Enuncia el Artículo 264 del Código Penal en  relación al delito de daños informáticos el siguiente contenido

1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.

El segundo apartado introducido por la ley orgánica 1/2015 de 30 de marzo aumenta las penas establecidas (pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado ) en base a una serie de circunstancias que son las siguientes

1.ª Se hubiese cometido en el marco de una organización criminal.

En esta materia es importante resaltar el origen de la modificación establecida en el código penal en base a la directiva de 2013 del parlamento y del Consejo de la Unión Europea  que impulsó a los países a fin que adopten su legislación para aumentar la penalidad en el caso que los delitos sean cometidos por organizaciones criminales. Y precisamente la definición de dicho artículo establece el concepto organización y no el del grupo Criminal. Así el 570 bis entiende por organización criminal la agrupación formada por más de dos personas con carácter estable o por tiempo indefinido, que de manera concertada y coordinada se repartan diversas tareas o funciones con el fin de cometer delitos.

Igualmente el Código entiende por grupo criminal la unión de más de dos personas que, sin reunir alguna o algunas de las características de la organización criminal definida en el artículo anterior, tenga por finalidad o por objeto la perpetración concertada de delitos debiéndose acudir como establece la Fiscalía General del Estado 3/17 al concurso real de delitos.

2.ª Que haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

Según la redacción del artículo estamos ante dos supuestos del mismo apartado, a saber,  por un lado los daños de especial gravedad y por otro lado que hubiera afectado a un elevado número de sistemas informáticos.

Cómo ocurre habitualmente en la adopción del término “ gravedad “,es obvio pensar qué se deberá de analizar caso por caso. Además se puede ver en el mismo artículo varios estadillos respecto al término gravedad hablando por un lado en el artículo 264.1 de “ resultado producido fuera grave “, en el punto número dos, segundo “daños de especial gravedad” y finalizando  dicho artículo refiriéndose a “ extrema gravedad “.

En todo caso parece ser que legislador en este supuesto en particular del artículo 264.2 supuesto segundo hay una conexión del concepto de gravedad con el concepto de daños que no aparece en los otros casos mencionados

Tampoco hay que perder de vista que este artículo estamos hablando siempre de daños producidos en el software y para nada se está refiriendo al hardware o soporte físico sobre el que los datos funcionan. Dada la complejidad técnica de estos delitos es muy importante estar asesorado por un abogado penalista Sevilla especializado.

Definido que el objeto de esta acción típicamente punible son por ejemplo los programas informáticos y los documentos electrónicos en si mismos se puede decir que muchas veces no hay un resultado tangible físicamente visible de dicha acción ilícita pero que sin embargo generan un perjuicio evidente. Este perjuicio debe ser objetivado en base al criterio del valor que tuviera el dato eliminado en sí mismo o por ejemplo el programa que era operativo antes de la afectación circunstancias que muchos casos serán difíciles de valorar. Podría ser un criterio el perjuicio causado al perjudicado por este delito como consecuencia de la falta de funcionamiento de determinados sistema informático o la destrucción y coste posterior de reconstrucción de los datos perdidos. Piénsese que cada caso es distinto y habrá que tener en cuenta la duración de sus trabajos de reconstrucción de datos o en todo caso, si no son recuperables, el perjuicio definitivo causado. Lógicamente hay elementos inmateriales difíciles de cuantificar como por ejemplo la pérdida red de reputación en el ámbito comercial por un fallo de seguridad así que habrá que estar al caso concreto.

Respecto a determinar cuando un ataque es grave o especialmente grave en la nomenclatura de la propia ley, es claro advertir que límite no puede ser establecido de manera objetiva aunque puede indicarse que tendrá una consideración máxima en el caso que tenga por ejemplo una repercusión pública o los costes o perjuicios de dicho delito sobre la empresa afectada puedan llevarle incluso a su paralización o quiebra. A sensu contrario todos aquellos perjuicios que resulten evidentes pero que no tengan esa máxima gravedad puede ser incardinar dos dentro de este subtipo de agravamiento.

El último inciso de este agravamiento se refiere en particular a la afectación de un “número elevado de sistemas informáticos“ lo que revela la preocupación del legislador sobre aquellos ataques de  infestación masiva que vemos habitualmente en la prensa y que determinan por la interconexión de datos que existen una alarma pública. Esta afectación de sistemas puede ser o bien a los sistemas de una sola empresa o bien distintos sistemas de distintas empresas.

3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

Es obvio que legislador ha querido en este supuesto proteger aquellas actividades que dentro del Estado se consideran críticas o básicas para normal funcionamiento de una sociedad y que precisamente con estas acciones típicamente punibles se pueden poner en riesgo destacando entre ellas como críticas las actividades de seguridad, las relacionadas con la alimentación y de sanidad entre otras. Estas no necesariamente tienen que ser prestadas por empresas públicas sino que su actividad puede haber sido delegada en empresas privadas.

Respecto a la valoración de dichos perjuicios baste dar por reproducido lo indicado en el supuesto anterior y si ha sido perjudicado por un supuesto como los descritos y reside en Málaga es aconsejable ser asistido por un abogado penalista Málaga especializado

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.

  El legislador consciente de la importancia de la delimitación de la acción típica incluye la definición legal de infraestructuras críticas que no es más que aquellas que un Estado considera de absoluta total y completa necesidad y que su funcionamiento no puede verse perturbado y ni mucho menos suspendida. Cómo se dice  el propio código penal serán aquellas como la salud, seguridad, bienestar económico y social de los ciudadanos del Estado español.

La propia importancia de dichos sistemas determina que el criterio de gravedad empiece desde el nivel mínimo, es decir, no es necesario una afectación grave o muy grave sino que se considera que el simple perturbar mínimo a dichas infraestructuras por el ataque informático determina la aplicación de este supuesto.

De manera distinta el segundo párrafo establece que con los actos “ se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado miembro de la unión europea “ determina que en este supuesto si se haya creado una “situación de peligro grave”.  La citada circular 3/2017 de la Fiscalía General del Estado resalta la conexión de este supuesto con el artículo 573.2 del código penal relativo a los delitos de terrorismo al establecer que precisamente tendrán esa naturaleza los cometidos o tipificados con el artículo 264 siempre que tengan las finalidades establecidas en el 573.1, es decir, subvertir el orden constitucional, alterar gravemente la paz pública, desestabilizar a una organización internacional o provocar un estado de terror en la población. Es precisamente esa finalidad terrorista que se vislumbra en la mayoría de los ataques informáticos que tiene esa naturaleza cuando tienen por objeto poner en peligro la prestación de los servicios esenciales supuesto  especialmente recogido en el 573.1. 1º y con competencia atractiva en su procesamiento por parte de la Audiencia Nacional.

5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Se entiende como especialmente peligrosa la utilización de aquellos programas diseñados desde su inicio para vulnerar todas las medidas de seguridad de otros sistemas informáticos y por lo tanto se considera más ponible esa conducta.

In fine, sigue estableciendo el legislador que “ Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado. “