Fraude informático, phishing y pharming

El fraude informático suele relacionarse con el phishing y —en menor medida— con el pharming. En la práctica, este último se vincula con la ejecución de operaciones bancarias, cuya verificación en línea constituye un ámbito idóneo para manipular o alterar datos o programas de sistemas informáticos, a fin de perjudicar el patrimonio de terceros.

Conceptualmente, el phishing implica una obtención fraudulenta de datos de identidad personales de clientes de bancos y de sus cuentas bancarias o tarjetas de crédito (Miró Llinares, 2012: 306), orientada a ejecutar transacciones electrónicas a favor del agente (Kochheim, 2015: 622) o de terceros. Desde un punto de vista terminológico, el phishing evoca la «pesca» de información o el intento de que las eventuales víctimas «muerdan el anzuelo» y proporcionen (consciente o inconscientemente) los datos que busca el hechor ( ^{Miró Llinares, 2013} : 7). En tanto supone emplear información personal ajena, el phishing usualmente es vinculado con el concepto de hurto o robo de identidad ( ^{Brody, Mulig y Kimball ,2007} ) (también conocido como identity theft). ¹⁹ Éste, a su vez, resulta muy favorecido en un contexto como el ciberespacio, caracterizado por el anonimato de sus usuarios (Brunst, 2009), muchos de los cuales ocultan «su verdadera identidad mediante una gran variedad de técnicas» ( ^{Agustina, 2009} : 17).

Como suele ocurrir en materia de conductas fraudulentas, el phishing ha ido cambiando en lo que respecta a la forma de llevarlo a cabo. En efecto, es posible constatar diversas maneras de ejecución de dicho comportamiento, que pueden relacionarse con dos fases de desarrollo.

El phishing supuso, en una primera etapa, el recurso a la denominada «ingeniería social» ( ^{Flores Mendoza, 2014} : 303), o sea, la manipulación de una persona destinada a que entregue determinadas informaciones (Krombholz y otros, 2014: 114) (por lo general, confidenciales) al agente. En concreto, en esta fase inicial el phishing implicó normalmente ²⁰ el envío de correos spam a un número indiscriminado de destinatarios ( ^{Flores Mendoza, 2014} : 303), presuntamente provenientes de fuentes fiables ( ^{Rosenblut, 2008} : 254; ^{Herzog, 2009} : 479 y ss.), en los que se les solicitaba proporcionar informaciones relativas a sus cuentas bancarias (o similares) (Kochheim, 2015: 622). En algunas ocasiones, tales requerimientos iban acompañados de advertencias —o derechamente de amenazas—, en el sentido de que no entregar los datos solicitados iría seguido de la cancelación o el bloqueo de la cuenta respectiva (Fernández Teruelo, 2011: 38). Las entidades bancarias o análogas, ante el descubrimiento de esta forma de fraude, adoptaron medidas informativas y preventivas, en orden a sugerir a sus clientes ignorar cualquier correo electrónico que requiera la entrega de información personal. Lo suyo han hecho los medios de comunicación, que cada cierto tiempo advierten sobre la existencia de esta clase de conductas defraudatorias.

Justamente, el descubrimiento de dicha forma de perpetrar el phishing obligó a introducir cambios en sus medios comisivos. Con ello comienza una segunda fase, caracterizada por el uso de software maliciosos que, para conseguir informaciones personales de potenciales víctimas, atacan en forma directa las operaciones que éstas realizan (Kochheim, 2015: 6 y 410; véase también ^{San Juan, Vozmediano y Vergara ,2009} : 177, con referencias ulteriores). Esta etapa en el desarrollo de la conducta permite superar los inconvenientes que implica la interacción con otro individuo, que puede rechazar o ignorar los requerimientos de envío de información. Por el contrario, el empleo de un malware permite prescindir del comportamiento ajeno resultante de las capacidades persuasivas del hechor —cuestión que vincula al phishing más con la estafa—, para pasar a centrarse en las capacidades técnicas (informáticas) del agente —hecho que sitúa al phishing más en el ámbito de la criminalidad informática en sentido estricto—. Con todo, debe reconocerse que en esta segunda fase de desarrollo el phishing está lejos de ser una «pesca» destinada a que sus potenciales víctimas «muerdan un anzuelo». En cambio, más bien corresponde a un «ataque» respecto de datos o programas contenidos en un sistema informático, perpetrado, como se dijo, a través del uso de un software malicioso.

En otro orden de cosas, es posible que el phishing, con independencia de su medio concreto de comisión, conlleve la realización de otra clase de comportamientos. Así, puede que el phisher obtenga en forma fraudulenta los datos de identidad personales de clientes de bancos y de sus cuentas bancarias o tarjetas de crédito, y los emplee para perpetrar él mismo una conducta perjudicial para el patrimonio de la víctima (por ejemplo, hacer transferencias bancarias desde su cuenta o cargos a su cuenta). Pero también es posible que se limite a conseguir fraudulentamente esos datos y luego los comercialice ( ^{Oxman, 2013} : 215), a fin de que sean otros quienes perjudiquen el patrimonio de la potencial víctima. En fin, otra alternativa imaginable es que operen intermediarios (conocidos también como «mulas» o «muleros»), que facilitan —ya sea consciente o inconscientemente— sus cuentas bancarias para recibir el dinero obtenido en forma fraudulenta, que luego traspasan al autor del fraude (Fernández Teruelo, 2011: 39; ^{Miró Llinares, 2013} : 31 y ss.).

Pues bien, si el fraude informático supone la producción de un perjuicio patrimonial mediante la manipulación o alteración de datos o programas de sistemas informáticos, es evidente que el phishing, en su primera etapa de desarrollo, no tiene una vinculación directa con éste. En ese sentido, si el agente obtiene mediante fraude informaciones que los propios usuarios le proporcionan, y luego hace transferencias que los perjudican patrimonialmente, no ha habido en sentido estricto una manipulación o alteración de datos o programas. Si bien la existencia de un engaño previo podría hacer pensar que estamos ante una estafa, la falta de una disposición patrimonial (perjudicial determinada por error) llevada a cabo por el sujeto engañado impide sancionar al agente de acuerdo con ese delito. ²¹ En cambio, el castigo de dicho comportamiento a título de espionaje informático (o hacking), supuesto que exista un acceso indebido a los datos, sí podría plantearse.

Por su parte, si el fraude informático importa la provocación de un daño patrimonial a través de la manipulación o alteración de datos o programas de sistemas informáticos, el phishing que se identifica con el empleo de un malware, orientado a conseguir informaciones personales de otros individuos mediante el ataque directo de las operaciones que ellos ejecutan, no necesariamente corresponderá a un genuino caso de fraude informático. En efecto, el solo hecho de obtener esos datos de las eventuales víctimas no supone, per se, un perjuicio patrimonial para ellas, el que sólo se verificará cuando se hagan las transferencias, cargos, etcétera, que disminuyan el activo de su patrimonio. La calificación jurídica de tal obtención será la de un espionaje informático (o hacking) consumado, por lo que debe descartarse la tentativa de fraude informático, pues no ha habido principio de ejecución de un comportamiento consistente en manipular o alterar datos o programas para perjudicar patrimonialmente a la víctima.

Conceptualmente, el pharming supone la creación y operación de un sitio web falso, muy parecido o igual al de una entidad bancaria (Miró Llinares, 2012: 306) o de otra naturaleza (Kochheim, 2015: 621) (por ejemplo, un sitio web de subastas como eBay). Considerado como un mecanismo más sofisticado para cometer ciberfraudes ( ^{Flores Mendoza, 2014} : 304), al menos si se le compara con el phishing, el pharming implica modificar los contenidos del DNS (mediante la configuración del protocolo TCP/IP o del archivo Imhost), a fin de que la potencial víctima, al digitar la dirección web de su banco en su navegador, ingrese al sitio web falso, en el que entregará información confidencial al hechor (o pharmer) (Miró Llinares, 2012: 306). Como podrá advertirse, el vínculo entre phishing y pharming es evidente, al punto que es muy común que ambos se presenten en conjunto ²² o que se sostenga que el segundo es una mera variante del primero (Fernández Teruelo, 2011: 38).

En el caso específico del pharming, es posible que el usuario ingrese el nombre de la entidad bancaria en un buscador (por ejemplo, Google) o la dirección web del banco en la barra de direcciones y sea redirigido a un sitio web fraudulento, que ha sido previamente creado por el pharmer. En el primer supuesto (ingreso del nombre de la entidad bancaria en un buscador), lo usual es que el sitio falso aparezca al comienzo de los resultados de búsqueda —que es donde por lo general se posicionan las páginas auténticas— y que esa misma circunstancia lleve a que la eventual víctima elija dicha página entre todos los resultados obtenidos. En el segundo supuesto, por su parte (ingreso de la dirección web del banco en la barra de direcciones), puede que aparezca directamente la página web fraudulenta, o bien, que se abra una ventana en el navegador del usuario con el sitio falso. El pharming, al igual que el phishing, ha ido cambiando y sumando nuevas formas de comisión, como la instalación de un malware con la sola visita del sitio web fraudulento de que se trate, que posibilita la ejecución de operaciones maliciosas (por ejemplo, espionaje de datos) en contra de las potenciales víctimas (Kochheim, 2015: 410).

De nuevo, si el fraude informático supone la producción de un perjuicio patrimonial mediante la manipulación o alteración de datos o programas de sistemas informáticos, es claro que el pharming, que implica la mera creación y operación de un sitio web falso, no puede identificarse con el primero. Ahora bien, y a diferencia de lo que ocurre en el caso del phishing, la sola creación y operación del sitio web fraudulento implicará, por cierto, una manipulación o alteración de datos o programas, pero no (o no todavía) un perjuicio patrimonial para la eventual víctima. Para ello, sería necesario que el agente haga transferencias o cargos respecto de la cuenta bancaria o análoga del afectado, cuestión que importa algo más que la mera creación y operación de un sitio web falso.

La calificación jurídica de esta última conducta no es una cuestión sencilla. Una alternativa es entender que el pharming puro, que no va acompañado del phishing, constituye un acto preparatorio de un fraude informático propiamente tal. Esta opción, sin embargo, puede acarrear la impunidad de la conducta, si es que el ordenamiento jurídico de que se trate no contempla el castigo de actos preparatorios de delitos informáticos. Por su parte, de acuerdo con las figuras que prevé el CCCE, sería posible plantear una sanción a título de sabotaje informático (o «ataques a la integridad de los datos», del artículo 4), en tanto ha habido alteración de datos; o bien, de falsificación informática (del artículo 7), si es que se estima que ha habido alteración de datos que genere datos no auténticos. Ambas alternativas deben superar una dificultad, a saber, que se considere que la intención del agente era la mera destrucción de los datos (sabotaje informático) o que los datos fuesen empleados para efectos legales como auténticos (falsificación informática) y no que existió un ánimo de lucro ilegítimo (fraude informático).

Fraude informático, espionaje informático (o hacking) y sabotaje informático

También es posible plantear nexos entre el fraude informático y otros ciberdelitos, en particular, el espionaje informático (o hacking) y el sabotaje informático.

En primer lugar, tal vínculo surge debido a que todos esos delitos inciden en «datos informáticos». Estos últimos se encuentran expresamente definidos en el artículo 1 letra b) del CCCE, como «toda representación de hechos, información o conceptos expresados de cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función».

Pero, además, según se señaló, cuando la conducta de cualquiera de esos delitos se ejecuta en el ciberespacio, ellos tienen un bien jurídico común, denominado funcionalidad informática, sin perjuicio de la afectación de otros intereses públicos o privados.

Igualmente, debido a que se trata de ilícitos que forman parte de la delincuencia informática, comparten los elementos criminológicos de ese ámbito de la criminalidad, entre los que destacan en especial las condiciones favorables que ofrece el ciberespacio para llevar a cabo comportamientos de manera transnacional (Miró Llinares, 2012: 152 y ss.), así como con efectos lesivos para una gran cantidad de potenciales víctimas ( ^{Sieber, 2014} : 439).

Desde el punto de vista de la conducta incriminada, si se parte de la base de que el espionaje informático implica acceder a y conocer (de manera indebida) datos de sistemas informáticos, advertiremos que los delitos de fraude informático y sabotaje informático suponen que tenga lugar ese acceso y eventual conocimiento de datos. Así, tratándose del fraude informático, debe reconocerse que para manipular o alterar datos o programas de sistemas de tratamiento automatizado de la información, con el objeto de provocar un daño en intereses patrimoniales ajenos, ha de verificarse un acceso y eventual conocimiento (indebido) previo de dichos datos. Tal circunstancia genera que el espionaje informático asuma el carácter de «delito presupuesto» del fraude informático. ²³

En el caso del sabotaje informático, puede igualmente constatarse que para destruir o inutilizar datos de sistemas informáticos, ha de tener lugar un acceso y eventual conocimiento (indebido) previo de dichos datos. Por tanto, en tal hipótesis también es posible afirmar que el espionaje informático presenta el carácter de «delito presupuesto» del sabotaje informático. ²⁴ Este último nexo entre el espionaje informático y el sabotaje informático tiene relevancia en relación con el fraude informático, pues, como veremos, a falta de una norma que expresamente sancione a este último delito en la Ley 19.223, del 7 de junio de 1993, puede recurrirse a la tipificación del sabotaje informático para evitar la impunidad del comportamiento.

De otro lado, si se analizan los vínculos concursales entre esos tres delitos (fraude, espionaje y sabotaje informático), es posible distinguir aquél que se verifica entre el espionaje informático y el sabotaje informático, por una parte, y aquél que se genera entre el espionaje informático y el fraude informático, por la otra. En primer término, si se tiene en cuenta la sistemática de la Ley 19.223, que sugiere la regulación de delitos de aplicación alternativa; así como las penas consagradas para el espionaje informático y el sabotaje informático, que no prevén una regla explícita de acumulación aritmética, cabría plantear la existencia, por lo menos en la mayoría de los casos, ²⁵ de un concurso de leyes, que se soluciona a favor del sabotaje informático de acuerdo con el principio de absorción. En segundo término, si se asume que, a pesar de la inexistencia de un auténtico tipo penal de fraude informático en el derecho chileno, las conductas que pueden calificarse de tales son subsumibles en el tipo penal de sabotaje informático (en tanto importan modificación de datos), ²⁶ cabría afirmar nuevamente un concurso de leyes, por lo menos en la mayoría de los casos, ²⁷ entre el espionaje informático y el sabotaje informático, que se soluciona a favor del sabotaje informático de acuerdo con el principio de absorción. ²⁸

Fraude informático y estafa

El vínculo entre el fraude informático y la estafa es bastante evidente, al punto que los ordenamientos jurídicos alemán y español los regulan de manera sucesiva o conjunta, respectivamente, pues parten de la base de que ambos afectan intereses patrimoniales ajenos, sólo que a través de distintos medios. Tal forma de asumir la regulación de esas dos figuras delictivas ha llevado a que en la doctrina comparada se hable de tipos penales «paralelos» (Eisele, 2013: 168, con referencias ulteriores; en el mismo sentido, ^{De la Mata Barranco y Hernández Díaz ,2010} : 181; Hilgendorf y Valerius, 2012: 149; ^{Picotti, 2013} : 42, 45); o que la legislación alemana aluda, de manera impropia, a estafa y estafa computacional para dar cuenta de la estafa en sentido estricto y del fraude informático, respectivamente.

Decimos que se trata de una referencia impropia, pues la estructura típica del fraude informático es diversa a la de la estafa (por ejemplo, ^{Faraldo Cabana, 2007} : 36-37), cuestión que a su vez obedece a las diferencias que es posible constatar en los requisitos típicos de uno y otro ilícito. Como es sabido, la estafa es un delito que exige un engaño, un error, una disposición patrimonial y un perjuicio patrimonial, elementos que deben hallarse vinculados entre sí por una relación de causalidad (Etcheberry, 2010: 392; ^{Kindhäuser, 1999} : 287).

El error, en tanto efecto de la conducta engañosa, es entendido por la doctrina mayoritaria como un fenómeno sicológico ( ^{Hernández Basualto, 2003} : 166), más precisamente, como una falsa representación de la realidad (Bullemore y Mackinnon, 2018: 92 y Garrido Montt, 2011: 337), de lo que se sigue que sólo una persona natural puede incurrir en él (Etcheberry, 2010: 396-397; ^{Jijena Leiva, 2008} : 149; Politoff, Matus y Ramírez, 2011: 433). En términos análogos, se afirma que «conceptualmente, las máquinas no pueden ser engañadas en el sentido del tipo penal de estafa» ( ^{Hernández Basualto, 2003} : 167), ²⁹ o bien, que no es posible sostener la existencia de un error si lo que la conducta fraudulenta logra es alterar el funcionamiento de un sistema informático ( ^{Hernández Basualto, 2010} : 30).

Por dicho motivo, no puede castigarse a título de estafa la realización de conductas fraudulentas «respecto de» o «contra» un sistema de tratamiento automatizado de la información (Hermosilla y Aldoney, 2002: 419), o sea, en las que lo afectado por la conducta es una computadora y no una persona. Por el contrario, las conductas fraudulentas ejecutadas «respecto de» o «contra» sistemas informáticos suelen corresponder a hipótesis de fraude informático, el que a su turno se identifica, como ya se dijo, con la producción de un perjuicio patrimonial mediante la manipulación o alteración de datos o programas de sistemas informáticos.

Dichas hipótesis deben distinguirse de los fraudes llevados a cabo «mediante» o «a través» de computadoras, que son perfectamente subsumibles en el delito de estafa. En el fondo, ellos no se diferencian en términos relevantes de lo que coloquialmente se denomina «estafa telefónica», que no es otra cosa que un fraude por engaño ejecutado a través de un teléfono, por lo general móvil. Pues bien, así como puede perpetrarse una estafa gracias a la comunicación que se entabla con la víctima mediante un teléfono, también es posible llevar a cabo una estafa gracias a la comunicación que se genera con ella a través de una computadora, por ejemplo, mediante el envío de mensajes fraudulentos a través de un sitio de venta o de subasta de productos en internet.

La doctrina minoritaria, representada en Chile por Balmaceda Hoyos, estima que no existen inconvenientes para subsumir conductas constitutivas de fraude informático en el tipo penal de estafa (Balmaceda Hoyos, 2009: 123, 127), por varias razones. En primer lugar, ya que él descarta que el error sea un elemento autónomo de dicho ilícito (Balmaceda Hoyos, 2009: 127), ³⁰ lo que sugiere que éste no tiene el sentido ni la relevancia que le asigna la doctrina mayoritaria en relación con la estructura del delito de estafa. En segundo lugar, porque él considera que el engaño no requiere como receptor a una persona física, pues basta «con que el falseamiento intencional de la realidad que el engaño implica se exteriorice» (Balmaceda Hoyos, 2009: 123). En tercer lugar, debido a que él asume que quien efectúa la disposición patrimonial determinada por error en tales supuestos no es la máquina, sino que la persona natural que previamente la ha programado (Balmaceda Hoyos, 2009: 123, 127).

A nuestro juicio, la tesis minoritaria tiene el inconveniente de chocar con la forma en que el delito de estafa se encuentra tipificado en nuestro ordenamiento jurídico penal. En efecto, la regulación de ese ilícito parte de la base de que existe un sujeto que comete el fraude y otro sujeto que lo sufre, cuestión que se advierte nítidamente cuando se castiga «al que defraudare a otro». Además, se alude al perjuicio patrimonial resultante de esa conducta, por ejemplo, en los artículos 467 y 468 del Código Penal. En esa misma línea, la estafa, como se halla regulada en el Código Penal, implica un vínculo entre personas, principalmente «porque solo entre ellas es posible que concurra el necesario proceso comunicativo de atribución de relevancia y significado a determinados actos y hechos que describen sus normas» ( ^{Oxman, 2013} : 251). Es tal proceso comunicativo el que justifica que la estafa sea calificada como un «delito de comunicación» ( ^{Mayer, 2014} : 1.024-1.025, 1.031), en el que ha de verificarse una interacción comunicativa o, de forma más exacta, un intercambio de información típicamente relevante entre dos sujetos: el autor del engaño y el disponente del patrimonio que incurre en error.

A lo anterior puede agregarse que resultaría extraño que el delito informático de mayor importancia práctica no se encuentre regulado en la ley destinada a ese efecto (la Ley 19.223, que Tipifica Figuras Penales Relativas a la Informática) y, en cambio, pueda subsumirse en disposiciones del Código Penal que, en términos generales, han mantenido su redacción desde que fueron creadas en 1874. En esa línea, como también ha ocurrido en otros ordenamientos jurídicos, el surgimiento de la informática y de las conductas delictivas relacionadas con ella ha obligado a los Estados a adaptar su legislación a esta nueva realidad. Por razones obvias, dicho fenómeno no pudo haber sido considerado por los redactores de nuestro Código, que, por lo demás, para su texto original consideraron hipótesis de estafa sumamente casuísticas y no algo así como una figura general de fraude con la que pudiera castigarse cualquier forma de afectación de intereses patrimoniales ajenos.

En suma, el fraude informático es un fraude, pero no un fraude por engaño como lo es la estafa, cuestión que implica una disparidad en el medio de provocación del perjuicio patrimonial y que sugiere una aplicación alternativa, o sea, de uno u otro tipo penal.

Fraude informático y hurto

La relación entre el fraude informático y el hurto puede resultar algo sorpresiva y es, en efecto, poco planteada a nivel doctrinal. En ese sentido, en materia de criminalidad informática, si es que se alude al hurto, por lo general no es para referir la apropiación de especies muebles ajenas sin la voluntad del dueño y con ánimo de lucro (artículo 432 del Código Penal), sino para dar cuenta de la usurpación de nombre (artículo 214 del Código Penal) o de la suplantación de identidad. En relación con este último comportamiento, es probable que el uso en lengua castellana de los conceptos «hurto de identidad» ( ^{Salvadori, 2010} : 61) o «robo de identidad» ( ^{Flores Mendoza, 2014} : 301) provenga de una traducción directa del término anglosajón identity theft (véase, entre otros, ^{Anderson, Durbin y Salinger ,2008} ).

El vínculo que aquí quiere plantearse entre el fraude informático y el hurto considera a este último delito en el primer sentido indicado, o sea, como figura básica de los delitos de apropiación. Sobre ese supuesto, el nexo entre fraude informático y hurto puede postularse al menos desde dos perspectivas.

En primer lugar, si se considera la clasificación de los delitos contra intereses patrimoniales, que tiene en cuenta la naturaleza del ataque contra dicho bien jurídico y distingue entre delitos de apropiación, por un lado, y delitos de destrucción, por el otro, tanto el hurto como el fraude informático integrarían la primera de dichas categorías. En ese orden de ideas, la doctrina en general está de acuerdo en que el hurto y la estafa son delitos que implican un desplazamiento patrimonial de hecho de la cosa que es su objeto material (Bullemore y Mackinnon, 2018: 23-24; Etcheberry, 2010: 294 y ss.), ³¹ lo que los opone a ilícitos como los estragos o los daños, en los que existe un atentado contra la integridad de la cosa (Garrido Montt, 2011: 154, 407). Pues bien, aquello que se predica de la estafa es perfectamente aplicable al fraude informático, ya que este último no se centra en la destrucción de datos —como el sabotaje informático—, sino en una apropiación de ciertas cosas, como la que paradigmáticamente se produce cuando se manipula el sitio web de un banco para hacer transferencias electrónicas hacia otras cuentas, con el consiguiente perjuicio patrimonial del titular de la cuenta afectada. Por ende, tanto el hurto como el fraude informático son delitos de apropiación, pero cuyo rasgo distintivo es el medio con el que se verifica la apropiación de cosas (muebles) ajenas.

En segundo lugar, y vinculado con lo anterior, también es usual que se afirme que el hurto es un delito de apropiación por «medios materiales», en tanto que la estafa es un delito de apropiación por «medios inmateriales» (Bullemore y Mackinnon, 2018: 23-24). En específico, se sostiene que en los delitos de apropiación por medios materiales se requiere el empleo de energía física para concretar la apropiación (Etcheberry, 2010: 294), mientras que en los delitos de apropiación por medios inmateriales lo que hay es el uso de mecanismos preferentemente intelectuales (Aguilar Aranela, 2008: 30), que suelen identificarse con el engaño o con el abuso de confianza (Garrido Montt, 2011: 154). Otra vez, aquello que se dice de la estafa es también aplicable al fraude informático, debido a que este último no gira en torno al despliegue de energía física, sino que implica el uso de mecanismos informáticos, ³² que corresponden a la manipulación o alteración de datos o programas de sistemas informáticos. Por ello, tanto el hurto como el fraude informático son delitos de apropiación, pero cuyo elemento diferenciador es el medio con el que tiene lugar la apropiación de cosas (muebles) ajenas.

Ahora bien, lo interesante del vínculo entre el hurto y el fraude informático radica en que el primero de dichos delitos puede asimismo interpretarse en un sentido, si se quiere, menos físico y más inmaterial, cuestión que a su turno puede generar dificultades a la hora de calificar jurídicamente un determinado comportamiento. En esa línea, si bien es posible entender que el comportamiento apropiatorio del hurto supone una aprehensión física o material de una cosa mueble ajena, un sector de la doctrina lo concibe, con razón, en términos más abstractos (Etcheberry, 2010: 297), como la ruptura de la custodia ajena ( ^{Mañalich, 2018} : 172) y la constitución de una nueva custodia sobre la cosa, con ánimo de señor y dueño (Oliver, 2013: 70-71). Ello provoca que lo central para efectos de definir la conducta típica del delito de hurto no sea su aspecto físico o espacial, sino su dimensión de sentido ( ^{Bascuñán Rodríguez, 2004} : 300).

A la luz de esta última aproximación a la conducta típica del hurto, cabe preguntarse si es posible afirmar la verificación de dicho delito cuando un sujeto manipula datos o programas, por ejemplo, del sitio web de un banco, y logra con ello traspasar dineros hacia una cuenta corriente distinta, por cierto, sin la voluntad del dueño de los fondos ni del banco respectivo. En un caso como el señalado es evidente que no hubo una aprehensión física de dineros, cuestión que sería necesaria si el comportamiento apropiatorio es concebido en términos físicos. No obstante, si éste es interpretado como la ruptura de la custodia que se tiene sobre los mismos y la constitución de una nueva custodia relativa a ellos, con ánimo de señor y dueño, podría sostenerse que sí tendría aplicación el delito de hurto, toda vez que habría habido una apropiación, en el sentido indicado, de cosas muebles ajenas sin la voluntad de su dueño (y con ánimo de lucro).

Refuerza lo anterior el hecho de que el legislador chileno, al tipificar el hurto, solo exige que el agente se apropie bienes muebles, pero no indica medios específicos a través de los cuales necesariamente ha de verificarse dicha conducta. En otras palabras, el hurto es un delito de medios indeterminados (Oliver, 2013: 69). Por tanto, también sería imaginable un hurto mediante manipulación o alteración de datos o programas de sistemas informáticos, cuestión que a su vez generaría un concurso de leyes con las normas que regulan el fraude informático —ya sea de lege lata, recurriendo a alguno de los tipos de la Ley 19.993, sobre sabotaje o espionaje informático; ya sea de lege ferenda—. Dicho concurso, en general, tendría que resolverse a favor del fraude informático, en virtud del principio de especialidad; salvo que entren en consideración otras variables, como la eventual penalidad más elevada del hurto, circunstancia que podría hacer aplicable a esta última figura.

Fraude informático y uso fraudulento de tarjetas de pago y transacciones electrónicas

La Ley 21.234, del 29 de mayo de 2020, introdujo importantes modificaciones a la Ley 20.009, del 1 de abril de 2005, que actualmente establece un régimen de limitación de responsabilidad para titulares o usuarios de tarjetas de pago y transacciones electrónicas en caso de extravío, hurto, robo o fraude. Como es sabido, la Ley 20.009 ya contemplaba, en su artículo 5, el delito de uso indebido de tarjetas falsificadas o sustraídas y de sus claves ( ^{Hernández Basualto, 2008} b), ilícito que fue trasladado al artículo 7 de la misma ley, así como ampliado de manera considerable en relación con su objeto material y con las conductas en él sancionadas.

En lo que aquí interesa, el artículo 7, en su inciso segundo, consagró un supuesto de uso fraudulento de tarjetas de pago y transacciones electrónicas, que castiga

al que mediante cualquier engaño o simulación obtenga o vulnere la información y medidas de seguridad de una cuenta corriente bancaria, de una cuenta de depósito a la vista, de una cuenta de provisión de fondos, de una tarjeta de pago o de cualquier otro sistema similar, para fines de suplantar al titular o usuario y efectuar pagos o transacciones electrónicas.

En una primera aproximación, el tipo penal transcrito se relaciona con el fraude informático en virtud de uno de los contextos comisivos que suele caracterizar a este último comportamiento delictivo. En efecto, según ya se destacó, el estudio sistemático del cibercrimen nace debido a la perpetración de fraudes informáticos vinculados con transferencias electrónicas de fondos, circunstancia que prevé expresamente la hipótesis de uso fraudulento de tarjetas de pago y transacciones electrónicas, que analizamos.

Por otra parte, este último tipo penal forma parte del conjunto de delitos que requieren del empleo de tecnologías para ser ejecutados. Dicha noción es más amplia que la de delito informático (en sentido estricto), pues no necesariamente implica que la conducta incida sobre datos o sistemas informáticos, como es propio de la criminalidad informática stricto sensu. Eso en parte justifica que los delitos relacionados con tarjetas de pago o similares se regulen fuera de la Ley 19.223, destinada a tipificar la criminalidad informática.

En la misma línea, la descripción del supuesto de uso fraudulento de tarjetas de pago y transacciones electrónicas, referido, contiene un elemento que lo aleja del fraude informático en sentido estricto y lo acerca a otra clase de conductas, como el phishing y la estafa. Se trata de la exigencia de engaño o simulación, términos que semánticamente significan lo mismo, y que suponen una interacción comunicativa entre personas: una que emite un mensaje relativo a determinados hechos y otra que recibe e interpreta la información en él contenida. ³³ Por el contrario, el comportamiento característico del fraude informático es la manipulación de datos de sistemas informáticos, para la cual no resulta necesaria interacción comunicativa alguna entre dos individuos.

Lo anterior no se ve alterado por el hecho de que el tipo del inciso segundo del artículo 7 de la Ley 20.009 aluda en forma expresa a pagos o transacciones electrónicas, ya que es perfectamente posible que se ejecute un comportamiento delictivo, en relación con ellos, sin que se lleve a cabo un fraude informático en los términos indicados. Más todavía, si se interpreta aquel ilícito como un tipo mutilado en dos actos, ³⁴ lo relevante será que el hechor, mediante engaño, obtenga ciertas informaciones o vulnere determinadas medidas de seguridad para, con posterioridad, suplantar al titular o usuario y efectuar pagos o transacciones electrónicas; sin que sea necesario que esto último se verifique para entender consumado el delito. Aquí radica la segunda gran diferencia entre el ilícito de la Ley 20.009 y el fraude informático: sólo este último requiere la provocación de un perjuicio patrimonial ajeno para que se perfeccione el tipo penal.

Por último, el delito del artículo 7, inciso segundo, de la Ley 20.009 no establece exigencias subjetivas particulares, de lo cual se sigue que puede cometerse con dolo eventual, así como que no es indispensable que el autor actúe con un ánimo especial al ejecutar la conducta incriminada. Por su parte, y según profundizaremos infra, el fraude informático supone una manipulación de datos de sistemas informáticos, que genera un daño patrimonial ajeno y que es llevada a cabo con el ánimo de obtener un lucro (ilegítimo). Ello puede explicarse, al menos en parte, porque el delito de uso fraudulento de tarjetas de pago y transacciones electrónicas, sancionado en el artículo 7, no tiene una connotación exclusivamente patrimonial y, por el contrario, también afecta a otros bienes jurídicos, entre los que destaca la funcionalidad documental. ³⁵

Sobre la base de lo señalado, es posible confirmar lo aseverado al comienzo de este acápite: el tipo del artículo 7, inciso segundo, de la Ley 20.009 se relaciona con el fraude informático en sentido estricto en atención a su contexto comisivo y al hecho de que ambos impliquen la utilización de tecnologías para su perpetración. En cambio, dichos delitos se diferencian en relación con su estructura típica, con su objeto material y con los elementos subjetivos que han de concurrir en uno y otro caso.

El fraude informático en el CCCE

El año 2017 el Estado chileno pasó a ser parte del Convenio sobre Ciberdelincuencia del Consejo de Europa, razón que lleva a tener en cuenta lo establecido en dicho instrumento internacional en materia de criminalidad informática, sobre todo de cara a una eventual reforma legislativa de su actual regulación.

Como es sabido, el CCCE, dentro del apartado destinado al «Derecho penal sustantivo», establece una sistematización de diversos comportamientos delictivos, ³⁶ que agrupa de la siguiente manera:

Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos, que abarcan el acceso ilícito, la interceptación ilícita, los ataques a la integridad de los datos, los ataques a la integridad del sistema y el abuso de los dispositivos (artículos 2 a 6).

Delitos informáticos, entre los que se cuentan la falsificación informática y el fraude informático (artículos 7 y 8).

Delitos relacionados con el contenido, que se extienden únicamente a los delitos vinculados con la pornografía infantil (artículo 9).

Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines, entre los que se incluyen, justamente, los delitos contra la propiedad intelectual y los derechos afines (artículo 10).

Como es propio de esa clase de instrumento internacional —y así se desprende de la rúbrica del capítulo 2 sobre «Medidas que deberán adoptarse a nivel nacional»—, los Estados que han suscrito el CCCE han de considerar tales descripciones e incorporarlas, de alguna manera, en su normativa interna. Lo anterior, por cierto, favorece la existencia de respuestas uniformes o al menos similares de los Estados parte en esta materia, y puede impactar de manera indirecta a los Estados que no lo han firmado, pero que, de todos modos, lo consideran por ser el principal instrumento internacional que regula la cibercriminalidad. De ahí la importancia de tener en cuenta las descripciones previstas en el CCCE respecto de los delitos informáticos en general y del fraude informático en particular.

Pues bien, de acuerdo con el artículo 8 del CCCE,

las Partes adoptarán las medidas legislativas o de otro tipo que resulten necesarias para tipificar como delito en su derecho interno los actos deliberados e ilegítimos que causen perjuicio patrimonial a otra persona mediante:

a. la introducción, alteración, borrado o supresión de datos informáticos;

b. cualquier interferencia en el funcionamiento de un sistema informático, con la intención, dolosa o delictiva, de obtener de forma ilegítima un beneficio económico para uno mismo o para otra persona.

De la lectura del referido artículo 8 se desprende que el fraude informático es entendido como una figura de lesión patrimonial; más precisamente, él puede ser interpretado como un delito en que el perjuicio patrimonial de otro es ocasionado a través de determinados medios «informáticos».

El hecho de que se aluda expresamente a la provocación de un perjuicio patrimonial destaca el injusto subyacente al fraude informático: dicho delito, como ocurre con varios otros que se tipifican en nuestra legislación (por ejemplo, la estafa o la administración desleal), afecta el (activo del) patrimonio de la víctima, o sea una universidad jurídica (Politoff, Matus y Ramírez, 2011: 414); no así la propiedad, esto es, «el especial vínculo que existe entre una cosa y el titular de un derecho de exclusión sobre ella» ( ^{Hernández Basualto, 2005} : 240), como paradigmáticamente ocurre en el delito de hurto.

En relación con el perjuicio patrimonial exigido, el CCCE establece claramente que el fraude informático es un delito de resultado, toda vez que requiere causar un daño en intereses patrimoniales ajenos a través de determinadas conductas. Por lo mismo, implica que se verifiquen los elementos comunes a la estructura típica de los delitos de resultado, como son: la ejecución de un comportamiento delictivo, la provocación de un resultado típico y la existencia de un vínculo causal entre ese comportamiento y ese resultado.

Asimismo, la exigencia de provocación de un perjuicio patrimonial sugiere que nos hallamos ante un delito de daño efectivo de intereses patrimoniales ajenos, en que, por ende, no se reprime la sola puesta en peligro del patrimonio de otra persona.

En lo que atañe al medio para la provocación del perjuicio patrimonial ajeno, el CCCE contempla diversas modalidades de ejecución que pueden orientarse a causarlo, a saber, la introducción, alteración, borrado o supresión de datos informáticos, o bien, cualquier interferencia en el funcionamiento de un sistema informático. Por lo tanto, el fraude informático es regulado como un delito con pluralidad de hipótesis alternativas, en el sentido de que él describe cinco medios comisivos, cualquiera de los cuales puede dar lugar a su perpetración.

Respecto de tales modalidades ejecutivas, es posible efectuar algunas observaciones:

En primer lugar, que el CCCE no limita el fraude informático a la manipulación o alteración de datos informáticos ³⁷ e incluye, en cambio, medios comisivos que más bien lo acercan al sabotaje informático, como son la introducción y muy especialmente el borrado o supresión de datos; ³⁸ a lo que se agrega la interferencia en el funcionamiento del sistema, que también puede asociarse con el tipo de sabotaje. ³⁹

En segundo lugar, resulta llamativo que se contemplen tanto modalidades de ejecución que afectan a los datos (introducción, alteración, borrado o supresión) como medios comisivos que inciden en el funcionamiento del sistema informático (interferencia). En esta materia, habría que dilucidar si existe algún caso de interferencia del sistema que no implique, en algún sentido, introducción, alteración, borrado o supresión de datos; así como si se trata de modalidades ejecutivas equivalentes desde el punto de vista del desvalor de acción.

En tercer lugar, aunque el artículo 8 del CCCE parece limitar la intención de obtener un beneficio económico (o ánimo de lucro) tan solo al caso en que existe interferencia en el funcionamiento de un sistema informático, no se divisan razones para efectuar semejante restricción. Por el contrario, como veremos luego, una regulación adecuada del fraude informático debería considerar el ánimo de lucro ante cualquier modalidad comisiva, ya sea de manera explícita o como elemento conceptualmente implicado en la descripción de que se trate.

Directrices para la (eventual) tipificación del delito de fraude informático

A la luz de lo planteado supra, es posible sostener que la regulación del fraude informático en el ordenamiento jurídico chileno debería girar en torno a los tres siguientes requisitos copulativos; dos de ellos integran la tipicidad objetiva, uno de ellos, la subjetiva. Nos referimos a la conducta típica consistente en «manipular» o «alterar» datos de sistemas informáticos y al resultado típico que importa provocar un «perjuicio patrimonial» ajeno mediante ese comportamiento; así como a la existencia de un ánimo o tendencia interna trascendente particular, que se identifica con la motivación de lucro del agente.

En nuestra opinión, esas tres exigencias deben presentarse en conjunto, pues, de faltar alguna de ellas, se corre el riesgo de confundir al fraude informático con otros comportamientos delictivos que integran la Parte Especial. Al mismo tiempo, el hecho de agregar un elemento subjetivo a la noción de fraude informático nos permite precisar la primera aproximación a dicho delito, señalada supra, que ahora definimos como la manipulación o alteración de datos o programas de sistemas informáticos, que provoca un perjuicio patrimonial y es realizada con ánimo de lucro. Seguimos, por consiguiente, muy de cerca el concepto de fraude informático que Romeo Casabona (1988: 47) postuló hace más de tres décadas (véase igualmente Balmaceda Hoyos, 2009: 115) y cuya vigencia, a pesar de los cambios que ha experimentado la informática en el último tiempo, se mantiene intacta.

Fraude informático y manipulación o alteración de datos

La vinculación que se ha planteado entre el fraude informático y otros delitos de la Parte Especial permite constatar que aquello que lo distingue de otros ilícitos es el medio de afectación de intereses patrimoniales ajenos, esto es, la manipulación o alteración de datos o programas de sistemas informáticos.

Alterar, de acuerdo con su sentido natural y obvio, implica cambiar la esencia o forma de algo, mientras que manipular puede interpretarse como intervenir una cosa, distorsionándola. ⁴⁰ Por tanto, de lo que se trata es de modificar los datos o programas de un sistema de tratamiento automatizado de la información, o bien, de intervenirlos, distorsionando su configuración.

En cuanto a la similitud y relación entre dicha conducta y la de los otros delitos fundamentales que integran la criminalidad informática, debe tenerse presente que manipular y sobre todo alterar los datos puede resultar difícil de distinguir del comportamiento característico del sabotaje informático, ⁴¹ que corresponde a destruir o inutilizar datos o programas. Ello es así, porque una de las acepciones de alterar es estropear, dañar o descomponer, ⁴² razón que lleva a no preferirla, precisamente, para posibilitar una delimitación más clara entre el fraude informático y el sabotaje informático.

De otro lado, como se indicó, si se asume que el espionaje informático supone acceder a y conocer (indebidamente) datos de sistemas informáticos, comprobaremos que el delito de fraude informático implica una verificación previa de ese acceso y eventual conocimiento de datos; circunstancia que a su turno obliga a precisar el injusto del espionaje informático recurriendo a otros elementos, entre los que destacan la información sobre la que él recae y el establecimiento de barreras técnicas como señal de exclusión inequívoca (pero no única) de terceros. ⁴³

Desde el punto de vista del desvalor de acción, o sea, de la gravedad intrínseca de dicho comportamiento, es posible comparar la conducta característica del fraude informático con la de los otros delitos informáticos nucleares (sabotaje informático y espionaje informático) y afirmar que aquélla es más o menos equivalente a éstas en cuanto a su entidad, cuestión que debería considerarse al momento de establecer legislativamente la pena aplicable a tales ilícitos. En ese sentido, puede sostenerse que manipular o alterar datos o programas involucra una gravedad análoga a su destrucción o inutilización; y lo mismo cabe decir si se compara esa manipulación o alteración con el acceso a y eventual conocimiento (indebido) de los datos en cuestión.

Con todo, de estimarse que las conductas propias del sabotaje informático y del espionaje informático son más graves, para efectos penológicos puede compensarse el menor desvalor de acción del fraude informático con su (eventualmente mayor) desvalor de resultado (perjuicio patrimonial) o con otras variables de corte criminológico, como la (posible mayor) frecuencia en la comisión de fraudes informáticos, a veces de gran cuantía económica.

Tratándose de la comparación entre la conducta del fraude informático y delitos como la estafa o el hurto, es posible llegar a conclusiones análogas, o sea, que estamos ante ilícitos de gravedad similar, circunstancia que una vez más debería tomarse en cuenta a la hora de consagrar legalmente la sanción a imponer en cada uno de esos supuestos. En el caso de la estafa, hay una instrumentalización de la víctima que, en términos generales, puede considerarse de entidad equivalente al empleo de medios subrepticios o clandestinos, que muchas veces caracteriza al hurto. Tratándose de este último delito, es evidente que la relativamente mayor frecuencia en su comisión también ha llevado a intensificar la reacción penal frente al mismo, no sin riesgo de penas desproporcionadas.

Como sea, resulta interesante establecer que, desde el punto de vista de la posible interacción con la víctima, el fraude informático ha ido abandonando el contacto con los afectados, muy característico del empleo del phishing, para pasar a una fase de afectación directa de los datos a través de un malware. Ello hace que su modo de ejecución hoy tenga más de subrepticio o clandestino que de instrumentalización ( ^{Faraldo Cabana, 2007} : 36-37), lo que a su vez refuerza las diferenciaciones que tradicionalmente se han planteado entre la estafa, por una parte, y el fraude informático, por la otra.

Fraude informático y perjuicio patrimonial

El fraude informático integra el grupo de delitos que afectan intereses patrimoniales ajenos, ⁴⁴ cuestión que lo acerca claramente a los delitos contra la propiedad, regulados en el título 9 del libro 2 del Código Penal. Como se dijo, tal afectación, unida a la frecuencia de su comisión, explica que el fraude informático se haya convertido en la figura central de la criminalidad informática, actualmente muy relacionada con el comercio electrónico y las transferencias de fondos en línea.

El desvalor de resultado, o sea, la afectación de bienes jurídicos propia del fraude informático se identifica, en todos los casos, con la vulneración del (activo del) patrimonio de la víctima, concepto que, según la doctrina mayoritaria ( ^{De la Fuente Hulaud, 2005} : 612-613; Politoff, Matus y Ramírez, 2011: 416; Yubero Cánepa, 2010: 54), es entendido en un sentido jurídico-económico ( ^{Bascuñán Rodríguez, 2004} : 292-293). Mientras que el perjuicio patrimonial, de acuerdo con dicha concepción, puede definirse como «la disminución del valor monetario del patrimonio» ( ^{Hernández Basualto, 2008} a: 196).

Pero, además, cuando un fraude informático es cometido en el ciberespacio, él también afecta al bien jurídico que comparte con otros ciberdelitos, denominado, como se dijo, «funcionalidad informática». En el caso del fraude informático, dicho bien jurídico cobra una relevancia especial, ya que si no todos, la enorme mayoría de los supuestos de defraudación informática que se lleva a cabo utiliza internet como contexto de ejecución del comportamiento delictivo. En ese sentido, mientras que todavía son imaginables y relativamente importantes algunos casos de destrucción de datos (sabotaje informático) o de acceso a y conocimiento indebido de éstos (espionaje informático) sin que se recurra al ciberespacio, no puede decirse lo mismo del fraude informático, que en general se comete en relación con el comercio electrónico y de las transferencias de fondos en línea.

Dicha circunstancia provoca que el fraude informático por lo general sea un delito pluriofensivo, pues afecta a un bien jurídico individual, que corresponde a intereses patrimoniales ajenos; y a un bien jurídico supraindividual, que se identifica con las condiciones que permiten que los sistemas de tratamiento automatizado de la información ejecuten de manera adecuada las operaciones de almacenamiento, tratamiento y transferencia de datos, dentro de un marco tolerable de riesgo.

Ahora bien, tal carácter pluriofensivo se ha de tener en cuenta al momento de regular expresamente el delito de fraude informático en la legislación chilena y puede, en su caso, reforzar la equivalencia de dicho ilícito con otros delitos de la Parte Especial (por ejemplo, la estafa o el hurto), cuyos medios de comisión o frecuencia práctica pudieran justificar una sanción más drástica.

Finalmente, a propósito de este último punto y ante el aumento probable de fraudes informáticos en el futuro, debido al incremento de las relaciones negociales a través de internet, sería esperable que ese delito tuviera una pena que considerara tanto su gravedad dentro del sistema de los delitos informáticos (o sea, en relación con el sabotaje y el espionaje informático); pero también dentro del sistema de delitos de la Parte Especial (esto es, respecto de figuras delictivas más o menos similares, y muy especialmente de la estafa y del hurto).

Fraude informático y ánimo de lucro

Hasta ahora el análisis que se ha efectuado del fraude informático ha apuntado fundamentalmente a su injusto y, en vinculación con ello, a aspectos objetivos de dicho ilícito, en concreto, a su conducta y resultado. No obstante, los delitos que afectan intereses patrimoniales pueden, también, contener elementos subjetivos especiales, que permiten perfilar de mejor manera el sentido del comportamiento y el castigo asociado a éste.

En este contexto, si se tiene en cuenta la clasificación de los delitos contra intereses patrimoniales que se centra en lo que el agente persigue con la comisión de la conducta típica, es posible distinguir entre delitos de enriquecimiento o lucro, por una parte, y delitos de mero perjuicio, por la otra (Oliver, 2013: 33, con referencias ulteriores). El fraude informático integra, precisamente, los primeros, junto con otros ilícitos como la estafa ( ^{García García-Cervigón, 2008} : 293) y el hurto. Ejemplos de delitos de mero perjuicio, en cambio, son los llamados «delitos de destrucción», entre los que se cuentan, entre otros, los estragos y los daños, así como el sabotaje informático.

La exigencia de ánimo de lucro en relación con el fraude informático es coherente con la fenomenología de dicho delito que, en la práctica, implica efectivamente la persecución de un lucro ilegítimo de parte del agente del comportamiento incriminado ( ^{Fernández Teruelo, 2007} : 217; ^{Miró Llinares, 2013} : 3-4; Romeo Casabona, 1988: 47, 71, 120 y passim). En efecto, quienes manipulan datos informáticos para, por ejemplo, posibilitar transferencias de fondos desde la cuenta corriente de la víctima a la cuenta corriente de un tercero, sin la voluntad de la primera ni del banco, lo hacen para obtener un enriquecimiento (propio o ajeno) y no con el simple objeto de dañar los intereses patrimoniales de aquélla.

Por otra parte, el ánimo de lucro posibilita una definición más adecuada del fraude informático en tanto delito informático. En ese orden de cosas, si dicho delito se identifica sólo con la manipulación o alteración (dolosa) de datos de sistemas informáticos, que provoca un daño económico, él no se diferenciaría mayormente de algunas hipótesis de sabotaje informático en las que existe, por ejemplo, alteración, borrado o supresión (dolosos) de datos informáticos que tienen un valor económico (Romeo Casabona, 1988: 175). Es el ánimo de lucro el que le imprime un carácter particular al fraude informático y cuya ausencia impide su configuración, lo que es sin perjuicio de que se verifique algún otro delito informático, en especial, el ya mencionado sabotaje informático (en caso de que, por ejemplo, hubiere habido una alteración de datos con un consiguiente daño patrimonial) o un espionaje informático (por ejemplo, si hubiere habido un acceso a y conocimiento indebido de datos).

El ánimo de lucro permite, asimismo, una mejor delimitación entre el fraude informático y otros delitos de la Parte Especial, como la administración desleal (artículo 470 número 11 del Código Penal), delito en que el agente no actúa con el ánimo de obtener un lucro (ilegítimo), sino con la intención de provocar un mero perjuicio patrimonial a la víctima ( ^{Bofill, Jelvez y Contreras ,2019} : 74). ⁴⁵

A la luz de lo señalado, puede sostenerse un paralelismo, en el plano subjetivo, tanto entre la estafa y el fraude informático (Hilgendorf y Valerius, 2012: 157), por una parte, como entre el delito de daños y el sabotaje informático, ⁴⁶ por la otra. En cambio, es posible que el espionaje informático se relacione con diversos móviles o intenciones del hechor, los que a su turno se vincularán con la clase de información a la que indebidamente se accede (militares, industriales, financieras, profesionales, personales, etcétera) y que en su caso se conoce.

Propuesta de regulación del fraude informático en actual trámite parlamentario (artículo 7 del Boletín 12.192-25)

El proyecto de ley que busca modificar la regulación de los delitos informáticos (Boletín 12.192-25) propuso regular el fraude informático en su artículo 6, según el cual, será castigado

el que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático.

La Comisión de Seguridad Pública del Senado introdujo modificaciones a dicha propuesta, que hoy figura en el artículo 7, y sanciona

al que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático.

Si se tiene en cuenta la última versión del precepto, podrá constatarse que la conducta que pretende tipificarse se identifica exclusivamente con manipular un sistema de tratamiento automatizado de la información. En cambio, la introducción, la alteración, el daño o la supresión de datos, o bien, la interferencia en el funcionamiento de un sistema informático constituyen modalidades o medios de ejecución de dicho comportamiento.

Sobre esa base, y en la línea de lo que se indicó al analizar la regulación del fraude informático en el CCCE (que se refiere a la introducción, a la alteración, al borrado o a la supresión de datos), algunas de las modalidades previstas para la tipificación del fraude informático se acercan mucho a la conducta que es característica del sabotaje informático. Así ocurre tratándose del medio comisivo que se identifica con la introducción de datos y —muy en particular— con el que supone un daño o supresión de datos de sistemas informáticos.

Por otra parte, la consagración de cinco modalidades de ejecución respecto de una conducta, como la de manipular, envuelve el riesgo de dejar impunes comportamientos que no sean ejecutados a través de alguno de los medios expresamente descritos. La cláusula final, que alude a «cualquier interferencia en el funcionamiento de un sistema informático», si bien aparece redactada en el sentido de una hipótesis residual, en el fondo castiga a quien «manipule un sistema informático, mediante […] cualquier interferencia en el funcionamiento de un sistema informático». En ese orden de ideas, el hecho de no recaer explícitamente sobre datos hace que esta última modalidad sea una más, alternativa a las restantes, pero no una cláusula genérica capaz de captar medios específicos indicados con anterioridad.

Frente a ello, así como en miras a simplificar una redacción innecesariamente alambicada, sería preferible centrar el castigo en la conducta consistente en manipular datos o programas de un sistema de tratamiento automatizado de la información, que resulta lo suficientemente comprensiva como para abarcar los comportamientos constitutivos de fraude informático en sentido estricto.

De otro lado, a fin de destacar de manera adecuada que la manipulación de datos es el medio para provocar el resultado de perjuicio patrimonial ajeno, sería recomendable que este último figurara al final de la descripción, y no al principio de ella, como se señala en la propuesta. En relación con este punto, también resultaría deseable exigir que la conducta cause un perjuicio patrimonial o perjudique patrimonialmente y no que se verifique cuando o mientras se está «causando» ese resultado material.

Además, la referencia expresa a la finalidad de obtener un beneficio económico para sí o para un tercero podría describirse en términos más acordes con nuestra tradición legislativa (por ejemplo, en materia de hurto y robo), o sea, como una exigencia de ánimo de lucro. De todos modos, debe celebrarse la aclaración en orden a que el provecho perseguido pueda ser para el agente o para un sujeto distinto de él, así como que se aluda abiertamente a su naturaleza económica, lo que es coherente con la forma de establecer la penalidad y destaca el sentido defraudatorio —y no solamente informático— del tipo penal.

Por último, la pena contemplada para el fraude informático es casi idéntica a la del delito de estafa, lo que expresa una intención de castigarlo como una figura paralela a aquel tipo penal. La diferencia se produce en las hipótesis de menor gravedad, ya que mientras la estafa recién pasa a constituir un simple delito cuando el monto de lo defraudado excede de una unidad tributaria mensual —en cuyo caso se aplica la pena de presidio menor en su grado mínimo y multa de cinco unidades tributarias mensuales (artículo 467 número 3, en relación con artículo 494 número 19 del Código Penal)—, en el proyecto de ley se pretende aplicar la pena de presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales si el valor del perjuicio no excediere de cuatro unidades tributarias mensuales.

Las razones de tal diferenciación no son evidentes y no pueden hallarse en la eventual pluriofensividad del fraude informático cometido mediante redes computacionales. Pues, de haberse considerado lo anterior, habría tenido que establecerse en general una pena mayor para los comportamientos correspondientes a fraudes informáticos ejecutados a través de internet. De otro lado, el hecho de sancionar fraudes informáticos de muy baja cuantía plantea el problema, más amplio, relativo a si y cómo castigar penalmente supuestos de delincuencia informática de bagatela, cuestión que ciertamente excede las pretensiones del presente artículo.