2 feb. 2011

Phishing: Tipo penal en Argentina y sus consecuencias

Se artículo trata acerca del concepto penal legal en Argentina del delito informático conocido comúnmente como  Phishing. El mismo supuestamente ha sido incorporado por el art. 9 de la Ley Nº 26.388 (Junio de 2008).
Ley 26.388 - ARTICULO 9º — Incorpórase como inciso 16 del artículo 173 del Código Penal, el siguiente:
Inciso 16. El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos.
Ahora, para comprender realmente el tema, debemos repasar el texto del art. 172 y 173 del Código Penal Argentino:
Código Penal Argentino -Capítulo IV.
Estafas y otras defraudaciones
Art. 172.- Será reprimido con prisión de un mes a seis años, el que defraudare a otro con nombre supuesto, calidad simulada, falsos títulos, influencia mentida, abuso de confianza o aparentando bienes, crédito, comisión, empresa o negación o valiéndose de cualquier otro ardid o engaño.
Art. 173.- Sin perjuicio de la disposición general del artículo precedente, se consideraran casos especiales de defraudación y sufrirán la pena que él establece:
Inciso 1º el que defraudare a otro en la substancia, calidad o cantidad de las cosas que el entregue en virtud de contrato o de un título obligatorio...
Entonces, el phishing es en principio en Argentina, el inciso 16 del art. 173, por lo tanto ES, un tipo especial de la estafa común del 172. De manera que debemos recurrir a la doctrina clásica penal del delito de estafa, para así saber cuando quedará configurado el tipo.
Recurro entonces a la impecable explicación de uno de los autores más importantes del Derecho Penal, como Edgardo Donna (1), quien en un artículo suyo (pág. 41 y 42) afirma (la negrita me pertenece):
Otra cuestión importante es aclarar que en la estafa el bien jurídico no es, como podría pensarse, la "buena fe en el tráfico" o la "lealtad en las operaciones" sino el patrimonio. El ardid y engaño previstos en el tipo como formas de comisión constituyen simplemente los medios con los que se produce el daño patrimonial del sujeto pasivo, de modo que el quebrantamiento de la buena fe es el modus operandi que va a determinar la lesión jurídica patrimonial, pero no el objeto de la tutela, ni directa ni indirectamente.
Si la buena fe fuese el bien jurídico amparado, la consumación del delito debería producirse con la sola realización del engaño, sin necesidad de que ocasione perjuicio patrimonial alguno, solución que resulta inaceptable desde el punto de vista legal.
De manera entonces que para que quede configurado el delito de estafa (y por lo tanto el phishing), debe existir primero el ardid o engaño y luego un perjuicio patrimonial consecuencia de dicho engaño.

De aquí ya podemos deducir entonces, que muchos de los conductas consideradas "delictuosas" hoy en día, en realidad no lo son. Me refiero a aquellas personas que se dedican a montar sites mellizos y enviar spam para conseguir que usuarios desprevenidos entreguen sus datos (personales, de tarjetas de crédito, cuentas de correos, paypal, etc.) producto del engaño.

No son delito por lo expuesto anteriormente, falta un elemento típico de la conducta básica, que es el perjuicio patrimonial.

De manera que en Argentina NO está penada como delito autónomo la mera obtención de datos (por phishing o cualquier otro método) con fines de defraudar. Esto hace que gran parte de la cadena de delincuentes informáticos quede en un vacío jurídico tan grande, que nadie es perseguido por ello (en realidad no hay vacío jurídico, porque en derecho penal, lo que no está expresamente previsto NO es delito).

Aquellos que estamos a diario en el mundo informático, sabemos de la existencia de foros abarrotados de avisos de ventas de bases de datos obtenidos a través de este tipo de actividades, a las cuáles (lamentablemente) en Argentina aún no podemos llamar como delito.

Del otro lado del puente quedan entonces aquellos sujetos encargados de realizar los perjuicios económicos con los datos obtenidos de manera fraudulenta, pero que en realidad, no son ellos quien han realizado el engaño para la obtención de esos datos. Desde mi punto de vista, aquí ya la cuestión cambia, porque el sujeto igual estaría cometiendo un delito a realizar transacciones patrimoniales con datos falsos.

Ahora, vale repasar nuevamente el artículo incluído por la Ley 26.388:
Inciso 16. El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos.
Vemos que el tipo se cumple al existir fraude por "cualquier técnica informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos". Lo bueno es que el legislador adopto una técnica legislativa amplia de manera que cualquier técnica incluída. Lo que debemos estar atentos es que este inciso exije en realidad modificación del normal funcionamiento. Esto significa que el delito sólo existirá si el cracker se mete en la web oficial del Banco X, y modifica para que cada uno que se loguee, envién sus datos a una cuenta privada para luego producir el perjuicio patrimonial.

Como sabemos, esto casi nunca ocurre, sino que la modalidad es crear sites nuevos, en urls parecidas, apelando a la inocencia del usuario. No obstante, y siempre que exista el perjuicio patrimonial, esto será un delito pero no por estar configurado el inc. 16, sino por ser un caso típico de estafa común del art. 172. Es decir, existe un ardid o engaño (configurado en la realización de un site tercero para que el engañado brinde sus datos pensando que lo está haciendo en el sitio oficial), y si luego existe el daño patrimonial, se dan los requisitos esenciales, ergo, hay delito.

Es decir, en realidad esta actividad siempre tuvo sanción penal porque no es más que el "cuento del tío" en formato digital, pero en el fondo, es una defraudación común y corriente.

Para finalizar, me gustaría dejar una línea de pensamiento a fin de lograr esa evolución de la legislación argentina que me refería al comienzo. La inclusión del inc. 16 del Art. 173, ha sido de utilidad para aquellos casos de alteraciones de todo tipo de sistemas (que pueden ser websites, cajeros automáticos, o cualquier otro), gracias a la amplitud de su redacción. No obstante, ha quedado sin protección una de las actividades que más mueve el mundo de la delincuencia informática, que es la captura ilegal de datos (de todo tipo, que dan lugar incluso al robo de identidad digital) para su posterior venta o utilización.

Por lo tanto, hago hincapié en el avance o mejora de la legislación penal para lograr la punición  (que no necesariamente tiene que ser de privación de la libertad, sino que podría ser de multa) de la captura ilegítima de datos con fines de defraudación.


(1) DONNA, Edgardo y FUENTE, Esteban Javier. "Aspectos generales del tipo penal de estafa".

Marcelo Temperini Director de elderechoinformatico.com

3 comentarios:

  1. Anónimo4/2/11 09:43

    Comparto casi todos los argumentos expuestos, pero no hay duda que la figura de phishing, en caso de no existir perjuicio patrimonial efectivo, puede ser encuadrada dentro de lo que es una defraudación "en grado de tentativa", por crear una situación de peligro cierto para el patrimonio de la víctima

    ResponderEliminar
    Respuestas
    1. hola buen dia, concuerdo estas para un free?

      Eliminar
  2. Hola también en lo que comentas, podría darse la captura de datos ilegitimamente no sólo con finés de defraudación sino también con el fin de discriminación, por ejemplo capturó una base de datos ilegitimamente para contratar a todos los varones de 30 a 40 años de edad, altos y de etnia aria para tareas de comercialización sin antecedentes médicos graves... Ahí la captura ilegítima de esos datos ( información) se utiliza no con el fin defraudatorio sino discriminatorio como información privilegiada para obtener un mayor resultado económico q contratando a otro perfil de persona

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!