Foto: Panel integrado por Martín Pecoy Taque, Federico Oyhanarte y Francisco Olaso Martins, moderado por Paula Rodríguez Medalla en Espacio Cowork.
El pasado jueves 3 de agosto se llevó a cabo el evento CIBERDELITOS: UN ENFOQUE DESDE LOS EXPERTOS, organizado por Montevideo Legal Hackers y Blockchain Summit Global, el cual contó con un panel dedicado a la regulación y aplicación práctica de los ciberdelitos.
En el mismo, la Dra. Rodríguez Medalla en su rol de moderadora destacó la importancia del tema a tratar, ya que si bien los ciberdelitos no son algo nuevo, los mismos han tenido un auge desde la pandemia y los ciberdelincuentes se han profesionalizado con el uso de nuevas herramientas como la inteligencia artificial, que hace que existan cada vez más modalidades de ciberdelitos relacionadas no sólo a delitos económicos, sino también casos de delitos contra menores de edad, como el caso del grooming.
Asimismo, la moderadora destacó que existen muchos proyectos normativos, pero también actualmente Uruguay cuenta con regulación sobre algunos ciberdelitos relevantes como grooming o acoso telemático, todos temas a tratar en el panel. A continuación, compartimos un resúmen del intercambio llevado a cabo en el mismo.
Actualmente Uruguay cuenta con regulación sobre algunos ciberdelitos relevantes como grooming o acoso telemático ¿la regulación sobre estos temas es suficiente o existen obstáculos para su aplicación práctica?
Dr. Federico Oyhanarte: En Uruguay actualmente existe regulación sobre algunos ciberdelitos relevantes, entre ellos encontramos, en relación al delito de “Stalking” o “Acoso Telemático”, lo dispuesto en el artículo 92 de la Ley N.º 19.580 que regula el delito de “Divulgación de imágenes o grabaciones con contenido íntimo”, siendo una de las modalidades que se consideran dentro de lo que se denomina la figura de “Acoso Telemático”. Por otro lado tenemos regulado el delito de “Grooming” que se encuentra incluido en nuestro país por la Ley N.º 19.580, que en su artículo 94 incorporó el artículo 277 bis al Código Penal Uruguayo y por último tenemos la Ley N.º 17.815, denominada “VIOLENCIA SEXUAL CONTRA NIÑOS, ADOLESCENTES O INCAPACES” que regula los delitos relativos a la pornografía infantil.
Respondiendo a la pregunta de si es suficiente, considero que sí, existiendo actualmente, por ejemplo, amplias condenas referentes al artículo 277 bis C.P., aunque podrían agregarse algunas modificaciones normativas. Teniendo en cuenta que ambos textos propuestos sobre “Tipificación de Ciberdelitos”, en el texto original del proyecto, el inconveniente que traían consigo en relación con la regulación actualmente vigente y mencionada al comienzo, es el posible conflicto de la derogación tácita. En la actual redacción del Proyecto de Ley sobre “Prevención y represión de la ciberdelincuencia”, nos encontramos por un lado que elimina lo mencionado en el texto original respecto al delito de grooming, teniendo en cuenta que dicha figura ya se encontraba regulada en nuestro ordenamiento jurídico (art. 277 bis incorporado por el artículo 94 de la Ley N.º 19.580), por lo que agrega agravantes al proyectar el artículo 277 TER al Código Penal Uruguayo.
El artículo proyectado al establecer las agravantes, no establece una pena mayor, ese es un detalle no menor, se establecen agravantes pero no el parámetro a considerarse en su aplicabilidad, igual comentario respecto al art. 288 TER. Por otro lado, al definir la figura del “Acoso Telemático” se utilizan términos como “forma insistente”, lo que en la práctica podría llegar a generar problemas de interpretación. Al decir: “… vigile, persiga o procure cercanía física, estableciendo o intentando establecer contacto con una persona, sea de forma directa o por intermedio de terceros, de tal modo que altere gravemente el desarrollo de su vida”, se genera una figura amplia que complejiza su aplicación, pudiéndose llegar a considerar conductas o situaciones no queridas por el legislador que terminen en la aplicación de la figura típica penal del “Acoso telemático”. Por otro lado, siguiendo con el tema de la pena, para el delito de grooming, que es un flagelo que se vive en la sociedad, considero a título personal que la pena a aplicarse por dicho delito podría ser mayor.
Tomando en cuenta la normativa internacional en materia de ciberdelitos, ¿Consideras que la normativa de Uruguay alcanza para criminalizar estas conductas?
Dr. Martín Pecoy Taque: La normativa uruguaya es insuficiente. La literatura Internacional da cuenta de que desde el año 1970 se han verificado 5 oleadas de reformas legislativas referidas a delitos informáticos. Cuidado que esto no significa criminalizar todo lo que venga sugerido a nivel internacional y hacerlo a tapas cerradas. Desde la cátedra siempre hemos abogado por un Derecho Penal mínimo, que solamente castigue las afectaciones intolerables de derechos porque de lo contrario no se cumple con la autolimitación del poder que debe existir ya que el régimen criminal contiene la sanción más gravosa de todo el ordenamiento jurídico.
Ahora bien, resulta innegable que Uruguay ha quedado muy rezagado en materia de Ciberdelitos, no solo en la creación del delito en sí, sino también en la provisión de mecanismos de investigación y a nivel del proceso por disponer de reglas específicas para la evidencia digital. Vean sin ir más lejos que esta semana Chile presentó un proyecto de ley en el que se planifica introducir como circunstancia agravante la utilización de la Inteligencia artificial en la comisión de delitos.
Salvo algunos delitos como el grooming, la falsificación de documento electrónico, pornografía infantil o ciberacoso, nuestro país no dispone de normativa para el castigo de graves conductas que la comunidad internacional reconoce como ciberdelitos.
La suplantación de identidad es un claro ejemplo, la estafa electrónica es otro, el daño informático otro más, el intrusismo informático otro, y así podría seguir con una larga lista. Situaciones tales como acceso ilícito a sistemas informáticos ha sido resuelto por nuestros jueces en algunos casos con la aplicación del delito de conocimiento fraudulento de documentos secretos, un artículo del Código Penal redactado en el año 1934 que no contempla la realidad informatizada en la que vivimos hoy en 2023.
Uruguay tiene el triste honor de ser el único país del Mercosur que no ha ratificado la Convención de Cibercriminalidad de Budapest de 2001 (que entró en vigor en 2004). Sí, una vez más el suscrito menciona a Budapest, pero es que se trata del documento de referencia a nivel internacional.
Hace unos días mi hija de 9 años me dice que habían hackeado a su amiga, su grupo de amigas tiene internalizado el concepto y es un gran comienzo que la sociedad reconozca la problemática, ahora bien, con esa realidad informatizada en la que vivimos ¿el Parlamento uruguayo no ha aprobado aún una ley al respecto aunque ya han pasado 20 años de la Convención de Budapest?
Es que no hemos ni siquiera ratificado la Convención de Budapest, la cual no solamente sugiere crear delitos sino que también brinda herramientas de investigación, como ser la red 24/7 que propicia la disponibilidad permanente de datos de tráfico entre los estados parte, entre otros mecanismos.
Nuestro país ha asumido inclusive en múltiples documentos internacionales que es necesario regular algunos delitos informáticos (me refiero a la “Reunión de Ministros de Justicia u otros Ministros o Procuradores Generales de las Américas (REMJA)” de 2016 por ejemplo).
Debemos mirar ejemplos positivos de nuestros vecinos, y aprender del derrotero de países con desarrollo legislativo al respecto, como el caso de Argentina, que se actualiza permanentemente e incluso el mes pasado la provincia de Salta aprobó la reforma procesal penal que acepta los criterios de Budapest y fija procedimientos específicos para la investigación de Delitos Informáticos, regulando la evidencia digital, y disponiendo importantes garantías procesales, e introduciendo incluso novedosas figuras como el agente encubierto digital.
En los últimos años hemos visto un auge de las ciberestafas, muchas de las cuales implican uso y vaciamiento de cuentas bancarias o instrumentos financieros de las víctimas, ¿Qué obligaciones tienen las empresas reguladas por el Banco Central del Uruguay de intentar prevenir este tipo de delitos?
Dr. Francisco Olaso Martins: Las empresas supervisadas por la SSF-BCU están reguladas por una normativa específica emitida por la SSF-BCU, la recopilación de normas, esas normas fijan tanto estándares de conducta como deberes concretos de seguridad de la información para las empresas supervisadas. Así pues, como existen normas sobre seguridad física para las empresas financieras, existen también una serie de normas sobre seguridad tecnológica.
El uso de la tecnología podrá haber aumentado a raíz de la pandemia generada por el COVID 19, pero con independencia de la pandemia, la tecnología es un pilar fundamental en las transacciones financieras ya desde varios años antes al 2019. La temática de la seguridad toca de manera transversal diversos módulos normativos para las empresas financieras; es una constante que se encuentra en la normativa a nivel de productos y servicios, de sistemas, de protección del usuario financiero, así como de resguardo de la información.
Como se suele decir, el derecho va siempre detrás de los hechos. A raíz del fuerte aumento de los ataques informáticos, podemos identificar un empuje normativo importante en materia de seguridad tecnológica en los años 2021 y 2022 en lo que respecta a la protección de usuario financiero de instrumentos electrónicos -abarcando tanto las fases de comercialización de los instrumentos como de los riesgos asociados a su uso-. Así se desarrollaron con mayor detenimiento las normas que imponen a las empresas medidas de seguridad tales como el doble factor de autenticación, las notificaciones automatizadas de transacciones (mediante correo electrónico, mensajes de texto, aplicaciones de mensajería instantánea, etc.), los canales de denuncia de hurto, extravío o uso no autorizado habilitados las 24 hs del día, los 7 días de la semana los 365 días del año, la obligación de alertar al cliente sobre los principales usos clandestinos de los instrumentos electrónicos (tales como robo de contraseñas o pin de seguridad, etc.). Muchas de ellas, quizás eran medidas que ya estaban implementadas como medidas de prudencia de las instituciones financieras como mecanismos para salvaguardar el negocio, pero que a partir del 2022 con el incremento de los ataques tecnológicos se transformaron en normativa concreta.
Pero las normas de comercialización de instrumentos electrónicos no son las únicas normas de seguridad tecnológica dictadas por la SSF-BCU. Existen normas también en el ámbito de los sistemas, de las operaciones y, por supuesto, relacionadas con los estándares de seguridad de resguardo documental.
En definitiva, en virtud de las regulaciones emitidas por la SSF-BCU, las empresas financieras deben cumplir un estándar de conducta en materia de seguridad tecnológica más exigente que el del común de las empresas no financieras. Por último, quiero mencionar un proyecto de ley que se encuentra en estos momentos en el Parlamento, sobre seguridad digital para empresas financieras que fija multas (responsabilidad administrativa) además de la responsabilidad civil para las empresas que incumplan los deberes de seguridad para prevenir los delitos informáticos. Ese proyecto es bastante revolucionario para los pilares que forman la identidad de nuestro ordenamiento jurídico, pues, prevé que en determinadas circunstancias el monto de las multas se destine a las víctimas de los ataques informáticos, así como la responsabilidad penal de los “titulares y de quienes ejerzan el poder de dirección” (sic) de las empresas financieras por el incumplimiento de las disposiciones en materia de seguridad digital.
Existen algunos proyectos normativos que pretenden regular nuevos tipos de ciberdelitos, ¿Alguno de ellos permitiría mejorar el marco actual de acción que tienen los fiscales para perseguir este tipo de conductas?
Dr. Federico Oyhanarte: El Proyecto de Ley sobre “Prevención y Represión de la ciberdelincuencia”, establece la tipificación de Ciberdelitos en las siguientes modalidades: Acoso telemático (art. 1), agravantes del delito de grooming (art. 2); fraude informático (art. 3); incorpora al artículo 34 de la Ley N.º 19.574 (“LEY INTEGRAL CONTRA EL LAVADO DE ACTIVOS. ACTUALIZACION DE LA NORMATIVA VIGENTE. DEROGACION DE ARTÍCULOS DEL DECRETO LEY 14.294 Y LEYES 17.835, 18.494, 18.914 Y 19.149”) el numeral 34 sobre fraude informático (art. 4); daño informático (art. 5); acceso ilícito a datos informáticos, interceptación ilícita y vulneración de datos (art. 6), suplantación de identidad (art. 7 y 8) y por último el abuso de dispositivo (art. 9).
El Proyecto de Ley sobre “Seguridad Digital”, incorpora al delito de violencia privada -art. 288 del CP- un inciso por el cual se aplica la misma pena si la violencia o amenaza se ejerciera mediante tecnologías de la información o de la comunicación. (art. 13); Acceso a información en soporte digital (art. 14); Estafa Digital (art. 15); Daño informático (art. 16); agravante por el uso de tecnologías de la información y la comunicación (art. 17); responsabilidad por no cumplimiento de normas de seguridad digital (art. 18) y por último Exención de responsabilidad (art. 19).
Ambos proyectos mencionados, permitirían mejorar el marco actual de acción que tienen los Fiscales, así como también los Jueces y todo otro operador jurídico, regulando nuevas figuras de Ciberdelitos, el asunto está en cómo se regulan esas figuras que van a ser incorporadas y también en cómo serían integradas con nuestro ordenamiento jurídico vigente.
En segundo lugar lo que mejoraría el marco actual de acción tanto de Fiscales, Jueces y/o Defensores así como de otro operador jurídico, es que además de tener una regulación sobre “Tipificación de Ciberdelitos” clara, concisa y accesible (precepto y sanción), sería ser parte del “Convenio de Budapest” y con él los cuatro ejes rectores del mismo como son el Derecho Penal Sustantivo, Derecho Procesal, la Jurisdicción y la Cooperación Internacional.
En conclusión, se comparte en todos sus términos la promoción de un Proyecto de Ley que Tipifique los Ciberdelitos, en el entendido de que es una realidad avanzada la ciberdelincuencia y que necesita de figuras específicas así como también incorporación legal a nivel procedimental, para la persecución y condena, con éxito, del delito, si bien ambos proyectos a estudio regulan otras instancias no sólo la penal (Ej: Proyecto de Ley sobre: “Prevención y Represión de la Ciberdelincuencia” - “Medidas Educativas”, “Registro de Ciberdelincuentes” y “Prevención de Transacciones no Consentidas”), quizá hubiera sido bueno incorporar normativa referente a procedimiento específicos para la investigación de delitos informáticos así como también en materia de evidencia digital en el Código del Proceso Penal, sin perjuicio de que se puedan presentar nuevos proyectos a futuro, pero hubiera sido una propuesta que abarque tanto la parte procesal como la tipificación penal.
Ambos proyectos, en mi opinión, deberían ser considerados en conjunto y efectuarse determinadas modificaciones, particularmente a los artículos mencionados en mi intervención anterior que establecen dificultades a la hora de su aplicación. Con lo antes mencionado, no se pretende prescindir del proyecto o rechazarlo, sino de aprovechar la oportunidad de que el mismo se encuentra actualmente a estudio en la Cámara de Senadores y realizar las modificaciones y correcciones que se consideren pertinentes, si bien ha tenido cambios desde el texto original presentado con fecha 22 de Julio de 2021 al texto actual, es que se considera no sólo de utilidad sino también de practicidad poder abordar la temática referente a ciberdelitos en un ámbito integral y multidisciplinar teniendo en cuenta no sólo la experiencia legislativa y judicial de la región como por ejemplo los casos de Argentina y de Chile, sino también a nivel europeo como por ejemplo España.
Existen muchos ciberdelitos que se caracterizan por ser transnacionales ¿Estos proyectos de ley nos permitirían lograr una debida cooperación internacional?
Dr. Martín Pecoy Taque: La cooperación internacional es fundamental porque muchas veces el origen del acto criminal ocurre en un país pero sus efectos dañosos se producen en otro. Nos encontramos en la cuarta revolución industrial, es un hecho, y aunque al decir inteligencia artificial muchos recién se desayunen de la realidad y piensen más en el hombre bicentenario u otras obras de ficción, la IA ya es parte de nuestra vida diaria que facilita enormemente las estafas informáticas por ejemplo.
Pero atención que es un tema aún en discusión. Según algunos autores, el Convenio de Budapest nunca funcionó con la celeridad que debió funcionar en materia de cooperación internacional, lo cual provoca que la investigación vaya a destiempo cuando existe transnacionalidad, que es la mayor cantidad de las ocasiones.
El proyecto FIDUCIA (también desde la Unión Europea) propone establecer un modelo -o un conjunto de principios- para la aplicación de una política hacia la regulación de las diferentes formas de criminalidad transnacional, coordinando los sistemas de control formal e informal, e incluye en sus áreas de enfoque al tráfico de seres humanos, tráfico de bienes, Ciberdelito y la cuestión del exceso de criminalización de los inmigrantes y minorías étnicas.
Respecto del ciberdelito, FIDUCIA trata de conseguir seguridad cibernética y armonizar las medidas internacionales para prevenir y combatir la ciberdelincuencia.
Entre las alternativas que se manejan a nivel global para evitar la impunidad del ciberdelito encontramos en grado progresivo primero la simple cooperación, luego la asimilación, pasando por la armonización y llegando a una unificación normativa.
Como puede verse de la lectura del proyecto de ley ingresado al Parlamento el 3/8/2021, el texto se enfoca en la tipificación y en proponer medidas de concientización, pero no encara la esencial cooperación judicial internacional, que en estas cuestiones transnacionales es más que crucial (otro tanto ocurre con el proyecto de ley de seguridad digital ingresado al parlamento el 18/4/2023).
Es decir que ni siquiera está proyectado en Uruguay el nivel mínimo de colaboración a nivel internacional.
Echan en falta también consideraciones relativas a medidas procesales, que aunque son las más cuestionadas de la Convención de Budapest, son igualmente merecedoras de consideración.
Asimismo, llama la atención que los proyectos no se pronuncian acerca de la ratificación de la Convención de Budapest, dado que este instrumento provee las herramientas fundamentales en la persecución del ciberdelito que antes comentamos, tales como la red 24-7 que postula la necesidad de disponibilidad permanente de las pruebas electrónicas de una infracción penal.
Es mandatorio ejecutar políticas conjuntas, generales, que integren a todos los Estados y a todos los actores de la sociedad (públicos y privados). Debe tenderse a los convenios multilaterales que involucren al mayor número de países posible, de forma que al menos nos orientemos hacia una posible armonizar las políticas regionales en materia de cibercrímenes, con una regulación coherente y sin contradicciones que posibiliten la impunidad, pero a la vez con fuerte énfasis en las garantías de los enjuiciados.
En definitiva, estos proyectos de ley que comentamos hoy no nos permitirían lograr una debida cooperación internacional.
Dr. Federico Oyhanarte: Tampoco se trataría de sacar una ley porque sí para cumplir con lo que prevé la convención de Budapest, porque si tipificamos de una manera que torna inaplicable la ley se dificulta la persecución del ciberdelito.
Dr. Martín Pecoy Taque: Los cuatro proyectos de ley anteriores naufragaron en el parlamento uruguayo precisamente por eso, por la ausencia de una definición clara de política criminal. Sería necesario antes de cualquier tipificación un estudio criminológico previo, todo lo cual está alineado con el actual criterio de fiscalía denominado de persecución estratégica de los delitos.
Casi todas las instituciones financieras cuentan con departamentos de prevención de fraudes y trabajan para detectarlos, ¿la regulación actual les permite a las instituciones cooperar entre ellas para detectar estos delitos? ¿Tienen canales para reportarlos al regulador?
Dr. Francisco Olaso Martins: Respecto a la primera parte de la pregunta, podemos decir que el marco normativo para cooperación entre las empresas financieras es demasiado escueto. El mercado está necesitando modificaciones normativas para que las empresas financieras puedan actuar coordinadas con mayor comodidad y seguridad en la prevención, identificación y mitigación de los ataques informáticos.
No es un tema sencillo porque seguramente se deban modificar normas de rango legal (que involucran temas relacionados con el secreto profesional y la protección de datos personales).
Actualmente la coordinación se enmarca, sobre todo, en cláusulas contractuales que rigen las relaciones entre las empresas financieras (contrapartes o proveedores) y entre los clientes y las empresas (contratos de adhesión). Pero esa práctica está demasiado determinada por la casuística (por ejemplo, influye si todas las partes involucradas se encuentran en la misma jurisdicción, o si ya se pagó la transacción o no, entre muchas otras variables).
Claramente los operadores del mercado necesitan herramientas normativas para poder ser más eficientes en la coordinación de esfuerzos.
Respecto a la segunda parte de la pregunta (existencia de canales de reporte automáticos al regulador), no existen canales específicos para esta problemática, como sí existen canales y plazos de reporte para otros temas específicos.
Estos casos se podrán reportar al regulador en la medida que eventualmente también califiquen como otra incidencia o hecho que se deba reportar, por ejemplo, como un reclamo formal de un cliente (si un cliente plantea mediante el Procedimiento de Atención de Reclamos un reclamo cuyo objeto sea un ataque informático), como parte de un ROS (la estafa, por ejemplo, es delito antecedente de LA/FT) o como parte de Información Relevante (como Información Relevante se debe informar cualquier evento no frecuente que pueda tener influencia en la situación legal de la empresa, pero debería ser un ataque significativo y no algo ordinario o aislado).