Los desafíos del derecho penal frente a los delitos informáticos y otras conductas fraudulentas en los medios de pago electrónicos*

Tal es el caso de la legislación chilena y venezolana. Chile fue el primer país latinoamericano en sancionar una ley contra delitos informáticos. La Ley 19223, relativa a delitos informáticos, fue publicada en el Diario Oficial el 7 de junio de 1993, disponible en http://red.gov.cl/ley19223.htm [consulta: 15. Agosto. 2011] . En Venezuela, la Ley Especial contra los Delitos Informáticos fue sancionada en 2001 por la Asamblea Nacional, y publicada en la Gaceta Oficial el 30 de octubre de 2001, disponible en http://www.tsj.gov.ve/legislacion/ledi.htm [consulta: 15. Agosto. 2011]. Argentina es otro de los países que ha optado por incluir en el Código Penal los delitos informáticos, gracias a la promulgación en 2008 de la Ley 26.388 de modificación del Código Penal, disponible en http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm [consulta: 15. Agosto. 2011]. Colombia también modificó su Código Penal, en 2009, por medio de la aprobación de la Ley 1273, en cuya virtud se crea un nuevo bien jurídico tutelado —denominado "de la protección de la información y de los datos"— y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones; disponible en http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html [consulta: 15. Agosto. 2011].

RODRÍGUEZ, GONZALO et al. "Derecho penal e Internet", en CREMADES, JAVIER et al. (coord.). Régimen jurídico de Internet, La Ley, Madrid, 2002, p. 261

DAVARA RODRÍGUEZ, MIGUEL ÁNGEL. Manual de derecho informático, Aranzadi, Pamplona, 1997, p. 288.

RODRÍGUEZ, GONZALO et al. "Derecho penal e Internet", cit., p. 260.

Ibidem, p. 290.

Entre las conductas que tienen lugar mediante el uso de la tarjeta como instrumento de comisión del delito se incluyen la extracción de dinero en cajeros automáticos, la adquisición ilegítima de bienes o servicios a través de los tradicionales terminales de puntos de venta, y el pago no consentido en redes informáticas. En opinión de la doctrina, estas conductas se reconducen a la categoría más amplia de "uso ilícito de tarjetas o de los datos contenidos en ellas". Véase GARCÍA NOGUERA, ISABEL. "La reforma penal de la falsificación, tráfico y uso ilícito de las tarjetas bancarias", III Congreso Internet, Derecho y Política (IDP). Nuevas perspectivas [monográfico en línea]. IDP. Revista de Internet, Derecho y Política, No. 5, UOC, 2007. Disponible en: http://www.uoc.edu/idp/5/dt/esp/garcia.pdf [consulta: 5. Agosto. 2011]

Una de las mayores estafas en este ámbito fue detectada en 2005, cuando un hacker accedió al sistema informático de la plataforma Card System, que alojaba información sobre más de 40 millones de cuentas de tarjetas de Visa, MasterCard y otras empresas. Véase http://money.cnn.com/2005/06/17/news/master_card/ [consulta: 24. Agosto. 2011].

Véase, por todas, la sentencia del Tribunal Supremo 14/2007 de la Sala II de lo Penal, del 25 de enero de 2007, disponible on-line, en: http://sentencias.juridicas.com/docs/00263332.html [consulta: 10. Mayo. 2011].

A tal efecto, cabe citar la sentencia del Tribunal Supremo español del 3 de mayo de 2000, donde se advierte la imposibilidad de calificar como estafa el pago efectuado con una tarjeta ajena mediante la exhibición del documento de identidad del mismo sujeto que realizó la compra. En este caso, el Tribunal determina que no puede hablarse de engaño porque una actuación diligente del vendedor en sus deberes de verificación y comprobación hubiera permitido constatar que los datos del documento de identidad presentado en el momento del pago no se correspondían con los del verdadero titular de la tarjeta, lo cual hubiera impedido la transacción. Véase STS, Sala II de lo Penal, sentencia 738/2000, del 3 de mayo de 2000, disponible on-line, en: http://sentencias.juridicas.com [consulta: 10. Mayo. 2011].

ROMEO CASABONA, CARLOS MARÍA. Poder informático y seguridad jurídica, Fundesco, Madrid, 1987.

El texto de la sentencia y un comentario puede consultarse en VILLACORTA HERNÁNDEZ, MIGUEL. "Comentarios a la sentencia sobre la compra por Internet mediante tarjeta de crédito ajena", en Revista del CES Felipe II, No. 12, 2010, disponible en: http://www.cesfelipesegundo.com/revista/articulos2010/06.pdf [consulta: 11. Agosto. 2011]

Véase MATA Y MARTÍN, RICARDO. "Medios electrónicos de pago y delitos de estafa", en MATA Y MARTÍN, RICARDO y JAVATO MARTÍN, ANTONIO. Los medios electrónicos de pago. Problemas jurídicos, Comares, Granada, 2007, colección Derecho de la Sociedad de la Información, núm. 12, p. 321.

STS 40/2011 de la Sala II de lo Penal, del 28 de enero de 2011, disponible on-line, en: http://sentencias.juridicas.com/docs/00333242.html [consulta: 10. Mayo. 2011].

VELASCO NUÑEZ, ELOY. "Estafa informática y banda organizada. Phishing, pharming, smishing y «muleros»", en La Ley Penal. Revista de Derecho Penal, Procesal y Penitenciario, No. 49, mayo de 2008, pp. 19-29.

VELASCO NUÑEZ, ELOY. "Fraudes informáticos en red: del phishing al pharming", en La Ley Penal. Revista de Derecho Penal, Procesal y Penitenciario, No. 37, abril de 2007, sección Estudios, pp. 57-66.

Así lo ha expresado la doctrina española al indicar que el hecho de suplantar la identidad de una entidad bancaria (o de otra empresa) a través de la simulación de su página Web constituye un delito de falsedad en documento mercantil, "[...] en relación con el concepto penal de documento del artículo 26 del CP (La Ley 3996/1995), que obviamente engloba el que se vehiculiza mediante soporte electrónico o informático". Véase VELASCO NUÑEZ, ELOY. "Fraudes informáticos en red: del phishing al pharming", op. cit.

En la sentencia del Juzgado de 1ª instancia de Barcelona de 2006, el juez declara que "[...] es el banco quien debe asumir las consecuencias de la actuación fraudulenta de terceros mediante phishing, porque es la entidad la que ofrece el servicio defraudado, salvo que se demuestre conducta negligente grave por parte del cliente". La sentencia estima que existen medidas de seguridad que el banco no puso en marcha, y que puso en funcionamiento luego de denunciado el fraude, lo que "revela que él mismo [la entidad] ha considerado que el nivel de seguridad anterior no era el adecuado".

Cabe recordar que en España el concepto genérico de firma electrónica incluido en el artículo 3.1 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica se refiere al "[...] conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante".

Véase JAVATO MARTÍN, ANTONIO. "Análisis de la jurisprudencia penal en materia de medios electrónicos de pago", en MATA Y MARTÍN, RICARDO y JAVATO MARTÍN, ANTONIO. Los medios electrónicos de pago..., cit., p. 379.