Delitos informáticos en el Código Penal: acceso no autorizado, daños y estafa informática

El Tema 20 del temario de CNP Escala Básica —"delitos informáticos y prueba digital"— recoge el catálogo de tipos penales que protegen la información, los sistemas informáticos y la privacidad digital. La materia se ha modernizado por bloques desde la LO 5/2010 (transposición del Convenio de Budapest sobre ciberdelincuencia, ratificado por España en 2010) y la LO 1/2015, que reforzó tipos como el acoso, el stalking, el sexting y el acceso ilícito a sistemas. Conviene memorizar los tipos por bienes jurídicos protegidos: intimidad, integridad de sistemas y datos, patrimonio (estafa informática) y propiedad intelectual e industrial.

1. Descubrimiento y revelación de secretos (arts. 197-201 CP)

El Capítulo I del Título X —"Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio"— articula el grueso de la protección penal de la intimidad digital.

Tipo básico (art. 197.1 CP)

El art. 197.1 CP sanciona al que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación. Pena: prisión 1 a 4 años y multa 12 a 24 meses.

Datos personales en ficheros (art. 197.2)

El art. 197.2 CP castiga al que, sin estar autorizado, se apodere, utilice o modifique datos reservados de carácter personal o familiar de otro registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Tipifica conductas como la consulta no autorizada de historiales médicos, datos bancarios, ficheros personales.

Difusión de imágenes íntimas (sexting, art. 197.7)

El art. 197.7 CP, introducido por la LO 1/2015, sanciona al que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquella que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal. Pena: prisión 3 meses a 1 año o multa. Subtipo agravado si la víctima es cónyuge o persona unida por análoga relación de afectividad, menor de edad, persona con discapacidad necesitada de especial protección, o si se realiza con ánimo de lucro.

Acoso digital o stalking (art. 172 ter CP)

Aunque sistemáticamente está fuera del Título X, conviene mencionar aquí el art. 172 ter CP (delito contra la libertad), introducido también por la LO 1/2015: el que acose a una persona llevando a cabo de forma insistente y reiterada, y sin estar legítimamente autorizado, alguna de las siguientes conductas: vigilancia, persecución, contactos a través de cualquier medio de comunicación, atentado a su libertad o patrimonio, alteración del normal desarrollo de la vida cotidiana. Pena: prisión 3 meses a 2 años o multa.

2. Acceso ilícito a sistemas informáticos (art. 197 bis CP)

El art. 197 bis CP, introducido por la LO 1/2015 transponiendo la Directiva 2013/40/UE, sanciona el acceso no autorizado a un sistema de información o el mantenimiento dentro del mismo en contra de la voluntad del titular vulnerando medidas de seguridad. Pena: prisión 6 meses a 2 años. Es el tipo nuclear del hacking —acceso a sistema ajeno sin autorización—, con independencia de que el atacante extraiga datos o no.

El art. 197 bis.2 sanciona la interceptación de transmisiones no públicas de datos informáticos.

El art. 197 ter castiga la producción, adquisición, importación o facilitación a terceros de programas informáticos diseñados o adaptados para cometer los delitos anteriores (herramientas de hacking, exploits, malware).

3. Daños informáticos (art. 264 CP)

El art. 264.1 CP, dentro del Capítulo IX del Título XIII (Daños), sanciona al que por cualquier medio, sin autorización y de manera grave, borrare, dañare, deteriorare, alterare, suprimiere o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave. Pena: prisión 6 meses a 3 años.

El art. 264 bis castiga el sabotaje informático: obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos. Pena: prisión 6 meses a 3 años.

El art. 264 ter castiga la producción, distribución o tenencia de herramientas para cometer estos delitos (idéntica lógica que el art. 197 ter).

El art. 264 quater prevé subtipos agravados (perjuicio especialmente grave, organización criminal, perjuicio a un número elevado de sistemas, perjuicio a infraestructuras críticas).

4. Estafa informática (art. 249 CP)

Tras la LO 1/2015 y la LO 14/2022, la estafa informática se regula en el art. 249.1.a) CP: se reputan estafadores los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiguen una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. Es el tipo de phishing, manipulación de transferencias, fraude del CEO y suplantación bancaria. El art. 249.1.b) queda para el uso fraudulento de tarjetas, cheques de viaje u otros instrumentos de pago distintos del efectivo.

El art. 248.2 también sanciona la fabricación, introducción, posesión o facilitación de programas informáticos específicamente destinados a la comisión de las estafas.

El art. 248.3 castiga el uso de tarjetas de crédito o débito, cheques de viaje o los datos obrantes en ellos, para realizar operaciones de cualquier clase en perjuicio del titular o de un tercero (uso fraudulento de tarjetas).

5. Otros delitos asociados

• Suplantación de identidad: no existe tipo autónomo, se subsume en estafa, descubrimiento y revelación de secretos (uso de datos personales sin consentimiento, art. 197.2) o usurpación del estado civil (art. 401) según las circunstancias.
• Delitos contra la propiedad intelectual e industrial (arts. 270-277 CP): infracción de derechos de autor (piratería), distribución no autorizada en plataformas digitales.
• Pornografía infantil (art. 189): producción, distribución, posesión y acceso a material de explotación sexual de menores; modalidad agravada del descubrimiento de secretos.
• Delitos de odio en redes (art. 510): incitación pública al odio, hostilidad o discriminación.

6. Prueba digital en el proceso penal

Aunque el tipo penal lo provee el Código Penal, la prueba digital (mensajes, logs, metadatos, geolocalización, IP) se rige por la LECrim (arts. 588 bis a 588 octies, tras la reforma de la LO 13/2015): interceptación de comunicaciones telefónicas y telemáticas, captación de imágenes en lugares públicos, registro de dispositivos masivos de información, registros remotos sobre equipos informáticos. La cadena de custodia digital es objeto de protocolos específicos.

7. Apuntes finales

Las preguntas frecuentes en exámenes versan sobre: descubrimiento y revelación de secretos (art. 197), apoderamiento de datos en ficheros (art. 197.2), difusión sin consentimiento de imágenes íntimas obtenidas con anuencia (art. 197.7, "sexting"), stalking (art. 172 ter), acceso no autorizado a sistemas (art. 197 bis), daños informáticos (art. 264) y estafa informática (art. 249.1.a). Memoriza la diferencia entre el art. 197 bis (acceder sin tocar nada) y el art. 264 (alterar o destruir datos): el bien jurídico es distinto (intimidad vs. patrimonio/integridad del sistema).