Buscar este blog

miércoles, 20 de abril de 2022

Para la condena por delito de daños informáticos no basta con que el resultado sea grave, lo ha de ser también la acción de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesible el sistema o los datos que éste incorpora.

 

La sentencia de la Sala de lo Penal del Tribunal Supremo, sec. 1ª, de 22 de mayo de 2020, nº 220/2020, rec. 3019/2018, absuelve al recurrente del delito de daños informáticos en grado de tentativa porque  para la condena por delito de daños informáticos no basta con que el resultado sea grave, lo ha de ser también la acción de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesible el sistema o los datos que éste incorpora. 

El borrado de 54 carpetas que incluyen 1074 archivos, que al ser eliminados se alojan en la papelera de reciclaje y sobre los que el acusado no vuelve a intentar ninguna acción destructiva, no alcanza la relevancia típica exigida por el art. 264.1 del CP. 

El artículo 264 del Código penal regula el delito de daños informáticos: 

"1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años. 

2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias: 

1.ª Se hubiese cometido en el marco de una organización criminal. 

2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos. 

3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad. 

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones. 

5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter. 

Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado. 

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero”. 

A) Antecedentes. 

La Sección Tercera de la Audiencia Provincial de Badajoz -Mérida- dictó, con fecha 23 de julio de 2018, la sentencia núm. 130/2018, en la que se condenaba a Luis como autor de los siguientes delitos: a) un delito de hurto, concurriendo la agravante de abuso de confianza, a las penas de 1 año y 2 meses de prisión, con la accesoria de inhabilitación especial para el ejercicio del derecho de sufragio pasivo durante el tiempo de la condena; b) un delito de daños informáticos en grado de tentativa, con la agravante de abuso de confianza, a las penas de 5 meses de prisión y la accesoria de inhabilitación especial para el ejercicio del derecho de sufragio durante el mismo tiempo; c) un delito continuado de apropiación indebida, sin concurrir circunstancias modificativas de la responsabilidad criminal, a las penas de 2 años de prisión y la accesoria de inhabilitación especial para el ejercicio del derecho de sufragio durante el tiempo de la condena. 

B) El delito de  daños informáticos. 

La Audiencia Provincial de Badajoz -Mérida estima que el delito doloso de daños informáticos lo habría cometido Luis al borrar determinados archivos que constaban en los ordenadores del Registro de la Propiedad. 

Así se expresa en el juicio histórico: "...esa tarde en que el acusado permaneció en su despacho aprovechó para acceder a su ordenador y usuario y borrar de su ubicación en la carpeta "escritorio" 54 carpetas que contenían 1074 archivos informáticos, de los que no existía copia de seguridad y que contenían documentos relacionados con el funcionamiento de la oficina liquidadora, como recursos, resoluciones, modelos y documentos de expedientes concretos de la oficina. De dichas carpetas el acusado era el único que disponía de permisos de administrador para poder borrarlas". 

Fue al día siguiente cuando el borrado de esos archivos produjo sus efectos: "...ese día 10 de julio por la mañana doña Casilda observó que no podía acceder a una carpeta del ordenador con archivos a los que solamente tenían acceso ella y el Sr. Luis. Dichos archivos, a los que el acusado les había cambiado previamente la denominación y el icono, pudieron finalmente ser recuperados el lunes 13 de julio por el informático Sr. Aníbal en la papelera de reciclaje del equipo del Sr. Luis, en donde habían sido ubicados por el sistema operativo tras su eliminación". 

La vía casacional hecha valer por el recurrente exige como presupuesto metodológico la aceptación del hecho probado. Pues bien, en el factum no se describe una acción con encaje en el tipo por el que se ha formulado condena. 

El art. 264.1 del CP castiga con la pena de prisión de 6 meses a 3 años al que "...por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave". 

Este precepto tiene su origen en la reforma operada en el Código Penal por la LO 5/2010, de 22 de noviembre, que era prácticamente coincidente con el art. 4 de la Decisión Marco 2005/222/JAI, que fue sustituida por la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto, que inspiró la redacción dada por la LO 1/2015, de 30 de marzo. 

La gravedad se adueña de la descripción del tipo básico y de los tipos agravados. No basta con que el resultado sea grave, lo ha de ser también la acción de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesible el sistema o los datos que éste incorpora. No es fácil modular la gravedad de una acción sin la referencia que proporciona su resultado que, al exigirlo el legislador, ha de ser también grave. Se trata pues, de una gravedad encadenada, acumulativa, que no siempre podrá afirmarse sin dificultad. Una manipulación limitada al simple pulsado de varias teclas y comandos puede propiciar daños informáticos de especial gravedad y que conduzcan a la inutilización del sistema. En tales casos, la levedad de la acción tendrá como punto de contraste la gravedad del resultado, suscitando fundadas dudas acerca de su tipicidad. 

Por si fuera poco, el apartado 2 del mismo art. 264 construye un tipo agravado para el caso en que los daños hayan sido "de especial gravedad" y el apartado 5 del mismo precepto incluye un tipo hiperagravado si "... los hechos hubieran resultado de extrema gravedad". 

La primera conclusión a la que conduce el análisis del tipo es que los daños informáticos son atípicos cuando el resultado -en su descripción más básica- no es grave. Es cierto que se trata de un concepto normativo que habrá de ser fijado sin aferrarnos a un criterio puramente cuantitativo que lleve, por ejemplo, a entender que esa gravedad, cuando no alcanza la frontera de los 400 euros, carece de relevancia típica. Se trata de una gravedad por el daño funcional que entorpece el sistema operativo. La constatación de ese daño será evidente, claro es, cuando sea imposible recuperar la plena operatividad del sistema. También podrá entenderse que se alcanza la gravedad típica -con inspiración en la Circular de la Fiscalía General del Estado núm. 3/2017- en supuestos en los que el retorno operativo del sistema exija grandes esfuerzos de dedicación técnica y económica. 

C) Valoración de la prueba. 

En el presente caso, la gravedad ha sido justificada en el factum a partir de los siguientes datos: a) el acusado cambió la denominación de los datos y el icono; b) las carpetas y datos borrados pudieron ser recuperados tres días después por un informático; c) los datos se encontraban en la papelera de reciclaje, en donde habían sido ubicados por el sistema operativo tras su eliminación. 

No resulta fácil, a partir de esa descripción, concluir la gravedad de una acción de borrado y de cambio de la denominación de los archivos que, una vez eliminados, quedaron incluidos en la papelera de reciclaje y fueron ahí recuperados. Ni los daños, ni la perturbación del sistema, ni su gravedad -todos ellos, elementos del tipo objetivo- se incluyen en el factum. 

En la impugnación del recurso se recuerda por el Letrado de la acusación particular una jurisprudencia histórica de esta Sala que ha admitido la integración del factum con fragmentos de la fundamentación jurídica. El tratamiento dispensado a la posibilidad de integración del factum con afirmaciones de hechos que se incorporan de forma asistemática en el razonamiento jurídico, no ha contado -decíamos en la sentencia del TS nº 339/2010, 9 de abril- con la deseable uniformidad. De hecho, esta Sala ha venido dictando sentencias que abordan esta cuestión con diferentes soluciones, fundamentalmente tres: a) la tesis que permite la posibilidad de integrar o complementar el factum con datos de hecho desperdigados en la motivación -por ejemplo la STS 990/2004 de 15 de noviembre-, b) la tesis que prohíbe dicha posibilidad de integración -entre otras, STS 762/2006 de 10 de julio -, y c) una tesis intermedia que permitiría la integración siempre en beneficio del reo y nunca en su contra - STS 945/2004 de 23 de julio-. 

Sea como fuere, conviene recordar que la Sala Segunda ha admitido la posibilidad de que los hechos probados sean complementados por constataciones de hechos formuladas de forma terminante en la fundamentación jurídica, pero ha negado que el relato fáctico, en los elementos esenciales del delito que motiva la condena, pueda configurarse mediante afirmaciones fácticas surgidas de procesos argumentativos contenidos en la fundamentación jurídica (cfr. Sentencias del TS nº 21/2010, 26 de enero y nº 520/2012, 19 de junio y nº 862/2012, 31 de octubre, entre otras). 

Y eso es, precisamente, lo que se nos pide ahora, que esta Sala reconstruya el juicio histórico a partir de afirmaciones incluidas en el proceso argumentativo que acoge la fundamentación jurídica. 

El borrado de 54 carpetas que incluyen 1074 archivos, que al ser eliminados se alojan en la papelera de reciclaje y sobre los que el acusado no vuelve a intentar ninguna acción destructiva, no alcanza la relevancia típica exigida por el art. 264.1 del CP. 

La conclusión acerca de la atipicidad del hecho por su falta objetiva de gravedad, en los términos exigidos por el tipo, no necesita ver reforzada su lógica por otros datos añadidos. Y es que el relato histórico -en marcado contraste con el art. 264.1 del CP que exige que el autor obre "sin autorización"- refleja que "...de dichas carpetas el acusado era el único que disponía de permisos de administrador para poder borrarlas". 

La sentencia de instancia -que tampoco incluye un pronunciamiento expreso de las hipotéticas responsabilidades civiles derivadas de la restauración del sistema- califica los hechos como un delito de tentativa de daños informáticos. Lo argumenta en los siguientes términos: "...el delito lo ha sido en grado de tentativa pues aunque el acusado realizó todos los actos necesarios para la consumación del delito y sin embargo, el resultado no se produjo por causas ajenas a su voluntad ya que el sistema operativo guardó los archivos automáticamente en la papelera de reciclaje, de donde pudieron ser rescatados por el informático de la oficina lo que evitó in extremis la pérdida definitiva de dichos archivos". 

La Sala no puede aceptar ese razonamiento que, si bien se mira, elude la gravedad del resultado -presupuesto del tipo- degradando los hechos a un delito intentado. No existe obstáculo conceptual para apreciar un tipo de imperfecta ejecución, pero para ello es indispensable, como impone el art. 16.1 del CP, que el autor dé principio "...a la ejecución del delito directamente por hechos exteriores, practicando todos o parte de los actos que objetivamente deberían producir el resultado, y sin embargo éste no se produce por causas independientes de la voluntad del autor". En el presente caso, el resultado se produjo. Luis hizo todo aquello que quería hacer. Y esa acción produjo el resultado asociable a su verdadera entidad, que no es otro que el traslado a la papelera de reciclaje de los archivos borrados y su eventual recuperación por todo usuario que así lo quisiera. 

En definitiva, los hechos declarados probados y que han sido calificados como constitutivos de un delito de daños informáticos son atípicos, por lo que procede la estimación del motivo.

www.gonzaleztorresabogados.com

928 244 935




No hay comentarios: