El 20 de junio de 2022 fue publicado en el Diario Oficial de Chile la reforma de Ley N° 21.459 concerniente a una nueva regulación de los delitos informáticos, en torno a la adecuación de la legislación chilena con el Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como “Convenio deBudapest”, del año 2001.
Este convenio, es un instrumento internacional dispuesto para combatir el crimen organizado trasnacional, con especial referencia a los delitos informáticos y que a largo plazo planteaba como finalidad, establecer una legislación penal y procedimientos comunes para los Estados adheridos. Esta disposición de desarrollar una política criminal estadal común frente a la ciberdelincuencia, al homologar conceptos fundamentales, permitirá un sistema rápido y eficaz, con una óptima cooperación internacional en la investigación de conductas ilícitas.
Una delegación chilena, conformada por representantes de la División de Seguridad Internacional y Humana de Ministerio de Relaciones Exteriores (Minrel) y de la Fiscalía Nacional, viajaron a Europa a firmar la adhesión al segundo Protocolo al Convenio de Budapest sobre Ciberdelincuencia, y «ratificar el compromiso que tiene Chile en la lucha contra el cibercrimen». Este segundo protocolo fue firmado por los 17 Estados miembros del Consejo de Europa (Austria, Bélgica, Bulgaria, España, Estonia, Finlandia, Islandia, Italia, Lituania, Luxemburgo, Macedonia del Norte, Montenegro, Países Bajos, Portugal, Rumania, Serbia y Suecia); pero también por Chile, Colombia, Estados Unidos, Japón y Marruecos, es decir, cinco Estados que no son miembros.
El contexto que generó el surgimiento de esta normativa en Chile, es bastante alarmante. En marzo de 2022 el Equipo de Respuesta ante Emergencias Informáticas del Gobierno de Chile (CSIRT), detectó, sólo en ese mes, la presencia de 9.400 emails con algún tipo de malware y celebró a su vez, el bloqueo de 400.000 ataques. Además, en el mes de abril en Costa Rica fueron vulnerados los sistemas del Ministerio de Hacienda y sufrió la Caja Costarricense de Seguro Social (CCSS).
La respuesta de la legislación chilena, fue modificar la Ley N° 19.223 tipificando las figuras penales relativas a la informática; el Código Procesal Penal; la Ley N° 19.913 que crea la Unidad de Análisis Financiero y modificó diversas disposiciones en materia de lavado y blanqueo de activos.
Finalmente, en la Ley N° 20.393, estableció la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho. Fue contemplado como una reforma que modificó diversas disposiciones en materia de lavado y blanqueo de activos.
Además, sancionó diversas conductas que se adecúan y actualizan al nuevo horizonte legal. Es decir, se modernizan los tipos penales primigenios adaptándose a los avances tecnológicos y consecuentemente, a los nuevos riesgos que antes no se contemplaban en la legislación. Entre ellos, la responsabilidad penal de la persona jurídica cuando los delitos se cometen en el interior de una organización, por fallas de su sistema de organización y control, al no haber implementado un model de cumplimiento.
De tal manera, las organizaciones tienen el deber de identificar las actividades o procesos que incrementen el riesgo en la comisión de delitos informáticos, implementar sus modelos de cumplimiento y preveer todas las matrices de riesgos y controles en sus modelos de gestión de delitos.
Resulta interesante el resurgimiento de las distintas figuras especializadas que contiene esta nueva normativa, tales como la sanción al fraude informático, la receptación de datos informáticos, falsificación informática y la interceptación ilícita. Sin embargo, nos llama la atención que dos (2) tipos penales incluyen de manera implícita, la necesidad de las organizaciones de implementar en sus espacios, modelos de cumplimiento.
El primero, es el abuso de los dispositivos. Esta figura sanciona al que facilite los medios tecnológicos y herramientas informáticas idóneas, para cometer delitos sobre los sistemas de datos, de acceso ilícito así como la interceptación informática y la perpetración de las conductas. Observamos cómo, en el supuesto de no tener el suficiente control de los procesos dentro de la organización, puede generar responsabilidad para la persona jurídica, puesto que funge como sujeto pasivo al que le recae la consecuencia administrativa.
También, la figura del ataque a la integridad de datos o el ataque a la integridad de un sistema informático, por ejemplo, en grandes organizaciones. Allí, es común poseer medios automatizados de datos en sitios web, es normal que ocurra una saturación pero en el momento en el que esto se comprueba que es provocado y que por ende, impide el normal funcionamiento de los sitios, es condenable tal conducta debido a que la organización sirvió de fachada para dicho saboteo. Una agravante que se establece, es la que “abusando de una posición de confianza en la administración del sistema informático o siendo custodio de los datos contenidos en él en ejercicio de un cargo o función”
En cuanto a las formas eximentes de responsabilidad, surge la figura del “hacking ético”, como eximente para aquel sujeto que en el marco de las investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a los sistemas informáticos mediando la autorización del titular. También destaca la figura de la cooperación eficaz como atenuante, a quien entregue información que permita esclarecer los hechos, identificar a los responsables o incluso, prevenir la perpetración de alguno de dichos delitos.
Son las empresas de telecomunicaciones, las que por mandato de ley, puede el Ministerio Público solicitarles con o sin autorización judicial (dependiendo de la circunstancia) los datos que requieran, en virtud del deber de conservación de la información necesaria para lograr el total esclarecimiento de los hechos.
Debido a la mayor exposición por parte de las organizaciones, es recomendable que se sometan a la aplicación de un modelo de cumplimiento en el seno de sus actividades. Adecuando un correcto modelo de prevención de delitos, es posible mitigar el riesgo en la comisión de dichas conductas.
