En el Consejo de Ministros del 14 de julio de 2006 se ha planteado la reforma del Código Penal español para incluir nuevos delitos relacionados con las tecnologías de la información. En la reforma se tipifican distintas formas de cibercriminalidad que no se consideran incluidas en el anterior texto de 1995 ni en las sucesivas modificaciones del mismo. Entre ellas destacan la mera intromisión en sistemas informáticos ajenos sin autorización y la generación de daños en los sistemas informáticos ajenos.

Se tipifica también el uso y posesión de tarjetas de crédito clonadas para realizar fraudes.
Estos nuevos tipos penales vienen exigidos por las Decisiones Marco de la Unión Europea, entre las que destaca la DECISIÓN MARCO 2005/222/ JAI DEL CONSEJO de 24 de febrero de 2005 relativa a los ataques contra los sistemas de información.
Esta Decisión Marco se fundamenta en la existencia de ataques contra los sistemas de información, en particular como consecuencia de la amenaza de la delincuencia organizada, y la inquietud ante la posibilidad de ataques terroristas contra sistemas de información que forman parte de las infraestructuras vitales de la Unión Europea.
En ella se exige a los Estados miembros la adopción de las medidas necesarias para que sean sancionables como infracción penal los siguientes actos:

1. El acceso intencionado y sin autorización al conjunto o a una parte de un sistema de información.
2. El acto intencionado, cometido sin autorización, de obstaculizar o interrumpir de manera significativa el funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos.
3. El acto intencionado, cometido sin autorización, de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información.

La Decisión Marco exige que estos actos se castiguen con sanciones penales de dos a cinco años de prisión como mínimo en su grado máximo cuando se cometan en el marco de una organización delictiva tal como la define la Acción Común 98/733/JAI.

Cada Estado miembro deberá adoptar las medidas necesarias para que a las personas jurídicas se les puedan exigir responsabilidades por los delitos informáticos descritos en la Decisión Marco cuando dichas infracciones sean cometidas en su beneficio por cualquier persona, actuando a título particular o como parte de un órgano de la persona jurídica, que ostente un cargo directivo en el seno de dicha persona jurídica basado en:

a) un poder de representación de dicha persona jurídica, o
b) una autoridad para tomar decisiones en nombre de dicha persona jurídica, o
c) una autoridad para ejercer un control en el seno de dicha persona jurídica.
Además, los Estados miembros deberán garantizar que a las personas jurídicas se les puedan exigir responsabilidades cuando la falta de vigilancia o control por parte de alguno de sus cargos directivos haya hecho posible que una persona sometida a su autoridad cometa los delitos previstos en la Decisión Marco, en beneficio de esa persona jurídica.

A la persona jurídica considerada responsable de estos delitos le serán impuestas sanciones efectivas, proporcionadas y disuasorias, que incluirán multas de carácter penal o administrativo y podrán incluir otras sanciones, tales como:

a) exclusión del disfrute de ventajas o ayudas públicas.
b) prohibición temporal o permanente del desempeño de actividades comerciales.
c) vigilancia judicial.
d) medida judicial de liquidación.

Todo apunta a un progresivo reconocimiento en sede penal de la vulnerabilidad de los sistemas informáticos frente ataques de organizaciones mafiosas o terroristas, pero de paso, se están generando las bases para atribuir responsabilidad penal a las empresas que no establecen las medidas de seguridad apropiadas para evitar el uso de sus sistemas informáticos para realizar ataques o accesos no autorizados que afecten no sólo a competidores, sino también a cualquier otra empresa que actúe en el mercado.

Javier Ribas - Abogado
socio de landwell - PwC