La ciberdelincuencia se extiende a pasos agigantados gracias a las nuevas tecnologías, que permiten a los ciberdelincuentes delinquir con más facilidad debido a la aparición de mecanismos ilícitos más complejos, mediante los cuales llevar a cabo delitos informáticos de manera más rápida y sencilla.
Para combatir la aparición de tales delitos, nuestro Código Penal ya introdujo en el año 1995 una nueva modalidad delictiva encuadrada bajo la denominación de “los delitos informáticos”, habiendo sido objeto de modificación tras la reforma que tuvo lugar en el año 2015, y ello como consecuencia lógica de la evolución de las nuevas tecnologías que, como indicábamos, han conllevado la aparición de nuevos delitos informáticos que han sido recogidos y tipificados por nuestro ordenamiento jurídico penal.
Son notorios y cada vez más abundantes los casos en los que, mediante la manipulación de correos electrónicos, se modifica el número de cuenta bancaria en el que se debían realizar transferencias, indicando en su lugar el número de cuenta titularidad de los ciberdelincuentes para poder hacerse con los importes autotransferidos.
Dicha modalidad es conocida como “Man in the Middle o MitM”, en la que el sistema informático interfiere en las comunicaciones entre dos interlocutores, permitiendo leer, insertar y modificar su contenido sin que las víctimas tengan conocimiento. Este mecanismo permite al ciberdelincuente tener conocimiento de operaciones nacionales e internacionales, modificando las cuentas bancarias en las que se deben realizar las transferencias, consiguiendo de esta forma que se hagan en su favor o, en su caso, a favor de “ciber muleros” que transferirán rápidamente dichos importes a las cuentas de destino, percibiendo estos un porcentaje o comisión.
La forma de acceder a los correos se realiza mediante la instalación de un virus en el servidor, de manera que los ciberdelincuentes puedan disponer de la información contenida en los correos de las víctimas, comprobando las fechas de posibles transferencias. Una vez obtenida dicha información, se procede a manipular los correos electrónicos, no solo modificando la cuenta corriente de la sociedad receptora de la transferencia por el número de cuenta corriente del ciberdelincuente o ciber mulero, sino también adornando el texto con expresiones familiares para el que lo recibe fruto del estudio y copia de correos anteriores
Este ilícito informático tiene cabida en el actual artículo 248.2 del Código Penal[1], que considera reos de estafa a los que “con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”, imponiendo la pena prevista en el artículo 249 del Código Penal, esto es, una pena de prisión de seis meses a tres años, si la cuantía de lo defraudado excediere de los 400 euros.
Cabe traer a colación la Sentencia número 397/2021 de la Audiencia Provincial de Zaragoza, Sección 6ª, Rec. 289/2021, de fecha 25 de octubre de 2021, en la que se lleva a cabo un análisis jurisprudencial del tipo, en comparación con el delito de estafa del artículo 248.1 del Código Penal.
Mientras que los elementos del tipo de la estafa clásica son el engaño y el error que genera el acto de disposición en perjuicio de la víctima o de un tercero, en la estafa informática subsisten los elementos subjetivos del dolo y del ánimo de lucro.
En primer lugar, en cuanto al engaño, el tipo de la estafa informática protege el patrimonio de los ataques informáticos propiciados por las nuevas tecnologías, las cuales se describen por el legislador como “manipulación informática o artificio semejante”. Se incluyen en esta horquilla todos aquellos mecanismos que sean idóneos para conseguir la transferencia no consentida, que constituye el acto de disposición y que provoca el enriquecimiento injusto del autor.
A diferencia de la estafa tradicional del apartado 1º del artículo 248 del Código Penal, el engaño ya no se considera un elemento básico, dado que en el supuesto previsto en el apartado 2º, a) del artículo 248 del mismo texto legal, el engaño personal viene sustituido por la manipulación informática, que es la que da lugar al desplazamiento patrimonial.
En segundo lugar, respecto al error, en el caso de la estafa informática no se produce una relación intersubjetiva, por lo que no es requisito esencial que la víctima del fraude informático colabore, habida cuenta que el desplazamiento patrimonial se produce como consecuencia de la manipulación informática.
Así pues, la acción no se dirige frente a un sujeto al que se le ha inducido a error, sino que se ejerce directamente por el programa informático fraudulento que se emplea según la información previa que le ha sido suministrada, en este caso, la existencia de operaciones comerciales en virtud de las cuales se realizarán transferencias.
En este sentido, se ha pronunciado el Tribunal Supremo en Sentencias número 1476/2004 de fecha 21 de diciembre, indicando que, "en efecto, los aparatos electrónicos no tienen errores como los exigidos por el tipo tradicional de la estafa, es decir, en el sentido de una representación falsa de la realidad. El aparato se comporta según el programa que lo gobierna y, en principio, sin error.”; así como en la Sentencia número 369/2007, de 9 de mayo, en la que determinó que: “el tipo de la estafa informática admite diversas modalidades comisivas, bien mediante la creación de órdenes de pago o de transferencias, bien a través de manipulaciones de entrada o salida de datos, en virtud de los que la máquina actúa en su función mecánica propia.”
La Audiencia Provincial de Zaragoza, acogiendo los pronunciamientos de nuestro Alto Tribunal, concluyó su análisis indicando que debe existir:
- ánimo de lucro;
- manipulación informática o artificio semejante, consistente en el medio informático fraudulento en virtud del cual se accede a los correos electrónicos;
- acto de disposición económica en perjuicio de tercero, que se concreta en la transferencia realizada y no consentida.
- defraudación y engaño, que, a pesar de ser propio de la relación personal, en este caso se ve sustituido como medio comisivo por la manipulación informática, siendo relevante que la máquina actúe a impulsos de una actuación ilegítima que bien puede consistir en la alteración de los elementos físicos, de aquellos que permite su programación, o por la introducción de datos falsos.
En definitiva, el avance que ha supuesto Internet en el mundo de las tecnologías lo ha convertido en un nuevo instrumento para la comisión de delitos, con nuevas y mejoradas estructuras informáticas que, a medida que vayan desarrollándose, obligarán a nuestro legislador a adaptar los tipos penales existentes a estas nuevas modalidades de comisión o, en su caso, a la aparición de nuevos ilícitos.
[1] Se modifica por el artículo 1.2 de la Ley Orgánica 14/2022, de 22 de diciembre, que entrará en vigor a partir del 12/01/2023, momento a partir del cual dicho delito estará tipificado en el artículo 249 CP, habiendo sido definido con mayor amplitud, imponiendo la misma pena de prisión de seis meses a tres años, rezando textualmente de la siguiente manera: “Los que, con ánimo de lucro, obstaculizando o interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.”
