Delitos informáticos tributarios

Transcripción

1 Delitos informáticos tributarios Christian Hess Araya Diciembre del 2009 Introducción Este trabajo sobre delitos informáticos tributarios ha sido preparado como requisito del curso de actualización en Derecho tributario para jueces de lo contencioso administrativo, organizado conjuntamente por el Poder Judicial y el Centro de Investigación y Formación Hacendario del Ministerio de Hacienda. Se comienza analizando el concepto genérico de delito informático, en sus dos acepciones (objetiva y funcional). Luego se pasa al tema específico de los delitos informáticos de relevancia en el ámbito tributario y su relación con figuras similares de otras materias asociadas, como por ejemplo el Derecho aduanero. Finalizamos con algunas conclusiones y recomendaciones. Concepto de delito informático Los delitos informáticos de cualquier índole participan de la naturaleza jurídica de los delitos penales en general. Por ende, un delito informático se concibe siempre como una acción típica, antijurídica y culpable. Además, por tratarse la penal de materia reservada a la ley, solo será sancionable en la medida en que esté tipificado en una norma de ese rango. Desde hace algunas décadas, los sistemas informáticos se han venido convirtiendo crecientemente en blanco de la delincuencia. Si nos cuestionamos el por qué de lo anterior, la respuesta probablemente tendrá relación con el hecho de que la información que almacenan y procesan esos sistemas constituye actualmente un bien jurídico valioso, que, por desgracia, resulta además altamente vulnerable. En efecto, en toda organización moderna, pública o privada, la información de diversa índole (financiera, comercial, industrial, laboral, etc.) se considera un activo de valor inapreciable. No es exagerado decir que, con frecuencia, los datos son mucho más valiosos que los equipos en los que residen. Por ejemplo, para una empresa industrial, la información relativa a los procesos de fabricación de sus productos puede constituir un secreto comercial por el cual otros competidores podrían estar dispuestos a pagar altas sumas de dinero. Sin embargo, la información posee características que la tornan diferente a los bienes tradicionales: por ejemplo, a diferencia de un automóvil, la información no se agota

2 o deprecia con el uso y puede ser copiada, distribuida y empleada por varias personas a la vez sin daño o pérdida de calidad. Si una pintura valiosa es sustraída, quedará en la pared un espacio vacío fácilmente apreciable; pero si se sustrae información quizás copiándola a un medio removible no quedará atrás ninguna señal evidente del ilícito, dificultando la detección y sanción del responsable. En todo esto, el vertiginoso avance de la telemática 1 se convierte en un factor adicional de riesgo, pues no solo pone la información al alcance de un mayor número de potenciales infractores, sino que además le permite a éstos agregar el factor distancia geográfica a los elementos que dificultan la persecución de los ilícitos informáticos. Ahora bien, el término delito informático puede ser entendido en una doble acepción: En sentido amplio u objetivo, será aquella clase de delitos que recaen sobre objetos (bienes o servicios) pertenecientes al mundo de la informática. Es decir, son aquellas conductas ilícitas que tienen como blanco de la acción típica un dispositivo físico de hardware o bien la operación de un sistema informático, independientemente del modo de comisión. Ejemplos: destruir físicamente una computadora o introducir deliberadamente un virus informático en un sistema. 2 En sentido restringido o funcional, se entenderá como delito informático solo a aquél en el que se utiliza un dispositivo o sistema informático para cometer el ilícito, independientemente de cuál sea el blanco de la conducta. Ejemplos: emplear herramientas informáticas para sustraer dinero de cuentas bancarias o utilizar medios telemáticos para distribuir pornografía infantil u obras digitales protegidas por la propiedad intelectual, sin la necesaria autorización. Delitos informáticos tributarios A partir de los conceptos anteriores, podemos avanzar hacia el campo específico de los delitos informáticos de relevancia en materia tributaria. Esta clase de ilícitos se distingue de los delitos informáticos en general únicamente en función del sujeto pasivo de la conducta dañosa: la Administración fiscal del Estado. Por este motivo, es usual que la tipificación correspondiente esté excluida de los códigos penales generales, para ser incluida más bien en las leyes de carácter tributario, como sucede en nuestro país. 1 Disciplina científica y tecnológica que surge de la evolución y fusión de la telecomunicación y de la informática. (...) La Telemática cubre un campo científico y tecnológico de una considerable amplitud, englobando el estudio, diseño, gestión y aplicación de las redes y servicios de comunicaciones, para el transporte, almacenamiento y procesado de cualquier tipo de información (datos, voz, vídeo, etc.), incluyendo el análisis y diseño de tecnologías y sistemas de conmutación. WIKIPEDIA, Telemática. Página electrónica disponible en visitada el 7/12/09. 2 CÁMPOLI, Gabriel. Derecho penal informático. Investigaciones Jurídicas, S.A., San José, 2003, página 30. 2

3 El desarrollo positivo nacional en materia de cibercriminalidad en general es escaso y reciente, como probablemente sea la tónica en la mayoría del área latinoamericana. 3 Hasta el momento, solamente unas pocas leyes que vienen siendo promulgadas a partir de 1994 prevén figuras de esta naturaleza. La materia tributaria no solo no es excepción sino que, más bien, se erige en uno de los primeros campos en los cuales se prevé tipos penales informáticos. Tipos penales existentes El Código de Normas y Procedimientos Tributarios (CT) 4 junto con otras disposiciones de la misma materia pasó por un importante proceso de ajustes legislativos, particularmente y en cuanto interesa, los introducidos por ley número 7535 ( Ley de Justicia Tributaria ) del 1 de agosto de 1995; y por la ley número 7900 de 3 de agosto de Es así como en su Título 3 ( Hechos Ilícitos Tributarios ), Capítulo 3 ( Sanciones Penales ) encontramos la Sección 2 ( Delitos Tributarios ), con cuatro preceptos de importancia: El artículo 94 establece sanciones por acceso desautorizado a la información. Según la norma, será castigado con prisión de uno a tres años, quien, por cualquier medio tecnológico, acceda a los sistemas de información o las bases de datos de la Administración Tributaria, sin la autorización correspondiente. En la medida en que la conducta punible consiste en el simple ingreso a los sistemas, se trata de un delito de peligro abstracto 5, de la clase a la que en otros ordenamientos jurídicos se conoce como intrusión simple. De acuerdo con el numeral 95 ( Manejo indebido de programas de cómputo ), se impondrá pena de tres a diez años de prisión, a quien sin autorización de la Administración Tributaria se apodere de cualquier programa de cómputo utilizado por aquélla para administrar la información tributaria y sus bases de datos; lo copie, destruya, inutilice, altere, transfiera o lo conserve en su poder, 3 HESS ARAYA, Christian. Regulaciones actuales y proyectos de reforma sobre delitos informáticos en Costa Rica. Publicado originalmente en el número 29 de la Revista Electrónica de Derecho Informático Alfa-Redi ( Actualizado en noviembre del 2009 y disponible electrónicamente en 4 Ley número 4755 de 29 de abril de 1971 y sus reformas. 5 En los delitos de peligro No se requiere que la acción haya ocasionado un daño sobre un objeto, sino que es suficiente con que el objeto jurídicamente protegido haya sido puesto en peligro de sufrir la lesión que se quiere evitar. El peligro puede ser concreto cuando debe darse realmente la posibilidad de la lesión, o abstracto cuando el tipo penal se reduce simplemente a describir una forma de comportamiento que representa un peligro, sin necesidad de que ese peligro se haya verificado. (Cuando la acción crea un riesgo determinado por la ley y objetivamente desaprobado, indistintamente de que el riesgo o peligro afecte o no el objeto que el bien jurídico protege de manera concreta). WIKIPEDIA, Delitos. Página electrónica disponible en visitada el 7/12/09. 3

4 siempre que la aplicación haya sido declarada de uso restringido, mediante resolución. Como se puede ver, la figura incorpora elementos propios del sabotaje y del fraude informáticos. 6 La sanción para quien facilite su código y su clave de acceso, asignados para ingresar a los sistemas de información tributarios, para que otra persona los use, es de prisión de tres a cinco años (artículo 96). Si ello ocurriere culposamente, la prisión será de seis meses a un año (artículo 97). En ambos casos, pareciera que nos encontramos nuevamente ante delitos de peligro, puesto que la conducta tipificada radica en el mero hecho de facilitar el código o clave de acceso, sin consideración a que el tercero receptor la llegue a utilizar realmente o no. Es interesante anotar que, a pesar de la investigación realizada al efecto, no logramos encontrar casos específicos de aplicación de ninguno de los tipos penales recién descritos, con el fin de examinar la manera en que pudieran haber sido tratados por la jurisprudencia nacional. Otras figuras relacionadas Por razones de similitud de la materia, es interesante contrastar los delitos informáticos propiamente tributarios con los regulados en otros campos jurídicos relacionados, como lo son el aduanero y el de la administración financiera general del Estado. En este caso, encontramos disposiciones relevantes tanto en la Ley General de Aduanas 7 como en la Ley de Administración Financiera y de Presupuestos Públicos. 8 También importa remitirnos al Código Penal vigente, en cuanto prevé y sanciona el fraude informático, figura que como vimos se encuentra enmarcada en lo dispuesto por el numeral 95 del CT. 6 El fraude informático es inducir a otro a hacer o a restringirse en hacer alguna cosa de lo cual el criminal obtendrá un beneficio por lo siguiente: 1. Alterar el ingreso de datos de manera ilegal. Esto requiere que el criminal posea un alto nivel de técnica y por lo mismo es común en empleados de una empresa que conocen bien las redes de información de la misma y pueden ingresar a ella para alterar datos como generar información falsa que los beneficie, crear instrucciones y procesos no autorizados o dañar los sistemas. 2. Alterar, destruir, suprimir o robar datos, un evento que puede ser difícil de detectar. 3. Alterar o borrar archivos. 4. Alterar o dar un mal uso a sistemas o software, alterar o reescribir códigos con propósitos fraudulentos. Estos eventos requieren de un alto nivel de conocimiento. WIKIPEDIA, Delito informático. Página electrónica disponible en visitada el 7/12/09. Véase más adelante acerca del tratamiento del fraude informático en el Código Penal. 7 Ley número 7557 de 20 de octubre de Ley número 8131 de 18 de setiembre del

5 Ley General de Aduanas La vigente Ley General de Aduanas incorpora un Título 10, denominado Delitos Aduaneros, Infracciones Administrativas y Tributarias. Éste, a su vez, contiene un Capítulo 2, titulado Delitos Informáticos, con dos artículos. Conforme al artículo 221, se reprimirá con prisión de uno a tres años a quienes: a) Accedan, sin la autorización correspondiente y por cualquier medio, a los sistemas informáticos utilizados por el Servicio Nacional de Aduanas. Compárese con el numeral 94 del CT. b) Se apoderen, copien, destruyan, inutilicen, alteren, faciliten, transfieran o tengan en su poder, sin autorización de la autoridad aduanera, cualquier programa de computación y sus bases de datos, utilizados por el Servicio Nacional de Aduanas, siempre que hayan sido declarados de uso restringido por esta autoridad. La similitud es obvia con el ordinal 95 del CT. c) Dañen los componentes materiales o físicos de los aparatos, las máquinas o los accesorios que apoyen el funcionamiento de los sistemas informáticos diseñados para las operaciones del Servicio Nacional de Aduanas, con la finalidad de entorpecerlas u obtener beneficio para sí o para otra persona. Y, d) Faciliten el uso del código y la clave de acceso asignados para ingresar en los sistemas informáticos. La pena será de seis meses a un año si el empleo se facilita culposamente. Aquí, el paralelismo se da con los artículos 96 y 97 del CT. Nótese, pues, la evidente reiteración de figuras respecto de las contempladas en el Código Tributario, solo que con una sanción mayor. Este es el peligro de promulgar normas especiales en materia tan delicada. La incongruencia legislativa nos parece evidente e injustificable, desde que las materias tributaria y aduanera son áreas estrechamente entrelazadas del Derecho Financiero. No percibimos entonces la razonabilidad de sancionar diferenciadamente un mismo injusto penal. Por su parte, el numeral 222 ibídem prevé una agravante (pena de tres a cinco años) cuando, respecto de las causales del artículo anterior, concurran las siguientes circunstancias: a) Que intervengan en el hecho tres o más personas, en calidad de autores. O, b) Que intervenga, en calidad de autor, instigador o cómplice, un funcionario público en ejercicio de sus funciones, con ocasión de ellas o con abuso de su cargo. A pesar de que el segundo supuesto es claro y razonable, nos ofrece duda el primero. Al menos a primera vista pareciera irrelevante el número de coautores del delito 5

6 para efectos de agravación de la pena en este caso. 9 Lo pertinente podría ser sancionar el ilícito informático en sí y si correspondiera contemplar la intervención de múltiples autores bajo una figura separada, como por ejemplo en Costa Rica, el delito de asociación ilícita. 10 Ley de Administración Financiera y de Presupuestos Públicos El artículo 110 de esta Ley establece la responsabilidad administrativa de los funcionarios públicos, independientemente de la responsabilidad civil o penal, entre otras causas, por: El ingreso, por cualquier medio, a los sistemas informáticos de la Administración Financiera y de Proveeduría, sin la autorización correspondiente (inciso m). Obstaculizar el buen desempeño de los sistemas informáticos de la Administración Financiera y de Proveeduría, omitiendo el ingreso de datos o ingresando información errónea o extemporánea (inciso n). Y, Causar daño a los componentes materiales o físicos de los aparatos, las máquinas o los accesorios que apoyan el funcionamiento de los sistemas informáticos de la Administración Financiera y de Proveeduría (inciso ñ). De nuevo, encontramos semejanzas claras entre los supuestos recién enunciados y los previstos tanto en el CT como en la Ley General de Aduanas. Por su parte, el artículo 111 ibídem señala: Artículo Delito informático. Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios públicos o particulares que realicen, contra los sistemas informáticos de la Administración Financiera y de Proveeduría, alguna de las siguientes acciones: a) Apoderarse, copiar, destruir, alterar, transferir o mantener en su poder, sin el debido permiso de la autoridad competente, información, programas o bases de datos de uso restringido. b) Causar daño, dolosamente, a los componentes lógicos o físicos de los aparatos, las máquinas o los accesorios que apoyan el funcionamiento de los sistemas informáticos. c) Facilitar a terceras personas el uso del código personal y la clave de acceso asignados para acceder a los sistemas. 9 A diferencia de lo que sucede, por ejemplo, en los delitos de robo o violación, en los que la participación de varias personas como autoras claramente justifica una punibilidad mayor. 10 Artículo 274 del Código Penal. 6

7 d) Utilizar las facilidades del Sistema para beneficio propio o de terceros. Finalmente, los artículos 114 y 117 establecen la correlativa responsabilidad civil de los funcionarios o particulares involucrados, respectivamente. Código Penal Como fruto de un encuentro de Ministros de Justicia del continente americano que tuvo lugar en febrero del año 2000 en nuestro país, la Procuraduría General de la República preparó un proyecto de ley que el Poder Ejecutivo envió a conocimiento de la Asamblea Legislativa y que fue aprobado mediante ley 8148 de 24 de octubre del El proyecto contemplaba la adición de cuatro preceptos al Código Penal vigente (de los cuales en definitiva solo se adoptó tres), junto con una reforma asociada a la denominada Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones. 11 Entre ellos, encontramos que se añadió al Código un nuevo artículo 217 bis, con el siguiente texto: Artículo 217 bis.- Fraude informático. Se impondrá pena de prisión de uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema. Esta figura resulta de interés porque, como se recordará, el artículo 95 del CT sanciona la alteración de programas de software utilizados por la Administración Tributaria, lo cual también calificaría como un supuesto de fraude informático. El extremo superior de la pena en ambos casos es el mismo: diez años. Como se nota sin embargo, la previsión omite la modalidad agravada tipificada en otros países del fraude fiscal informático, en el que la víctima del acto es precisamente la Administración tributaria o aduanera. Nótese, además, que este ilícito no resultaría idóneo para sancionar los supuestos de hurto informático. Reflexiones finales Está claro que el tema de los delitos informáticos en general y el de los delitos informáticos tributarios en particular es una asignatura de apenas incipiente desarrollo en nuestro medio. Esto se refleja en el hecho de que la legislación promulgada hasta ahora en este campo se presenta como una de las regulaciones más extrañas sobre la materia 11 Ley número 7425 de 9 de agosto de

8 de todo el ámbito iberoamericano, debido a lo que honestamente pareciera poco más que un deseo de legislar solo por salir del compromiso. 12 En efecto, a falta de un planteamiento cohesivo sobre la temática de los delitos informáticos, que lograra producir reformas legales comprensivas y ordenadas, hemos terminado con una verdadera ensalada normativa, confusa y omisa. Por ende, es necesario que el legislador nacional se comprometa con el tema y trabaje con miras a producir regulaciones sólidas, completas y consistentes que sancionen conductas que, lejos de desaparecer, tienden a agravarse tanto a nivel nacional como mundial. La esperanza más reciente surge con la publicación, en La Gaceta N 212 del 2 de noviembre del 2009, de un nuevo proyecto de Código Penal, expediente legislativo N , que contiene varias previsiones importantes en materia de delitos informáticos. Sin embargo, ya algunos comentaristas nacionales como el profesor Alfredo Chirino Sánchez 13 han destacado que esta propuesta padece de importantes limitaciones en esta materia, debido al hecho de que parte de un intento de prever los tipos de delitos informáticos únicamente sobre la base de conductas tradicionales previas, lo cual representa un enfoque claramente restrictivo. Esperemos, sin embargo, que al menos sirva como punto de partida para un debate sobre el tema. Sobre el autor Christian Hess Araya es Licenciado en Derecho y máster en Informática. Letrado de la Sala Constitucional hasta el 2009 y, actualmente, Juez del Tribunal Contencioso Administrativo. Ha sido directivo del Colegio de Abogados en dos ocasiones; profesor de Derecho en las universidades de Costa Rica, La Salle y Universidad Latina, así como profesor de las maestrías en Informática de la Universidad de Costa Rica y del Instituto Tecnológico de Costa Rica. Ha recibido los premios Abogado distinguido del Colegio de Abogados y Premio al Mérito Informático del Colegio de Profesionales en Informática. Autor del libro La dimensión jurídica del software (segunda edición: 2004). Miembro fundador de la Asociación Costarricense de Derecho Informático y miembro senior de la Association for Computing Machinery (ACM). Articulista de prensa. Sitio web: hesscr.blogspot.com 12 HESS ARAYA, Christian. Un complejo panorama legal. Publicado en La Nación del 17 de abril del 2002 y disponible electrónicamente en 13 Comentarios verbales efectuados durante la mesa redonda Delitos informaticos: necesidad de nuevas formas de regulacion, el 10 de noviembre del 2009, en el Colegio de Abogados de Costa Rica. 8