El pasado 14 de agosto, el Parlamento sancionó la Ley sobre tipificación de Ciberdelitos y medidas de prevención. Se trata de la aprobación de un proyecto de ley que el Poder Legislativo venía estudiando desde el mes de julio del año 2021, con la intervención de varias organizaciones especialistas en el tema, entre ellas, el Ministerio del Interior, Ministerio de Relaciones Exteriores, Cátedras de Derecho Penal, AGESIC, Fiscalía General de la Nación, Banco Central del Uruguay, entre otros.

La aprobación de esta norma tiene como causa la innegable realidad presente en todas partes del mundo y de la cual Uruguay no es ajeno, y es la inmersión tecnológica en todos los ámbitos sociales.

Hoy en día, los datos de las personas y de las organizaciones tanto Estatales como privadas se encuentran digitalizados. La interacción que posibilita los medios tecnológicos permite procesos simplificados que trae consigo una mayor productividad y eficiencia. Ello se manifiesta, por ejemplo, en el descenso de la presencialidad para realizar diversos trámites personales, transacciones bancarias, las que también se realizan diariamente a través de canales tecnológicos, bajando notoriamente la presencia de los clientes en las sucursales bancarias.

Es decir que, en la actualidad, así como existe una realidad tangible, la misma se traduce como el reflejo que observamos en un espejo, en una realidad localizable en el ciberespacio. Esto conlleva a que las conductas criminales también se vean reflejadas ocasionando daños severos y de gran impacto.

La cibercriminalidad, constituye uno de los principales desafíos en materia de seguridad pública siendo parte de ese desafío para nuestro país contar con una legislación específica que permita desarrollar acciones tendientes a prevenir como reprimir las conductas criminales. Es en este contexto se ubica la importancia de la aprobación de la nueva Ley, como una herramienta más a otras medidas que ya se venían tomando, como por ejemplo lo fue, la creación dentro del Ministerio del Interior de la Unidad de Cibercrimen que lidera la investigación de casos vinculados con esta temática, así como la creación de la Unidad de Cibercriminalidad dentro de la órbita de la Fiscalía General de la Nación.

Atendiendo específicamente a la Ley, la misma contiene cuatro capítulos que se traduce en los enfoques que se ponen sobre la mesa para combatir a la cibercriminalidad.

Ciberdelitos

El primer capítulo, se centra en incorporaciones y modificaciones al Código Penal vigente. Siguiendo las directrices del Convenio sobre la Cibercriminalidad (Convenio de Budapest) del año 2001, del cual Uruguay aun no es parte, se legisló sobre la penalización de las siguientes conductas:

• Acoso telemático: introduce modificaciones esencialmente a los artículos 288 BIS y 288 TER del Código Penal. Penaliza toda conducta que mediante la utilización de medios telemáticos vigile, persiga o procure cercanía estableciendo o intentando establecer contacto con una persona. En este sentido, se consideran agravantes especiales que el sujeto pasivo se trate de una persona menor de edad, adultos incapaces, personas vulnerables o con quienes el sujeto activo haya mantenido una relación afectiva o intima.
• Fraude informático: crea como conducta criminal toda acción que implique estratagemas, engaños artificiosos, inducción en error utilizando tecnologías de la información y de la comunicación para procurarse a sí mismo o a un tercero un provecho injusto en perjuicio de otro. Asimismo, penaliza toda manipulación informática o artificios con la finalidad de realizar operaciones financieras o utilización de tarjetas, cheques, códigos o cualquier otro medio de pago, para realizar transferencias o pagos no consentidos en beneficio propio o de terceros.
• Daño informático: se castiga penalmente a quien por cualquier medio y sin autorización destruya, altere o inutilice datos o sistemas informáticos para causar daño. Se considera una agravante especial de la pena si el daño resulta irreparable o imposible de retornar a su estado anterior o si los documentos electrónicos o sistemas dañados son de carácter Estatal o de infraestructura critica.
• Acceso ilícito a datos informáticos: reprime toda acción que, mediante medios informáticos o telemáticos, sin autorización y sin justa causa, acceda, interfiera, difunda, venda o ceda información ajena contenida en soporte digital.
• Interceptación ilícita: se penaliza a quien sin autorización ni justa causa intercepte, interrumpa o interfiera por medios técnicos, datos informáticos en transmisiones no públicas, dirigidas a un sistema informático, habiéndose originados o efectuados en el mismo, incluyendo las emisiones electromagnéticas provenientes de un sistema informático.
• Vulneración de datos: tipifica la conducta de quien mediante la utilización de cualquier medio telemático acceda, se apodere, utilice o modifique datos confidenciales de terceros, registrados en soportes digitales o cualquier otro tipo de archivo, sin autorización de su titular, siendo agravantes especiales, entre otras, el parentesco y la finalidad lucrativa, así como los datos personales protegidos por la Ley N°18.311.
• Suplantación de identidad: crea el tipo penal para todo aquel que usurpe, adopte, creare o se apropiare de la identidad de otra persona sea física o jurídica por cualquier medio, herramienta tecnológica o sistema informático, obteniendo datos mediante redes sociales, casillas de correo electrónico, cuentas bancarias, medios de pago, plataformas o cualquier credencial digital o factor de autenticación, con la intención de dañar a su titular.
• Abuso de los dispositivos: quien de forma ilegitima, produzca, adquiera, importe, comercialice o facilite a terceros, programas, sistemas informáticos o telemáticos de cualquier índole, credenciales o contraseña de acceso a datos o sistemas informáticos.

Medidas educativas de prevención

El segundo capítulo, plantea medidas educativas de prevención acerca del manejo de finanzas personales y ciberseguridad en centros educativos de secundaria y UTU, así como también de INEFOP y beneficiarios de prestaciones servidas por el BPS. La campaña educativa a cargo de la reglamentación del Poder Ejecutivo deberá versar sobre mecanismos de prevención relativos a medios de pago, cuentas bancarias, acceso a financiamiento, instituciones financieras, planificación presupuestaria, antecedentes crediticios, mecanismos de defensa al usuario financiero, fraudes tendientes al acceso de datos personales y financieros (modalidad phishing, vishing, smishing, malware, troyano e ingeniería social), entre otros.

Registro de ciberdelincuentes

El tercer capítulo se nuclea en la creación de un Registro de Antecedentes de Ciberdelincuentes a cargo de las Instituciones de Intermediación Financiera y las Entidades Emisoras de Dinero Electrónico, para centralizar información sobre transacciones no consentidas y operativas fraudulentas, lo que permite tomar medidas preventivas. A tales efectos, la Ley releva de las limitaciones derivadas del secreto bancario (Decreto Ley N°15.322), quedando habilitadas dichas instituciones a compartir la información del Registro con las autoridades Jurisdiccionales.

Medida de inmovilización de fondos de transacciones no consentidas

El cuarto y último capítulo de la Ley, refiere a una medida de muchísima utilidad práctica que permite mitigar el daño patrimonial derivado de algunos de los ciberdelitos.

Se faculta a las Instituciones de Intermediación Financieras y a la Entidades Emisoras de Dinero Electrónico a no ejecutar retiros o transferencias de activos por personas físicas o jurídicas titulares o apoderados de cuentas, cuando hubieren tomado conocimiento por cualquier medio de comunicación fehaciente que las transacciones fueron declaradas como desconocidas y no autorizadas por los titulares de las cuentas. Dicha inmovilización de fondos opera hasta el monto de las transacciones denunciadas como desconocidas. Asimismo, tanto las Instituciones de Intermediación Financieras o las Entidades Emisoras de Dinero Electrónico que hubieren inmovilizado fondos, deberán comunicar dicha medida dentro de 24 horas hábiles al Banco Central del Uruguay, quien podrá solicitar información adicional al respecto y previo análisis podrá instruir deja sin efecto la medida.  

Asimismo, cesará la inmovilización de fondos, cuando: (i) efectivizada la medida no hubiere mediando dentro del plazo de 48 horas constancia de denuncia presentada por el titular  ante el Ministerio del Interior o el Ministerio Público; (ii) cuando la Institución de Intermediación Financiera o Emisora de Dinero Electrónico no hubiera recibido dentro de los 30 días siguientes a la recepción de la constancia de la denuncia la orden jurisdiccional confirmatoria de la medida de inmovilización; (iii) cuando se reciba de la autoridad jurisdiccional competente instrucción de dejar sin efecto la medida; y (iv) cuando la Institución de Intermediación Financiera o la Entidad de Dinero Electrónico donde se encuentra radicada la cuenta afectada por la medida, recibiera del titular de la misma elementos de convicción suficiente o documentación fehaciente que, a su exclusivo criterio, indique que las transacciones denunciadas fueron efectivamente autorizadas por el titular.

Aunque para entrar en vigor la Ley aún resta la promulgación del Poder Ejecutivo, su publicación y vacación legal, el aporte de esta norma legal debe considerarse un instrumento para combatir la cibercriminalidad que perjudica tanto a civiles como a organizaciones.