I. Modalidades de estafa. La estafa informática
El delito estafa se encuentra regulado en el art. 248 de nuestro CP -EDL 1995/16398-, el cual se encuentra ubicado en el título XIII regulador de los "delitos contra el patrimonio y contra orden socioeconómico", y en concreto en su capítulo VI bajo la rúbrica "De las Defraudaciones". Dicho artículo en su regulación actual tras la reforma introducida por la LO 5/10, de 22 de junio -EDL 2010/101204-, dispone lo siguiente:
1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.(...).
Nos encontramos pues con que dicho artículo, tras tipificar en su apartado primero la denominada estafa tradicional o clásica, contiene un segundo apartado en el que se contempla lo que parte de la doctrina científica viene llamando "estafas por asimilación". El tipo penal que se regula en el apartado segundo letra a) fue introducido por el legislador con la finalidad de dar respuesta a las nuevas formas de ciberdelincuencia que no respondían a los esquemas básicos de la estafa tradicional, al no exigir el engaño personal. En tal sentido, ya la STS de 20 noviembre 2001 -EDJ 2001/54046- estableció, que en estos supuestos, como en la estafa tradicional, "debe existir un ánimo de lucro y también un acto de disposición económica en perjuicio de tercero que se concreta en una transferencia no consentida" si bien "el engaño, propio de la relación personal, es sustituido, como medio comisivo defraudatorio, por la manipulación informática o artificio semejante".
El objeto de esta exposición es reflexionar sobre los problemas derivados de la aplicación del mencionado apartado a) de este segundo párrafo -EDL 1995/16398- a las denominadas estafas cometidas mediante el procedimiento conocido como "Phishing", y en especial acerca de la calificación jurídica que merece la conducta de aquellos individuos denominados "muleros bancarios" que intervienen en alguna de sus fases comisivas, lo que exige una breve exposición acerca de lo que se viene entendiendo como Phishing, y cuál es la concreta actividad desempeñada en dicha conducta por los intermediarios o "muleros" mencionados.
II. El Phishing y sus fases comisivas
En líneas generales, y sin vocación de exhaustividad, se conoce como "Phishing" aquella técnica defraudatoria consistente en el envío masivo, fundamentalmente a usuarios de la banca on-line, bien de correos electrónicos, que es lo más habitual, bien de mensajes a través de SMS, -lo que se conoce como Smishing- o incluso a través de llamadas telefónicas -el denominado Vishing-, en que los autores, haciéndose pasar por empresas o fuentes fiables, especialmente entidades bancarias, y alegando supuestas razones de seguridad, les solicitan que faciliten aquellas contraseñas o datos confidenciales necesarias para operar telemáticamente en las webs bancarias, o bien les solicitan que pinchen en algún enlace que les redirecciona a una página idéntica a la oficial de dichas entidades o les introducen virus informáticos capaces de apoderase de sus claves, -el denominado Pharming que puede dirigirse a ordenadores concretos o directamente a los servidores DNS-, de suerte que cuando el usuario opera en dichas páginas clonadas introduciendo su claves de acceso, lo hace en la confianza de se trata de la página original de su entidad bancaria, facilitando de este modo a los autores, sin saberlo, sus claves confidenciales. Por dichos mecanismos los "Phishers" consiguen conocer las contraseñas y claves secretas de los usuarios, con las que posteriormente poder acceder a la verdadera web bancaria, suplantando la identidad de los verdaderos usuarios, y ordenando transferencias inconsentidas de sus activos.
Dentro de dicha mecánica comisiva, y formando parte de una estrategia única, cabe distinguir distintas fases o secuencias:
Una fase inicial de descubrimiento de claves y contraseñas on-line por los distintos métodos antes expuestos, una segunda fase consistente en el acceso a dichas cuentas utilizando dichas claves y ordenando transferencias de activos a otras cuentas, y una fase final de apoderamiento efectivo de dichos activos, que de ordinario va unida, en lo que aquí nos interesa, a su envío al extranjero, normalmente a países del Este, mediante sistemas de envío postal tipo Wester Union o Money Gram -que son los más utilizados-, toda vez que dichas empresas al operar con códigos alfanuméricos, hacen harto difícil seguir el rastro al dinero. Así pues, y si bien en la primera fase de dicho operativo los autores no necesitan el auxilio de terceras personas, pudiendo realizar sus ataques informáticos desde cualquier terminal y desde cualquier país siendo lo más frecuente que operen desde el extranjero para no ser descubiertos; la práctica judicial evidencia que para concluir dicho proceso y lograr la efectiva disponibilidad del dinero, se valen de terceras personas denominados en el argot policial "muleros" -por analogía con lo que sucede en los delitos de tráfico de drogas-, los cuales de ordinario son captados previamente a través de correos electrónicos también masivos e indiscriminados, en los que se les envía una supuesta oferta laboral con la promesa de obtener una alta retribución económica, exigiéndoles a cambio la apertura de una cuenta bancaria, la recepción en ella de distintas transferencias de personas desconocidas, y finalmente la remisión inmediata de dichas sumas a terceras personas también desconocidas empleando para dichas transferencias los sistemas de envío de dinero antes mencionados, no sin antes detraer, para sí, de dichas sumas, una suculenta comisión que suele rondar entre el 5% y el 10% de dichos ingresos.
III. Cuestiones de competencia
El fenómeno fraudulento conocido como Phishing, como fenómeno complejo, atendida la existencia de las diferentes fases comisivas antes descritas, de ordinario puede dar lugar a interesantes problemas competenciales, ello por cuanto la práctica judicial evidencia que de ordinario los encargados de "pescar" de ahí el nombre de "Phishing" las claves y contraseñas bancarias y ordenar las trasferencias sobre las cuentas de las víctimas, operan desde países extranjeros, mientras que los intermediarios "muleros", sus víctimas e incluso las cuentas bancarias de salida y recepción de las transferencias inconsentidas, pueden encontrarse en diferentes partidos judiciales del territorio español. Si se analiza la doctrina jurisprudencial mas reciente que se desprende de la lectura de los Autos dictados por nuestro TS al resolver las numerosas cuestiones de competencia planteadas entre los diferentes órganos judiciales de nuestro país en estos supuestos, -siendo exponentes de la misma por su claridad expositiva los Autos de la Sala 2ª, del TS de 20-12-2012 -EDJ 2012/298632-; de 19-12-2012 -EDJ 2012/298630;-de 5-12-2012 -EDJ 2012/283963-; de 22-2-2012 -EDJ 2012/25349-, y el Auto de fecha 12-11-2012 -EDJ 2012/260910-, cabe extraer fundamentalmente dos conclusiones:
[[QUOTE2:"...los intermediarios "muleros", sus víctimas e incluso las cuentas bancarias de salida y recepción de las transferencias inconsentidas, pueden encontrarse en diferentes partidos judiciales del territorio español."]]
En primer lugar, que cuando de la instrucción de las causas se desprende indiciariamente la existencia del operativo que nos ocupa, dichas resoluciones, de forma invariable, califican los hechos como constitutivos de una estafa informática en la modalidad de "Phishing", sin plantearse en dichas resoluciones ningún otro título de imputación, lo que no hace sino corroborar que este es el tratamiento preferente que nuestra jurisprudencia da a dichas conductas.
En segundo lugar, que nuestro TS en esta modalidad delictiva que califica como Phishing, ha matizado la doctrina ya establecida para las estafas clásicas, conocida como "Teoría de la Ubicuidad", teoría plasmada en el Acuerdo no jurisdiccional del Peno del TS de fecha 3 febrero 2005 -EDJ 2005/11338-, y que afirma que el delito de estafa se comete en todos los lugares en los que se han desarrollado las acciones del sujeto activo (engaño) o del sujeto pasivo (desplazamiento patrimonial) y en el que se ha producido el perjuicio patrimonial, siendo por tanto en principio competente el Juez de cualquiera de ellos que primero haya iniciado las actuaciones procesales. Así pues en esta modalidad de estafa informática, nuestro TS, apartándose de dicha doctrina de la ubicuidad aplicable a las estafas en las que media un engaño interpersonal, -y no en relación con una máquina o servidor de internet-, afirma que a efectos competenciales "el lugar de emisión de los correos por parte de la empresa contratante y el lugar de residencia del titular de la cuenta bancaria víctima del delito, son datos que resultan irrelevantes a los efectos de la instrucción de la causa. Siendo datos trascendentes el lugar de actuación y de residencia del intermediario, al ser donde se reciben las transferencias y se extrae materialmente el dinero del circuito bancario para su envío a destinos en el extranjero; y también el lugar de emisión de la orden de transferencia, que no siempre se puede precisar".
Lo hasta ahora expuesto nos lleva al examen de la problemática judicial existente a la hora de tipificar la conducta desplegada por dichos "intermediarios" en esta trama delictiva, siendo en este punto relevante apuntar, que todos los Autos del TS antes relacionados resolviendo cuestiones de competencia, no dudan en calificar dicho comportamiento, indiciariamente de "cooperación necesaria en un delito de estafa informática".
IV. Calificación jurídica de los supuestos de "Phishing", y en especial de la conducta llevaba a cabo por los intermediarios denominados "muleros bancarios"
Si bien no parece existir gran controversia acerca de que la conducta llevaba a cabo por quienes se apoderan de las claves bancarias y haciendo uso de las mismas ordenan virtualmente las transferencias inconsentidas, encuentra un adecuado y preferente encaje en el delito de estafa informática del art. 248.2º a) -EDL 1995/16398-, lo cierto es que si existe una viva discusión tanto doctrinal como jurisprudencial a la hora de calificar la conducta de los denominados muleros. Así pues, el tratamiento jurisprudencial de dicha dinámica comisiva compleja en sintonía con la doctrina mayoritaria, como ya se ha avanzado, ha tenido un encaje preferente en el delito de estafa informática, siendo exponentes de esta doctrina, entre otras muchas, las SSTS de 12 junio 2007 -EDJ 2007/70163-, de 16 marzo del año 2009 -EDJ 2009/134682-, y la reciente sentencia de 25 octubre del año 2012 -EDJ 2012/279319-, encontrándonos con que en esta última se efectúa un análisis detallado del estado de la cuestión, afirmando que "hechos de la naturaleza de los que hoy ocupan nuestra atención, en lo que tienen de operación concertada, con una estratégica distribución de roles para lograr un acto de despojo patrimonial mediante un engaño, valiéndose de terceros para poder extraer esos fondos sin suscitar sospechas en la entidad bancaria y, una vez obtenidos aquellos, colocarlos en un país que asegure la impunidad del desapoderamiento, presentan las características que son propias del delito de estafa informática al que se refiere el artículo 248.2 del Código Penal". Añadiendo "Así lo ha estimado la jurisprudencia de esta Sala, en sintonía con el entendimiento doctrinal mayoritario". Esta última sentencia, que precisamente examina un supuesto en el que la Audiencia Provincial condenó al "mulero bancario" no como autor de un delito de estafa, sino como autor de un delito de "blanqueo de capitales imprudente" del art. 301.1 y 3, en lo relativo a su intervención, se hace eco del debate doctrinal existente en relación con cuál debe ser la correcta calificación jurídica de su conducta, llegando a afirmar que dado lo controvertido de la cuestión, lejos de fórmulas generales, y si bien los hechos presentan inicialmente las características propias de las estafas informáticas, "serán las circunstancias del caso las que, a la vista de la prueba de los elementos fácticos que dan vida a los tipos objetivo y subjetivo, permitan formular sin error un juicio de subsunción".
Así pues son tres las posibles calificaciones jurídicas que se barajan fundamentalmente por la doctrina: la comisión de un delito de Estafa informática en la modalidad de cooperación necesaria conforme al art. 28.b) CP -EDL 1995/16398-; la comisión de un delito de Blanqueo de capitales preferentemente en su modalidad imprudente del art. 301.1 y 3 CP y finalmente la comisión de un delito de Receptación del art. 298 CP.
[[QUOTE2:"...el aporte es esencial cuando la participación en el hecho concreto tiene capacidad para frustrar el plan del autor en el caso de ser retirada."]]
La primera de las posibilidades, a saber, la comisión del delito de estafa informática, como se ha dicho es la acogida de forma preferente por nuestra doctrina y por nuestra jurisprudencia. Dicha calificación parte de la base de considerar que dichos intermediarios, no son autores directos sino cooperadores necesarios en el delito de estafa, al entender que realizan un aporte esencial o básico a la ejecución de un hecho ajeno (el iniciado por el "phisher"), cual es la aportación de una cuenta bancaria donde recibir las transferencias inconsentidas, y el envío del dinero al extranjero de forma inmediata, siguiendo las instrucciones que a dicho fin les imparten los autores. La determinación del carácter necesario de la colaboración como es sabido se realiza conforme a la teoría de los bienes escasos, según la cual el aporte es esencial cuando la participación en el hecho concreto tiene capacidad para frustrar el plan del autor en el caso de ser retirada. Asimismo para calificar su conducta conforme a dicho tipo penal se exige acreditar que dicha contribución sea jurídicamente desaprobada, pues sólo lo socialmente inadecuado puede ser típico. De igual modo, dicha contribución, además, debe ser consciente, lo que exige la acreditación del dolo del intermediario. Sobre este particular, nuestra jurisprudencia nos recuerda que la intención del sujeto no puede desgajarse de la acción, ello sin perjuicio de que su acreditación se efectúe mediante un juicio de inferencia formulado a partir de datos objetivos a deducir del acervo probatorio. A estos efectos, el conocimiento del significativo riesgo concreto que conlleva un acto en la materialización de un plan criminal y la realización del mismo sin cautela alguna permite integrar las exigencias de una de las modalidades del dolo, el dolo eventual. Nuestra jurisprudencia en estos casos para elaborar este juicio de inferencia acude a la teoría de la "ignorancia deliberada" cuyo enunciado es el siguiente: "quien no quiere saber, aquello que puede y debe conocer, y sin embargo trata de beneficiarse de dicha situación, si es descubierto, no puede alegar ignorancia alguna, y debe responder de las consecuencias de su ilícito actuar "(STS 3-7-2012 -EDJ 2012/153796-, 19-11-2012 -EDJ 2012/270032-, 11-10-2011 -EDJ 2011/231445- ó 20-7-2011 -EDJ 2011/155248- entre otras muchas).
La segunda de las posibilidades, entiende que dicha conducta encuentra encaje en la figura del Blanqueo de capitales por imprudencia grave. Dicha calificación a mi entender merece ser considerada como subsidiaria, y por ello solo procederá cuando no haya quedado suficientemente acreditado conforme a la doctrina antes expuesta la participación del intermediario a título de dolo, siquiera sea eventual, en el delito de estafa informática, ello por no haber sido posible formular dicho juicio de inferencia a partir de los datos objetivos que resulten del caso concreto. En estos casos por tanto, estaría permitida la ruptura del título de imputación, considerando que su conducta integra un delito distinto. Dicha posibilidad que viene siendo acogida por numerosas resoluciones judiciales, máxime desde la tipificación de la figura del "autoblanqueo", exigirá, en el caso de tratarse de particulares no sujetos a especiales deberes de cuidado por razón de su profesión, acreditar que el sujeto ha incurrido en grave dejación del deber de diligencia exigible o meramente esperable de cualquier persona precavida, que le hubiera permitido conocer la comisión antecedente de tal delito contra los bienes, ello sin olvidar que dicho conocimiento no exige una noticia exacta, cabal y completa del mismo, sino un estado de certeza que significa un saber por encima de la simple sospecha o conjetura.
Finalmente la calificación a título de Receptación, admitida por parte de la doctrina, a mi entender choca con un importante problema de tipicidad, por cuanto exigiría considerar que la conducta de tales intermediarios no ha contribuido en modo alguno a la consumación del delito de estafa antecedente, -recuérdese que el tipo penal de receptación exige que el receptador no haya intervenido ni como autor ni como cómplice en el delito contra la propiedad del que provienen los efectos, a diferencia de lo que sucede con el blanqueo de capitales que admite la figura del "autoblanqueo"-, de ahí que dicha calificación haya sido rechazada por nuestro TS en la sentencia de 16 de marzo de 2009 -EDJ 2009/134682-, que entendió que dicha participación debía de ser calificada como cooperación necesaria en el delito de estafa informática. Los partidarios de dicha doctrina afirman que los muleros intervienen en una fase delictiva en la que el delito ya se ha consumado, participando por tanto tan solo, en la fase de agotamiento del delito. Tal afirmación a mi modo de ver pasa por alto que dichos intermediarios, no solo extraen y remiten al extranjero las sumas de dinero trasferidas a sus cuentas, posibilitando de este modo que los que iniciaron el proceso delictivo se aprovechen del dinero, -lo que si podría estimarse una participación postdelictiva o postconsumativa propia de la fase de agotamiento del delito-, sino que antes de llevar a cabo dicha actividad final, colaboran activamente con el resto de partícipes facilitando una cuenta bancaria donde recibir el importe de dichas transferencias inconsentidas, que les son transferidas "directamente" de las cuentas de las víctimas. A mi entender, solo en los casos en que las sumas recibidas y reenviadas al extranjero por dichos intermediarios, hayan sido objeto de transferencias intermedias antes de llegar a su cuenta, cabría entender que la conducta del intermediario pudiera ser calificada conforme al tipo penal de la Receptación. Tal afirmación está íntimamente relacionada con cual sea el momento en que debe de entenderse consumado el delito de estafa. En este punto, y sin desconocer que existen distintas posturas doctrinales al respecto, a mi entender, el delito de estafa debe de entenderse consumado cuando se produce el desplazamiento patrimonial, esto es en el mismo momento en que se produce la anotación contable de dicha transferencias bancaria inconsentida en la cuenta receptora, independientemente de la disponibilidad efectiva o no del numerario, que ya pertenece a la fase de agotamiento del delito. Tal afirmación encuentra apoyo en nuestra jurisprudencia, siendo exponente de la misma el Auto dictado por nuestro TS en fecha 12-11-2009 -EDJ 2009/267716- resolviendo una cuestión de competencia en la que un Juzgado de Murcia y otro de Málaga investigaban sendas transferencias inconsentidas, una ordenada y no realizada al detectar la entidad bancaria el fraude con carácter previo, y otra realizada pero cuya suma había sido bloqueada ya en la cuenta del intermediario que no pudo extraerla. Dicho Auto afirma que en el primer caso la estafa era intentada, y en el segundo consumada pese a que el intermediario no había obtenido la disponibilidad de dinero. Tal tesis impediría calificar en estos casos la conducta del "mulero" como constitutiva de un delito de Receptación, al haber participado en la consumación del delito antecedente.
[[QUOTE2:"...el delito de estafa debe de entenderse consumado cuando se produce el desplazamiento patrimonial,..."]]
Finalmente señalar que existen resoluciones en las que, excepcionalmente, y atendidas las especiales circunstancias concurrentes deducidas nuevamente del material probatorio del caso concreto, se ha llegado a considerar que la conducta de los "muleros" es atípica, al haber actuado con error invencible sobre el elemento "cognitivo del dolo", error que la reciente sentencia del TS de fecha 3-12-2012 -EDJ 2012/283903- considera que integraría un error de tipo del art. 14.1º -EDL 1995/16398-. Tales supuestos coincidirán con aquellos en que el intermediario, por falta de cualificación y habida cuenta su conducta antecedente, o concurrente, deba de ser considerado una víctima más de sus captadores, al llegar a la conclusión de que la acción no le es reprochable ni a título de dolo ni de imprudencia grave.
V. Responsabilidad civil
En estos supuestos, se ha de poner de manifiesto que el intermediario deberá de responder del total importe de la cantidad que le fue transferida a su cuenta de forma inconsentida y no solo de la comisión percibida por su actuación, tal y como así lo ha establecido nuestra jurisprudencia, debiendo mencionarse en este sentido la STS de 25-10-2012 -EDJ 2012/279319-.
De igual modo, a la hora de determinar quien debe de ser considerado perjudicado por estos delitos, y establecer a su favor la responsabilidad civil correspondiente, no puede obviarse la relación contractual existente entre la entidad bancaria y el cliente titular de la cuenta afectada por la defraudación. En la práctica judicial asistimos a supuestos en los que la entidad bancaria ya ha reintegrado a su cliente las sumas defraudadas por este método delictivo, en cuyo caso no hay obstáculo para considerar a dicha entidad como perjudicada en sede penal al efecto de ser resarcida por los autores. No obstante lo anterior, no son infrecuentes los casos en que la entidad bancaria no ha reintegrado cantidad alguna a su cliente, en cuyo caso el beneficiario de la responsabilidad civil será el titular de la cuenta expoliada. En relación con estos últimos casos debe de tenerse presente que la Ley 16/2009 de 13 noviembre, de Servicios de Pago, en los casos de operaciones de pago no autorizadas por el titular de la cuenta, como las que nos ocupan, en su art. 31 -EDL 2009/244701- dispone que la obligación del Banco es "devolver de inmediato el importe de la operación no autorizada y, en su caso, restablecer en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada". En dicha Ley se establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago, con inversión de la carga probatoria, al presumirse la falta de autorización si el titular lo niega. Tal sistema de responsabilidad civil, tan solo cesa cuando conforme establece el art. 32 de la indicada Ley, el cliente haya actuado fraudulentamente o con negligencia "grave" a la hora de aplicar los "medios razonables de protección" de seguridad personalizados de que haya sido provisto, o no haya comunicado a la entidad el pago no autorizado "en cuanto tenga conocimiento" del mismo, ello siempre y cuando la entidad disponga de un sistema de comunicación adecuado, gratuito y disponible en todo momento que permita al usuario de servicios de pago efectuar la comunicación de la actuación fraudulenta. Esto es así por cuanto la Ley parte de la consideración de que quien resulta engañada es la entidad financiera proveedora del servicio que tenía su custodia y los medios de seguridad para protegerla, por lo que es ésta quien debe responder frente al cliente, salvo en los supuestos específicos legalmente indicados.
Este artículo ha sido publicado en la "Revista de Jurisprudencia", número 2, el 15 de marzo de 2013.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación