Invitado
Ivan Salvadori: “La lucha contra el cibercrimen no es una guerra perdida”
17 de Octubre de 2012
Además de los beneficios para la economía, la innovación y el desarrollo, los avances tecnológicos traen consigo retos para disciplinas que, como el Derecho, están en permanente evolución. En materia jurídica, los desafíos más evidentes se presentan en temas civiles, comerciales, constitucionales y penales, entre otras ramas.
La tipicidad de conductas delictivas que se producen por cuenta de la tecnología es uno de los temas que genera más debate entre los estudiosos del Derecho Penal. Con ocasión de su reciente visita a Colombia, ÁMBITO JURÍDICO conversó sobre el fenómeno de la cibercriminalidad con Ivan Salvadori, profesor de Derecho Penal Informático de las universidades de Barcelona (España) y de Verona (Italia).
ÁMBITO JURÍDICO: ¿Es eficiente la lucha contra la criminalidad informática en los países europeos?
Ivan Salvadori: En los últimos años, los legisladores europeos, impulsados por la Unión Europea (UE) y el Consejo de Europa (CE), han hecho muchos esfuerzos para luchar contra la criminalidad informática. Así, todos los países tienen normas ad hoc en materia de cibercriminalidad. Muchas de las legislaciones penales europeas están en línea con los estándares supranacionales y, en particular, con el Convenio sobre el Cibercrimen del CE y la Decisión Marco 2005/222/JAI del CE, relativa a los ataques contra los sistemas informáticos.
Sin embargo, la cifra negra de criminalidad, esto es, la tasa de delitos y delincuentes que no son descubiertos o condenados, sigue siendo elevada. Esto explica, en parte, que sea escasa la aplicación jurisprudencial de los delitos informáticos en muchos ordenamientos jurídicos europeos.
Á. J.: ¿A qué se debe esa impunidad?
I. S.: A menudo, las víctimas de delitos informáticos no denuncian los hechos, porque no saben que han sido víctimas, no conocen la existencia de soluciones legales o creen que es inútil poner una denuncia. Las empresas y los bancos prefieren resolver internamente los incidentes informáticos de los que son víctimas (phishing, espionaje informático, estafas, etc.), en lugar de denunciarlos, por miedo a dañar su imagen y perder la confianza de los clientes.
A todo esto hay que añadir que, a veces, las autoridades de law enforcement (de aplicación de la ley) no tienen los instrumentos legales y los conocimientos técnicos necesarios para averiguar y perseguir de manera eficaz los criminales informáticos. En este sentido, es oportuno que se siga en el camino de la armonización no solamente del Derecho Penal sustantivo, sino también del Derecho Procesal Penal de los países europeos, de conformidad con los estándares internacionales más avanzados, para facilitar la cooperación entre las autoridades competentes nacionales y garantizar la persecución de estos delincuentes.
Á. J.: ¿Es coherente el Derecho Penal y la legislación en esta materia con el constante avance de la tecnología?
I. S.: El rápido desarrollo de las tecnologías de la información y la comunicación (TIC) y las facilidades con las que es posible conectarse a internet desde cualquier lugar del mundo, además de haber facilitado la realización de ataques a bienes jurídicos tradicionales (patrimonio, honor, intimidad y libertad sexual, en particular de los menores, etc.) ha favorecido la comisión de actos ilícitos que afectan a nuevos intereses jurídicos, como la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos.
Frente a estas nuevas amenazas, se han evidenciado los límites del Derecho Penal tradicional. Con el fin de superar estas lagunas que existen en los ordenamientos jurídicos, sectores de la jurisprudencia han intentado extender el ámbito de aplicación de los delitos informáticos a través de interpretaciones analógicas en malam partem. Paradigmática, por ejemplo, es la tentativa de subsumir en el delito tradicional de hurto las conductas de los empleados infieles (o insider) que, de manera abusiva, copian los datos informáticos almacenados en los ordenadores de las compañías con las que trabajan, sin tener en cuenta que los datos informáticos, por su carácter intangible, no pueden ser equiparados a una cosa mueble.
Á. J.: ¿Y qué debe hacer el legislador?
I. S.: La rápida obsolescencia del Derecho Penal frente al incesante desarrollo de las TIC ha llevado a los legisladores nacionales a reformar repetidamente su propia normativa penal en el área de la criminalidad informática, con el fin de eliminar los vacíos que no permitían castigar los nuevos fenómenos criminosos que se realizan en el ciberespacio (phishing, hacking, cracking, ataques de denegación de servicio, difusión de programas malware, botnet, etc.).
Para evitar continuas reformas penales, los legisladores, en línea con los estándares de las organizaciones supranacionales, tendrían que emplear un lenguaje neutro en la formulación de los delitos informáticos en cuanto a la tecnología, de manera que los nuevos tipos puedan aplicarse, tanto a las tecnologías actuales como a las futuras. Sin embargo, esto no significa que se pueda emplear un lenguaje indeterminado o recurrir a normas penales en blanco. En línea con los principios de legalidad, taxatividad y precisión, los legisladores tendrán que introducir tipos delictivos claros y delimitados, para evitar la multiplicación de normas contiguas y los consiguientes conflictos entre ellas.
Á. J.: ¿Existen herramientas adecuadas de investigación para hacer frente a la criminalidad informática, en especial en los organismos estatales?
I. S.: El aumento exponencial de la utilización de las TIC hace que los delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos (CIA offences) sean más frecuentes. Las TIC facilitan, además, la comisión en internet de delitos tradicionales (difamaciones, difusión de contenidos de pornografía infantil, racismo, etc.). El trabajo de la policía y de las autoridades de law enforcement implica el descubrimiento, la recogida y la conservación de pruebas electrónicas para la averiguación y persecución de los criminales.
Para una lucha eficaz contra el cibercrimen, es importante proporcionar a la policía, fiscales y jueces los instrumentos legales y los conocimientos técnicos necesarios sobre el funcionamiento de las tecnologías.
Á. J.: ¿Y cómo se deben preparar las autoridades frente a este tema?
I. S.: En los últimos años, muchos países, con la asistencia técnica de las organizaciones internacionales, han empezado a realizar cursos específicos en materia de digital forensics para formar a las autoridades competentes sobre las técnicas más avanzadas de investigación. Muy importante resulta también la creación a nivel nacional de una red de contacto 24/7, con el fin de garantizar una asistencia inmediata en materia de criminalidad informática y fortalecer la cooperación judicial entre los Estados.
Los países a la vanguardia en la lucha contra el cibercrimen han creado, dentro de sus fuerzas de policía, grupos de investigadores (cybercrime unit) y los han dotado de las herramientas hardware y software más avanzadas. Es deseable que estas reglas de good practice en la lucha contra el cibercrimen se extiendan a todos los países del mundo. En este sentido, hay que apreciar los esfuerzos realizados por el CE y la UE que, en los últimos años, han promovido la organización de cursos específicos para formar policías, fiscales y jueces; han elaborado reglas de good practice para la búsqueda y recogida de pruebas electrónicas y han formulado líneas guías para investigar y perseguir ciberdelitos.
Á. J.: De acuerdo con el carácter de ‘ultima ratio’ del Derecho Penal, ¿es necesario involucrar esta área del Derecho en aspectos referidos a los ámbitos informáticos?
I. S.: El incesante avance de las TIC ha favorecido las relaciones sociales, económicas y jurídicas en el ciberespacio y ha facilitado la circulación de las informaciones en internet. Así, en la sociedad de la información han emergido nuevos bienes jurídicos, como la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. Para proteger estos intereses jurídicos, muchos legisladores han introducido, en línea con las recomendaciones internacionales, nuevos delitos para castigar el acceso ilícito a un sistema informático (hacking), los daños informáticos, la interceptación de datos y la difusión de malware.
Sin embargo, el legislador penal no puede justificar la introducción de nuevos tipos delictivos únicamente por la necesidad de superar las lagunas que existen en el ordenamiento o para aplicar las obligaciones internacionales. Antes de introducir nuevos delitos, el legislador tendrá que evaluar si existen otros instrumentos técnicos o medidas preventivas de naturaleza extrapenal idóneas para proteger los nuevos intereses jurídicos.
Muy a menudo, las TIC ofrecen la posibilidad de adoptar medidas de seguridad y dispositivos técnicos de protección idóneos para garantizar el nivel necesario de protección. Paradigmático es el fenómeno del spamming, esto es, el envío en masa de correos electrónicos que contienen publicidad no deseada. Si bien algunos Estados castigan el spamming con una sanción penal, como EE UU, más oportuno sería adoptar, de conformidad con el principio de ultima ratio del Derecho Penal, medidas de protección técnica o sanciones administrativas.
Á. J.: Es evidente una tendencia hacia el control de la información difundida en la red. ¿Esto supone la criminalización de aquellos medios de comunicación encargados de su administración, inclusive cuando se trate de opiniones de terceros?
I. S.: En la sociedad de la información, se está manifestando la tendencia hacia el reconocimiento a administradores y gestores de blogs, gestores de forum, news-group y proveedores de servicio de internet de nuevas posiciones de control preventivo sobre los contenidos y las informaciones que se difunden mediante los servicios que ponen a disposición de los internautas.
Sin embargo, estas razones, sobre todo de carácter técnico-organizativo, conducen a la exclusión de la oportunidad de introducir nuevas posiciones de control y de garantía. La interactividad que caracteriza internet hace casi imposible un control sobre los contenidos que se difunden en la red.
La previsión de una gravosa y, a veces, inexigible obligación de control sobre los contenidos llevaría el riesgo de limitar la libertad de comunicación y de información de los internautas, puesto que los administradores y gestores de blog, news-group, periódicos telemáticos, entre otros, tendrían que actuar como verdaderos censores, sin tener, muchas veces, conocimientos profesionales y jurídicos para apreciar el carácter ilícito de los contenidos, opiniones o comentarios que se publican en los espacios web que gestionan.
A eso hay que añadir que si estos sujetos tuviesen la obligación de controlar previamente todo lo que se publica en sus medios telemáticos de comunicación, se limitaría notablemente la posibilidad de actualizar en tiempo real los contenidos en el web.
Á. J.: ¿Y cómo hallar responsabilidades?
I .S.: Esto no significa que el administrador del medio de comunicación no pueda responder penalmente por los delitos que se han cometido por parte de terceros mediante el medio que dirige, puesto que se le aplicaría la normativa en materia de autoría o de participación, cuando se demuestre, por ejemplo, que haya colaborado con terceros en la comisión de un hecho ilícito, como difamación, instigación a la comisión de delitos, etc.
Para garantizar un equilibrio entre la libertad de pensamiento, que incluye el derecho a la información por parte de los internautas, y la protección de los derechos inviolables del hombre en el ciberespacio (honor, dignidad, intimidad etc.), parece más correcto introducir en perspectiva de lege ferenda la obligación para los administradores de los medios en internet de comunicar a las autoridades competentes aquellas informaciones que puedan ser útiles para facilitar la investigación y la averiguación de los criminales y la obligación de bloquear los datos ilegales publicados en sus espacios web, si tienen conocimiento de su existencia.
Á. J.: ¿Que percepción tiene del Derecho Penal colombiano en materia de criminalidad informática?
I. S.: Con la Ley 1273 del 2009, el legislador introdujo el Título VII Bis en el Código Penal, dedicado a la protección de la información, para incriminar, en línea con las recomendaciones de los organismos internacionales, los atentados contra la confidencialidad, la intimidad y la disponibilidad de los datos y de los sistemas informáticos.
Lo que más llama la atención de la normativa penal colombiana en materia de cibercriminalidad es, en primer lugar, su severo tratamiento sancionatorio, que en muchos casos resulta desproporcionado. Por ejemplo, el delito de acceso abusivo a un sistema informático (art. 269A, C.P.), que pese ser un punible básico para la comisión de otros delitos más graves, como el espionaje, la manipulación de datos o el sabotaje informático, se castiga con la misma pena de prisión (de 48 a 96 meses) prevista para los daños informáticos (arts. 269B y 269D, C. P.), cuyo desvalor es ser más grave.
A veces, el legislador parece no haber tenido en cuenta el desvalor de cada acto ilícito, como en la normativa en materia de daños informáticos. En contra de las recomendaciones internacionales, que de manera implícita requieren que se castigue de manera diferente los daños a los datos y los daños a sistemas informáticos, el legislador colombiano ha equiparado el tratamiento sancionatorio. Sería oportuno distinguir sobre la base del desvalor de las conductas.
Á. J.: ¿Qué otras contradicciones ha encontrado?
I. S.: También hay dudas respecto a la excesiva anticipación de la tutela penal. Como ejemplo están los “delitos obstáculo”, previstos por el artículo 269E del Código Penal (uso de software malicioso) y por el artículo 269G de la misma norma (suplantación de sitios web para capturar datos personales). Se castiga con una pena muy elevada, de prisión de hasta 96 meses, la simple conducta de quien produzca, distribuye, envíe e, incluso, de quien adquiera un software malicioso u otros programas de computación de efectos dañinos o de quien diseñe, desarrolle, ejecute o programe páginas electrónicas, enlaces o ventanas emergentes.
El legislador ha anticipado excesivamente la tutela penal respecto a conductas que se ponen en una fase preparatoria respecto a la efectiva puesta en peligro de bienes jurídicos, con lo que se violan los principios de proporcionalidad y de lesividad de los delitos. La verdadera finalidad de estas incriminaciones, más que proteger bienes jurídicos, parece ser la de facilitar las actividades de investigación por parte de la policía. Pienso que sería oportuno que el legislador diseñe estos delitos en línea con las recomendaciones de las organizaciones internacionales, requiriendo que los programas maliciosos sean objetivamente diseñados o adaptados con el propósito de cometer un delito y en donde se requiera, además, la intención por parte del autor. Esto evitaría una indeseable sobre-criminalización, permitiendo, al mismo tiempo, el empleo de estas herramientas software para actividades de investigación y para fines de seguridad informática.
Á. J.: ¿Qué se puede esperar de la criminalidad informática hacia el futuro y, especialmente, de la lucha de los Estados por atacarla?
I. S.: El incesante desarrollo de las TIC creará nuevas posibilidades para la comisión de delitos, como el hacking, el espionaje y el fraude informático, los sabotajes, el robo de identidad, el phishing, el terrorismo, etc. La accesibilidad a internet a nivel mundial favorecerá no solamente la difusión de informaciones entre internautas, sino también el intercambio de contenidos ilícitos (pornografía infantil, material protegido por derechos de autor, contenidos racistas y xenófobos, etc.).
Internet es muy difícil de vigilar por parte de las autoridades de policía y puede proporcionar un elevado nivel de anonimato a los criminales informáticos, lo que dificulta su persecución penal. No hay duda de que la criminalidad informática representa uno de los mayores desafíos a nivel global. Sin embargo, la lucha contra el cibercrimen no es una guerra perdida.
Á. J.: ¿Y cómo utilizar la tecnología para combatir estos delitos?
I. S.: Las TIC constituyen un poderoso instrumento no solamente para los delincuentes, sino también para las autoridades de law enforcement, que pueden emplear esta tecnología para investigar y perseguir a los criminales. Una lucha eficaz contra el cibercrimen requiere de un elevado conocimiento tecnológico por parte de los expertos y respuestas comunes a nivel global. Es indispensable promover la armonización tanto del Derecho Penal sustancial como procesal en el área de la criminalidad informática, de conformidad con los estándares de las organizaciones internacionales y, en particular, con el Convenio sobre el Cibercrimen del Consejo de Europa, que sigue siendo el instrumento más importante en la materia. Habrá que impulsar, además, la cooperación judicial internacional e introducir a nivel global nuevos mecanismos para resolver los conflictos de jurisdicción.
Opina, Comenta