Con la Ley orgánica 5/2010 se modificó nuestro Código Penal de tal forma que el 23 de diciembre de 2010 se describen nuevos tipos relacionados con la informática y las telecomunicaciones. En los siguientes post haré un repaso por los mismos.
Hacking
A diferencia del Proyecto de Reforma de 2007 no se ha incluido la palabra hacker o hacking en la descripción del tipo, cosa que sin duda es un acierto, porque la sociedad no suele identificar correctamente el término (recordar la diferencia entre white hat hacking por un lado y black hat hacking o cracking por otro). Sin embargo, si se ajusta a una conducta de hacking la descripción del tipo, pero no del elemento subjetivo (intencionalidad) de la conducta.
Art 197.3: "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tengo el legítimo derecho a excluirlo, será castigado con pena de prisión de 6 meses a dos años."
La novedad es que se criminaliza el mero acceso, y cualquier acceso, en contraposición a la situación anterior del Código Penal donde el tipo se basaba en la apropiación o descubrimiento de secretos, donde se requería al menos una apropiación de datos y no la posibilidad de que esta exista.
Son claves la ausencia de intención de producir cualquier perjuicio y la vulneración intencional de las medidas de seguridad establecidas, dejando claro con esta última que no se penalizan los accesos fortuítos.
Y a nivel internacional...
La reforma se plasma así de la forma más estricta sugerida por la Decisión Marco 2005/222/JHA de donde deriva, en la cual se decía:
"Each Member State shall take the necessary measures to ensure that the intentional access without right to the whole or any part of an information system is punishable as a criminal offence, at least for cases which are not minor."
(Cada Estado Miembro deberá tomar las medidas necesarias para asegurar que el acceso intencional sin derecho a un sistema de información o parte de el es castigable como delito, al menos en los casos no menores).
También plasma de la forma más dura posible el tipo dentro del Marco del Convenio de Budapest 2001:
"Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system."
(Cada estado miembro deberá adoptar a nivel legislativo y de otras formas las medidas necesarias para establecer como delito bajo su ley doméstica, cuando se haya cometido de forma intencional, el acceso a un sistema de ordenadores o parte del mismo sin derecho. El Estado miembro puede requerir si la ofensa a sido cometida infringiendo medidas de seguridad, con el intento de obtener datos informáticos o otras intenciones deshonestas, o en relación a un ordenador que esta conectado a una red o sistema).
Se ha optado así por no atender a la calidad del acceso, quizás para zanjar los problemas de prueba que eso puede ocasionar.
Pero...
Sin embargo la clave que ofrece de forma optativa el Convenio de Budapest es muy interesante y debiera haberse plasmado para delinear mas correctamente el tipo frente al espíritu del derecho penal y en concreto del artículo donde se encuentra, el 197, donde se habla del descubrimiento y revelación de secretos: la intencionalidad de obtener datos informáticos o otras intenciones deshonestas.
Porque un hacker es aquel que llega a la perfección máxima de su ciencia mediante el conocimiento absoluto del medio y las herramientas que se utilizan. La labor de un hacker informático es encontrar todas las imperfecciones de seguridad de una red o sistema. Y esto, va a ser delito. El hacker no podrá desarrollar su ciencia en sistemas existentes y, según el tipo penal, no podrá indicar la existencia de fallos en el mismo. Se dejará que llegue el cracker primero para destruir o apoderarse del sistema.
Aquí el tipo de describe de forma demasiado abierta por un lado y se olvida de todo elemento subjetivo.
Aquí el tipo de describe de forma demasiado abierta por un lado y se olvida de todo elemento subjetivo.
Una pena que se podría haber solucionado con dos palabras: intencionalidad deshonesta.
Para saber más:
Convenio Internacional de Budapest sobre Ciber-Crimen 2001 (inglés)
Decisión Marco 2005/222/JHA relativa a los ataques contra los sistemas de información (Bilingüe Inglés-Español)
LO 5/2010 de reforma el Código Penal (PDF).
Para saber más:
Convenio Internacional de Budapest sobre Ciber-Crimen 2001 (inglés)
Decisión Marco 2005/222/JHA relativa a los ataques contra los sistemas de información (Bilingüe Inglés-Español)
LO 5/2010 de reforma el Código Penal (PDF).
No hay comentarios:
Publicar un comentario