d
Follow us
  >  Blog   >  Dret Penal europeu i delictes informàtics

Dret Penal europeu i delictes informàtics

EU-flagConeguda és la meva inclinació pels cursos que munta l’Acadèmia de Dret Europeu en temàtiques relacionades amb els Delictes Informàtics o el Dret Penal Europeu i en la meva última ocasió d’assistir-hi he pogut acudir a la magnífica ciutat d’Estocolm per seguir el curs sobre la lluita contra l’ús il·lícit d’Internet Countering the Illegal Use of the Internet amb algunes ponències interessants que resumiré en alguns posts i evidentment en un entorn fascinant com és el de la capital sueca on ja ha arribat la Coca-Cola Life!

DELICTES INFORMÀTICS I DRET PENAL EUROPEU

He de ressaltar la ponència del professor Ian Walden de l’Institute for Computer and Communications Law (Centre for Commercial Law Studies, Queen Mary University of London) perquè proporciona molts elements de discussió sobre l’aproximació legal que des d’Europa es fa del fenomen de la ciberdelinqüència que, en definitiva, és el que acaba transposant-se a les legislacions nacionals dels estats membres.

El problema principal en matèria de lluita contra la criminalitat informàtica és el de l’harmonització de les legislacions nacionals (com ja deia en un anterior post), tant pel que fa a la definició dels delictes com dels procediments. El dret penal europeu és una cosa encara massa recent, que s’inicia als anys noranta i no és fins al Tractat de Lisboa que es potencia a través d’establir la necessitat de buscar mesures per definir infraccions i sancions respecte de conductes que tenen un abast transfronterer i són greus, com determinat tipus de ciberdelinqüència.

En la política criminal europea s’ha produït un canvi importantíssim amb el trànsit des dels inicials Acords Marc de caràcter no vinculant i d’adopció unànime a les actuals Directives que els Estats tenen l’obligació d’integrar, tot i que ho fan, en moltes ocasions, més tard del termini imposat com succeeix actualment amb les Directives relatives als drets de l’imputat al procediment penal.

En termes de procediments també s’ha avançat des dels acords d’assistència mútua fins els moderns instruments de reconeixement mutu. L’assistència mútua és un sistema antic i ineficaç que depèn dels recursos destinats a complir amb els procediments i burocràcia de l’assistència, mentre que el futur passa per reconèixer les decisions dels tribunals d’altres estats membres, sense qüestionar-les.

Un dels últims instruments interessants en matèria penal és l’Ordre Europea d’Investigació (EIO Directiva 2014/41/EU) que encara té una efectivitat incompleta.

Per posar un exemple, no ha estat signada per Irlanda on es troben quasi bé tots els servidors d’ISP americans. De fet s’ha especulat molt sobre la decisió de Yahoo! de marxar del Regne Unit a Irlanda segurament per qüestions estratègiques de “medi ambient” legal.

Actualment també s’ha avançat molt amb la creació d’institucions específiques de cooperació internacional, com Europol  o Eurojust.

Convé, no obstant, analitzar les principals directives en matèria penal relacionada amb els delictes informàtics i, a partir del seu examen, suggerir molts dels interrogants que encara avui estan sense resoldre de forma definitiva.

DIRECTIVA 2011/92 CONTRA L’EXPLOTACIÓ SEXUAL I LA PORNOGRAFIA INFANTIL

La Directiva 2011/92/UE és la superació de l’Acord-Marc de l’any 2004 en matèria de protecció front l’abús sexual, l’explotació sexual i la pornografia infantil i és un bon exemple dels problemes que comporta la interpretació d’instruments internacionals.

Cap dels problemes que apuntaré en el present post té una resposta unívoca i només una evolució jurisprudencial en l’anàlisi de delictes informàtics podrà superar l’actual incertesa, incertesa en tot cas que beneficia (com és evident) la defensa penal des de la perspectiva dels imputats.

a) Possessió de pornografia

La qüestió de la possessió de pornografia infantil és complicada perquè la Directiva dóna l’opció de no criminalitzar la possessió per ús privat que en definitiva és quelcom que pot afectar molt greument les possibilitats d’investigació dels delictes de pornografia infantil a nivell internacional.

Apart es deixa la possibilitat de no criminalitzar la possessió si no hi ha “risc de disseminació” que és un concepte molt poc definit. Això té molta aplicació en la pràctica forense en supòsits en els que s’utilitzen xarxes P2P per a compartir arxius pedòfils i on la descàrrega es produeix a una carpeta compartida (per exemple la carpeta Incoming del programa client) que és, alhora, carpeta de baixada i de pujada (download i upload). Hi ha alguns casos interessants que analitzen a nivell internacional aquesta qüestió que segueix sent un problema real en la defensa penal ja que actualment, a Internet, “posseir és produir” en moltes ocasions.

En la pràctica dels processos penals espanyols la Fiscalia tendeix a acusar per distribució a aquells que són posseïdors d’arxius pedòfils en carpetes compartides al programa P2P i és la defensa la que, en moltes ocasions, ha de provar que el dol criminal no s’estenia a la distribució pel fet que el material descarregat quedava, de forma involuntària, a disposició de tercers en la carpeta comú de descàrrega i càrrega.

b) Conseqüències per l’infractor

Un dels temes problemàtics de la Directiva és la intenció de controlar el futur de l’ofensor, per evitar que pugui ser qualificat per dur a terme determinades activitats que estarien relacionades amb la prèvia activitat criminal.

Aquí s’obre un camp de discussió que té a veure no només amb la necessitat d’establir penes específiques per la criminalitat informàtica (prohibició d’utilització d’equips o sistemes informàtics) sinó també amb les possibilitats de “registrar” i controlar els ofensors i com això podria entrar en conflicte amb el dret a la intimidat i amb la regulació de protecció de dades.

I és que l’assignatura pendent del dret penal europeu és la de l’harmonització, també, de les sancions i no només de les infraccions.

c) Intervencions preventives

Un altre element interessant de la Directiva és que parla de sistemes d’intervenció preventiva, com les formes d’enviar advertiments de take-down, així com sobre la necessitat que els estats estableixin mesures de bloqueig de webs.

Tot això genera molt problemes a la pràctica, com els relatius a la fórmula que s’ha de fer servir per notificar als usuaris que una pàgina web ja no està disponible per causa de continguts il·legals. Hem de dir-los que ja no es pot visitar o hem d’avisar-los específicament de que és una pàgina web prohibida?

DIRECTIVA 2013/40 SOBRE INTEGRITAT DE SISTEMES

Un altre exemple de l’evolució del Dret Penal europeu és la Directiva sobre Atacs a Sistemes d’Informació que substitueix l’antic Acord-Marc 2005/222/JAI i que novament genera moltes incògnites, preguntes i reptes que serà interessant anar solucionant amb el temps.

a) Mesures de seguretat

Quant a les conductes de hacking (accés il·legal a la informació allotjada en equips o sistemes) la Directiva deixa la possibilitat que l’accés il·legal punible requereixi de l’ús de fórmules per saltar-se les mesures de seguretat de l’equip o sistema, que és l’opció triada per exemple en la tipificació del vigent article 197 bis del Codi Penal espanyol.

Una pregunta, d’entrada, és la relativa a què significa “mesures de seguretat” que, en definitiva, és la discussió típica de l’advocat defensor en processos penals espanyols per intromissió il·legítima.

La vulneració de les mesures ha de basar-se en codi informàtic o és un concepte més ampli i obert? És evident que un cas de crackejar passwords s’encabeix en el tipus penal, però no està ben definida la frontera de punibilitat.

A Noruega, per exemple, es va sotmetre a discussió en la jurisdicció penal si era intromissió il·legítima un supòsit de pinging donant-se lloc a l’absolució perquè es va entendre que el pinging és un test i no un accés.

b) Interrupció de sistemes

Evidentment una de les grans millores tècniques de la legislació europea ha estat la preocupació per les conductes d’interferència als sistemes que no impliquen canvis ni destrucció, fonamentalment les conductes d’atacs DDoS que ja s’inclouen en la Directiva de forma expressa i han acabat configurant l’actual delicte de l’article 264 bis del Codi Penal espanyol.

c) Interceptació de comunicacions

El 2011 també van regular-se per primer com els supòsits d’interceptació il·legal de comunicacions. En aquest àmbit la polèmica segueix sent la de què s’entén per “acte de comunicació” i si això inclou només els missatges en procés de transmissió o si inclou casos com els d’un missatge de veu no escoltat. Una altra qüestió polèmica és la relativa a si la interceptació s’ha de produir “des de fora” del sistema o equip o si és possible cometre el delicte amb una interceptació des d’una perspectiva interna com amb una monitorització amb keylogger.

d) Precursors

El Dret Penal europeu també s’ha preocupat molt recentment de la incriminació dels Precursors que, de fet, són una gran novetat en la reforma 2015 del Codi Penal espanyol que ja gairebé preveu com a delicte totes les conductes de Precursors dels delictes informàtics (un Precursor és aquella conducta destinada a facilitar la comissió d’altres delictes) que es troben als articles 197 ter, 248.2.b, 264 ter, 270.6 i 286 del Codi Penal espanyol.

Avui en dia, amb el crime-as-a-service, ja no tenim perquè saber informàtica per cometre ciberdelictes perquè es pot comprar tot: zero-exploits, rootkits, botnets, keyloggers.

Aquí finalment convé ressaltar quins són els problemes d’interpretació i que tenen a veure amb el tema del “dual-use” o el caràcter “neutre” de determinades eines informàtiques que els seus creadors al·leguen que no tenen un propòsit criminal. L’advocat defensor haurà de discutir en el judici, per tant, sobre la possibilitat d’una utilitat legal o no del programa informàtic. Només els programes “dissenyats per un propòsit principalment criminal” podran encabir-se en els delictes del Codi Penal perquè concorrerà, evidentment, el dol criminal en la seva modalitat, com a mínim, eventual.

Com veieu, hi ha més preguntes que respostes.