Argentina: Jurisprudencia Caso Universidad Nacional de Río Cuarto 1999

El acceso ilegítimo a sistemas informáticos

Posted: October 2nd, 1999 | Author:  | Filed under: acceso ilegítimoArgentinaPalazzi | Comments Off

http://www.delitosinformaticos.com.ar/blog/1999/10/02/el-acceso-ilegitimo-a-sistemas-informaticos/

Género: Jurisprudencia anotada
Título: El acceso ilegítimo a sistemas informáticos: la urgente necesidad de actualizar el Código Penal
Autor: Palazzi, Pablo A.
Fuente: JA 1999-III-321

Con nota de PABLO A. PALAZZI

 

1ª INSTANCIA.- Río Cuarto, abril 26 de 1999.- Considerando: 1. Que se inician las presentes actuaciones, a raíz de una denuncia efectuada por el Dr. O. E. T., director del Centro de Cómputos de la Universidad Nacional de Río Cuarto, a fin de poner en conocimiento que autor/es ignorados intentaron en reiteradas oportunidades ingresar al servidor de la citada Universidad, denominado REUNIRC, mediante la utilización de la red de datos denominada “Internet”.

2. Que previo el diligenciamiento de las medidas adoptadas en el sumario policial a fin de poder esclarecer el hecho denunciado, a saber: citaciones en sede policial, solicitud a la empresa Advance Comunicaciones a fin de requerirle la lista de usuarios del servicio de Internet, orden de allanamiento de una finca sita en calle Blas Parera s/n., etc., se pudo establecer que se intentó en reiteradas oportunidades el acceso al servidor de la Universidad, el cual no se encuentra disponible al público en general, sino a través del conocimiento de una clave, asimismo se identificó la computadora personal desde donde se realizaron los intentos de acceso, como así también el presunto sujeto activo de los mismos, el cual se individualizó como G. G., residente del domicilio allanado, lugar donde se secuestraron diversos elementos que fueron utilizados a efectos de intentar ingresar al sistema de la U.N.R.C.

3. Que así las cosas, encontrándose hasta el momento la instrucción virtualmente completa, este tribunal es de opinión que de los hechos investigados no se infiere que la conducta del presunto sujeto activo pueda encontrarse en alguno de los tipos penales previstos por el ordenamiento legal vigente, por lo que corresponde desestimar la presente denuncia y ordenar su archivo, en razón de que el hecho denunciado no constituye delito (conf. art. 180 últ. párr. CPr.Cr.).

4. A lo manifestado por el agente fiscal en cuanto a que no se hubiere procedido conforme lo dispuesto por el art. 415 CPr.Cr. este tribunal no comparte el criterio expuesto por el Ministerio Público, toda vez que en el caso sub examen, la investigación se inicia a raíz de una denuncia formulada por la U.N.R.C., a través del director del Centro de Cómputos, lo cual cumple con los requisitos legales del art. 174 CPr.Cr. , por lo que no corresponde declarar la nulidad de los actos procesales cumplidos.

Por todo lo expuesto, resuelvo: desestimar la presente denuncia y ordenar el archivo de las actuaciones, en razón de que el hecho denunciado no constituye delito.- Luis R. Martínez. (Sec.: Carlos A. Ochoa).

EL ACCESO ILEGÍTIMO A SISTEMAS INFORMÁTICOS: LA URGENTE NECESIDAD DE ACTUALIZAR EL CÓDIGO PENAL

Por PABLO A. PALAZZI

SUMARIO: I. El caso.- II. Naturaleza del problema: necesidad de definir el “espacio informático”.- III. El derecho comparado.- IV. Nuestra propuesta

I. EL CASO

El caso que comentaremos se originó cuando se intentó ingresar por Internet al centro de cómputos de una Universidad Nacional. El responsable del departamento de sistemas realizó una denuncia penal. En el sumario se comprobó que una persona había intentado acceder al servidor de la universidad, que no estaba disponible al público en general por poseer una clave de ingreso, e incluso fue posible individualizar el ordenador desde el cual se había efectuado la tentativa y al supuesto autor de la misma.

Luego de completar la investigación el tribunal concluyó que la conducta investigada no constituía delito y decidió desestimar la denuncia. Así, el juez, respecto a la calificación jurídica de los hechos, sostuvo que “este tribunal es de opinión que de los hechos investigados no se infiere que la conducta del presunto sujeto activo pueda encuadrarse en alguno de los tipos penales previstos por el ordenamiento legal vigente…” (Juzg. Fed. Río Cuarto, 26/4/99, “Denuncia formulada por U.N.R.C.”, firme).

No cabe ninguna duda de que nuestro Código Penal, cuyo origen se remonta a 1921, carece de una norma específica relativa al acceso ilegítimo a un sistema informático. Por ello, salvo que con ese acceso se cometa conjuntamente otro delito (vgr. una estafa, un daño), no existe base legal para tipificar penalmente dichas conductas. Por ello, nuestro comentario se limitará a realizar consideraciones sobre la necesaria reforma de nuestro Código Penal, haciendo una propuesta de cambio al respecto y examinando el derecho comparado.

II. NATURALEZA DEL PROBLEMA: NECESIDAD DE DEFINIR EL “ESPACIO INFORMÁTICO”

El arrollador avance de las ciencias informáticas y de las telecomunicaciones, la digitalización y la expansión de Internet han creado una vasta red de ordenadores, donde individuos y empresas publican información, venden productos y servicios y realizan un sinnúmero de actividades. Pero también el libre acceso y la apertura de la red puede conducir a situaciones donde se intente delinquir. En la práctica esto sucede muy a menudo y las pérdidas económicas ocasionadas por estas acciones disvaliosas son cuantiosas (1).

En otra ocasión (2) señalamos que el problema se originaba en lo que denominamos “las tres P”: Patrimonio, Propiedad y Privacidad. Se trata de tres aspectos que deben extenderse indiscutida y formalmente a los datos y sistemas informáticos. Comenzando por extender el concepto de patrimonio, incluyendo específica y exhaustivamente a los datos y la disponibilidad de los mismos. Demarcando la existencia de una propiedad lícita de esta entidad “datos” y estableciendo sin lugar a dudas que se confiere el mismo grado crucial de privacidad que a cualquier otra propiedad como una carta, o archivos particulares y también el mismo grado de protección constitucional y penal.

Nuestra Constitución Nacional, en el art. 18 (LA 1995-A-26) ampara el domicilio y los papeles privados de la intromisión por parte del Gobierno y de los particulares. El art. 19 del mismo texto legal lleva también a crear un ámbito de privacidad del individuo. No cabe duda de que aunque hay una laguna constitucional en cuanto a que no existe una expresa mención, la misma puede llenarse por vía de una interpretación teleológica, es decir, teniendo en cuenta que lo que buscaban amparar los constituyentes de 1853 era el concepto de privacidad, más allá de que específicamente se haya hecho referencia al domicilio y la correspondencia epistolar.

Pero además existe un nuevo artículo agregado por la reforma de 1994 a la reformada, en particular del art. 41 que permite una interpretación más armónica del texto constitucional. En efecto, el nuevo art. 43 otorga a cualquier individuo el derecho de acceder y rectificar los datos sobre su persona, contenidos en cualquier clase de bancos de datos o registros públicos o en aquellos privados destinados a proveer informes. El fundamento de este nuevo instituto -denominado hábeas data en una clara analogía con el habeas corpus-, no es otro que el de la intimidad o privacidad de esos datos que se pretenden conocer por ser relativos al requirente. Y si en un ordenador ajeno se reconoce este derecho sobre los datos de otro, con mayor razón deberá considerarse que este ámbito de privacidad también existe en una computadora sobre los datos que el propio dueño ha introducido en ella.

Corresponde señalar que fue la Provincia del Chaco la primera en extender específicamente las tradicionales garantías de la inviolabilidad del domicilio y la correspondencia epistolar al ámbito informático. Así el art. 15 de su Constitución, sancionada en diciembre de 1994 (LA 1995-B-2581), requiere orden escrita de juez competente que exprese el motivo del procedimiento fundada en vehemente sospecha de la existencia de un delito para intervenir los sistemas de almacenamiento de datos y los medios de comunicación de cualquier especie. En igual sentido, la Constitución de la Prov. de La Rioja, reformada en 1998, establece en su art. 30, bajo el título de derecho a la privacidad: “Son inviolables el domicilio, los papeles y registros de datos privados, la correspondencia epistolar y las comunicaciones de cualquier índole…” (LA 1998- C-3747).

Estas garantías constitucionales que hallamos en el derecho público provincial no tienen otro fundamento que el considerar al “espacio informático” (cyberspace) como un nuevo ámbito de la propiedad privada.

Tomar conciencia de este nuevo ámbito protegible jurídicamente también implicará darle un amparo penal. Así, frente a la protección constitucional del domicilio y la correspondencia epistolar, el Código Penal prevé el delito de allanamiento ilegal o violación de domicilio y la violación o desvío de correspondencia. Proponemos entonces, la posibilidad de incriminar el acceso ilegítimo a un sistema informático -como sucede ampliamente en el Derecho Comparado-, o más específicamente a los archivos y correo electrónico de un ordenador cuando no exista debida autorización de su titular. Éstos son los casos conocidos como hacking.

Se denomina hacking en la jerga informática a la conducta de entrar a un sistema de información sin autorización, es decir violando las barreras de protección establecidas a tal fin. El sujeto que realiza esta actividad es llamado hacker, muy rara vez se conoce su nombre verdadero y en muchos casos actúa y firma en grupo. La actividad de “hackear” un sistema puede tener diferentes finalidades y alcances. Así en la mayoría de los casos el romper el sistema o eliminar los pasos de seguridad de un sistema tiene por objeto ver, fisgonear el contenido y la información protegida, otras veces extraer copias de la información y muy raramente destruir o cambiar los contenidos de la información (3).

Resulta interesante ver cómo en el derecho comparado estas conductas han recibido un tratamiento específico dentro del Derecho Penal.

III. EL DERECHO COMPARADO

Cuando el fenómeno del hacking y del acceso ilegítimo a sistemas informáticos comenzó a expandirse, se intentó penalizar estas conductas con los delitos de intercepción de comunicaciones. Pero estas conductas sólo cubrían la intercepción de comunicaciones orales (que portaban voz, no datos), como lo disponían los Códigos Penales de Alemania, Italia, Holanda y Estados Unidos (4). El intento de aplicar por analogía disposiciones relativas a intromisiones ilegítimas o violación de morada fue rechazado por los tribunales ingleses (5). En todos los países resultaba muy difícil aplicar los tradicionales tipos penales al acceso no autorizado a información (6).

Como respuesta a este incremento de casos de hacking se fueron reformando las normas penales para incluir al acceso no autorizado a sistemas de procesamiento de datos como un delito autónomo. Ello ocurrió en Australia, Canadá, Dinamarca, Alemania, Finlandia, Francia, Luxemburgo, Holanda, Noruega, España, Suecia, Suiza, el Reino Unido y los Estados Unidos (7).

En los Estados Unidos, donde cada Estado posee su propia legislación, existen distintas modalidades de esta figura. Algunas exigen que exista una medida de protección o se advierta al intruso que está ingresando en una propiedad privada. Incluso algunas penalizan la mera tenencia de passwords o claves de acceso, como lo hizo recientemente el Código Penal italiano (8). Por último, varias leyes estaduales mezclan el acceso ilegítimo con otros delitos como el daño informático o la interrupción de comunicaciones, cuestión que no es recomendable por carecer de una elemental técnica legislativa. Así, el Estado de Arkansas (9), bajo el nombre de Computer trespass penaliza a cualquier persona que sin autorización acceda, altere, borre, destruya o interrumpa un ordenador, sistema informático, o red de computadoras.

La ley chilena no penaliza el acceso sino la difusión o revelación de los datos. El art. 4 de la ley chilena sobre delitos informáticos establece que “el que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado”. No queda muy claro si lo que se pretende tutelar es la privacidad o algún secreto comercial.

En Brasil un proyecto legislativo propone introducir un delito específico de acceso a sistemas informáticos con varias agravantes (10).

Un ejemplo interesante que se podría seguir en la Argentina es el reciente Código Penal de Italia. En su art. 615 ter el Código Penal italiano (11) prevé un delito denominado “Accesso abusivo ad un sistema informatico o telematico”, que tipifica la intrusión a un sistema informático o telemático protegido con medidas de seguridad o contra la voluntad expresa de quien tiene derecho a excluirlo.

IV. NUESTRA PROPUESTA

Se ha dicho que el acceso de una persona no autorizada a los datos que se encuentran en soportes informáticos se está produciendo cada vez más, motivado por la falta de seguridad de los sistemas y de formación de las personas que en ellos operan, facilitado más, si cabe, por las posibilidades que ofrecen las modernas técnicas de comunicación que permiten el conocimiento, manejo y transferencia de información entre sistemas, con máximas garantías y mínimo riesgo (12).

En efecto, las estadísticas sobre delitos informáticos demuestran que cada vez es mayor el acceso a sistemas informáticos sin autorización (13).

Esta demostración, sumada a la necesidad de equiparar este espacio informático a la tradicional protección con que cuentan otros ámbitos como el domicilio o la correspondencia epistolar, nos convencen de la necesidad de tipificar penalmente el acceso ilegítimo a sistemas informáticos.

Pero una inclusión como la que proponemos en el Código Penal puede suscitar reparos, pues la sanción penal del mero ingreso a un ordenador sin exigir un daño concreto (por ej., daño o borrado de datos, copia de obras intelectuales o acceso a datos privados o secretos) constituirá un delito de peligro abstracto.

Respecto a ello, cabe recordar que la Corte Suprema tiene dicho que “no es exigencia constitucional que toda figura delictiva deba producir un daño para ser punible, pues tal razonamiento prescinde de la existencia de tipos delictivos constitucionalmente válidos y en los que el resultado de la acción consiste en la creación de un peligro” (14).

La experiencia nos demuestra que, en la mayoría de los casos, quien accede a un sistema informático, intentará copiar información, destruirla o borrarla o apropiarse de algún dato valioso (protegido por las normas de propiedad intelectual, de los secretos comerciales o de la privacidad).

Asimismo, por la analogía existente con el ingreso al domicilio, el artículo debería ubicarse dentro del título de los delitos contra la libertad (título 5). Incorpórase al Libro Segundo del Código Penal y a continuación del art. 161, un Capítulo 6 que contendrá el epígrafe siguiente: “Capítulo 6: Delitos contra la privacidad y la libertad informática”.

Por eso propusimos en su momento el siguiente texto:

“Art. 161 ter. Será reprimido con prisión de un mes a dos años el que sin la debida autorización, o excediendo la que posea, acceda por cualquier medio a un sistema, subsistema informático, red de computadoras, o a un servicio informático privado o público de acceso restringido”.

La sugerencia está extraída de un anteproyecto que presentamos a un grupo de senadores y que sirvió de base a un proyecto final de autoría compartida por los Senadores Bernardo Quinzio, Raúl A. Galván, Jorge A. Agundez y José O. Figueroa (15) en el año 1996. Durante este año y el siguiente el proyecto no tuvo tratamiento legislativo alguno.

Este proyecto se basó asimismo en un anteproyecto redactado en el ámbito del Grupo de Investigación en Seguridad y Virus Informáticos (GISVI) dependiente en aquel entonces de la UBA y actualmente UB que dio el apoyo y conocimiento técnico, y del proyecto que finalmente presentaron los senadores.

En la exposición de motivos del anteproyecto señalamos que “para formular una incriminación de este tipo el derecho se basa en reglas constantes de la experiencia, desentendiéndose de toda comprobación referente a la efectiva existencia de lesiones o riesgos (Soler, Sebastián, ‘Derecho Penal Argentino’, t. IV, ps. 483/4). La experiencia en materia de delitos informáticos señala que el ingreso a un ordenador, ya sea directamente o indirectamente (por vía telemática o por un programa preparado para ello), constituye el primer paso para la comisión de otros delitos (copia ilegítima de programas o datos, daño, violación de secretos, estafas, falsedades informáticas, etc.)”.

En síntesis consideramos que el vacío existente en nuestro Código Penal amerita la señalada reforma y superó cualquier objeción que se haga relacionada con la amplitud del tipo penal. Es que en la era de la información, es justamente este tipo de bienes los que deben recibir tutela por parte del legislador, pues el comercio electrónico, la digitalización de los datos y el crecimiento de las autopistas de la información dependerán en gran medida del amparo legal que los usuarios encuentren en estos ámbitos. En este sentido, es útil tomar en cuenta las recomendaciones realizadas por el Grupo de Trabajo sobre Comercio Electrónico y Comercio Exterior del Ministerio de Economía y Obras y Servicios Públicos de la Nación (Res. 412/99 del 9/4/99), donde se sugiere establecer normas que brinden protección a la privacidad de datos de los usuarios y consumidores que efectúen operaciones en línea.

Es indispensable, entonces, que aquellos llamados a reformar el Código Penal reflexionen sobre la importancia de contar con normas penales actualizadas a la época que nos toca vivir. La seguridad jurídica exige que todos aquellos que quieran desarrollar actividades en las autopistas de la información se encuentren con reglas similares a las que existen en el mundo real. En general esto es así sin necesidad de modificar norma alguna, salvo el presente caso, que parece ser una de las pocas excepciones donde la intervención legislativa se hace necesaria, atento al notorio vacío legislativo que a la fecha existe.

NOTAS:

(1) Ver al respecto “1997 Deloitte & Touche Report on International Frauds”, por N. Bohm. Este informe encargado por la Unión Europea explicaba que el fraude transnacional relacionado con el abuso de Internet y el acceso ilegítimo a sistemas informáticos costaba a la sociedad cerca de 77 billones de dólares anuales. El informe asimismo decía que una de las causas de fraudes a través de Internet era que la falta de software de encriptado fuerte hacía accesibles los sistemas informáticos a criminales (Financial Times, 24/4/97).

(2) García, Fabián-Palazzi, Pablo, “Consideraciones para una reforma penal en materia de seguridad y virus informáticos”, JA 1996-II-841.

(3) Conf. Zabale, Ezequiel-Beltramonte, Guillermo-Herrera Bravo, Rodolfo, “Delitos informáticos”, en Boletín Hispanoamericano de Informática y Derecho, año I, n. 3, agosto 1998, Boletín 1.3, publicado en Internet en http://members.xoom.com/bhiyd.

(4) En tal sentido ver para Alemania, Código Penal, art. 201; en Italia, arts. 617 bis y 623 bis; en los Estados Unidos puede verse: 18 U.S.C. Sections 2510- 2521, 47 U.S.C. 605. Un problema similar se presentó con el Código Penal canadiense en el art. 183 y ss.

(5) Ver el caso “R. v. Golf and Shifreen”, 1988, AC, wp. 1063.

(6) Sieber, Ulrich, “Legal Aspects of Computer -Related Crime in the Information Society-”, COMCRIME -Study- preparado para la Comisión Europea por la Universidad de Würzburg, enero 1998, p. 63.

(7) Citamos el país y el artículo respectivo del Código Penal: Canadá (art. 342 (1); Dinamarca, art. 263 (2) y (3) Alemania, art. 202a; Finlandia, art. 8 del Capítulo 38 reformado en 1990; Francia, art. 462-2, según la reforma de 1988; Grecia, art. 370 C (2) también modificado en 1988; Luxemburgo, art. 509-1 según la reforma del año 1993; Holanda, art. 138a (1), (2) del Código Penal de 1992; Noruega, art. 145, desde 1987; España, art. 256 del Código Penal actualizado en 1995; Suecia, art. 21 de la Ley de Protección de Datos; Reino Unido, secciones 1 y 2 de la Ley de Abuso Informático (Computer Misuse Act 1990); Suiza, art. 143 bis Código Penal; y en los Estados Unidos ver Electronic Communications Privacy Act of 1986 (18 U.S.C. 2510-2521, 2701-2710, 3117, 3121-3126), y también Computer Fraud and Abuse Act of 1984 and 1986 (18 U.S.C. 1029, 1030) así como las respectivas leyes estaduales.

(8) Así, en el art. 615 quater del Código se tipifica la detenzione e diffusione abusiva di codici di accesso a sistemi infromatici o telematici. El artículo dice: “Chiunque, al fine di procurare a se’o ad altri un profitto a di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazione o istruzioni idonee al predetto scopo, e’ punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. La pena e’ della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell’articolo 617-quater”.

(9) Código Penal, Sección 5-41-104 (a): “Any person commits computer trespass who intentionally and without authorization accesses, alters, deletes, damages, destroys, or disrupts any computer, computer system, computer network, computer program, or data”.

(10) El texto de la norma dice así: “Acesso indevido ou nao autorizado, Art. 9. Obter acesso, indevido ou nao autorizado, a computador ou rede de computadores. Pena: detençao, de seis mess a um ano e multa. Parágrafo primeiro. Na mesma pena inorre quem, sem autorizaçao ou indevidamente, obtém, mantém ou fornece a terceiro qualquer meio de identificaçao ou acesso a computador ou rede de computadores. Parágrafo segundo. Se o crime é cometido: I – com acesso a computador ou rede de computadores da Uniao, Estado, Distrito Federal, Município, órgao ou entidade da administraçao direta ou indireta ou de empresa concessionária de serviços públicos; II – com considerável prejuízo para a vítima; III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro; IV – com abuso de confiança; V – por motivo fútil; VI – com o uso indevido de senha ou processo de identificaçao de terceiro; ou VII – com a utilizaçao de qualquer outro meio fraudulento. Pena: detençao, de um a dois anos e multa”.

(11) El artículo dice así: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontá espressa o tacita di chi ha il diritto di escluderlo, é punito con la reclusione fino a tre anni. La pena é della reclusione da uno a cinque anni: 1) se il fato é commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche aubsivamente la professione di investigatore privato, o con abuso della qualitá di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o sulle persone, ovvero se é palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni, o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo o secondo rigurdino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanitá o alla protezione civile o comunque di interesse pubblico, la pena é, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto é punibilie a querela della persona offesa; negli altri casi si procede d’ufficio”.

(12) Davara Rodríguez, Miguel Ángel, “Derecho Informático”, Ed. Aranzadi, 1993, p. 324.

(13) Ver el informe citado en nota 1 de este trabajo.

(14) Corte Sup., Fallos 317-2561.

(15) Diario de Asuntos Entrados n. 122, 19/9/96.

 

1999

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: