COMENTARIOS SOBRE LA REFORMA DE LOS DELITOS DE FRAUDE Y FALSIFICACIÓN DE MEDIOS DE PAGO DISTINTOS DEL EFECTIVO
La reciente Ley Orgánica 14/2022, de 22 de diciembre, tan comentada por la supresión del delito de sedición y la modificación del de malversación, ha introducido también, entre otras reformas de la legislación penal española, importantes novedades en materia de “ciberdelincuencia” y, más concretamente, en la actualización de la respuesta punitiva del Estado a los supuestos de falsificación de instrumentos de pago y estafas informáticas.
Tales novedades responden a la transposición parcial de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre la lucha contra el fraude y la falsificación de los medios de pago distintos al efectivo y por la que se sustituye la Decisión Marco 2011/413/JAI del Consejo de la Unión Europea, que insistía en la necesidad de que los Estados se doten de medidas penales eficaces para combatir la criminalidad organizada en el ámbito de instrumentos de pago no dinerarios y proteger a las víctimas de los mismos.
Hasta ahora, dichos ilícitos, que se llevan a cabo habitualmente mediante la usurpación de la identidad personal y/o digital del consumidor o cliente bancario como medio para la realización de disposiciones de dinero de su cuenta, sin el conocimiento ni autorización del titular de la misma, se encontraban tipificados en tres únicas modalidades incluidas en el artículo 248.2 del Código Penal.
Con la reforma aprobada, que entrará en vigor el 12 de enero de 2023, es el artículo siguiente (249 C.P.) el que enuncia, de manera mucho más completa y detallada, la respuesta jurídico- penal que merece ese tipo de fraude:
1. También se consideran reos de estafa y serán castigados con la pena de prisión de seis meses a tres años:
- Los que, con ánimo de lucro, obstaculizando o interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
- Los que, utilizando de forma fraudulenta tarjetas de crédito o débito, cheques de viaje o cualquier otro instrumento de pago material o inmaterial distinto del efectivo o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.
2. Con la misma pena prevista en el apartado anterior serán castigados:
- Los que fabricaren, importaren, obtuvieren, poseyeren, transportaren, comerciaren o de otro
modo facilitaren a terceros dispositivos, instrumentos o datos o programas informáticos, o
cualquier otro medio diseñado o adaptado específicamente para la comisión de las estafas
previstas en este artículo.
Los que, para su utilización fraudulenta, sustraigan, se apropiaren o adquieran de forma ilícita
tarjetas de crédito o débito, cheques de viaje o cualquier otro instrumento de pago material o
inmaterial distinto del efectivo.
3. Se impondrá la pena en su mitad inferior a los que, para su utilización fraudulenta y sabiendo que fueron obtenidos ilícitamente, posean, adquieran, transfieran, distribuyan o pongan a disposición de terceros tarjetas de crédito o débito, cheques de viaje o cualesquiera otros instrumentos de pago materiales o inmateriales distintos del efectivo.
De esta forma, se cubren muchas de las lagunas de punibilidad que presentaba la anterior regulación legal, la cual, a partir de ahora, abarcará cualquier modalidad de interferencia o manipulación informática, en cualquiera de sus fases (incluidos actos preparatorios, como la distribución o puesta a disposición de terceros), destinada a obtener la transferencia no consentida de activos patrimoniales de la víctima.
En el mismo sentido, se amplían y detallan los supuestos de alteración o manipulación de instrumentos de pago distintos al efectivo que son objeto de sanción penal, incluyéndose, en los artículos 399 bis y 400 del Código Penal, tanto la falsificación directa como el uso posterior de dicho medio de pago.
La actualización legislativa comentada era claramente necesaria desde hace ya varios años, cuando comenzamos a sufrir un crecimiento exponencial de los delitos informáticos “como consecuencia del incremento del denominado ciberespacio y el consecuente aumento de la ciberpoblación en el ámbito de Internet”, según se afirma en la propia Exposición de Motivos de Ley Orgánica 14/2022, de 22 de diciembre. Sin embargo, sus efectos no serán palpables hasta que no exista una verdadera toma de conciencia general sobre la vulnerabilidad de nuestros depósitos bancarios, y una respuesta conjunta y contundente en todos los ámbitos con
verdadera capacidad para combatir los ataques que la piratería informática dirige, no contra grandes corporaciones privadas u organismos oficiales, sino precisamente contra la parte más desprotegida de la sociedad: los ciudadanos, que ven desparecer en un segundo todos o una parte importante de sus ahorros sin poder hacer absolutamente nada, quedando esos hechos, en la mayoría de los casos, completamente impunes.
Resulta, por ello, imprescindible para combatir este pernicioso efecto derivado del uso de las nuevas tecnologías, que han venido imponiendo las entidades bancarias en el ámbito financiero, que, más allá de la reforma penal aprobada, se produzca un cambio integral en esta lucha, hasta ahora desigual, contra los ciberdelincuentes, y que necesariamente debe incluir los siguientes aspectos:
- Coordinación permanente de los Estados en la lucha contra la ciberdelincuencia, dado el carácter transnacional y digital de estos delitos informáticos.
- Respuesta rápida y eficaz de los Cuerpos de Seguridad del Estado y de los Juzgados de Instrucción ante las denuncias de las víctimas. Para ello, se les debe dotar, en el ámbito concreto de cada investigación, de instrumentos efectivos que faciliten su labor, con acceso rápido y completo a la información digital necesaria para localizar a los piratas informáticos, y asegurar, al mismo tiempo, su formación continua y actualizada en materia de ciberseguridad, a fin de que puedan luchar, con igualdad de medios, contra un tipo de delito que, por su propia naturaleza, cambia y se adapta al mismo ritmo frenético que la propia tecnología.
- Responsabilidad inmediata de las entidades financieras ante los clientes que han sido víctima de este tipo de fraude, al amparo del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Consideramos que esta es quizá la pieza o clave esencial para terminar o al menos reducir los ataques informáticos: solo cuando los bancos asuman su responsabilidad y no sostengan, como hasta ahora, con sus pertinaces negativas a reintegrar los fondos sustraídos a sus clientes, la actual doble victimización de los mismos, afrontando con prontitud las pérdidas económicas derivadas de los fraudes, sin necesidad de una sentencia que les obligue a asumir dicha responsabilidad, comenzarán a invertir de verdad en seguridad informática.
- Implicación del Banco de España (Departamento de Conductas de Entidades) a la hora de supervisar la actuación evasiva de las entidades financieras. Ya está bien de “ponerse de perfil” y enviar a los clientes a un procedimiento judicial de resultado incierto que puede llegar a durar más de dos años, sobre todo en aquellos supuestos en los que hay diligencias previas incoadas por un Juzgado de Instrucción al existir indicios claros de fraude. Su función no es solo verificar si las operaciones denunciadas han sido debidamente contabilizadas por los bancos y si los mismos han dado respuesta a las reclamaciones de los clientes -que es lo que único que están haciendo hasta ahora-, sino restituir los intereses y derechos vulnerados de los clientes y garantizar su protección.
Por un principio de economía de medios y eficiencia, nos permitimos incluso, para finalizar, concentrar estas cuatro medidas en una sola: se empezará a combatir eficazmente la ciberdelincuencia cuando los bancos se vean obligados a personarse en los procedimientos penales como acusación particular contra los ciberdelincuentes, nuestros verdaderos enemigos, y no se dediquen, como sucede ahora, a esperar cómodamente a ser demandados en un procedimiento civil por sus propios clientes, obligados a ello aun habiendo sido víctimas de un delito y a pesar del quebranto económico sufrido.
Alfonso Pérez Portero