Los diputados Sebastián Cal, Silvana Pérez Bonavita, Álvaro Perrone, Iván Posada, Martín Melazzi, Rodrigo Goñi, Gustavo Zubía, Rafael Menéndez, Conrado Rodríguez, Gustavo Olmos, Daniel Peña, Rodrigo Albernaz, Álvaro Viviano, César Vega, Martín Sodano y Eduardo Lust; presentaron un proyecto de ley que tiene como cometido establecer normas para la tipificación del ciberdelito. El mismo fue derivado a la Comisión Especial de Innovación, Ciencia y Tecnología de la Cámara de Representantes.
El presente proyecto de ley pretende atender una problemática relevante y cada vez más recurrente, tanto en nuestro país como en el mundo, como lo es la ciberdelincuencia. La tecnología evoluciona rápidamente y a pasos agigantados: cada día hay nuevos descubrimientos, modernas plataformas, programas al alcance de la mano, los cuales pueden simplificarnos muchas de nuestras actividades diarias, ya sean de índole laboral, de esparcimiento, de negocios, de compras, como de tantas otras, pero también canalizamos a través de estas herramientas nuestros datos personales, medios de pago (cuentas bancarias, tarjetas de crédito, billeteras digitales, etc.), realizamos transferencias, pagos, subimos fotos, videos, estados, todo a través de Internet, mediante el uso de plataformas y aplicaciones que sin perjuicio de su seguridad, muchas veces son vulneradas o utilizadas para cometer hechos ilícitos. Aquí es donde cobra vital importancia la existencia de una regulación legal específica del sistema, buscando la protección de las personas, tanto físicas como jurídicas, que operan a diario a través de canales digitales, argumentaron en la exposición de motivos los autores de la iniciativa.
Agregaron, claramente, la velocidad de los cambios tecnológicos, complejiza mucho el objetivo de concertar una regulación en donde se prevean o se definan todas y cada una de las diferentes situaciones que se pueden plantear a diario en los referidos canales. Hablamos de una realidad muy dinámica, la cual se debe atender y seguir muy de cerca, casi que de forma diaria, pero que indudablemente, requiere de la existencia de una normativa específica sobre la materia que permita una mayor persecución y control de las actividades fraudulentas que se suscitan diariamente a través de los distintos medios informáticos utilizados. De este modo, en atención a la realidad digital que nos rodea, se torna imperioso y urgente la necesidad de crear un marco legal regulatorio específico para enfrentar la llamada ciberdelincuencia, en pro de lograr una mayor protección para los usuarios que a diario son víctimas de actividades fraudulentas. Desde nuestro lugar, debemos actualizar y reformar el marco regulatorio necesario para atender este fenómeno, que implica modificaciones adecuadas y reales, que supongan una mayor protección para la sociedad en su conjunto, y que de cierto modo, supongan un freno a esta actividad delictiva que configura un flagelo constante para ciudadanos de todas las edades.
En el último tiempo, fuimos testigos de múltiples y distintos episodios de ciberdelincuencia, hecho que se fue acrecentando de forma exponencial desde hace tres meses, afectando tanto a personas físicas, como también a PYMES, grandes empresas, instituciones financieras y al propio Estado. Los ciberataques no son algo novedoso, ocurren y han ocurrido tanto en nuestro país como en el mundo, convirtiéndose muchas veces en delitos transnacionales, lo que dificulta aún más su combate y persecución. En este sentido, hemos observado que se ha tornado en una situación preocupante e insostenible, que requiere una rápida acción de todos los actores, pero principalmente desde la actividad legislativa que nos compete. El rápido avance de la ciberdelincuencia en nuestro país, ha dejado de manifiesto las vulnerabilidades de nuestro sistema: tanto la carencia de regulación específica como de educación sobre ciberseguridad que permita mitigar el impacto del accionar de los delincuentes. Es por ello, que el objetivo principal del presente proyecto, es plasmar distintas alternativas tendientes a regular y fortalecer las debilidades de nuestro actual régimen penal, teniendo en cuenta que los ciberataques son una realidad que llegó para quedarse, que será cada vez más frecuente y a mayor escala, capaces de perjudicar a un gran número de usuarios, reflejando la mutación de los patrones delictivos que conocemos hasta hoy; trasladando su ámbito común de acción como lo puede ser la vía pública o las actividades privadas de los individuos, hacia el ciberespacio. De esta forma, contestes con el fenómeno de la globalización, la transformación de los medios masivos de comunicación, la modificación en la forma de comunicarnos en sociedad; todo lo cual se vio fuertemente agravado por los efectos colaterales de la Pandemia por COVID-19 que el mundo viene atravesando desde marzo del año 2020, que no ha hecho más que acrecentar nuestra actividad cibernética, se ha avanzado hacia el teletrabajo, la educación se ha tornado forzosamente virtual, las relaciones humanas pasaron a desarrollarse enteramente de forma remota a través de distintas aplicaciones de mensajería y videollamadas. Por consiguiente, toda esa migración forzosa hacia la virtualidad y el incremento del uso de la tecnología, indefectiblemente supone una mayor exposición a los ciberataques. Constantemente somos protagonistas de intercambios virtuales sin conocer ni tener formación alguna en referencia a los riesgos que ello apareja.
Tales fueron los avances tecnológicos en los últimos años, que comenzamos utilizando tímidamente los correos electrónicos; luego tuvimos la posibilidad de enviar mensajes de texto por plataformas de mensajería instantánea, pudiendo conectarnos al instante con cualquier persona en cualquier lugar del mundo; el surgimiento de las redes sociales nos permitió subir al instante fotos y estados que no son otra cosa que el reflejo de nuestras actividades diarias; y habitualmente transaccionamos libremente por el mundo, pudiendo acceder a distintos medios de pago, a través de canales digitales, siendo este punto uno de los pilares fundamentales que el presente proyecto busca regular, brindando más y mejor protección para los usuarios de dichos sistemas.
Ante este contexto, donde gran parte de nuestras actividades diarias (tanto laborales, como educativas, etc.) se desarrollan desde la virtualidad, consideramos necesario crear determinadas medidas regulatorias para evitar y mitigar el riesgo de que la tecnología, las redes informáticas, así como toda la información electrónica que compartimos mediante éstas se utilicen para la comisión de las distintos conductas reprochables, que perjudican directamente tanto a las personas físicas o jurídicas que transaccionan en Internet, como así también al propio Estado, que se ve en la imposibilidad de controlar dichas actividades delictivas y fraudulentas, pues no existen aún en nuestro ordenamiento jurídico tipos penales indispensables para perseguir y condenar la ciberdelincuencia, dado que Uruguay tampoco adhirió a convenios internacionales relativos a la materia que nos compete.
Mediante el presente proyecto, se pretende establecer los distintos tipos penales internacionalmente consagrados, siempre garantizando el justo equilibrio entre la acción penal a cargo del Estado y los legítimos intereses de la sociedad respecto a los derechos fundamentales; en pro de contar con una regulación efectiva en la materia, que permita una mayor tutela jurisdiccional.
Nuestro país, a diferencia de otros países de la región y del mundo, no ha abordado el tema de la tipificación de los distintos delitos informáticos establecidos en el Convenio de Budapest (del 23 de noviembre del año 2001) por el Consejo de Europa; siendo este el Tratado Internacional sobre la Ciberdelincuencia, que brinda herramientas no solo para proteger a los ciudadanos contra los delitos cometidos en Internet, sino también para generar legislación procesal, nociones para el manejo de la evidencia digital, así como lograr la cooperación internacional en la materia. Esta cooperación internacional, resulta muy necesaria en la actualidad, atendiendo como mencionamos previamente, al carácter transnacional de los ciberdelitos.
De esta forma, se carece de una regulación expresa que delimite y proteja la actuación de los usuarios digitales, no se conocen ni determinan cuáles son sus derechos y sus obligaciones al momento de explorar el ciberespacio. Esto -indefectiblemente- trae aparejado vulnerabilidades para quienes utilizan los canales digitales, que pueden ver afectada su privacidad, sufrir acoso o acercamientos indeseados a través de tecnologías informáticas, sufrir daños informáticos, o enfrentarse al robo de datos personales u otros asociados a sus credenciales digitales.
Sin perjuicio de que en nuestro ordenamiento jurídico existen actualmente ciertas normas, desperdigadas en distintos cuerpos normativos, la carencia de sistematización y de una regulación concreta y en buen romance, se traduce en que la mayoría de las maniobras delictivas acaben tipificadas como estafas o eventualmente receptación, cuando podrían encuadrarse en otros tipos penales que hoy no se recogen en nuestro ordenamiento. En este sentido, se ha omitido regular expresamente las distintas actividades ilícitas como pueden ser el stalking o acoso telemático; grooming o acercamiento a menores mediante el uso de tecnologías informáticas; abuso de los dispositivos (tenencia de programas o mecanismos que permitan la obtención de credenciales o datos de medios de pago); acceso ilícito; daños informáticos; terrorismo digital; suplantación de identidad, entre otros.
Finalizando, los autores del proyecto de ley concluyeron: “En virtud de todo lo expuesto, es que entendemos indispensable el tratamiento del presente proyecto, analizando y proyectando las medidas necesarias tendientes al fortalecimiento de las vulnerabilidades descriptas, puesto que estos fenómenos que hoy vemos como un tema incipiente o relativamente nuevo, son una realidad imperante en el mundo desde hace años, una problemática que se ha estado atacando y regulando en el derecho comparado, y supone un gran desafío a futuro para nuestro país; tornándose imperioso contar con una regulación expresa y sistematizada en nuestro ordenamiento jurídico así como programas educativos relativos a ciberseguridad y educación financiera para mitigar los referidos riesgos”.
El proyecto de ley presentado ante la Comisión Especial de Innovación, Ciencia y Tecnología, quedó redactado de la siguiente manera:
Capítulo I
Tipificación de ciberdelitos
Artículo 1°.- Agréguese al Libro II, Título XI - Capítulo I del Código Penal, el siguiente artículo:
"ARTÍCULO 288 - Inc. 2. (Stalking o acoso telemático).- El que mediante la utilización de medios telemáticos, obligue o pretenda obligar a otra persona a hacer o dejar de hacer alguna cosa contra su voluntad, o la acose desarrollando de forma insistente y reiterada alguna de las siguientes conductas, será castigado con tres meses de prisión a tres años de penitenciaría:
A. Vigile, persiga o busque cercanía física, estableciendo o intentando establecer contacto con una persona ya sea de forma directa o por intermedio de terceras personas.
B. Divulgue, muestre o difunda imágenes, videos, o cualquier tipo de grabación o contenido íntimo a través de redes sociales, servicios de mensajería instantánea o cualquier plataforma digital donde se compartan contenidos.
Constituyen circunstancias agravantes especiales del delito de Stalking o acoso telemático:
Que se constituya en detrimento de un menor de edad, de adultos incapaces, o de personas vulnerables por enfermedad o por situaciones especiales que supongan una mayor fragilidad".
Artículo 2° - Agréguese al Libro II, Título X - Capítulo IV del Código Penal, el siguiente artículo:
"ARTÍCULO 273 - Inc. 4. (Grooming o acercamiento físico o virtual).- El que contacte con un menor de dieciséis años, ya sea de forma directa o mediante un tercero, a través de internet, teléfono o cualquier otro medio telemático, independientemente del soporte tecnológico, proponiendo concertar un encuentro de naturaleza sexual, pornográfico o exhibicionista será castigado con seis meses de prisión a cuatro años de penitenciaría.
El que, en las condiciones descritas en el inciso anterior, contacte a un menor de dieciséis años realizando actos tendientes a la facilitación por parte del menor de material pornográfico, o bien le muestre imágenes pornográficas en las que se represente o aparezca un menor de edad, será castigado con seis meses de prisión a cuatro años de penitenciaría.
Serán circunstancias agravantes especiales del delito de Grooming o acercamiento físico o virtual:
1. Que las actividades descritas en el tipo se ejecuten mediante coacción, intimidación o engaño hacia los menores de edad.
2. Que el hecho sea realizado por personas con un vínculo de afinidad o parentesco con el menor.
3. Que el contacto se realice con un menor con discapacidad o deficiencias físicas o psíquicas".
Artículo 3°- Agréguense al Libro II, Título XIII - Capítulo III del Código Penal, los siguientes artículos:
"ARTÍCULO 347 - Inc. 2. (Estafa informática).- El que, en abuso de sistemas informáticos, tenencia de programas, u otros mecanismos informáticos idóneos, indujere en error a alguna persona para procurarse a sí mismo o a un tercero un provecho injusto cometiendo alguna de las siguientes conductas, será castigado con seis meses de prisión a cuatro años de penitenciaría:
A. Tenencia de programas, aplicativos, sistemas informáticos o cualquier otro mecanismo físico o virtual, tendiente a obtener datos relativos a cuentas bancarias, tarjetas de crédito o cualquier medio de pago para realizar actos de disposición en perjuicio propio o ajeno.
B. Efectuare manipulaciones informáticas o artificios afines que impliquen realización de operaciones financieras, transferencias o pagos no consentidos, de cualquier activo patrimonial en perjuicio de otro.
C. Uso de cualquier tipo de tarjeta, cheques, códigos o cualquier medio de pago idóneo, o los datos vinculados a los mismos, para realizar transacciones, pagos u operaciones no consentidas, en perjuicio de su titular o terceros".
"ARTÍCULO 348 BIS.- (Circunstancias agravantes especiales).- Serán circunstancias agravantes especiales del delito de estafa informática:
1. La reincidencia del actor en la conducta descripta en cualquiera de sus variantes.
2. El parentesco, la vinculación laboral o afectiva con la víctima o el tercero perjudicado.
3. Que el hecho se efectúe en daño del Estado, o de cualquier ente público.
4. Que el hecho se efectúe generando en la víctima el temor de un peligro imaginario o la persuasión de obedecer a una orden de la autoridad".
Artículo 4° - Agréguense al Libro II, Título XIII - Capítulo V del Código Penal, los siguientes artículos:
"ARTÍCULO 358 TER. (Daños informáticos).- El que por cualquier medio tecnológico, de forma deliberada e ilegítima borrase, dañare, destruya, deteriore, obstaculice, altere, suprima, indisponga o haga inaccesible datos, programas, sistemas o aplicaciones informáticos y/o telemáticos, o documentos electrónicos ajenos, sin autorización expresa de sus titulares o responsables será castigado con seis meses de prisión a cuatro años de penitenciaría".
"ARTÍCULO 359 BIS.- Serán circunstancias agravantes especiales del delito de daños informáticos:
1. Que el daño ocasionado sea irreparable o fuere imposible retornar a su estado anterior.
2. Que el daño se cometa en perjuicio de documentos electrónicos o sistemas informáticos de carácter público".
Artículo 5°- Agréguese al Libro II, Título XI - Capítulo III del Código Penal, el siguiente artículo:
"ARTÍCULO 297 - Inc. 2. (Acceso ilícito a datos informáticos).- El que mediante medios informáticos o telemáticos, con la intención de informarse sobre su contenido o vulnerar la intimidad de otro, acceda, se apodere o interceptare mensajes de correo electrónico, documentos, archivos o cualquier otro dato disponible en soporte digital, utilice artificios técnicos para la transmisión, grabación, o reproducción de sonido o de imagen o cualquier otra señal de
comunicación, será castigado con seis meses de prisión a cuatro años de penitenciaría".
Artículo 6° - Agréguese al Libro II, Título XI - Capítulo III del Código Penal, el siguiente artículo:
"ARTÍCULO 297 - Inc. 3. (Vulneración de datos).- El que, por cualquier medio acceda, se apodere, utilice, o modifique datos reservados de terceros registrados en ficheros o soportes informáticos, o cualquier otro tipo de archivo o registro público o privado, sin autorización de su titular, será castigado con seis meses de prisión a cuatro años de penitenciaría. El que, con conocimiento de su origen ilícito, habiendo formado parte o no de su descubrimiento, difunda, revele o ceda a terceras personas los datos, hechos o imágenes descubiertas referidas en el inciso anterior, será castigado con un año de prisión a seis años de penitenciaría.
Constituye circunstancia agravante especial de este delito:
1. Que fuera cometido por personas encargadas de custodiar los ficheros, soportes informáticos, electrónicos, o registros o archivos digitales.
2. Que el sujeto pasivo sea un menor de edad o incapaz declarado judicialmente.
3. Que se cometa con una finalidad lucrativa.
4. El que fuera cometido en afectación de datos personales tutelados por la ley de protección de datos personales, N° 18.331, de 18 de agosto de 2008".
Artículo 7° - Agréguense al Libro II, Título XIII - Capítulo III del Código Penal, los siguientes artículos:
"ARTÍCULO 347 - Inc. 3. (Suplantación de identidad).- El que usurpe, adopte, creare o se apropie de la identidad de otra persona física o jurídica, valiéndose de cualquier medio, herramienta tecnológica o sistema informático; obteniendo datos, accediendo a redes sociales, casillas de correo electrónico, cuentas bancarias, plataformas digitales asociadas a medios de pago, o cualquier credencial digital o factor de autenticación, con o sin la intención de dañar a su legítimo titular, será
castigado con un año de prisión a seis años de penitenciaria".
"ARTÍCULO 348 TER. (Circunstancias agravantes especiales). Serán circunstancias agravantes especiales del delito de suplantación de identidad:
1. Que se cometa con finalidad lucrativa o de divulgación de la información a la que se accedió.
2. Que se modifiquen, supriman, adulteren datos de la víctima o utilización de las credenciales para vincularse con terceras personas físicas o jurídicas.
3. Que se adquieran, mediante el uso indebido de sus datos personales productos o mercaderías, o contraten servicios a través de medios telemáticos, en nombre de la víctima.
4. La concurrencia con extorsión a la víctima, sus familiares o terceras personas vinculadas, para la obtención de activos o cualquier prestación en especie a los efectos de recuperar las referidas credenciales.
5. La reincidencia.
Artículo 8° - (Terrorismo digital).- Será delito de naturaleza terrorista, en aplicación del artículo 14 de la Ley N° 17.835, de 29 de setiembre de 2004, en la redacción dada por la Ley N° 19.749, de 15 de mayo de 2019:
"El que acceda de manera habitual e inequívoca a uno o varios servicios de comunicación electrónica en línea o accesibles mediante Internet, posea o adquiera documentos, cuyos contenidos estén dirigidos o resulten idóneos para incitar a la incorporación a una organización o grupo terrorista o a colaborar con cualquiera de ellos o sus fines. Asimismo, el que obstaculizare, interrumpa el funcionamiento de un sistema informático ajeno por cualquier modo y sin autorización de sus titulares o responsables, borrando, deteriorando, suprimiendo, sustituyendo, cifrando, introduciendo nuevos datos que tornen inútiles o inaccesibles los datos informáticos del sistema atacado, cuando el daño se cometa en perjuicio de documentos electrónicos o sistemas informáticos de carácter público, o destinados al funcionamiento de servicios críticos o esenciales y/o afecte a infraestructuras que pongan en peligro la seguridad del Estado o el cumplimiento de sus funciones, será castigado con un año de prisión a seis años de penitenciaría".
Artículo 9° - Agréguese al Libro II, Título XIII - Capítulo V del Código Penal, el siguiente artículo:
"ARTÍCULO 358 TER. (Abuso de los dispositivos).- El que, de forma deliberada e ilegítima produzca, adquiera, importe, comercialice o facilite a terceros, programas, sistemas informáticos o telemáticos de cualquier índole, credenciales o contraseñas de acceso a datos informáticos o sistemas de información, destinados inequívocamente a la comisión de un delito, será castigado con seis meses de prisión a cuatro años de penitenciaría".
Capítulo II
Medidas educativas
Artículo 10 - (Campaña Nacional Educativa).- Promuévase la "Campaña Nacional Educativa" dictándose cursos formativos, para estudiantes de secundaria como de escuelas técnicas, comprendiendo también a beneficiarios de prestaciones servidas por el Banco de Previsión Social (BPS) y programas de INEFOP, a los efectos de educar sobre el manejo de finanzas personales y ciberseguridad.
Los conceptos a desarrollar serán los siguientes:
• Medios de Pago (dinero electrónico, diferencia entre subtipos de tarjetas, realización de operaciones online, pagos por códigos QR, y otras nuevas modalidades).
• Cuentas bancarias: cajas de ahorro, cuentas corrientes (diferencias entre ambas y vinculación a Ley de Inclusión Financiera más Títulos Valores).
• Acceso al financiamiento: préstamos (análisis de tasas de interés, plazos, cálculo de cuota contra ingresos mensuales, consecuencias de incumplimientos, etc.).
• Instituciones financieras: diferencia entre agentes clásicos y nuevos participantes (plataformas de e-commerce y mensajería instantánea).
• Planificación presupuestaria: relación ahorro y consumo, costo del dinero.
• Antecedentes crediticios: clearing de informes, central de riesgos BCU, implicancias e impacto en acceso al crédito.
• Intangibilidad del salario (límite para el endeudamiento, pago de prestaciones alimenticias, orden de deducciones).
• Mecanismos de Defensa al Usuario Financiero.
• Canales digitales y riesgos derivados de su uso inadecuado.
• Fraudes tendientes al acceso de datos personales y financieros (phishing, vishing, smishing, troyanos, malware, ingeniería social y demás).
• Buenas prácticas para el uso de canales digitales (riesgos asociados a su utilización por parte de menores de edad, sin supervisión).