El nuevo proyecto de Código Penal marca un punto de inflexión en el abordaje legal del delito informático en Argentina, al dedicarle un capítulo específico a las diferentes formas de crimen en el ciberespacio e incorporar el uso Inteligencia Artificial como agravante de las penas.
"A diferencia de la ley de 2008, que reformó parcialmente el Código Penal adaptando delitos tradicionales al contexto digital, esta iniciativa propone una actualización integral, incorporando un título específico dedicado a delitos informáticos, con figuras autónomas y penas diferenciadas", indica a iProUP Matías Werner, abogado penal especializado en cibercrimen.
Nuevo Código Penal: qué dice sobre cibercrimen
El proyecto de Código Penal incorpora las siguientes precisiones, explica Werner:
- El delito de Obtención y uso ilegítimo de datos informáticos, para castigar la obtención fraudulenta y el tráfico de datos sensibles, incluyendo claves, información financiera o confidencial, con penas que van de 2 a 4 años de prisión y multas de 10 a 30 días
- Como delito autónomo, la suplantación de identidad digital, dirigido a quien se haga pasar por una persona física o jurídica a través de medios informáticos o de comunicación. Esta figura, largamente reclamada por víctimas y especialistas, apunta directamente a combatir estafas, fraudes y acoso en línea
- La tipificación de la ciberviolencia sexual, mediante la penalización de la difusión no consentida de imágenes o videos íntimos. Establece penas de 3 a 9 años de prisión, con agravantes que pueden elevar la pena hasta 12 años si, por ejemplo, el autor tuvo una relación íntima con la víctima o se produjo un daño grave a su salud psíquica
- Nuevas figuras, como el hurto informático, que sanciona el apoderamiento o copia ilegítima de información no pública con valor económico, mediante la violación de medidas de seguridad.
El fraude informático, por su parte, tiene un tipo penal específico que contempla no solo la maniobra consumada, sino también su preparación. En este marco se tipifica el phishing, una de las técnicas más frecuentes de estafa digital. Se prevén penas de 2 a 4 años para quien obtenga datos personales mediante engaño, así como para quien compile o venda esa información.
Además, se sanciona con penas de 1 mes a 3 años a quien induzca a revelar contraseñas u otros datos mediante comunicaciones electrónicas o cualquier otro método de manipulación informática. También será penado quien conserve, comercialice o facilite programas destinados a cometer este tipo de delitos.
Federico Tjor, abogado especializado en tecnología, agrega las siguientes normas que incluye el Código:
- Agravantes para el caso de sistemas públicos, de salud, financieros, energía o transporte, como también para el caso de afectación de un número indeterminado de sistemas, como en ataques DDoS (denegación de servicio distribuido), o botnets
- Figura de la suplantación de identidad, que alcanza incluso a personas jurídicas, un mal que afecta hace tiempo sin solución legislativa hasta la fecha
"En otro capítulo, se tipifica la duplicación o alteración de números de serie de equipos celulares (IMEI), en línea con problemas asociados a delitos habituales de robo de equipos o duplicación de líneas", considera Tjor.
Nuevo Código Penal: el proyecto, punto por punto
"El proyecto sistematiza los delitos informáticos en el Título XXVI "Delitos Informáticos", con cuatro capítulos bien definidos: atentados a través de medios informáticos, daño informático, hurto y fraude informáticos, y acceso ilegítimo", afirma Gilberto Santamaría, del Estudio Santamaría, y precisa:
1. Atentados a través de medios informáticos
Aunque el texto concreto está disperso, el esquema sanciona, en términos generales:
- Obtención de claves, datos personales, financieros, confidenciales o de otra naturaleza de un tercero
- Suplantación de identidad
- Difusión no autorizada de imágenes o grabaciones de audio o audiovisuales de naturaleza sexual producidas en un ámbito de intimidad, obtenidas con o sin consentimiento de la persona afectada
2. Daño informático
"El capítulo sobre daño informático castiga al que destruye, inutiliza, altera o introduce programas destinados a causar daños en sistemas informáticos", sostiene Santamaría y señala:
- Alteración, destrucción o inutilización de datos informáticos
- Obstaculización del funcionamiento de un sistema informático
La norma, bien diseñada para Web2, cubre:
- Malware, virus, ransomware, wipers
- Ataques de denegación de servicio (DoS/DDoS)
- Sabotajes a servicios de salud, transporte, comunicaciones, energía, etcétera
3. Hurto y fraude informáticos
"Aquí, el Proyecto hace su aporte más claro al patrimonio en contextos digitales", manifiesta Santamaría, quien desglosa:
- Hurto informático: sanciona al que, violando medidas de seguridad, se apodera o copia información en sistemas ajenos que no sea pública y tenga valor comercial o privado
- Fraude informático y phishing: se pena la defraudación mediante técnicas de manipulación informática que alteren el normal funcionamiento del sistema o la transmisión de datos, o mediante el uso no autorizado de datos (phishing, ingeniería social, etc.)
En este sentido, remarca que "el proyecto agrava cuando la defraudación se realiza mediante hackeo, manipulación o supresión de datos, alterando el normal funcionamiento de sistemas o la transmisión de datos".
"También se sanciona la manipulación informática en sistemas de reservas y comercialización falsa de productos por plataformas digitales, es decir, fraudes en e-commerce", destaca.
4. Acceso ilegítimo
Santamaría remarca que "el tipo de acceso ilegítimo sanciona al que, a sabiendas, accede sin autorización –o excediendo la que posee– a un sistema, programa o dato informático de acceso restringido".
Es el clásico "hacking no autorizado", incluyendo romper contraseñas, evadir firewalls, utilizar credenciales robadas. Hay agravantes por afectación de bases de datos sensibles, sistemas estatales, servicios de interés público, etc.
Otras figuras "digitales" como honor, desinformación e IA
"El proyecto no limita lo digital al Título XXVI, sino que dispersa normas tecnológicas en otros títulos, lo que revela una clara conciencia de los riesgos Web2", advierte Santamaría, y enumera:
Para Santamaría, "aunque el esfuerzo es meritorio, el resultado deja fuera por completo el ecosistema Web3, atrapando su regulación en un esquema conceptual viejo, de informática centralizada".
