*
Recibido: 2 de agosto de 2012. Aceptado: 12 de septiembre de 2012.
**
Profesora en la Universidad Católica del Táchira, Venezuela (
marilianarico@yahoo.com
).
RESUMEN
Los avances de la informática, las telecomu-
nicaciones e Internet han favorecido el surgi-
miento de distintas conductas fraudulentas
relacionadas con la utilización de medios elec-
trónicos de pago. La diF
cultad de encuadrar los
nuevos supuestos en los tipos penales tradicio-
nales ha motivado la revisión de la legislación
con la F
nalidad de evitar la impunidad de estas
conductas delictivas, tal como ha ocurrido en
la reforma del Código Penal español de 2010.
El presente estudio tiene por objeto el análisis
de los delitos informáticos y otras conductas
fraudulentas relacionadas con la utilización de
los medios de pago electrónicos y las diversas
soluciones ofrecidas por la legislación penal
española para prevenir y sancionar este tipo de
conductas.
PALABRAS
CLAVE
:
Delitos informáticos, me-
dios electrónicos de pago, Internet, fraude.
ABSTRACT
The developments of computer science, tele-
communications and Internet have facilitated
the appearance of new fraudulent behaviors
in the use of electronic means of payment. The
difF
culty of framing the new criminal offenses
in traditional crimes has led to the review of the
legislation in order to avoid impunity for such
criminal behaviors, just as it happened in the
reform of the Spanish Penal Code in 2010. This
research aims at the analysis of cyber crimes
and other fraudulent conducts related to the
use of electronic payments and different solu-
tions offered by the Spanish penal legislation
to prevent and punish this type of behaviour.
KEY
WORDS
:
Computer crimes, electronic
means of payments, Internet, fraud.
Los desafíos del derecho penal frente
a los delitos informáticos y otras conductas
fraudulentas en los medios de pago
electrónicos*
The challenges of criminal law against computer
crimes and other fraudulent behavior through
electronic means of payment
Mariliana Rico Carrillo**
REVISTA DEL INSTITUTO DE CIENCIAS JURÍDICAS
DE PUEBLA, MÉXICO, ISSN: 1870-2147. AÑO VII
NO. 31, ENERO-JUNIO DE 2013, PP. 207-222
IUS
208
MARILIANA RICO CARRILLO
Sumario
1. Introducción
2. Delitos informáticos y criminalidad en Internet: el caso de los medios de pago
3. Conductas delictivas en los instrumentos de pago
A
) Conductas que tienen como objeto el instrumento de pago
B
) Conductas derivadas de la utilización del instrumento de pago: los supuestos de
estafa
4. La modiF
cación del Código Penal español y la tipiF
cación de nuevos supuestos delictivos
A
) Antecedentes: los trabajos de la Unión Europea
B
) La reforma de 2010
C
) Los nuevos supuestos delictivos
5. Apreciaciones penales sobre el
phishing
y el
pharming
6. La falsiF
cación documental y los instrumentos de pago electrónicos
1. Introducción
Los avances de las tecnologías de la información y las comunicaciones (
TIC
)
y el crecimiento de las operaciones comerciales en Internet han propiciado el
surgimiento de nuevas conductas fraudulentas relacionadas con el uso de ins-
trumentos de pago electrónicos. La diF cultad de encuadrar estos supuestos en
los tipos penales tradicionales ha motivado la revisión de las diferentes codiF ca-
ciones y legislaciones con la F nalidad de evitar la impunidad de estas conductas
delictivas.
Las conductas más frecuentes relacionadas con el uso fraudulento de los me-
dios de pago electrónico se cometen a través de tarjetas y se relacionan con una
serie de hechos que ocurren dentro y fuera de Internet y que en la mayoría de
los casos involucran el uso de la informática, tal como sucede en los supuestos
de clonación y falsiF cación. A pesar de la tipiF cación de los delitos informáticos
en las diferentes legislaciones y de la imposición de sanciones a través de esta
vía, el desarrollo de las operaciones de pago a través de Internet ha contribuido
a la creación de ciertos patrones en la comisión de algunos delitos que diF cultan
su encuadramiento en estos tipos penales.
Lo cierto es que aun cuando en la actualidad diversos países cuentan con
legislación especial orientada a sancionar los delitos informáticos,
1
donde en la
1
Tal es el caso de la legislación chilena y venezolana. Chile fue el primer país latinoamericano en sancionar una
ley contra delitos informáticos. La Ley 19223, relativa a delitos informáticos, fue publicada en el
Diario Of
cial
el
Especial contra los Delitos Informáticos fue sancionada en 2001 por la Asamblea Nacional, y publicada en la
Gaceta
209
LOS DESAFÍOS DEL DERECHO PENAL FRENTE A LOS DELITOS INFORMÁTICOS.
..
mayoría de los casos se encuadran estas conductas, en la práctica se ha puesto
de manif esto la insuf ciencia de estas normas para castigar algunos hechos
delictivos, al no concurrir todos los elementos previstos en la legislación respec-
tiva. En el caso de España, las decisiones jurisprudenciales que dejaron impunes
algunos delitos relacionados con la utilización de tarjetas de crédito ajenas en
Internet impulsaron la reForma del Código Penal, donde se tipif can nuevos su-
puestos delictivos relacionados con el uso de los instrumentos de pago.
Las circunstancias descritas han motivado la elaboración del presente tra-
bajo, orientado hacia el estudio de los delitos inFormáticos y otras conductas
Fraudulentas en los medios de pago electrónicos y las soluciones oFrecidas por
el ordenamiento jurídico español, luego de la reForma del Código Penal de 2010,
para prevenir y sancionar este tipo de conductas.
2. Delitos informáticos y criminalidad en Internet: el caso
de los medios de pago
Antes de desarrollar los aspectos cruciales de esta investigación consideramos
necesario precisar estas dos f guras. Los delitos inFormáticos son def nidos por
la doctrina española como “[…] aquellas conductas que ponen en peligro o
lesionan la integridad, conf dencialidad y/o disponibilidad de los datos y siste-
mas inFormáticos,
2
sin perjuicio de que además puedan suponer una puesta en
peligro o lesión de bienes jurídicos distintos”,
también como: “la realización de
una acción que, reuniendo las características que delimitan el concepto de de-
lito, se ha llevado a cabo utilizando un elemento inFormático, o vulnerando los
derechos del titular de un elemento inFormático, ya sea hardware o soFtware”.
3
De
acuerdo con estas def niciones, para que se conf gure un delito de esta categoría
se requiere la utilización de un elemento inFormático en la comisión del hecho
punible o que el resultado de la acción se traduzca en una vulneración a un
sistema inFormático. Las conductas más Frecuentes en este ámbito se centran en
Of
cial
2011]. Argentina es otro de los países que ha optado por incluir en el Código Penal los delitos informáticos, gracias
a la promulgación en 2008 de la Ley 26.388 de modiF
gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm [consulta: 15. Agosto. 2011]. Colombia también
modiF
có su Código Penal, en 2009, por medio de la aprobación de la Ley 1273, en cuya virtud se crea un nuevo bien
jurídico tutelado —denominado “de la protección de la información y de los datos”— y se preservan integralmente
los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones; disponible
2
R
ODRÍGUEZ
, G
ONZALO
et al
. “Derecho penal e Internet”, en C
REMADES
, J
AVIER
et al
. (coord.).
Régimen jurídico de Internet
,
La Ley, Madrid, 2002, p. 261.
3
D
AVARA
R
ODRÍGUEZ
, M
IGUEL
Á
NGEL
.
Manual de derecho inFormático
, Aranzadi, Pamplona, 1997, p. 288.
210
MARILIANA RICO CARRILLO
el acceso no autorizado a sistemas y redes informáticos, el fraude informático,
la obtención y utilización indebida de información almacenada en sistemas in-
formáticos, la alteración y destrucción de datos, así como el sabotaje de sistemas
informáticos y la denegación de acceso a usuarios legítimos.
En relación con el bien jurídico protegido en los delitos informáticos, se
habla de un bien jurídico nuevo, estrictamente informático, orientado hacia la
protección de la integridad, conF dencialidad y/o disponibilidad de los datos y
sistemas informáticos.
4
En las conductas constitutivas de los delitos informáticos
también se aprecian ataques contra bienes jurídicos tradicionalmente protegidos
por el derecho penal; en el caso de los delitos informáticos sobre medios de
pago, el bien jurídico protegido sería el patrimonio de las personas afectadas
por la comisión de estos delitos.
Dentro de los delitos informáticos, especial consideración merece, en el ámbi-
to que nos ocupa, el estudio del fraude informático tipiF cado en el Código Penal
español bajo la F gura de estafa informática, que consiste en la transmisión no
consentida de activos a través de la manipulación o alteración de datos infor-
máticos. En opinión de la doctrina, se trata de
[…] una conducta paralela a la de la estafa, en la que la conducta del sujeto activo,
guiada por el ánimo de lucro, se dirige a la provocación de una disposición patrimo-
nial, pero en la que el mecanismo defraudatorio no es propiamente una provocación,
mediante engaño, de un error en la víctima, sino la manipulación de un sistema
informático.
5
Junto a los delitos informáticos y también como consecuencia del desarrollo de
las
TIC
encontramos los supuestos de criminalidad en Internet. En este caso, se
trata de delitos tradicionales o nuevas conductas delictivas que se caracterizan
por la utilización de Internet como medio para la comisión del hecho punible,
donde no puede hablarse de delitos informáticos porque no está presente la
manipulación o el ataque informático que caracteriza estos supuestos.
La distinción entre estas dos conductas se encuentra presente en el caso de
los medios de pago y ha adquirido importancia en los últimos años; en la prác-
tica se han presentado casos donde no ha sido posible encuadrar bajo la F gura
de estafa informática los supuestos de utilización de tarjetas ajenas en Internet,
por no estar presentes los elementos que caracterizan este tipo delictivo. Esta
situación ha sido considerada en la reforma del Código Penal español de 2010,
donde se introduce el delito de estafa a través de medios de pago, con la F nali-
4
R
ODRÍGUEZ
, G
ONZALO
et al
. “Derecho penal e Internet”,
cit
., p. 260.
5
Ibidem
, p. 290.
211
LOS DESAFÍOS DEL DERECHO PENAL FRENTE A LOS DELITOS INFORMÁTICOS.
..
dad de facilitar la persecución de este tipo de delitos. Seguidamente pasamos al
estudio de las diferentes conductas que se enmarcan en el ámbito de los delitos
informáticos y en los supuestos de criminalidad en Internet, referidas a los ins-
trumentos de pago.
3. Conductas delictivas en los instrumentos de pago
Entre los mecanismos de pago más utilizados en la actualidad, dentro y fuera
de Internet, se encuentran las tarjetas en sus distintas modalidades y las transfe-
rencias electrónicas de fondos, aunque éstos no son los únicos dispositivos que
permiten realizar pagos en forma electrónica. El avance de las
TIC
, junto con el
desarrollo de las operaciones comerciales en Internet, ha propiciado la creación
de diversos mecanismos e instrumentos de pago, tal es el caso de los cheques y
las letras de cambio electrónicas, el dinero efectivo electrónico almacenado en
el disco duro de los computadores, y los pagos a través de cuentas de correo
electrónico.
El desarrollo de los instrumentos electrónicos de pago junto con el avance
de la informática y la aparición de Internet han propiciado el surgimiento de
nuevas conductas delictivas, a la vez que han contribuido a la creación de ciertos
patrones en la comisión de algunos delitos que diF cultan su encuadramiento en
los tipos penales tradicionales; la mayoría de ellos se encuentran directamente
relacionados con las tarjetas de pago. Algunas de estas conductas se encuadran
dentro de los delitos informáticos, en tanto que otras son supuestos de crimi-
nalidad en Internet.
En el estudio de los supuestos delictivos cometidos a través de medios de
pago es necesario diferenciar cuando el delito tiene por objeto el medio de pago
en sí, como es el caso de la clonación de tarjetas, la falsiF cación, el tráF co y el
apoderamiento indebido de datos, y cuando el medio de pago es el instrumento
utilizado para la comisión de un delito que tiene lugar a través del uso ilícito
del medio de pago —o de los datos asociados— y se materializa en la disposición
indebida del dinero.
A
)
Conductas que tienen como objeto el instrumento de pago
Entre las conductas más frecuentes que tienen como objeto el medio de pago
encontramos la clonación (duplicación de tarjetas), la falsiF cación y el apodera-
miento indebido de datos. Dentro de esta última F gura se incluyen las técnicas
de captación ilícita de datos a través de Internet, en particular el
phishing
y
212
MARILIANA RICO CARRILLO
el
pharming
. Todas estas situaciones conducen a la utilización ilícita del ins-
trumento de pago, que normalmente se traduce en la disposición indebida del
dinero o del crédito asociado (en el caso de las tarjetas de crédito),
6
con el
correspondiente perjuicio económico para el titular legítimo, quien es el único
autorizado para la utilización del instrumento de pago. Estas conductas se en-
cuadran, en la mayoría de los casos, en el delito de estafa.
a. La clonación
En los últimos años ha aparecido un supuesto delictivo conocido comúnmente
como “clonación” de tarjetas. El término clonar, originalmente aplicado a la
biología en los procesos de producción de células u organismos genéticamente
idénticos, ha traspasado este ámbito y actualmente se usa para designar el fe-
nómeno de la reproducción fraudulenta de tarjetas de pago, que se lleva a cabo
a través de la duplicación de los datos, normalmente contenidos en la banda
magnética del instrumento original.
Los casos más frecuentes de clonación ocurren en los comercios tradicionales
y en los cajeros automáticos y se llevan a cabo mediante el uso de un dispositivo
electrónico conocido como
skimmer
, que permite copiar los datos de la banda
magnética de la tarjeta. Una vez que los datos han sido copiados, son procesa-
dos a través de un equipo informático y un software que capta la información y
permite incorporarla a una tarjeta nueva, creando de esta manera la duplicación
de la tarjeta original. La utilización de este dispositivo ha generalizado el uso del
término
skimming
como omnicomprensivo de las situaciones donde se produce
el robo de la información de las tarjetas como consecuencia de una utilización
legítima del instrumento de pago.
En el ámbito de la Unión Europea (
UE
), en el Dictamen del Comité Económico
y Social sobre “La lucha contra el fraude y la falsiF cación de los medios de pago
distintos del efectivo”, de 2009, se menciona la necesidad de prevenir y sancio-
nar como delito la clonación de soportes plásticos con códigos, y las contraseñas
de las tarjetas de pago. El Código Penal español (
CP
) no tipiF ca en forma autó-
noma este delito, sin embargo, los supuestos de clonación son incluidos en el
6
Entre las conductas que tienen lugar mediante el uso de la tarjeta como instrumento de comisión del delito se
incluyen la extracción de dinero en cajeros automáticos, la adquisición ilegítima de bienes o servicios a través de los
tradicionales terminales de puntos de venta, y el pago no consentido en redes informáticas. En opinión de la doctrina,
estas conductas se reconducen a la categoría más amplia de “uso ilícito de tarjetas o de los datos contenidos en ellas”.
Véase G
ARCÍA
N
OGUERA
, I
SABEL
. “La reforma penal de la falsiF
cación, tráF
co y uso ilícito de las tarjetas bancarias”,
III
Con-
greso Internet, Derecho y Política (
IDP
). Nuevas perspectivas
[monográF
co en línea].
IDP
.
Revista de Internet, Derecho
y Política
, No. 5,
UOC
213
LOS DESAFÍOS DEL DERECHO PENAL FRENTE A LOS DELITOS INFORMÁTICOS.
..
delito de falsiF cación de instrumentos de pago, que penaliza la alteración, copia,
reproducción y falsiF cación de tarjetas.
b. La falsiF cación
En el ámbito de las tarjetas, la falsiF cación puede darse como consecuencia de
la clonación —de hecho es su natural resultado—; sin embargo, también puede
darse el supuesto de elaboración de tarjetas falsiF cadas independientemente
de un proceso de clonación, donde la conducta se limita a la fabricación de
un nuevo instrumento de pago mediante la copia de los datos del instrumento
original. En la mayoría de estos casos, la elaboración del instrumento de pago se
produce como consecuencia de un ataque informático (
hacking
) a las empresas
propietarias de tarjetas, que mantienen bases de datos con la información de
estos medios de pago.
7
La falsiF cación de instrumentos electrónicos de pago, donde se incluyen los
cheques electrónicos y el dinero efectivo electrónico, también tiene lugar cuando
se produce una alteración en los datos originalmente incorporados en los docu-
mentos representativos de estos medios de pago.
A pesar de la diferencia conceptual entre las F guras de clonación y falsiF ca-
ción, en España estas conductas son objeto de tratamiento similar tanto en la
jurisprudencia como en el
CP
. Antes de la reforma de 2010, los supuestos de clo-
nación y falsiF cación eran caliF cados como un delito de falsiF cación de moneda,
en atención a las previsiones del artículo 286, que incluía en la deF nición de
moneda a las tarjetas de crédito, débito y otras tarjetas de pago.
8
En la reforma
de 2010 se mantiene el tratamiento similar para estos dos delitos, caliF cados
ahora como supuestos de falsiF cación de instrumentos de pago.
c. Captación y uso indebido de datos:
phishing
y
pharming
La captación de datos es una práctica que facilita la comisión de otro delito que
se perpetra a través del uso de esos datos con F nes fraudulentos. En el caso de
las tarjetas, es frecuente la utilización de la información del instrumento de pago
en las operaciones a distancia, principalmente por teléfono e Internet, donde la
7
Una de las mayores estafas en este ámbito fue detectada en 2005, cuando un hacker accedió al sistema infor-
mático de la plataforma
Card System,
que alojaba información sobre más de 40 millones de cuentas de tarjetas
de
Visa
,
MasterCard
Agosto. 2011].
8
Véase, por todas, la sentencia del Tribunal Supremo 14/2007 de la Sala
II
de lo Penal, del 25 de enero de 2007,
disponible
on-line
214
MARILIANA RICO CARRILLO
falta de presencia física permite que la transacción se lleve a cabo únicamente
con los datos asociados al instrumento de pago.
El apoderamiento indebido de los datos también es una consecuencia de la
clonación, sin embargo, éste no es el único supuesto. Los datos del instrumento
de pago también pueden ser captados por terceras personas en redes de comu-
nicación abiertas, como Internet, cuando el usuario envía la información sin
ningún tipo de protección, o a través de ciertos artiF cios diseñados para lograr
tales F nes. Aunque éste es uno de los principales temores de los usuarios de la
Red, es de hacer notar que la captación de datos es una práctica muy frecuente
en las transacciones de pago presenciales, donde las personas que procesan la
operación de pago pueden copiar con facilidad los datos necesarios para realizar
una transacción a distancia.
La utilización de Internet ha facilitado la comisión de este delito gracias al
desarrollo de soF sticadas prácticas de captación y apoderamiento de datos, tal
como sucede con el
phishing
y el
pharming.
En el
phishing,
la captación ilícita de datos tiene lugar a través del envío ma-
sivo de correos electrónicos que simulan la identidad de una institución F nancie-
ra con el objetivo de solicitar a los receptores los datos de sus respectivas tarjetas,
alegando diversos motivos (promoción de productos o servicios, participación en
concursos, problemas de seguridad, técnicos, etcétera). Los correos electrónicos
incluyen enlaces a sitios Web que imitan los de las entidades bancarias donde el
usuario suministra los datos del instrumento de pago.
La técnica utilizada en el
pharming
también remite a los usuarios a páginas
Web falsas, creadas en formato similar a las de las entidades bancarias con el
objeto de captar los datos de los clientes. En estos casos, el procedimiento no se
lleva a cabo mediante el envío masivo de correos electrónicos; el acceso inde-
bido se produce por una vulnerabilidad en el
DNS
(
Domain Name System
) o en
el de los equipos de los usuarios, que permite al atacante redirigir el nombre de
dominio de la entidad a una página Web que en apariencia es idéntica.
Aunque en ambos casos los datos son proporcionados por el propio titular, a
todas luces se trata de una captación indebida, realizada mediante engaño por
terceras personas con la F nalidad de utilizar la información asociada al instru-
mento de pago con F nes fraudulentos.
B
)
Conductas derivadas de la utilización del instrumento de pago:
los supuestos de estafa
La realización de las conductas anteriormente descritas no tiene otra F nalidad
que lograr la disposición indebida del dinero o del crédito asociado a la tarjeta,
215
LOS DESAFÍOS DEL DERECHO PENAL FRENTE A LOS DELITOS INFORMÁTICOS.
..
con el perjuicio patrimonial que esto supone para el verdadero titular. Aunque
en la mayoría de los casos la utilización de la tarjeta —o de los datos del ins-
trumento de pago— por terceras personas conf gura el supuesto de estaFa, en la
práctica se han dado situaciones que dif cultan su encuadramiento en tal f gura,
al menos en su concepción tradicional, al no estar presentes los tres elementos
que caracterizan este supuesto delictivo: el engaño, seguido del error y de la
disposición patrimonial.
La problemática que aquí se presenta es que el delito de estaFa —en su con-
cepción clásica— exige que el sujeto del engaño sea una persona Física, y que
éste sea de tal magnitud que pueda inducir a error a la víctima y produzca como
consecuencia el acto de disposición patrimonial.
En la jurisprudencia española anterior a la reForma del
CP
de 2010 se obser-
van diversos casos donde el juzgador advierte la imposibilidad de catalogar en
el supuesto de estaFa, las compras con tarjetas ajenas por no existir el engaño
suf ciente en la víctima del hecho punible para producir el error. En algunos su-
puestos, la jurisprudencia determinó que la Falta de diligencia de los aceptantes
en el cumplimiento de sus deberes de comprobación de la identidad del titular
impidió que se conf gurara el delito de estaFa, al no estar presente uno de los
elementos esenciales: el engaño.
9
Otro problema que suscitó la def nición tradicional de estaFa en los supuestos
de usos Fraudulentos de tarjetas Fue la imposibilidad de encuadrar en este tipo
penal los usos ilícitos a través de cajeros automáticos, las manipulaciones en los
terminales de puntos de venta (
TPV
) y las operaciones en Internet.
El desarrollo de las operaciones delictivas a través de medios inFormáticos
condujo a una primera modif cación del
CP
en este ámbito. En la reForma de
1995 se introdujo el delito de “estaFa inFormática”, donde se sustituye el térmi-
no “engaño” por el de “manipulación inFormática”. Aunque la construcción de
este tipo penal constituyó un avance en la materia, ya que permitió sancionar
diversos delitos relacionados con las tarjetas (captación de datos, Falsif cación,
manipulación de cajeros automáticos y
TPV
, entre otros), los supuestos que se
contemplaron en la norma también originaron problemas de interpretación que
impidieron encuadrar en la estaFa inFormática la utilización de las tarjetas por
terceros no autorizados en Internet.
9
A tal efecto, cabe citar la sentencia del Tribunal Supremo español del 3 de mayo de 2000, donde se advierte la
imposibilidad de caliF
car como estafa el pago efectuado con una tarjeta ajena mediante la exhibición del documento
de identidad del mismo sujeto que realizó la compra. En este caso, el Tribunal determina que no puede hablarse de
engaño porque una actuación diligente del vendedor en sus deberes de veriF
cación y comprobación hubiera permiti-
do constatar que los datos del documento de identidad presentado en el momento del pago no se correspondían con
los del verdadero titular de la tarjeta, lo cual hubiera impedido la transacción. Véase
STS
, Sala
II
de lo Penal, sentencia
738/2000, del 3 de mayo de 2000, disponible
on-line
216
MARILIANA RICO CARRILLO
Los problemas anteriormente descritos encuentran solución con la reforma
del
CP
de 2010, donde se tipiF ca la estafa sobre tarjetas y otros instrumentos de
pago como un delito autónomo e independiente de la estafa clásica y la estafa
informática. La redacción amplia del nuevo tipo penal previsto en el artículo
248.2 permite incluir todos los previsibles supuestos de comisión de este delito,
ya que penaliza a quienes realicen operaciones de cualquier clase, mediante la
utilización de una tarjeta en perjuicio de su titular o de un tercero. Del estudio
de esta norma nos ocupamos más adelante.
4. La modif
cación del Código Penal español y la tipif
cación
de nuevos supuestos delictivos
A
)
Antecedentes: los trabajos de la Unión Europea
La reforma del
CP
español encuentra su base en las iniciativas de la
UE
orientadas
a prevenir y sancionar estas conductas. Entre los principales trabajos en este
ámbito se encuentra la Comunicación de la Comisión al Consejo, al Parlamento
Europeo y al Comité Económico y Social del 1 de julio de 1998, sobre un marco
de actuación para la lucha contra el fraude y la falsiF cación de los medios de
pago distintos del efectivo, que propone una acción común para hacer frente
a los peligros derivados del fraude cometido a través de instrumentos de pago.
Los lineamientos de la acción común propuesta en 1998 son adoptados en
la Decisión marco del Consejo, del 28 de mayo de 2001, sobre la lucha contra el
fraude y la falsiF cación de medios de pago distintos del efectivo. Este documento
impone a los Estados miembros el deber de adoptar las medidas necesarias para
garantizar que el robo, la apropiación indebida, la falsiF cación y la manipulación
de instrumentos de pago, entre otras conductas, sean consideradas como formas
delictivas en las legislaciones penales de los Estados que forman parte de la
UE
.
En cuanto a los delitos relacionados con equipos informáticos, se establece la
necesidad de sancionar la realización de transferencias no autorizadas de dinero
mediante la introducción, alteración, borrado o supresión indebida de datos, es-
pecialmente datos de identidad. También se pone de maniF esto la necesidad de
sancionar la participación, instigación y tentativa en la comisión de estos delitos.
El objetivo F nal de la Decisión marco se centra en lograr que los fraudes
cometidos a través de medios de pago distintos del efectivo queden tipiF cados
como infracción penal en los distintos Estados miembros. En el caso de España,
estas formas delictivas son introducidas en el
CP
en la reforma de 2010.
217
LOS DESAFÍOS DEL DERECHO PENAL FRENTE A LOS DELITOS INFORMÁTICOS.
..
B
)
La reforma de 2010
El
CP
español fue reformado en 2010, gracias a la aprobación de la Ley Orgánica
5/2010, de 22 de junio, por la que se modiF ca la Ley Orgánica 10/1995, de 23
de noviembre, del Código Penal.
Esta modiF cación obedece a la necesidad de adaptar las normas penales
españolas a las exigencias de armonización jurídica exigidas por la
UE
. En el
ámbito que nos ocupa, la reforma sigue las directrices de la Decisión europea de
2001 al introducir los nuevos supuestos delictivos relacionados con los fraudes
cometidos a través de instrumentos de pago, en particular la estafa y la falsiF -
cación de tarjetas.
En relación con estos aspectos de la reforma penal, consideramos necesario
destacar que la exposición de motivos de la Ley 5/2010 señala en forma expresa
la importancia de incorporar al cp las modalidades de defraudación mediante el
uso de tarjetas ajenas o de los datos obrantes en ellas. También se menciona
la necesidad de establecer un régimen autónomo para el delito de falsiF cación
de tarjetas, anteriormente incluido en los supuestos de falsiF cación de moneda.
C
)
Los nuevos supuestos delictivos
a. La estafa a través de instrumentos de pago
En su redacción actual, el delito de estafa, previsto en el artículo 248 del
CP
,
incluye la estafa clásica, genérica o convencional —como la denomina la doc-
trina—, la estafa informática y la estafa cometida a través de tarjetas de crédi-
to, débito y cheques de viajero. Esta última categoría de estafa, que podemos
denominar estafa a través de instrumentos de pago, es incorporada en el tipo
delictual tras la reforma de 2010, ante los problemas interpretativos que se pre-
sentaron para catalogar la utilización de tarjetas ajenas en Internet en los tipos
penales de estafa clásica y estafa informática.
Como indicamos anteriormente, en la concepción tradicional del delito de
estafa sólo eran susceptibles de engaño las personas físicas, situación que aca-
rreó una serie de problemas en la práctica a la hora de encuadrar en la estafa
clásica los supuestos de estafa producidos a través de máquinas. Para solventar
este tipo de situaciones, en la reforma del
CP
de 1995 se agregó el tipo penal de
la estafa informática, donde se sustituye el término engaño por el de manipu-
lación informática, entendiéndose por tal, la actuación de los sujetos sobre un
218
MARILIANA RICO CARRILLO
sistema informático, de manera que tal actuación altere el resultado que habría
de conducir el normal procesamiento automatizado de datos.
10
Aunque la estafa informática se encuentra directamente relacionada con el
tema de los medios electrónicos de pago, toda vez que se reF ere a la manipula-
ción informática realizada con ánimo de lucro con la F nalidad de obtener una
transferencia no consentida de un activo patrimonial, en la práctica también se
han presentado problemas para encuadrar las operaciones de pago fraudulentas
realizadas a través de Internet en el concepto de manipulación informática, tal
como sucedió en la conocida sentencia de la Audiencia Provincial de Málaga del
19 de diciembre de 2005, donde el juzgador pone de maniF esto la imposibilidad
de catalogar el delito como estafa informática, al indicar que si bien es cierto que
los acusados utilizaron los datos de una tarjeta ajena para realizar una compra
a través de Internet, no manipularon sistema o programa informático alguno, lo
cual imposibilitó la aplicación del tipo penal.
11
La situación descrita se ha solventado con la tipiF cación del nuevo delito
relativo a la estafa a través de instrumentos de pago, donde se consideran reos
de estafa: “Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o
los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase
en perjuicio de su titular o de un tercero”.
La inclusión de este tipo penal abarca las operaciones de pago presenciales
y las operaciones de pago que se llevan a cabo a través de sistemas de comu-
nicación a distancia, toda vez que la norma no hace distinción sobre el lugar
donde el instrumento de pago es utilizado, y se reF ere en general a operaciones
de cualquier clase en perjuicio del titular o de un tercero.
Aunque en la mayoría de los pagos presenciales con tarjetas ajenas se conF -
gura el delito de estafa clásica,
12
en la práctica se han presentado casos que han
originado serias diF cultades para encuadrar estas conductas en el tipo penal de
estafa, al no mediar engaño suF ciente para producir error en la víctima. Cabe
recordar que en varias ocasiones la jurisprudencia determinó la imposibilidad de
caliF car como estafa, por inexistencia de engaño, los pagos con tarjetas ajenas
en los casos de incumplimiento de los deberes de comprobación de identidad
y veriF cación de la tarjeta que corresponden a los aceptantes. En atención a la
nueva redacción del artículo 248 del
CP
, todos los supuestos de utilización frau-
10
R
OMEO
C
ASABONA
, C
ARLOS
M
ARÍA
.
Poder informático y seguridad jurídica
, Fundesco, Madrid, 1987.
11
El texto de la sentencia y un comentario puede consultarse en V
ILLACORTA
H
ERNÁNDEZ
, M
IGUEL
. “Comentarios a la
sentencia sobre la compra por Internet mediante tarjeta de crédito ajena”, en
Revista del
CES
Felipe
II
, No. 12, 2010,
12
Véase M
ATA
Y
M
ARTÍN
, R
ICARDO
. “Medios electrónicos de pago y delitos de estafa”, en M
ATA
Y
M
ARTÍN
, R
ICARDO
y J
AVATO
M
ARTÍN
, A
NTONIO
.
Los medios electrónicos de pago. Problemas jurídicos
, Comares, Granada, 2007, colección Derecho
de la Sociedad de la Información, núm. 12, p. 321.
219
LOS DESAFÍOS DEL DERECHO PENAL FRENTE A LOS DELITOS INFORMÁTICOS.
..
dulenta de una tarjeta ajena serán objeto de sanción penal, con independencia
de la actuación del aceptante, que entra en el calif cativo de “tercero” empleado
en la redacción de la norma.
b. La falsiF cación de instrumentos de pago
El
CP
español de 1995 incluía dentro del delito la Falsif cación de moneda, las
tarjetas de crédito, débito y demás tarjetas de pago; así lo disponía el artículo
387, al indicar: “[…] se entiende por moneda la metálica y papel moneda de
curso legal. A los mismos eFectos, se considerarán moneda las tarjetas de crédito,
las de débito y las demás tarjetas que puedan utilizarse como medio de pago,
así como los cheques de viaje”.
Sobre la base de esta disposición, numerosas
sentencias castigaron la Falsif cación de tarjetas bajo el delito de Falsif cación de
moneda, incluyendo los supuestos de clonación de tarjetas.
En la reForma de 2010, el delito de Falsif cación de moneda se delimita única
y exclusivamente a la moneda metálica y al papel moneda de curso legal, tal
como se observa en la redacción del actual artículo 386 del
CP
. Esto obedece a
la necesidad de crear un nuevo tipo penal autónomo e independiente, destina-
do a sancionar el Fraude cometido a través de la Falsif cación de instrumentos
de pago, circunstancia que se expresa en el propio el texto de la exposición de
motivos de la Ley 5/2010, donde se indica que:
Las tarjetas de crédito o débito requieren también su propia tutela Frente a la Falsi-
f cación, a cuyo f n se describe específ camente esa conducta reFerida a ellas o a los
cheques de viaje. La comprobada Frecuencia con la que estas actividades delictivas
se descubren como propias de organizaciones criminales obliga al establecimiento
de las correspondientes previsiones represoras. La tutela penal se extiende a su vez al
tráf co con esos instrumentos Falsos y a su uso y tenencia en condiciones que per-
mitan inFerir su destino al tráf co, aunque no se haya intervenido en la Falsif cación.
Actualmente, el delito de Falsif cación de instrumentos de pago se encuentra
tipif cado en el artículo 399 bis, relativo a la Falsif cación de tarjetas de crédito
y débito y cheques de viaje, incluido en la sección 4 del capítulo
II
del
CP
, que
penaliza las Falsif caciones documentales. El precepto castiga a quienes alteren,
copien, reproduzcan, o de cualquier otro modo Falsif quen tarjetas de crédito o
débito o cheques de viaje. La tenencia y el uso de estos instrumentos a sabiendas
de la Falsedad también es objeto de sanción penal. Si bien esta modif cación es
elogiable, el tipo penal ahora es más restrictivo que el original en lo que se ref ere
220
MARILIANA RICO CARRILLO
al tipo de instrumento de pago aplicable, ya que sólo se incluyen las tarjetas de
crédito, débito y cheques de viajero. La mención a las demás tarjetas que pueden
utilizarse como medios de pago desaparece del
CP
, por lo tanto no se conf guraría
el delito en el caso de los monederos electrónicos y los otros instrumentos de
pago, tales como los cheques electrónicos.
Sobre la tipif cación de este delito, consideramos necesario destacar que
ya existe jurisprudencia del Tribunal Supremo español donde se condena a los
autores materiales de la Falsif cación de tarjetas bajo el delito de Falsif cación de
tarjetas de crédito, débito y cheques de viaje.
13
5. Apreciaciones penales sobre el
phishing
y el
pharming
Desde la óptica del derecho penal español, las conductas constitutivas de
phis-
hing
y
pharming
se encuadran en el delito previsto en el artículo 248.2 del
CP
,
donde se tipif ca la estaFa inFormática. En lo que se ref ere al
phishing,
si bien la
mayoría de la jurisprudencia lo ha calif cado como tal, un sector de la doctrina
estima que en estos casos se trata de una estaFa clásica, que se produce al enga-
ñar al titular de la cuenta deFraudada mediante el envío del mensaje.
14
Tanto en el
phishing
como en el
pharming
existe una manipulación inFormá-
tica que se lleva a cabo a través de las acciones encaminadas a duplicar la página
Web de la entidad f nanciera, con la f nalidad de captar los datos del instrumento
de pago y obtener una transFerencia patrimonial no consentida en perjuicio de
un tercero, supuesto contemplado en el artículo 248.1 del
CP
español.
A pesar de su caracterización como estaFa, la tipif cación de estos delitos
no se agota en esta modalidad, ya que se trata de todo un complejo delictivo
15
que exige la realización de diversos pasos hasta llegar a la transFerencia no con-
sentida del dinero. En ambos casos, el
modus operandi
exige la elaboración de
una página Web Falsa, cuya acción en el marco del
CP
español se encuadra en el
delito de Falsedad documental, tipif cado en el artículo 392, gracias al concepto
amplio de documento incluido en el artículo 26 del citado texto legal.
16
13
STS
40/2011 de la Sala
II
de lo Penal, del 28 de enero de 2011, disponible
on-line
docs/00333242.html [consulta: 10. Mayo. 2011].
14
V
ELASCO
N
UÑEZ
, E
LOY
. “Estafa informática y banda organizada.
Phishing
,
pharming
,
smishing
y «muleros»”, en
La Ley
Penal.
Revista de Derecho Penal, Procesal y Penitenciario
,
No. 49, mayo de 2008, pp. 19-29.
15
V
ELASCO
N
UÑEZ
, E
LOY
. “Fraudes informáticos en red: del
phishing
al
pharming
”, en
La Ley Penal.
Revista de Derecho
Penal, Procesal y Penitenciario
, No. 37, abril de 2007, sección Estudios, pp. 57-66.
16
Así lo ha expresado la doctrina española al indicar que el hecho de suplantar la identidad de una entidad bancaria
(o de otra empresa) a través de la simulación de su página Web constituye un delito de falsedad en documento
mercantil, “[…] en relación con el concepto penal de documento del artículo 26 del
CP
(La Ley 3996/1995), que obvia-
221
LOS DESAFÍOS DEL DERECHO PENAL FRENTE A LOS DELITOS INFORMÁTICOS.
..
En lo que a la captación de datos se ref ere, se conf gura el delito de apo-
deramiento de datos en soportes inFormáticos
,
previsto en el artículo 197.2 del
CP
. En la mayoría de los casos, estos delitos son cometidos por organizaciones
criminales, situación que incrementa la pena, de acuerdo con las previsiones del
artículo 197.2, añadido en la reForma del
CP
de 2010.
También pueden existir acciones derivadas de la suplantación de identidad
en los países en que esta conducta es castigada y sancionada. En relación con
este delito, es oportuno mencionar que en el estado de CaliFornia, en los Estados
Unidos de América, recientemente ha entrado en vigor una ley que penaliza con
multa y prisión a las personas que suplanten la identidad de otras en Internet.
Para f nalizar, consideramos necesario mencionar que en el ámbito civil, la
responsabilidad por los ataques de
phishing
se atribuye a la entidad bancaria,
a quien corresponde la implantación de los correspondientes sistemas de segu-
ridad para la prevención de este tipo de Fraudes, y por lo tanto debe resarcir las
pérdidas patrimoniales suFridas por sus clientes.
17
6. La falsiF
cación documental y los instrumentos de pago
electrónicos
En relación con la Falsif cación de otros medios de pago (el dinero de red, che-
ques, letras de cambio electrónicas) y cualquier otro documento en soporte
electrónico, quedaría por determinar si es posible subsumir la conducta delictiva
en el tipo penal que sanciona la Falsif cación de documentos privados, en el
entendido de que el
CP
adopta un concepto amplio de documento, donde se
incluyen los documentos electrónicos y, en su consideración de tal, también
podrían incluirse estos instrumentos de pago.
De acuerdo con las previsiones del artículo 26, a los eFectos del
CP
, “[…] se
considera documento todo soporte material que exprese o incorpore datos, he-
chos o narraciones con ef cacia probatoria o cualquier otro tipo de relevancia
jurídica”. En esta def nición entra la noción del documento electrónico, en el
entendido de que la norma se ref ere a todo “soporte material”; la inclusión de
mente engloba el que se vehiculiza mediante soporte electrónico o informático”. Véase V
ELASCO
N
UÑEZ
, E
LOY
. “Fraudes
informáticos en red: del
phishing
al
pharming
”,
op. cit
.
17
En la sentencia del Juzgado de 1ª instancia de Barcelona de 2006, el juez declara que “[…] es el banco quien debe
asumir las consecuencias de la actuación fraudulenta de terceros mediante
phishing
, porque es la entidad la que
ofrece el servicio defraudado, salvo que se demuestre conducta negligente grave por parte del cliente”. La sentencia
estima que existen medidas de seguridad que el banco no puso en marcha, y que puso en funcionamiento luego
de denunciado el fraude, lo que “revela que él mismo [la entidad] ha considerado que el nivel de seguridad anterior
no era el adecuado”.
222
MARILIANA RICO CARRILLO
f rma electrónica en el precepto es Factible en la expresión “incorporación de
datos”, toda vez que ésta se def ne como un conjunto de datos incorporados al
documento electrónico con la f nalidad de garantizar su autenticidad.
18
La Falsif cación de documentos mercantiles se encuentra prevista en el artícu-
lo 392 del
CP
, que permite aplicar a la Falsif cación de este tipo de documentos
los supuestos contemplados reFeridos a la Falsif cación de documentos públicos.
El precepto castiga al particular que cometiere, en un documento mercantil, al-
guna de las Falsedades descritas en los tres primeros números del apartado 1 del
artículo 390 (alteración, simulación o suposición de intervención de personas).
La Falsif cación de los documentos electrónicos tendría lugar en el supuesto
de alteración de la inFormación contenida en el documento o de la f rma asocia-
da (en caso de que esto Fuera Factible), circunstancia de aplicación a los cheques
electrónicos o al dinero generado a través de un programa de ordenador. La Falta
de generalización en el uso de estos instrumentos no nos permite analizar consi-
deraciones jurisprudenciales al respecto; sin embargo, consideramos conveniente
recordar que antes de que se incluyeran las tarjetas en el supuesto de Falsif cación
de moneda, se otorgaba a las tarjetas bancarias el rango de documento mercan-
til, situación que condujo a aplicar a los casos de Falsif cación y manipulación de
tarjetas los artículos relativos a las Falsedades documentales, situación que Fue
considerada por el propio Tribunal Supremo español en 1991.
19
18
Cabe recordar que en España el concepto genérico de f
rma electrónica incluido en el artículo 3.1 de la Ley
59/2003, de 19 de diciembre, de Firma Electrónica se ref
ere al “[…] conjunto de datos en ±orma electrónica, con-
signados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identif
cación del f
rmante”.
19
Véase J
AVATO
M
ARTÍN
, A
NTONIO
. “Análisis de la jurisprudencia penal en materia de medios electrónicos de pago”, en
M
ATA
Y
M
ARTÍN
, R
ICARDO
y J
AVATO
M
ARTÍN
, A
NTONIO
.
Los medios electrónicos de pago.
.
.,
cit.
, p. 379.