Escrito por Fernando Portilla Marzano (*)

SUMARIO: 1. Introducción, 2. Descripción del fenómeno, 3. Cibercrimen y Ciberdelitos, 4. Delitos informáticos, 5. Normativa Internacional y Nacional, 6. El delito de Acceso Ilícito y Atentado a la integridad de datos informáticos y/o sistemas informáticos, 7. El delito de Suplantación de Identidad (Phishing, Smishing, Vishing y Pharming), 8. El delito de Fraude Informático, 9. Mecanismos de prevención en empresas, 10. Comentarios Finales, y 11. Referencias Bibliográficas.

I. INTRODUCCIÓN.- 

No cabe duda de que nos encontramos en una sociedad caracterizada por constantes transformaciones, impulsadas por el desarrollo del ciberespacio y las nuevas tecnologías, las cuales permiten simplificar la vida y actividades de las personas y empresas, pudiendo realizar transacciones financieras ahorrando de esta manera tiempo y dinero. Empero, de estos nuevos escenarios, también se generan nuevos riesgos y oportunidades para la ejecución de ciberdelitos, los cuales dado el avance de las tecnologías se adecuan a estos cambios a fin de generar mecanismos ilícitos que les permitan, en el escenario de agravio a (i) las personas naturales, acceder a sus datos personales, robando su nombre, teléfono, domicilio, huella dactilar, imagen, información financiera, etc.; y por otro lado, en lo referente al agravio de las (ii) personas jurídica (empresas financieras), el ataque de sus sistemas operativos, donde muchas veces sufren el colapso de sus sistemas o el secuestro de información personal de todos sus clientes, dañando de esta forma no solo su imagen y nombre reputacional, sino la confianza que tiene la sociedad en el correcto funcionamiento del sistema financiero. Así, la apropiación y manipulación de datos personales —información de especial valor para las entidades del sistema financiero— se ha convertido en el núcleo de estas conductas ilícitas, generando un número creciente de víctimas y afectando de manera directa la confianza y estabilidad del sector. Por lo que, conscientes de la relevancia de proteger tales bienes jurídicos, el legislador promulgó la Ley N° 30096, Ley de Delitos Informáticos, con el objetivo de sancionar y disuadir estas prácticas delictivas que lesionan tanto a los particulares como al orden económico en general. Así pues, la importancia de esta norma se refleja en sus recientes modificaciones, destinadas a adecuarla al avance tecnológico y a las nuevas modalidades de fraude. Por citar un ejemplo de ellos, es la reciente incorporación, dentro de las figuras de fraude informático y suplantación de identidad, del delito consistente en la activación no consentida de una tarjeta SIM o de una línea de servicio móvil, práctica que hoy en día constituye una de las vías más utilizadas para acceder indebidamente a datos personales y, en consecuencia, a cuentas bancarias o líneas de crédito de las víctimas. 

Así, bajo esta premisa, el presente artículo examinará la responsabilidad penal derivada de la criminalidad informática y el daño estructural que esta ocasiona al sistema financiero. Razón por la cual se pondrá de relieve que, en estos supuestos, no solo se ven afectados los derechos patrimoniales del individuo, sino también la integridad operativa y la estabilidad institucional de las entidades financieras, las cuales se encuentran compelidas a implementar mecanismos de prevención y seguridad que garanticen la continuidad de sus operaciones y la confianza pública en el sistema.

II. DESCRIPCION DEL FENÓMENO.-

Ahora bien, conforme lo hemos desarrollado en nuestra introducción, la criminalidad informática en el sistema financiero constituye una de las expresiones más complejas de la delincuencia económica contemporánea, la cual va cobrando relevancia en nuestro país, conforme se van acrecentando los avances tecnológicos. Toda vez, que este fenómeno se caracteriza por la utilización de tecnologías digitales, redes de comunicación y sistemas informáticos como instrumentos para la comisión de ilícitos orientados a la afectación del patrimonio, la confianza y la estabilidad institucional de las entidades financieras. Que, a diferencia de la delincuencia tradicional, en la cual el contacto físico suele ser un elemento central, la criminalidad informática se ejecuta en un espacio desmaterializado (ciberespacio) que permite a los agentes desplegar conductas de suplantación de identidad, fraude electrónico, manipulación de datos, interceptación de comunicaciones y acceso indebido a sistemas. Todos ellos, teniendo como objetivo en común la obtención de un beneficio económico mediante el aprovechamiento ilícito de vulnerabilidades tecnológicas. Así, la especificidad del fenómeno radica en que el objeto material del ataque son los datos personales y financieros, insumos esenciales para la operatividad de bancos, cajas y demás instituciones del sector. En donde su apropiación ilegítima derivara en un doble efecto: por un lado, el perjuicio patrimonial directo de las víctimas individuales, que ven comprometidas sus cuentas, créditos o ahorros; y por otro, el daño sistémico a las instituciones financieras, que enfrentan pérdidas económicas, al generarse el deterioro de la confianza del público y el riesgo de afectación a la estabilidad del mercado.

III. CIBERCRIMEN Y CIBERDELITOS.-

Son muchos los eventos que pueden poner en peligro a los equipos, datos, redes o sistemas informáticos de los cuales gozan los usuarios y las entidades financieras, que pueden ser víctimas de estos ciberataques. Por ello, para determinar qué se entiende por un “cibercrimen”, resulta necesario señalar lo expuesto por el Centro Criptológico Nacional de Ciberseguridad de España, quienes lo definen como: “Toda acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas informáticos y telecomunicaciones o las infraestructuras que los soportan”. En la misma línea, el profesor Miro Llinares, señala que al referirnos al cibercrimen hacemos hincapié al “fenómeno de la criminalidad en el ciberespacio y en muchos casos, el termino cibercrimen para situar dentro de ese fenómeno a un tipo de comportamiento concreto”. 

Por lo que, se debe tener presente que los cibercrímenes en el ámbito económico no solo deben comprenderse como conductas que atentan contra la seguridad informática en abstracto, sino como verdaderas formas de criminalidad organizada que impactan directamente en los bienes jurídicos protegidos, tales como el patrimonio, la información financiera sensible y la confianza en el sistema financiero. Toda vez que esta afectación trasciende el plano individual de la víctima      y se proyecta como un juicio negativo que realiza la sociedad frente a la confianza que se tiene en la estabilidad y seguridad del sistema financiero  

IV. DELITOS INFORMÁTICOS.-

Así, en atención a lo anteriormente expuesto, cuando hablamos de delitos informáticos, comparto la posición del profesor Gustavo Arocena, quien delimita la figura de los delitos informáticos como “aquel injusto determinado en sus elementos por el tipo de la ley penal, conminado con pena y por el que el autor merece un reproche de culpabilidad que, utilizando a los sistemas informáticos como medio comisivo o teniendo aquellos, en parte o en todo, como su objeto, se vinculan con el tratamiento automáticos de datos”.  En esa línea y dada su naturaleza, cuando hablamos de delitos informáticos, es pertinente hacer una diferenciación entre lo que suele referirse a delitos informáticos propios y delitos informáticos impropios, donde al referirnos a (i) delitos informáticos propios, hacemos hincapié a aquellos supuestos delictivos que solamente pueden concebirse en la relación de la conducta del autor con un sistema informático, donde el delito solo puede presentarse cuando el delincuente desenvuelve su comportamiento mediante o en perjuicio de un sistema informático; y por otro lado tenemos a los (ii) delitos informáticos impropios, los cuales versan bajo aquella figura en la cual la modalidad delictiva se ejecuta bajo el empleo de un ordenador o medio de tecnología para la comisión de los delitos tradicionales, esto bajo una versión actualizada, de mayor peligrosidad y potencial nocivo que se presenta producto de los adelantos tecnológicos. En ese sentido, estos escenarios que permiten delimitar la figura de un delito informático han sido recogidos en nuestro país bajo la Ley      N° 30096, Ley de Delitos Informáticos, la misma que abordaremos en el siguiente apartado.

VI. NORMATIVA INTERNACIONAL Y NACIONAL.-

Cuando hablamos de delitos informáticos, lo más probable es que se nos venga a la mente la Ley N° 30096, Ley de Delitos Informáticos, sin embargo, a mérito de exponer el origen de dicha norma, y la razón por la cual se adecuo a nuestro ordenamiento jurídico es necesario tener presente normas internacionales que dieron pie a la correcta y continua delimitación de los delitos informáticos en nuestro país, tal es así que se tiene presente la siguiente normativa internacional y nacional:

• Convenio de Budapest (2001), “Convenio sobre la Ciberdelincuencia”

A través de este convenio se promueve la coordinación y cooperación entre países europeos y no europeos contra los ciberdelitos y cibercrimen, adaptando para ello las definiciones elementales del sistema informático, datos informáticos, proveedor de servicios y datos relativos al tráfico, ello con el objetivo de describir un modelo legislativo de tipificación de los ciberdelitos, tales como (a) delitos contra la confidencialidad, integridad, disponibilidad de los datos y sistemas informáticos, (b) delitos informáticos, (c) delitos relacionados con el contenido, (d) delitos relacionados con infracciones de la propiedad intelectual y otros; y (e) otras formas de responsabilidad y de sanción (tentativa y complicidad, responsabilidad de personas jurídicas, sanciones y medidas). 

• Directiva 2013/40/UE (2013) del Parlamento Europeo y del Consejo

Por medio de esta directiva, la Unión Europea buscó delimitar el accionar contra los ataques de ciberdelincuencia que existente contra los sistemas de información, actualizando a través de ella, aquellos ilícitos tipificados en la Convención de Budapest, realizando cambios de carácter nominal, renombrando a los delitos de ataque como “delitos de interferencia ilegal en los sistemas de información” y “ delitos de interferencia ilegal  en los datos”. Mientras otros son de carácter sustancial, ya que cambió el verbo rector en algunos ilícitos como “hacer inaccesibles” datos y sistemas informáticos. Recomendando mayor represión frente a estos ilícitos, cuando se comentan a través de organizaciones delictivas o cuando ocasionen grave daño o afecten intereses esenciales.

Así pues, ambas normas, configuran el marco general de la técnica legislativa, por el cual el legislador nacional ha buscado determinar la criminalización del comportamiento que se suscita en los ciberdelitos, y que daría origen a la siguiente ley:

• Ley N° 30096, Ley de Delitos informáticos

Si bien nuestro país en su Código Penal contemplaba las ya extintas figuras de un inicial bosquejo de delitos informáticos (artículos      207-A, 207-B y 207-C), seria con la adecuación a la normativa internacional que se iniciaría una verdadera regulación de la ciberdelincuencia informática en el Perú, con la implementación de la Ley N° 30096, la misma que desde su promulgación se ha encontrado abierta a múltiples modificaciones y actualizaciones, toda vez, que como lo señala el profesor Reyna Alfaro, “esta ley especial oporto por una concepción indefinida del fenómeno cibercriminal, pues se incorpora en el ordenamiento jurídico-penal peruano tanto a los delitos contra datos y sistemas informáticos (ciberdelitos), como algunas otras manifestaciones de delitos informáticos o computaciones en sentido amplio”. 

Ahora bien, y dado que el presente artículo, aborda la implicancia de los delitos informáticos en la afectación del sistema financiero, procederemos a desarrollar brevemente alguno de los ilícitos que son en la mayoría de los casos, perpetrados por los ciberdelincuentes

VI. El DELITO DE ACCESO ILÍCITO Y ATENTADO A LA INTEGRIDAD DE DATOS INFORMÁTICOS Y/O SISTEMAS INFORMÁTICOS.-

Dentro de la tipología penal vinculada a los delitos informáticos, resulta especialmente relevante, los referentes a los delitos de acceso ilícito y atentado contra la integridad de los datos y sistemas informáticos. Ello tomando en consideración, que en nuestro país se han producido múltiples episodios de ciberdelincuencia dirigidos contra entidades financieras, los cuales no solo han demostrado la vulnerabilidad de sus infraestructuras tecnológicas, y que como a consecuencia de ello, se genere un juicio negativo de la sociedad en atención a la confianza que existe en el sistema financiero, toda vez que estos ataques, comprometen la operatividad, veracidad y seguridad de la información que constituye la base operativa de las instituciones financieras, y que como a consecuencia de tales ataques, se hayan generado no solo un daño a las entidades financieras como a sus usuarios. Por lo que, en esa línea, resulta necesario abordar aquellos delitos que han impactado en el normal funcionamiento del sistema financiero, a fin de identificar el tipo objetivo y subjetivo de tales delitos, a fin de que tanto las empresas del sistema financiero como sus usuarios, puedan mitigar y evadir estos ilícitos que no solo produce pérdidas económicas inmediatas, sino que también socava la estabilidad del mercado y debilitan la confianza de sus usuarios.

VII. EL DELITO DE SUPLANTACIÓN DE IDENTIDAD (PHISHING, SMISHING, VISHING Y PHARMING).-

En la misma línea del apartado anterior, amerita que abordemos otro de los delitos informáticos que ha tenido mayor incidencia en el ámbito financiero, el delito de suplantación de identidad, el cual es uno de los ilícitos más recurrentes de ciberdelincuencia contra empresas del sistema financiero y sus usuarios, toda vez que afecta directamente la confianza y seguridad de los usuarios de las entidades financieras. Siendo que su configuración se basa en la captación fraudulenta de datos personales y credenciales de acceso, ello con la finalidad de obtener un beneficio patrimonial en perjuicio de los usuarios y las empresas del sistema financiero. Así también, se tiene identificado algunas de las modalidades más extendidas de este delito, los cual son el: Phishing (mediante la simulación de comunicaciones de empresas para obtener información como datos personales y/o financieros), Smishing (a través de un mensaje de texto (SMS) se busca que el usuario revele datos personales o instale un software malicioso en su celular sin que se percate, a fin de que este último acceda a sus datos personales y cuentas financieras), Vishing (a través de llamadas telefónicas, donde suplanta la identidad de representantes de las empresas financieras, se engañan a personas para obtener información de sus datos personales y cuentas financieras), y el Pharming (a través de un correo electrónico, parecido o al de la entidad financiera, se busca inducir en error a la víctima, a fin de que ingrese y registre sus datos personales y financieros). En esa línea, la peligrosidad de estas conductas radica en que no solo ocasionan pérdidas económicas cuantificables, sino que además erosionan la confianza en el sistema financiero, al exponer la vulnerabilidad de los mecanismos de seguridad digital frente a la ingeniería social y el fraude informático. 

VIII. EL DELITO DE FRAUDE INFORMÁTICO.-

Finalmente, corresponde abordar uno de los delitos informáticos que mayor grado de perturbación produce en el sistema financiero y en sus usuarios, el delito de fraude informático. Así, el citado delito, se configura cuando mediante el uso indebido o manipulación de programas y sistemas utilizados por las entidades, se vulnera dicha integridad, a fin de obtener un beneficio patrimonial ilegitimo en perjuicio de la entidad financieras o de sus usuarios. Ahora bien, entre las modalidades más recurrentes vinculadas a este delito, destacan la alteración de aplicaciones o programas bancarios, la clonación de sitios web oficiales y la captación fraudulenta de credenciales de acceso, a través de los cuales se secuestra información personal y financiera de los usuarios. Estas prácticas ilícitas impactan directamente en la seguridad de servicios esenciales del sector financiero, tales como la ejecución de transferencias electrónicas, la apertura de cuentas, las operaciones de comercio electrónico y la solicitud de créditos, todos ellos pilares de la confianza digital en el mercado financiero contemporáneo. Cabe precisar que el impacto del fraude informático no se limita a la pérdida económica inmediata, sino que trasciende a un nivel institucional y sistémico, al minar la confianza pública en los sistemas tecnológicos financieros. Toda vez, que  compromete la integridad de las transacciones electrónicas y de los mecanismos de seguridad, los cuales erosionan la credibilidad de las entidades financieras frente a los usuarios, generando un efecto multiplicador de desconfianza que puede repercutir en la estabilidad del propio sistema económico.

IX. MECANISMOS DE PREVENCIÓN EN EMPRESAS (COMPLIANCE DIGITAL).-

Cuando hablamos de una conducta preventiva, orientada a mitigar riesgos y posibles escenarios que pongan en peligro a la empresa, es inevitable que abordemos lo referente a una conducta de compliance, la misma que para el presente escenario nos remite a la existencia de un Compliance Digital,  el cual se proyecta como un programa de prevención de conductas que afecten la intangibilidad de los atributos de la información, configurando un parámetro de protección adecuado para los datos personales, el cual se vincula a la normativa existente para la protección de datos en el mundo digital, así la normativa que es aplicable en el entorno de empresas del sistema financiero, se suscribe a lo señalado por la Ley de Protección de Datos Personales (Ley N° 29733) y su Reglamento (D.S. N° 016-2024-JUS), los cuales tienen un alcance público      y privado, pues se dirige a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración público y de la administración privada, a fin de que apliquen medidas técnicas de seguridad y confidencialidad apropiadas según los datos que se traten, para lo cual se toma como referencia el nivel de protección adecuado que se sigue por estándares internacionales de la materia (NTP ISO/IEC 17799 EDI). 

Por lo que bajo esta prerrogativa, el Compliance Digital con el objetivo de ser un programa de prevención, debe contar con ciertos instrumentos esenciales, tales como (i) El código de conducta; (ii) las políticas de privacidad; y, (iii) la política de protección de datos. Donde el “código de conducta” tiene por objetivo que las entidades representativas de los titulares o encargados de tratamiento de datos personales de administración privada establezcan normas para el tratamiento de datos personales que tiendan a asegurar y mejorar las condiciones de operación de los sistemas de información en función de los principios rectores establecidos en la Ley de Protección de datos. Por su parte “las políticas de privacidad”, tienen como propósito preservar el derecho de información del titular de los datos personales, conforme lo requiere la Ley de Protección de datos; y finalmente, en lo referente a “la política de protección de datos”, conforme lo requiere la Autoridad Nacional de Protección de Datos Personales, es necesario un compromiso institucional y el involucramiento de sus autoridades para la protección de los datos personales que se administran.

Así, el Compliance Digital tiene especial trascendencia en aquellas organizaciones cuya actividad empresarial depende de la seguridad informática: las que integran el sistema financiero o las que brindan servicios información. En esa línea, los profesores Alice Hutchings, Russell G. Smith y  Lachlam James, señalan que “al tratarse de un aspecto crítico del negocio, estas organizaciones suelen mantener ocultos los incidentes de seguridad informática que se produzcan en su contra, fundamentalmente debido a los efectos reputaciones negativos que les generaría”, por lo que resulta necesario que las empresas implemente un programa de Compliance Digital a fin de que se ejecuten reglas de uso adecuado de los sistemas informáticos, previniendo posibles contingencias en agravio de la empresa y sus usuarios.

X. COMENTARIOS FINALES.-

• Conforme se ha expuesto en el presente artículo, nuestra ley de delitos informáticos, se encuentra constantemente retroalimentada por los cambios que implica el avance de la tecnología y los nuevos estándares de cibercriminalidad que puedan ejecutarse, a razón de ello, es que incluso ahora se sigan incorporando nuevas tipologías, tales como aquellos nuevos delitos incorporados por la Ley N° 32451, en las cuales se incorpora figuras delictivas frente a líneas móviles, y cuya afectación generan agravios en los titulares de dichos datos personales, toda vez que con su manipulación, no solo se accede a su registro de comunicaciones, sino que muchas billeteras digitales y aplicativos de entidades financieras, trabajan de la mano con la vinculación a tarjetas SIM y sistemas biométricos que autorizan la titularidad de los usuarios, razón por la cual, es menes tener presente estos delitos, por parte de los usuarios.

• La criminalidad informática constituye una manifestación contemporánea de la delincuencia económica. Por lo que, los delitos informáticos vinculados al sistema financiero deben entenderse como una forma evolucionada de criminalidad económica, donde la obtención ilícita de beneficios patrimoniales mediante tecnologías digitales afecta no solo a los usuarios individuales, sino también a la estabilidad institucional y a la confianza pública en el sistema financiero. Donde el Derecho Penal asume una función de protección estructural del orden económico, frente a la vulnerabilidad tecnológica creciente de las entidades financieras.

• La afectación penal es pluriofensiva y compromete bienes jurídicos individuales e institucionales. Toda vez, que la criminalidad informática no se agota en la lesión patrimonial o en la vulneración de datos personales, sino que impacta en bienes jurídicos pluriofensivos, como la integridad de la información, la identidad digital y la seguridad del mercado financiero. Esta naturaleza compleja justifica una interpretación amplia de los tipos penales previstos en la Ley N.º 30096, orientada a garantizar no solo la reparación individual, sino también la preservación de la confianza en las operaciones electrónicas y en la estabilidad del sistema bancario.

• La responsabilidad penal exige un enfoque integral que combine imputación individual y organizacional, En los delitos informáticos que afectan al sistema financiero, la responsabilidad penal no recae únicamente en el autor material del hecho, sino que se proyecta hacia las personas jurídicas, en virtud de la Ley N.º 30424. La falta de medidas adecuadas de ciberseguridad o la omisión de controles internos puede configurar culpa de organización, generando responsabilidad penal o administrativa para las entidades. Por ello, la imputación debe analizarse desde una doble dimensión: el acto doloso del agente y la deficiencia estructural de control dentro de la organización.

• Finalmente, el Compliance Digital es un instrumento esencial de prevención penal y de sostenibilidad institucional. Donde la prevención de la criminalidad informática requiere la implementación de un modelo de Compliance Digital que articule la protección de datos personales (Ley N.º 29733) con la gestión de riesgos operativos. Dicho modelo debe incluir códigos de conducta, políticas de privacidad y mecanismos de monitoreo continuo. De este modo, el cumplimiento normativo deja de ser una obligación meramente formal para convertirse en un instrumento de política criminal preventiva y de fortalecimiento reputacional del sistema financiero.

(*) Sobre el autor: Abogado por la Universidad Nacional Mayor de San Marcos, Egresado de la Maestría de Ciencias Penales en la Universidad San Martin de Porres, con Cursos de Especialización en Materia de Corporate Compliance, Derecho Penal Económico, Banca y Finanzas por la Universidad de Lima, Universidad de Piura y Universidad ESAN. Actualmente se desempeña como Abogado a cargo de los Proceso Penales en la Superintendencia de Banca, Seguros y AFP del Perú (Dpto. de Asuntos Contenciosos).

REFERENCIAS BIBLIOGRÁFICAS.

1. Arocena, G. A. (2023). Ciberseguridad, cibercrimen y nuevas tecnologías: Riesgos y respuestas jurídicas. Los ciberdelitos en la legislación comparada (1.ª ed.). México: Derecho Global.
2. CCN. (s. f.). Guía de seguridad (CCN-STIC-401): Glosario y abreviaturas. Recuperado de https://www.ccn-cert.cni.es/es/pdf/guias.html
3. Consejo de Europa. (2001). The Convention on Cybercrime (Budapest Convention). Recuperado de https://www.coe.int/en/web/cybercrime/the-budapest-convention
4. Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013. (2013). Relativa a los ataques contra los sistemas de información y por la que se deroga la Decisión Marco 2005/222/JAI del Consejo. Recuperado de https://www.boe.es/buscar/doc.php?id=DOUE-L-2013-81648
5. Hutchings, A., Smith, R. G., & James, L. (2015). Criminals in the cloud: Crime, security threats, and prevention measures. En R. G. Smith, R. C. C. Cheung & L. Y. C. Lau (Eds.), Cybercrime risks and responses (p. 147). London: Palgrave Macmillan. Recuperado de https://link.springer.com/chapter/10.1057/9781137474162_10#citeas
6. Miró Llinares, F. (2012). El cibercrimen: Fenomenología y criminología de la delincuencia en el ciberespacio (1.ª ed.). Madrid: Marcial Pons.
7. Reyna Alfaro, L. (2016). Criminalidad informática, crimen organizado e internacionalización del delito. Revista Internacional de Derecho Penal Contemporáneo.