En el CAPÍTULO IX del Código Penal denominado “De los daños”  viene regulado el llamado delito de daños informáticos que en su tenor literal establece en el Artículo 264.1 que

“1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.”

Bajo la rúbrica genérica de de daños el código penal incardina una serie de conductas que no van encaminadas a sustraer la propiedad de un tercero mediante una actuación delictiva sino que lo que viene hacer es a causar un perjuicio mediante la destrucción de dicho bien y ello mediante diversos métodos que tal efecto se regulan. Así la ley habla de borrado, daño, deterioro o alteración del elemento informático en la configuración que luego se dirá.

En la definición que establece el primer punto del artículo 264 de las dos formas posibles de crear un daño informático que sería, saber, mediante la rotura física del hardware o soporte físico del programa informático y, por otro lado, el daño creado por un programa malicioso o por acción directa de una persona sobre un determinado dato, la ley se está refiriendo este segundo supuesto solo y exclusivamente . Los otros casos de daños serían remitidos al típico tipo genérico del delito de daños.

Respecto al bien jurídico protegido sin perjuicio de controversias doctrinales parece ser aceptado que el bien jurídico objeto de defensa en este caso es el derecho de empresas, entidades y organismos públicos o privados al desarrollo de su software de manera libre o de, en sentido genérico, mantener el normal funcionamiento de dichas aplicaciones.

Respecto al tipo subjetivo del injusto se puede afirmar que en la legislación española son delitos eminentemente doloso, es decir, con intencionalidad manifiesta del autor aunque es posible como establece el art. 267 del CP. la comisión imprudente.

Finalmente en relación al perjuicio que generan estos delitos hay que distinguir dos fases claramente, es decir, los daños directos que se producen por esa actuación y a su vez es contemplarle la situación de daños indirectos por la réplica en su caso que pueda generar ese programa o virus informático en su caso además de, como no, los daños derivados de la pérdida de confianza en la seguridad de ese programa perjudicado (y por ende a la empresa creadora) al verse afectado por aquel virus.

La actual redacción del delito de daños informáticos  se basa en la reforma operada en 2015 para la incorporación al ordenamiento jurídico interno de la Directiva 2013/40/UE, de 12 de agosto, del Parlamento y del Consejo relativa a los ataques contra los sistemas de información.

Es imprescindible señalar también que la Directiva europea toma como punto de partida en la definición de los tipos penales la Convención sobre Ciberdelincuencia, aprobada, junto con su Informe explicativo, por el Comité de Ministros del Consejo de Europa en su 109a reunión (8 de noviembre de 2001) y abierto a la firma en Budapest, el 23 de noviembre de 2001, con motivo de la celebración de la Conferencia Internacional sobre la ciberdelincuencia. Este Convenio, como su informe explicativo señala, tiene como objeto armonizar, dar elementos a cada para el procesamiento de los delitos y establecer una verdadera cooperación de los países en esta materia.

Este artículo 264 viene estableciendo por un lado las conductas del número uno, aquellas encaminadas a que de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave,y aquellas otras conductas del artículo 264 bis que se refiere a aquellos programas maliciosos (llamado malware o virus informáticos) que tienen por objeto destruir , inutilizar  o en su caso extraer información de manera no consentida de programas ajenos.  Así también dentro de este supuesto estaría el llamado spam o correo no consentido siempre que lleve por objeto alguno de los perjuicios que enumera el ordinal del código penal. Lógicamente, el caso de un supuesto como el descrito es altamente recomendable ser asistidos por abogado penalista Málaga

El art 264.2 establece que se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:

1.ª Se hubiese cometido en el marco de una organización criminal.

2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea

5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

Igualmente el Artículo 264 bis ya enunciado indica que,

1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:
2. a) realizando alguna de las conductas a que se refiere el artículo anterior;
3. b) introduciendo o transmitiendo datos; o
4. c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.

3. Se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior.
4. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

Comentario especial requiere este artículo que ha sido redactado por el legislador de una manera a veces repetitiva y que tiene en su configuración como delito de resultado como fin de su actividad la interrupción o perjuicio en el funcionamiento de un determinado sistema informático.

Respecto a la precisión terminológica hay que remitirse a la Directiva indicada que establece definiciones legales tanto de programa informático como de sistema informático que se deben tener muy en cuenta a la hora de tipificar este delito.  Estos supuestos dado su contenido técnico determinan que sea muy recomendable ser asistido por Abogado Penalista Sevilla si el hecho delictivo se produce en dicha localización.

A diferencia del artículo 264 que establece directamente los daños sobre sistemas informáticos, es decir, software, éste artículo 264 bis prevé tanto daños en el hardware como en el software entendiéndose que si la finalidad de la actuación es la descrita en este tipo penal deberá de aplicarse directamente el mismo y cuando lo que simplemente intente causar daños físicos al equipo informático se deberá aplicar la normativa genérica del delito de daños .

Respecto a los agravantes  éstos vienen establecidos como exigencias de la directiva Marco antes indicada  enunciado en su segundo párrafo que si  “los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública”

De su lectura se pueden deducir algunas aspectos delimitadores como que, por ejemplo, tanto a la empresa o la administración pública deben lógicamente utilizar el programa informático y a través del o de su interrupción o disfunción afectar la actividad normal. Como segundo elemento del imitador, deben perjudicar deforma “ relevante“ circunstancia que tiene ser valorada en cada caso y que puede tener diversas connotaciones desde una paralización de una actuación o actividad pública hasta simplemente hacer caer una pequeña página web de un comercio online y todo ello lógicamente debe ser valorado a efectos de cuantificación de los perjuicios económicos.

Igualmente sigue denunciando este artículo 264 bis como conductas agravadas aquellas que utilicen precisamente las mayores penalidades asociadas a las conductas del artículo 264.2.

La diferente penalidad entre el artículo 264 y el 264 bis con una aplicación al alza de las penas en este último supuesto parece poner en evidencia la actitud o intención de legislador de castigar de manera más grave y entendemos que de forma lógica aquellas conductas que intentan menoscabar un sistema informático en su totalidad y no solo el aspecto particular de los datos que venía reflejado en el 264.

El Artículo 264 ter enuncia que,

“Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:

1. a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o
2. b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.”

Este artículo tiene una lectura semejante al artículo 197 ter del código penal cuya redacción deriva del artículo 7 de la citada Directiva de la Unión Europea tipificando el malware o programas maliciosos que tienen por objeto facilitar el acceso vulnerando claves o sistemas defensivos de otros ordenadores o sistemas informáticos  causando  perjuicios mediante, por ejemplo, la encriptación no deseada de todo el contenido como sería lo realizado por el llamado ransomware. Pero en todo caso hay que dejar bien claro que todas estas conductas (en las que cabría por ejemplo vender a terceros un programa de acceso a claves) tiene que ir encaminado para la  comisión de un delito informático antes descrito .

Artículo 264 quater finalmente en relación a las personas jurídicas enuncia,

“Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los tres artículos anteriores, se le impondrán las siguientes penas:

1. a) Multa de dos a cinco años o del quíntuplo a doce veces el valor del perjuicio causado, si resulta una cantidad superior, cuando se trate de delitos castigados con una pena de prisión de más de tres años.
2. b) Multa de uno a tres años o del triple a ocho veces el valor del perjuicio causado, si resulta una cantidad superior, en el resto de los casos.

Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.