Contacto

Para consultas jurídicas "david @ 451.legal"

miércoles, 23 de junio de 2010

Reforma del Código Penal, delitos informáticos y contra la propiedad intelectual

Hoy se publica en el Boletín Oficial del Estado la reforma del Código Penal, mediante la Ley Orgánica 5/2010, de 22 de junio, que entrará en vigor el 23 de diciembre de este mismo año.
  • Delitos contra la propiedad intelectual
En relación con la Propiedad Intelectual la principal novedad del texto radica en la decisión de rebajar las penas para las infracciones a pequeña escala de la misma, como por ejemplo el conocido "top manta" para lo que se ha modificado el artículo 270 añadiéndole un nuevo párrafo y dejándolo como sigue:
«No obstante, en los casos de distribución al por menor, atendidas las características del culpable y la reducida cuantía del beneficio económico, siempre que no concurra ninguna de las circunstancias del artículo siguiente, el Juez podrá imponer la pena de multa de tres a seis meses o trabajos en beneficio de la comunidad de treinta y uno a sesenta días. En los mismos supuestos, cuando el beneficio no exceda de 400 euros, se castigará el hecho como falta del artículo 623.5.»
Así la nefasta reforma del año 2003 que agravó la pena al sustituir la conjunción "y" por "o" y dejar la sanción en "prisión y multa" y que provocó que el juez no dispusiese de capacidad para modular la condena en términos razonables a la infracción cometida ahora es revocada, si bien con una redacción francamente mejorable.
 
En mi opinión sigue siendo mejor la redacción anterior a 2003 y es a donde se debería haber vuelto. Esta redacción actual genera el problema de la acreditación del beneficio económico, que incluso determina que no sea delito sino falta.

El problema es que en los delitos contra la propiedad intelectual se realiza la conducta típica incluso sin previa distribución de ejemplares, con la mera oferta de los mismos, por ejemplo, por lo que queda por determinar como se calcula el beneficio, con los problemas que eso puede generar.

La solución podría ser por la suma de lo que se obtiene como ganancia del total de los bienes incautados, por ejemplo, por lo que dificilmente a un mantero se le cogerá en la comisión de un delito. Hay que considerar que si vende un CD a 2 €uros y 1€ es beneficio, dificilmente llevará 400 CD encima. De todas formas se adaptarán para que en las mantas no se ponga más de 400 €uros en material y así no entrar nunca en el ámbito del delito y que todo quede como una falta.

En ese caso, la falta se castiga con localización permanente de cuatro a 12 días o multa de uno a dos meses.
 
Lo mismo se prevé para las infracciones de propiedad industrial y con la misma problemática. Y en el caso de estos delitos también se aclara el problema respecto de las importaciones y las compras lícitas dentro de la Unión Europea.
  • Delitos informáticos
Además de estos cambios respecto de la protección penal de la propiedad intelectual, otro aspecto con importante presencia en la reforma tiene que ver con lo que la propia reforma denomina "Delitos informáticos".
"En el marco de los denominados delitos informáticos, para cumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, se ha resuelto incardinar las conductas punibles en dos apartados diferentes, al tratarse de bienes jurídicos diversos. El primero, relativo a los daños, donde quedarían incluidas las consistentes en dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos, así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. El segundo apartado se refiere al descubrimiento y revelación de secretos, donde estaría comprendido el acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo."
  • Delitos Informáticos: Acceso a sistemas
Así se introduce un nuevo artículo 197.3 que establece:
"El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años. 
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33"
Se tipifica por lo tanto la intromisión en sistemas ajenos de manera clara y expresa completando lo que ya se preveía para el apoderamiento de documentación del 197.2, lo que sucede es que aquí se castiga la mera entrada en el sistema, se produzcan o no daños o lesiones a los derechos del propietario del sistema.

El problema radica en qué se entiende por acceder a datos o programas informáticos contenidos en un sistema, ya que si por ejemplo realizo una petición de ftp para ver el contenido de una carpeta en un servidor, ¿estaré accediendo a los datos y programas aunque no los lea o descargue?

Lo cierto es que de esta forma las conductas que modifican páginas web aprovechándose de vulnerabilidades conocidas entran en el ámbito de este artículo.

Queda por ver si esta medida mejora o no la seguridad informática, dado que una forma habitual de comprobar vulnerabilidades es precisamente someter a pruebas a los sistemas. Falta en mi opinión en la redacción un referencia a la autorización o permiso para la entrada saltándose las medidas de seguridad, como con las empresas de auditoría, ya que el tipo penal, en principio y en una lectura estricta, no distingue cuando el acceso al sistema se realiza con o sin permiso del propietario.

Esta referencia al permiso se contiene sólo para el caso de que quien accede se mantenga dentro del sistema, pero en mi opinión es insuficiente.
  • Delitos informáticos: Defraudaciones
También se añade al Código Penal un apartado en el artículo 248.2:
"1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo."
Este añadido penaliza la programación de aplicaciones que permitan la comisión de las estafas, así como su difusión e incluso su mera tenencia, aun cuando la aplicación no haya sido utilizada. Eso si, los programas deben reunir el requisito de estar especificamente destinados a tal fin, en la medida en que sirvan para otros fines o usos, la conducta no será punible, al igual que sucede con los chips de las consolas, por ejemplo.
  • Delitos Informáticos: Daños
Se modifica el artículo 264 para recoger los daños provocados en los sistemas informáticos:
1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.
Este delito castiga tanto la destrucción de información como los ataques que impiden que un sistema pueda funcionar correctamente, tipo DoS.

Sí que era evidente la necesidad de que estos delitos se recogiese de alguna manera ya que los daños por ataues de este tipo si pueden ser muy importantes. La única cuestión radica en cuando se estará ante un resultado grave, ya que la prueba de ello puede ser dificil y al quedar unicamente a criterio del juez sin mayores referencias que la prueba que pueda practicar la parte y sus alegaciones puede hacer que no siempre el resultado sea adecuado.

Sin duda este redactado ayudará a perseguir asuntos como el ataque a Genbeta y meneame.net por ejemplo, que sufrió un "errático deambular" judicial.

En resumen, una reforma que afecta de manera importante a la tecnología informática y en la que hay soluciones que deberían haberse planteado en otros términos, pero en definitiva un intento de adaptar nuestro Código Penal a las nuevas formas de delincuencia que se cometen con nuevos medios.

9 comentarios:

  1. David, comentas en los apuntes sobre el artículo 197.3, sobre acceso a sistemas, que falta una mención a la posibilidad del acceso con consentimiento al sistema. Sin embargo, leyendo el artículo, sí leo la mención:
    "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda SIN AUTORIZACIÓN a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años".

    ResponderEliminar
  2. Hola:

    Gracias por el comentario, puede no estar bien explicado y dar lugar a error.

    Tienes razón en lo que comentas, pero lo que quería decir es que, en relación con lo que me preguntaba anteriormente, lo único que exige autorización es el acceso a los datos y programas, pero la entrada en el sistema, ¿supone necesariamente el acceso a los datos y programas?

    si el sistema se ve comprometido, ¿hay necesariamente acceso a los datos?.

    Con la relectura gracias a tu comentario, veo otra cuestión en ese artículo, y es el acceso a un sistema cuando en el mismo existe una vulnerabilidad conocida, por ejemplo.

    Dado que la vulnerabilidad es conocida, y no se han adoptado medidas de seguridad para reparar el agujero, la entrada aprovechándo las mismas podría interpretarse como que no encaja en el tipo penal. A falta de una mejor definición de "vulnerando las medidas de seguridad".

    Es como si dejo la puerta abierta o fuerzo la cerradura, en el primer caso no vulnero ninguna medida de seguridad (otra cosa es que acceda sin autorización) y en el segundo sí, pero para que se aplique el tipo penal necesito esa otra conducta puesto que no sólo se penaliza el acceso.

    Un saludo y gracias.

    ResponderEliminar
  3. Olvídate de la informática y hazte Top Manta: no te pasará nada.

    ResponderEliminar
  4. Que opinas de las victimas colaterales de la reforma ? Los ataque DoS suelen hacerse mediante redes de clones que no suelen tener idea de que estan utilizando su equipo para atacar, pero cuya IP es la que aparece en el listado de la brigada de delitos informaticos

    ResponderEliminar
  5. @Hexel, para que puedan demostrar que eres culpable de un ataque DoS tendría que demostrar que estás accediendo con el fin de denegar el servicio y que por tanto tu acceso es con ese fin. Para ello tendrías que realizar muchas conexiones por segundo desde tu IP.
    Tu te refieres a ataques DDoS que son distribuidos y normalmente no es necesario realizar muchas peticiones desde la misma IP sino que se usan muchas de forma simultanea.
    De todos modos mi experiencia dice que las autoridades no hacen mucho caso a los equipos infectados.
    Recientemente he estado estudiando un caso que atacaba al banco de españa "http://rollanwar.net/?p=598" y en poco más de 1 día tenía más de 200 IPs distintas, y no creo que nadie les comunique a los propietarios que se encuentran infectados. (Estuvo ativa del 2010-06-18 al 2010-06-26 imagina que cantidad de equipos se pueden sacar en este tiempo, por no comentar las infectiones).

    @David_Maeztu Yo hace tiempo escribí sobre este asunto de la nueva ley ("http://rollanwar.net/?p=286") y creo que tendrían que aclararse puntos como los que comentas.

    ResponderEliminar
  6. No entiendo mucho de esto, pero ¿considerais que se vulneraría el tipo si alguien que conoce mi NIF entra en la web de mi banco, o de mioperadora de telefonía por ejemplo, cambian la contraseña y se hace con la información de mi saldo o con mis facturas de telefono?
    ¿y en caso afirmativo, qué prueba suele ser útil para acreditarlo?

    ResponderEliminar
  7. hola, y que pasa con la gente que vende productos falsificados por internet, pero que no tienen los productos en su poder ni envian ellos los pedidos a los clientes ?

    ResponderEliminar
  8. claudia patricia cardozo bertini14 de marzo de 2013, 19:07:00 CET

    hola ...mi caso es diferente aplique a un empleo por internet para trabajar en casa ya que tengo un niño pequeño y dias despues se comunicaron conmigo solicitandome una seria de datos entre ellos la copia de mi documento de identidad ....en esa empresa utilizaron mi documento para estafar bajo mi nombre a personas vendiendoles telefonos que no existian y al mismo tiempo yo fui estafada.....coloque la denuncia en la policia ...y a la ves fui denunciada por una de estas personas que no recibio el telefono .....pero realmente no encuentro apoyo en la policia y fui tratada como la estafadora...a pesar de que les lleve todas las pruebas....que dicen que no miento....

    ResponderEliminar
  9. Si... a mi me paso lo mismo con ese africano... que dice tener android, que la justicia deje de rascarse las pelotas y en vez de juszgar... haga su respectiva investigacion y atrapen a ese estafador y no pongan a pagar a personas descentes y inocentes.

    ResponderEliminar