Con la intención de dar cobertura penal frente a las defraudaciones realizadas usando medios informáticos se incluyó en el art. 248.2 del Código Penal el delito de estafa informática o fraude informático, en el que se sustituye la exigencia de engaño personal por la manipulación informática, que se define como la alteración de los elementos físicos que permiten la programación de un ordenador, o por la introducción de datos falsos.
La manipulación informática se convierte, por tanto, en una fórmula amplia que permite integrar en el ámbito típico de la estafa informática cualquier transferencia patrimonial que se haya obtenido mediante la utilización de técnicas o sistemas informáticos.
Al igual que para que haya estafa es necesario que sea el propio sujeto engañado el que realice el acto de disposición patrimonial, para que haya estafa informática es necesario que haya una transferencia «no autorizada», siendo irrelevante si la transferencia la realiza el propio sujeto activo o un tercero, lo que dejará fuera del mismo aquellos comportamientos defraudatorios que logren que sea el propio usuario el que autorice la transferencia, aunque no sepa que es en su propio perjuicio. En esos casos, y siempre que pueda probarse, además, que ha existido engaño por parte del sujeto y que ha sido este el que ha llevado al error que, a su vez, produce el acto de disposición patrimonial en perjuicio de la víctima, habrá delito de estafa.
En definitiva, es el elemento de la transferencia autorizada (estafa), o no autorizada (estafa informática), el que va a ser determinante para la calificación jurídica de los ciberfraudes.
Estafas informáticas
El «tampering» o «data diddling» es la modificación no autorizada de los datos o del software que los trata, incluyendo el borrado de archivos o la modificación de éstos, consiguiendo, de ese modo, la transferencia patrimonial.
También entrarán en este supuesto aquellas otras transferencias logradas gracias a un uso de los tratamientos informáticos o a una modificación en los resultados del procesamiento automatizado de datos.
Dentro de la obtención de claves y datos informáticos para obtener un lucro patrimonial en perjuicio de tercero existen varios tipos dentro de la finalidad con la que se emplean las claves:
- Phishing: Es la obtención de una transferencia de fondos de una cuenta corriente a otra, generalmente utilizando la banca electrónica. Se puede dividir en diversas submodalidades según como se haya logrado la información bancaria.
- Realización de una compra telefónica o electrónica, donde hay que distinguir dos supuesto, siendo el primero cuando el pago se realiza a través de la propia red, utilizando algunos de los sistemas existentes en los que basta con saber el número de tarjeta, la fecha de caducidad y algún otro número de identificación que también debe haber sido espiado, por lo que existe manipulación informática, pues aunque el sistema informático funciona correctamente y los datos introducidos son reales, se utilizan sin consentimiento del titular.
El segundo supuesto, en el que doctrina no se pone de acuerdo de si realmente es delito informático, sería cuando las claves se han obtenido utilizando sistemas informáticos pero, una vez obtenidas estas, el pago que produce el perjuicio patrimonial se realiza vía telefónica, pues es cierto que no puede afirmarse que la transferencia patrimonial se haya llevado a cabo gracias a una manipulación informática realizada por el sujeto.
Estafas comunes
El delito de fraude informático no sirve para dar respuesta penal a todas las conductas de los cibercriminales por medio de las cuales obtienen un beneficio patrimonial directamente derivado y proporcional al perjuicio que causan a otro. Estas conductas deben ser entendidas como estafas comunes.
Es el caso de los ataques «scam», los cuales comienzan con el envío de «spam» o correo electrónico no deseado, en el que se trata de engañar al sujeto, generalmente prometiéndole la obtención de un beneficio patrimonial de forma sencilla, siempre que, previamente, el sujeto realice algún tipo de ingreso en la cuenta corriente para poder comenzar las transacciones comerciales.
Este comportamiento encaja como estafa tradicional, ya que se utiliza el correo electrónico para engañar a un sujeto, llevándole al error por el que realiza posteriormente un acto de disposición patrimonial en perjuicio propio o de terceros.