“Delitos en internet: ciberestafas”

Por Esteban Mestre Delgado, catedrático de Derecho Penal de la Universidad de Alcalá.

Los avances tecnológicos potencian comportamientos alevosos, pues, al mismo tiempo que multiplican la efectividad de las dinámicas delictivas, minimizan los riesgos de descubrimiento o identificación de sus autores. Y, de este modo, la comunidad alegre y confiada de los usuarios de internet resulta cada día más frágil, más vulnerable y más expuesta a la acción de los delincuentes más sofisticados. Así, es un hecho que, en ese entorno, los ciudadanos ya no pueden estar seguros de sus secretos (captables por cualquier sistema de espionaje o de interceptación de las comunicaciones), ni de su propia identidad (que cualquiera puede suplantar fácilmente para cargar los importes de sus compras en cualquier tarjeta de crédito ajenas, o para solicitar un préstamo bancario, garantizado con un inmueble de su propiedad), ni de su patrimonio (pues los depósitos bancarios abiertos a nombre de una específica persona pueden transferirse a un tercero sin que lo sepa su titular), ni de estar protegidos frente a cualquier otra lesión de bienes personales (hasta de su libertad o indemnidad sexual, que parecieran requerir de un contacto personal y directo).

Las previsiones legales que deben dar seguridad a los usuarios de las nuevas tecnologías, porque previenen y reprimen las conductas delictivas, han experimentado una transformación radical en los últimos 28 años, pero todavía son insuficientes para ello, por limitadas (sigue habiendo tipologías delictivas no previstas en el Código Penal y, por ello, y por exigencias del principio de legalidad, difícilmente sancionables) o por inevitablemente obsoletas. No obstante, la reforma del Código Penal efectuada por Ley Orgánica 14/2022, de 22 de diciembre, que ha dado nueva redacción a los artículos 248 y 249 del Código, ha actualizado (incorporando la última normativa europea) y racionalizado los delitos de estafa, y específicamente las ciberestafas.

Hace casi veintiocho años que existe, en el Código Penal español, un precepto que penaliza la defraudación patrimonial realizada a través de manipulaciones informáticas o artificios semejantes. Lo introdujo la LO 10/1995, de 23 de noviembre, con la finalidad de dar una adecuada respuesta punitiva a la creciente (y, al parecer, imparable) utilización de las tecnologías informática, electrónica y cibernética para la sustracción o desvío ilícito de activos patrimoniales, que realizan actuando directamente sobre los sistemas operativos de las máquinas que controlan tales bienes o derechos, o sobre sus reglas preordenadas de funcionamiento, o sobre los datos que procesan. Pero esa regulación ha resultado insuficiente, e inadecuada, al menos, por los siguientes motivos:

a) Porque aquel nuevo delito de ciberestafa se configuró como una modalidad específica de los tradicionales delitos de estafa, pese a sus muy relevantes diferencias en el tipo objetivo, ya que en la estafa clásica se persigue engañar a una persona concreta para que incurra en un error de apreciación de la realidad, y por ello realice un acto de disposición patrimonial en su perjuicio (o en el de un tercero), en tanto que en la ciberestafa se utilizan aquellos instrumentos tecnológicos para generar reacciones automáticas en un sistema mecánico (lo que en términos muy básicos consistiría en engañar a una máquina), con el fin de conseguir una transferencia no autorizada de activos. Y esa diferencia operativa es tan inmensa que su forzada equiparación por el Legislador generó más problemas aplicativos que respuestas efectivas a esa importante criminalidad.

b) Porque aquella regulación no respondía a todas las necesidades de tutela penal que entonces se habían puesto de manifiesto, habiendo quedado fuera del tipo (que sólo reprimía las defraudaciones causadas “valiéndose de alguna manipulación informática o artificio semejante”) las manipulaciones en máquinas automáticas que proporcionan servicios o mercancías que se producen mediante otros medios defraudatorios distintos al empleo de programas informáticos, electrónicos o cibernéticos.

c) Y porque la incorrecta asimilación legislativa de las ciberestafas con las estafas clásicas provocó una jurisprudencia imprecisa, y a veces confusa, en la que se  sancionaron, como delitos de estafa electrónica, comportamientos de defraudación interpersonal cometidos a través de medios informáticos que no pueden subsumirse en aquel tipo legal (básicamente porque éste requiere que la acción típica altere el funcionamiento preordenado de un sistema automático de procesamiento de datos, y conseguir así un resultado anómalo en la respuesta automatizada propia del mismo).

La estafa informática es una modalidad especializada del delito de estafa. No convierte en estafa otras tipologías delictivas cometidas a través de medios informáticos, electrónicos o cibernéticos.

Los repertorios jurisprudenciales muestran que, en algunas ocasiones, la comisión de un atentado patrimonial a través de esas tecnologías se subsume directamente en el delito de estafa informática, sin precisar adecuadamente los contenidos y las exigencias de esta figura delictiva, que es (así lo indica su precisa ubicación sistemática, y la propia descripción legal de su conducta típica) una infracción defraudatoria.

Por ello, no es correcto subsumir en este precepto conductas de hurto (o apropiación indebida) y falsedad documental como las cometidas por un empleado de un banco que sustrae dinero de la caja de la entidad y lo ingresa en cuentas de su propia titularidad, camuflando lo realizado mediante la incorporación de apuntes falsarios en el programa informático de contabilidad del banco. En este caso, la utilización del programa informático fue posterior al acto de apoderamiento o apropiación (que no se ejecutó empleando engaño alguno, y menos informático), y persiguió el encubrimiento de la sustracción previa. Nada que ver, en consecuencia, con la descripción típica del artículo 248.2 vigente hasta la reciente modificación efectuada por la Ley Orgánica 14/2022.

La estafa tradicional y las ciberestafas no se distinguen sólo porque éstas se realicen a través de medios técnicamente avanzados, sino esencialmente por la finalidad de su utilización: si con ellos se persigue engañar a una persona concreta, para que incurra en un error de apreciación de la realidad, y por ello realice un acto de disposición patrimonial, el delito aplicable es la estafa clásica; en tanto que, si aquellos instrumentos tecnológicos se utilizan específicamente para generar reacciones automáticas en un sistema mecánico, las infracciones de referencia serán las ciberestafas. El hecho de que la evolución técnica y social haya provocado que, en los últimos tiempos, y de una manera realmente acelerada, muchas actividades (y también las delictivas) se hayan trasladado del espacio físico al ciberespacio no provoca un cambio en su naturaleza jurídica.

La reforma del Código Penal efectuada por la Ley Orgánica 14/2022, de 22 de diciembre, ha supuesto un importante avance técnico en la regulación de estos delitos, pues ha concentrado en el artículo 248 la tipología de las estafas clásicas (que, como he dicho, requieren de la relación interpersonal) y ha desarrollado en el artículo 249 las conductas de ciberestafa (que requieren manipulación en el sistema informático o empleo fraudulento de tarjetas de crédito o débito), y otros actos preparatorios dirigidos a su ejecución, que ha configurado como delitos propios de actividad.