- Comentario al documentoMantenemos la postura que hemos defendido a lo largo de este artículo en torno a las tres cuestiones principales aquí tratadas. En primer lugar, para considerarse una conducta manipulación informática no basta con el mero uso ilegítimo de un sistema informático, siendo necesaria una intervención o incidencia sobre el mismo, que altere su normal funcionamiento. Así pues, entendemos que, para poder subsumir en este tipo penal una conducta, es necesario que ésta pase por alterar un sistema informático, no siendo suficiente con la utilización ilícita del mismo.En segundo lugar, resulta indiscutible que el engaño es un elemento típico necesario de la estafa básica del artículo 248.1 del Código Penal y que, además, ese engaño ha de ser bastante y suficiente para inducir a error. Sin embargo, la presencia de este elemento en la estafa informática plantea una mayor problemática. Desde nuestro punto de vista, no sólo no debe exigirse el engaño como elemento típico en este delito, sino que, además, resulta irrelevante la presencia o no del mismo en el caso de la estafa informática, puesto que, además de no mencionarlo el tipo, el engaño no tiene cabida en el núcleo esencial de la conducta, esto es, en la manipulación informática, la intervención o incidencia sobre el sistema informático.En tercer lugar, cabe referirse al elemento de la transferencia no consentida de cualquier activo patrimonial. Tanto en el delito de estafa tradicional como en la modalidad informática, se produce un desplazamiento patrimonial del sujeto pasivo al sujeto activo. La diferencia radica, básicamente, en quién realiza esa transferencia patrimonial. Así, en el caso de la estafa clásica, el sujeto engañado da su consentimiento, puesto que es él precisamente quien lleva a cabo el acto de disposición patrimonial, si bien, lógicamente, se trata de un consentimiento viciado, como consecuencia del engaño y del error. Por tanto, en la estafa tradicional, la cosa se entrega voluntariamente, pero se recibe ilícitamente.Por el contrario, en la estafa informática no se da de ninguna manera ese consentimiento, pues no es la víctima quien realiza el acto de disposición patrimonial, sino que es el sujeto activo el que, sin consentimiento del titular, consigue una transferencia patrimonial. La consecución de esta transferencia debe responder, necesariamente, a la realización de la conducta típica, que, como ya hemos expuesto, puede darse de tres formas distintas. En este sentido, la transferencia patrimonial debe ser conseguida por el autor del delito de forma automática, y como consecuencia directa de la «obstaculización o interferencia indebida en el funcionamiento de un sistema informático»; la «introducción, alteración, borrado, transmisión o supresión indebida de datos informáticos»; o la «manipulación informática o artificio semejante». I. Acciones típicas de la estafa informática
De la literalidad del artículo 249.1 a) del Código Penal (LA LEY 3996/1995), podemos extraer que existen tres conductas que pueden originar el delito de estafa informática. Así pues, en lo referente al medio comisivo, el engaño que se exige en la estafa tradicional se sustituye, en la modalidad informática, por tres posibles conductas o acciones típicas, enunciadas en el artículo 249.1 a) de nuestro Código Penal (LA LEY 3996/1995). Así, la conducta típica del delito de estafa informática puede consistir en «obstaculizar o interferir indebidamente en el funcionamiento de un sistema de información» o en «introducir, alterar, borrar, transmitir o suprimir indebidamente datos informáticos», o, también, en «valerse de cualquier otra manipulación informática o artificio semejante».
No resulta baladí analizar el contenido que abarca la expresión «cualquier otra manipulación informática o artificio semejante». En palabras de González Cussac, la manipulación informática se refiere fundamentalmente a «una alteración o modificación de los datos, que puede consistir en su supresión, en la introducción de nuevos datos falsos, en su modificación dentro del programa, en colocar datos en distinto momento o lugar, o valorar las instrucciones de elaboración, etc.» (1) . La manipulación informática consiste, por tanto, en cualquier intervención en un sistema informático que provoque una alteración en su funcionamiento. Entiende este autor que en esta expresión se incluye «toda manipulación operada tanto sobre ficheros o soportes informáticos, electrónicos o telemáticos» (2) .
En este sentido, desde nuestro punto de vista, resulta indudable que la estafa informática sólo cabe cuando se interviene en el normal funcionamiento de un sistema informático, no bastando, pues, la mera utilización de un medio informático para cometer una estafa. Sin embargo, pese a la claridad en este aspecto del legislador, ya desde antes de la última reforma del precepto regulador de la estafa informática, parte de la doctrina y la jurisprudencia solían subsumir en este tipo penal aquellas conductas engañosas que implicaran un uso incorrecto de un sistema o medio informático (3) . En esta línea, cabe destacar la sentencia de la Audiencia Provincial de Madrid 14912/2021, de 10 de diciembre (4) , cuyo supuesto de hecho es el siguiente. Los acusados envían un correo electrónico a una empresa, simulando ser la mercantil proveedora de aquella. En ese correo electrónico, se adjuntaba una factura donde figuraba el IBAN en el que debía hacerse el pago, junto con el mensaje de que debía procederse al mismo. En ese momento, la empresa receptora del correo electrónico tenía pendiente de abonar dos facturas a su proveedora, motivo por el cual el engaño era idóneo para inducir a error. Así pues, como consecuencia de ese engaño, la empresa realiza una transferencia a la cuenta bancaria que constaba en el correo, pagando así la primera de las dos facturas cuyo pago estaba pendiente.
Frente a esos hechos, la Audiencia Provincial de Madrid (5) expone, por un lado, que el engaño «no es un elemento básico ni de imprescindible presencia» (6) en la estafa informática y que, en este delito, «el acecho a patrimonios ajenos […] actúa con automatismo en perjuicio de tercero, precisamente porque existe la manipulación informática y por ello no se exige engaño personal» (7) . Sin embargo, por otro lado, los hechos son calificados por la Audiencia Provincial de Madrid como un delito de estafa informática, afirmando que «en este supuesto […] consta debidamente probado que se canaliza a una empresa un engaño a través de comunicación informática (correo electrónico), se suplanta la identidad del acreedor y se modifican los datos de destino de la cuenta corriente donde debía realizarse un pago que respondía a una operación debida a otra persona jurídica» (8) .
Desde nuestro punto de vista, estos hechos son constitutivos, en su caso, de una estafa básica, no debiendo ser subsumidos en el tipo delictivo de la estafa informática. Como puede extraerse de los hechos probados, en este caso no se da una intervención o manipulación sobre un sistema informático, como exige el tipo, sino que el medio informático únicamente está presente en estos hechos como medio que hace posible el engaño. Así pues, la transferencia patrimonial sí es consentida en este caso, pero se trata de un consentimiento viciado por el engaño y, por tanto, no válido.
A este respecto, el Alto Tribunal, en su sentencia 369/2007, de 9 de mayo (LA LEY 23131/2007), hace referencia a la regulación alemana del fraude informático (9) . Según la literalidad del artículo 263 a) del Código Penal alemán (STGB), será castigado «El que, con la intención de obtener un beneficio patrimonial ilícito para sí o para un tercero, lesiona el patrimonio de otro interfiriendo en el resultado de un tratamiento de datos, mediante una estructuración incorrecta del programa, la utilización incorrecta o incompleta de datos, la utilización de datos sin autorización, o la intervención de cualquier otro modo no autorizado en el proceso». Así, vemos cómo el Código Penal alemán contempla, entre las conductas típicas del fraude informático, no sólo las manipulaciones de sistemas informáticos propiamente dichas, sino también diferentes conductas consistentes en la intervención ilegítima del sujeto activo en procesos informatizados (10) , como, por ejemplo, la utilización no consentida de tarjetas de crédito en los cajeros automáticos.
No en vano, sostiene nuestro Tribunal Supremo que el legislador alemán «pretende solucionar el problema de la obtención de dinero de los cajeros automáticos, previa sustracción de la tarjeta de otro, tipificando como supuesto de estafa una especie de intrusismo informático esto es, la utilización no autorizada de datos (sinbefugte verwendung)» (11) . Este caso ha sido, precisamente, uno de los más llamativos en nuestra jurisprudencia, en torno a la problemática de la subsunción o no de este tipo de supuestos en el delito de estafa informática (12) . Sin embargo, con la reforma de nuestro Código Penal, operada por la Ley Orgánica 5/2010, de 22 de junio (LA LEY 13038/2010), el legislador introdujo en el anterior artículo 248.2 c) un tipo penal que recogía este tipo de conductas (13) , quedando por tanto este aspecto del problema aparentemente zanjado. A nuestro modo de ver, el legislador español ha pretendido, igual que se puso de manifiesto en el caso alemán, solucionar el problema que venía dándose en la práctica, de determinados hechos que, sin encajar verdaderamente en el tipo de la estafa informática, eran subsumidos en él (14) .
No obstante, a pesar de que este tipo de supuestos (15) , hasta ahora calificados por la doctrina como «artificio semejante», pueden hoy castigarse por la vía del artículo 249.1 b), se plantea la duda de qué sucederá en aquellas situaciones en las que media engaño a través de la utilización, que no manipulación, de un medio o sistema informático, y en las que es el engañado el que realiza la transferencia, sin darse una utilización de la tarjeta por parte del sujeto activo. Supongamos, por ejemplo, un caso en el que el engaño se lleva a cabo a través de correo electrónico o de aplicaciones de compraventa online entre particulares, para conseguir una transferencia patrimonial efectuada por el engañado a favor del sujeto activo.
Desde nuestro punto de vista, no cabe duda de que este tipo de supuestos deben castigarse por la vía del artículo 248 y no por la del 249.1 a), puesto que, en este último, la transferencia patrimonial no se lleva a cabo por el sujeto engañado, sino que debe actuar con automaticidad, como consecuencia de la manipulación informática. Sin embargo, nos encontramos en la jurisprudencia con calificaciones como estafas informáticas de este tipo de supuestos. En este sentido, puede verse la ya mencionada sentencia de la Audiencia Provincial de Madrid 14912/2021, de 10 de diciembre (16) .
Asimismo, cabe destacar la sentencia del Tribunal Supremo 137/2020 (LA LEY 40316/2020), de 8 de mayo, en la que el Alto Tribunal entiende que «el uso de la cartilla sin autorización alguna del titular de la cuenta y de modo fraudulento» puede ser considerado «artificio semejante». En este supuesto, el Tribunal Supremo concluye que «en definitiva, identificarse ante el sistema informático mendazmente, introducir datos en el sistema que no se corresponden con la realidad, ha de ser considerado bajo la conducta de manipulación informática» (17) . Sin embargo, desde nuestro punto de vista, esta conducta, atendidas las diferentes circunstancias que rodean el caso, podría tener cabida en el tipo del artículo 249.1 b) (18) , pero no en la estafa cometida por medios informáticos (19) . El motivo de ello es que, a nuestro juicio, no se trata de una manipulación informática ni de un artificio semejante, entendiendo por tales una intervención que necesariamente «implique una «incidencia sobre el sistema», siendo insuficiente el mero uso ilegítimo de un sistema informático» (20) .
En línea con esta postura adoptada por el Alto Tribunal, cabe advertir que, como pone de manifiesto González Cussac, «sobre la cuestión de cuáles son los artificios semejantes, debe ser determinada por la aptitud del medio informático empleado para producir el daño patrimonial […]» (21) . A este respecto, la jurisprudencia entiende que «en este sentido es equivalente, a los efectos del contenido de la ilicitud, que el autor modifique materialmente el programa informático indebidamente o que lo utilice sin la debida autorización o en forma contraria al deber ser» (22) .
Sin embargo, en relación con lo expuesto, los autores Pastor Muñoz y Coca Vila (23) , cuya postura compartimos, afirman que consideran «inadmisible afirmar que el «uso incorrecto» o, mejor, «uso indebido» era una «manipulación informática». Sin embargo, es cierto que, tras la nueva reforma de este delito, operada por la Ley Orgánica 14/2022, de 22 de diciembre (LA LEY 26573/2022), se han ampliado los medios comisivos del delito de estafa informática y, además, el abanico de conductas típicas ahora contempladas en el artículo 249 es también más amplio. Ante esta nueva situación, en la que las conductas típicas relacionadas con diferentes modalidades de fraude informático son más y más precisas, nos preguntamos si esta nueva redacción facilita la subsunción en el tipo penal de la estafa informática el simple uso ilícito de un sistema informático. En este sentido, siguiendo a Pastor Muñoz y Coca Vila, desde nuestra perspectiva también consideramos que «no hay que descartar que la referencia del artículo 249.1 a) CP (LA LEY 3996/1995) a la «introducción» y la «transmisión» indebida de datos se empleen como punto de apoyo para subsumir el «mero uso ilegítimo» de un sistema, sin alterarlo» (24) .
Sin embargo, desde aquí compartimos la tesis defendida por estos autores, según la cual, la nueva redacción del tipo penal continúa exigiendo una incidencia sobre el sistema informático, no bastando con la utilización ilegítima o ilícita del sistema. Pensemos, por ejemplo, en el supuesto de la utilización sin autorización ni consentimiento del titular de los datos de acceso a la banca online. De las tres conductas típicas recogidas en el artículo 249.1 a) del Código Penal (LA LEY 3996/1995), cabe descartar la de «obstaculizar o interferir indebidamente en el funcionamiento de un sistema de información» y la utilización de «cualquier otra manipulación informática o artificio semejante».
En este mismo sentido, resulta también de interés la sentencia del Tribunal Supremo 369/2007, de 9 de mayo (LA LEY 23131/2007), cuyo supuesto de hecho es el siguiente. Los acusados, con la intención de utilizar tarjetas de crédito ajenas, acudían a cajeros automáticos donde varias personas estaban realizando operaciones bancarias y, situándose a una distancia prudencial de ellas, las observaban, de forma que conseguían ver el número pin secreto de sus tarjetas de crédito, sin que los titulares pudieran verles a ellos. Posteriormente, distraían a la persona, de forma que podían sustituir su tarjeta de crédito por otra falsa, sin que la víctima se diera cuenta. Una vez se hacían con las tarjetas y los códigos pin, las utilizan para extraer dinero de los cajeros.
Frente a este supuesto, el Tribunal Supremo se plantea el siguiente dilema:
«Debemos plantearnos si este supuesto puede ser reconducible al tipo del art. 248.2 del nuestro CP (LA LEY 3996/1995), creado como consecuencia de la falta de tipicidad de los engaños a las máquinas y que requiere valerse «de alguna manipulación informática o artificio semejante» para conseguir una transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero, y que algunos autores rechazan argumentando que no es posible hablar en estos casos de manipulación, sin hacer perder a esta expresión su verdadero sentido, cuando la máquina es utilizada correctamente solo que por una persona no autorizada a intervenir en ella con la tarjeta de otro, y ello porque manipular el sistema informático se considera por este sector doctrina es algo más que actuar en él, equivale a la introducción de datos falsos o alteración de programas perturbando el funcionamiento debido del procesamiento, sin que resulte equivalente la acción de quien proporciona al ordenador datos correctos que son tratados adecuadamente por el programa, es decir, cuando el funcionamiento del software no sufre alteración, sino sólo la persona que no debe autorizarlo, no sería posible hablar de manipulación informática en el sentido del art. 248.2 CP (LA LEY 3996/1995)» (25) .
Así pues, en estos casos, la duda se centraría, como hemos dicho, en la posible subsunción de este tipo de conductas en la acción típica de «introducir, alterar, borrar, transmitir o suprimir indebidamente datos informáticos». La cuestión clave reside, pues, en si los datos de acceso a la banca online son considerados datos informáticos. Si así fuera, la introducción de los datos bancarios en la banca online sin consentimiento de su titular encajaría en esta conducta típica. Dada la reciente vigencia de la reforma, no existe aún jurisprudencia suficiente sobre esta cuestión, aunque es de esperar que esta duda se resuelva por los tribunales próximamente.
A nuestro modo de ver, la utilización sin consentimiento del titular de los datos de acceso a la banca online podría llegar a subsumirse, en su caso y si se dieran las circunstancias pertinentes, en esta conducta típica, siempre y cuando no fuera la víctima del delito quien realizara la disposición patrimonial (26) . Por tanto, lo que, a nuestro juicio, no encaja, bajo ninguna circunstancia, en ninguna de las tres conductas del artículo 249.1 a) es un supuesto en el que sea la víctima del delito quien realice la transmisión patrimonial, con independencia de la utilización o no de algún sistema informático. Pensemos, por ejemplo, en un estafador que, mediante el engaño y por medio de una aplicación de compraventa online, consigue que otra persona realice una transferencia bancaria a su favor. O, incluso, que, a pesar de haber conseguido los datos bancarios e introducirlos él mismo en la banca online, necesite de la aceptación del titular de la cuenta para que se haga efectiva la transferencia.
II. Engaño y error
Tras explicar las diferentes conductas constitutivas del delito de estafa informática, es preciso hacer mención de dos de los elementos esenciales contenidos en la estafa básica, en relación con su presencia o no en la conducta típica de la estafa informática. Estos elementos son el engaño y el error. La doctrina mayoritaria entiende que en la modalidad informática de la estafa no se exigen estos dos elementos (27) . Desde nuestro punto de vista, de la literalidad del precepto que recoge la estafa informática se desprende la inexistencia de engaño y de error en este tipo penal, por diferentes motivos. En primer lugar, por la ausencia de mención de estos elementos, teniendo en cuenta que sí se recogen de forma expresa en el artículo que regula la estafa básica. En segundo lugar, por ser incompatible con las conductas típicas recogidas por el legislador como constitutivas de este delito, puesto que, en palabras de González Cussac, «sencillamente no se puede ni engañar ni inducir a error a una máquina o computador» (28) .
Sobre la ausencia del elemento del engaño en la estafa informática se ha pronunciado en diversas ocasiones el Tribunal Supremo, afirmando que «[…] el engaño ya no es un elemento básico ni es de imprescindible presencia
Sobre la ausencia del elemento del engaño en la estafa informática se ha pronunciado en diversas ocasiones el Tribunal Supremo, afirmando que «[…] el engaño ya no es un elemento básico ni es de imprescindible presencia. Se ha visto sustituido en esa función por los artificios prohibidos» (29) . En este sentido, el Alto Tribunal entiende que «no es precisa la concurrencia de engaño alguno por el estafador, porque el acecho a patrimonios ajenos realizados mediante manipulaciones informáticas actúa con automatismo en perjuicio de tercero, precisamente porque existe la manipulación informática y por ello no se exige el engaño personal» (30) .
Desde nuestro punto de vista, la cuestión no radica en si la presencia del engaño es o no imprescindible en la estafa informática, sino que simplemente el engaño no puede formar parte de los elementos típicos de ésta, por no tener cabida en ninguna de las tres modalidades de conducta típica contempladas. En este sentido, de igual forma que «no pueden ser castigadas a través del delito de estafa común todas aquellas conductas en las que falta un sujeto persona física que sufre el engaño» (31) , no parece oportuno castigar como delito de estafa informática aquellas conductas en las el acto de disposición patrimonial responda a un engaño, puesto que éste, estrictamente, sólo puede darse con respecto a una persona física y, en el caso de la estafa informática, todas las conductas contempladas recaen sobre una máquina o sistema informático.
En este sentido, y en relación con el error causado por el engaño, se ha pronunciado el Tribunal Superior de Justicia de Galicia, al afirmar que «el error que se provoca en el sujeto pasivo a consecuencia del engaño es elemento nuclear de la estafa, y tal error no puede predicarse en la existencia de la estafa informática, donde el desplazamiento patrimonial trae causa de la manipulación informática o de un artificio asimilable» (32) .
Sin embargo, y a pesar de las afirmaciones hechas por el Tribunal Supremo sobre esta cuestión, la polémica radica, fundamentalmente, en la calificación jurídica que realiza la jurisprudencia de determinados hechos. Así, en ocasiones, los Tribunales subsumen en el tipo del 249.1 a) determinados hechos que, desde nuestro punto de vista, no encajan en dicho precepto. Esto lleva a que la jurisprudencia exija, en determinados supuestos que considera constitutivos de un delito de estafa informática, el elemento del engaño, aun sin exigirse éste por parte del legislador. En este sentido, cabe mencionar los siguientes ejemplos.
El Tribunal Supremo, en su sentencia 332/2020, de 12 de febrero, afirma sobre la manipulación informática o el artificio semejante que «son éstos los que han de ser idóneos para conseguir esa transferencia inconsentida de un activo patrimonial, que integra el acto de disposición que provoca el enriquecimiento que el autor persigue» (33) . En nuestra opinión, de esta idea puede extraerse la tesis de que no concurre engaño en la estafa informática, pues la relación de causalidad ya no se da entre éste y el acto de disposición patrimonial, sino entre la manipulación informática o artificio semejante y la transferencia patrimonial. Sin embargo, en esa misma sentencia, el Alto Tribunal defiende que «en este caso hubo engaño personal para conseguir las llaves que permitieron al acusado el acceso a las claves informáticas. Estas operan como artilugio idóneo para conseguir el desplazamiento del dinero depositado en la cuenta de la víctima a otra titularidad del acusado, es decir, las que le facultaron a transferir el dinero inconsentidamente, como exige el tipo».
En este supuesto, el acusado consigue, mediante engaño, las llaves del apartamento de la víctima, y, en el apartamento, encuentra las claves y contraseñas de la tarjeta de crédito, que posteriormente utiliza para realizar una transferencia patrimonial a su favor. A nuestro modo de ver, resulta dudoso que estos hechos puedan ser calificados de estafa informática, al menos según la redacción entonces vigente (34) , puesto que la utilización no consentida de las claves informáticas no supone una «incidencia» o «manipulación» sobre el sistema informático, sino simplemente un uso ilegítimo del mismo. Así pues, a pesar de la utilización del medio informático y, con independencia de la concurrencia de engaño, no cabría, a nuestro juicio, calificar este supuesto de estafa informática.
Un caso parecido puede verse en la sentencia del Tribunal Supremo 3666/2018, de 26 de octubre. En ella, el Alto Tribunal califica de estafa informática un supuesto en el que la acusada consigue el número secreto de la cartilla del banco de un familiar al que solía acompañar al cajero a hacer diversas gestiones bancarias. La acusada, aprovechándose de las circunstancias de la víctima, de 91 años, que no sabía leer ni escribir y carecía de conocimientos para realizar operaciones bancarias, consigue el número secreto de la cartilla para poder operar en los cajeros automáticos, y realiza diversas transferencias desde la cuenta de la víctima a la suya propia.
El Tribunal Supremo, advirtiendo que no se da engaño en esta situación, afirma que «esa consecución del número pin […] no determina, por sí sola, desplazamiento patrimonial alguno» (35) . Asimismo, vemos en esta sentencia una clara intención del Alto Tribunal de equiparar o sustituir el elemento del engaño, propio de la estafa tradicional, por el de «artificio semejante», propio de la modalidad informática de estafa. En este sentido, apunta el Tribunal Supremo que la utilización indebida del número pin en el momento de consecución del dinero «aunque no sea equiparable a engaño desde una consideración psicológica intersubjetiva, integra el artificio que permite que los activos patrimoniales, en principio virtuales, se materialicen en físico desplazamiento patrimonial, a través de los billetes que expide el cajero, o que opere un virtual aunque efectivo desplazamiento […]».
Desde nuestro punto de vista, este supuesto no encaja correctamente en el tipo penal de la estafa informática, puesto que, una vez más, no se interviene en un sistema informático, sino que simplemente se realiza una acción ilícita por medio de un sistema informático (los cajeros automáticos), pero sin obstaculizarlo ni interferirlo, ni manipulándolo. No obstante, como ya hemos apuntado anteriormente, tras la última reforma de este tipo penal y la ampliación de conductas típicas recogidas en el artículo 249, se abre la puerta a considerar que el supuesto de hecho de este caso, así como los similares al mismo, puedan subsumirse en otro tipo penal, como, por ejemplo, el artículo 249.1 b) (36) . En cualquier caso, lo que, a nuestro modo de ver, resulta claro, es que esa conducta no puede integrarse en la expresión «manipulación informática o artificio semejante». Tampoco, en la nueva conducta de «obstaculizar o interferir indebidamente en el funcionamiento de un sistema».
No obstante, se plantea la duda, a nuestro juicio, de si conductas de este tipo cabrían en la nueva modalidad típica también constitutiva de estafa informática, consistente en la «introducción, alteración, borrado, transmisión o supresión indebida de datos informáticos». Es cierto que, a diferencia de aquellos casos en los que la transferencia la realiza la víctima como consecuencia de un engaño efectuado a través de un sistema informático (37) , en este supuesto la transferencia se efectúa por el sujeto activo y sin conocimiento ni consentimiento del titular.
Habría que valorar, por tanto, dos cuestiones. Por un lado, si el número secreto de la cartilla o la tarjeta de crédito o débito es considerado un «dato informático» y, por otro lado, si la conducta encaja mejor en otro tipo penal más específico y adecuado a ella. Desde nuestro punto de vista, en lo que respecta a esta segunda cuestión, consideramos que esta conducta podría tener mejor cabida en el tipo del artículo 249.1 b) (38) . No obstante, esta valoración no vamos a entrar a desarrollarla detalladamente, por no ser objeto de estudio del presente artículo ningún otro tipo penal. De cualquier forma, en relación con la primera cuestión, cabe mencionar que el diccionario de la Real Academia Española define el concepto de «dato informático» como «dato registrado en un sistema o en un componente informático». Sobre esto último, el Tribunal Supremo, refiriéndose a la anterior redacción del artículo 248.2 del Código Penal (LA LEY 3996/1995), ha sostenido que esta permitía «incluir en la tipicidad de la estafa aquellos casos que mediante una manipulación informática o artificio semejante se efectúa una transferencia no consentida de activos en perjuicio de un tercero admitiendo diversas modalidades, bien mediante la creación de órdenes de pago o de transferencias, bien a través de manipulaciones de entrada o salida de datos, en virtud de los que la máquina actúa en su función mecánica propia» (39) . En virtud de estas definiciones, pues, creemos que los datos bancarios sí podrían considerarse datos informáticos, puesto que, con la introducción de los mismos en una máquina, la misma puede actuar en su función mecánica propia. Por ello, pese a no formar parte los datos bancarios de un sistema informático como tal, sí estarían registrados en el mismo. No obstante, mantenemos la tesis mencionada anteriormente, por la que esta conducta se adecua más al tipo del artículo 249.1 b), por ser más específico y guardar una mayor precisión con la acción de utilizar los datos de una tarjeta de crédito.
En cualquier caso, el tratamiento e interpretaciones que los tribunales puedan hacer sobre estas dos cuestiones quedan a la espera de las decisiones jurisprudenciales que se tomen a partir de ahora, con sometimiento legal a la nueva reforma del Código Penal, operada por la Ley Orgánica 14/2022, de 22 de diciembre (LA LEY 26573/2022).
III. Transferencia no consentida de cualquier activo patrimonial
El acto de disposición patrimonial que se exigía en la estafa básica pasa a ser, en la modalidad informática de este delito, una «transferencia no consentida de cualquier activo patrimonial». Así pues, en palabras de Rovira del Canto, «la víctima no cede nada al autor, sino que el sujeto activo «toma» directamente la cosa» (40) . Desde nuestro punto de vista, esta es precisamente una de las diferencias más claras y fundamentales de los elementos típicos de la estafa informática con respecto a los de la modalidad clásica de este delito.
En la modalidad tradicional de estafa, el engañado da su consentimiento, puesto que es él precisamente quien lleva a cabo el acto de disposición patrimonial, si bien, claro está, se trata de un consentimiento viciado, como consecuencia del engaño y del error
En la modalidad tradicional de estafa, el engañado da su consentimiento, puesto que es él precisamente quien lleva a cabo el acto de disposición patrimonial, si bien, claro está, se trata de un consentimiento viciado, como consecuencia del engaño y del error. Así pues, en la estafa clásica la cosa se entrega voluntariamente, pero se recibe ilícitamente (41) . Por el contrario, en la estafa informática no se da de ninguna manera ese consentimiento, pues no es la víctima quien realiza el acto de disposición patrimonial, sino que es el sujeto activo quien, sin consentimiento del titular, consigue una transferencia patrimonial. La consecución de esta transferencia responde, como ya hemos expuesto, a la realización de la conducta típica, esto es, a la intervención o manipulación de un sistema informático.
La relación de causalidad en la estafa informática no se da entre el engaño y su consecuente error y el acto de disposición patrimonial, sino entre cualquiera de las tres conductas tipificadas y que precisan de una intervención en un sistema informático y la transferencia patrimonial. En este sentido se ha pronunciado el Tribunal Superior de Justicia de Galicia, al afirmar que «el error que se provoca en el sujeto pasivo a consecuencia del engaño es elemento nuclear de la estafa, y tal error no puede predicarse en la existencia de la estafa informática, donde el desplazamiento patrimonial trae causa de la manipulación informática o de un artificio asimilable» (42) .
IV. Conclusión
A modo de conclusión, conviene recopilar y apuntar el tratamiento jurisprudencial que se da en nuestro sistema al delito de estafa informática. A nuestro parecer, existen entre las decisiones jurisprudenciales supuestos en los que los hechos subsumidos en el tipo de estafa informática no encajan correctamente en el mismo. En relación con esto, cabe advertir tres cuestiones o aspectos relevantes.
En primer lugar, se dan aquellos casos en los que la transferencia patrimonial no es conseguida por el sujeto activo como consecuencia de una manipulación informática, sino que es el sujeto engañado quien realiza el acto de disposición patrimonial. Así pues, en estos supuestos, la transferencia patrimonial sí es consentida, pero, como hemos expuesto, se trata de un consentimiento viciado. Supongamos, por ejemplo, un engaño llevado a cabo a través de aplicaciones de compraventa online entre particulares. El sujeto activo engañaría a la víctima, a través de internet, haciéndole creer que está efectuando una compra y, una vez el engañado realiza el pago, advierte que realmente no va a recibir la contraprestación a cambio. Estos supuestos, desde nuestro punto de vista, deben ser subsumidos en la estafa clásica del artículo 248.1, al concurrir en ellos todos los elementos exigidos en este tipo penal. Asimismo, resulta erróneo, a nuestro parecer, calificarlos de estafa informática, pues creemos que no se da en ellos ni la acción típica exigida, ni el elemento de la transferencia patrimonial no consentida.
En segundo lugar, destacan aquellos supuestos en los que, aunque el engañado no realice el acto de disposición patrimonial, y este sea efectivamente no consentido y conseguido directamente por el sujeto activo, opinamos que la causa a la que responde la transferencia no puede ser considerada como manipulación informática, ni como una intervención en un sistema informático. Se refleja en estos casos la problemática a la que hemos aludido anteriormente, referida a la necesidad de distinguir entre incidir o intervenir en el normal funcionamiento de un sistema informático y la mera utilización ilícita de un medio informático, para, por ejemplo, engañar a otra persona. En las sentencias del Tribunal Supremo que hemos ido analizando a lo largo de este artículo se advierte que el Alto Tribunal ha adoptado un concepto de «manipulación informática», a nuestro parecer, demasiado amplio. Desde nuestro punto de vista, la solución a esta problemática radica en concretar o delimitar en mayor medida este concepto. Asimismo, consideramos que, con la última reforma de estos delitos, se supera, en parte, este dilema, especialmente por la ampliación de las formas de comisión de la estafa informática, que posibilitan en mayor medida la adecuación de estos hechos a esta figura delictiva.
Dentro de este segundo grupo de casos, es decir, aquellos en los que la causa a la que responde la transferencia no puede ser subsumida en ninguna de las acciones típicas, pueden distinguirse dos tipos de supuestos. Por un lado, aquellos en los que, el sujeto activo, mediante el engaño a través de un medio informático, generalmente el correo electrónico o los mensajes de texto, consigue que la víctima le proporcione datos personales, generalmente bancarios, que posteriormente serán utilizados por el autor o un tercero para conseguir la transferencia patrimonial, sin consentimiento de la víctima. Esta clase de supuestos se enmarcan en la técnica denominada phishing, comúnmente aceptada como constitutiva de estafa informática.
Por otro lado, hemos analizado supuestos en los que el engaño no se realiza a través de ningún medio informático, sino que se lleva a cabo, por ejemplo, en la calle, pero gracias a él se consiguen los números secretos de tarjetas de crédito, que posteriormente serán introducidos por el sujeto activo en los cajeros automáticos, logrando así una transferencia patrimonial sin consentimiento de la víctima. Pueden darse, incluso, situaciones en las que no medie engaño, sino que el número secreto de la tarjeta se averigüe espiando a la víctima en el cajero automático, y sustrayendo posteriormente su tarjeta de crédito o, incluso, falsificándola.
En cualquier caso, con independencia de cuál sea la forma en la que se consigan los datos bancarios, lo que, a nuestro parecer, podría ser susceptible de considerarse la conducta constitutiva de la estafa informática es, en su caso, la introducción de los datos bancarios en un sistema informático, como puede ser un cajero automático o la banca online. Según hemos defendido a lo largo del artículo, consideramos que no cabe duda sobre que esta acción no puede calificarse de manipulación informática ni de artificio semejante, ya que verdaderamente no se está interviniendo ni incidiendo sobre el normal funcionamiento de un sistema informático. Sin embargo, tras la ampliación de acciones típicas llevada a cabo por la Ley Orgánica 14/2022, de 22 de diciembre (LA LEY 26573/2022), consideramos que sí puede tener cabida este tipo de supuestos en la conducta de «introducir, alterar, borrar, transmitir o suprimir indebidamente datos informáticos».
Para valorar hasta qué punto sería correcta esta calificación, debemos tener presentes dos aspectos. En primer lugar, si los datos bancarios pueden considerarse datos informáticos. En segundo lugar, si existe algún tipo penal más específico en el que puedan encajar más adecuadamente estos hechos. Sobre la primera cuestión, hemos concluido que los datos bancarios sí pueden entenderse como datos informáticos, en el sentido de ser datos registrados en un sistema informático que, al ser introducidos en el mismo, funciona con automaticidad. En este sentido, estas conductas sí podrían calificarse de estafa informática, pero no en virtud del tipo de «valerse de cualquier otra manipulación informática o artificio semejante», como ha hecho hasta ahora gran parte de la jurisprudencia, sino bajo la conducta de «introducir, alterar, borrar, transmitir o suprimir indebidamente datos informáticos».
Sin embargo, atendiendo a la segunda cuestión, la relativa a si existe un tipo penal que se adecue más a este tipo de conductas, consideramos que, efectivamente, estos hechos tienen mejor cabida en el delito recogido en el artículo 249.1 b) del Código Penal (LA LEY 3996/1995), que estima reos de estafa a «los que, utilizando de forma fraudulenta tarjetas de crédito o débito, cheques de viaje o cualquier otro instrumento de pago material o inmaterial distinto del efectivo o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero».