.

A pesar de su ponencia negativa registrada, la generosidad del senador PARMENIO CUÉLLAR , nos permitió ser oídos por él y su inteligente grupo de asesores, doctores ÁLVARO LÓPEZ DORADO y JULIÁN ROSERO NAVARRETE, quienes nos escucharon atentamente al ex viceministro Reyes, al experto español, maestro del derecho europeo, profesor de la Universidad Complutense de Madrid , presidente del Instituto Español de Derecho Informático, doctor EMILIO SUÑÉ LLINÁS, en el sentido de la necesidad de tipificar el delito electrónico en Colombia, recogiendo los lineamientos de la convención de Budapest sobre cibercrimen. TRIUNFÓ LA GENEROSIDAD, el ponente senador CUÉLLAR, ex ministro de Justicia, presentó propuesta favorable, la cual fue aprobada en la Comisión Primera del Senado y en la plenaria del mismo con las adiciones y comentarios de los también senadores HÉCTOR HELY ROJAS Y DARÍO SALAZAR.


8

Este es el proyecto de ley” Por medio del cual se crea el bien jurídico tutelado –

denominado “De la protección de la información y de los datos”– y se preservan

integralmente los sistemas que utilicen las tecnologías de la información y las

comunicaciones, entre otras disposiciones.” ,en el que participaron todos los sectores políticos del congreso, aprobándolo por unanimidad en todas las instancias, como prueba de su necesidad el cual se conocerá en todo el mundo con el nombre de DELITOS ELECTRÓNICOS EN COLOMBIA.

Jarvey Rincón Ríos Abogado M.B.A Especialista en Derecho Financiero Candidato a Ph.D. de la Universidad de Buenos Aires. Argentina. Director Posgrados en Derecho y Ciencias Económicas Universidad Santiago de Cali Diciembre 16 de 2008


9

2. “Proyecto de ley estatutaria por el cual se modifica el Código Penal y se crea un nuevo Bien Jurídico Tutelado: EL DATO

(E.D.I.)B marzo 7 de 2007”

Este proyecto fue radicado por los Doctores LUIS HUMBERTO GÓMEZ GALLO, Senador de la república CARLOS ARTURO PIEDRAHÍTA, Representante a la Cámara, quienes confiaron y apoyaron firmemente el proyecto, desde su presentación hasta su aprobación en los respectivos debates.

EXPOSICIÓN DE MOTIVOS

Por ALEXANDER DÍAZ GARCÍA1 1. Introducción Sometemos ante el Congreso de la República el presente proyecto de ley, cuya creación corresponde al Juez Segundo Promiscuo Municipal de Rovira ALEXANDER DÍAZ GARCÍA quien contó con el aporte intelectual del tratadista Dr. Fernando Velásquez Velásquez y académico de los Drs. Jarvey Rincón Ríos Director de posgrados de la Facultad de Derecho de la Universidad Santiago de Cali y Gabriel Roldán Restrepo Juez Veinte Penal del Circuito de Medellín Coordinador del Comité de Estudios Políticos y Legislativos del Colegio de Jueces y Fiscales de Antioquia. 1 ALEXANDER DÍAZ GARCÍA. Abogado de la Universidad Católica de Colombia; Especialista en: Ciencias Penales y criminológicas de la Universidad Externado de Colombia; Ciencias Constitucionales y Administrativas de la Universidad Católica de Colombia y Nuevas Tecnologías y Protección de Datos de la Escuela de Gobierno y Políticas Públicas de Madrid adscrita al Instituto Nacional de Administración Pública de España. Autor de la Primer Proceso judicial electrónico de Hábeas Data y la Intimidad Virtual, a través de una acción de tutela virtual, violado por abuso de spam. Entre otras.


10

2. PRECISIONES INICIALES. En la actualidad, han surgido muchos problemas relacionados con el uso de las computadoras, amenazas que afectan negativamente tanto a los individuos como a las empresas. La proliferación de estos instrumentos que se han constituido en la principal herramienta de funcionamiento en casi todos los niveles de convivencia, así como la creación de la red global, ha provocado que cada vez más personas se las ingenien para lucrarse, hacer daño o causar perjuicios a través del uso de estos instrumentos. Por ello, se pone en consideración del Honorable Congreso de la República de Colombia, este proyecto de ley sobre los delitos informáticos, que pretende regular y sancionar una serie de conductas, que sorprendentemente, no son tenidas en cuenta por nuestra Legislación Penal. Se trata de un decálogo de tipos penales, muchos de ellos con nuevos verbos rectores, que sólo se conjugan en las circunstancias informáticas origen del presente estudio. Antes de entrar a considerar más en detalle los delitos informáticos, se torna obligado exponer el tema sobre la legitimidad del documento electrónico, el dato y, por consiguiente, la información en Colombia, que es a la postre el bien jurídico tutelado susceptible de ser vulnerado, cualquiera que sea el propósito ilegal pretendido por el sujeto activo de la conducta. Lo anterior, permite establecer claras fronteras entre un verdadero delito informático y un hecho punible que ha usado medios electrónicos para su consumación. La mayoría de los expositores se refieren al tema de los delitos informáticos, sin detenerse a reflexionar que, para poder hablar de un delito informático, son necesarios dos presupuestos básicos: uno, que la conducta constitutiva del mismo esté tipificada por la Ley; y dos, que medie una sentencia condenatoria en la cual el funcionario judicial, haya declarado probada la existencia concreta de una conducta típica, antijurídica y culpable del delito informático, lo que permite colegir sin profundas elucubraciones que la conducta informática socialmente reprochable es atípica en Colombia. Así las cosas, es necesario precisar y explicar, en qué consiste el bien jurídico tutelado de la información (almacenada, tratada y transmitida a través de sistemas


11

informáticos), en toda su amplitud, titularidad, autoría, integridad, disponibilidad, seguridad, transmisión, confidencialidad e intimidad, sin perjuicio de que con su vulneración, subsidiariamente y en tratándose de intereses colectivos, afecte otros bienes jurídicos como la propiedad generalmente. Así mismo, se debe mostrar cómo el decálogo de conductas aquí propuesto, está constituido por tipos autónomos y no subordinados por circunstancias genéricas o específicas de agravación punitiva de otros tipos, como ha sido la costumbre legislativa en el mundo. Igualmente, se debe tener en cuenta que algunas de las expresiones utilizadas aparecen en idioma inglés, porque muchas de esas conductas están en esa lengua o porque su texto original en ese idioma ha sido modificado caprichosamente por los llamados “hackers”, lo que obliga a utilizar locuciones castellanas, que de forma más o menos aproximada, permitan tipificar las susodichas conductas. 3. LOS BIENES JURÍDICAMENTE TUTELADOS. A lo largo de la evolución del Derecho Penal, se han distinguido diversos conceptos de bien-jurídico. En efecto, la noción acuñada por Birnbaum a mediados del siglo XIX, se refiere a los bienes que son efectivamente protegidos por el Derecho; esta concepción, sin embargo, es demasiado abstracta y por ello no cumple con la función delimitadora del Ius puniendi, que persigue un derecho penal de inspiración democrática. Según Von Liszt, y bajo una concepción material del bien jurídico, su origen reside en el interés de la vida existente, antes del Derecho y surgido de las relaciones sociales. El interés social no se convierte en bien jurídico hasta que no es protegido por el Derecho. A su turno, el concepto político criminal del bien jurídico trata de distinguir el bien jurídico de los valores morales, o sea, busca plasmar la escisión entre Moral y Derecho, que si bien a veces pueden coincidir en determinados aspectos, no deben ser confundidas en ningún caso. Esta concepción del bien jurídico es obviamente fruto de un Estado Social y Democrático de Derecho, y dada su vertiente social, requiere una ulterior concreción de la esfera de actuación del Derecho penal a la hora de tutelar intereses difusos.


12

El origen de la noción de bien jurídico está, por tanto, en la pretensión de elaborar un concepto del delito previo al que forma el legislador, que condicione sus decisiones, de la mano de una concepción liberal del Estado, para la cual éste es un instrumento que el individuo crea para preservar los bienes que la colectividad en su conjunto quiera proteger. En otras palabras: el bien jurídico es la elevación a la categoría del bien tutelado o protegido por el derecho, mediante una sanción para cualquier conducta que lesione o amenace con lesionar este bien protegido; de ello se infiere que el bien jurídico obtiene este carácter con la vigencia de una norma que lo contenga en su ámbito de protección, mas si esta norma no existiera o caduca, éste no deja de existir pero si de tener el carácter de jurídico. Esta característica proteccionista, que brinda la normatividad para con los bienes jurídicos, se hace notar con mayor incidencia en el ámbito del Derecho penal, ya que en esta rama del orden jurídico más que en ninguna otra la norma se orienta directamente a la supresión de cualquier acto contrario a mantener la protección del bien jurídico. Por ejemplo, el delito de espionaje informático busca sancionar los actos que difunden en forma irregular la información privilegiada industrial o comercial a través de medios electrónicos. En la actualidad, la conceptualización del bien jurídico no ha variado en su aspecto sustancial de valoración de bien a una categoría superior, la de bien tutelado por la ley, en cuanto a ciertos criterios como el origen o como el área del derecho que deba contenerlos. El Derecho Penal, pues, tiene su razón de ser en un Estado Social, porque es el sistema que garantiza la protección de la sociedad a través de la tutela de sus bienes jurídicos, en su calidad de intereses muy importantes para el sistema social y, por ello, protegibles por el Derecho Penal. Sin embargo, no debe olvidarse que existen bienes jurídicos, que no son amparados por el Derecho Penal, por ser intereses sólo morales, por lo cual, no todos los bienes jurídicos son bienes jurídico-penales.


13

4. LOS BIENES JURÍDICO-PENALES. Un Estado Social y democrático de Derecho, debe amparar sólo las condiciones de la vida social, en la medida en que éstas, perturben las posibilidades de participación de los individuos en el sistema social. Por tanto, los bienes jurídicos serán jurídico-penales sólo si revisten una importancia fundamental, o sea cuando las condiciones sociales a proteger sirvan de base a la posibilidad de participación de los individuos en la sociedad. En un Estado democrático, cabe destacar la importancia de la participación de los individuos de vivir en sociedad, confiando en el respeto de la propia esfera de libertad individual por parte de los demás. Otra característica esencial de los bienes jurídico-penales, es la necesidad de protección de los mismos, o sea, que a través de otros medios de defensa que requirieran menos intervención y, por tanto, fueran menos lesivos, no se logre amparar satisfactoriamente el bien. El bien jurídico nace, de una necesidad de protección de ciertos y cambiantes bienes inmanentes a las personas como tales, esta protección es catalizada por el legislador al recogerlas en el texto constitucional, de la cual existirían bienes cuya protección será cumplida por otras ramas del derecho, es decir, que no todos los bienes jurídicos contenidos en la Constitución, tienen una protección penal, pues también existen bienes jurídicos de tutela civil, laboral, administrativa etc. Aquellos bienes jurídicos cuya tutela sólo y únicamente puede ser la tutela penal, son los denominados bienes jurídicos penales; al determinar cuáles son los bienes jurídicos que merecen tutela penal, siempre se tendrá en cuenta el principio de tener al Derecho penal como última ratio o última opción para la protección de un bien jurídico, ya que, éste afecta otros bienes jurídicos, con el fin de proteger otros de mayor valor social. De otro lado, es claro, que no aparece otro factor que se revele como más apto para cumplir con la función limitadora de la acción punitiva, pues —como hemos observado—, sólo se deben proteger los bienes jurídicos de mayor importancia para la convivencia social y cuya protección por otras ramas del derecho, hagan insuficiente la prevención que cualquier transgresión los afecte.


14

5. PRINCIPIO DE LA INTERVENCIÓN MÍNIMA DE LA ACTUACIÓN PUNITIVA DEL ESTADO. Es el axioma que restringe el campo de la libertad del ciudadano, y que, mediante la pena, priva de derechos fundamentales o condiciona su ejercicio; por ello, por una parte, debe ser el último de los recursos (ultima ratio) de los que el mismo tiene a su disposición para tutelar los bienes jurídicos y, por otra parte, debe ser lo menos gravoso posible para los derechos individuales, mientras resulte adecuado para alcanzar los fines de protección que se persiguen. Ello significa que: 1) El Derecho Penal sólo es aplicable cuando para la protección de los bienes jurídicos se han puesto en práctica otras medidas no represivas, que pueden ser, por ejemplo, de carácter laboral, administrativo o mercantil, y ellas han resultado insuficientes; por tanto, sería desproporcionado e inadecuado comenzar con una protección a través del Derecho Penal. 2) El Estado debe graduar la intervención sancionadora administrativa y penal, de modo que siempre que sea posible alcanzar el amparo del bien jurídico mediante el recurso a la potestad sancionadora de la Administración, debe preferir ésta a la penal, por ser menos gravosa, al menos para las conductas menos dañosas o menos peligrosas. Se debe entender, entonces, que el Derecho Penal tiene carácter subsidiario frente a los demás instrumentos del ordenamiento jurídico y, así mismo, posee carácter fragmentario, en cuanto no tutela todos los ataques a los bienes jurídicos relevantes sino únicamente los más graves o más peligrosos. El Derecho Penal sólo es aplicable cuando para la protección de los bienes jurídicos se han puesto en práctica otras medidas no represivas, que pueden ser —por ejemplo— de carácter laboral, administrativo o mercantil, y ellas han resultado insuficientes; por tanto, sería desproporcionado e inadecuado comenzar con una protección a través del Derecho Penal.


15

6. NATURALEZA JURÍDICA DEL BIEN JURÍDICO TUTELADO DE LA INFORMACIÓN. Para algunos, el delito informático representa sólo la comisión de otros delitos mediante el uso de las computadoras, pues se considera que en realidad no hay un bien jurídico protegido en este caso, pues se parte del presupuesto de que dicha conducta no existe como tal. Otros, por el contrario, opinan que estos delitos tienen un contenido propio, afectando así un nuevo bien jurídico “La Información”, gracias a lo cual diferencian los delitos computacionales y los delitos informáticos propiamente dichos. Finalmente, una tercera corriente considera que los delitos informáticos deben ser observados desde un punto de vista triple: como fin en sí mismos, pues el computador puede ser objeto de la ofensa, al manipular o dañar la información que este pudiera contener; como medio, esto es, como herramienta del delito, cuando el sujeto activo usa el ordenador para facilitar la comisión de un delito tradicional; y, finalmente, como objeto de prueba: los computadores guardan pruebas incidentales de la comisión de ciertos actos delictivos cometidos a través de ellos. El bien jurídico ha sido y será la valoración que se haga de las conductas necesarias para una vida pacífica, recogidas por el legislador en un determinado momento histórico–social; por ello, el concepto de bien jurídico no desaparece, solo cambia en cuanto al ámbito de protección que lo sujeta. El desarrollo de esta institución jurídica, pues, pasa por momentos totalmente distintos dado que ellos son producto de las necesidades propias del desarrollo de la sociedad; ellos, en consecuencia, no se originan al crear una norma sino que su existir es previo a la misma. El bien jurídico se justifica, entonces, como categoría límite al poder punitivo del Estado, un obstáculo capaz de impedir arbitrariedades, distorsiones o confusiones en la elaboración de la estructura penal; las funciones de garantía son inherentes al bien jurídico penal y se vincula a la relación individuo-Estado. Por ello, bajo el mecanismo de garantía resulta posible denunciar todos los elementos que amenacen o avasallen a la persona en su relación con el Estado. La función de interpretación de la norma penal, conducirá siempre al bien jurídico, en cuya sede se pueden establecer criterios esclarecedores o correctivos de los alcances de la


16

protección a fin de evitar distorsiones en la comprensión del contenido de los bienes jurídicos en concreto. 7. EL DELITO INFORMÁTICO. En tales condiciones, el artículo 269A del Proyecto, pretende proteger la información privilegiada industrial, comercial, política o militar relacionada con la seguridad del Estado. Se castiga, pues, la falta de sigilo o confidencialidad de los profesionales, responsables o encargados de los ficheros de los datos automatizados. En el artículo 269B, los verbos rectores empleados se deducen de las locuciones ingresar, usar ilegalmente información sin estar autorizado. Esta actividad se conoce como White hacking, porque los autores de esas conductas quieren demostrarle al sistema de seguridad en donde acceden lo capaces que son. En el Ethical hacking no es admisible esta conducta, toda vez que se sugiere un contrato para hacer esta clase de asaltos informáticos. Este comportamiento es, sin duda, uno de los delitos informáticos, de mayor ocurrencia, puesto que el hacker al realizar otros comportamientos informáticos, ingresa abusivamente al sistema informático, con lo cual su actuar va asociado a otras conductas punibles. En el artículo 269C el verbo rector de la conducta es el impedir el acceso a los sistemas informáticos; este comportamiento se conoce también como extorsión informática, pues el delincuente bloquea, asedia, o acorrala el sistema hasta cuando no se le cancele una suma de dinero. El caso más patético es el caso de Hackers turcos y eslovenos que tomaron como rehén la página de un club de fútbol colombiano, el Envigado FC, un equipo de la segunda división. Sin embargo, también se conoce de personas que por alguna razón de confianza han logrado acceder a cuentas de correo electrónicos y que luego, por alguna indisposición, se distancian de éstas pero siguen conociendo de las claves de acceso, modifican éstas e impiden que el titular de la cuenta las abra, realizando diversos comportamientos, incluso difamar del titular de la dirección electrónica, como sucede con los novios que terminan la relación; pero abusan de los secretos que, en pareja, guardaron, difundiéndolos en la red. El 269D se refiere al uso de virus o software malicioso, una conducta muy generalizada en la red.


17

A su turno, el artículo 269E prevé como punible el abuso de medios informáticos, mediante la introducción de verbos rectores como "intercepte", "interfiera", "use" o "permita que otro use". Ello, es consecuencia de que en materia de delitos informáticos es frecuente que el hacker al realizar otras conductas informáticas, ingrese abusivamente al sistema informático, por lo cual suele realizar un concurso de conductas punibles. Aquí se incluye el abuso de spam, flagelo informático que ha generado problemas económicos a los usuarios del correo electrónico, vulnerando también derechos fundamentales como el de la intimidad virtual y el hábeas data a los usuarios de la Internet y de las telecomunicaciones. Recuérdese que el spaming se puede realizar mediante el uso masivo de correspondencia electrónica, llamadas telefónicas o avisos en el monitor de los teléfonos móviles. También, es muy común el comportamiento denominado denegación de servicio DDos (Distributed Denial Of Service Attack) que permite bloquear un servidor por múltiples ataques. En lo que respecta al artículo 269F, debe decirse que se refiere a la protección de la destrucción de la información, bien que aún no ha sido clasificado por la doctrina, como mueble o inmueble, siendo necesario tipificarlo por tan sue generis circunstancia. Incluso, esta conducta es extensiva para los programadores que insertan en sus programas virus con el objeto de autodestruirse o destruir el soporte lógico en donde se monta, so pretexto de ejecutarse sin licencia. Este comportamiento se agrava cuando el fin perseguido es de carácter terrorista, cuando la conducta del agente sobreviniere daño común, si recae sobre bienes estatales, o cuando interviene un servidor público con provecho para sí o para un tercero. El artículo 269G se refiere a la estafa electrónica, la que no puede ser subsumida en la estafa clásica, pues los verbos rectores son diferentes; en efecto, debe recordarse que en aquella (la clásica), la inducción se realiza en humano, en cambio en el delito informático no se puede inducir o mantener a otro en error por medio de artificios o engaños, pues las máquinas no son susceptibles de inducción al error, pues se debe manipular la información para lograr la transferencia de activos en forma ilegal. En principio, esta conducta se ha considerado como un modus operandi. Debe, pues, distinguirse el comportamiento de estafa logrado a través de medios informáticos, de la estafa electrónica que se refiere a la modificación de la información económica o patrimonial.


18

En tratándose del Phishing, regulado en el artículo 269H, debe decirse, que la conducta pone en peligro la integridad de la información sensible del usuario, con graves consecuencias patrimoniales la mayoría de las veces. El tipo se consuma con el diseño de página (s) falsa (s) de la entidad atacada; el imputado debe registrar ese site falso, que en el medio se le denomina como "carnada", con un dominio similar al de la entidad. Logrado el registro del nombre de dominio se debe ubicar el alojamiento en hosting. Luego, el delincuente remite correo masivo spam (lanza la carnada) a una base de datos que seguramente ha adquirido en el mercado negro. Seguidamente, caerán incautos, pues muchas personas no diferencian fácilmente entre un site legítimo y uno falso; el afectado, ingenuamente, suministra su información, incluyendo datos de acceso y contraseñas bancarias. El delincuente captura estos datos y procede a realizar las operaciones bancarias electrónicas y ordena las transferencias a cuentas de tercero. Estas transferencias las realiza mediante spam a través de terceros que se les llaman Phishing mulas, enviando correos de ofertas de trabajo a personas que ansiosas de laborar realizan cualquier labor para ganarse algunos pesos y mejor si resulta ser muy fácil. Objetivo: Captar intermediarios para recibir el dinero. Actividad: Recibir en su cuenta el dinero procedente de las víctimas, luego éstos envían el dinero al Phisher (delincuente informático) según instrucciones. En esta descripción típica, pues, no se pena al Phisher mula (incauto cibernauta , casi siempre) que vincula el agente para el éxito del ilícito, pues ha ofrecido su cuenta bancaria o sus servicios en forma espontánea, ante unas supuestas transacciones, como un pseudo-representante de la compañía internacional que en el país le han hecho creer, porque si se prueba que éste, el que ha prestado su nombre , lo hace con la finalidad de obtener lucro incurre en una conducta ya consagrada en nuestro Código Penal, bajo el epígrafe de Enriquecimiento ilícito de particulares, consistente en penalizar el que de manera directa o por interpuesta persona obtenga, para sí o para otro, incremento patrimonial no justificado, derivado en una u otra forma de actividades delictivas (artículo 327). Finalmente, resulta oportuno resaltar que el nombre de Phishing viene de una combinación de “Phishing” (en inglés pescar) con las dos primeras letras cambiadas por “ph”: la “p” de password (contraseña) y la “h” de hacker (pirata informático). El Anti-Phishing Working Group, organización creada en EE. UU., para combatir este fraude, asegura que el número y sofisticación del 'Phishing'


19

enviado a los consumidores se está incrementando de forma dramática y que "aunque la banca online y el comercio electrónico son muy seguros, como norma general hay que ser muy cuidadoso a la hora de facilitar información personal a través de Internet". Para describir la conducta punible de falsedad en el artículo 269I, se emplean los verbos rectores: borrar, alterar, suprimir, modificar e inutilizar. La norma pretende proteger todo tipo de documentos privados o públicos, que tengan carácter probatorio. Hoy, la mayoría de las transacciones en comercio electrónico se hace en este formato y son muy pocas las oportunidades que se registran en soporte papel. Piénsese, por ejemplo, en la transacción que realiza un comerciante Colombiano con zapatos Italianos y, a través de accesos ilegales al sistema, logra modificar las condiciones de la transacción; por ejemplo, que el vendedor asuma el IVA, los valores de la transacción, que modifique el catálogo de productos, etc. No todas las veces, pues, se imprimen los documentos electrónicos en soporte papel, además esta adulteración logra engañar, virtud de la falsedad para convencer; al lograrse todo esto, se crea un documento ilegítimo y su contenido no es cierto o parcialmente verdadero. Tampoco, se puede pasar por alto, por ser una verdad de Perogrullo, que la falsedad no siempre es material o física, basta recordar la destrucción de las cartillas decadactilares que, se dice, borró el ex-Director de Informática del DAS o las vulneraciones que se han hecho en la Registraduría Nacional del Estado Civil para “desaparecer o resucitar” a ciudadanos. Finalmente, téngase en cuenta que el documento electrónico y, por ende, su adulteración, ha sido debatida por vía jurisprudencial porque la Corte Constitucional en su sentencia No. C-356 de Mayo 6 de 2003 lo reconoció pero, ciertamente, esa Corporación no es un ente legislativo. Para terminar, con la punición de la violación de datos personales que aparece en último lugar en el nuevo artículo 269J, se quiere salvaguardar el derecho protegido a la autodeterminación informativa, un estrecho nexo con valores, como la dignidad humana y el libre desarrollo de la personalidad, así como con otras libertades públicas como la ideológica o la de expresión. La conducta se define con el empleo de los siguientes verbos rectores: autorizar en negación, obtener, compilar, sustraer, ofrecer vender, intercambiar, enviar, comprar, divulgar, modificar o emplear datos sensibles.


20

En fin, la exposición anterior, demuestra la trascendencia que estas conductas ilícitas, tienen en el tráfico social por lo que, a la par de convenios internacionales como el de la cibercriminalidad suscrito en Budapest en 2001, el legislador colombiano las debe incluir dentro de su catálogo de prohibiciones. A eso, pues, está enderezado el presente Proyecto de ley que esperamos cuente con la acogida de los honorables congresistas.

PROYECTO DE LEY No.

“Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado denominado “la protección de la información” y se preservan

integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, así mismo se dictan medidas para la prevención y sanción de los

delitos cometidos contra tales sistemas, cualquiera de sus componentes o mediante el uso de dichas tecnologías”

EL CONGRESO DE LA REPÚBLICA DE COLOMBIA DECRETA

ARTÍCULO PRIMERO: adiciónese el Código Penal con el Título VII BIS denominado “De la Protección de la información”, del siguiente tenor: ARTÍCULO 269A: ESPIONAJE INFORMÁTICO. El que se apodere, interfiera, transmita, copie, modifique, destruya, utilice, impida o recicle datos informáticos de valor para el tráfico económico de la industria, el comercio, o datos de carácter político y/o militar relacionados con la seguridad del Estado, incurrirá en prisión de seis (6) a diez (10) años y multa de 500 a 2.500 salarios legales mínimos mensuales vigentes.


21

ARTÍCULO 269B: ACCESO ILEGÍTIMO A SISTEMAS INFORMÁTICOS. El que haga uso de los medios informáticos o de telecomunicaciones y sus soportes de información, programas y sistemas operativos, de aplicaciones de seguridad, poniendo en riesgo la confidencialidad, seguridad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca, conserve o transmita, incurrirá en pena de prisión de cuatro (4) a ocho (8) años de prisión y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. Parágrafo: Si los hechos descritos en el artículo anterior se cometen utilizando redes o sistemas estatales, gubernamentales, de organizaciones comerciales o educativas, nacionales, internacionales, o de país extranjero, la sanción será de seis (6) años a diez (10) años de prisión y multa de 350 a 2.000 salarios mínimos legales mensuales vigentes. ARTÍCULO 269C: BLOQUEO ILEGÍTIMO A SISTEMAS INFORMÁTICOS: El que, sin estar facultado, emplee medios tecnológicos que impidan a persona autorizada acceder a la utilización lícita de los sistemas o redes de telecomunicaciones, incurrirá en sanción de cuatro (4) a ocho (8) años de prisión y en multa de 50 a 500 salarios mínimos legales mensuales vigentes. Parágrafo: Si el bloqueo genera riesgo para la seguridad nacional, la pena se aumentará de una tercera parte a la mitad. ARTÍCULO 269D: USO DE VIRUS (SOFTWARE MALICIOSO). El que produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional virus (software malicioso) u otros programas de computación de efectos dañinos, incurrirá en sanción de privación de libertad de cuatro (4) a ocho (8) años y en multa de 50 a 500 salarios mínimos legales mensuales vigentes. Parágrafo: La pena prevista en este artículo se aumentará hasta en la mitad, si la conducta se realizare en provecho propio o de un tercero, por parte de empleado o contratista del propietario del sistema informático o telemático, o por un servidor público. ARTÍCULO 269E: ABUSO DE USO DE MEDIOS INFORMÁTICOS. El que, sin autorización o excediendo la que se le hubiere concedido, con el fin de procurar un beneficio indebido para sí o para un tercero, intercepte, interfiera, use o permita que otra use un sistema o red de computadoras o de telecomunicaciones, un


22

soporte lógico, un programa de computación o una base de datos, o cualquier otra aplicación informática o de telecomunicaciones, incurrirá en sanción de cuatro (4) a ocho (8) años de prisión y en multa de 50 a 500 salarios mínimos legales mensuales vigentes. Parágrafo: La pena prevista en este artículo se aumentará hasta en la mitad, si la conducta se realizare con el propósito de enviar correos o mensajes no solicitados o autorizados en forma masiva o individual. ARTÍCULO 269F: DAÑO INFORMÁTICO. El que destruya, altere o inutilice un sistema de tratamiento de información o sus partes o componentes lógicos, o impida, altere, obstaculice o modifique su funcionamiento, incurrirá en pena de prisión de cuatro (4) a ocho (8) años y en multa de 200 a 1000 salarios mínimos legales mensuales vigentes. La pena se aumentará de una tercera parte a la mitad, cuando: 1. El propósito o fin perseguido por el agente sea de carácter terrorista. 2. Como consecuencia de la conducta del agente sobreviniere peligro o daño común. 3. El acto dañoso se ejecute sobre bien de propiedad de una entidad estatal. 4. Si la conducta se realizare en provecho propio o de un tercero, por parte de empleado o contratista del propietario del sistema informático o telemático, o por un servidor público. ARTÍCULO 269G: ESTAFA INFORMÁTICA. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en prisión de cuatro (4) a diez (10) años y en multa de 200 a 1000 salarios mínimos legales mensuales vigentes. Parágrafo: La pena prevista en este artículo se aumentará hasta en la mitad, si el monto del activo transferido es superior a 100 salarios mínimos legales mensuales vigentes.


23

ARTÍCULO 269H: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES (PHISHING). El que diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas (web site), enlaces (links) o ventanas emergentes (pop up), incurrirá en prisión de cuatro (4) a ocho (8) años y en multa de 200 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En las mismas sanciones incurrirá el que, con el fin de inducir, convencer a los consumidores a divulgar información personal o financiera, modifique el sistema de resolución de nombres de dominio, lo que hace al usuario ingresar a una IP diferente en la creencia de que está accediendo a su banco u otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el phisher ha reclutado Phishing mulas en la cadena del delito. ARTÍCULO 269I: FALSEDAD INFORMÁTICA. El que sin autorización para ello y valiéndose de cualquier medio electrónico, borre, altere, suprima, modifique o inutilice los datos registrados en una computadora, incurrirá en prisión de cuatro (4) a ocho (8) años y en multa de 50 a 500 salarios mínimos legales mensuales vigentes. ARTÍCULO 269J: VIOLACIÓN DE DATOS PERSONALES. El que, con provecho para sí o para un tercero y sin autorización, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee datos personales que se encuentren en ficheros, archivos, bases de datos o medios semejantes, públicos o privados, incurrirá en prisión de cuatro (4) a ocho (8) años y en multa de 50 a 500 salarios mínimos legales mensuales vigentes. Las penas previstas en este artículo se aumentarán hasta en la mitad, si las conductas se realizaren en provecho propio o de un tercero por parte de empleado o contratista del propietario del sistema u operador informático o telemático, o por un servidor público.


24

Las mismas sanciones se impondrán al que realice dichas conductas cuando la información vulnerada corresponda a un menor de edad. ARTÍCULO SEGUNDO: La presente ley deroga todas las disposiciones que le sean contrarias y rige desde su promulgación. De los Honorables Congresistas, LUIS HUMBERTO GÓMEZ GALLO CARLOS ARTURO PIEDRAHÍTA Senador de la república Representante a la Cámara


25

3. EL DELITO INFORMÁTICO UNA ARGUMENTACIÓN SOBRE LA NECESIDAD DE SU TIPIFICACIÓN

(Ponencia presentada en audiencia pública en la Comisión Primera Constitucional,

Cámara de Representantes, debate proyecto de ley 042 de 2007, Bogotá 11 de

Septiembre de 2007)

Por Jarvey Rincón Ríos**

Introducción

Tal como hemos visto hasta el momento, la revolución tecnológica ha generado una serie de cambios en la sociedad que conllevan a la aparición de un tipo de prácticas atentatorias de bienes jurídicos tales como la información y el patrimonio económico.

La era actual ha sido denominada como la sociedad del conocimiento o economía del conocimiento, en razón a que la información adquiere un valor relevante desde todos los puntos de vista, siendo uno de los relevantes el económico; en ese sentido la Informática se ha convertido en el nuevo paradigma que se constituye a la vez como una herramienta de poder.

Por Informática, entendemos la transformación y transferencia de la información a través de las computadoras, con la finalidad de realizar los procesos cotidianos de manera más eficiente, sin embargo la UNESCO ofrece una definición, si se quiere,

** Director Postgrados en Derecho y Ciencias Económicas de la Universidad Santiago de Cali, Abogado Especialista en Derecho Financiero de la Universidad del Rosario M.B.A. Administración de Empresas. Especialista en Comercio Exterior y Economía Internacional de la Universidad de Barcelona España. Profesor Universitario a nivel de Pregrado y Postgrado. Actualmente cursando Maestría en Derecho Privado en Convenio Universidad Santiago de Cali - Universidad Pontificia Bolivariana de Medellín, candidato a PHD de la Universidad de Buenos Aires Argentina 2 Tecnologías de la Información y la Comunicación.


26

más amplia “ciencia que tiene que ver con los sistemas de procesamiento de información y sus implicaciones económicas, políticas y socioculturales.”

A su vez, encontramos otra definición interesante, “es la disciplina que estudia el fenómeno de la información, y la elaboración, transmisión y utilización de la información principalmente, aunque no necesariamente, con la ayuda de ordenadores y sistemas de telecomunicación como instrumentos” 3, y quizá una definición más amplia es que la “informática es la aplicación racional y sistemática de la información para el desarrollo económico, social político.”4

La economía del conocimiento sustenta su eje axial en la investigación y su repercusión en la sociedad se concreta en varias circunstancias, una de ellas es el otorgamiento de derechos de patente, situación que afirma una vez más que son los derechos inmateriales o de propiedad intelectual los que actualmente precisan de una protección jurídica en razón a que dada su naturaleza y relevancia se convierten en derechos vulnerables de ser trasgredidos, más aún si se tiene en cuenta que precisamente “ (S) el 51% de los ingresos del producto interno bruto de EE.UU. lo constituyen los derechos de patente.”5

3.1 El delito Informático

Entonces, el desarrollo de la ciencia y la aplicación desde la tecnología ha permitido el desarrollo de disciplinas como la Informática que facilitan el desarrollo de diversas actividades tanto empresariales como cotidianas, “Es importante destacar (S) que la informática constituye en nuestros días el sector más dinámico de la economía mundial, ostentado una elevada tasa de crecimiento anual equivalente al 18%”6;sin embargo, este avance del ingenio del ser humano, es objeto de conductas disvaliosas como el hacking, entendido como el acceso ilegítimo informático; el cracking, destrucción o daño de la información en medio informático, entre otras conductas posibles como el espionaje, el sabotaje o el fraude informático.

3 Carrion Zorzoli Hugo, Atipicidad penal del sabotaje informático, Revista Alfa-redi, No. 048 – julio del 2002, www.alfa-redi.org, ISSN 1681-5726, página consultada enero 2007. El autor participó en la redacción del Anteproyecto de Ley sobre Delitos Informáticos publicado en el Boletín Oficial 27/09/01. 4 Altmark, Daniel Ricardo, La etapa precontractual en los contratos informáticos, Departamento de Postgrado facultad de derecho, Universidad de Buenos Aires, p. 1(documento electrónico). 5 Thurow Lester, profesor de economía del MIT, citado en Delitos Informáticas ¿Robo del Siglo XXI? Trabajo dirigido por el Dr. Carlos Parma, Universidad Católica de Cuyo (San Luis), Argentina, www.derechopenal.8m.com 6 Altmark, Daniel Ricardo, Op. Cit., p. 5.


27

Por lo tanto, la disciplina jurídica, ha tenido que ocuparse de este problema para, a través de la ley, el ordenamiento penal enfrentar aquellas conductas que ponen en riesgo la tranquilidad y el continuo devenir de una sociedad globalizada, en otras palabras, la Informática, no es entendida aquí como instrumento al servicio del derecho, por el contrario se convierte en objeto del derecho que es preciso analizar con la finalidad de ofrecer respuestas y garantías sociales. “Tradicionalmente se había considerado que la función del Estado en el ámbito de la penalidad se reducía a garantizar la seguridad y el bienestar de los asociados, aislando del conglomerado humano a elementos nocivos, que con su comportamiento ilícito hubiesen lesionado o puesto en peligro intereses individuales o sociales jurídicamente protegidos; hoy se reconoce que la función del ordenamiento jurídico-penal es de más amplio alance, pues no solamente se limita a asegurar las condiciones fundamentales de la vida en común, sino también a “promover el desarrollo y el mejoramiento de la sociedad”7

Puede plantearse entonces, que la problemática del delito informático y presentarse en dos casos: de un lado ubicando la informática como medio utilizado para la consumación del delito, o como objeto de efectivización de una conducta disvaliosa, cualquiera de los dos supone un factor criminológico que asciende en importancia de lo cual resulta necesario la estructuración de tipología y regulaciones específicas, analicemos el siguiente ejemplo, el Instituto Suizo de Seguro (S) informaba que las compañías aseguradoras sufrían pérdidas anuales equivalentes a los cuatro mil millones de francos emergentes de los denominados delitos informáticos. En Francia, en 1984, el resultado de los diferentes tipos delictuales vinculados a la informática, ascendió a la suma de setecientos millones de francos, al realizar un estudio comparativo se encontró que esta circunstancia era diez veces mayor a los asaltos tradicionales a bancos efectividazados en toda Francia durante el mismo período8.

Entonces, y siguiendo a Erick Iriarte, toda una autoridad en esta nueva etapa del derecho, se precisa de una regulación pues si bien existen fenómenos que se encuentran regulados o a los que les son aplicables normatividades existentes, “(..) hay temas nuevos que requieren ser regulados, los delitos que afectan el bien jurídico información tienen que ser establecidos, el documento digital como medio probatorio tiene que ser contemplado en el código procesal civil, pero también el uso de medios digitales para la declaración de la voluntad. Un trabajo de 7 Antolisesi Francesco, citado por Reyes Alfonso, Derecho Penal, Parte General, 2da edición, Publicaciones Universidad Externado de Colombia, Bogotá, 1972, pág. 5. 8 Cfr. Altmark, Ricardo, Op. Cit., p. 7


28

adecuación normativa a una realidad.”9 No obstante, dicha regulación no puede ser entendida sin la elaboración de una política criminal adecuada que sustente filosóficamente la norma jurídica, más aún que integre políticas sociales, de desarrollo, de Estado, teniendo en cuenta los componentes de las TIC´s, con la finalidad de construir unas políticas de Estado integradas producto de decisiones estratégicas de cara a las necesidades y los retos de la sociedad de la información.

Es así, como aparece lo que para un sector de la doctrina se denominará el delito informático, como una nueva tendencia para la comisión de ilícitos en la sociedad, es decir, el empleo de la informática con ánimo doloso o culposo, conducta que comienza a ser objeto de tipificación penal como intervención positiva del Estado con la finalidad de cumplir con sus fines esenciales, sin embargo, en el marco de la sociedad internacional se precisa abrir la discusión frente a un derecho penal sancionador, no solamente desde la óptica local sino con una concepción desde el derecho internacional10.

En ese mismo orden de sentido, el Profesor argentino Hugo Carrion al hacer referencia al cambio en la estructura social por la masificación de la Internet, señala que dicha evolución tiene un aspecto negativo, “En efecto, la Informática ha abierto nuevos horizontes al delincuente, incitando su imaginación, favoreciendo su impunidad y potenciando los efectos del delito convencional. Y a ello contribuye la facilidad para la comisión y encubrimiento de estas conductas disvaliosas y la dificultad para su descubrimiento, prueba y persecución.”11

Asimismo, se debe afirmar que el uso de las TIC`s no se limita al ejercicio de actividades en procura del bienestar social, el mismo objeto se presta para la ejecución de delitos tradicionales pero empleando mecanismos no convencionales producto del desarrollo de la tecnología; en otras palabras, realización de ilícitos mediante herramientas informáticas, dando lugar a la necesidad de tipos legales autónomos que así lo justifiquen. Frente a este punto específico encontramos varias escuelas, una de ellas justificada por el criterio de Gabriel Campoli, quien considera que no se precisa de la tipificación de nuevos delitos, en razón a que adolecen de la característica: nuevo, no son nuevos, son los mismos que ya están tipificados excepto que su comisión se realiza a través de otros medios. 9 Iriarte Ahon Erick, Sociedad de la información: Políticas y Regulación en América Latina y el Caribe ¿Hacia dónde vamos los profesionales del derecho y las nuevas tecnologías?, AR: Revista Derecho Informático, ISSN 1681-5726, Ed. Alfa Redi, No. 089, Diciembre de 2005, página consultada febrero 2007. 10 Cfr. Ídem. 11 Carrion Zorzoli Hugo, Op. Cit.


29

Al hacer referencia al delito informático precisa que los bienes jurídicos que se encuentran en riesgo y que ameritan de protección ya están regulados, como por ejemplo el honor, la protección de datos, el patrimonio, por lo tanto lo que se necesita es una adecuada interpretación de la norma penal. “Determinado el bien jurídico protegido, podremos inducir que, en el caso de los delitos informáticos, los múltiples posibles ya se encuentran en su mayoría protegidos por medio de figuras como el robo, la estafa, las injurias y calumnias, etc., contenidos en códigos penales o leyes especiales.

“¿Entonces qué es lo que nos separa de una correcta aplicación de las leyes penales preestablecidas? Sólo la pretendida falta de legislación en materia de delitos informáticos, y digo pretendida porque esto no es así, ya que al perpetrarse el delito a través del uso de medios informáticos no se está sino en presencia de un nuevo método comisivo del delito y no como erróneamente se piensa de un nuevo delito que para que lo sea debe estar correctamente tipificado.

“En resumen, los delitos informáticos, en su gran mayoría dependen, para su persecución penal de la correcta interpretación de la ley penal y de la toma de conciencia por parte de los jueces de que sólo nos encontramos ante nuevos métodos para estafar o para injuriar, pero en ningún caso ante nuevos delitos, ya que una postura semejante nos llevaría al absurdo de pensar, por ejemplo, que si mañana se pudiese quitar la vida a alguien por medio de internet habría que establecer una nueva figura penal, ya que, el homicidio no estaría cubriendo esta posibilidad; cuando en derecho, si se lesiona el bien jurídico protegido, no importa cual sea el medio utilizado, corresponde la aplicación de la ley penal vigente y no se requiere una nueva y específica.”12

Ahora bien, señala que debe realizarse una rotunda diferencia entre delito electrónico e informático, en razón a que si existen una serie de conductas que hasta el momento no se encuentran tipificadas como el hacking, no obstante, considera que este debe enmarcarse como un delito electrónico y no informático, dado que el mismo no posee a primera vista un bien jurídico tutelado.

Así las cosas, nos parece conveniente precisar la diferenciación realizada por el Profesor Campoli:

12 Campoli, Gabriel Andres, Hacia una correcta Hermenéutica Penal - Delitos Informáticos vs. Delitos Electrónicos, No. 048 - Julio del 2002, AR: Revista de Derecho Informático, ISSN 1681-5726, Edita: Alfa-Redi (Subrayado fuera de texto).


30

“Delitos Informáticos: Son todos aquellos en los cuales el sujeto activo lesiona un bien jurídico que puede o no estar protegido por la legislación vigente y que puede ser de diverso tipo por medio de la utilización indebida de medios informáticos.

“Delitos electrónicos o informáticos electrónicos: son una especie del género delitos informáticos en los cuales el autor produce un daño o intromisión no autorizada en equipos electrónicos ajenos y que a la fecha por regla general no se encuentran legislados, pero que poseen como bien jurídico tutelado en forma específica la integridad de los equipos electrónicos y la intimidad de sus propietarios.”

En conclusión, podríamos decir que según el criterio del Profesor Campoli, la característica diferencial entre delito informático y delito electrónico, es que del primero, ya existe la tipificación de la conducta disvaliosa así como la protección del bien jurídico tutelado, lo que ocurre es que los medios para la comisión del ilícito son otros diferentes a los previstos por el legislador, y en cuanto al delito electrónico, al ser perpetrado a través de medios informáticos se convierte en una especie de género de los informáticos.

Entonces retomemos, hasta el momento hemos señalado que el empleo de la Informática ha influenciado en los cambios estructurales de la sociedad, y que a la par han aparecido conductas, que se valen de los adelantos tecnológicos con fines criminales y que ante este uso disvalioso del avance del ingenio humano se presenta una ambivalencia, en cuanto al término para englobar ese tipo de ilícitos, delito informático o delito electrónico y precisamos una salida ofrecida por el Profesor Campoli.

Ahora bien, existen diferentes términos conceptuales para definir estas conductas, José Cuervo realiza una sistematización de las principales, veamos:

“a) Delincuencia informática

La define GÓMEZ PERALS como conjunto de comportamientos dignos de reproche penal que tienen por instrumento o por objeto a los sistemas o elementos de técnica informática, o que están en relación significativa con ésta, pudiendo presentar múltiples formas de lesión de variados bienes jurídicos.

“b) Criminalidad informática


31

ALESTUEY prefiere hablar de “delincuencia o criminalidad informática”.

BAÓN RAMÍREZ define la criminalidad informática como la realización de un tipo de actividades que, reuniendo los requisitos que delimitan el concepto de delito, sean llevados a cabo utilizando un elemento informático (mero instrumento del crimen) o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software (en éste caso lo informático es finalidad).

TIEDEMANN considera que con la expresión “criminalidad mediante computadoras”, se alude a todos los actos, antijurídicos según la ley penal vigente realizados con el empleo de un equipo automático de procesamiento de datos.

“c) Delitos informáticos

ROMEO CASABONA se refiere a la definición propuesta por el Departamento de Justicia Norteamericana, según la cual Delito Informático es cualquier acto ilegal en relación con el cual el conocimiento de la tecnología informática es esencial para su comisión, investigación y persecución.

Para DAVARA RODRÍGUEZ no parece adecuado hablar de delito informático ya que, como tal, no existe, si atendemos a la necesidad de una tipificación en la legislación penal para que pueda existir un delito. Ni el Código Penal de 1995 introduce el delito informático, ni admite que exista como tal un delito informático, si bien admite, la expresión por conveniencia para referirse a determinadas acciones y omisiones dolosas o imprudentes, penadas por la Ley, en las que ha tenido algún tipo de relación en su comisión, directa o indirecta, un bien o servicio informático. Define el Delito informático como, la realización de una acción que, reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software.

Determinados enfoques doctrinales subrayarán que el delito informático, más que una forma específica de delito, supone una pluralidad de modalidades delictivas vinculadas, de algún modo con los ordenadores.

PARKER define los delitos informáticos, como todo acto intencional asociado de una manera u otra a los ordenadores; en los cuales la víctima ha o habría podido sufrir una pérdida; y cuyo autor ha o habría podido obtener un beneficio.


32

“d) Computer crimen

En el ámbito anglosajón se ha popularizado la denominación de “Computer Crimen” y en el germano la expresión “Computerkriminalität”

“e) Delincuencia de cuello blanco

La doctrina, casi unánimemente, la considera inscribible en la criminalidad “de cuello blanco”

Para SUTHERLAND la delincuencia de cuello blanco es la violación de la ley penal por una persona de alto nivel socio-económico en el desarrollo de su actividad profesional.

“f) Abuso informático

RUIZ VADILLO recoge la definición que adopta el mercado de la OCDE en la Recomendación número R (81) 12 del Consejo de Europa indicando que abuso informático es todo comportamiento ilegal o contrario a la ética o no autorizado que concierne a un tratamiento automático de datos y/o transmisión de datos.

La misma definición aporta CORREA incidiendo en la Recomendación (89) 9, del Comité de Ministros del Consejo de Europa considerando que la delincuencia informática suele tener carácter transfronterizo que exige una respuesta adecuada y rápida y, por tanto, es necesario llevar a cabo una armonización más intensa de la legislación y de la práctica entre todos los países respecto a la delincuencia relacionada con el ordenador.”13

Finalmente, podemos realizar una caracterización del delito informático señalando que es “aquél que directa o indirectamente se relaciona con un sistema computarizado como medio u objetivo en la realización del mismo. A título enunciativo, pueden mencionarse los siguientes tipos, entre otros:

� Venta a terceros de sistemas y programas de propiedad de la empresa. � Robo de archivos con información confidencial

13 Cuervo, José, Delitos informáticos: protección penal de la intimidad, AR: Revista de Derecho Informático, ISSN 1681-5726, Edita: Alfa-Redi, No. 006 – Enero del 1999., página web consultada abril 2007.


33

� Uso o venta no autorizada de servicios y equipos. � Chantaje o extorsión. � Sabotaje o vandalismo contra instalaciones y equipos. � Fraude financiero � Modificación no autorizada de archivos o programas.14

Según la propuesta de Alexander Díaz en el proyecto se retoman estas conductas.

3.1.1. Principio de legalidad y analogía en el delito informático.

Antes de entrar a analizar la necesidad o no de una tipificación del hecho punible, en este caso del delito informático, se precisa de la delimitación del bien jurídico tutelado que resulta entonces ser la información, la cual amerita de la tutela jurídica. No obstante, “es necesario aclarar que un hecho no puede ser tenido como ilícito mientras no aparezca descrito en un tipo legal en donde igualmente esté señalada la pena respectiva; dedúcese de aquí que, desde un punto de vista puramente formal, es delito todo hecho humano legalmente previsto como tal y cuya consecuencia es una pena.”15

En tanto, se precisa la armonización con los principios fundamentales de la dogmática penal. En ese sentido, se debe aclarar de antemano la imposibilidad de aplicación de la analogía para la sanción de ilícitos, que no aparecen tipificados en el ordenamiento penal; pero que guardan similitud con otras figuras como por ejemplo la estafa; en España se presentó un caso con un empleado bancario que manipuló las cuentas corrientes de varios clientes, se apropió de más de 3.000.000 pesetas. El tribunal al analizar la norma penal de la estafa la cual señalaba que “el que con ánimo de lucro, utilizaré engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno (6)”16 intentó realizar la adecuación típica de la conducta, sin embargo, la norma necesitaba de dos elementos claros, de un lado la utilización de engaño bastante por el autor del ilícito y la producción de un error en la víctima. Entonces, si bien existía el ánimo de lucro no aparece el engaño a tercero y error suficientes 14 Cfr. Delpiazzo Carlos, Eirin Álvaro, Montano Pedro, Aplicación del derecho a la informática, Departamento de Postgrado, Facultad de Derecho, Universidad de Buenos Aires, p. 9 (documento electrónico). 15 Reyes Alfonso, Op. Cit. p. 92. 16 Artículo 528 del Código Penal Español anterior a 1995.


34

puesto que el autor del delito no utilizó ninguna treta ni artimaña para engañar a al víctima, para viciar la voluntad del tercero, puesto que la acción se produjo a través de una máquina, el ordenador, y como consecuencia tampoco cabe plantearse la producción de error por el mismo motivo.17

De tal manera, que la decisión del Tribunal que la conducta se adecuaba en una apropiación indebida, quedando imposibilitada la aplicación del tipo de estafa por analogía para el ilícito cometido por el empleado18.

Finalmente, señalan los autores “La necesidad de concurrencia de estos dos elementos, ha impedido en muchas ocasiones poder calificar un hecho como de estafa cuando ha tenido lugar mediante la utilización de un medio informático o cuando éste ha estado presente en la acción delictiva de cualquier otra forma. Por ejemplo, no es posible subsumir la estafa realizada por una persona que está utilizando el ordenador de su casa, logrando la transferencia bancaria de la cuenta de un tercero a una de su titularidad.”19

De cara a la doctrina, en el Derecho Penal colombiano, explica el maestro Reyes Echandía, no es procedente extenderla a casos no contemplados en la ley tomando como referencia otras figuras delictivas o sanciones ya previstas “tal analogía no es de aplicación en nuestro derecho positivo, porque resulta manifiestamente violatoria del principio de legalidad de los delitos y de las penas.”20

Con la argumentación anterior, pretendemos reforzar la postura que se plantea en esta investigación referente a la necesidad de tipificar toda esta serie de conductas que atentan contra la armonía y la tranquilidad del conglomerado social, además porque no sería posible su sanción a través de la analogía, con lo cual lo que operaría sería la impunidad, puesto que la requisitoria colombiana consagrada en el Código Penal es rigurosa, por cuanto que, exige la tipicidad, la antijuridicidad y la culpabilidad, como presupuestos básicos para que opere el mecanismo sancionador de la condena, que da lugar al resarcimiento patrimonial de los perjudicados y/o ofendidos de dicha legislación.

17 Cfr. Pórtela Calderón, Carlos y Díaz Héctor, Delitos Informáticos, Universidad Cooperativa de Colombia, Facultad de Derecho, 2004. p. 6, [email protected] 18 Sentencia del T.S de 19 de abril de 1991, referenciada por Pórtela-Díaz, Op. Cit. 19 Pórtela Calderón, Carlos y Díaz Héctor, Delitos Informáticos, Op. Cit. 20 Reyes Alfonso, Op. Cit. p. 64.


35

Ahora bien, una de las características de un Estado Social de Derecho, sustentado en una Constitución, es la aplicación del principio de legalidad, a través del cual se erige un dique al poder estatal para la sanción de los inculpados, principios claramente recogidos en la Constitución Política colombiana.

Por lo tanto, se precisa de la tipificación de aquellas conductas que han sido catalogadas como atentatorias de bienes jurídicos, condición sin la cual, se deviene en un Estado que retoma las prácticas de sistemas de gobierno despóticos.

La tradición de la Ilustración Francesa, propuso como un significativo representante a César Beccaria quién influyó en la redacción de la Declaración de los derechos y deberes del hombre y del ciudadano de 1789, “El origen del principio de legalidad21 hay que hallarlo en la filosofía de la Ilustración, en aquel momento histórico, en el que el pueblo pasa de ser instrumento y sujeto pasivo del poder absoluto del Estado o del Monarca que lo encarna, a controlar y participar de ese poder, exigiendo unas garantías en su ejercicio, y la idea de que ésta ley no puede ser otra que la aprobada exclusivamente por un poder legislador que represente a los ciudadanos.”22

A su vez, el artículo 5º de la Declaración de los derechos y deberes del hombre y del ciudadano establece: “La ley no tiene el derecho de prohibir más acciones que las nocivas a la sociedad. Todo lo que no esté prohibido por la ley no puede ser impedido y nadie puede ser constreñido a hacer lo que ella no ordena.”

Entonces, el principio de legalidad consiste en una fórmula que limita y controla el poder del Estado, después del siglo XX, no solamente aparece en las Constituciones modernas, sino que además es retomado en los instrumentos internacionales de derechos humanos con la finalidad de imponer obligaciones a los Estados para exigir el respeto de los derechos de las personas, en razón a que solamente posee atribuciones constitucionales para crear una norma sancionatoria de dichos derechos, siempre y cuando provenga del Congreso o Parlamento.

21 Según Francisco Puy Muñoz se atribuye a Paul Joham Asnelm Feuerbach la paternidad de las fórmulas latinas utilizadas generalmente para enunciar el principio de legalidad sustantivo: Nulla crimen sine lege y Nulla poena sine legal. Aparece en Las fórmulas del principio de legalidad, Los derechos fundamentales y libertades públicas, (II) Madrid, Din Impresores, S.L., 1993, vol I, p. 504. 22 De Vicente Martínez, p. 17 citado por Ernesto Rey Cantor, Las generaciones de los derechos humanos, Universidad Libre, cuarta edición, ISBN 958-676-346-1Bogotá, 2006, p. 145.


36

Si bien, varias conductas se quedan impunes por no estar tipificadas, sería un retroceso –además de constituir un absurdo jurídico– el pretender adecuarlas a otras ya existentes por aplicación de la analogía, por lo tanto se precisa de la creación de tipos penales sancionatorios de los nuevos ilícitos producto de la revolución tecnológica.

3.2 Tipicidad del delito informático

Una vez realizada la primera gran conclusión de porque razón es inaplicable la analogía en la calificación de conductas atentatorias de la seguridad informática y el consecuente respeto por el principio de legalidad como garantía de un ordenamiento penal justo fundamento de la seguridad jurídica, pasamos a sustentar la importancia y necesaria tipificación de los delitos informáticos.

Entonces, la estructura del delito está conformada por la tipicidad, la antijuridicidad y la culpabilidad; para efectos de esta investigación analizaremos la tipicidad23 de los delitos informáticos y el bien jurídico, para determinar la antijuridicidad.

Según el jurista colombiano Alfonso Reyes Echandía el tipo legal es “la abstracta descripción que el legislador hace de una conducta humana reprochable y punible.”24

Ante la impunidad creciente presentada, en razón a que los sistemas jurídicos no estaban preparados para el advenimiento de conductas, que atentaban contra el avance de la ciencia y la tecnología y que se configuran como una usurpación a los derechos de propiedad intelectual, específicamente a la información y el conocimiento25, se precisa por parte del Estado una acción contundente encaminada a la protección de dichos intereses, pero más que el Estado, tendríamos que hablar del conjunto de Estados que conforman la sociedad mundial, en razón a que en un mundo globalizado ningún esfuerzo es suficiente a

23 Es lo que los alemanes llaman Tatbestand, los italianos fattispecie legale y los españoles tipicidad, Jimenez de Azua, citado por Reyes Echandía, Op. Cit., 99. 24 Reyes Echandía Alfonso, Op. Cit., p. 99. 25 El Profesor Eduardo Pastrana Ph. D. en derecho, señala que “Hay una diferencia entre ambas definiciones. La información es el acopio de datos que no por sí mismos tienen organización. El jerarquizar datos y establecer relaciones entre ellos, el darles determinados sentidos, direcciones u organización es un proceso mucho más delicado. La información debe articularse en complejas estructuras cognoscitivas para convertirse en conocimiento.” Pastrana Buelvas Eduardo, Documento magnético: Propuesta para la articulación del sistema del desarrollo de una cultura de la investigación en la facultad de ciencia política y relaciones internacionales de la Pontificia Universidad Javeriana, Bogotá, 2006, p. 3.


37

nivel local, se precisa por tanto de salidas globales, a través del derecho penal internacional.

Con este marco contextual claro, encontramos que a través de la tipicidad es posible brindar garantías jurídicas, políticas y sociales a los ciudadanos del mundo. Reiteramos, no es válido el esfuerzo local, una sociedad globalizada precisa de alternativas globales, de la suscripción, aprobación y ratificación de instrumentos internacionales que tipifiquen aquellas conductas realizadas mediante la utilización de medios informáticos, con la finalidad de castigar a aquellos que de manera ilícita se apropien de bienes inmateriales.

Dichas normas condensadas en un instrumento internacional constituirían el fundamento del tipo legal en los que se entraría a describir los comportamientos que precisan ser elevados a la categoría de delito internacional por la lesividad que generan, además de contemplar su respectiva sanción.

3.3 Bien jurídico tutelado

Párrafos atrás señalábamos, que era preciso identificar el bien jurídico objeto de la protección estatal como condición para argumentar la necesidad de crear un tipo penal de tal manera que se pueda igualmente establecer el límite de lo antijurídico al determinar la medida del daño o la capacidad para atentar contra el objeto de protección.

En ese sentido, podemos decir que la necesidad de optimizar los procesos productivos para minimizar el tiempo que se representa directamente en economía de capital, el ser humano ha trabajado en el desarrollo de estrategias que le permitan garantizar la disminución de su inversión, este tipo de estrategias se pueden condensar en los logros de la revolución tecnológica.

Pues bien, el desarrollo de disciplinas como la mecatrónica, la robótica, la informática, la biotecnología, la nanotecnología, la electrónica, la ingeniería genética, la reingeniería entre otras, pretenden elevar el nivel de vida de los seres humanos; por tanto, el desarrollo de la informática permite el manejo de la información de manera ágil, segura; ésta es decodificada en algoritmos para ser transportada a través de la red, diversas técnicas como la criptografía permiten que la información sea transformada conservando la privacidad del emisor. En razón a que ésta constituye “el interés macro-social o colectivo, porque supone una agresión a todo el complejo entramado de relaciones socio-económico-


38

culturales, esto es, a las actividades que se producen en el curso de la interacción humana en todos sus ámbitos y que dependen de los sistemas informáticos.”26

Si bien, lo que hay en juego inicialmente es la información como tal, esto no exime que sean afectados otros bienes jurídicos como el patrimonio por ejemplo, ya que si bien, la información aparece de manera inicial, lo que finalmente termina afectándose vulnera el patrimonio y la privacidad y la intimidad, que se encuentran erigidos en las Constituciones Políticas del mundo, entre ellas la de Colombia, como derechos fundamentales inalienables.

Pues bien, esa función del concepto de bien jurídico termina siendo la que justifica su existencia dogmática. No sólo contribuye a interpretar el objeto de la prohibición para determinar su alcance típico, sino que permite definir el límite de lo materialmente antijurídico por la medida del daño o la capacidad de producirlo de la conducta imputada.

Una vez esgrimidos los argumentos, sobre los cuales se soporta la necesidad de la tipificación del delito informático conviene señalar que si bien existe un Convenio sobre Cibercriminalidad, éste hace las veces de una hoja ruta en razón a que señala la importancia de que cada Estado promueva iniciativas legislativas sancionatorias encaminadas a frenar la impunidad del delito informático, no obstante, no es un tratado internacional autónomo, que debe recoger las legislaciones internas y por que no, ver la posibilidad de que dichas conductas sean juzgadas por la Corte Penal Internacional, por cuanto la criminalidad informática se erige como un peligro para la humanidad en todas sus dimensiones, siendo esto tan cierto que la lucha política de los Estados y los insurgentes se lleva a cabo en el mundo contemporáneo por este medio.

Ha avanzado tanto el tema de la criminalidad mundial Informática, que se ha suscrito por los Estados Miembros del Consejo de Europa y otros Estados firmantes el convenio sobre Cibercriminalidad en Budapest el 23 de Noviembre del año 2001, donde dichos Estados manifiestan:

“(S) Estimando que una lucha bien organizada contra la cibercriminalidad requiere una cooperación internacional en materia penal acrecentada, rápida y eficaz (S)”

26 Carrión Zorzoli Hugo, Op. Cit.


39

“(S)Convencidos de que el presente Convenio es necesario para prevenir los actos atentatorios de la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de las redes y de los datos, así como el uso fraudulento de tales sistemas, en el presente Convenio, y la atribución de poderes suficientes para permitir una lucha eficaz contra estas infracciones penales, facilitando la detección, la investigación y la persecución, tanto a nivel nacional como internacional, y previendo algunas disposiciones materiales al objeto de una cooperación internacional rápida y fiable”27 .

Este convenio contiene los diferentes aspectos sobre los cuales es necesario se refieran y adopten legislativamente los diferentes Estados firmantes.

La estructura del Convenio está dada por la división en capítulos, títulos y subtítulos que responden al siguiente orden:

Capítulo I. Terminología

Capítulo II. Medidas que deben ser adoptadas a nivel nacional, siendo necesario en este aspecto tocar los temas sobre derecho penal material (infracciones contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos; infracciones informáticas, infracciones relativas al contenido, infracciones relaciones con la propiedad intelectual y los derechos afines, otras formas de responsabilidad y sanción)

Capítulo III. Cooperación Internacional

Capítulo IV. Cláusulas Finales (Apertura para la firma de Estados miembros del Consejo de Europa y para los Estados no miembros que hayan participado en su elaboración, y otras)

En este sentido, van dirigidas nuestras inquietudes, en cuanto es pertinente que el Estado colombiano adopte las medidas recomendadas, y por ende enmarcamos el proyecto de ley sobre Delito Informático en este ámbito.

4. Clasificación del delito informático

Según José Cuervo, es necesario distinguir el medio y el fin en los delitos informáticos, con la finalidad de encuadrar una acción dolosa dentro de este tipo de delitos, el medio por el que se cometan debe ser un elemento, bien o servicio, 27 Convenio sobre cibercriminalidad. Budapest 23.XI.2001


40

patrimonial del ámbito de responsabilidad de la informática y la telemática, y el fin que se persiga debe ser la producción de un beneficio al sujeto o autor del ilícito; una finalidad deseada que causa un perjuicio a otro, o a un tercero.28

Presentamos a continuación una clasificación de los delitos informáticos, valiéndonos del enfoque sistemático:

I. Según BARRIUSO RUIZ los podemos clasificar en:

1. Delitos contra la intimidad (artículos 198.1 y 199) 2. De los robos (artículos 239.3, 239.4, 240.2 y 240.3) 3. De las estafas (artículo 249.2), 4. De las defraudaciones (artículo 257), 5. De los daños (artículo 265.2), 6. Relativo a la protección de la propiedad industrial (artículos 274.1 y

274.3), 7. Relativos al mercado y a los consumidores (artículos 279.1 y 279.3).

De acuerdo con PÉREZ LUÑO podemos hacer la siguiente clasificación:

a) Desde el punto de vista subjetivo: ponen el énfasis en la pretendida peculiaridad de los delincuentes que realizan estos supuestos de criminalidad

b) Desde el punto de vista objetivo: Considerando los daños económicos perpetrados por las conductas criminalistas sobre los bienes informáticos:

� Los fraudes � Manipulaciones contra los sistemas de procesamiento de

datos. Podemos citar: � Los daños engañosos ( Data diddling) � Los “Caballos de Troya” (Troya Horses) � La técnica del salami (Salami Technique/Rounching Down) � El sabotaje informático: � Bombas lógicas (Logic Bombs) � Virus informáticos � El espionaje informático y el robo o hurto de software:

28 Cuervo José, Op. Cit.


41

� Fuga de datos (Data Leakage) � El robo de servicios: � Hurto del tiempo del ordenador. � Apropiación de informaciones residuales (Scavenging) � Parasitismo informático (Piggybacking) � Suplantación de personalidad (impersonation) � El acceso no autorizado a servicios informáticos: � Las puertas falsas (Trap Doors) � La llave maestra (Superzapping) � Pinchado de líneas (Wiretapping)

c) Funcionales: La insuficiencia de los planteamientos subjetivos y objetivos han aconsejado primar otros aspectos que puedan resultar más decisivos para delimitar la criminalidad informática.

Atentados contra la fase de entrada (input) o de salida (output) del sistema, a su programación, elaboración, procesamiento de datos y comunicación telemática.

Para JOVER PADRÓ se entendían comprendidos dentro de los delitos informáticos, con anterior al reciente Código Penal:

a) El fraude informático, ilícitos patrimoniales que Jurisprudencia y Doctrina han calificado como hurto, apropiación indebida o estafa. La estafa se encuentra en la Sección 1ª del Capítulo VI (de las defraudaciones) del Título XIII, del Libro II.

El hurto se encuentra en el Capítulo Y del Titulo XII, del Libro II.

b) Los documentos informáticos y sus falsedades. Se encuentran regulados en el Capitulo II del Título XVIII (De las falsedades).

c) Del sabotaje informático, tipificado como delito de daños y estragos. El sabotaje informático se tipifica a través de los delitos de daños y otros estragos.

Los delitos de daños están regulados en el Capítulo IX del Título XIII. Los delitos de otros estragos están regulados en la Sección 2ª del Capitulo I, del Título XVII, del Libro II.


42

d) Los ataques contra la intimidad de las personas. Encuentran su cauce penal en relación a la informática en el descubrimiento y revelación de secretos del Capítulo Y del Titulo X (delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio). Este apartado será el objeto del presente trabajo.

e) Las defraudaciones a la propiedad intelectual. Tienen su vía penal en la Sección 1ª del Capítulo XI del Título XIII (delitos contra el patrimonio y el orden socioeconómico).

f) Las faltas informáticas. En el título III (faltas contra el patrimonio) del Libro III en relación a la falta informática.

Para BAÓN RAMÍREZ dentro de la criminalidad informática podemos distinguir dos grandes grupos de delitos:

Un primer grupo se refiere a los delitos que recaen sobre objetivos pertenecientes al mundo de la informática. Así distinguiremos los delitos:

� Relativos a la destrucción o sustracción de programas o de material, � Relativos a la alteración, destrucción o reproducción de datos

almacenados, � Los que se refieren a la utilización indebida de ordenadores,

En un segundo grupo, se encuadraría la comisión de los delitos más tradicionales como los delitos contra:

� La intimidad, � La propiedad, � La propiedad industrial o intelectual, � La fe pública, � El buen funcionamiento de la Administración, � La seguridad exterior e interior del Estado.

ROMEO CASABONA analiza las distintas facetas de lo que llama “las repercusiones de las Nuevas Tecnologías de la Información en el Derecho Penal”, y de esta forma, divide sus análisis en diferentes apartados bajo los títulos de:

� La protección penal de la intimidad e informática,


43

� La informática como factor criminógeno en el tráfico económico, El fraude informático,

� Implicaciones penales de las manipulaciones en cajeros automáticos mediante tarjetas provistas de banda magnética,

� Agresiones a los sistemas o elementos informáticos.

CORREA, siguiendo a UHLRICH, clasifica los delitos informáticos de la siguiente manera:

a) fraude por manipulaciones de un ordenador contra un sistema de procesamiento de datos,

b) espionaje informático y robo de software, c) sabotaje informático, d) robo de servicios, e) acceso no autorizado a sistemas de procesamiento de datos, f) ofensas tradicionales en los negocios asistidos por ordenador.

TÉLLEZ VALDÉS clasifica estas acciones en atención a dos criterios:

1. Como instrumento o medios, categoría en la que encuadra a las conductas que él llama “criminógenas que se valen de los ordenadores como método, medio o símbolo en la comisión del ilícito”,

2. Como fin u objetivo, encuadrando en esta categoría a las “conductas criminógenas que van dirigidas en contra del ordenador, accesorios o programas como entidad física”.

SIEBER hace una clasificación, que responde no sólo a un criterio sistematizador vinculado al carácter automático de los datos, sino al mismo tiempo a una separación de diversos tipos criminológicos de conducta. Las conductas más significativas desde esta perspectiva podrían agruparse en estas cinco modalidades principales:

a) manipulaciones de datos y/o programas, o “fraude informático”, b) copia ilegal de programas, c) obtención y utilización ilícita de datos, o “espionaje informático”, d) destrucción o inutilización de datos y/o programas, o “daños o sabotaje

informático” y


44

e) agresiones en el hardware o soporte material informático, principalmente “hurto de tiempo del ordenador”.

Por último, siguiendo a DAVARA RODRÍGUEZ dentro de un apartado en el que incluye “La informática como instrumento en la comisión de un delito”, distingue dentro de la manipulación mediante la informática dos vertientes diferentes:

a) Acceso y manipulación de datos y b) Manipulación de los programas.

Atendiendo a ello, considera que determinadas acciones que se podrían encuadrar dentro de lo que hemos llamado el delito informático, y que para su estudio, las clasifica, de acuerdo con el fin que persiguen, en seis apartados:

1. Manipulación en los datos e informaciones contenidas en los archivos o soportes físicos informáticos ajenos,

2. Acceso a los datos y/o utilización de los mismos por quien no está autorizado para ello,

3. Introducción de programas o rutinas en otros ordenadores para destruir información, datos o programas,

4. Utilización del ordenador y/o los programas de otras persona, sin autorización, con el fin de obtener beneficios propios y en perjuicio de otro,

5. Utilización del ordenador con fines fraudulentos y 6. Agresión a la “privacidad” mediante la utilización y procesamiento de datos

personales con fin distinto al autorizado, que será objeto de éste trabajo.

El mismo autor hace otra clasificación siguiendo el orden sistemático del Código Penal en:

a) Delitos contra la intimidad y el derecho a la propia imagen (Art. 197 a 201).

b) Delitos contra el patrimonio y contra el orden socioeconómico. b.1.) De los hurtos (Art. 234 a236) y de los robos (Art. 237 a 242). b.2.) De las defraudaciones. b.2.1.) De las estafas (Art. 248 a 251). b.2.2.) De la apropiación indebida (Art. 252 a 254). b.3.) De los daños (Art. 263 a 267).


45

b.4.) De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores.

b.4.1.) De los delitos relativos a la propiedad intelectual (Art. 270 a 272).

b.4.2.) De los delitos relativos a la propiedad industrial (Art. 273 a 277).

b.4.3.) De los delitos relativos al mercado y a los consumidores (Art. 278 a 286).

c) De las falsedades documentales (Art. 390 a 399).

d) Otras referencias indirectas.29 .

La aplicación de las diferentes teorías esbozadas en este documento, han sido trabajadas aplicadamente por el Juez de Rovira30, al plantear para Colombia un proyecto de Ley, que ha sido recibido generosamente y ajustado de acuerdo a los criterios que requieren dichos temas en el Honorable Congreso de la República, por el H.S. Luís Humberto Gómez Gallo y el H.R. Carlos Arturo Piedrahíta al inscribirlos como proyecto de la comisión primera del Honorable Senado de la República de Colombia, recogiendo los principios y criterios aquí esbozados, lo cual se expresa en la exposición de motivos cuyo resumen presentamos en los siguientes términos:

“En nuestra condición de Congresistas y en uso del derecho que consagra el artículo 154 de la Constitución Política y 140 de la ley 5 de 1992, me permito poner a consideración del Honorable Congreso, el presente Proyecto de ley “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “la protección de la información” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”

29 Cfr. Cuervo, Jorge, Op. Cit. 30 Alexander Díaz García. Abogado de la Universidad Católica de Colombia; especialista en: Ciencias Penales y Criminológicas de la Universidad Externado de Colombia; Ciencias Constitucionales y Administrativas de la Universidad Católica de Colombia y Nuevas Tecnologías y Protección de Datos de la Escuela de Gobierno y Políticas Públicas de Madrid adscrita al Instituto Nacional de Administración Pública de España. Autor del primer proceso judicial electrónico tramitado en la Internet, protegiendo los Derechos Fundamentales de Hábeas Data y la Intimidad Virtual, a través de una acción de tutela virtual, violado por abuso de spam. Entre otras.


46

PROYECTO DE LEY No.

“Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “la protección de la información” - y se preservan

integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”

“

(B)

Sometemos ante el Congreso de le República el presente proyecto de ley, cuya creación corresponde al Juez Segundo Promiscuo Municipal de Rovira Alexander Díaz García quien contó con el aporte intelectual del tratadista Dr. Fernando Velásquez Velásquez y el académico de los Drs. Jarvey Rincón Ríos Director de Posgrados de la Facultad de Derecho de la Universidad Santiago de Cali y Gabriel Roldán Restrepo, Juez Veinte Penal del Circuito de Medellín, Coordinador del Comité de Estudios Políticos y Legislativos del Colegio de Jueces y Fiscales de Antioquia”

“(S) En la actualidad han surgido muchos problemas relacionados con el uso de las computadoras, amenazas que afectan negativamente tanto a los individuos como a las empresas.

“(S) Por ello, se pone en consideración del Honorable Congreso de la República de Colombia este proyecto de ley sobre los delitos informáticos, que pretende regular y sancionar una serie de conductas, que sorprendentemente, no son tenidas en cuenta por nuestra Legislación Penal

“(S) Se trata de un decálogo de tipos penales31, muchos de ellos con nuevos verbos rectores que sólo se conjugan en las circunstancias informáticas origen del presente estudio.

“(S)es necesario precisar y explicar en qué consiste el bien jurídico tutelado de la información (almacenada, tratada y transmitida a través de sistemas informáticos), en toda su amplitud, titularidad, autoría, integridad, disponibilidad, seguridad, transmisión, confidencialidad e intimidad, sin perjuicio de que con su vulneración,

31 Negrilla fuera de texto.


47

subsidiariamente y en tratándose de intereses colectivos, afecte otros bienes jurídicos como la propiedad generalmente. Así mismo, se debe mostrar, cómo el decálogo de conductas aquí propuesto está constituido por tipos autónomos y no subordinados por circunstancias genéricas o específicas de agravación punitiva de otros tipos, como ha sido la costumbre legislativa en el mundo. Igualmente, se debe tener en cuenta que algunas de las expresiones utilizadas aparecen en idioma inglés porque muchas de esas conductas están en esa lengua o porque su texto original en ese idioma ha sido modificado caprichosamente por los llamados “hackers”, lo que obliga a utilizar locuciones castellanas que de forma más o menos aproximada permita tipificar las susodichas conductas.

“(S) A lo largo de la evolución del Derecho Penal, se han distinguido diversos conceptos de bien-jurídico. En efecto, la noción acuñada por Birnbaum a mediados del S. XIX, se refiere a los bienes que son efectivamente protegidos por el Derecho; esta concepción, sin embargo, es demasiado abstracta y por ello no cumple con la función delimitadora del Ius puniendi que persigue un derecho penal de inspiración democrática. Según Von Liszt, y bajo una concepción material del bien jurídico, su origen reside en el interés de la vida existente antes del Derecho y surgido de las relaciones sociales. El interés social no se convierte en bien jurídico hasta que no es protegido por el Derecho.

“(S) A su turno, el concepto político criminal del bien jurídico trata de distinguir el bien jurídico de los valores morales, o sea busca plasmar la escisión entre Moral y Derecho, que si bien a veces pueden coincidir en determinados aspectos, no deben ser confundidas en ningún caso. Esta concepción del bien jurídico es obviamente fruto de un Estado Social y Democrático de Derecho, y dada su vertiente social, requiere una ulterior concreción de la esfera de actuación del Derecho Penal a la hora de tutelar intereses difusos. El origen de la noción de bien jurídico está, por tanto, en la pretensión de elaborar un concepto del delito previo al que forma el legislador, que condicione sus decisiones, de la mano de una concepción liberal del Estado, para la cual éste, es un instrumento que el individuo crea para preservar los bienes que la colectividad en su conjunto quiera proteger. En otras palabras: el bien jurídico es la elevación a la categoría del bien tutelado o protegido por el derecho, mediante una sanción para cualquier conducta que lesione o amenace con lesionar este bien protegido; de ello se infiere que el bien jurídico obtiene este carácter con la vigencia de una norma que lo contenga en su ámbito de protección, mas si esta norma no existiera o caduca, éste no deja de existir pero si de tener el carácter de jurídico.


48

“(S) Esta característica proteccionista que brinda la normatividad para con los bienes jurídicos, se hace notar con mayor incidencia en el ámbito del Derecho penal, ya que en esta rama del orden jurídico más que en ninguna otra la norma se orienta directamente a la supresión de cualquier acto contrario a mantener la protección del bien jurídico. Por ejemplo, el delito de espionaje informático busca sancionar los actos que difunden en forma irregular la información privilegiada industrial o comercial a través de medios electrónicos.

“(S) En la actualidad, la conceptualización del bien jurídico no ha variado en su aspecto sustancial de valoración de bien a una categoría superior, la de bien tutelado por la ley, en cuanto a ciertos criterios como el origen o como el área del derecho que deba contenerlos.

“(S) El Derecho Penal, pues, tiene su razón de ser en un Estado Social, porque es el sistema que garantiza la protección de la sociedad a través de la tutela de sus bienes jurídicos en su calidad de intereses muy importantes para el sistema social y, por ello, protegibles por el Derecho Penal. Sin embargo, no debe olvidarse que existen bienes jurídicos que no son amparados por el Derecho Penal, por ser intereses sólo morales, por lo cual, no todos los bienes jurídicos son bienes jurídico-penales.

“(S) Otra característica esencial de los bienes jurídico-penales es la necesidad de protección de los mismos, o sea, que a través de otros medios de defensa que requirieran menos intervención y, por tanto, fueran menos lesivos, no se logre amparar satisfactoriamente el bien. El bien jurídico nace de una necesidad de protección de ciertos y cambiantes bienes inmanentes a las personas como tales, esta protección es catalizada por el legislador al recogerlas en el texto constitucional, de la cual existirían bienes cuya protección será cumplida por otras ramas del derecho, es decir, que no todos los bienes jurídicos contenidos en la Constitución tienen una protección penal, pues, también existen bienes jurídicos de tutela civil, laboral, administrativa etc.

“(S) Aquellos bienes jurídicos, cuya tutela sólo y únicamente puede ser la tutela penal, son los denominados bienes jurídicos penales; al determinar cuáles son los bienes jurídicos que merecen tutela penal, siempre se tendrá en cuenta el principio de tener al Derecho Penal como última ratio o última opción para la protección de un bien jurídico ya que este afecta otros bienes jurídicos a fin de proteger otros de mayor valor social.


49

“(S) Para algunos, el delito informático representa sólo la comisión de otros delitos mediante el uso de las computadoras, pues se considera que en realidad no hay un bien jurídico protegido en este caso, pues se parte del presupuesto de que dicha conducta no existe como tal. Otros, por el contrario, opinan que estos delitos tienen un contenido propio, afectando así un nuevo bien jurídico “La Información”, gracias a lo cual diferencian los delitos computacionales y los delitos informáticos propiamente dichos.

“(S) Finalmente, una tercera corriente considera que los delitos informáticos deben ser observados desde un punto de vista triple: como fin en sí mismos, pues, el computador puede ser objeto de la ofensa, al manipular o dañar la información que éste pudiera contener; como medio, esto es, como herramienta del delito, cuando el sujeto activo usa el ordenador para facilitar la comisión de un delito tradicional; y, finalmente, como objeto de prueba: los computadores guardan pruebas incidentales de la comisión de ciertos actos delictivos cometidos a través de ellos.

“(S) El bien jurídico, ha sido y será la valoración que se haga de las conductas necesarias para una vida pacífica, recogidas por el legislador en un determinado momento histórico–social; por ello, el concepto de bien jurídico no desaparece, solo cambia en cuanto al ámbito de protección que lo sujeta. El desarrollo de esta institución jurídica, pues, pasa por momentos totalmente distintos dado que ellos son producto de las necesidades propias del desarrollo de la sociedad; ellos, en consecuencia, no se originan al crear una norma sino que su existir es previo a la misma.”32

En desarrollo de la exposición de motivos los proponentes del Proyecto, por el H.S. Luís Humberto Gómez Gallo y el H.R. Carlos Arturo Piedrahíta sintetizan su propuesta legislativa así:

“(S) En tales condiciones, el artículo 269A del Proyecto pretende proteger la información privilegiada industrial, comercial, política o militar relacionada con la seguridad del Estado. Se castiga, pues, la falta de sigilo o confidencialidad de los

32 Apartes tomados de la exposición de motivos del Proyecto de ley “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “la protección de la información” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones” presentado por H.S. Luís Humberto Gómez Gallo y H.R. Carlos Arturo Piedrahita. C. Bogotá D.C. 06 de Septiembre de 2007.


50

profesionales, responsables o encargados de los ficheros de los datos automatizados.

“En el artículo 269B, los verbos rectores empleados se deducen de las locuciones ingresar, usar ilegalmente información sin estar autorizado.

“Esta actividad se conoce, como White hacking, porque los autores de esas conductas quieren demostrarle al sistema de seguridad, en donde acceden lo capaces que son. En el Ethical hacking no es admisible esta conducta, toda vez que se sugiere un contrato para hacer esta clase de asaltos informáticos. Este comportamiento es, sin duda, uno de los delitos informáticos, de mayor ocurrencia, puesto que, el hacker al realizar otros comportamientos informáticos, ingresa abusivamente al sistema informático, con lo cual su actuar va asociado a otras conductas punibles.

“En el artículo 269C el verbo rector de la conducta es el impedir el acceso a los sistemas informáticos; este comportamiento se conoce también como extorsión informática, pues el delincuente bloquea, asedia, o acorrala el sistema hasta cuando no se le cancele una suma de dinero. El caso más patético es el caso de Hackers turcos y eslovenos que tomaron como rehén la página de un club de fútbol colombiano, el Envigado FC, un equipo de la segunda división. Sin embargo, también se conoce de personas que por alguna razón de confianza han logrado acceder a cuentas de correo electrónicos y que luego, por alguna indisposición, se distancian de éstas pero siguen conociendo de las claves de acceso, modifican éstas e impiden que el titular de la cuenta las abra, realizando diversos comportamientos, incluso difamar del titular de la dirección electrónica, como sucede con los novios que terminan la relación pero abusan de los secretos que, en pareja, guardaron, difundiéndolos en la red.

“El 269D se refiere al uso de virus o software malicioso, una conducta muy generalizada en la red.

“A su turno, el artículo 269E prevé como punible el abuso de medios informáticos, mediante la introducción de verbos rectores como "intercepte", "interfiera", "use" o "permita que otro use". Ello, es consecuencia de que en materia de delitos informáticos es frecuente que el hacker al realizar otras conductas informáticas, ingrese abusivamente al sistema informático, por lo cual suele realizar un concurso de conductas punibles. Aquí se incluye el abuso de spam, flagelo informático que ha generado problemas económicos a los usuarios del correo


51

electrónico, vulnerando también derechos fundamentales como el de la intimidad virtual y el hábeas data a los usuarios de la Internet y de las telecomunicaciones. Recuérdese que el spaming se puede realizar mediante el uso masivo de correspondencia electrónica, llamadas telefónicas o avisos en el monitor de los teléfonos móviles. También, es muy común el comportamiento denominado denegación de servicio DDos (Distributed Denial Of Service Attack) que permite bloquear un servidor por múltiples ataques.

“En lo que respecta al artículo 269F, debe decirse que se refiere a la protección de la destrucción de la información, bien que aún no ha sido clasificado por la doctrina, como mueble o inmueble, siendo necesario tipificarlo por tan sui generis circunstancia. Incluso, esta conducta es extensiva para los programadores que insertan en sus programas virus con el objeto de autodestruirse o destruir el soporte lógico en donde se monta, so pretexto de ejecutarse sin licencia. Este comportamiento, se agrava cuando el fin perseguido es de carácter terrorista, cuando la conducta del agente sobreviniere daño común, si recae sobre bienes estatales, o cuando interviene un servidor público con provecho para si o para un tercero.

“El artículo 269G, se refiere a la estafa electrónica, la que no puede ser subsumida en la estafa clásica, pues los verbos rectores son diferentes; en efecto, debe recordarse que en aquella (la clásica), la inducción se realiza en humano, en cambio en el delito informático no se puede inducir o mantener a otro en error por medio de artificios o engaños, pues las máquinas no son susceptibles de inducción al error, pues se debe manipular la información para lograr la transferencia de activos en forma ilegal. En principio, esta conducta se ha considerado como un modus operandi. Debe, pues, distinguirse el comportamiento de estafa logrado a través de medios informáticos, de la estafa electrónica que se refiere a la modificación de la información económica o patrimonial.

“En tratándose del Phishing, regulado en el artículo 269H, debe decirse que la conducta pone en peligro la integridad de la información sensible del usuario con graves consecuencias patrimoniales la mayoría de las veces. El tipo se consuma con el diseño de página (s) falsa (s) de la entidad atacada; el imputado debe registrar ese site falso, que en el medio se le denomina como "carnada", con un dominio similar al de la entidad. Logrado el registro del nombre de dominio se debe ubicar el alojamiento en hosting. Luego, el delincuente remite correo masivo spam (lanza la carnada) a una base de datos que seguramente ha adquirido en el mercado negro. Seguidamente, caerán incautos, pues muchas personas no


52

diferencian fácilmente entre un site legítimo y uno falso; el afectado, ingenuamente, suministra su información, incluyendo datos de acceso y contraseñas bancarias. El delincuente captura estos datos y procede a realizar las operaciones bancarias electrónicas y ordena las transferencias a cuentas de tercero.

Estas transferencias las realiza mediante Spam a través de terceros, que se les llaman Phishing mulas, enviando correos de ofertas de trabajo a personas que ansiosas de laborar realizan cualquier labor para ganarse algunos pesos y mejor si resulta ser muy fácil. Objetivo: Captar intermediarios para recibir el dinero. Actividad: Recibir en su cuenta el dinero procedente de las víctimas, luego éstos envían el dinero al Phisher (delincuente informático) según instrucciones.

En esta descripción típica, pues, no se pena al phisher mula (incauto cibernauta, casi siempre) que vincula el agente para el éxito del ilícito, pues ha ofrecido su cuenta bancaria o sus servicios en forma espontánea, ante unas supuestas transacciones, como un pseudorepresentante de la compañía internacional que en el país le han hecho creer, porque si se prueba que éste, el que ha prestado su nombre, lo hace con la finalidad de obtener lucro incurre en una conducta ya consagrada en nuestro Código Penal, bajo el epígrafe de Enriquecimiento ilícito de particulares, consistente en penalizar el que de manera directa o por interpuesta persona obtenga, para sí o para otro, incremento patrimonial no justificado, derivado en una u otra forma de actividades delictivas (artículo 327).

“Finalmente, resulta oportuno resaltar que el nombre de Phishing viene de una combinación de “Phishing” (en inglés pescar) con las dos primeras letras cambiadas por “ph”: la “p” de password (contraseña) y la “h” de hacker (pirata informático). El Anti-Phishing Working Group, organización creada en EE. UU. Para combatir este fraude, asegura que el número y sofisticación del 'Phishing' enviado a los consumidores se está incrementando de forma dramática y que "aunque la banca online y el comercio electrónico son muy seguros, como norma general, hay que ser muy cuidadoso a la hora de facilitar información personal a través de Internet".

“Para describir la conducta punible de falsedad en el artículo 269I, se emplean los verbos rectores borrar, alterar, suprimir, modificar e inutilizar. La norma pretende proteger todo tipo de documentos privados o públicos que tengan carácter probatorio. Hoy, la mayoría de las transacciones en comercio electrónico se hace


53

en este formato y son muy pocas las oportunidades que se registran en soporte papel.

“Piénsese, por ejemplo, en la transacción que realiza un comerciante colombiano con zapatos Italianos y, a través de accesos ilegales al sistema, logra modificar las condiciones de la transacción; por ejemplo, que el vendedor asuma el IVA, los valores de la transacción, que modifique el catálogo de productos, etc.

“No todas las veces, pues, se imprimen los documentos electrónicos en soporte papel, además esta adulteración logra engañar, virtud de la falsedad para convencer; al lograrse todo esto, se crea un documento ilegítimo y su contenido no es cierto o parcialmente verdadero.

Tampoco, se puede pasar por alto, por ser una verdad de Perogrullo, que la falsedad no siempre es material o física, basta recordar la destrucción de las cartillas decadactilares que, se dice, borró el ex-Director de Informática del DAS o las vulneraciones que se han hecho en la Registraduría Nacional del Estado Civil para “desaparecer o resucitar” a ciudadanos. Finalmente, téngase en cuenta que el documento electrónico y, por ende, su adulteración, ha sido debatida por vía jurisprudencial porque la Corte Constitucional en su sentencia No. C-356 de Mayo 6 de 2003 lo reconoció pero, ciertamente, esa Corporación no es un ente legislativo.

“Para terminar, con la punición de la violación de datos personales que aparece en último lugar en el nuevo artículo 269J, se quiere salvaguardar el derecho protegido a la autodeterminación informativa, un estrecho nexo con valores, como la dignidad humana y el libre desarrollo de la personalidad, así como con otras libertades públicas como la ideológica o la de expresión. La conducta se define con el empleo de los siguientes verbos rectores: autorizar en negación, obtener, compilar, sustraer, ofrecer vender, intercambiar, enviar, comprar, divulgar, modificar o emplear datos sensibles.

“En fin, la exposición anterior, demuestra la trascendencia que estas conductas ilícitas tiene en el tráfico social por lo que, a la par de convenios internacionales como el de la cibercriminalidad suscrito en Budapest en 2001, el legislador colombiano las debe incluir dentro de su catálogo de prohibiciones. A eso, pues,


54

está enderezado el presente Proyecto de ley que esperamos cuente con la acogida de los H. Congresistas33”

Los criterios esbozados tanto por la doctrina internacional como los doctrinantes, reflejados en el proyecto de ley, muestran la necesidad de regular las nuevas conductas que surgen en el marco de la sociedad del conocimiento y de la información que dan lugar a un nuevo objeto de protección del derecho que nace con los nuevos medios que proporcionan las nuevas tecnologías. Así las cosas, este es nuestro punto de vista que sometemos a la evaluación de los Honorables Congresistas de la República de Colombia.

33 Ídem.


55

4. TEXTO APROBADO EN LA COMISIÓN PRIMERA DE LA CÁMARA DE REPRESENTANTES DEL PROYECTO DE LEY NÚMEROS 042/07 CÁMARA ACUMULADO CON EL 123/07

CÁMARAB”34

TEXTO APROBADO EN LA COMISIÓN PRIMERA DE LA CÁMARA DE REPRESENTANTES DEL PROYECTO DE LEY NÚMEROS 042/07 CÁMARA ACUMULADO CON EL 123/07 CÁMARA “POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO BIEN JURÍDICO TUTELADO —DENOMINADO “DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS”— Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES”

El Congreso de la República de Colombia

DECRETA:

Artículo 1º. Definiciones. Para los efectos de las conductas contempladas en la presente ley, se entenderán las palabras aquí empleadas de acuerdo a las siguientes definiciones:

34 http://prensa.camara.gov.co/camara/site/artic/20050709/asocfile/2007_2008_proyectos_1.htm, Consultada el día 2 de febrero de 2009.


56

Sistema informático. Es todo dispositivo aislado o conjunto de conectores interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa de ordenador.

Datos informáticos. Cualquier representación de hechos, informaciones o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función.

Dato personal. Toda representación que permita la identificación e individualización de una persona natural y que sea susceptible de tratamiento informático.

Sistema de autenticación. Cualquier procedimiento que se emplee para identificar de manera unívoca a un usuario de un sistema informático.

Sistema de autorización. Cualquier procedimiento que se emplee para verificar que un usuario identificado está autorizado para realizar determinadas acciones.

Prestador de servicio. Es toda entidad pública o privada que ofrezca a los usuarios de sus servicios, la posibilidad de comunicarlos a través de un sistema informático; también, se entiende por tal cualquier entidad que almacene o trate datos informáticos para un servicio de comunicación o para sus usuarios.

Malware. Expresión derivada del inglés malicious software, también llamado badware. Es un software que tiene como objetivo infiltrarse en una computadora o dañarla sin el consentimiento informado de su dueño. Existen diferentes tipos de malware, como son los virus informáticos, los gusanos, los troyanos, los programas de spyware/adware e incluso los bots”.

Spyware. Programa que se instala sin el conocimiento del usuario para recolectar y enviar información.

Virus. Programa o código de programación transmitido como un adjunto de mail que se replica, copiándose o iniciando su copia en otro programa, sector de booteo de una computadora o documento.

Booteo. Proceso que inicia el sistema operativo, cuando el usuario enciende una computadora; se encarga de la inicialización del sistema y de los dispositivos.


57

Gusano. Programa o código de programación transmitido como un adjunto de mail, que se replica copiándose o iniciando su copia en otro programa, sector de booteo de una computadora, o documento, pero que no requiere de un portador para poder replicarse.

Troyanos. Programa malicioso o dañino disfrazado de software inofensivo, que puede llegar a tomar el control de la computadora y provocar el daño para el que fue creado, pero no se replica a sí mismo.

Bot Net. Redes de sistemas de computación conectados y controlados remotamente, por una computadora que actúa como “command”, diseñadas para ejecutar tareas sin el conocimiento del dueño del sistema.

Spam. Correo electrónico comercial no deseado, enviado al buzón del destinatario sin contar con su anuencia o permiso.

Phishing. Máscara, usualmente implementada por SPAM, mediante la que se busca apoderarse de la identidad del usuario.

Hacking. Procedimiento mediante el que se violan los códigos personales y/o el acceso a datos o sistemas informáticos sin autorización del titular.

Web site. Colección de páginas web, imágenes, videos y activos digitales que se reciben en uno o en varios servidores.

Pop up. Denota un elemento emergente que se utiliza generalmente dentro de terminología web.

Link. Es sinónimo de "acoplamiento", en el sentido práctico de Internet este término está referido a un enlace o hipervínculo.

Artículo 2º. Adiciónese el Código Penal con un Título VII BIS denominado “De la Protección de la información y de los datos”, del siguiente tenor:


58

CAPÍTULO PRIMERO

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos

ARTÍCULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÒN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

ARTÍCULO 269C: INTERCEPTACIÒN ILÌCITA DE DATOS INFORMÀTICOS O DE EMISIONES ELECTROMAGNÉTICAS. El que, sin estar facultado para ello, emplee medios tecnológicos mediante los que indebidamente intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269E: USO DE SOFTAWARE MALICIOSO (MALWARE). El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o


59

extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269F: VIOLACIÓN DE DATOS PERSONALES (HACKING). El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES (PHISHING). El que, sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas (web site), enlaces (links) o ventanas emergentes (pop up), incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera, que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el phisher ha reclutado Phishing mulas en la cadena del delito.

ARTÍCULO 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: Las penas señaladas para las conductas descritas en los artículos 269A a 269G, se incrementarán en una tercera parte, cuando se presente una cualquiera de las siguientes situaciones:

1. Si la conducta se lleva a cabo sobre redes o sistemas estatales u oficiales o del sector financiero, nacionales o extranjeros.

2. Si el sujeto activo de la conducta fuere un servidor público o tuviere una relación contractual con el propietario de los datos.


60

3. Si el sujeto activo instala un programa de ordenador o un dispositivo que, de cualquier forma, atente contra la confidencialidad o la integridad de los datos almacenados en el sistema informático.

4. Si el sujeto activo da a conocer a terceros los datos informáticos así obtenidos.

5. Si el sujeto activo procesa, recolecta o pone a circular los datos personales o de autorización o de autenticación de sistemas informáticos que obtenga, o de los cuales tenga conocimiento.

6. Si el sujeto activo de la conducta obtiene provecho de cualquiera índole para sí o para un tercero.

7. Si la conducta se produjere sobre un sistema informático conectado a otro sistema de la misma naturaleza.

8. Si el propósito o fin perseguido por el sujeto activo es de carácter terrorista, o se genera riesgo para la seguridad nacional.

CAPÍTULO SEGUNDO

De las atentados informáticos y otras infracciones

ARTÍCULO 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.

ARTÍCULO 269J: FALSEDAD INFORMÁTICA. El que, sin estar facultado para ello, introduzca, altere, borre, inutilice o suprima datos informáticos, generando datos no auténticos, con la finalidad de que sean percibidos o utilizados a efectos legales como genuinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.


61

ARTÍCULO 269K. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.

ARTÍCULO 269L. ESPIONAJE INFORMÁTICO. El que, sin estar facultado para ello, se apodere, interfiera, transmita, copie, modifique, destruya, utilice, impida o recicle datos informáticos de valor para el tráfico económico de la industria, el comercio, o datos de carácter político y/o militar relacionados con la seguridad del Estado, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes, siempre que la conducta no esté castigada con una pena mayor.

ARTÍCULO 269M. VIOLACIÓN DE RESERVA INDUSTRIAL O COMERCIAL VALIÉNDOSE DE MEDIOS INFORMÁTICOS. El que, sin estar facultado para ello, realice una cualquiera de las conductas señaladas en el artículo 308 de este Código, valiéndose de medios informáticos y superando las seguridades existentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales, siempre que la conducta no esté castigada con una pena mayor.

Artículo 3º. El Código Penal tendrá un artículo 52 Bis del siguiente tenor:

Artículo 52 Bis: fuera de las sanciones mencionadas en el artículo anterior, el juez pondrá imponer la pena accesoria de interdicción de acceder o de hacer uso de los sistemas informáticos, por un lapso de cinco a diez años. Copia de la parte motiva de la sentencia se enviará a todos los servidores o agentes dispensadores de los correspondientes


62

servicios informáticos debidamente autorizados y a la dependencia correspondiente de Ministerio de comunicaciones.

Artículo 4º. La presente ley, rige a partir de su promulgación y deroga todas las disposiciones que le sean contrarias, en especial el texto del artículo 195 del Código Penal.

En los anteriores términos fue aprobado en presente proyecto de ley, según consta en el acta No. 21 del 21 de noviembre de 2007; así mismo, fue anunciado para discusión y votación entre otras fechas el día 20 de noviembre de 2007, según consta en el acta No. 20 de esa misma fecha.

EMILIANO RIVERA BRAVO

Secretario Comisión Primera Constitucional


63

5. Ponencia negativa presentada a la Comisión Primera del Senado por el Dr. PARMENIO CUÉLLAR BASTIDAS.

La presente ponencia fue presentada por el Honorable Senador de la república de Colombia el 14 de mayo de 2008, dirigida al Doctor JUAN CARLOS VÉLEZ URIBE, Presidente de la Comisión Primera del senado de la República, el cual expresamente señalaba lo siguiente:

Bogotá, D. C., 14 de mayo de 2008 Doctor JUAN CARLOS VÉLEZ URIBE Presidente Comisión Primera Senado de la República Ciudad.

Referencia: Informe de ponencia para primer debate al Proyecto de Ley 281 de 2008 Senado, “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la protección de la información y de los datos” y se preservan integralmente los sistemas que utilicen las tecnologías en la información y las comunicaciones, entre otras disposiciones”

Señor Presidente:

Con el fin de cumplir con las disposiciones de la ley 5ª de 1992 y agradeciendo la designación que se me hizo, procedo a rendir ponencia para primer debate al Proyecto de Ley 281 de 2008 Senado, “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la protección de la información y de los datos” y se preservan integralmente


64

los sistemas que utilicen las tecnologías en la información y las comunicaciones, entre otras disposiciones”.

1. ORIGEN DEL PROYECTO

Se trata del Proyecto de Ley No. 042 de 2007 Cámara, del cual es autor el Representante Germán Varón Cotrino, el cual se acumuló al Proyecto de Ley No. 123 de 2007 Cámara, presentado por el Representante Carlos Arturo Piedrahíta y el Senador Luis Humberto Gómez Gallo, mediante el cual se busca reformar el Código Penal, apelando a la creación de un “nuevo” bien jurídico a tutelar denominado “De la protección de la información y de los datos” y que pretende la preservación de los sistemas que utilicen tecnologías de información y las comunicaciones.

Con ese pretendido objeto,

a) Se crean los siguientes “nuevos” tipos penales:

1. Acceso abusivo a sistemas informáticos, 2. Obstaculización ilegítima de sistema informático o red de telecomunicación, 3. Interceptación de datos informáticos, 4. Daño informático, 5. Uso de software malicioso (malware), 6. Violación de datos personales (hacking), 7. Suplantación de sitios web para capturar datos personales (phishing), 8. Transferencia no consentida de activos.

b) Se incrementan penas, y

c) Se crean otras circunstancias agravantes, además de las ya existentes en el código penal.


65

2. SOBRE LA NECESIDAD DEL PROYECTO

Sin la menor duda, el proyecto en comento entraña loable preocupación de sus autores; pero en nuestro criterio, y con el mayor respeto, creemos que presenta problemas graves, como los siguientes:

1. Lo primero que debe resaltarse, es la tendencia cada vez más marcada del Estado Colombiano —por la vía del órgano legislativo— a generar una hiperproducción de leyes. Y lo que es más grave: la tendencia más clara aún, de sortear las dificultades que se presentan como manifestaciones de una sociedad con múltiples problemas y pocas oportunidades, a punta de derecho penal. Es decir, no se busca el origen de los problemas, ni una solución civilizada y eficaz que ataque el fondo de los mismos, sino que se acude un poco irreflexivamente, a la penalización de la conducta que puede significar un problema en un momento histórico determinado. O sea, se procede como lo advierte el autor del “Derecho Penal Fundamental” profesor JUAN FERNÁNDEZ CARRASQUILLA, amén de otros importantes criminólogos, a una “huída hacia el derecho penal”. Dicho en otras palabras: en Colombia nos hemos acostumbrado a sortear las dificultades propias de países como el nuestro, en vías de desarrollo para los optimistas, y subdesarrollado para los pesimistas, abusando del Código Penal, —valga decir, de represión—, o lo que es lo mismo, apelando a soluciones coyunturales que parten de la penalización de cualquier comportamiento que genera dificultades, y que en otro escenario sería modulable simplemente con otro tipo de medidas ajenas por completo al derecho penal. Fácilmente olvidamos, que el Código Penal no soluciona nada, pues sólo castiga.

2. El ideal del Derecho Penal —al menos en el ámbito de un Estado “social y democrático de derecho”— es que sea mínimo; por tanto, ese ideal no es sitiar al individuo restringiendo cada vez más su libertad —cual si se tratase de un nacionalsocialismo o cualquiera otra forma dictatorial de gobierno—, sino restringir la sanción penal al máximo para que solo se de en la medida estrictamente necesaria para que el Estado pueda cumplir sus fines, y garantizar a los ciudadanos una pacífica convivencia y el escenario óptimo para su desarrollo, fundado en la dignidad del hombre y en la efectividad del goce y disfrute de sus derechos fundamentales, para lo cual, es obligatorio que el legislador identifique y precise, cuáles son los bienes jurídicos indispensables y de cuya efectividad el Estado es garante.

3. Por regla general, cuánto más derecho penal haya tanto más incapaz será el Estado de dispensar una pronta y cumplida justicia, así como de garantizar a las víctimas el restablecimiento de sus derechos conculcados, y la justicia, verdad y


66

reparación a la que tienen derecho y sin los cuales, el proceso penal, en el entorno del Estado Social y Democrático de Derecho carece de sentido. Un sistema penal hipertrófico atrofia a su vez no solo la administración de justicia, sino, y en términos absolutos, el sistema penitenciario, que será cada vez más incapaz de garantizar la rehabilitación del individuo y su reinserción proactiva a la sociedad, lo cual responde a los fines de la pena igualmente en el entorno del Estado Social y Democrático de Derecho.

4. A lo anterior, se suma otra irreductible tendencia legislativa: a hacer casuismo en los códigos. Y, definitivamente, el casuismo es el mayor enemigo de la cientificidad, porque ninguna ciencia —o el estado de una ciencia— puede elaborarse con base en todos los casos o variantes que un fenómeno especial presenta, sino que el análisis de todos esos casos o variantes conducen a la formulación de una regla general que los recoja o prevea como hipotéticas situaciones de posible ocurrencia, que afectan o inciden sobre el fenómeno principal. En el caso del derecho penal, podríamos decir que el fenómeno principal es el comportamiento (conducta humana) con sus elementos (componentes y variantes), que se quiere o necesita penalizarse.

5. Si preexisten tipos que genéricamente recogen la esencia del comportamiento a reprimir, es completamente innecesario crear tipos con “nuevas” denominaciones y descripciones que harían más difícil la persecución y sanción de la conducta que quiere reprimirse, partiendo de que es efectiva y no potencialmente lesiva para un bien jurídico tutelado.

6. Para comprender las denominaciones que se dan a los nuevos tipos penales, es importante entender en qué consisten y cómo su uso está prácticamente circunscrito al uso de redes, sean internas (Intranet) o de la plataforma de navegación mundial (Internet35), a la cual alude la “www” World Wide Web36 (Red Global Mundial) ámbito en el que esos comportamientos pueden cumplirse, salvo algunos de ellos, como el

35 Inter, contracción e international, internacional y net, red. 36 http://es.wikipedia.org/wiki/World_Wide_Web.- World Wide Web (o la "Web") o Red Global Mundial es un sistema de documentos de hipertexto y/o hipermedios enlazados y accesibles a través de Internet. Con un navegador Web, un usuario visualiza páginas web que pueden contener texto, imágenes, vídeos u otros contenidos multimedia, y navega a través de ellas usando hiperenlaces. La Web fue creada alrededor de 1990 por el inglés TIM BERNERS-LEE y el belga ROBERT

CAILLIAU, mientras trabajaban en el CERN en Ginebra, Suiza. Desde entonces, BERNERS-LEE ha jugado un papel activo guiando el desarrollo de estándares Web (como los lenguajes de marcado con los que se crean las páginas Web), y en los últimos años ha abogado por su visión de una Web Semántica.


67

“Acceso abusivo a sistemas informáticos”, comportamiento que puede cumplirse bien porque el intruso físicamente accede al computador que alberga el sistema informático específico (como los sistemas que manejan la defensa de los países, o la disposición, coordenadas y direccionamiento de armas ofensivas-defensivas controladas por sistemas informáticos) o porque se accede a ellos a través de programas espías (spys, hoaxes, etc.) con los cuales es posible decodificar las claves de acceso a los mismos, casi siempre restringidas en su uso a contadas personas.

La primera de las opciones, es ya típica, y se trata del tipo previsto en el artículo 195 del Código Penal, titulado “Acceso abusivo a un sistema informático” y sancionado con multa.

Si se causan daños efectivos, podría haber concurso con otros comportamientos, igualmente típicos, por lo cual tampoco sería necesaria la tipificación de un delito llamado “Daño informático”.

La “Obstaculización ilegítima de sistema informático o red de telecomunicación”, podría ser sancionada mediante los tipos previstos en el Capítulo VII del Título III del Código Penal.

La “Interceptación de datos informáticos”, los artículo 193 a 197 del código penal actual, proveen de herramientas suficientes a la justicia para sancionar este tipo de comportamientos.

Las conductas denominadas “Uso de software malicioso (malware)”, “Violación de datos personales (hacking)”, “Suplantación de sitios web para capturar datos personales (phishing)”, tienen en común el uso de software especial para lograr ciertos beneficios, o causar ciertos daños con los cuales el “hacker”, que es un experto en diseño de programas informáticos obtiene un beneficio o un perjuicio para otros.

En cuánto a la “transferencia no consentida de archivos”, ocurre por una de tres razones: torpeza, exceso de confianza o novatada de quien ingresa con su computador a la red.

Normalmente esa transferencia no consentida va precedida de la aceptación del dueño del computador conectado a la Internet (potencial víctima), que acepta recibir el archivo que contiene encriptado el programa malicioso (malware), o que desestima


68

imprudentemente el consejo de no aceptar comunicación con quien no conoce, y no abrir mensajes de correo electrónico provenientes de direcciones desconocidas (evita el hacking), o que desecha la recomendación de digitar en el navegador, directamente y tantas veces como sea necesario, el nombre de la página que desea visitar (la página del banco, por ejemplo) en lugar de apelar al recurso de “completado automático de direcciones” o sitios web, aplicación que ofrecen la mayoría de los navegadores (Internet Explorer, Opera, Motzilla, Netscape), así como de los sistemas operativos, ya sean pagados (como Windows-DOS, Windows-MAC, etc) o gratuito, llamado comúnmente “software libre”37, que es Linux; y caen en la “suplantación de sitios web”, (phishing) dotados de apariencia similar, a la de la entidad que se desea visitar, y donde se digitan las claves personales de cuentas bancarias que luego son utilizadas para hacer transferencias de dinero a otras cuentas.

No hay que olvidar, que cualesquiera de estos comportamientos, que presuponen “imprudencia, impericia, o confianza imprudente” ponen en relación de inferioridad al usuario del sistema informático —y de la Internet— frente al siempre experto (hacker), que bien puede ser un malandrín, o un hábil y travieso chiquillo.

Y en punto de este último comportamiento (phishing), no hay que olvidar que puede constituir un concurso de falsedad y estafa y que puede sancionarse el daño causado por esa vía.

3. ANÁLISIS DEL ARTICULADO

El articulado del proyecto, repetimos, pretende crear tipos penales considerados conductas novedosas que atentan contra la juridicidad.

La primera cuestión a considerar es definir la técnica en la creación de la tipicidad penal.

El empirismo colombiano en la formulación de los tipos penales, se lo puede sintetizar en unas frases del profesor Jorge Enrique Gutiérrez Anzola, el famoso jurista de las mil comisiones redactoras de legislación penal. Sin rubor científico alguno decía: “...llegué a

mi oficina particular y unos clientes me contaron un problema que me sirvió de inspiración

para crear tal tipo penal...”

37 Por “Free” en inglés, que debería corresponder a su traducción literal: “gratuito”. Sin embargo, en el uso corriente informático se ha consolidado la denominación de “software libre”.


69

Consideramos que, si se quiere tener seriedad en la tipificación, hay que realizar la relación entre dos conceptos, a saber: esencias y fenómenos. En la medida en que haya confusión entre unos y otros es muy fácil caer en el casuismo, que multiplica la explosión legislativa. Veamos el alcance de los términos.

ESENCIAS. Los avicenianos han sido sintetizados por Ferrater Mora en esta frase:

“...En la cosa, la esencia es aquello por lo cual la cosa es...”

Este postulado puede resultar más fácil de comprenderlo en la expresión de Spinoza, traída por el mismo autor38:

“...Pertenece a la esencia de alguna cosa aquello que, siendo dado, pone

necesariamente la cosa y que, no siendo dado, la destruye necesariamente, o

por aquello sin lo cual la cosa no puede ser ni ser concebida y que, viceversa, no

puede sin la cosa ser ni ser concebido...”

Trasladado lo anterior al campo de la tipicidad penal tenemos que decir: el tipo debe contener aquellas notas esenciales de la conducta que se presenten siempre en la práctica. Dicho en otras palabras, se debe encontrar los comunes denominadores GENÉRICOS que se realizan en el mundo objetivo de manera circunstancial diferente cada vez. La relación entre elementos circunstanciales diferentes en modo, espacio y tiempo tienen concomitancia abstracta en las notas esenciales, sin las cuales, no puede hablarse de la figura delictiva.

Vemos un ejemplo, que el autor en cita trae sobre la relación entre la práctica y las esencias.

“... Decir “Pedro es un buen estudiante” no es enunciar la esencia de Pedro,

pues “es un buen estudiante” puede estimarse como predicado accidental de

Pedro. Decir “Pedro es un hombre” expresa el ser esencial de Pedro. Pero

expresa asimismo el ser esencial de Pablo, Antonio, Juan etc...”

38 Ferrater Mora José DICCIONARIO FILOSOFICO, Ed. Suramericana. Quinta edición 1965. Págs. 554 y555 Buenos Aires. Argentina


70

Traducido al campo de la tipicidad penal, diríamos, por ejemplo, el hurto es conocido por su esencia: apoderarse de algo ajeno. Si planteamos diferentes predicados accidentales tendríamos: el paquete chileno, el hurto violento, (raponazo), o la apropiación de dinero por medios electrónicos. Tenemos tres accidentes distintos que tomados en su individualidad no los podemos juntar. Si recurrimos a su esencia, tanto el mecánico y primitivo paquete chileno, como el hurto violento (raponazo), o la defraudación electrónica, responden a una esencia: HURTO. Cuando hacemos la siguiente comparación: antiguamente se violaba el lacre de un sobre contentivo de escritura en plumero y tinta; hoy contemplamos las diferentes formas de defraudación en el correo electrónico. Encontramos que son fenómenos totalmente distintos pero unidos en una sola esencia de violación de la correspondencia y la información.

De esta manera, llegamos al otro término de la relación que son los FENÓMENOS. Filosóficamente es “...lo que aparece...”. Es la realidad concreta, que cuenta con muchas notas de individualidad igualmente concretas. En lo que venimos describiendo: Pablo, Pedro, Antonio y Juan son fenómenos que tienen características individualizantes, de tal magnitud, que ninguno es como el otro. Cuando recurrimos a la esencia HOMBRE, todos se igualan en lo abstracto (esencia), pero se diferencian profundamente en lo que APARECE. (Fenómeno).

En materia penal, los fenómenos son las conductas delictivas que plantean los sujetos activos de las mismas. Estas realidades, que son “lo que aparece...” o fenómenos, están contenidas en abstracciones que son esencias, es decir, los TIPOS que realizan el principio de legalidad.39

Establecida la base terminológica podemos decir que la presente propuesta legislativa parte de la base ilógica de que los FENÓMENOS ACTUALES rebasan a las ESENCIAS VIGENTES de la legislación.

Si rebasaren a las esencias, que son los tipos penales, obviamente su creación es una opción inminente para el legislador.

39 Resulta en extremo interesante el trabajo planteado por Marx al respecto. Recordemos sus cartas de gran contenido teórico a LUWIG KUGELMAN que aparecen en el lapso aproximado de 1865 a 1871. Hay una en la que se refiere al planteamiento de un obrero fabril de San Petersburgo que le ha planteado la relación entre esencias y fenómenos. En líneas generales el mismo que hemos traído al campo penal. Lo curioso es que más tarde aparece otra carta donde Marx le confiesa a Kugerlman que ha sido engañado, pues el tal obrero era en realidad un filósofo.


71

Dentro de la óptica de los autores del proyecto, no se podría entender la vigencia de 100 años del código penal de Alemania.

Creemos que tanto la protección esencial a la propiedad, a la información, al buen nombre y a la privacidad tienen vigencia esencial. Lo que ha cambiado son los avances tecnológicos que muestran modalidades mucho más peligrosas que antes. No obstante, las esencias permanecen.

Por tanto, consideramos que lo que hay es un cambio en los mecanismos probatorios y de entendimiento judicial de las nuevas modalidades. Es el mundillo del peritaje lo que ha cambiado. Las esencias contenidas en los tipos siguen iguales.

Ahora, hagamos una visión aproximada de normas ya existentes para tratar de demostrar que resuelven suficientemente las inquietudes informáticas de los autores del proyecto de ley.

ARTÍCULO 1º. DEFINICIONES. Para los efectos de las conductas contempladas en la presente Ley, el Gobierno Nacional reglamentará un manual de definiciones que servirá de apoyo técnico en la implementación de la misma.

Comentario. El manual de definiciones no puede ser deferido a otras regulaciones normativas, mucho menos de carácter administrativo. Es una labor de la doctrina y de los operadores jurídicos. En últimas podría ser elemento definible por dictamen pericial.

ARTÍCULO 2º. Adicionase el Código Penal con un Título VII BIS denominado “De la Protección de la información y de los datos”, del siguiente tenor:

Comentario. Consideramos que no es necesario crear un capítulo sobre la informática, pues ella es una especie que se envuelve en otros géneros.

CAPÍTULO PRIMERO


ARTÍCULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema


72

informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Comentario. El artículo 192 del C.P. vigente sostiene, primero que la conducta regulada debe ser ilícita. Esta expresión es mas universal que la expresada en este artículo 269A del proyecto, que habla de la conducta “Ssin autorización o fuera de lo acordadoB”. Estas dos opciones son apenas una parte de lo ilícito, término que es una expresión de mayor amplitud y permite al operador jurídico valorar una gama mas grande en la que están, desde luego, comprendidas la autorización o su desbordamiento.

El artículo 192 del C.P. contempla el acceso al sistema de comunicación o de información o, lo que es lo mismo, de INFORMÁTICA. En esto es igual al artículo 296 A del proyecto. No obstante, es mucho más amplio el 192 C.P., pues no solamente contempla la interceptación sino otra serie de verbos nucleares como sustracción, ocultamiento, extravío, destrucción, controlar o simplemente enterarse. Inclusive trae un agravante en el evento de emplear el acceso en beneficio propio o de otros.

De otro lado, la conducta de eludir los controles por los que resulta un sistema informático PROTEGIDO, se encuentra tipificado en el artículo 272 numeral 3º con los verbos nucleares , “Seludir, inutilizar y suprimir un dispositivo o sistema que permita a los titulares el derecho de controlar la utilizaciónB” La misma norma sanciona el eludir las medidas de seguridad.

ARTÍCULO 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

Comentario. El artículo 192 C. P. castiga la interceptación, el control o el impedimento de comunicación, con lo cual resultaría repetida con el artículo que se propone. Más aún, la previsión de la norma actualmente vigente se extiende hasta “el enterarse”, cuestión que es más extensa.


73

El artículo 272 C. P. numeral 2º castiga toda supresión o alteración, y de esta manera engloba el impedimento u obstáculo de que trata el artículo 269 B.

ARTÍCULO 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

Comentario. El artículo 192 C.P. castiga la interceptación en genérico, figura que abarca no solamente lo dicho en el 269C del proyecto, sino en general, eso y cualquier otra forma de realización. De igual manera, si la interceptación es sobre asunto oficial el artículo 196 castiga la interceptación referente al sector oficial.


Comentario. El artículo 272 C. P. Numeral 3º castiga cualquier forma de “Seludir, inutilizar o suprimir un dispositivo o sistema que permita a los titulares del derecho controlar la utilización de sus obras o producciones o impedir o restringir cualquier uso no autorizado de estosS” El artículo 195 C. P: castiga la simple invasión o introducción en un sistema informático.

ARTÍCULO 269E: USO DE SOFTWARE MALICIOSO (MALWARE). El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Comentario. “Malicioso y dañino” son términos tan abstractos que se prestan para fomentar una represión discrecional a favor de la ideología de turno.

El artículo 272 numeral 1º castiga la superación de las medidas tecnológicas para restringir los usos no autorizados. La no autorización comprende a toda producción que pueda dañar, y la tecnología no solamente es material sino legal. Por tanto, si se produce


74

algo ilegal, eludiendo los procedimientos vigentes y se usa material dañino, tiene aplicación esta norma.

ARTÍCULO 269F: VIOLACIÓN DE DATOS PERSONALES (HACKING). El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Comentario. El artículo 192 C.P. castiga desde el simple conocimiento de los datos privados hasta la interceptación. Esta norma es más amplia, porque al exigir el 269F del proyecto que la acción sea en provecho particular o de un tercero, es más restringida. El 192 va más allá de la exigencia de “provecho”: la simple intromisión es punible, por tanto, el radio de acción es mayor...

ARTÍCULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES (PHISHING). El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas (web site), enlaces (links) o ventanas emergentes (pop up), incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción, incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores, se agravará de una tercera parte a la mitad, si para consumarlo el phisher ha reclutado Phishing mulas en la cadena del delito.

Comentario. Estamos ante un artículo casuístico, que pretende proteger la privacidad. El artículo 271 C.P. es genérico, en tal medida incluye todas las posibilidades. El numeral 1º “SSupere o eluda las medidas tecnológicas adoptadas para restringir los usos no autorizadosS” Como se observa, el artículo 269 G del proyecto, se refiere a la conducta de quien no está autorizado para realizar una serie de aplicaciones informáticas allí


75

enumeradas. El 271 es más amplio o extenso, porque engloba todas las posibilidades de eludir todas las restricciones, en forma totalmente genérica.

De igual manera, la relación entre el phiser y phishing encuadra en el artículo 246 C. P., que trata de la estafa. Estaríamos ante una maniobra engañosa electrónica que encuadra en el genérico de estafa.

ARTÍCULO 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.

2. Por servidor publico en ejercicio de sus funciones

3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.

4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.

5. Obteniendo provecho para si o para un tercero.

6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

7. Utilizando como instrumento a un tercero de buena fe.

CAPÍTULO SEGUNDO


ARTÍCULO 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.


76

Comentario. Trata el artículo de convertir el hurto por medios informáticos en hurto agravado. Si se observan los actuales artículos 239 y 240 de la C.P., dicha relación se establece sin ninguna modificación, pues el numeral cuarto del artículo 240 agrava el hurto con ganzúa, llave falsa superando seguridades electrónicas u otras semejantes. En consecuencia, no es correcto recalcar la relación ya existente.

ARTÍCULO 269J: ELIMINADO.

ARTÍCULO 269K. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.


Comentario. Este artículo es simplemente un hurto agravado por el numeral 4º del artículo 240, en relación con el artículo 239 del C. P.

ARTÍCULO 269L: ELIMINADO.

ARTÍCULO 269M. ELIMINADO.

ARTÍCULO 3º. ELIMINADO.

ARTÍCULO 3°. (NUEVO). Adiciónese al artículo 58 del Código Penal con un numeral 17, así:

Artículo 58. CIRCUNSTANCIAS DE MAYOR PUNIBILIDAD. Son circunstancias de mayor punibilidad, siempre que no hayan sido previstas de otra manera:

(S)


77

17. Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos ó telemáticos.

Comentario. No se entiende por qué se deba incrementar las penas en el caso electrónico. Hay actividades manuales que requieren un trabajo mayor y más difícil que lo electrónico; por tanto, requieren una dosis superior de reflexión y representación mayor de la antijuridicidad. Por lo mismo, no se entendería que haya un incremento de penas por este rubro.

ARTÍCULO 4°. (NUEVO). Adiciónese al artículo 37 del Código de Procedimiento Penal con un numeral 6, así:

Articulo 37. DE LOS JUECES MUNICIPALES. Los jueces penales municipales conocen:

(S)

6. De los delitos contenidos en el titulo VII Bis.

ARTÍCULO 5º. La presente Ley rige a partir de su promulgación y deroga todas las disposiciones que le sean contrarias, en especial el texto del artículo 195 del Código Penal.

4. CONCLUSIÓN

De lo dicho anteriormente se extrae una PRIMERA conclusión: no hay desprotección alguna de los datos ni de los sistemas informáticos, porque los tipos penales que existen hoy permiten el encuadramiento de la conducta en ellos para buscar, por el daño causado, la sanción que merecen.

SEGUNDA.- De ninguna manera este tipo de comportamientos deben ser tipos de “mera conducta”, en los cuales hay sanción penal por la sola ejecución de la conducta con independencia del resultado, pues no contienen ingrediente subjetivo del tipo, como ocurre con los delitos de “fraude procesal” y “tráfico de influencias” en los que la tipicidad se reproduce con la sola comisión del comportamiento. Esto, porque no siempre los “hackers” son delincuentes y en cambio, la realidad ha demostrado que una gran mayoría de ellos, son, como antes se dijo, hábiles, inteligentes y traviesos


78

muchachos, que solo causan daño sobre un programa, pero que no se benefician más que intelectualmente con lo que hacen.

TERCERA.- En forma alguna tipos como estos, altamente técnicos, pueden dejarse como “tipos en blanco” con remisión a otras instancias del poder público para que llene de ingredientes objetivos el tipo en blanco, porque ese es un inmenso riesgo que un derecho penal garantista, en el marco de un Estado Social y Democrático de Derecho, no puede correr, porque siempre será mejor un culpable en la calle que un inocente en la cárcel.

CUARTO.- Otra de las grandes debilidades de hacer una legislación penal respecto de estas conductas, es que ni siquiera tienen una equivalencia en nuestra lengua materna (castellano) y no resulta de recibo hacer depender las consecuencias, de la traducción de las palabras inglesas; mucho menos pueden hacerse tipos que describan conductas que solo tienen sentido por su denominación en inglés.

PROPOSICIÓN:

Con base en las consideraciones expuestas, y para preservar al país de una explosión legislativa, que al ser tan casuística o fenomenológica atenta contra las esencias y abre, por lo mismo, muchas más posibilidades de evasión, proponemos a los miembros de la Comisión Primera Constitucional Permanente del Senado de la República, archivar el Proyecto de ley número 281 de 2008 Senado, “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la protección de la información y de los datos” y se preservan integralmente los sistemas que utilicen las tecnologías en la información y las comunicaciones, entre otras disposiciones”.

Atentamente,

PARMENIO CUÉLLAR BASTIDAS

Senador de la República


79

6. TEXTO CONCILIADO AL PROYECTO DE LEY NÚMERO 281 DE 2008 SENADO, 042 Y 123 DE 2007 CÁMARA ACUMULADOS

INFORME DE CONCILIACIÓN AL PROYECTO DE LEY 281 DE 2008 SENADO, 042 DE 2007 CÁMARA40

042 Y 123 DE 2007 CÁMARA ACUMULADOS, por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -denominado "De la

protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre

otras disposiciones

Doctores

HERNÁN ANDRADE SERRANO Presidente Senado de la República

GERMÁN VARÓN COTRINO

Presidente Cámara de Representantes

1. Referencia: Informe de Conciliación al Proyecto de ley número 281 de 2008 Senado, 042 y 123 de 2007 Cámara (Acumulados), por medio de la cual se

modifica el Código Penal, se crea un nuevo bien jurídico tutelado denominado De

la protección de la información y de los datos y se preservan integralmente los

sistemas que utilicen las tecnologías de la información y las comunicaciones, entre

otras disposiciones.

Apreciados Presidentes:

40 http://winaricaurte.imprenta.gov.co:7778/gacetap/gaceta.nivel_3, Página Consultada el 22 de Enero de 2009.


80

De acuerdo con los artículos 161 de la Constitución Política y 186 de la Ley 5ª de 1992, los suscritos Senadores y Representantes integrantes de la Comisión Accidental de Conciliación, nos permitimos someter por su conducto a consideración de las Plenarias del Senado de la República y de la Cámara de Representantes, el texto conciliado del proyecto de ley de la referencia, dirimiendo de esta manera las discrepancias existentes entre los textos aprobados por las citadas Corporaciones, en sus respectiva s sesiones plenarias realizadas los días 11 de diciembre de 2007 en Cámara de Representantes y 12 de diciembre de 2007 en el Senado de la República.

Luego de un análisis detallado de los textos, cuya aprobación por las respectivas plenarias presenta diferencias, hemos acordado acoger como soporte de esta nueva ley, el texto aprobado por el honorable Senado de la República.

En virtud de lo anterior y para los efectos pertinentes, anexamos el texto completo para su publicación, discusión y aprobación en las plenarias correspondientes de Senado de la República y Cámara de Representantes.

Atentamente,

Conciliadores Senado

Héctor Helí Rojas Jiménez, José Darío Salazar Cruz,

Senadores de la República.

Conciliadores Cámara

Carlos Arturo Piedrahíta Cárdenas, Germán Varón Cotrino,

Representantes a la Cámara.


81

TEXTO CONCILIADO AL PROYECTO DE LEY NÚMERO 281 DE 2008 SENADO, 042 Y 123 DE 2007 CÁMARA ACUMULADOS

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico

tutelado denominado De la protección de la información y de los datos y se

preservan integralmente los sistemas que utilicen las tecnologías de la información

y las comunicaciones, entre otras disposiciones.

El Congreso de Colombia

DECRETA:

Artículo 1º. Adicionase el Código Penal con un Título VII BIS denominado De la Protección de la información y de los datos, del siguiente tenor:

CAPÍTULO I


Artículo 269A. Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269B. Obstaculización ilegítima de sistema informático o red de

telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.


82

Artículo 269C. Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

Artículo 269D. Daño informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269E. Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269F. Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269G. Suplantación de sitios web para capturar datos personales. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción, incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente


83

en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

Artículo 269H. Circunstancias de agravación punitiva. Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:


2. Por servidor público en ejercicio de sus funciones.






8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.


84

CAPÍTULO II


Artículo 269I. Hurto por medios informáticos y semejantes. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.

Artículo 269J. Transferencia no consentida de activos. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

La misma sanción se le impondrá, a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.


Artículo 2°. Adiciónese al artículo 58 del Código Penal con un numeral 17, así:

Artículo 58. Circunstancias de mayor punibilidad. Son circunstancias de mayor punibilidad, siempre que no hayan sido previstas de otra manera:

(¿)

17. Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos o telemáticos.


85

Artículo 3°. Adiciónese al artículo 37 del Código de Procedimiento Penal con un numeral 6, así:

Artículo 37. De los jueces municipales. Los jueces penales municipales conocen:

(¿)


Artículo 4º. La presente ley rige a partir de su promulgación y deroga todas las disposiciones que le sean contrarias, en especial el texto del artículo 195 del Código Penal.

Conciliadores Senado

José Darío Salazar Cruz, Héctor Helí Rojas Jiménez,

Senadores de la República.

Conciliadores Cámara

Carlos Arturo Piedrahíta Cárdenas, Germán Varón Cotrino,

Representantes a la Cámara.

7. Ley 1273 de 2009

LEY 1273 5 DE ENERO DE 2009

"POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO "DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS"� Y SE PRESERVAN INTEGRALMENTE LOS


86

SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES".

El CONGRESO DE COLOMBIA

DECRETA:

ARTÍCULO 1°. Adiciónese el Código Penal con un Título VII BIS denominado "De la Protección de la información y de los datos", del siguiente tenor:

CAPÍTULO PRIMERO

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos.

ARTÍCULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

ARTÍCULO 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema


87

informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.


ARTÍCULO 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción, incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores, se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.


88

ARTÍCULO 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:


2. Por servidor público en ejercicio de sus funciones






8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.

CAPÍTULO SEGUNDO

De los atentados informáticos y otras infracciones

ARTÍCULO 2691: HURTO POR MEDIOS INFORMÁTICOS y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.

ARTÍCULO 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la


89

transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

La misma sanción se le impondrá, a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.


ARTÍCULO 2°. Adiciónese al artículo 58 del Código Penal con un numeral 17, así:

Articulo 58. CIRCUSTANCIAS DE MAYOR PUNIBILIDAD. Son circunstancias de mayor punibilidad, siempre que no hayan sido previstas de otra manera:

( ...)

17. Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos ó telemáticos.

ARTÍCULO 3°. Adiciónese al artículo 37 del Código de Procedimiento Penal con un numeral 6, así:

Artículo 37. DE LOS JUECES MUNICIPALES. Los jueces penales municipales conocen:

( ... )


ARTÍCULO 4°. La presente ley rige a partir de su promulgación y deroga todas las disposiciones que le sean contrarias, en especial el texto del artículo 195 del Código Penal.


90

LEY 1273


91

"POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO "DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS"- y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES".

Delito Electrónico

Documents

Transcript of Delito Electrónico