Además de los
beneficios para la economía, la innovación y el desarrollo, los avances
tecnológicos traen consigo retos para disciplinas que, como el Derecho,
están en permanente evolución. En materia jurídica, los desafíos más
evidentes se presentan en temas civiles, comerciales, constitucionales y
penales, entre otras ramas.
La tipicidad de conductas delictivas que se producen por cuenta de la
tecnología es uno de los temas que genera más debate entre los
estudiosos del Derecho Penal. Con ocasión de su reciente visita a
Colombia, ÁMBITO JURÍDICO conversó sobre el fenómeno de la
cibercriminalidad con Ivan Salvadori, profesor de Derecho Penal
Informático de las universidades de Barcelona (España) y de Verona
(Italia).
ÁMBITO JURÍDICO: ¿Es eficiente la lucha contra la criminalidad informática en los países europeos?
Ivan Salvadori: En los últimos años, los
legisladores europeos, impulsados por la Unión Europea (UE) y el Consejo
de Europa (CE), han hecho muchos esfuerzos para luchar contra la
criminalidad informática. Así, todos los países tienen normas ad hoc
en materia de cibercriminalidad. Muchas de las legislaciones penales
europeas están en línea con los estándares supranacionales y, en
particular, con el Convenio sobre el Cibercrimen del CE y la Decisión
Marco 2005/222/JAI del CE, relativa a los ataques contra los sistemas
informáticos.
Sin embargo, la cifra negra de criminalidad, esto es, la tasa de
delitos y delincuentes que no son descubiertos o condenados, sigue
siendo elevada. Esto explica, en parte, que sea escasa la aplicación
jurisprudencial de los delitos informáticos en muchos ordenamientos
jurídicos europeos.
Á. J.: ¿A qué se debe esa impunidad?
I. S.: A menudo, las víctimas de delitos
informáticos no denuncian los hechos, porque no saben que han sido
víctimas, no conocen la existencia de soluciones legales o creen que es
inútil poner una denuncia. Las empresas y los bancos prefieren resolver
internamente los incidentes informáticos de los que son víctimas (phishing,
espionaje informático, estafas, etc.), en lugar de denunciarlos, por
miedo a dañar su imagen y perder la confianza de los clientes.
A todo esto hay que añadir que, a veces, las autoridades de law enforcement
(de aplicación de la ley) no tienen los instrumentos legales y los
conocimientos técnicos necesarios para averiguar y perseguir de manera
eficaz los criminales informáticos. En este sentido, es oportuno que se
siga en el camino de la armonización no solamente del Derecho Penal
sustantivo, sino también del Derecho Procesal Penal de los países
europeos, de conformidad con los estándares internacionales más
avanzados, para facilitar la cooperación entre las autoridades
competentes nacionales y garantizar la persecución de estos
delincuentes.
Á. J.: ¿Es coherente el Derecho Penal y la legislación en esta materia con el constante avance de la tecnología?
I. S.: El rápido desarrollo de las tecnologías de la
información y la comunicación (TIC) y las facilidades con las que es
posible conectarse a internet desde cualquier lugar del mundo, además de
haber facilitado la realización de ataques a bienes jurídicos
tradicionales (patrimonio, honor, intimidad y libertad sexual, en
particular de los menores, etc.) ha favorecido la comisión de actos
ilícitos que afectan a nuevos intereses jurídicos, como la
confidencialidad, la integridad y la disponibilidad de los datos y de
los sistemas informáticos.
Frente a estas nuevas amenazas, se han evidenciado los límites del
Derecho Penal tradicional. Con el fin de superar estas lagunas que
existen en los ordenamientos jurídicos, sectores de la jurisprudencia
han intentado extender el ámbito de aplicación de los delitos
informáticos a través de interpretaciones analógicas en malam partem.
Paradigmática, por ejemplo, es la tentativa de subsumir en el delito
tradicional de hurto las conductas de los empleados infieles (o insider)
que, de manera abusiva, copian los datos informáticos almacenados en
los ordenadores de las compañías con las que trabajan, sin tener en
cuenta que los datos informáticos, por su carácter intangible, no pueden
ser equiparados a una cosa mueble.
Á. J.: ¿Y qué debe hacer el legislador?
I. S.: La rápida obsolescencia del Derecho Penal
frente al incesante desarrollo de las TIC ha llevado a los legisladores
nacionales a reformar repetidamente su propia normativa penal en el área
de la criminalidad informática, con el fin de eliminar los vacíos que
no permitían castigar los nuevos fenómenos criminosos que se realizan en
el ciberespacio (phishing, hacking, cracking, ataques de denegación de servicio, difusión de programas malware, botnet, etc.).
Para evitar continuas reformas penales, los legisladores, en línea
con los estándares de las organizaciones supranacionales, tendrían que
emplear un lenguaje neutro en la formulación de los delitos informáticos
en cuanto a la tecnología, de manera que los nuevos tipos puedan
aplicarse, tanto a las tecnologías actuales como a las futuras. Sin
embargo, esto no significa que se pueda emplear un lenguaje
indeterminado o recurrir a normas penales en blanco. En línea con los
principios de legalidad, taxatividad y precisión, los legisladores
tendrán que introducir tipos delictivos claros y delimitados, para
evitar la multiplicación de normas contiguas y los consiguientes
conflictos entre ellas.
Á. J.: ¿Existen herramientas adecuadas de investigación para
hacer frente a la criminalidad informática, en especial en los
organismos estatales?
I. S.: El aumento exponencial de la utilización de
las TIC hace que los delitos contra la confidencialidad, la integridad y
la disponibilidad de los datos y de los sistemas informáticos (CIA offences)
sean más frecuentes. Las TIC facilitan, además, la comisión en internet
de delitos tradicionales (difamaciones, difusión de contenidos de
pornografía infantil, racismo, etc.). El trabajo de la policía y de las
autoridades de law enforcement implica el descubrimiento, la
recogida y la conservación de pruebas electrónicas para la averiguación y
persecución de los criminales.
Para una lucha eficaz contra el cibercrimen, es importante
proporcionar a la policía, fiscales y jueces los instrumentos legales y
los conocimientos técnicos necesarios sobre el funcionamiento de las
tecnologías.
Á. J.: ¿Y cómo se deben preparar las autoridades frente a este tema?
I. S.: En los últimos años, muchos países, con la
asistencia técnica de las organizaciones internacionales, han empezado a
realizar cursos específicos en materia de digital forensics
para formar a las autoridades competentes sobre las técnicas más
avanzadas de investigación. Muy importante resulta también la creación a
nivel nacional de una red de contacto 24/7, con el fin de garantizar
una asistencia inmediata en materia de criminalidad informática y
fortalecer la cooperación judicial entre los Estados.
Los países a la vanguardia en la lucha contra el cibercrimen han
creado, dentro de sus fuerzas de policía, grupos de investigadores (cybercrime unit) y los han dotado de las herramientas hardware y software más avanzadas. Es deseable que estas reglas de good practice
en la lucha contra el cibercrimen se extiendan a todos los países del
mundo. En este sentido, hay que apreciar los esfuerzos realizados por el
CE y la UE que, en los últimos años, han promovido la organización de
cursos específicos para formar policías, fiscales y jueces; han
elaborado reglas de good practice para la búsqueda y recogida de pruebas electrónicas y han formulado líneas guías para investigar y perseguir ciberdelitos.
Á. J.: De acuerdo con el carácter de ‘ultima
ratio’ del Derecho Penal, ¿es necesario involucrar esta área del
Derecho en aspectos referidos a los ámbitos informáticos?
I. S.: El incesante avance de las TIC ha favorecido
las relaciones sociales, económicas y jurídicas en el ciberespacio y ha
facilitado la circulación de las informaciones en internet. Así, en la
sociedad de la información han emergido nuevos bienes jurídicos, como la
confidencialidad, la integridad y la disponibilidad de los datos y de
los sistemas informáticos. Para proteger estos intereses jurídicos,
muchos legisladores han introducido, en línea con las recomendaciones
internacionales, nuevos delitos para castigar el acceso ilícito a un
sistema informático (hacking), los daños informáticos, la interceptación de datos y la difusión de malware.
Sin embargo, el legislador penal no puede justificar la introducción
de nuevos tipos delictivos únicamente por la necesidad de superar las
lagunas que existen en el ordenamiento o para aplicar las obligaciones
internacionales. Antes de introducir nuevos delitos, el legislador
tendrá que evaluar si existen otros instrumentos técnicos o medidas
preventivas de naturaleza extrapenal idóneas para proteger los nuevos
intereses jurídicos.
Muy a menudo, las TIC ofrecen la posibilidad de adoptar medidas de
seguridad y dispositivos técnicos de protección idóneos para garantizar
el nivel necesario de protección. Paradigmático es el fenómeno del spamming, esto es, el envío en masa de correos electrónicos que contienen publicidad no deseada. Si bien algunos Estados castigan el spamming con una sanción penal, como EE UU, más oportuno sería adoptar, de conformidad con el principio de ultima ratio del Derecho Penal, medidas de protección técnica o sanciones administrativas.
Á. J.: Es evidente una tendencia hacia el
control de la información difundida en la red. ¿Esto supone la
criminalización de aquellos medios de comunicación encargados de su
administración, inclusive cuando se trate de opiniones de terceros?
I. S.: En la sociedad de la información, se está manifestando la tendencia hacia el reconocimiento a administradores y gestores de blogs, gestores de forum, news-group
y proveedores de servicio de internet de nuevas posiciones de control
preventivo sobre los contenidos y las informaciones que se difunden
mediante los servicios que ponen a disposición de los internautas.
Sin embargo, estas razones, sobre todo de carácter
técnico-organizativo, conducen a la exclusión de la oportunidad de
introducir nuevas posiciones de control y de garantía. La interactividad
que caracteriza internet hace casi imposible un control sobre los
contenidos que se difunden en la red.
La previsión de una gravosa y, a veces, inexigible obligación de
control sobre los contenidos llevaría el riesgo de limitar la libertad
de comunicación y de información de los internautas, puesto que los
administradores y gestores de blog, news-group, periódicos
telemáticos, entre otros, tendrían que actuar como verdaderos censores,
sin tener, muchas veces, conocimientos profesionales y jurídicos para
apreciar el carácter ilícito de los contenidos, opiniones o comentarios
que se publican en los espacios web que gestionan.
A eso hay que añadir que si estos sujetos tuviesen la obligación de
controlar previamente todo lo que se publica en sus medios telemáticos
de comunicación, se limitaría notablemente la posibilidad de actualizar
en tiempo real los contenidos en el web.
Á. J.: ¿Y cómo hallar responsabilidades?
I .S.: Esto no significa que el administrador del
medio de comunicación no pueda responder penalmente por los delitos que
se han cometido por parte de terceros mediante el medio que dirige,
puesto que se le aplicaría la normativa en materia de autoría o de
participación, cuando se demuestre, por ejemplo, que haya colaborado con
terceros en la comisión de un hecho ilícito, como difamación,
instigación a la comisión de delitos, etc.
Para garantizar un equilibrio entre la libertad de pensamiento, que
incluye el derecho a la información por parte de los internautas, y la
protección de los derechos inviolables del hombre en el ciberespacio
(honor, dignidad, intimidad etc.), parece más correcto introducir en
perspectiva de lege ferenda la obligación para los
administradores de los medios en internet de comunicar a las autoridades
competentes aquellas informaciones que puedan ser útiles para facilitar
la investigación y la averiguación de los criminales y la obligación de
bloquear los datos ilegales publicados en sus espacios web, si tienen
conocimiento de su existencia.
Á. J.: ¿Que percepción tiene del Derecho Penal colombiano en materia de criminalidad informática?
I. S.: Con la Ley 1273 del 2009, el legislador
introdujo el Título VII Bis en el Código Penal, dedicado a la protección
de la información, para incriminar, en línea con las recomendaciones de
los organismos internacionales, los atentados contra la
confidencialidad, la intimidad y la disponibilidad de los datos y de los
sistemas informáticos.
Lo que más llama la atención de la normativa penal colombiana en
materia de cibercriminalidad es, en primer lugar, su severo tratamiento
sancionatorio, que en muchos casos resulta desproporcionado. Por
ejemplo, el delito de acceso abusivo a un sistema informático (art.
269A, C.P.), que pese ser un punible básico para la comisión de otros
delitos más graves, como el espionaje, la manipulación de datos o el
sabotaje informático, se castiga con la misma pena de prisión (de 48 a
96 meses) prevista para los daños informáticos (arts. 269B y 269D, C.
P.), cuyo desvalor es ser más grave.
A veces, el legislador parece no haber tenido en cuenta el desvalor
de cada acto ilícito, como en la normativa en materia de daños
informáticos. En contra de las recomendaciones internacionales, que de
manera implícita requieren que se castigue de manera diferente los daños
a los datos y los daños a sistemas informáticos, el legislador
colombiano ha equiparado el tratamiento sancionatorio. Sería oportuno
distinguir sobre la base del desvalor de las conductas.
Á. J.: ¿Qué otras contradicciones ha encontrado?
I. S.: También hay dudas respecto a la excesiva
anticipación de la tutela penal. Como ejemplo están los “delitos
obstáculo”, previstos por el artículo 269E del Código Penal (uso de software malicioso) y por el artículo 269G de la misma norma (suplantación de sitios web
para capturar datos personales). Se castiga con una pena muy elevada,
de prisión de hasta 96 meses, la simple conducta de quien produzca,
distribuye, envíe e, incluso, de quien adquiera un software
malicioso u otros programas de computación de efectos dañinos o de quien
diseñe, desarrolle, ejecute o programe páginas electrónicas, enlaces o
ventanas emergentes.
El legislador ha anticipado excesivamente la tutela penal respecto a
conductas que se ponen en una fase preparatoria respecto a la efectiva
puesta en peligro de bienes jurídicos, con lo que se violan los
principios de proporcionalidad y de lesividad de los delitos. La
verdadera finalidad de estas incriminaciones, más que proteger bienes
jurídicos, parece ser la de facilitar las actividades de investigación
por parte de la policía. Pienso que sería oportuno que el legislador
diseñe estos delitos en línea con las recomendaciones de las
organizaciones internacionales, requiriendo que los programas maliciosos
sean objetivamente diseñados o adaptados con el propósito de cometer un
delito y en donde se requiera, además, la intención por parte del
autor. Esto evitaría una indeseable sobre-criminalización, permitiendo,
al mismo tiempo, el empleo de estas herramientas software para actividades de investigación y para fines de seguridad informática.
Á. J.: ¿Qué se puede esperar de la criminalidad informática hacia el futuro y, especialmente, de la lucha de los Estados por atacarla?
I. S.: El incesante desarrollo de las TIC creará nuevas posibilidades para la comisión de delitos, como el hacking, el espionaje y el fraude informático, los sabotajes, el robo de identidad, el phishing,
el terrorismo, etc. La accesibilidad a internet a nivel mundial
favorecerá no solamente la difusión de informaciones entre internautas,
sino también el intercambio de contenidos ilícitos (pornografía
infantil, material protegido por derechos de autor, contenidos racistas y
xenófobos, etc.).
Internet es muy difícil de vigilar por parte de las autoridades de
policía y puede proporcionar un elevado nivel de anonimato a los
criminales informáticos, lo que dificulta su persecución penal. No hay
duda de que la criminalidad informática representa uno de los mayores
desafíos a nivel global. Sin embargo, la lucha contra el cibercrimen no
es una guerra perdida.
Á. J.: ¿Y cómo utilizar la tecnología para combatir estos delitos?
I. S.: Las TIC constituyen un poderoso instrumento no solamente para los delincuentes, sino también para las autoridades de law enforcement, que
pueden emplear esta tecnología para investigar y perseguir a los
criminales. Una lucha eficaz contra el cibercrimen requiere de un
elevado conocimiento tecnológico por parte de los expertos y respuestas
comunes a nivel global. Es indispensable promover la armonización tanto
del Derecho Penal sustancial como procesal en el área de la criminalidad
informática, de conformidad con los estándares de las organizaciones
internacionales y, en particular, con el Convenio sobre el Cibercrimen
del Consejo de Europa, que sigue siendo el instrumento más importante en
la materia. Habrá que impulsar, además, la cooperación judicial
internacional e introducir a nivel global nuevos mecanismos para
resolver los conflictos de jurisdicción.
Tomado de: http://www.ambitojuridico.com/BancoConocimiento/N/noti-121017-14%28ivan_salvadori_la_lucha_contra_el_cibercrimen_no_es_una_guerra_perdida%29/noti-121017-14%28ivan_salvadori_la_lucha_contra_el_cibercrimen_no_es_una_guerra_perdida%29.asp?Miga=1&IDobjetose=13559&CodSeccion=96
