The challenges of criminal law against computer crimes and other fraudulent behavior through electronic means of payment

Mariliana Rico Carrillo**

** Profesora en la Universidad Católica del Táchira, Venezuela (marilianarico@yahoo.com).

* Recibido: 2 de agosto de 2012. ]]> Aceptado: 12 de septiembre de 2012.

Resumen

Los avances de la informática, las telecomunicaciones e Internet han favorecido el surgimiento de distintas conductas fraudulentas relacionadas con la utilización de medios electrónicos de pago. La dificultad de encuadrar los nuevos supuestos en los tipos penales tradicionales ha motivado la revisión de la legislación con la finalidad de evitar la impunidad de estas conductas delictivas, tal como ha ocurrido en la reforma del Código Penal español de 2010. El presente estudio tiene por objeto el análisis de los delitos informáticos y otras conductas fraudulentas relacionadas con la utilización de los medios de pago electrónicos y las diversas soluciones ofrecidas por la legislación penal española para prevenir y sancionar este tipo de conductas.

Palabras clave: Delitos informáticos, medios electrónicos de pago, Internet, fraude.

Abstract

The developments of computer science, telecommunications and Internet have facilitated the appearance of new fraudulent behaviors in the use of electronic means of payment. The difficulty of framing the new criminal offenses in traditional crimes has led to the review of the legislation in order to avoid impunity for such criminal behaviors, just as it happened in the reform of the Spanish Penal Code in 2010. This research aims at the analysis of cyber crimes and other fraudulent conducts related to the use of electronic payments and different solutions offered by the Spanish penal legislation to prevent and punish this type of behaviour.

Key words: Computer crimes, electronic means of payments, Internet, fraud.

1. Introducción

2. Delitos informáticos y criminalidad en Internet: el caso de los medios de pago

3. Conductas delictivas en los instrumentos de pago

A) Conductas que tienen como objeto el instrumento de pago

B) Conductas derivadas de la utilización del instrumento de pago: los supuestos de estafa

4. La modificación del Código Penal español y la tipificación de nuevos supuestos delictivos

]]> A) Antecedentes: los trabajos de la Unión Europea

B) La reforma de 2010

C) Los nuevos supuestos delictivos

5. Apreciaciones penales sobre el phishing y el pharming

6. La falsificación documental y los instrumentos de pago electrónicos

 

1. Introducción

Los avances de las tecnologías de la información y las comunicaciones (TIC) y el crecimiento de las operaciones comerciales en Internet han propiciado el surgimiento de nuevas conductas fraudulentas relacionadas con el uso de instrumentos de pago electrónicos. La dificultad de encuadrar estos supuestos en los tipos penales tradicionales ha motivado la revisión de las diferentes codificaciones y legislaciones con la finalidad de evitar la impunidad de estas conductas delictivas.

Las conductas más frecuentes relacionadas con el uso fraudulento de los medios de pago electrónico se cometen a través de tarjetas y se relacionan con una serie de hechos que ocurren dentro y fuera de Internet y que en la mayoría de los casos involucran el uso de la informática, tal como sucede en los supuestos de clonación y falsificación. A pesar de la tipificación de los delitos informáticos en las diferentes legislaciones y de la imposición de sanciones a través de esta vía, el desarrollo de las operaciones de pago a través de Internet ha contribuido a la creación de ciertos patrones en la comisión de algunos delitos que dificultan su encuadramiento en estos tipos penales.

Lo cierto es que aun cuando en la actualidad diversos países cuentan con legislación especial orientada a sancionar los delitos informáticos,¹ donde en la mayoría de los casos se encuadran estas conductas, en la práctica se ha puesto de manifiesto la insuficiencia de estas normas para castigar algunos hechos delictivos, al no concurrir todos los elementos previstos en la legislación respectiva. En el caso de España, las decisiones jurisprudenciales que dejaron impunes algunos delitos relacionados con la utilización de tarjetas de crédito ajenas en Internet impulsaron la reforma del Código Penal, donde se tipifican nuevos supuestos delictivos relacionados con el uso de los instrumentos de pago.

2. Delitos informáticos y criminalidad en Internet: el caso de los medios de pago

Antes de desarrollar los aspectos cruciales de esta investigación consideramos necesario precisar estas dos figuras. Los delitos informáticos son definidos por la doctrina española como "[...] aquellas conductas que ponen en peligro o lesionan la integridad, confidencialidad y/o disponibilidad de los datos y sistemas informáticos,² sin perjuicio de que además puedan suponer una puesta en peligro o lesión de bienes jurídicos distintos", también como: "la realización de una acción que, reuniendo las características que delimitan el concepto de delito, se ha llevado a cabo utilizando un elemento informático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software".³ De acuerdo con estas definiciones, para que se configure un delito de esta categoría se requiere la utilización de un elemento informático en la comisión del hecho punible o que el resultado de la acción se traduzca en una vulneración a un sistema informático. Las conductas más frecuentes en este ámbito se centran en el acceso no autorizado a sistemas y redes informáticos, el fraude informático, la obtención y utilización indebida de información almacenada en sistemas informáticos, la alteración y destrucción de datos, así como el sabotaje de sistemas informáticos y la denegación de acceso a usuarios legítimos.

En relación con el bien jurídico protegido en los delitos informáticos, se habla de un bien jurídico nuevo, estrictamente informático, orientado hacia la protección de la integridad, confidencialidad y/o disponibilidad de los datos y sistemas informáticos.⁴ En las conductas constitutivas de los delitos informáticos también se aprecian ataques contra bienes jurídicos tradicionalmente protegidos por el derecho penal; en el caso de los delitos informáticos sobre medios de pago, el bien jurídico protegido sería el patrimonio de las personas afectadas por la comisión de estos delitos.

Dentro de los delitos informáticos, especial consideración merece, en el ámbito que nos ocupa, el estudio del fraude informático tipificado en el Código Penal español bajo la figura de estafa informática, que consiste en la transmisión no consentida de activos a través de la manipulación o alteración de datos informáticos. En opinión de la doctrina, se trata de

[...] una conducta paralela a la de la estafa, en la que la conducta del sujeto activo, guiada por el ánimo de lucro, se dirige a la provocación de una disposición patrimonial, pero en la que el mecanismo defraudatorio no es propiamente una provocación, mediante engaño, de un error en la víctima, sino la manipulación de un sistema informático.⁵

Junto a los delitos informáticos y también como consecuencia del desarrollo de las TIC encontramos los supuestos de criminalidad en Internet. En este caso, se trata de delitos tradicionales o nuevas conductas delictivas que se caracterizan por la utilización de Internet como medio para la comisión del hecho punible, donde no puede hablarse de delitos informáticos porque no está presente la manipulación o el ataque informático que caracteriza estos supuestos.

La distinción entre estas dos conductas se encuentra presente en el caso de los medios de pago y ha adquirido importancia en los últimos años; en la práctica se han presentado casos donde no ha sido posible encuadrar bajo la figura de estafa informática los supuestos de utilización de tarjetas ajenas en Internet, por no estar presentes los elementos que caracterizan este tipo delictivo. Esta situación ha sido considerada en la reforma del Código Penal español de 2010, donde se introduce el delito de estafa a través de medios de pago, con la finalidad de facilitar la persecución de este tipo de delitos. Seguidamente pasamos al estudio de las diferentes conductas que se enmarcan en el ámbito de los delitos informáticos y en los supuestos de criminalidad en Internet, referidas a los instrumentos de pago.

3. Conductas delictivas en los instrumentos de pago

Entre los mecanismos de pago más utilizados en la actualidad, dentro y fuera de Internet, se encuentran las tarjetas en sus distintas modalidades y las transferencias electrónicas de fondos, aunque éstos no son los únicos dispositivos que permiten realizar pagos en forma electrónica. El avance de las TIC, junto con el desarrollo de las operaciones comerciales en Internet, ha propiciado la creación de diversos mecanismos e instrumentos de pago, tal es el caso de los cheques y las letras de cambio electrónicas, el dinero efectivo electrónico almacenado en el disco duro de los computadores, y los pagos a través de cuentas de correo electrónico.

El desarrollo de los instrumentos electrónicos de pago junto con el avance de la informática y la aparición de Internet han propiciado el surgimiento de nuevas conductas delictivas, a la vez que han contribuido a la creación de ciertos patrones en la comisión de algunos delitos que dificultan su encuadramiento en los tipos penales tradicionales; la mayoría de ellos se encuentran directamente relacionados con las tarjetas de pago. Algunas de estas conductas se encuadran dentro de los delitos informáticos, en tanto que otras son supuestos de criminalidad en Internet.
En el estudio de los supuestos delictivos cometidos a través de medios de pago es necesario diferenciar cuando el delito tiene por objeto el medio de pago en sí, como es el caso de la clonación de tarjetas, la falsificación, el tráfico y el apoderamiento indebido de datos, y cuando el medio de pago es el instrumento utilizado para la comisión de un delito que tiene lugar a través del uso ilícito del medio de pago —o de los datos asociados— y se materializa en la disposición indebida del dinero.

A) Conductas que tienen como objeto el instrumento de pago

Entre las conductas más frecuentes que tienen como objeto el medio de pago encontramos la clonación (duplicación de tarjetas), la falsificación y el apoderamiento indebido de datos. Dentro de esta última figura se incluyen las técnicas de captación ilícita de datos a través de Internet, en particular el phishing y el pharming. Todas estas situaciones conducen a la utilización ilícita del instrumento de pago, que normalmente se traduce en la disposición indebida del dinero o del crédito asociado (en el caso de las tarjetas de crédito),⁶ con el correspondiente perjuicio económico para el titular legítimo, quien es el único autorizado para la utilización del instrumento de pago. Estas conductas se encuadran, en la mayoría de los casos, en el delito de estafa.

a. La clonación

Los casos más frecuentes de clonación ocurren en los comercios tradicionales y en los cajeros automáticos y se llevan a cabo mediante el uso de un dispositivo electrónico conocido como skimmer, que permite copiar los datos de la banda magnética de la tarjeta. Una vez que los datos han sido copiados, son procesados a través de un equipo informático y un software que capta la información y permite incorporarla a una tarjeta nueva, creando de esta manera la duplicación de la tarjeta original. La utilización de este dispositivo ha generalizado el uso del término skimming como omnicomprensivo de las situaciones donde se produce el robo de la información de las tarjetas como consecuencia de una utilización legítima del instrumento de pago.

En el ámbito de la Unión Europea (UE), en el Dictamen del Comité Económico y Social sobre "La lucha contra el fraude y la falsificación de los medios de pago distintos del efectivo", de 2009, se menciona la necesidad de prevenir y sancionar como delito la clonación de soportes plásticos con códigos, y las contraseñas de las tarjetas de pago. El Código Penal español (CP) no tipifica en forma autónoma este delito, sin embargo, los supuestos de clonación son incluidos en el delito de falsificación de instrumentos de pago, que penaliza la alteración, copia, reproducción y falsificación de tarjetas.

b. La falsificación

En el ámbito de las tarjetas, la falsificación puede darse como consecuencia de la clonación —de hecho es su natural resultado—; sin embargo, también puede darse el supuesto de elaboración de tarjetas falsificadas independientemente de un proceso de clonación, donde la conducta se limita a la fabricación de un nuevo instrumento de pago mediante la copia de los datos del instrumento original. En la mayoría de estos casos, la elaboración del instrumento de pago se produce como consecuencia de un ataque informático (hacking) a las empresas propietarias de tarjetas, que mantienen bases de datos con la información de estos medios de pago.⁷

La falsificación de instrumentos electrónicos de pago, donde se incluyen los cheques electrónicos y el dinero efectivo electrónico, también tiene lugar cuando se produce una alteración en los datos originalmente incorporados en los documentos representativos de estos medios de pago.

A pesar de la diferencia conceptual entre las figuras de clonación y falsificación, en España estas conductas son objeto de tratamiento similar tanto en la jurisprudencia como en el CP. Antes de la reforma de 2010, los supuestos de clo- nación y falsificación eran calificados como un delito de falsificación de moneda, en atención a las previsiones del artículo 286, que incluía en la definición de moneda a las tarjetas de crédito, débito y otras tarjetas de pago.⁸ En la reforma de 2010 se mantiene el tratamiento similar para estos dos delitos, calificados ahora como supuestos de falsificación de instrumentos de pago.

c. Captación y uso indebido de datos: phishing y pharming

El apoderamiento indebido de los datos también es una consecuencia de la clonación, sin embargo, éste no es el único supuesto. Los datos del instrumento de pago también pueden ser captados por terceras personas en redes de comunicación abiertas, como Internet, cuando el usuario envía la información sin ningún tipo de protección, o a través de ciertos artificios diseñados para lograr tales fines. Aunque éste es uno de los principales temores de los usuarios de la Red, es de hacer notar que la captación de datos es una práctica muy frecuente en las transacciones de pago presenciales, donde las personas que procesan la operación de pago pueden copiar con facilidad los datos necesarios para realizar una transacción a distancia.

La utilización de Internet ha facilitado la comisión de este delito gracias al desarrollo de sofisticadas prácticas de captación y apoderamiento de datos, tal como sucede con el phishing y el pharming.

En el phishing, la captación ilícita de datos tiene lugar a través del envío masivo de correos electrónicos que simulan la identidad de una institución financiera con el objetivo de solicitar a los receptores los datos de sus respectivas tarjetas, alegando diversos motivos (promoción de productos o servicios, participación en concursos, problemas de seguridad, técnicos, etcétera). Los correos electrónicos incluyen enlaces a sitios Web que imitan los de las entidades bancarias donde el usuario suministra los datos del instrumento de pago.

La técnica utilizada en el pharming también remite a los usuarios a páginas Web falsas, creadas en formato similar a las de las entidades bancarias con el objeto de captar los datos de los clientes. En estos casos, el procedimiento no se lleva a cabo mediante el envío masivo de correos electrónicos; el acceso indebido se produce por una vulnerabilidad en el DNS (Domain Name System) o en el de los equipos de los usuarios, que permite al atacante redirigir el nombre de dominio de la entidad a una página Web que en apariencia es idéntica.

Aunque en ambos casos los datos son proporcionados por el propio titular, a todas luces se trata de una captación indebida, realizada mediante engaño por terceras personas con la finalidad de utilizar la información asociada al instrumento de pago con fines fraudulentos.

B) Conductas derivadas de la utilización del instrumento de pago: los supuestos de estafa

La realización de las conductas anteriormente descritas no tiene otra finalidad que lograr la disposición indebida del dinero o del crédito asociado a la tarjeta, con el perjuicio patrimonial que esto supone para el verdadero titular. Aunque en la mayoría de los casos la utilización de la tarjeta —o de los datos del instrumento de pago— por terceras personas configura el supuesto de estafa, en la práctica se han dado situaciones que dificultan su encuadramiento en tal figura, al menos en su concepción tradicional, al no estar presentes los tres elementos que caracterizan este supuesto delictivo: el engaño, seguido del error y de la disposición patrimonial.

La problemática que aquí se presenta es que el delito de estafa —en su concepción clásica— exige que el sujeto del engaño sea una persona física, y que éste sea de tal magnitud que pueda inducir a error a la víctima y produzca como consecuencia el acto de disposición patrimonial.

Otro problema que suscitó la definición tradicional de estafa en los supuestos de usos fraudulentos de tarjetas fue la imposibilidad de encuadrar en este tipo penal los usos ilícitos a través de cajeros automáticos, las manipulaciones en los terminales de puntos de venta (TPV) y las operaciones en Internet.

El desarrollo de las operaciones delictivas a través de medios informáticos condujo a una primera modificación del CP en este ámbito. En la reforma de
1995 se introdujo el delito de "estafa informática", donde se sustituye el término "engaño" por el de "manipulación informática". Aunque la construcción de este tipo penal constituyó un avance en la materia, ya que permitió sancionar diversos delitos relacionados con las tarjetas (captación de datos, falsificación, manipulación de cajeros automáticos y TPV, entre otros), los supuestos que se contemplaron en la norma también originaron problemas de interpretación que impidieron encuadrar en la estafa informática la utilización de las tarjetas por terceros no autorizados en Internet.

Los problemas anteriormente descritos encuentran solución con la reforma del CP de 2010, donde se tipifica la estafa sobre tarjetas y otros instrumentos de pago como un delito autónomo e independiente de la estafa clásica y la estafa informática. La redacción amplia del nuevo tipo penal previsto en el artículo 248.2 permite incluir todos los previsibles supuestos de comisión de este delito, ya que penaliza a quienes realicen operaciones de cualquier clase, mediante la utilización de una tarjeta en perjuicio de su titular o de un tercero. Del estudio de esta norma nos ocupamos más adelante.

4. La modificación del Código Penal español y la tipificación de nuevos supuestos delictivos

A) Antecedentes: los trabajos de la Unión Europea

La reforma del CP español encuentra su base en las iniciativas de la UE orientadas a prevenir y sancionar estas conductas. Entre los principales trabajos en este ámbito se encuentra la Comunicación de la Comisión al Consejo, al Parlamento Europeo y al Comité Económico y Social del 1 de julio de 1998, sobre un marco de actuación para la lucha contra el fraude y la falsificación de los medios de pago distintos del efectivo, que propone una acción común para hacer frente a los peligros derivados del fraude cometido a través de instrumentos de pago.

Los lineamientos de la acción común propuesta en 1998 son adoptados en la Decisión marco del Consejo, del 28 de mayo de 2001, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo. Este documento impone a los Estados miembros el deber de adoptar las medidas necesarias para garantizar que el robo, la apropiación indebida, la falsificación y la manipulación de instrumentos de pago, entre otras conductas, sean consideradas como formas delictivas en las legislaciones penales de los Estados que forman parte de la UE. En cuanto a los delitos relacionados con equipos informáticos, se establece la necesidad de sancionar la realización de transferencias no autorizadas de dinero mediante la introducción, alteración, borrado o supresión indebida de datos, especialmente datos de identidad. También se pone de manifiesto la necesidad de sancionar la participación, instigación y tentativa en la comisión de estos delitos.

B) La reforma de 2010

El CP español fue reformado en 2010, gracias a la aprobación de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Esta modificación obedece a la necesidad de adaptar las normas penales españolas a las exigencias de armonización jurídica exigidas por la UE. En el
ámbito que nos ocupa, la reforma sigue las directrices de la Decisión europea de 2001 al introducir los nuevos supuestos delictivos relacionados con los fraudes cometidos a través de instrumentos de pago, en particular la estafa y la falsificación de tarjetas.

En relación con estos aspectos de la reforma penal, consideramos necesario destacar que la exposición de motivos de la Ley 5/2010 señala en forma expresa la importancia de incorporar al cp las modalidades de defraudación mediante el uso de tarjetas ajenas o de los datos obrantes en ellas. También se menciona la necesidad de establecer un régimen autónomo para el delito de falsificación de tarjetas, anteriormente incluido en los supuestos de falsificación de moneda.

C) Los nuevos supuestos delictivos

a. La estafa a través de instrumentos de pago

Como indicamos anteriormente, en la concepción tradicional del delito de estafa sólo eran susceptibles de engaño las personas físicas, situación que acarreó una serie de problemas en la práctica a la hora de encuadrar en la estafa clásica los supuestos de estafa producidos a través de máquinas. Para solventar este tipo de situaciones, en la reforma del CP de 1995 se agregó el tipo penal de la estafa informática, donde se sustituye el término engaño por el de manipulación informática, entendiéndose por tal, la actuación de los sujetos sobre un sistema informático, de manera que tal actuación altere el resultado que habría de conducir el normal procesamiento automatizado de datos.¹⁰

Aunque la estafa informática se encuentra directamente relacionada con el tema de los medios electrónicos de pago, toda vez que se refiere a la manipulación informática realizada con ánimo de lucro con la finalidad de obtener una transferencia no consentida de un activo patrimonial, en la práctica también se han presentado problemas para encuadrar las operaciones de pago fraudulentas realizadas a través de Internet en el concepto de manipulación informática, tal como sucedió en la conocida sentencia de la Audiencia Provincial de Málaga del 19 de diciembre de 2005, donde el juzgador pone de manifiesto la imposibilidad de catalogar el delito como estafa informática, al indicar que si bien es cierto que los acusados utilizaron los datos de una tarjeta ajena para realizar una compra a través de Internet, no manipularon sistema o programa informático alguno, lo cual imposibilitó la aplicación del tipo penal.¹¹

La situación descrita se ha solventado con la tipificación del nuevo delito relativo a la estafa a través de instrumentos de pago, donde se consideran reos de estafa: "Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero".

La inclusión de este tipo penal abarca las operaciones de pago presenciales y las operaciones de pago que se llevan a cabo a través de sistemas de comunicación a distancia, toda vez que la norma no hace distinción sobre el lugar donde el instrumento de pago es utilizado, y se refiere en general a operaciones de cualquier clase en perjuicio del titular o de un tercero.

Aunque en la mayoría de los pagos presenciales con tarjetas ajenas se configura el delito de estafa clásica,¹² en la práctica se han presentado casos que han originado serias dificultades para encuadrar estas conductas en el tipo penal de estafa, al no mediar engaño suficiente para producir error en la víctima. Cabe recordar que en varias ocasiones la jurisprudencia determinó la imposibilidad de calificar como estafa, por inexistencia de engaño, los pagos con tarjetas ajenas en los casos de incumplimiento de los deberes de comprobación de identidad y verificación de la tarjeta que corresponden a los aceptantes. En atención a la nueva redacción del artículo 248 del CP, todos los supuestos de utilización fraudulenta de una tarjeta ajena serán objeto de sanción penal, con independencia de la actuación del aceptante, que entra en el calificativo de "tercero" empleado en la redacción de la norma.

b. La falsificación de instrumentos de pago

El CP español de 1995 incluía dentro del delito la falsificación de moneda, las tarjetas de crédito, débito y demás tarjetas de pago; así lo disponía el artículo 387, al indicar: "[...] se entiende por moneda la metálica y papel moneda de curso legal. A los mismos efectos, se considerarán moneda las tarjetas de crédito, las de débito y las demás tarjetas que puedan utilizarse como medio de pago, así como los cheques de viaje". Sobre la base de esta disposición, numerosas sentencias castigaron la falsificación de tarjetas bajo el delito de falsificación de moneda, incluyendo los supuestos de clonación de tarjetas.

En la reforma de 2010, el delito de falsificación de moneda se delimita única y exclusivamente a la moneda metálica y al papel moneda de curso legal, tal como se observa en la redacción del actual artículo 386 del CP. Esto obedece a la necesidad de crear un nuevo tipo penal autónomo e independiente, destinado a sancionar el fraude cometido a través de la falsificación de instrumentos de pago, circunstancia que se expresa en el propio el texto de la exposición de motivos de la Ley 5/2010, donde se indica que:

Las tarjetas de crédito o débito requieren también su propia tutela frente a la falsificación, a cuyo fin se describe específicamente esa conducta referida a ellas o a los cheques de viaje. La comprobada frecuencia con la que estas actividades delictivas se descubren como propias de organizaciones criminales obliga al establecimiento de las correspondientes previsiones represoras. La tutela penal se extiende a su vez al tráfico con esos instrumentos falsos y a su uso y tenencia en condiciones que permitan inferir su destino al tráfico, aunque no se haya intervenido en la falsificación.

Actualmente, el delito de falsificación de instrumentos de pago se encuentra tipificado en el artículo 399 bis, relativo a la falsificación de tarjetas de crédito y débito y cheques de viaje, incluido en la sección 4 del capítulo II del CP, que penaliza las falsificaciones documentales. El precepto castiga a quienes alteren, copien, reproduzcan, o de cualquier otro modo falsifiquen tarjetas de crédito o débito o cheques de viaje. La tenencia y el uso de estos instrumentos a sabiendas de la falsedad también es objeto de sanción penal. Si bien esta modificación es elogiable, el tipo penal ahora es más restrictivo que el original en lo que se refiere al tipo de instrumento de pago aplicable, ya que sólo se incluyen las tarjetas de crédito, débito y cheques de viajero. La mención a las demás tarjetas que pueden utilizarse como medios de pago desaparece del CP, por lo tanto no se configuraría el delito en el caso de los monederos electrónicos y los otros instrumentos de pago, tales como los cheques electrónicos.

Sobre la tipificación de este delito, consideramos necesario destacar que ya existe jurisprudencia del Tribunal Supremo español donde se condena a los autores materiales de la falsificación de tarjetas bajo el delito de falsificación de tarjetas de crédito, débito y cheques de viaje.¹³

5. Apreciaciones penales sobre el phishing y el pharming

Desde la óptica del derecho penal español, las conductas constitutivas de phishing y pharming se encuadran en el delito previsto en el artículo 248.2 del CP, donde se tipifica la estafa informática. En lo que se refiere al phishing, si bien la mayoría de la jurisprudencia lo ha calificado como tal, un sector de la doctrina estima que en estos casos se trata de una estafa clásica, que se produce al engañar al titular de la cuenta defraudada mediante el envío del mensaje.¹⁴

Tanto en el phishing como en el pharming existe una manipulación informática que se lleva a cabo a través de las acciones encaminadas a duplicar la página Web de la entidad financiera, con la finalidad de captar los datos del instrumento de pago y obtener una transferencia patrimonial no consentida en perjuicio de un tercero, supuesto contemplado en el artículo 248.1 del CP español.

A pesar de su caracterización como estafa, la tipificación de estos delitos no se agota en esta modalidad, ya que se trata de todo un complejo delictivo¹⁵ que exige la realización de diversos pasos hasta llegar a la transferencia no consentida del dinero. En ambos casos, el modus operandi exige la elaboración de una página Web falsa, cuya acción en el marco del CP español se encuadra en el delito de falsedad documental, tipificado en el artículo 392, gracias al concepto amplio de documento incluido en el artículo 26 del citado texto legal.¹⁶

En lo que a la captación de datos se refiere, se configura el delito de apoderamiento de datos en soportes informáticos, previsto en el artículo 197.2 del CP. En la mayoría de los casos, estos delitos son cometidos por organizaciones criminales, situación que incrementa la pena, de acuerdo con las previsiones del artículo 197.2, añadido en la reforma del CP de 2010.

Para finalizar, consideramos necesario mencionar que en el ámbito civil, la responsabilidad por los ataques de phishing se atribuye a la entidad bancaria, a quien corresponde la implantación de los correspondientes sistemas de seguridad para la prevención de este tipo de fraudes, y por lo tanto debe resarcir las pérdidas patrimoniales sufridas por sus clientes.¹⁷

6. La falsificación documental y los instrumentos de pago electrónicos

En relación con la falsificación de otros medios de pago (el dinero de red, cheques, letras de cambio electrónicas) y cualquier otro documento en soporte electrónico, quedaría por determinar si es posible subsumir la conducta delictiva en el tipo penal que sanciona la falsificación de documentos privados, en el entendido de que el CP adopta un concepto amplio de documento, donde se incluyen los documentos electrónicos y, en su consideración de tal, también podrían incluirse estos instrumentos de pago.

De acuerdo con las previsiones del artículo 26, a los efectos del CP, "[...] se considera documento todo soporte material que exprese o incorpore datos, hechos o narraciones con eficacia probatoria o cualquier otro tipo de relevancia jurídica". En esta definición entra la noción del documento electrónico, en el entendido de que la norma se refiere a todo "soporte material"; la inclusión de firma electrónica en el precepto es factible en la expresión "incorporación de datos", toda vez que ésta se define como un conjunto de datos incorporados al documento electrónico con la finalidad de garantizar su autenticidad.¹⁸

La falsificación de documentos mercantiles se encuentra prevista en el artículo 392 del CP, que permite aplicar a la falsificación de este tipo de documentos los supuestos contemplados referidos a la falsificación de documentos públicos. El precepto castiga al particular que cometiere, en un documento mercantil, alguna de las falsedades descritas en los tres primeros números del apartado 1 del artículo 390 (alteración, simulación o suposición de intervención de personas).

La falsificación de los documentos electrónicos tendría lugar en el supuesto de alteración de la información contenida en el documento o de la firma asociada (en caso de que esto fuera factible), circunstancia de aplicación a los cheques electrónicos o al dinero generado a través de un programa de ordenador. La falta de generalización en el uso de estos instrumentos no nos permite analizar consideraciones jurisprudenciales al respecto; sin embargo, consideramos conveniente recordar que antes de que se incluyeran las tarjetas en el supuesto de falsificación de moneda, se otorgaba a las tarjetas bancarias el rango de documento mercantil, situación que condujo a aplicar a los casos de falsificación y manipulación de tarjetas los artículos relativos a las falsedades documentales, situación que fue considerada por el propio Tribunal Supremo español en 1991.¹⁹

Notas

¹ Tal es el caso de la legislación chilena y venezolana. Chile fue el primer país latinoamericano en sancionar una ley contra delitos informáticos. La Ley 19223, relativa a delitos informáticos, fue publicada en el Diario Oficial el 7 de junio de 1993, disponible en http://red.gov.cl/ley19223.htm [consulta: 15. Agosto. 2011]         [ Links ]. En Venezuela, la Ley Especial contra los Delitos Informáticos fue sancionada en 2001 por la Asamblea Nacional, y publicada en la Gaceta Oficial el 30 de octubre de 2001, disponible en http://www.tsj.gov.ve/legislacion/ledi.htm [consulta: 15. Agosto. 2011]. Argentina es otro de los países que ha optado por incluir en el Código Penal los delitos informáticos, gracias a la promulgación en 2008 de la Ley 26.388 de modificación del Código Penal, disponible en http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm [consulta: 15. Agosto. 2011]         [ Links ]. Colombia también modificó su Código Penal, en 2009, por medio de la aprobación de la Ley 1273, en cuya virtud se crea un nuevo bien jurídico tutelado —denominado "de la protección de la información y de los datos"— y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones; disponible en http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html [consulta: 15. Agosto. 2011].

² RODRÍGUEZ, GONZALO et al. "Derecho penal e Internet", en CREMADES, JAVIER et al. (coord.). Régimen jurídico de Internet, La Ley, Madrid, 2002, p. 261.         [ Links ]

³ DAVARA RODRÍGUEZ, MIGUEL ÁNGEL. Manual de derecho informático, Aranzadi, Pamplona, 1997, p. 288.         [ Links ]

⁴ RODRÍGUEZ, GONZALO et al. "Derecho penal e Internet", cit., p. 260.

⁵ Ibidem, p. 290.

⁶ Entre las conductas que tienen lugar mediante el uso de la tarjeta como instrumento de comisión del delito se incluyen la extracción de dinero en cajeros automáticos, la adquisición ilegítima de bienes o servicios a través de los tradicionales terminales de puntos de venta, y el pago no consentido en redes informáticas. En opinión de la doctrina, estas conductas se reconducen a la categoría más amplia de "uso ilícito de tarjetas o de los datos contenidos en ellas". Véase GARCÍA NOGUERA, ISABEL. "La reforma penal de la falsificación, tráfico y uso ilícito de las tarjetas bancarias", III Congreso Internet, Derecho y Política (IDP). Nuevas perspectivas [monográfico en línea]. IDP. Revista de Internet, Derecho y Política, No. 5, UOC, 2007. Disponible en: http://www.uoc.edu/idp/5/dt/esp/garcia.pdf [consulta: 5. Agosto. 2011]         [ Links ].

⁷ Una de las mayores estafas en este ámbito fue detectada en 2005, cuando un hacker accedió al sistema informático de la plataforma Card System, que alojaba información sobre más de 40 millones de cuentas de tarjetas de Visa, MasterCard y otras empresas. Véase http://money.cnn.com/2005/06/17/news/master_card/ [consulta: 24. Agosto. 2011].

⁸ Véase, por todas, la sentencia del Tribunal Supremo 14/2007 de la Sala II de lo Penal, del 25 de enero de 2007, disponible on-line, en: http://sentencias.juridicas.com/docs/00263332.html [consulta: 10. Mayo. 2011].

⁹ A tal efecto, cabe citar la sentencia del Tribunal Supremo español del 3 de mayo de 2000, donde se advierte la imposibilidad de calificar como estafa el pago efectuado con una tarjeta ajena mediante la exhibición del documento de identidad del mismo sujeto que realizó la compra. En este caso, el Tribunal determina que no puede hablarse de engaño porque una actuación diligente del vendedor en sus deberes de verificación y comprobación hubiera permitido constatar que los datos del documento de identidad presentado en el momento del pago no se correspondían con los del verdadero titular de la tarjeta, lo cual hubiera impedido la transacción. Véase STS, Sala II de lo Penal, sentencia 738/2000, del 3 de mayo de 2000, disponible on-line, en: http://sentencias.juridicas.com [consulta: 10. Mayo. 2011].

¹⁰ ROMEO CASABONA, CARLOS MARÍA. Poder informático y seguridad jurídica, Fundesco, Madrid, 1987.         [ Links ]

¹¹ El texto de la sentencia y un comentario puede consultarse en VILLACORTA HERNÁNDEZ, MIGUEL. "Comentarios a la sentencia sobre la compra por Internet mediante tarjeta de crédito ajena", en Revista del CES Felipe II, No. 12, 2010, disponible en: http://www.cesfelipesegundo.com/revista/articulos2010/06.pdf [consulta: 11. Agosto. 2011]         [ Links ].

¹² Véase MATA Y MARTÍN, RICARDO. "Medios electrónicos de pago y delitos de estafa", en MATA Y MARTÍN, RICARDO y JAVATO MARTÍN, ANTONIO. Los medios electrónicos de pago. Problemas jurídicos, Comares, Granada, 2007, colección Derecho de la Sociedad de la Información, núm. 12, p. 321.         [ Links ]

¹⁴ VELASCO NUÑEZ, ELOY. "Estafa informática y banda organizada. Phishing, pharming, smishing y «muleros»", en La Ley Penal. Revista de Derecho Penal, Procesal y Penitenciario, No. 49, mayo de 2008, pp. 19-29.         [ Links ]

¹⁵ VELASCO NUÑEZ, ELOY. "Fraudes informáticos en red: del phishing al pharming", en La Ley Penal. Revista de Derecho Penal, Procesal y Penitenciario, No. 37, abril de 2007, sección Estudios, pp. 57-66.         [ Links ]

¹⁶ Así lo ha expresado la doctrina española al indicar que el hecho de suplantar la identidad de una entidad bancaria (o de otra empresa) a través de la simulación de su página Web constituye un delito de falsedad en documento mercantil, "[...] en relación con el concepto penal de documento del artículo 26 del CP (La Ley 3996/1995), que obviamente engloba el que se vehiculiza mediante soporte electrónico o informático". Véase VELASCO NUÑEZ, ELOY. "Fraudes informáticos en red: del phishing al pharming", op. cit.

¹⁷ En la sentencia del Juzgado de 1ª instancia de Barcelona de 2006, el juez declara que "[...] es el banco quien debe asumir las consecuencias de la actuación fraudulenta de terceros mediante phishing, porque es la entidad la que ofrece el servicio defraudado, salvo que se demuestre conducta negligente grave por parte del cliente". La sentencia estima que existen medidas de seguridad que el banco no puso en marcha, y que puso en funcionamiento luego de denunciado el fraude, lo que "revela que él mismo [la entidad] ha considerado que el nivel de seguridad anterior no era el adecuado".

¹⁸ Cabe recordar que en España el concepto genérico de firma electrónica incluido en el artículo 3.1 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica se refiere al "[...] conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante".

¹⁹ Véase JAVATO MARTÍN, ANTONIO. "Análisis de la jurisprudencia penal en materia de medios electrónicos de pago", en MATA Y MARTÍN, RICARDO y JAVATO MARTÍN, ANTONIO. Los medios electrónicos de pago..., cit., p. 379.

Mariliana Rico Carrillo

Doctora en derecho mención cum laude por la Universidad Carlos III de Madrid, España. Profesora titular de Derecho Mercantil y Nuevas Tecnologías en la Universidad Católica del Táchira, Venezuela; profesora de máster y doctorado en Derecho Privado en la Universidad Carlos III de Madrid; profesora invitada en la Universidad Complutense de Madrid, España, Universidad de Chile, Universidad Internacional de la Rioja, España, Universidad de los Andes y Universidad Central de Venezuela. Árbitro especializado en Nuevas Tecnologías certificado por la Corte Suprema del Estado de la Florida de los Estados Unidos de América.