Por Norberto J. de la Mata Barranco
En 1986 se aprobó en Alemania la Segunda Ley para la lucha contra la criminalidad económica (2.WiKG) que introduce en su Código Penal (StGB) el tan comentado desde entonces (y todavía hoy vigente) § 263a, dedicado a la estafa informática (Computerbetrug). Con ello se hacía frente a una nueva realidad, vinculada a la proliferación de sistemas informáticos, tratando de colmar las lagunas que la regulación de los delitos patrimoniales presentaba para sancionar como estafa lo que no era una estafa común.
En España tenía importancia en aquella época la discusión acerca del tratamiento de las manipulaciones informáticas para transferir ilegalmente activos patrimoniales (empleado bancario que transfería fondos de cuentas de clientes a cuentas propias), pero sobre todo el tratamiento de la utilización ilícita de tarjetas de débito o de crédito, ya fuera por su titular (excediéndose de los límites crediticios permitidos), ya por un tercero que accedía a ellas de modo delictivo. Frente a una jurisprudencia tradicional, que ubicaba estos comportamientos en el ámbito del robo con fuerza en las cosas (considerando la tarjeta un medio comisivo que permitía el acceso al lugar donde se encontraba el dinero a sustraer), varios autores demandaban otra respuesta que atendiera el carácter defraudatorio de tales conductas. Téngase en cuenta que la operativa más habitual en aquella época era la de sustraer las tarjetas y (habiendo obtenido también el código para operar con ellas) extraer fondos de un cajero automático. El 28 de noviembre de 1988 tuve ocasión de participar en unas Jornadas de estudio sobre nuevas formas de delincuencia, que darían lugar a la publicación del número especial IX de la revista Poder Judicial, con una Mesa Redonda II dedicada específicamente a los “Delitos cometidos con la utilización de tarjetas de crédito”, con distintas ponencias y comunicaciones que reclamaban una tipificación específica de estos delitos, que ni eran (ni son) robos y ni eran (ni son) estafas. Sin embargo, no se produjo cambio legislativo alguno en el todavía Código Penal de 1973 (Texto refundido).
Este cambio llegaría con el nuevo Código de 1995 y su artículo 248.2 (de entonces y antecedente del hoy vigente artículo 249.1.a). Se regulaba, como modalidad de estafa, “la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero [valiéndose de alguna manipulación informática o artificio semejante]”. Ninguna alusión a las tarjetas bancarias o comerciales. Ésta sí llegaría en 2010, con la Ley Orgánica 5/2010, que introduce la punición específica de los accesos informáticos ilícitos y de los daños informáticos. Ya se habían aprobado el Convenio sobre Cibercriminalidad de Budapest de 2001 y la Decisión Marco 2005/222/JAI (antecedente de la Directiva 2013/40/UE, que la sustituye) que obligaban a España en este sentido. El nuevo artículo 248.2.c) penaliza entonces como estafa, tras seguir definiendo ésta al modo tradicional (engaño-error-disposición patrimonial-perjuicio) en el artículo 248.1, “la utilización de tarjetas o de sus datos en perjuicio de su titular o de un tercero”. Queda zanjada la discusión “robo o estafa”, pero no se soluciona bien el problema porque se considera estafa lo que no lo es, pues en los fraudes con tarjetas ni hay engaño ni hay error “de otro” (salvo en casos de compra con presentación directa de tarjeta, que es aceptada como lícita, erróneamente, por el prestador del servicio).
Por último, de momento, la Directiva (UE) 2019/713, de 17 de abril, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo obliga a una transposición que da lugar, en España, a la Ley Orgánica 14/2022 y a los nuevos artículos 249 (dedicado a las estafas) y 399 bis (dedicado a la falsificación de instrumentos de pago distintos del efectivo), en una regulación que no puede considerarse acertada.
La casuística criminal en este ámbito (limitándonos a los fraudes) es muy variada. En las investigaciones policiales y judiciales se alude a operaciones con tarjetas obtenidas ilícitamente y a operaciones con los datos de tarjetas obtenidos ilícitamente, con utilización de una terminología que nos habla de carding (utilización de datos de tarjetas robadas), keylogin (obtención de datos mediante rastreos de teclados), skimming (obtención de datos para clonar tarjetas), distribución de malware, phishing (engaño a través de ingeniería social), whaling (en relación con directivos), smishing o vishing (envío de SMS o de llamadas de supuestas entidades bancarias), shoulder surfing (observación de víctimas), obtención de bases de datos, utilización de webs fraudulentas, obtención de datos a través de lectores con comunicación inalámbrica, obtención de datos de cajeros manipulados, ataques de caja negra (simulación de ataques), spyware, pharming (redirección de internautas), fraudes por sobrepago, reembolsos por fraude, fraudes amistosos, etc. El Instituto Nacional de Ciberseguridad (INCIBE) alude a muchas de ellas. En definitiva, operativas ilícitas tendentes a la obtención de activos con un consiguiente perjuicio patrimonial. En definitiva, fraudes, sí, pero no estafas (en su definición vigente hasta hoy tomada de la obra de Antón Oneca de 1957 y distinta de la que hasta entonces se manejaba legalmente). Hablamos de casi cuatrocientas mil investigaciones policiales en España en 2022 (de ellas, un 64% vinculadas a operativa remota, un 34% a actuaciones relacionadas con datáfonos (terminales de puntos de venta, en general) y un 2% a actuaciones en cajeros automáticos. Han cambiado los tiempos y, todavía sin resolver jurídicamente la cuestión del tratamiento del fraude con tarjetas, éste empieza ser desaparecer y ser sustituido por fraudes en operativas con medios de pago inmateriales. Téngase en cuenta que estamos ante una criminalidad en expansión exponencial por su facilidad comisiva generacional, favorecida por la nueva realidad tecnológica, la ausencia de enfrentamiento personal, la dificultad de identificación de la autoría, la complejidad procesal territorial y la alta ratio beneficio-coste, con elevada sensación, previsión y constatación de impunidad.
Lo que el legislador pretende con la nueva regulación de 2022 es, de un lado, atender la obligación de incorporar la Directiva y, de otro, destacar que no estamos en el ámbito de la estafa tradicional. Traslada del viejo artículo 248 (que se reserva para las estafas clásicas) al nuevo artículo 249 las manipulaciones informáticas y los fraudes con tarjetas, con lo que evita tener que probar la concatenación señalada de engaño-error-disposición-perjuicio, pero no rompe con la tradición ya que sigue ubicando estos comportamientos en la Sección de las estafas (Libro II, Título XIII, Capítulo VI, Sección 1ª), sigue diciendo que “se consideran estafas” (art. 249.1), sigue aplicándoles la pena de éstas, básica o agravada (arts. 249 y 250) y sigue incluso definiéndolas como estafas (art. 249.2.a).
Sanciona cuatro grupos de conductas:
1ª Las transferencias patrimoniales no consentida mediante manipulaciones informáticas (art. 249.1.a).
2ª Las operaciones patrimoniales mediante utilización fraudulenta de instrumentos de pago materiales (ej., tarjetas) o inmateriales (ej., criptomonedas), distintos del efectivo (art. 249.1.b).
3ª Conductas vinculadas a la posesión o facilitación de dispositivos o medios para la realización de estos fraudes (art. 249.2.a).
4ª Las adquisiciones ilícitas de instrumentos de pago distintos del efectivo (art. 249.2.b).
5ª Conductas vinculadas a la posesión o facilitación de instrumentos de pago distintos del efectivo (art. 249.3).
Con dinámicas comisivas tendentes a la causación de un perjuicio patrimonial: mediante el artificio o fraude en el apartado 1, mediante la facilitación de la facilitación de dispositivos o medios en el apartado 2.a), mediante la adquisición de instrumentos de pago en el apartado 2.b) y mediante la posesión o distribución de ellos en el apartado 3.
Al margen ya de la vieja (pero, como digo, no bien resulta legalmente) discusión sobre si estamos o no ante estafas, hay cuestiones que siguen siendo objeto de debate, porque no está resuelto: así, el tratamiento de la participación delictiva (la cuestión de los “muleros”), el posicionamiento sobre la relevancia de la tentativa inidónea (obtención de instrumento de pago sin su correspondiente código de seguridad, que dificulta la causación del perjuicio por la baja probabilidad de conseguir acertar con él), la exigencia de responsabilidad civil y su cobertura anticipada por la entidad bancaria o comercial o la decisión acerca de en qué casos estaremos ante una estafa tradicional (contacto telefónico para conseguir mediante engaño una transferencia patrimonial del propio titular), ante una estafa mediante manipulación informática (obtención de datos informáticos para conseguir dicha transferencia) o ante una estafa mediante instrumentos de pago (fraudes con tarjetas). Y, sobre todo, la que hace referencia a la concurrencia delictiva.
La Directiva de 2019 tiene como objetivo la protección de los instrumentos de pago distintos del efectivo (Considerandos 1, 2, 12, 13, etc.). Pero, lo que en el Código Penal se regula son las estafas informáticas, por una parte, y las falsificaciones de instrumentos de pago, por otra, tratando de proteger, respectivamente, el patrimonio de la persona titular de éstos, en un caso, y la función del instrumento de pago en el tráfico jurídico, en otro. Dos bienes jurídicos diferentes. Y la Directiva no entiende de esto.
La relación concursal entre la estafa clásica y la falsedad documental ya se ha señalado reiteradamente por los tribunales (Acuerdo de Pleno de 8 de marzo de 2002 y, entre otras, STS 126/2016, de 23 de febrero) que lo es de delitos en el caso de documentos públicos, oficiales o mercantiles, pero de normas en el caso de documentos privados.
¿Cuál ha de ser la relación entre el nuevo artículo 249 y el nuevo artículo 399 bis?
De entrada, hay que señalar que las defraudaciones informáticas del artículo 249 (con pena de prisión de seis meses a tres años, atenuada en el caso de su apartado 3) conllevan accesos informáticos ilícitos del artículo 197 bis del Código Penal (ésta es precisamente su mecánica comisiva) que deberían entenderse subsumidos (penas de seis meses a dos años o multa) en la penalidad de la defraudación. Ésta no representa sino un acceso ilícito que perjudica el patrimonio ajeno. Por más que estemos ante dos bienes jurídicos diferentes (como lo estamos en un robo intimidatorio o violento). Téngase en cuenta que el artículo 197 bis 2, sin exigir ánimo de lucro, requiere “apoderarse, utilizar o modificar, en perjuicio de tercero, datos que se hallen registrados en soportes informáticos”. También deberían entenderse subsumidos los daños patrimoniales del artículo 264 causados con la intromisión (penas de seis meses a tres años), que habría que reconducir a la responsabilidad civil (como en el robo con fuerza). El artículo 264.1 tipifica el “borrado, daño, deterioro, alteración, supresión […] de datos o programas informáticos”. Hasta aquí concursos de normas y principio de consunción (art. 8.3ª).
Más compleja es la relación con las falsificaciones del art. 399 bis, que no es falsificación de moneda, ni es falsificación de documentos públicos, oficiales o mercantiles, ni es falsificación de documentos privados ni es falsificación de certificados. Sección independente, objeto diferente: tarjetas, cheques y demás instrumentos de pago distintos del efectivo.
Lo que caracteriza al artículo 249 es el ánimo de lucro vinculado al fraude tendente al perjuicio patrimonial. Ausente éste no cabe hablar de defraudación (o estafa) informática y sí, en su caso, de falsificación. Pero, ¿cuando sí está presente? No cabe subsumir la falsificación del artículo 399 bis 1 o la tenencia de instrumentos falsificados del artículo 399 bis 2 (cuatro a ocho años de prisión) en el fraude del artículo 249 (en cualquiera de sus modalidades). Pero sí el uso de instrumentos falsificados del artículo 399 bis 3 (que exige intención de perjudicar y conlleva pena de prisión de dos a cinco años) y la posesión de instrumentos falsificados (que exige intención de utilización fraudulenta y conlleva pena de prisión de uno a dos años). Porque esta intención se consuma con el fraude del artículo 249 y se consume en él. De nuevo concursos de normas y principio de consunción (art. 8.3ª).
Entonces, ¿cuándo tenemos una conducta del apartado 1 o del apartado 2 del artículo 399 bis, esto es, de lo que es en sí la falsificación o la posesión de instrumentos falsificados destinados al tráfico? Si no se defrauda, pena de la falsificación (cuatro a ocho años). Si se defrauda, pena de la falsificación más pena de la estafa. No sólo la primera, porque la pena de la falsificación no capta el desvalor del perjuicio patrimonial. No sólo la segunda, menor, porque la defraudación no exige falsificación (aunque sea lo habitual) y la pena no capta el desvalor de esta falsificación. Concurso de delitos (medial) y aplicación de la regla del artículo 77.3. ¿Es ésta la intención del legislador europeo? Es dudoso. ¿Merece mayor pena una falsificación sin fraude que un fraude sin falsificación? Es dudoso. Estamos ante falsificaciones tendentes únicamente a obtener ventajas patrimoniales (lo que no ocurre con los documentos públicos, oficiales, privados y no siempre con los mercantiles), estamos hablando de falsificaciones de medios de pago, que sólo se entienden realizadas para la obtención de dicha ventaja consustancial al perjuicio de la víctima. Estamos, en realidad, ante actos preparatorios (punibles) o intentados de fraude y deberían ser tratados como tal. En mi opinión.
Foto de Birmingham Museums Trust en Unsplash
