La Audiencia Provincial de Madrid, en su Sentencia Núm. 909/2017, de 3 de noviembre [1], mantiene que en puridad el tipo previsto en el artículo 264 del Código Penal se "refiere al daño, deterioro o borrado de datos, programas informáticos o documentos electrónicos ajenos". Esto es, la ajenidad no se refiere al equipo, si no a los datos en el mismo alojados.
Recalca que el objeto del delito previsto en el artículo 264 del Código Penal son los datos almacenados en un soporte digital y que "(N)o se trata por tanto de determinar la propiedad del soporte, sino de los datos, sin que pueda afirmarse, al menos en esta fase del procedimiento, que la titularidad del soporte suponga la de los datos en el mismo alojados".
De igual modo, la Audiencia Provincial de Madrid, en su Auto Núm. 200/2018, de 22 de marzo [2], considera que el artículo 264 del Código Penal regula los denominados delitos de daños informáticos, que, si bien reúne distintas conductas punibles, tienen un núcleo en común que atiende a la "integridad e indemnidad de los sistemas informáticos y de las telecomunicaciones".
Añade que el ámbito de aplicación del precepto es la protección que se refiere a la "disponibilidad, integridad, acceso, utilización y adecuado funcionamiento de los datos, sistemas informáticos y documentos electrónicos"; de tal suerte que,"quedará descartado de este ámbito, aquéllas conductas que ocasionen un daño sobre los elementos físicos del hardware que "no formen parte" de un sistema operativo apto para funcionar (pantallas de ordenador, teclados, ratones, altavoces, ...), cuyo tutela habría que buscarla en el tipo básico del artículo 263 del Código penal" .
De ahí que, por lo que se refiere al objeto material del delito de daños informáticos, el tribunal resalta que "cabe distinguir los daños sobre elementos lógicos (software), de los daños sobre componentes físicos (hardware) que contienen elementos lógicos del sistema (ficheros, archivos, datos, sistema informático o documento electrónico)"
La Sala considera que el primer apartado del artículo 264 sanciona los daños que se hayan producido sobre determinados elementos de un sistema informático ajeno, cuya acción delictiva puede realizarse de cualquier manera, bien, por un lado, violentándose sobre los elementos materiales del sistema o, por otro lado, a través de técnicas de acceso inconsentido y restringido al sistema informático concreto.
Asegura que la segunda previsión del artículo 264 sanciona dos tipos delictivos:
- aquellos daños que se produzcan en el sistema informático mediante los hechos típicos del apartado anterior (en referencia al art. 264.1), es decir, "borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesible" datos informáticos, cuando se obstaculice el funcionamiento del sistema, como consecuencia de ello;
- el sabotaje informático cometido mediante las conductas de "introducción" o "transmisión" de datos informáticos en un sistema informático.
La Audiencia Provincial de Madrid, en su Auto Núm. 287/2018, de 23 de marzo [3], destaca que "el resultado causado por medio de las conductas descritas en el art. 264-1 en los datos, programas o documentos informáticos debe ser grave", pues así lo especifica el propio precepto y lo reitera y 264 bis .
De ello resulta que la gravedad del resultado producido es un elemento requerido por el tipo penal.
Argumenta que esta diferenciación deberá hacerse caso por caso, atendiendo a diversos criterios que puedan aportar aquellos indicadores.
Considera, en cuanto a la conducta, que la gravedad del ataque podrá revestir las más diversas modalidades, desde las más elementales, consistentes simplemente en "borrar o dañar datos informáticos, programas o documentos", hasta otras mucho más elaboradas, como el "denominado ciberpunking que se diferencia a su vez del hacking (o intrusismo informático) o del cracking (o vulneración de los derechos de autor) y, entre las primeras se encuentran desde los ya conocidos troyanos u otros virus informáticos hasta las llamadas time bombs (bombas lógicas de acción retardada que destruyen ficheros) o el superzapping ( o uso no autorizado de un programa de utilidad para alterar o borrar los datos almacenados) o los cáncer rutine (ordenes que provocan su reproducción en otros programas) entre otros procedimientos idóneos de afectar directamente a los datos o programas informático o a los documentos electrónicos".
De ello resulta que la gravedad del resultado producido es un elemento requerido por el tipo penal.
El tribunal puntualiza que "(E)l resultado grave de los daños causados en los datos informáticos deberá ser estimado caso por caso atendiendo a criterios que permitan apreciar esa gravedad, criterios como puede ser la posibilidad o no de recuperar los datos informáticos, la pérdida definitiva de los mismos o la posibilidad de recuperación y, en este último caso, el coste económico de la reparación del daño causado, la complejidad técnica de los trabajos de recuperación, la duración de las tareas de recuperación, el valor del perjuicio causado al titular de los datos, bien como lucro cesante o como daño emergente".
En su Sentencia Núm. 201/2018, de 4 de mayo, la Audiencia Provincial de Lleida [4] mantiene que el art. 264 no delimita los criterios que permitan determinar la gravedad de la conducta ni del resultado, lo que plantea el problema a la hora de delimitar aquellos ataques que verdaderamente pueden resultar perturbadores o molestos pero penalmente insignificantes y distinguirlos de los que por su mayor gravedad revisten relevancia penal.
En su Sentencia Núm. 201/2018, de 4 de mayo, la Audiencia Provincial de Lleida [4] mantiene que el art. 264 no delimita los criterios que permitan determinar la gravedad de la conducta ni del resultado, lo que plantea el problema a la hora de delimitar aquellos ataques que verdaderamente pueden resultar perturbadores o molestos pero penalmente insignificantes y distinguirlos de los que por su mayor gravedad revisten relevancia penal.
Argumenta que esta diferenciación deberá hacerse caso por caso, atendiendo a diversos criterios que puedan aportar aquellos indicadores.
Considera, en cuanto a la conducta, que la gravedad del ataque podrá revestir las más diversas modalidades, desde las más elementales, consistentes simplemente en "borrar o dañar datos informáticos, programas o documentos", hasta otras mucho más elaboradas, como el "denominado ciberpunking que se diferencia a su vez del hacking (o intrusismo informático) o del cracking (o vulneración de los derechos de autor) y, entre las primeras se encuentran desde los ya conocidos troyanos u otros virus informáticos hasta las llamadas time bombs (bombas lógicas de acción retardada que destruyen ficheros) o el superzapping ( o uso no autorizado de un programa de utilidad para alterar o borrar los datos almacenados) o los cáncer rutine (ordenes que provocan su reproducción en otros programas) entre otros procedimientos idóneos de afectar directamente a los datos o programas informático o a los documentos electrónicos".
Puntualiza que, además de la gravedad de la conducta, también será preciso que el "resultado sea grave", para lo cual no solo podrá tenerse en cuenta el posible coste económico de la reparación o del perjuicio causado por la eliminación o inutilización sino que también podrán contemplarse otros indicadores como la posibilidad o no de recuperar los datos informáticos, o la pérdida definitiva de los mismos, o la posibilidad de recuperación y, en este caso, la complejidad técnica de los trabajos de restauración, la duración de las tareas de recuperación o su coste o el importe del perjuicio causado".
En cualquier caso, tanto la gravedad de la conducta como la gravedad del resultado deberán ser cumplidamente acreditadas por cuanto que tanto el uno como el otro constituyen elementos configuradores del delito de daños informáticos tipìficado en el reiterado art. 264.
Conviene indicar que, como explica el Auto Núm. 403/2017, de 23 de mayo, de la Audiencia Provincial de Tarragona [5], el delito de daños informáticos es un delito de resultado, de tal suerte que el mismo "no se comete desde donde se lanza el ataque sino donde se produce los daños, se destruye el sistema operativo o se contaminan los archivos".
En su Auto Núm. 90408/2018, de 5 de septiembre, la Audiencia Provincial de Vizcaya [6], declara que el tipo del delito de daños informáticos previsto en el art. 264 del C. Penal "se refiere a lo que se ha denominado el "sabotaje informático" y no a la obtención de información comercial a través de la apropiación de unos ordenadores, cuestión totalmente distinta y que en todo caso ha de encuadrarse dentro de una posible responsabilidad civil derivada del delito de apropiación".
Conviene indicar que, como explica el Auto Núm. 403/2017, de 23 de mayo, de la Audiencia Provincial de Tarragona [5], el delito de daños informáticos es un delito de resultado, de tal suerte que el mismo "no se comete desde donde se lanza el ataque sino donde se produce los daños, se destruye el sistema operativo o se contaminan los archivos".
En su Auto Núm. 90408/2018, de 5 de septiembre, la Audiencia Provincial de Vizcaya [6], declara que el tipo del delito de daños informáticos previsto en el art. 264 del C. Penal "se refiere a lo que se ha denominado el "sabotaje informático" y no a la obtención de información comercial a través de la apropiación de unos ordenadores, cuestión totalmente distinta y que en todo caso ha de encuadrarse dentro de una posible responsabilidad civil derivada del delito de apropiación".
El Juzgado de lo Penal Núm. 31 de Madrid, en su Sentencia Núm. 267/2019, de 4 de septiembre [7]; señala que en el artículo 264.1 del C. Penal se exige que el borrado se haga sin autorización, lo que está estrechamente relacionado con el elemento intencional de la conducta.
Asegura que "en el término tiene cabida la autorización del dueño de los datos borrados", pero "también es susceptible de asimilarse a una autorización legal".
Afirma que el Considerando 17 de la Directiva 2013/40/UE (inspiradora de la redacción vigente de los artículos 264 y siguientes del C. Penal), excluye la responsabilidad penal cuando se cumplen los criterios objetivos de la infracción, pero los actos se cometen sin propósito delictivo.
Añade que entre los ejemplos que incluía tras esa exclusión citaba los supuestos " ...de intervención autorizada o de protección de los sistemas de información... ".
La Sentencia Núm. 82/2020, de 8 de junio, de la Audiencia Provincial de Valladolid [8] explica que con la actual redacción del art. 264.1 del C. Penal se sancionan básicamente "aquellas conductas que por cualquier medio, sin autorización y de manera " grave" (respecto a la acción ejecutada), afectaran significativamente la funcionalidad de unos objetos materiales, desde la perspectiva jurídico-penal, tales como los " datos informáticos", " programas informáticos" o " documentos electrónicos", que sean " ajenos", cuando el resultado producido fuera " grave", a partir que el sujeto activo "borrase", "dañase", "deteriorase, "alterase", "suprimiese" o "hiciese inaccesibles" los mismos, en el sentido de la imposibilidad de operar con ellos".
De lo que se deriva -añade la Sentencia- que a través de esos elementos objetivos del concreto precepto se contiene un gran número de normas penales en blanco, con consecuente reenvío a otras normas extrapenales para complementar su tipicidad, con riesgo de vulnerar el principio de "reserva de ley", sin que para llegar al complemento de ese precepto deba acudirse a criterios de interpretación extensiva en contra del reo, o aplicando analógicamente otras normas in malam partem, por resultar prohibidas a tenor de lo establecido en el art. 4,1 del C. Penal.
Agrega que por "datos informáticos" puede entenderse, a partir del tenor literal del art. 2º b) de la precitada Directiva 2013/40/UE, "...toda representación de hechos, informaciones o conceptos de una forma que permite sutratamiento por un sistema de información, incluidos los programas informáticos...", que sirven para hacer que dicho sistema de información realice una función.
El concepto de "programa informático" recoge en la precitada Directiva 2013/40/UE, "... como un conjunto de instrucciones que, una vez ejecutadas, realizan una o varias tareas en un ordenador o sistema, sirviendo para que el sistema de información realice su función...", así como en los arts. 95 y ss del Texto Refundido de la Ley de Propiedad Intelectual (RD 1/1.996, de 12-4), el cual regula el derecho de autor sobre referidos programas, como una obra de creación intelectual, entendiéndose así y también literalmente, "...toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático, para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación...".
Recalca que para su punición se precisa que el programa informático sea "malicioso", en el sentido que esté diseñado para infiltrarse, obtener información y/o dañar un dispositivo o sistema de información, sin el consentimiento de su propietario.
En este sentido, la Circular de la Fiscalía General del Estado Núm. 3/2017, respecto (entre otros) a los delitos de daños informáticos, se remite al Instituto Nacional de Ciberseguridad, considerando este literalmente "... que el software malicioso (malware) es una amenaza que utiliza múltiples técnicas y vías de entrada, como páginas web, correo electrónico, mensajería instantánea, dispositivos de almacenamiento externos como memorias USB, discos duros externos, Cds, Dvds, redes P2P, etc....".
En este sentido, la Circular de la Fiscalía General del Estado Núm. 3/2017, respecto (entre otros) a los delitos de daños informáticos, se remite al Instituto Nacional de Ciberseguridad, considerando este literalmente "... que el software malicioso (malware) es una amenaza que utiliza múltiples técnicas y vías de entrada, como páginas web, correo electrónico, mensajería instantánea, dispositivos de almacenamiento externos como memorias USB, discos duros externos, Cds, Dvds, redes P2P, etc....".
En lo que atañe al concepto de "documento electrónico" expone que viene recogido en la referida Decisión Marco 2005/222/JAI, consistiendo en "...toda representación de hechos, informaciones o conceptos, expresados bajo una forma que se preste a tratamiento informático, incluido un programa destinado a hacer que un sistema informático ejecute una función...", así como en el art. 3, 5 de la Ley 59/2003, de 19 de abril, sobre firma electrónica, como "...la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico, según un formato determinado y susceptible de identificación y tratamiento diferenciado...".
La Sala analiza detenidamente la agravación prevista en el art. 264.2 expresando lo siguiente:
"A partir del actual contenido del art. 264.2 (...) se agrava notablemente la pena y además se introduce la de multa, con el problema añadido de la introducción de más elementos de reenvío a y la necesidad de acudir a otros preceptos, (...), en los supuestos en que los daños fueron de " especial gravedad" ( art. 264, 2, 2ª CP), para cuya concreción resulta factible poner en relación ese concepto con lo establecido en los arts. 235,3; 250,4 y 5 CP, referidos también a otros delitos patrimoniales como el hurto o la estafa, cifrando en 50.000 € el tope mínimo para que a partir de esa cifra se deba aplicar esta agravante específica.
"A partir del actual contenido del art. 264.2 (...) se agrava notablemente la pena y además se introduce la de multa, con el problema añadido de la introducción de más elementos de reenvío a y la necesidad de acudir a otros preceptos, (...), en los supuestos en que los daños fueron de " especial gravedad" ( art. 264, 2, 2ª CP), para cuya concreción resulta factible poner en relación ese concepto con lo establecido en los arts. 235,3; 250,4 y 5 CP, referidos también a otros delitos patrimoniales como el hurto o la estafa, cifrando en 50.000 € el tope mínimo para que a partir de esa cifra se deba aplicar esta agravante específica.
Incluso más ampliamente, como criterio de valoración y para concretar este concepto, la propia CFGE mantiene el criterio seguido desde la SAP <23ª> de Madrid (FD Primero) fechada el 10-1-2.017, para la cual debe atenderse a criterios tales como "...la posibilidad o no de recuperar los datos informáticos, la pérdida definitiva de los mismos o la posibilidad de su recuperación y, en este último caso, el coste económico de la reparación del daño causado, la complejidad técnica de los trabajos de recuperación, el valor del perjuicio causado al titular de los datos, bien como lucro cesante o daño emergente...".
O haya "... afectado a un número elevado de sistemas informáticos...", debiendo acudirse nuevamente para una mayor concreción de este concepto a la mencionada Directiva 2013/40/UE y particularmente a su considerando 13, el cual manifiesta literalmente que "... es conveniente establecer sanciones más severas cuando el ciberataque se realiza a gran escala y afecta a un número importante de sistemas de información, en particular cuando el ataque tiene por objeto crear una red infectada o si el ciberataque causa un daño grave, incluido cuando se lleva a cabo a través de una red infectada...".
Considerando literalmente mencionada CFGE 3/17, que la razón de ser de esta agravación se encuentra en "...el especial riesgo que generan aquellos ataques en los que se ven afectados un número considerable de ordenadores que a su vez, y tras ser infectados, pueden servir para poder llevar a efecto un ataque masivo y coordinado...por ello, y con independencia de que la cantidad de sistemas afectados pueda ser un factor a tener en cuenta...la circunstancia recogida en el segundo inciso habría de aplicarse más específicamente en los supuestos en los que se vieran afectados un número tal de sistemas, que pudieran generar el riesgo de un ataque masivo de dichas características...".
Que se cometieran, conforme al art. 264, 2, 5ª CP, utilizando alguno de los medios referidos en el posterior art. 264 ter CP. Para la clarificación de los conceptos contenidos en él y concretamente en la letra a), conviene también acudir al considerando 16 de aludida Directiva, en la que se manifiesta literalmente que "... dadas las diferentes formas en que pueden realizarse los ataques y la rápida evolución de los programas y equipos informáticos, la presente Directiva se refiere a los «instrumentos» que pueden utilizarse para cometer las infracciones enumeradas...Dichos instrumentos pueden ser programas informáticos maliciosos, incluidos los que permiten crear redes infectadas, que se utilizan para cometer ciberataques. Aun cuando uno de estos instrumentos sea adecuado o incluso especialmente adecuado para llevar a cabo las infracciones enumeradas en la presente Directiva, es posible que dicho instrumento fuera creado con fines legítimos. Teniendo en cuenta la necesidad de evitar la tipificación penal cuando estos instrumentos sean creados y comercializados con fines legítimos, como probar la fiabilidad de los productos de la tecnología de la información o la seguridad de los sistemas de información, además del requisito de intención general también debe cumplirse el requisito de que dichos instrumentos sean utilizados para cometer una o varias de las infracciones enumeradas en la presente Directiva...".
Por su parte la CFGE 3/17, en relación con los considerandos 13º y 16º de referida Directiva y con la posibilidad de aplicación de esta agravante específica, viene a matizar coherentemente la posibilidad de aplicar este subtipo agravado ( art. 264, 2, 5ª, en relación con el art. 264, ter CP), al considerar que la especial gravedad, en la utilización de programas maliciosos (malware), radica en que estos estén diseñados y/o adaptados para cometer estas conductas de manera masiva e indiscriminada, con la utilización de los objetos materiales que el art. 264, ter CP concreta.
Añadiendo también literalmente esa CFGE, que "...distinto será el supuesto en que las herramientas utilizadas sea programas informáticos maliciosos concebidos para efectuar ataques informáticos de carácter aislado o individualizado...o en un sistema de información perfectamente determinado. El empleo de estas herramientas...no tiene por qué estar vinculado a ataques informáticos plurales...los Sres. Fiscales deberán valorar con especial cautela la aplicación de este subtipo en estos últimos supuestos, restringiendo su apreciación a aquellos casos en los que el uso de estas claves o contraseñas implique efectivamente un incremento en el plus de antijuricidad de la conducta...".
El tribunal concluye que "resulta factible interpretar que, la sanción contenida en este concreto artículo 264 CP, se refiere a aquellas conductas que afectan más bien a objetos inmateriales, como son los "datos informáticos", "programas informáticos" y los "documentos electrónicos", aunque también se haga referencia en el art. 264, 2, 2ª CP a los "sistemas informáticos", pero en función de justificar la apreciación de una agravante específica, si los daños producidos hubieran afectado a un "elevado número de sistemas" y con potencialidad de generar un ataque masivo tras ser infectados".
La Sentencia explica que el actual art. 264 bis viene referido a "aquellas conductas que afectan a un objeto material concreto, como es un " sistema informático", a partir que sin estar autorizado y de manera " grave", respecto a la acción efectuada, "obstaculizara" o " interrumpiera" su funcionamiento, con lo cual se introdujo una especialidad respecto a la punición de estas conductas, alejándolas así del contenido del ámbito genérico de los daños".
Afirma que, en este precepto, que implica la voluntad en el sujeto activo de obtener un resultado concreto, se sanciona la "obstaculización" o " interrupción" de la normal actividad de un sistema informático " ajeno", de manera " grave" y a través de algunas de las conductas descritas en él.
Afirma que, en este precepto, que implica la voluntad en el sujeto activo de obtener un resultado concreto, se sanciona la "obstaculización" o " interrupción" de la normal actividad de un sistema informático " ajeno", de manera " grave" y a través de algunas de las conductas descritas en él.
Resalta que su objeto material es un " sistema informático", el cual puede ser definido con la aludida Directiva 2013/40/UE como "...todo aparato o grupos de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento...".
Subraya que también se puede considerar al sistema informático como el conjunto de elementos que hacen posible el tratamiento automático de la información, estando compuesto por:
- los elementos físicos de cualquier ordenador, que componen el hardware, constituido este por todos los aparatos electrónicos y mecánicos que realizan los cálculos o el manejo de la información, estando constituido (entre otros) por el microprocesador, que está alojado en la placa base, la memoria, el almacenamiento externo, pendrive, etc.
- los elementos lógicos, que componen el software, constituido este por las aplicaciones y datos con los que trabajan los elementos físicos del sistema, siendo definido el software por el DRAE como "...el conjunto de programas, instrucciones y reglas informáticas, para ejecutar ciertas tareas en una computadora...". Por tanto y dentro del software cabe incluir, ejemplificativamente, el sistema operativo, el firmware (o programa informático que controla los circuitos internos), las aplicaciones, las bases de datos o el driver (programa informático que permite al sistema operativo interactuar con sus periféricos), siendo este una pieza esencial del software y particularmente de su sistema operativo, para que funcionen adecuadamente (entre otros) la impresora, el escáner, las tarjetas gráficas, de sonido o red, la placa base, etc.
La Sala manifiesta que cabe, incluso, la posibilidad de incluir en ese concepto el elemento "humano", constituido no sólo por el usuario del sistema informático, también por las personas técnicas que, entre otros cometidos, elaboran las aplicaciones o subsanan sus deficiencias.
Entiende que son elementos objetivos, de esta modalidad de daños en ese objeto material, el que " sin estar autorizado" y de manera " grave", en el sentido que la acción afectara significativamente a la funcionalidad del sistema atacado, obstaculizara o " interrumpiera" durante algún tiempo el ordinario funcionamiento de un sistema informático ajeno, realizando algunas de las conductas referidas en el art. 264,1 como borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas informáticos o documentos electrónicos ajenos, esto es, cuando a través de las indicadas acciones el efecto que se pretende y produce afecta no sólo a los elementos materiales aislados (hardware) que integran el sistema, sino que también inciden en la misma operatividad funcional del sistema de información (software).
De acuerdo a la exposición de la Sala, para la concurrencia del art. 264 bis se precisa que la acción se efectúe " sin estar autorizado" y que sea "ajeno" el objeto material, en el sentido que el autor carezca de la disponibilidad respecto a los contenidos o el sistema sobre el que actúa, de modo y manera que, como así afirma aludida CFGE, "...sólo la actuación no necesitada de autorización sobre sistemas informáticos propios, respecto de los cuales sutitular tiene pleno control y disposición, quedarían al margende la aplicación de este precepto...".
Afirma que, "a partir del art. 264 bis 1 a), "se sancionan todas las acciones descritas en el precedente art. 264,1 como borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas informáticos o documentos electrónicos ajenos, (...), en el sentido que el efecto pretendido a través de esas acciones, que en definitiva se produce, afecte no sólo a los elementos aislados que integran el sistema, sino que también incida en la operatividad funcional del propio sistema de información".
Los Magistrados señalan que, a través del art. 264 bis 1 c) , también se sanciona el destruir, " dañar" o " inutilizar" un sistema informático.
Añaden que, a través del art. 264 bis 1 c) párrafo segundo, se incluye y se agrava la responsabilidad, si los hechos hubieran perjudicado de forma " relevante la actividad normal de una Administración pública", circunstancia esta que, como así resulta en el ámbito Penal, deberá acreditarse en cada supuesto por a quien corresponde, la acusación, pues la mayor o menor relevancia del perjuicio dependerá del tipo de actividad que la misma desarrolle, como de la entidad del organismo de que se trate.
Respecto al art. 264 bis, destacan, con cita de la precitada Circular de la Fiscalía General del Estado Núm. 3/2017, "...el legislador ha considerado notablemente más graves y peligrosas, porque así lo son efectivamente, las acciones dirigidas contra el sistema informático en su conjunto, que provocan su interrupción u obstaculización de forma grave su normal funcionamiento, respecto de aquellas otras que afectan exclusivamente a los datos, programas o documentos electrónicos, aún cuando tengan incidencia, al menos indirecta, en el sistema en que se integran, siempre que no impliquen una pérdida significativa en la funcionalidad del mismo...".
Finalmente, el tribunal expone que "a través del art. 264 ter CP se tipifica, como delito autónomo, lo que ordinariamente serían actos preparatorios para la comisión de un delito informático, con una redacción derivada del art. 7 de la ya aludida y transpuesta Directiva 2013/40/UE, al sancionar al que adquiera para su uso un " programa informático", con la intención de facilitar la comisión de actos ilícitos contra los datos, programas informáticos, documentos electrónicos o "sistemas informáticos" recogidos en los arts. 264 y 264 bis CP, ...".
Para finalizar creo conveniente traer a colación la reciente Sentencia Núm. 220/2020, de 22 mayo, del Tribunal Supremo [9], que insiste en que la "gravedad se adueña de la descripción del tipo básico y de los tipos agravados".
Entiende que no basta con que el resultado sea grave, lo ha de ser también la acción de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesible el sistema o los datos que éste incorpora.
Ahora bien, la Sala matiza que no es fácil modular la gravedad de una acción sin la referencia que proporciona su resultado que, al exigirlo el legislador, ha de ser también grave.
De ahí que la resolución razone que que se trata de una gravedad encadenada, acumulativa, que no siempre podrá afirmarse sin dificultad.
Se explica, a título de ejemplo, que "una manipulación limitada al simple pulsado de varias teclas y comandos puede propiciar daños informáticos de especial gravedad y que conduzcan a la inutilización del sistema.y que "(E)n tales casos, la levedad de la acción tendrá como punto de contraste la gravedad del resultado, suscitando fundadas dudas acerca de su tipicidad".
Para finalizar creo conveniente traer a colación la reciente Sentencia Núm. 220/2020, de 22 mayo, del Tribunal Supremo [9], que insiste en que la "gravedad se adueña de la descripción del tipo básico y de los tipos agravados".
Entiende que no basta con que el resultado sea grave, lo ha de ser también la acción de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesible el sistema o los datos que éste incorpora.
Ahora bien, la Sala matiza que no es fácil modular la gravedad de una acción sin la referencia que proporciona su resultado que, al exigirlo el legislador, ha de ser también grave.
De ahí que la resolución razone que que se trata de una gravedad encadenada, acumulativa, que no siempre podrá afirmarse sin dificultad.
Se explica, a título de ejemplo, que "una manipulación limitada al simple pulsado de varias teclas y comandos puede propiciar daños informáticos de especial gravedad y que conduzcan a la inutilización del sistema.y que "(E)n tales casos, la levedad de la acción tendrá como punto de contraste la gravedad del resultado, suscitando fundadas dudas acerca de su tipicidad".
Añade que el apartado 2 del mismo art. 264 construye un tipo agravado para el caso en que los daños hayan sido "de especial gravedad" y el apartado 5 del mismo precepto incluye un tipo hiperagravado si "... los hechos hubieran resultado de extrema gravedad".
La Sala aclara que los daños informáticos son atípicos cuando el resultado -en su descripción más básica- no es grave.
Puntualiza que se trata de un concepto normativo que habrá de ser fijado sin aferrarse a un criterio puramente cuantitativo que lleve, por ejemplo, a entender que esa gravedad, cuando no alcanza la frontera de los 400 euros, carece de relevancia típica.
Más bien se trata de una gravedad por el daño funcional que entorpece el sistema operativo.
En este sentido se resalta que la constatación de ese daño será evidente cuando sea imposible recuperar la plena operatividad del sistema, y que también podrá entenderse que se alcanza la gravedad típica -con inspiración en la ya citada Circular de la Fiscalía General del Estado núm. 3/2017- en supuestos en los que el retorno operativo del sistema exija grandes esfuerzos de dedicación técnica y económica.
A este respecto la Sala entiende, en el caso examinado, que "la gravedad ha sido justificada en el factum a partir de los siguientes datos: a) el acusado cambió la denominación de los datos y el icono; b) las carpetas y datos borrados pudieron ser recuperados tres días después por un informático; c) los datos se encontraban en la papelera de reciclaje, en donde habían sido ubicados por el sistema operativo tras su eliminación.
No resulta fácil, a partir de esa descripción, concluir la gravedad de una acción de borrado y de cambio de la denominación de los archivos que, una vez eliminados, quedaron incluidos en la papelera de reciclaje y fueron ahí recuperados. Ni los daños, ni la perturbación del sistema, ni su gravedad -todos ellos, elementos del tipo objetivo- se incluyen en el factum.
(...)
El borrado de 54 carpetas que incluyen 1074 archivos, que al ser eliminados se alojan en la papelera de reciclaje y sobre los que el acusado no vuelve a intentar ninguna acción destructiva, no alcanza la relevancia típica exigida por el art. 264.1 del CP.
La conclusión acerca de la atipicidad del hecho por su falta objetiva de gravedad, en los términos exigidos por el tipo, no necesita ver reforzada su lógica por otros datos añadidos. Y es que el relato histórico -en marcado contraste con el art. 264.1 del CP que exige que el autor obre "sin autorización"- refleja que "...de dichas carpetas el acusado era el único que disponía de permisos de administrador para poder borrarlas".
La sentencia de instancia -que tampoco incluye un pronunciamiento expreso de las hipotéticas responsabilidades civiles derivadas de la restauración del sistema- califica los hechos como un delito de tentativa de daños informáticos. Lo argumenta en los siguientes términos: "...el delito lo ha sido en grado de tentativa pues aunque el acusado realizó todos los actos necesarios para la consumación del delito y sin embargo, el resultado no se produjo por causas ajenas a su voluntad ya que el sistema operativo guardó los archivos automáticamente en la papelera de reciclaje, de donde pudieron ser rescatados por el informático de la oficina lo que evitó in extremis la pérdida definitiva de dichos archivos".
La Sala no puede aceptar ese razonamiento que, si bien se mira, elude la gravedad del resultado -presupuesto del tipo- degradando los hechos a un delito intentado. No existe obstáculo conceptual para apreciar un tipo de imperfecta ejecución, pero para ello es indispensable, como impone el art. 16.1 del CP, que el autor dé principio "...a la ejecución del delito directamente por hechos exteriores, practicando todos o parte de los actos que objetivamente deberían producir el resultado, y sin embargo éste no se produce por causas independientes de la voluntad del autor". En el presente caso, el resultado se produjo. L... hizo todo aquello que quería hacer. Y esa acción produjo el resultado asociable a su verdadera entidad, que no es otro que el traslado a la papelera de reciclaje de los archivos borrados y su eventual recuperación por todo usuario que así lo quisiera<".
Por todo lo anterior, la Sala concluye que los hechos enjuiciados son atípicos.
JURISPRUDENCIA REFERENCIADA
[1] Sentencia Núm. 909/2017, de 3 de noviembre, de la La Audiencia Provincial de Madrid; Núm. de Recurso. 1343/2016; Núm. de Resolución: 909/2017; Ponente: D. JACOBO VIGIL LEVI;
[2] Auto Núm. 200/2018, de 22 de marzo, de la Audiencia Provincial de Madrid; Núm. de Recurso. 1613/2017; Núm. de Resolución: 200/2018; Ponente: Dª. LOURDES CASADO LOPEZ;
[3] Auto Núm. 287/2018, de 23 de marzo, de la Audiencia Provincial de Madrid; Núm. de Recurso: 169/2018; Núm. de Resolución: 287/2018; Ponente: Dª. MARIA DOLORES FRESCO RODRIGUEZ;
[4] Sentencia Núm. 201/2018, de 4 de mayo, de la Audiencia Provincial de Lleida; Núm. de Recurso: 71/2018; Núm. de Resolución: 201/2018; Ponente: D. FRANCISCO SEGURA SANCHO;
[5] Auto Núm. 403/2017, de 23 de mayo, de la Audiencia Provincial de Tarragona; Núm. de Recurso: 3/2017; Núm. de Resolución: 403/2017; Ponente: Dª. MARIA JOANA VALLDEPEREZ MACHI;
[6] Auto Núm. 90408/2018, de 5 de septiembre, la Audiencia Provincial de Vizcaya; Núm. de Recurso: 38/2018; Núm. de Resolución: 90408/2018; Ponente: D. JUAN MANUEL IRURETAGOYENA SANZ;
[7] Sentencia Núm. 267/2019, de 4 de septiembre, del Juzgado de lo Penal Núm. 31 de Madrid; Núm. de Asunto: 80/2018; Núm. de Resolución 267/2019; Ponente: D. EDUARDO MUÑOZ DE BAENA SIMON;
[7] Sentencia Núm. 267/2019, de 4 de septiembre, del Juzgado de lo Penal Núm. 31 de Madrid; Núm. de Asunto: 80/2018; Núm. de Resolución 267/2019; Ponente: D. EDUARDO MUÑOZ DE BAENA SIMON;
[8] Sentencia Núm. 82/2020, de 8 de junio, de la Audiencia Provincial de Valladolid; Núm. de Recurso: 5/2020; Núm. de Resolución: 82/2020; Ponente: D. JUAN MIGUEL DONIS CARRACEDO;
[9] Sentencia Núm. 220/2020, de 22 mayo, del Tribunal Supremo [9] (Núm. de Recurso: 3019/2018; Núm. de Resolución: 220/2020; Ponente: D. MANUEL MARCHENA GOMEZ;
DERECHO DE IMAGEN
Ilustración obra de Noel Sickles.
JOSÉ MANUEL ESTÉBANEZ IZQUIERDO
JUEZ SUSTITUTO
No hay comentarios:
Publicar un comentario