d
Follow us
93 317 06 54 Truca'ns per a qualsevol consulta
  >  Posts tagged "espionatge"

Una de les dificultats més importants a l’hora d’estudiar el fenomen de la ciberdelinqüència des d’un punt de vista legal i exercir en la pràctica la defensa o acusació en casos de delictes informàtics és la poca jurisprudència existent i, sobretot, els greus problemes de seguretat jurídica que provenen d’un cos de precedents escàs, poc consolidat i de vegades inaccessible a la unificació de criteris del Tribunal Suprem. Això s’explica no només per la dificultat de la matèria sinó també per la construcció mateixa dels tipus delictius que abusen de conceptes jurídics indeterminats o preveuen conductes poc habituals o sobre les que opera amb major contundència el principi de minimis non curat praetor, és a dir, que la llei no té interès en els assumptes menors. La ciberdelinqüència sovint s’expressa en infinitat d’atacs lleus que conformen un fenomen criminal molt greu però ocult. Les concretes manifestacions d’aquesta criminalitat sovint no interessen ni al dret, ni a la policia ni als tribunals. Víctimes de fraus o sabotatges aïlladament lleus (tinguem en compte per exemple els fraus en la venda online de pocs centenars d’euros) no motiven cap investigació seriosa, mentre són les manifestacions de dinàmiques criminals mafioses, grans aparells complexos de victimització, sovint conduïts des de jurisdiccions estrangeres.

CIBERDELINQÜÈNCIA I SEGURETAT JURÍDICA

No obstant el Tribunal Suprem des de l’establiment del sistema de cassació per infracció de llei de l’article 849.1 LECr ha tingut oportunitat d’oferir alguns criteris d’unificació de doctrina. Des de la STS 2010/2017 de 28 de març (i conforme l’acord del Ple no jurisdiccional de la Sala Segona del Tribunal Suprem de 9 de juny de 2016) s’ha iniciat aquesta via d’homogeneïtzació de la interpretació de les normes penals, per protegir no només la tutela judicial sinó també el principi de seguretat jurídica i la igualtat en la interpretació de la llei. La nova cassació està ja proporcionant algunes interpretacions que, correctes o no, donen seguretat jurídica a l’hora d’enfrontar el fenomen de la cibercriminalitat.

JURISPRUDÈNCIA SOBRE DELICTES INFORMÀTICS

Indexaré algunes resolucions judicials que tracten alguns dels delictes informàtics més significatius. Més enllà de les sentències del Tribunal Suprem, les de la jurisprudència menor són útils per saber l’estat de la qüestió o perquè aborden matèries o controvèrsies específiques.

Hacking

En matèria d’intrusions informàtiques o hacking (197 bis CP) hi ha molt poca jurisprudència però és interessant la SAP Girona, 4a 358/2015, de 22 de juny perquè enumera alguns tipus de mesures de seguretat (biometria, tallafocs, xifrat, contrasenyes, etc.) a fi d’integrar l’element típic fonamental del delicte: la vulneració de mesures de seguretat per introduir-se sense autorització en un equip o sistema informàtic.

Descobriment i revelació de secrets

Respecte dels delictes d’espionatge (descobriment i revelació de secrets) dels articles 197 i següents del Codi Penal hi ha diferents sentències interessants, algunes del Tribunal Suprem. En la STS de 23 d’abril de 2019 es parla sobre l'existència o no d’autorització per a l’accés a les dades persones o familiars. Es determina que “autorització” no és tenir dret a accedir a les dades sinó estar-ho fent “dintre de les funcions encomanades”. Segons aquesta jurisprudència un funcionari que tingués accés a les nostres dades estaria cometent un delicte si hi accedeix per motius diferents dels que tenen a veure amb les seves funcions. En la STS de 29 d’abril de 2019 es diferencia entre les dades sensibles (el perjudici típic serà implícit) i les dades reservades no sensibles (on s’haurà de demostrar el possible perjudici). En la STS de 19 de desembre de 2019 es fa evident el tractament com a concurs real de delictes de les diferents accions d’espionatge, demanant aleshores el Tribunal un indult pels condemnats a causa de la desproporció de la pena. Respecte la interessant controvèrsia sobre la monitorització dels treballadors per part dels empresaris, les sentències clau que conformen els tres diferents punts de vista sobre la qüestió són la STC 241/2012 que establia els criteris de monitorització relacionats amb una controvèrsia d’índole laboral, mentre que la STS de 16 de juny de 2014 de la Sala Penal ressituava el debat de forma més exigent recordant la necessitat d’autorització judicial per a la investigació de sospites de delictes comesos per empleats. Finalment tenim el referent de la STEDH de la Gran Sala en el cas Barbulescu que és el referent actual en la matèria, molt exigent en quant a la protecció de drets fonamentals.

Estafa informàtica

En matèria de fraus i estafes informàtiques la STS de 17 de desembre de 2008 fa una curiosa assimilació entre l’element típic de “l’artifici semblant” i la simple utilització d’un equip informàtic, mentre que la recent STS de 10 de febrer de 2020 parla d’estafa informàtica per utilització de claus robades. Al meu parer segueix existint una confusió molt habitual entre les diferents modalitats de l’estafa (estafa tradicional de l’article 248.1 CP i estafa informàtica de l’article 248.2.a CP) que fan difícil entendre quan s’ha de demostrar un “engany” típic i quan no farà falta perquè l’estafa és informàtica stricto sensu i només requereix de la demostració de la utilització d’una “manipulació informàtica o artifici similar”.

Danys informàtics

No existeix jurisprudència rellevant del Tribunal Suprem sobre els danys informàtics dels actuals articles 264 a 264 ter CP, una de les situacions més complexes al meu entendre donada la complicada incriminació de les conductes que preveu. El requisit de la “doble gravetat” (gravetat de conducta i gravetat de resultat) en la conducta de sabotatge informàtic (264 CP) fa molt complicada l’aplicació del tipus però, contràriament, la jurisprudència menor està condemnant per danys a conductes que teòricament no hi tenen encaix. Algunes sentències de la jurisprudència menor tracten alguns aspectes: La SAP Badajoz, 3a núm. 130/2018 de 23 de juliol tracta sobre l'existència d'una temptativa de danys en supòsits de restabliment fàcil de les dades esborrades; la SAP Lleida, 1a núm. 201/2018 de 4 de maig parla sobre el concepte de gravetat del dany; la SAP Madrid, 23a núm. 23/2017 de 10 de gener sembla integrar (erròniament) el concepte de “dany” amb el de “perjudici”. De les poques sentències que conec que tracten sobre la conducta d’interrupció de sistemes (264 bis CP) hi ha el cas Anonymous que es va resoldre en primera instància en la Sentència del Jutjat Penal 3 de Gijón, Sentència núm. 224/2016 de 6 Juliol i que va ser absolutòria (confirmada per l’Audiència Provincial).

Suplantació de personalitat

La dificultat per encaixar les suplantacions de perfils de xarxes socials a internet en el delicte d’usurpació d’estat civil és unànime en la jurisprudència (per exemple la SAP Saragossa, 6a núm. 106/2018 de 10 d’abril), però resulta interessant l’alternativa que es planteja sobre incardinació en un delicte de falsedat en document electrònic en la Interlocutòria AP Madrid, 1a, núm. 461/2017 de 25 de maig.

Child grooming

En relació al delicte de child grooming de l’article 183 ter CP hi ha també algunes resolucions importants del Tribunal Suprem. En la STS núm. 864/2015, de 10 de desembre, el Tribunal Suprem convalida la “monitorització” o control dels pares sobre els comptes de xarxes socials del fills menors d’edat per a prevenir el risc de victimització i determina la consumpció del delicte de grooming dins el delicte contra la llibertat sexual comès posteriorment (concurs de normes), inclús contra la literalitat del precepte que suggeria un concurs real de delictes. La tesi del concurs de lleis entre el grooming (captació del menor) i el delicte sexual finalment executat (abús o agressió) la manté també la STS núm. 109/2017, de 22 de febrer i s’ha acabat concretant en l’Acord no jurisdiccional del Ple de la Sala Segona de 8 de novembre de 2017.

Stalking

El delicte d’assetjament o stalking ja ha estat tres vegades abordat pel Tribunal Suprem amb unes importants resolucions que defineixen els elements típics fonamentals: reiteració de comportaments, vocació de persistència i greu afectació a la vida de la víctima. Són les STS núm. 324/2017, de 8 de maig, la STS núm. 554/2017, de 12 de juliol i la STS núm. 117/2019, de 6 de març. La primera sentència sobre aquest tipus penal l’havia dictat el Jutjat d’Instrucció núm. 3 de Tudela, Sentència de 23 de març de 2016 en un cas de conformitat en diligències urgents.

Sexting

La STS núm. 70/2020 de 27 de febrer aborda per primera vegada l’anàlisi del delicte previst a l’article 197.7 que s’ha relacionat en ocasions amb els conceptes de sexting o revenge porn. La sentència discuteix i determina doctrina en relació al contingut del material difós, la responsabilitat de qui difon la informació i la dels tercers que la tornen a difondre sense haver-la obtingut de la víctima directament (p.ex. retuits) constituint una interessant aproximació al fenomen criminal. Queden encara moltes incògnites i dubtes d'interpretació de la llei en matèria de ciberdelinqüència que esperem que es vagin solucionant un cop els jutjats i tribunals afrontin amb valentia la tasca de lluitar contra aquest fenomen.
Continue Reading

privacy keyboardHem d’anar-nos fent la idea de que ens espien. I no només controlen les dades que ja publiquem voluntàriament a Internet (la intimitat que divulguem amb major o menor consciència de que “tot allò que es puja a la xarxa no pot ja mai retirar-se”) sinó que registren les nostres comunicacions privades o secretes (cas PRISM). La retenció de dades de tràfic a internet (per exemple les dades dels nostres correus electrònics) és una mesura generalitzada arreu que es fonamenta en l’interès per garantir la seguretat nacional i la investigació de delictes greus. Així que, siguem uns delinqüents o els ciutadans més modèlics, hi ha algun lloc al món on algú té emmagatzemades les nostres converses, això és un fet.

LA RETENCIÓ DE DADES D’INTERNET NO ÉS LA SOLUCIÓ

La paradoxa, no obstant, és que la retenció de les dades de tràfic d’internet no garanteix a priori més seguretat per a tots nosaltres. Contràriament, la defensa dels interessos de la ciutadania no trobarà cap tipus d’utilitat en aquest espionatge generalitzat. Tot i la popularitat del Big Data, ens trobem amb l’etern problema de que la gestió de massa dades fa precisament més difícil la tasca de trobar les que són realment importants. El control de tothom converteix a tothom en sospitós i, per tant, els delinqüents s’amaguen entre un grup més gran d’objectius i passen desapercebuts. Ja fa uns anys vaig sentir com el Director de l’Institut europeu de Recerca en Ciberdelicte, el professor Marco Gercke predicava precisament que la retenció indiscriminada de dades de tràfic a internet el que feia precisament és dissuadir d’altres mètodes d’investigació tradicionals. Controlar totes les comunicacions d’internet i guardar-les és el mateix que posar una càmera que filmi l’interior de totes les cases de tal forma que si es produeix un assassinat puguem revisar totes les filmacions i veure qui l’ha comès. Si confiem en aquests mètodes d’investigació (com passa de forma semblant en el sistema penal espanyol on es confia massa en la confessió del detingut com a mitjà d’investigació), el que farem és abandonar i no perfeccionar mètodes d'investigació més efectius. L’escenari s’assembla cada cop més a la societat de 1984 (George Orwell) o la distòpia de Nosaltres (Ievgueni Zamiatin) però qui hagi llegit alguna de les dues novel·les sabrà que precisament no és la seguretat el que es garanteix amb el control absolut de les vides dels ciutadans, sinó que es fomenta quelcom diferent i molt més perillós, el control serveix per a garantir la seguretat “d’alguns” però no de tots. És inútil en tot cas criticar tècnicament l’espionatge del serveis secrets, ja que és una opció política i no té res a veure amb la legalitat. La legalitat de la intel·ligència i els serveis secrets és sempre una legalitat ad hoc i d’excepció, fora del control judicial i inclús parlamentari. Mentre les societats creguin que és necessari mantenir “secrets oficials” hi haurà parcel·les excloses del coneixement de la ciutadania i, per tant, immunes a l’exigència de responsabilitats.

COM POT AJUDAR LA RETENCIÓ DE DADES ALS PARTICULARS

A la gent “normal” la retenció de dades no li genera un especial avantatge o protecció. En moltes ocasions de la meva pràctica professional com a defensor m’he trobat amb la penosa evidència de que la tecnologia mai funciona quan la necessitem els particulars. Les càmeres de videovigilància o les dades informàtiques mai hi són quan les necessita la víctima anònima, i les exigències per a que un ciutadà pugui usar d’una investigació tècnica informàtica són molt més estrictes que quan la investigació la dirigeix l’Estat. Els jutges analitzen molt profundament el requisit de “gravetat” que ha de presentar un delicte investigat, i la proporcionalitat de la mesura d’investigació, de tal forma que un ciutadà objecte d’unes injúries o calúmnies a internet té moltes menys possibilitats d’esbrinar qui és l’autor de l’insult perquè els fets no tenen la transcendència necessària per a motivar la investigació tecnològica. I si el que volem és que no puguin controlar les nostres dades, aleshores en el futur no hi haurà més remei que fer ús de tècniques de xifrat (com defensa Assange a Cypherpunks, el llibre prologat per Enrique Dans) tot i que, sent sincers, sembla difícil que res quedi protegit de la intervenció del Gran Germà o de la perícia hacker, i com a mostra el control de les xarxes TOR o el recent robatori de Bitcoins. Millor no parlar gaire.
Continue Reading