Van den Eynde

Concierte una Visita:

93 317 06 54
andreu@icab.es

Paseo de Gracia 12-14, 4º 2ª
08007 Barcelona

Derecho Penal europeo y delitos informáticos

28/09/2015

EU-flagConocida es mi inclinación por los cursos que organiza la Academia de Derecho Europeo en temáticas relacionadas con los Delitos Informáticos o el Derecho Penal Europeo y en mi última ocasión de asistir he podido acudir a la magnífica ciudad de Estocolmo para seguir el curso sobre la lucha contra el uso ilícito de Internet Countering the Illegal Use of the Internet con algunas ponencias interesantes que resumiré en algunos posts y evidentemente en un entorno fascinante como es el de la capital sueca donde ¡ya ha llegado la Coca-Cola Life!

DELITOS INFORMÁTICOS Y DERECHO PENAL EUROPEO

Tengo que resaltar la ponencia del profesor Ian Walden del Institute for Computer and Communications Law (Centre for Commercial Law Studies, Queen Mary University of London) porque proporciona muchos elementos de discusión sobre la aproximación legal que desde Europa se hace al fenómeno de la ciberdelincuencia que, en definitiva, es lo que se acaba trasponiendo a las legislaciones nacionales de los Estados miembros.

El problema principal en materia de lucha contra la criminalidad informática es el de la armonización de las legislaciones nacionales (como ya decía en un anterior post), tanto en cuanto a la definición de los delitos como de los procedimientos. El derecho penal europeo es algo todavía demasiado reciente, que se inicia en los años noventa y no es hasta el Tratado de Lisboa que se potencia a través de establecer la necesidad de buscar medidas para definir infracciones y sanciones respecto de conductas que tienen un alcance transfronterizo y son graves, como determinado tipo de ciberdelincuencia.

En la política criminal europea se ha producido un cambio importantísimo con el tránsito desde los iniciales Acuerdos Marco de carácter no vinculante y de adopción unánime a las actuales Directivas que los Estados tienen la obligación de integrar, aunque lo hacen, en muchas ocasiones, más tarde del plazo impuesto como sucede actualmente con las Directivas relativas a los derechos del imputado en el procedimiento penal.

En términos de procedimiento también se ha avanzado desde los acuerdos de asistencia mutua hasta los modernos instrumentos de reconocimiento mutuo. La asistencia mutua es un sistema antiguo e ineficaz que depende de los recursos destinados a cumplir con los procedimientos y burocracia de la asistencia, mientras que el futuro pasa por reconocer las decisiones de los tribunales de otros Estados miembros, sin cuestionarlas.

Uno de los últimos instrumentos interesantes en materia penal es la Orden Europea de Investigación (EIO Directiva 2014/41/EU) que todavía tiene una efectividad incompleta.

Por poner un ejemplo, no ha sido firmada por Irlanda donde se encuentran casi todos los servidores de ISP estadounidenses. De hecho se ha especulado mucho sobre la decisión de Yahoo! de marcharse del Reino Unido a Irlanda seguramente por cuestiones estratégicas de “medio ambiente” legal.

Actualmente también se ha avanzado mucho con la creación de instituciones específicas de cooperación internacional, como Europol o Eurojust.

Conviene, sin embargo, analizar las principales directivas en materia penal relacionada con los delitos informáticos y, a partir de su examen, sugerir muchos de los interrogantes que aún hoy están sin resolver de forma definitiva.

DIRECTIVA 2011/92 CONTRA LA EXPLOTACIÓN SEXUAL Y LA PORNOGRAFÍA INFANTIL

La Directiva 2011/92/UE es la superación del Acuerdo-Marco del año 2004 en materia de protección frente al abuso sexual, la explotación sexual y la pornografía infantil y es un buen ejemplo de los problemas que conlleva la interpretación de instrumentos internacionales.

Ninguno de los problemas que apuntaré en el presente post tiene una respuesta unívoca y sólo una evolución jurisprudencial en el análisis de delitos informáticos podrá superar la actual incertidumbre, incertidumbre que en todo caso beneficia (como es evidente) a la defensa penal desde la perspectiva del imputados.

a) Posesión de pornografía

La cuestión de la posesión de pornografía infantil es complicada porque la Directiva da la opción de no criminalizar la posesión para uso privado que en definitiva es algo que puede afectar muy gravemente las posibilidades de investigación de los delitos de pornografía infantil a nivel internacional.

Aparte se deja la posibilidad de no criminalizar la posesión si no hay “riesgo de diseminación” que es un concepto muy poco definido. Esto tiene mucha aplicación en la práctica forense en supuestos en los que se utilizan redes P2P para compartir archivos pedófilos y donde la descarga se produce en una carpeta compartida (por ejemplo la carpeta Incoming del programa cliente) que es, al mismo tiempo, carpeta de bajada y de subida (download y upload). Hay algunos casos interesantes que analizan a nivel internacional esta cuestión que sigue siendo un problema real en la defensa penal ya que actualmente, en Internet, “poseer es producir” en muchas ocasiones.

En la práctica de los procesos penales españoles la Fiscalía tiende a acusar por distribución a aquellos que son poseedores de archivos pedófilos en carpetas compartidas en el programa P2P y es la defensa la que, en muchas ocasiones, tiene que probar que el dolo criminal no se extendía a la distribución debido a que el material descargado quedaba, de forma involuntaria, a disposición de terceros en la carpeta común de descarga y carga.

b) Consecuencias para el infractor

Uno de los temas problemáticos de la Directiva es la intención de controlar el futuro del ofensor, para evitar que pueda ser calificado para llevar a cabo determinadas actividades que estarían relacionadas con la previa actividad criminal.

Aquí se abre un campo de discusión que tiene que ver no sólo con la necesidad de establecer penas específicas para la criminalidad informática (prohibición de utilización de equipos o sistemas informáticos) sino también con las posibilidades de “registrar” y controlar los ofensores y cómo esto podría entrar en conflicto con el derecho a la intimidad y con la regulación de protección de datos.

Y es que la asignatura pendiente del derecho penal europeo es la de la armonización, también, de las sanciones y no sólo de las infracciones.

c) Intervenciones preventivas

Otro elemento interesante de la Directiva es que habla de sistemas de intervención preventiva, como las formas de enviar advertencias de take-down, así como sobre la necesidad de que los estados establezcan medidas de bloqueo de webs.

Todo esto genera muchos problemas en la práctica, como los relativos a la fórmula que se utilizará para notificar a los usuarios que una página web ya no está disponible por causa de contenidos ilegales. ¿Debemos decirles que ya no se puede visitar o debemos avisarles específicamente de que es una página web prohibida?

DIRECTIVA 2013/40 SOBRE INTEGRIDAD DE SISTEMAS

Otro ejemplo de la evolución del Derecho Penal europeo es la Directiva sobre Ataques a Sistemas de Información que sustituye al antiguo Acuerdo-Marco 2005/222/JAI y que nuevamente genera muchas incógnitas, preguntas y retos que será interesante ir solucionando con el tiempo.

a) Medidas de seguridad

En cuanto a las conductas de hacking (acceso ilegal a la información alojada en equipos o sistemas) la Directiva deja la posibilidad de que el acceso ilegal punible requiera del uso de fórmulas para saltarse las medidas de seguridad del equipo o sistema, que es la opción elegida por ejemplo en la tipificación del vigente artículo 197 bis del Código Penal español.

Una pregunta, de entrada, es la relativa a qué significa “medidas de seguridad” que, en definitiva, es la discusión típica del abogado defensor en procesos penales españoles por intromisión ilegítima.

¿La vulneración de las medidas debe basarse en código informático o es un concepto más amplio y abierto? Es evidente que un caso de crackeo de passwords encaja en el tipo penal, pero no está bien definida la frontera de punibilidad.

En Noruega, por ejemplo, se sometió a discusión en la jurisdicción penal si era intromisión ilegítima un supuesto de pinging dándose lugar a la absolución porque se entendió que el pinging es un test y no un acceso.

b) Interrupción de sistemas

Evidentemente una de las grandes mejoras técnicas de la legislación europea ha sido la preocupación por las conductas de interferencia en sistemas que no implican cambios ni destrucción, fundamentalmente las conductas de ataques DDoS que ya se incluyen en la Directiva de forma expresa y han acabado configurando el actual delito del artículo 264 bis del Código Penal español.

c) Interceptación de comunicaciones

En 2011 también se regularon por primera los supuestos de interceptación ilegal de comunicaciones. En este ámbito la polémica sigue siendo la de qué se entiende por “acto de comunicación” y si eso incluye sólo los mensajes en proceso de transmisión o si incluye casos como los de un mensaje de voz no escuchado. Otra cuestión polémica es la relativa a si la interceptación debe producirse “desde fuera” del sistema o equipo o si es posible cometer el delito con una interceptación desde una perspectiva interna como por ejemplo a través de una monitorización con un keylogger.

d) Precursores

El Derecho Penal europeo también se ha preocupado muy recientemente de la incriminación de los Precursores que, de hecho, son una gran novedad en la reforma 2015 del Código Penal español que ya casi prevé como delito todas las conductas de Precursores de los delitos informáticos (un precursor es aquella conducta destinada a facilitar la comisión de otros delitos) y que se encuentran en los artículos 197 ter, 248.2.b, 264 ter, 270.6 y 286 del Código Penal español.

Hoy en día, con el crime-as-a-service, ya no tenemos por qué saber informática para cometer ciberdelitos porque se puede comprar de todo: zero-exploits, rootkits, botnets, keyloggers.

Aquí finalmente conviene resaltar cuáles son los problemas de interpretación y que tienen que ver con el tema del “dual-use” o el carácter “neutro” de determinadas herramientas informáticas que sus creadores alegan que no tienen un propósito criminal. El abogado defensor deberá discutir en el juicio, por tanto, sobre la posibilidad de una utilidad legal o no del programa informático. Sólo los programas “diseñados para un propósito principalmente criminal” podrán incluirse en los delitos del Código Penal para que concurra, evidentemente, el dolo criminal en su modalidad, como mínimo, eventual.

Como veis, hay más preguntas que respuestas.

ADN cadena de custodia cifrado contraseña Delito informático Derecho Penal económico error judicial forense Hacking internet investigación Menores nulidad prueba Psicología del testimonio Redes Sociales Rueda de reconocimiento testigo troyano True Crypt

Buscar

Sobre mí

Andreu Van Den Eynde Me dedico desde hace 18 años a la defensa y asesoramiento especializados en materia penal, ejerciendo como abogado ante los juzgados y tribunales españoles en la defensa de los intereses de mis clientes en todo tipo de conflictos.

Contacto

Paseo de Gracia 12-14, 4º 2ª
08007 Barcelona

93 317 06 54 | Fax 93 412 07 39
andreu@icab.es


Muestra un mapa más grande