En el quinto de los encuentros del ciclo “La revolución regulatoria digital europea 2022-2023”, organizado por LA LEY bajo la dirección del magistrado Eloy Velasco, Elvira Tejada, fiscal coordinadora de ciberdelincuencia de la Audiencia Nacional, ha explicado la más relevantes novedades que se están desarrollando en el ámbito de la lucha contra la delincuencia informática.
En el mismo comienzo de su intervención, Tejada destacó que ante el acelerado avance tecnológico experimentado a lo largo de los últimos años, el legislador ha tenido que redefinir los tipos penales, en dos direcciones: hacer evolucionar la regulación y mejorar la cooperación internacional en la persecución de esta delincuencia.
El primer paso para ello fue la armonización normativa, para que las regulaciones de los diferentes países avancen en la misma dirección. Se trata, en definitiva, de que la armonización sea una herramienta efectiva frente a una ciberdelincuencia que se desarrolla con carácter transnacional.
El proceso se inició con el Consejo de Tampere de 1999, en el que se avanzó en el planteamiento de definiciones comunes. Continuó con la Comunicación de la Comisión de enero de 2021, orientado a reforzar la seguridad de la investigación y la lucha contra la delincuencia tecnológica, y se confirmó con el Tratado de Lisboa (LA LEY 12533/2007) de 2007, que modificó el artículo 83 del Tratado de Funcionamiento de la UE.
A continuación, Tejada centró su exposición en las tres figuras más frecuentes relacionadas con este ámbito delictivo: los ataques a los sistemas informáticos, los delitos contra la libertad e indemnidad sexual de los menores y los fraudes y falsificaciones on line.
Ataques a los sistemas de información
En relación con esta figura, el principal objetivo de la UE es definir unas infracciones que permitan actuar de forma coordinada.
En este sentido, mencionó la Decisión Marco 2005/222/JAI, de 24 de febrero (LA LEY 3519/2005), que introdujo entre sus definiciones conceptos esenciales para facilitar la interpretación y aplicación de las normas, instando a los Estados a incorporar nuevos tipos penales a sus sistemas jurídicos y definiendo parámetros para la fijación de las sanciones. La finalidad es garantizar que funcionan las herramientas de cooperación internacional
Destacó, en esta línea, la introducción de un principio de atribución de responsabilidad a las personas jurídicas, junto con unos sistemas de incriminación específica.
Esta línea de actuación debió ser posteriormente actualizada por la Directiva 40/2013 (LA LEY 13365/2013) ya que el avance de la tecnología la había convertido en insuficiente. Con esta norma, el legislador anticipa la prevención y la cooperación internacional. Además, vuelve la vista al Convenio de Budapest sobre Ciberdelincuencia (LA LEY 21666/2001) de 2001, que definió nuevas figuras delictivas, instando a los Estados a incorporarlos a sus ordenamientos.
Entre sus aportaciones destaca la de la figura de “actuar sin autorización” (vulnerando las medidas de seguridad implantadas), clave del acceso ilegal a sistemas informáticos. En esta línea, además destaca la relación con la Directiva NIS de 2016, que estableció un marco común de ciberseguridad, que permitió a España actualizar la Estrategia Nacional de Ciberseguridad.
Libertad e indemnidad sexual de los menores
Los menores, destacó Elvira Tejada, son muy vulnerables, porque desconocen los riesgos que asumen en la red.
Por ello, la Decisión Marco 2004/68/JAI (LA LEY 12140/2003), de 22 de diciembre, precisa algunos aspectos relacionados con la comisión de delitos contra los menores en el entorno digital. Así, define determinados conceptos, como el de “pornografía infantil”, “niño” y “sistema informático”. También define conductas relacionadas con dichos conceptos, tanto en el entorno físico como on line, y establece criterios de competencia cuando el delito se cometa en la red.
La Decisión insta también a los Estados a que tipifiquen la producción, distribución, transferencia, difusión, oferta y suministro y adquisición y posesión de pornografía infantil. Añadiendo además conductas agravadas en función de la edad, la violencia empleada o el riesgo para la vida o la integridad física o moral del menor.
A esta Decisión siguió la Directiva 2011/93/UE, de 13 de diciembre (LA LEY 24038/2011), relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI (LA LEY 12140/2003). Se trata de una norma muy compleja y abierta, pero que sigue plenamente vigente.
Esta norma define específicamente nuevos tipos penales para coordinarla con la Declaración de Lanzarote de 25 de octubre de 2007 para la protección de los niños contra la explotación y el abuso sexual. Así, define el nuevo delito de acceso en línea a material pornográfico infantil y una nueva conducta, como la puesta a disposición de material pornográfico, junto con una nueva figura, como el embaucamiento de menores o Child grooming, que supone aprovechar la tecnología para acercarse a los menores, en una sanción muy próxima a la del acto preparatorio.
Igualmente se prevé la inhabilitación para trabajar con menores a los condenados por hechos de esta naturaleza.
En materia de impulso y fortalecimiento de la investigación criminal, se prevén plazos de prescripción largos, la formación y sensibilización para la identificación de estas figuras, el fomento de la denuncia y el de las herramientas de investigación (como el agente encubierto). Igualmente se prevén medidas de prevención, como las campañas de sensibilización y las medidas para evitar el acceso a este tipo de materiales.
Defraudaciones y estafas cometidas on line
Se trata, explicó Elvira Tejada, de las figuras más frecuentes en cuanto a su comisión, pues hay mucha delincuencia organizada que la fomenta y lleva a cabo.
En estos casos, se produce el engaño típico, pero la acción delictiva no se hace pivotar sobre el mismo, sino sobre el canal utilizado, el on line.
Según el articulo 8 del Convenio de Budapest, se trata, principalmente, de la acciones deliberadas e ilegítimas que causan perjuicio por la manipulación informática realizada con intención fraudulenta.
En este ámbito cabe destacar la Decisión Marco 2011/413/JAI de 28 de mayo, que cubre todo tipo de fraudes, virtuales o no. Esta norma incorpora el concepto de fraude informático con delitos relacionados con equipos informáticos (igual que el art. 8 del Convenio de Budapest).
Igualmente se refiere a los delitos relacionados, como actos preparatorios, incluyendo el ofrecer las herramientas adecuadas para la comisión de esos delitos.
A esta norma siguió la Directiva UE 2019/713, de 17 de abril de 2019 (LA LEY 7856/2019), sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo. Esta Directiva plantea nuevas herramientas legales para responder a las nuevas formas de cometer defraudaciones asociadas al desarrollo tecnológico. Introduce también el concepto de fraude informático con una terminología actualizada, que incluye las monedas virtuales como medio para la comisión del delito.
En todo este contexto, Tejada destacó la importancia del efecto sancionador, como elemento fundamental de la prevención. “Hay que acabar con el sentimiento de impunidad en la red. Si no hay una respuesta penal, no habrá respuesta eficaz frente a las agresiones informáticas”.