El delito de acceso abusivo a sistema informático: a propósito del art. 269A del CP de 2000 - Núm. 9, Junio 2013 - Revista de Derecho, Comunicaciones y Nuevas Tecnologías - Libros y Revistas - VLEX 514190402

El delito de acceso abusivo a sistema informático: a propósito del art. 269A del CP de 2000

AutorRicardo Posada Maya
CargoProfesor asociado del Área de Derecho Penal, Procesal Penal y Criminología, y director del Grupo de Investigación y Estudios en Derecho Penal 'Cesare Beccaria' de la Universidad de los Andes, Bogotá, Colombia
Páginas2-31

Page 4

I Consideraciones generales

El 5 de enero de 2009 el Gobierno Nacional sancionó la L. núm. 12731, mediante la cual fue adicionado un nuevo título VII bis al Código Penal (en adelante CP) de 2000 (L. 599 de 2000), denominado De la protección de la información y de los datos informáticos. La reforma al CP siguió parcialmente los estándares técnico-dogmáticos sugeridos por el Convenio de Budapest del Consejo de Europa (2003) contra la cibercri-minalidad (Tít. I, art. 2°)2.

Una de las figuras ampliamente modificadas por esta ley fue el delito de acceso abusivo a sistema informático3. Tipo penal pionero en nuestro medio jurídico que inicialmente fue regulado por el art. 195 del CP4 -dentro del capítulo VII, título III, dirigido a castigar La violación de la intimidad, reserva e interceptación de comunicaciones—, y que en esta oportunidad fue incluido en el art. 269A, dentro de las figuras que castigan especialmente "Los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos" que los contienen, procesan o transmiten en forma automática. Con ello el legislador penal colombiano confirmó su deseo de garantizar la seguridad de las funciones informáticas propiamente dichas, en contra de ataques cibercriminales5, como figuras autónomas frente a los tipos penales tradicionales.

Sin embargo, la evolución del mencionado art. 269A no ha sido pacífica. En efecto, el cinco de marzo de 2009, esto es, dos meses después de entrar en vigencia la "ciber-reforma", el Gobierno Nacional sancionó la L. 12886 —mediante la cual se expidieron normas para fortalecer el marco legal que permite garantizar la reserva de la información derivada de acciones de "inteligencia y contrainteligencia"— que, con evidente falta de planeación legislativa, revivió y modificó, en el art. 25, el invalidado art. 195 CP7 y derogó los arts. 4° y 269A adicionados por la reciente L. 1273 de 2009.

Para completar el diagnóstico, debe decirse que la L. 1288 de 2009 fue declarada inexequible

Page 5

por la Corte Constitucional mediante sentencia C-913 de 2010, debido a evidentes vicios de procedimiento en su formación (reserva de ley estatutaria), que de nuevo dejaron vigentes los arts. 4° y 269A de la "ciberreforma".

No obstante, el asunto no terminó allí, porque el Gobierno Nacional presentó de nuevo el Proyecto de ley estatutaria num. 263 de 2011 Senado y 195 de 2011 Cámara de Representantes, "Por medio de la cual se expiden normas para fortalecer el marco jurídico que permite a los organismos que llevan a cabo actividades de inteligencia y contra inteligencia cumplir con su misión constitucional y legal, y se dictan otras disposiciones", que fue sancionado como la L. 1621 de 2013. Justamente, dentro de las otras disposiciones, se incorporó un art. 40 en el que se propuso una antitécnica modificación al CP, art. 269A, del siguiente tenor literal:

Art. 269A. Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el derecho legítimo a excluirlo, incurrirá en pena de prisión de cinco (5) a ocho (8) años y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. / La pena se aumentará el doble cuando el acceso abusivo beneficie a miembros de grupos armados al margen de la ley u organizaciones de crimen organizado, o cuando el acceso abusivo beneficie a gobiernos extranjeros.

Una reforma muy cuestionable a dos aspectos de la norma vigente. En primer lugar, porque solo buscaba incrementar las penas hasta un máximo imponible de diez (10) años de prisión, cuando el estándar internacional señala como un máximo de pena proporcional y razonable cinco (5) años. Se trata de una tendencia usual en nuestro medio asociada al maximalismo punitivo y al terror penal o neopunitivismo. Y en segundo lugar, por la inclusión de una agravante típica que, si bien era muy interesante en términos político-criminales al recoger parcialmente la figura del ciberespionaje (acceso a los sistemas que almacenan datos de inteligencia y contra inteligencia), fue construida a partir de un resultado de peligro, absolutamente gaseoso (beneficie), que sin duda constituye una cláusula general que vulneraba el principio de legalidad.

Dicha propuesta legislativa, para mayor vergüenza del Congreso, también fue declarada inexequible por la Corte Constitucional en la sentencia C-540 de 2012, de nuevo por vicios de forma, al quebrantar el art. 158 superior (CN), que regula el principio de unidad o relación de materia de las leyes o conexidad sustancial8. Lo que mantiene incólume la vigencia actual del CP, art. 269A.

La difícil vigencia de esta figura delictiva demuestra la compleja y enorme improvisación le-

Page 6

gislativa que ha rodeado la regulación de estas modalidades criminales en Colombia, que buscan prevenir riesgos masivos y continuos que puedan afectar el funcionamiento confiable y el uso debido de los sistemas informáticos. Sobre este asunto se ha dicho en otra oportunidad que:

La cibercriminalidad cubre aquellas conductas punibles realizadas con fines ilícitos, no consentidas (facultadas) por el titular de la información o los datos, o abusivas de este consentimiento (facultad), que se orientan a la indebida creación, procesamiento, almacenamiento, adquisición, transmisión, divulgación, daño, falsificación, interceptación, manipulación y ejecución automática de programas de datos o información informatizada reservada o secreta de naturaleza personal (privada o semi-privada), empresarial, comercial o pública, que pongan en peligro o lesionen (CP/art. 11) la seguridad de las funciones informáticas en sentido estricto, esto es, la confiabilidad (calidad, pureza, idoneidad y corrección), la integridad y la disponibilidad de datos o información, y de los componentes lógicos de la programación de los equipos informáticos o de los programas operativos o aplicativos (software). Por consiguiente, no se trata de delitos comunes sino de tipologías especiales realizadas a través de procedimientos informáticos, que gozan de cierta riqueza técnica, aunque no abandonan los tipos penales ordinarios como referentes dogmáticos y criminológicos. (Posada Maya, 2012b, p. 6)9.

Así las cosas, el presente escrito examina la figura típica informática de acceso abusivo a sistema informático. Para ello, en primer lugar, se realizan algunas consideraciones generales. En segundo lugar se estudia la norma prevista en el CP, art. 269A, y se analizan sus elementos dogmáticos objetivos y subjetivos. Finalmente, en tercer lugar, se realizan algunas consideraciones a título de conclusión. Todo ello con el propósito de esclarecer esta compleja figura jurídica que, en la práctica, se advierte como el punto inicial de los cibercrímenes previstos en la legislación vigente1011.

II Aspectos dogmáticos del tipo de acceso abusivo a sistema informático protegido con medida de seguridad

El legislador penal reguló en el CP, art. 269A adc. L. 1273 de 2009, el tipo penal de Acceso abusivo a sistema informático, de la siguiente forma:

Page 7

El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes12.

Se trata de una modalidad típica de intrusión13 que consiste en:

[...] arrogarse ilegalmente —de forma no autorizada— el derecho o la jurisdicción de intrusarse o 'ingresar' en un sistema informático o red de comunicación electrónica de datos, con la consecuente trasgresión de las seguridades dispuestas por el 'Webmaster' o prestador del servicio al 'Webhosting' u 'Owner', con el fin de proteger los servicios de transmisión, almacenamiento y procesamiento de datos que ofrece frente a posibles abusos de terceros (ingreso en cuentas de e-mail ajenas). Así como también la utilización o interferencia indebidos de dichos equipos o sistemas informáticos o telemáticos, o la permanencia contumaz en los mismos por fuera de la autorización o del consentimiento válidamente emitido por el titular del derecho. (Posada Maya, 2006b, p. 23)14.

Este tipo de comportamientos punibles constituyen verdaderas conductas preparatorias o preliminares de infracción a la seguridad y al control informático (Quintero Olivares & Morales Prats, 2011a, pp. 481, 483), de peligro y de ejecución abierta que, por lo general, acompañan a la mayoría de conductas delictivas sancionadas por el legislador colombiano como parte de la cadena de ataques a un determinado sistema informático o a los datos e información almacenados en este.

En el ordenamiento penal colombiano, a diferencia de otros ordenamientos penales como el español15, el italiano16 o el alemán17, el delito

Page 8

de acceso abusivo a un sistema informático no se clasifica como una modalidad de espionaje informático (porque no se exige de lege data el conocimiento o la disposición de datos: 'cracking malicioso') ni del delito de violación de habitación ajena, por más que, en el último caso, se trate de equiparar los conceptos de sistema informático y domicilio, con el argumento...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR