En la Argentina, aún no existe legislación especifica sobre los llamados delitos informáticos. Sólo están protegidas las obras de bases de datos y de software, agregados a la lista de ítems contemplados por la Ley 11.723 de propiedad intelectual gracias al Decreto Nº 165/94 del 8 de febrero de 1994.
En dicho Decreto se definen:
Obras de software: Las producciones que se ajusten a las siguientes definiciones:
- Los diseños, tanto generales como detallados, del flujo lógico de los datos en un sistema de computación.
- Los programas de computadoras, tanto en versión «fuente», principalmente destinada al lector humano, como en su versión «objeto», principalmente destinada a ser ejecutada por la computadora.
- La documentación técnica, con fines tales como explicación, soporte o entrenamiento, para el desarrollo, uso o mantenimiento de software.
Obras de base de datos: Se las incluye en la categoría de «obras literarias», y el término define a las producciones «constituidas por un conjunto organizado de datos interrelacionados, compilado con miras a su almacenamiento, procesamiento y recuperación mediante técnicas y sistemas informáticos».
De acuerdo con los códigos vigentes, para que exista robo o hurto debe afectarse una cosa, entendiendo como cosas aquellos objetos materiales susceptibles de tener algún valor, la energía y las fuerzas naturales susceptibles de apropiación. (Código Civil, Art. 2311).
Asimismo, la situación legal ante daños infligidos a la información es problemática:
El artículo 1072 del Código Civil argentino declara «el acto ilícito ejecutado a sabiendas y con intención de dañar la persona o los derechos del otro se llama, en este Código, delito», obligando a reparar los daños causados por tales delitos.
En caso de probarse la existencia de delito de daño por destrucción de la cosa ajena, «la indemnización consistirá en el pago de la cosa destruida; si la destrucción de la cosa fuera parcial, la indemnización consistirá en el pago de la diferencia de su valor y el valor primitivo» (Art. 1094).
Existe la posibilidad de reclamar indemnización cuando el hecho no pudiera ser considerado delictivo, en los casos en que «alguien por su culpa o negligencia ocasiona un daño a otro» (Art. 1109).Pero «el hecho que no cause daño a la persona que lo sufre, sino por una falta imputable a ella, no impone responsabilidad alguna» (Art. 1111).
En todos los casos, el resarcimiento de daños consistirá en la reposición de las cosas a su estado anterior, excepto si fuera imposible, en cuyo caso la indemnización se fijará en dinero» (Art. 1083).
El mayor inconveniente es que no hay forma de determinar fehacientemente cuál era el estado anterior de los datos, puesto que la información en estado digital es fácilmente adulterable. Por otro lado, aunque fuera posible determinar el estado anterior, sería difícil determinar el valor que dicha información tenía, pues es sabido que el valor de la información es subjetivo, es decir, que depende de cada uno y del contexto.
Lo importante en este tema es determinar que por más que se aplique la sanción del artículo 72 de la ley 11723, la misma resulta insuficiente a efectos de proteger los programas de computación, los sistemas o la información en ellos contenidos de ciertas conductas delictivas tales como: el ingreso no autorizado, la violación de secretos, el espionaje, el uso indebido, el sabotaje, etc.
No obstante, existen en el Congreso Nacional diversos proyectos de ley que contemplan esta temática; aunque sólo dos de ellos cuentan actualmente con estado parlamentario. Los presentados por los Senadores nacionales Eduardo Bauza y Antonio Berhongaray, respectivamente.
Proyecto de Ley Penal y de Protección de la Informática (Senador Eduardo Bauza).
El Senador Eduardo Bauza, señala en el artículo 24 de su proyecto, que la alteración, daño o destrucción de datos en una computadora, base de datos o sistema de redes, se realiza exclusivamente mediante el uso de virus u otros programas destinados a tal modalidad delictiva, y aunque existen otros medios de comisión del delito, estos no fueron incorporados al tipo legal por el legislador.
En cuanto al tipo penal de violación de secretos y divulgación indebida se circunscribe al correo electrónico, dejando de lado la figura de la información obtenida de cualquier computadora o sistema de redes. Asimismo, el Senador Bauza, incluye la apología del delito y agrava la conducta en caso de ilícitos de atentados contra la seguridad de la nación.
En materia de los accesos no autorizados, el proyecto Bauzá, en el artículo 20 prevé, para que se configure el tipo penal, que la conducta vulnere la confianza depositada en él por un tercero (ingreso indebido), o mediante maquinaciones maliciosas (dolo) que ingresare a un sistema o computadora utilizando una password ajeno. Asimismo, este artículo, por su parte, prevé el agravante para aquellos profesionales de la informática.
En materia de Uso indebido, este Proyecto en su Artículo 21, incluye en el tipo legal a aquel que vulnerando la confianza depositada en él por un tercero (abuso de confianza), o bien por maquinaciones maliciosas (conducta dolosa), ingresare a un sistema o computadora utilizando una password ajena, con la finalidad de apoderarse, usar o conocer indebidamente la información contenida en un sistema informático ajeno (no incluye la revelación). En tanto en el artículo 38 pena a toda persona física o jurídica, de carácter privado, que manipule datos de un tercero con el fin de obtener su perfil, etc. y vulnere el honor y la intimidad personal o familiar del mismo.
En materia de Sabotaje y daños, este Proyecto, en el artículo 23, prevé prisión de uno a tres años para aquél que en forma maliciosa, destruya o inutilice una computadora o sistema de redes o sus partes, o impida, obstaculice o modifique su funcionamiento. Se agrava la pena en caso de afectarse los datos contenidos en la computadora o en el sistema de redes. Se resalta que el tipo legal propuesto requiere malicia en el actuar. El artículo 24 también incluye malicia (en el actuar) para alterar, dañar o destruir los datos contenidos en una computadora, base de datos, o sistemas de redes, con o si salida externa. El medio utilizado, según la propuesta, es mediante el uso de virus u otros programas destinados a tal modalidad delictiva.
En cuanto a la Interceptación ilegal/apoderamiento, este proyecto aplica penas de prisión.
En materia de Violación de secretos (Espionaje/Divulgación), este Proyecto propone gradualismo en la aplicación de la pena, agravamiento por cargo e inhabilitación para funcionarios públicos. Además, impone multas por divulgación.
En lo relacionado con Estafa y defraudación, este Proyecto reprime con pena de prisión al responsable de una estafa mediante el uso de una computadora.
Proyecto de Ley Régimen Penal del Uso Indebido de la Computación (Senador Antonio Berhongaray).
Este Proyecto de Ley, es abarcativo de muchas conductas delictivas, agravando especialmente la pena, cuando la destrucción fuera cometida contra datos pertenecientes a organismos de defensa nacional, seguridad interior o Inteligencia. (Art. 3º inc.2), contemplando específicamente el espionaje.
En cuanto a la Violación de secretos (espionaje/divulgación), el Proyecto BERHONGARAY, penaliza las violaciones a la defensa nacional, a la seguridad interior y a la Icia. extranjera, agravado por el resultado si ocurre un conflicto internacional. Además contempla el agravante por espionaje. También pena la imprudencia, negligencia, impericia o inobservancia de los reglamentos en la comisión de delitos por parte de terceros.
El Proyecto del Senador Berhongaray, en su artículo 2, requiere el acceso a una computadora o sistema de computación, o almacenamiento de datos que no le pertenezcan directamente o a través de otra computadora, sin autorización del propietario o de un tercero facultado para otorgarla o si estando autorizado, excediere los límites de la misma. Basta para que se configure el tipo legal el ingreso sin autorización o teniéndola, que se exceda del marco de la misma.
En materia de Sabotajes y daños, BERHONGARAY, introduce agravamiento cuando se afecte a organismos de la defensa nacional, seguridad interior e Inteligencia, coinciden en aplicar penas de prisión para este tipo de delitos.
En el artículo 5, pena a quien a través del acceso no autorizado, o de cualquier otro modo, voluntariamente y por cualquier medio, destruyere, alterare en cualquier forma, hiciere inutilizables o inaccesibles o produjera o diera lugar a la pérdida de datos informáticos. Aclara qué se entiende por acción voluntaria, expresando que es aquello que hubiera consistido en la introducción de programas de computación aptos para destruir, alterar, hacer inutilizables o inaccesibles datos, de cuya acción proviniera el daño, ya fuera por computadora o sistema de computación en lo que se hallaban los datos dañados, o en cualquier otro.
El artículo 6, pena la destrucción o inutilización intencional de los equipos de computación donde se encontraban los datos afectados. Agravando la pena, cuando la destrucción, alteración o pérdida de datos trajera aparejadas pérdidas económicas; o cuando fuera cometida contra datos pertenecientes a organismos de defensa nacional, seguridad interior o inteligencia.
Referente a usos indebidos, en el artículo 11, se propone como tipo legal el acceso no autorizado y el uso indebido, incorporando un móvil que es la ventaja económica.
Finalmente, cabe destacar que en materia de los accesos no autorizados, los Proyectos BAUZA y BERHONGARAY, son coincidentes en cuanto a la aplicación de solamente penas de prisión con agravantes por los accesos no autorizados. En tanto, en lo relacionado con la Interceptación ilegal/apoderamiento, los Proyectos BAUZA y BERHONGARAY, coinciden aplicar penas de prisión.
En el contexto internacional, son pocos los países que cuentan con una legislación apropiada. Entre ellos, se destacan, Estados Unidos, Alemania, Austria, Gran Bretaña, Holanda, Francia, España y Chile.
Estados Unidos.
Este país adoptó en 1994 del Acta Federal de Abuso Computacional (18 U.S.C. Sec.1030) que modificó al Acta de Fraude y Abuso Computacional de 1986.
Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y que no es un virus, un gusano, un caballo de Troya y en que difieren de los virus, la nueva acta proscribe la transmisión de un programa, información, códigos o comandos que causan daños a la computadora, a los sistemas informáticos, a las redes, información, datos o programas (18 U.S.C.: Sec. 1030 (a) (5) (A). La nueva ley es un adelanto porque está directamente en contra de los actos de transmisión de virus.
El Acta de 1994 diferencia el tratamiento a aquellos que de manera temeraria lanzan ataques de virus de aquellos que lo realizan con la intención de hacer estragos. Definiendo dos niveles para el tratamiento de quienes crean virus:
a. Para los que intencionalmente causan un daño por la transmisión de un virus, el castigo de hasta 10 años en prisión federal más una multa.
b. Para los que lo transmiten sólo de manera imprudencial la sanción fluctúa entre una multa y un año en prisión.
La nueva ley constituye un acercamiento más responsable al creciente problema de los virus informáticos, específicamente no definiendo a los virus sino describiendo el acto para dar cabida en un futuro a la nueva era de ataques tecnológicos a los sistemas informáticos en cualquier forma en que se realicen. Diferenciando los niveles de delitos, la nueva ley da lugar a que se contemple qué se debe entender como acto delictivo.
Asimismo, en materia de estafas electrónicas, defraudaciones y otros actos dolosos relacionados con los dispositivos de acceso a sistemas informáticos, la legislación estadounidense sanciona con pena de prisión y multa, a la persona que defraude a otro mediante la utilización de una computadora o red informática.
Alemania.
Este país sancionó en 1986 la Ley contra la Criminalidad Económica, que contempla los siguientes delitos:
Espionaje de datos. | |
Estafa informática. | |
Alteración de datos. | |
Sabotaje informático. |
Austria.
La Ley de reforma del Código Penal, sancionada el 22DIC87, en el artículo 148, sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de datos automática a través de la confección del programa, por la introducción, cancelación o alteración de datos o por actuar sobre el curso del procesamiento de datos. Además contempla sanciones para quienes comenten este hecho utilizando su profesión de especialistas en sistemas.
Gran Bretaña.
Debido a un caso de hacking en 1991, comenzó a regir en este país la Computer Misuse Act (Ley de Abusos Informáticos). Mediante esta ley el intento, exitoso o no, de alterar datos informáticos es penado con hasta cinco años de prisión o multas.
Esta ley tiene un apartado que específica la modificación de datos sin autorización. Los virus están incluidos en esa categoría.
El liberar un virus tiene penas desde un mes a cinco años, dependiendo del daño que causen.
Holanda.
El 1º de Marzo de 1993 entró en vigencia la Ley de Delitos Informáticos, en la cual se penaliza el hacking, el preacking (utilización de servicios de telecomunicaciones evitando el pago total o parcial de dicho servicio), la ingeniería social (arte de convencer a la gente de entregar información que en circunstancias normales no entregaría), y la distribución de virus.
La distribución de virus está penada de distinta forma si se escaparon por error o si fueron liberados para causar daño.
Si se demuestra que el virus se escapó por error, la pena no superará el mes de prisión; pero, si se comprueba que fueron liberados con la intención de causar daño, la pena puede llegar hasta los cuatro años de prisión.
Francia.
En enero de 1988, este país dictó la Ley relativa al fraude informático, la cual prevé penas de dos meses a dos años de prisión y multas de diez mil a cien mil francos por la intromisión fraudulenta que suprima o modifique datos.
Asimismo, esta ley establece en su artículo 462-3 una conducta intencional y a sabiendas de estar vulnerando los derechos de terceros que haya impedido o alterado el funcionamiento de un sistema de procesamiento automatizado de datos. Por su parte el artículo 462-4 también incluye en su tipo penal una conducta intencional y a sabiendas de estar vulnerando los derechos de terceros, en forma directa o indirecta, haya introducido datos en un sistema de procesamiento automatizado o haya suprimido o modificado los datos que éste contiene, o sus modos de procesamiento o de transmisión.
También la legislación francesa establece un tipo doloso y pena el mero acceso, agravando la pena cuando resultare la supresión o modificación de datos contenidos en el sistema, o bien en la alteración del funcionamiento del sistema (sabotaje).
Por último, esta ley en su artículo 462-2, sanciona tanto el acceso al sistema como al que se mantenga en él y aumenta la pena correspondiente si de ese acceso resulta la supresión o modificación de los datos contenidos en el sistema o resulta la alteración del funcionamiento del sistema.
España.
En el Nuevo Código Penal de España, el art. 263 establece que el que causare daños en propiedad ajena. En tanto, el artículo 264-2) establece que se aplicará la pena de prisión de uno a tres años y multa… a quien por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.
El nuevo Código Penal de España sanciona en forma detallada esta categoría delictual (Violación de secretos/Espionaje/Divulgación), aplicando pena de prisión y multa, agravándolas cuando existe una intensión dolosa y cuando el hecho es cometido por parte funcionarios públicos se penaliza con inhabilitación.
En materia de estafas electrónicas, el nuevo Código Penal de España, en su artículo 248, solo tipifica las estafas con ánimo de lucro valiéndose de alguna manipulación informática, sin detallar las penas a aplicar en el caso de la comisión del delito.
Chile.
Chile fue el primer país latinoamericano en sancionar una Ley contra delitos informáticos, la cual entró en vigencia el 7 de junio de 1993.
Según esta ley, la destrucción o inutilización de los de los datos contenidos dentro de una computadora es castigada con penas desde un año y medio a cinco años de prisión. Asimismo, dentro de esas consideraciones se encuentran los virus.
Esta ley prevé en el Art. 1º, el tipo legal vigente de una conducta maliciosa tendiente a la destrucción o inutilización de un sistema de tratamiento de información o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento. En tanto, el Art. 3º tipifica la conducta maliciosa que altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información.