Columnas
Nuevo catálogo de delitos informáticos y compliance penal
La iniciativa, para la reformulación del catálogo de delitos informáticos original y la creación de reglas especiales para la persecución de estos delitos, puede situarse en el contexto del cumplimiento de estándares internacionales vigentes, pero además, en una serie de ataques informáticos de alta exposición mediática ocurridos antes y durante el periodo de ingreso del proyecto de ley al Congreso, de la mano con un progresivo aumento de la comisión del delitos informáticos según las cifras aportadas por la Policía de Investigaciones de Chile (74%) en ese entonces (2018).
Reconociendo la necesidad de aplicar una política penal que permita proteger a la sociedad frente al surgimiento de nuevos riesgos y formas delictivas en el ámbito informático, la nueva normativa -despachada a ley por el Congreso, pero aún pendiente de ser promulgada y publicada- actualiza el catálogo de delitos informáticos derogando la actual ley n°19.223 de delitos informáticos (1993) y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest.
La iniciativa, para la reformulación del catálogo de delitos informáticos original y la creación de reglas especiales para la persecución de estos delitos, puede situarse en el contexto del cumplimiento de estándares internacionales vigentes, pero además, en una serie de ataques informáticos de alta exposición mediática ocurridos antes y durante el periodo de ingreso del proyecto de ley al Congreso, de la mano con un progresivo aumento de la comisión del delitos informáticos según las cifras aportadas por la Policía de Investigaciones de Chile (74%) en ese entonces (2018).
Ante las deficiencias atribuidas a la ley n°19.223 y con el propósito de otorgar protección penal a la confidencialidad, integridad y disponibilidad de los sistemas y datos informáticos, la nueva regulación ajusta el tratamiento que se le entrega a algunos delitos como el espionaje y el sabotaje informático, adecuándolos a los tipos penales que establece el Convenio de Budapest (i.e. acceso ilícito a todo o parte de un sistema informático y ataque a la integridad de un sistema y de los datos informáticos), criminalizando además otras nuevas y variadas formas de delincuencia cibernética bajo los tipos penales de interceptación informática, falsificación informática, receptación de datos informáticos, fraude informático y abuso de dispositivos.
Considerando la evolución que han tenido las tecnologías de la información y el daño que puede provocar su uso para fines delictivos, la reformulación del catálogo de delitos informáticos contribuiría al fortalecimiento de la protección penal de distintos intereses o bienes jurídicos, entre ellos la propiedad, sancionado el ataque a la integridad de datos informáticos (pensemos que los datos muchas veces tienen un valor económico y pueden quedar inutilizados o dañados como resultado de la conducta delictiva). Por otro lado, el nuevo tipo penal de acceso ilícito fortalecería la protección de la propiedad privada incluso con una figura agravada (acceso con ánimo de apoderarse de la información), comprendiendo además la protección penal de otros intereses como la intimidad de las personas, sancionando accesos no autorizados e indebidos a sistemas informáticos (pensemos por ejemplo cuando se vulneren archivos que contengan imágenes íntimas de un particular).
Además, la nueva regulación entra en la protección penal del sistema financiero y orden económico, incorporando los delitos informáticos reformulados al catálogo de delitos precedentes de lavado de activos, modificando el artículo 27 de la ley n°19.913 que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos. De este modo, quién oculte o disimule el origen ilícito de bienes provenientes de la comisión de delitos informáticos, por ejemplo, quién ingrese al sistema financiero dineros provenientes de un fraude informático, incurrirá en el tipo penal de lavado de activos.
Responderán penalmente por el nuevo catálogo de delitos informáticos, los individuos que incurran en los supuestos objetivos y subjetivos establecidos en los respectivos tipos penales, pero además, podrán será objeto de investigación del Ministerio Público y de sanción penal, las personas jurídicas de derecho privado y empresas de Estado, cuya organización haya sido defectuosa (p.ej., ausencia de un programa de compliance penal y procedimientos de ciberseguridad), permitiendo o facilitando la comisión de estos ilícitos.
Si bien es habitual la evaluación e implementación de medidas de control interno para mitigar este tipo de riesgos en empresas del sector de tecnologías de la información y comunicaciones, las demás — con independencia de su tamaño e industria donde se desempeñan — no están exentas de incurrir en responsabilidades al haber omitido controlar estos riesgos. Nada impide que, desde los sistemas informáticos de una PYME del sector de servicios, se realicen ciertas acciones dirigidas a afectar los servidores de un competidor. A este respecto, es cada vez más común la circulación de programas informáticos, aplicaciones y herramientas creadas o adaptadas para alterar, dañar, destruir datos o interrumpir el funcionamiento de sistemas informáticos (abuso de dispositivos).
La función del compliance penal en el control de riesgos bajo la nueva regulación, tiene que ver con prevenir la utilización de recursos informáticos propios de la empresa — y también externos — para la comisión de ilícitos informáticos, en provecho o beneficio de ésta. Si estas actividades son llevadas a cabo por colaboradores, dueños, controladores y/o por la alta dirección, la empresa se encontrará expuesta a riesgos de responsabilidad penal (ley n°20.393), mitigables por la vía de la supervisión y el control interno. Dicho lo anterior, las funciones propias del compliance penal, por un lado, y de la ciberseguridad, por el otro, deberán ahora converger en el ambiente de control interno, integrando los modelos de prevención de delitos con las políticas de seguridad informática de las empresas.
Como punto de partida, los directorios y gerencias deberán al menos preguntarse si las medidas de control de riesgos penales en sus empresas incorporan estándares de ciberseguridad y prevención de delitos informáticos, incluyendo a modo de ejemplo, medidas de identificación, control y acceso a los servidores; protocolos sobre uso de los equipos, dispositivos externos y acceso a la extranet; renovación de contraseñas; evaluaciones periódicas de riesgos de amenazas; capacitación sobre al uso adecuado de sistemas; procedimientos efectivos de respuesta y gestión de incidentes; revisión periódica de mecanismos de seguridad en los equipos o sistemas.
Por último, una vez transcurridos seis (6) meses desde la publicación de la respectiva ley en el Diario Oficial (véase artículo tercero transitorio), las empresas deberían haber llevado a cabo sus procesos de risk-assessment, identificando y evaluando los riesgos de delitos informáticos asociados a sus actividades y procesos, ergo actualizando sus modelos de prevención de delitos y controles internos según sea necesario, conforme a los nuevos riesgos de delitos informáticos y a la realidad particular de la organización.
*Maximiliano Portales: Abogado, Universidad Adolfo Ibáñez. Magíster en Derecho Penal y Justicia Criminal, Universidad de Edimburgo. Profesor del Magíster en Derecho Penal, Universidad de Talca. Socio fundador en Compliance Metrics. Fue asociado en Carey y cía. y abogado en BH Compliance.