CIVIL

Los delitos informáticos: la reparación y las indemnizaciones. Especial referencia al fraude

Tribuna

En términos genéricos, y a reserva de las peculiaridades de cada caso concreto, en principio, de entre todos los llamados delitos informáticos sólo de los delitos cibereconómicos (aquellos en los que el ciberdelincuente lo que pretende es el apoderamiento del patrimonio y especialmente el dinero ajeno, mediante la utilización de técnicas informáticas), como delitos de resultado que son, derivan consecuencias lesivas sobre el patrimonio de su víctima que originan responsabilidad civil.

Lo que no quiere decir que en la sociedad en que vivimos, la información, que es el objeto del apoderamiento que se da en los delitos ciberintrusivos (aquellos en los que el ciberdelincuente lo que pretende es apoderarse de la información, datos y secretos que la víctima custodia en su ordenador), no sea susceptible de una evaluación económica, que junto con el perjuicio causado por su conocimiento, deba igualmente generar responsabilidad civil.

La posibilidad de derivar de la acción penal ilícita la correspondiente responsabilidad civil conlleva igualmente a consideraciones procesales, ya que sólo los perjudicados u ofendidos por la infracción, podrán personarse como Acusación particular o Actor civil, debiendo el resto hacerlo en todo caso como Acción popular, desde luego no titular de derechos civiles de carácter resarcitorio, reparatorio ni indemnizatorio.

Se analiza aquí alguna peculiaridad a este respecto en lo que hace a los fraudes informáticos .

Por lo demás, de conformidad con lo dispuesto en el art. 109 CP EDL1995/16398 y el 100 LECrim EDL1882/1 , la causación de un delito o falta a través de vías telemáticas obliga a restituir la cosa, reparar los daños y a indemnizar los perjuicios causados por el hecho punible.

I.  La restitución
La responsabilidad civil reparatoria, en primer lugar se extiende a la restitución (art. 111 CP EDL1995/16398 ), que en la materia que analizamos obliga a devolver no sólo los efectos ocupados tal cual, sino a abonar también los deterioros y menoscabos que se determinen judicialmente, se entiende, para dejar las cosas en el estado en que se encontraban antes de sufrir el ataque informático inicial.

La restitución en los delitos no económicos, obliga a la devolución de la información robada y a la destrucción de la transmitida indebidamente, lo mismo que a la de la que (como la pornografía infantil) tenga la consideración de género prohibido o de ilícito comercio.

II.  La reparación del daño
La reparación (art. 112 CP EDL1995/16398 ), segunda manifestación de la responsabilidad civil ex delicto , supone el conjunto de obligaciones de dar, hacer o no hacer, que se establecen judicialmente en función de la naturaleza del daño producido y de las condiciones personales y patrimoniales de su autor o responsable por culpa derivada (in eligendo, in vigilando o por enriquecimiento injusto).

Principalmente son los delitos cibereconómicos los que dan lugar a ella, y en especial los que generan desperfectos, como en el caso de los daños del art. 264,2 CP EDL1995/16398 , en el que debe su autor restaurar la situación precedente al ataque informático lesivo, reparando todos los desperfectos (borrado, destrucción, inutilización, alteración, etc.) generados en el software y en el hardware afectados (lo que incluye además de los ocasionados a la víctima buscada, los de todas las colaterales que no).

La complejidad de la reparación del perjuicio generado, sea la recuperación de borrados o el resarcimiento de las horas de trabajo destruidas, o la pérdida -en clientes, fama, prestigio y servicio- que significa el daño o la interrupción de servicio tan esencial como el que se recibe a través de la informática , es tal que la solución jurisprudencial a este grave problema ha sido en la mayor parte de los casos decepcionante, lo que ha obligado a seguras inhibiciones a la hora de denunciar o a realizar desplazamientos de la cuestión a la colapsada jurisdicción civil, que no debe solventarlo.

En consecuencia, y para solucionar este aspecto tan principal en el delito de daños informáticos el Juez penal deberá al menos intentar fijar los criterios base para el cálculo de la reparación de estos complejos perjuicios en su esfera civil, pudiendo hacerlo estableciendo el posible resarcimiento a la víctima mediante el cálculo de:

- las cuotas del perjuicio en horas/dinero,

- las de cese del funcionamiento del servicio,

- el daño emergente en la estima profesional o personal del afectado,

- el coste de servicios alternativos usados o dejados de usar durante la acción criminal una vez pasado el intento de reacción,

- el de las reclamaciones de terceras personas por los servicios no prestados por su culpa,

- la pérdida de tiempo, las indemnizaciones y reclamaciones ajenas directamente vinculadas a la acción delictiva ,

- el lucro cesante en clientes nuevos perdidos y otras derivaciones concausantes,

- el coste de los programas de recuperación de los borrados y las horas/precio de quienes tienen por misión recuperar lo destruido,

- y en cualquier caso, un porcentaje de incremento económico adecuado dirigido a resarcir aquellos perjuicios que en esta materia son infinitamente difíciles, si no imposibles de demostrar, pero que obviamente concurren, ante la imposibilidad de singuralizarlos (mediante una especie de estimación objetiva singular de la colateralidad indemnizable).

III.  La indemnización de perjuicios materiales y morales
La indemnización de perjuicios materiales y morales cuyas bases fundamentadoras de la cuantía puede fijar el Juez bien en sentencia, bien en ejecución de ésta (art. 115 CP EDL1995/16398 ) comprende, además de los que se hayan causado al agraviado, los que se irroguen a familiares y terceros (art. 113 CP EDL1995/16398 ).

Lo anterior tiene su importancia a la hora de reparar los perjuicios que para el desarrollo del menor se causan en los delitos referentes a la pornografía infantil y de algún modo a los familiares afectados por el conocimiento público de los mismos.

También en este punto debe inscribirse la obligación del inculpado de sufragar y acometer los costes de sacar de Internet las páginas delictivas de las que se haya servido para realizar su infracción criminal, ya que al fin y al cabo es la técnica usada a través de Internet, el auténtico arma delictivo .

Lo que no obsta a que en caso de autor desconocido, sea la figura del comiso la que permita incluso preventivamente, la retirada de la Red de los contenidos ilícitos derivados del delito , y las de aquellas terceras personas que se sabe que las tienen consecuencia de las transacciones debidas a la infracción penal.

De igual manera es la vía de la reparación de perjuicios la que obliga en los delitos cibereconómicos a convertir en indemnización, o en trabajo equivalente, la evaluación no sólo del objetivo perjuicio sufrido por la víctima (daño emergente), sino también la del valor estimado (valuable sobre prueba comprobable también) de los ingresos que el ataque informático ha impedido generar (lucro cesante) que en materia tan ligada a la producción intelectual, sobre todo de programas informáticos , conforma el verdadero caballo de batalla para la determinación de los montos indemnizatorios en este tipo de delitos.

La causación de un daño inutilizador (v.gr.: un borrado irrecuperable de programa) o paralizador del servicio de Internet (v. gr.: ataque de denegación de servicio -DDoS-) o del uso de los archivos y ficheros almacenados a través de la informática , para quien se dedica profesionalmente a ello y sólo utiliza las telecomunicaciones que permite la Red, supone la generación de unos perjuicios que, por complicados y abrumadores que sean de calcular, a veces son el auténtico móvil de la personación procesal de la víctima, y conforman casi más que la propia respuesta penal el verdadero sentido del proceso penal acumulado aquí al civil antes que al contrario.

No digamos en los delitos vinculados a los ataques contra la propiedad intelectual o industrial a través de las nuevas tecnologías, en donde superada la barrera de las que lo son, y si nos encontramos ante lo que a veces se evidencian incontrolados ataques masivos cuasi-industriales a la propiedad intelectual, lo más difícil es calcular las bases con las que dejar definitivamente zanjada la indemnización de los perjuicios ocasionados.

IV.  Especificidades de la responsabilidad civil en materia de fraudes informáticos.

Dos son las víctimas de los Phishing y Pharming: por un lado el propietario de los activos económicos defraudados -titular de la cuenta bancaria atacada y de la que se detrae  la sustracción-, y por otro la entidad crediticia que opera a través de Internet -responsable de la seguridad sobre la misma-.

El término “Phishing” (con la “Ph” en vez de la “F” propia del lenguaje de los crackers), se acuñó por primera vez en enero de 1996 en las noticias del grupo de hackers 2600.alt, y podría traducirse por “pesca de datos informáticos”.

Es una acción delictiva compleja que en Internet se presenta mediante diferentes tipos de modalidades y que consiste en:

- el envío masivo de correos electrónicos (a veces se hace a través de enlaces a Páginas Web) a múltiples usuarios en los que suplantando e imitando la identidad, imagen o apariencia de una Entidad (principalmente con enlaces a una Web que simula –Web spoofing- la de la empresa financiera o bancaria),

- y usando excusas relacionadas precisamente con la seguridad informática bancaria, solicita apremiante y urgentemente de quien los recibe que ceda sus datos (bancarios) personales de acceso a servicios de esta índole –principalmente su clave de usuario, contraseña, número pin, aunque también la clave telefónica, el número de la tarjeta, fecha de caducidad, número de Seguridad Social, de DNI, etc.-

- de modo que (como en la pesca) quien “pica”, y los da, no hace sino ceder sus datos bancarios confidenciales a los estafadores (conocidos como “phishers” o ”scammers”) que,

- de esta forma, y una vez conocidas las claves de su víctima (“phish”), realiza con ellas operaciones en la Red, normalmente transferencias bancarias o compras inconsentidas e ignoradas a través de Internet, y a veces también retirada de efectivo en cajeros o duplicado de tarjetas con esos fines.

El "Pharming" aparece en abril de 2005 como consecuencia de fallos de seguridad que se detectaron por aquellas fechas en los servidores de Microsoft.

Consiste en manipulaciones técnicas de las direcciones DMS (Domain name server) que utiliza el usuario:

- de modo que (mecánicamente) le conducen a éste cuando las escribe en el navegador de Internet a páginas que no son la deseada, aunque aparentemente presentan un aspecto idéntico,

- y que han sido creadas por los delincuentes informáticos para conseguir la cesión inconsentida de los datos confidenciales e información sensible y personal de la entidad de confianza de que se trate (bancaria, financiera, de venta de segunda mano, de subastas por Internet, de envío o intercambio de dinero al extranjero, etc.),

- y una vez en su poder, los atacantes quedan en condiciones de realizar los ilícitos e inconsentidos apoderamientos patrimoniales sobre sus víctimas.

Consecuentemente, en primer lugar, por estar directamente afectadas, ambas pueden ser parte procesal acusadora particular en la causa penal por delito que se incoe.

Podría parecer leonino y contrario al sentido de las normas de las cláusulas generales de la contratación en esta modalidad bancaria que las entidades crediticias, en el curso de las reclamaciones oportunas, opusieran a su cliente su conducta negligente, porque sin la colaboración involuntaria del mismo, al menos en el Phishing- que se diferencia del Pharming -art. 248,2 CP EDL1995/16398 - en que es una auténtica estafa sociológica del art. 248,1 CP EDL1995/16398 -, el "scammer" no se habría apoderado de las claves de usuario y contraseña indispensables para la sustracción patrimonial posterior.

Sin embargo y normalmente hasta la fecha, el banco, o más propiamente sus aseguradoras, colaboran en la detección del ataque delictivo y han solido adelantar y reintegrar al cliente en el importe de la cantidad defraudada en estas modalidades de estafa informática en cuanto demuestran que han sido denunciadas, y todo a cambio de solicitar la colaboración procesal de la víctima cliente del banco.

Tal correcta actuación bancaria parece desprenderse, entre otras, de la Orden ECO 734/2004, de 11 marzo, sobre los departamentos y servicios de atención al cliente y el defensor del cliente de las entidades financieras, y más recientemente, de los deberes de garantizar la seguridad en estas transacciones, como se puede derivar de las obligaciones por ejemplo que imponen los párrafos g) y h) del art. 6,1 del RD 322/2008, de 29 febrero, sobre régimen jurídico de las entidades de dinero electrónico EDL 2008/6778 art.6.1.g EDL 2008/6778  art.6.1.h EDL 2008/6778  .

Como quiera que la existencia de esta delincuencia se vincula a problemas de seguridad ínsitos a estos servicios bancarios, por lo general, como primera reacción quien asume inicialmente las consecuencias económicas del importe, inconsentida y fraudulentamente dispuesto, son las entidades bancarias.

Éstas, a su vez, en segundo lugar, tienen estos riesgos asegurados con sus entes aseguradores y/o con las Sociedades de Medios de Pago quienes igualmente se las resarcen y devuelven, subrogándose en virtud del derecho recogido en el art. 43 LCS EDL1980/4219 (según el cual, el asegurador gana las acciones y derechos del asegurado, ejerciendo una acción no autónoma que nace y existe en las mismas condiciones y circunstancias que tenía cuando el titular era el asegurado, de modo que recupera así su desembolso indemnizatorio, evita que se enriquezca injustamente el asegurado y sobre todo el causante del mal, devolviendo el sistema a su grado completo de justicia), actuando entonces en el proceso penal estos subrogados aseguradores como meros Actores Civiles.

En esta materia el Acuerdo no jurisdiccional de la Sala 2ª del TS de 30/01/2007 EDJ2007/8548 indica que "cuando la entidad aseguradora tenga concertado un contrato de seguro con el perjudicado por el delito y satisfaga cantidades en virtud de tal contrato, sí puede reclamar frente al responsable penal en el seno del proceso penal que se siga contra el mismo, como actor civil, subrogándose en la posición del perjudicado".

Y no es de aplicación la disposición recogida en el art. 114 CP EDL1995/16398 cuando señala que "si la víctima hubiere contribuido con su conducta a la producción del daño o perjuicio sufrido los Jueces o Tribunales podrán moderar el importe de su reparación o indemnización" pues de tal tipo de concausas minorantes o reductoras de la reparación se deben excluir los artificios mendaces y las artimañas engañosas ínsitas en toda estafa, que sobrepasan con mucho el deber de diligencia que todo honrado ciudadano tiene contraído.

Lo contrario (a lo que se inclinan a veces muchos moralizadores impropios de una jurisdicción como la penal) supondría castigar la ingenuidad o la ambición de las víctimas de la estafa que no es lo querido por el legislador, pues se haya extramuros de los engaños no "bastantes" excluidos por el tipo y la descripción básica de la estafa del art. 248 CP EDL1995/16398 .

De esta forma la cuestión de la intervención de las entidades bancarias y de sus aseguradoras, para subrogarse en el perjuicio de sus clientes se reduce a la demostración sociológica (tantas veces evidenciada en la obsolescencia de técnicas más securizadas) de que los sistemas de telecomunicación informáticos no son perfectamente seguros.

Así, aunque aparentemente, y uno a uno, los Phishing suponen ataques patrimoniales contra los usuarios de Internet, generan igualmente un ataque a la confianza depositada en esas empresas (bancarias, de ventas, pagos, subastas, etc.) por la Red y en el uso de Internet que, por ahora, ha desplazado el problema de la responsabilidad civil a las entidades, que reintegran lo estafado, pues más o a la vez que un engaño al usuario, lo que hacen estos ataques es objetivar fallos y problemas en la seguridad informática que esas entidades deben corregir y evitar en primer término (cambio del sistema de claves, uso de antimalware preventivo, campañas informativas, etc.).

V.  La responsabilidad civil de los "muleros" en el Phishing
Cuestión singular representa la responsabilidad civil de los "muleros" en el Phishing.

El Phishing es una técnica fraudulenta que generalmente se realiza enviando mensajes de correo-electrónico reportados desde diversos sitios de la Red (pero también a través de virus o enlaces de páginas Web) principalmente a usuarios de la banca informática (Banca On line) en cuyos textos, haciéndose pasar por los servicios de seguridad del banco, apremian y urgen a los usuarios - a veces bajo amenazas de anular la cuenta- a conectarse a una página Web perfectamente imitada, pero falsa -Web spoofing-, y en ella a ceder los códigos de acceso y contraseñas secretas de seguridad, que una vez conocidas por los delincuentes , les permiten usarlas y quedarse con el dinero de sus víctimas.

Se trata en definitiva de la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de los clientes de la banca electrónica, con la finalidad posterior de realizar transferencias económicas no autorizadas, de "pescar" (que es lo que en lenguaje guay significa Phishing) los datos protegidos y secretos del particular cliente bancario, por medio de diversas modalidades informáticas y con técnicas propias de delincuentes organizados, que garantizan su práctica impunidad, pues el ataque, amén de hacerlo en remoto y desde el extranjero, se anonimiza o vehiculiza a través de equipos con seguridad comprometida desde los que lanzan sus correos-e o en los que alojan las páginas Web falsas, imitadoras de la entidad bancaria.

Sus autores, que imitan las páginas Web falsas de entidades crediticias y emiten los mensajes engañosos con el objeto de "pescar" los datos secretos particulares de los usuarios de la Banca On line, suelen pertenecer a bandas organizadas de delincuentes extranjeros, principalmente de la Europa del Este, que operan en remoto desde sus países de origen, y que suelen anonimizar sus ataques de modo que es difícil descubrirles.

En el último paso de su acción criminal, cuando tratan de agotarla, y dado que al principio eran detenidos si venían a España a apoderarse de las transferencias inconsentidas -además de por sus problemas de infraestructura e idioma -usan a españoles, los "muleros", a los que captan a través del llamado "teletrabajo" por Internet, y a los que les ofrecen el lucrativo "negocio" de ganar dinero- entre un 5 y un 10 % de lo que reenvíen, aunque a veces ha alcanzado el 50%- por tan sólo abrir una cuenta corriente en la que recibirán el dinero que detraen los "scammers" de las cuentas On line defraudadas, sin generalmente saberlo éstos, y enviarlo a Europa del Este, mediante paquetería postal rápida y a favor de falsas identidades que, nuevamente, hacen difícil detener a los autores de estas infracciones criminales, pues viven en países que apenas cumplimentan la cooperación judicial internacional en este campo delincuencial que se les solicita.

Los "muleros", a su vez, retiran el dinero en efectivo de las cuentas "nido" o cuentas "puente" que crean ex profeso, después de descontar y quedarse con su comisión, y reenvían el resto del metálico mediante transferencias internacionales por medios de pago (Pay Pal, Money Gram, Western Union, etc.) que no dejan prueba de sus receptores reales, los scammers, que se reparten después lo que reciben.

Su actuación penal, que según la STS 12/06/2007 EDJ2007/70163 es la de estafa, pues supone a los "muleros" conocedores y partícipes de la actividad auténticamente defraudatoria urdida y dirigida desde el extranjero, es sin embargo más propia de la receptación, ya que no es cierto que formen parte de la cadena delictiva del grupo organizado, y por ello, en los muy corrientes supuestos en que sólo se juzga al "mulero", este únicamente puede responder por las consecuencias civiles derivadas de su culpabilidad concreta.

Así, no puede aplicársele una solidaridad grupal inexistente para sufragar el perjuicio total de la víctima, sino exclusivamente la responsabilidad derivada del total de lo que él ha receptado, que en materia civil se limita a la reintegración no sólo del porcentaje de participación en las cantidades manejadas por él como preservador de lo estafado, sino en el importe total de las mismas, pero no en las que el "mulero" no haya ayudado a sacar del país.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación