¿En qué consiste el delito de intrusismo informático?

Contenido extractado de la Obra «Derecho penal e Internet». (Javier Gustavo Fernández Teruelo. Lex Nova, 1.ª edición, octubre 2011).

La Ley Orgánica 5/2010 de reforma del Código Penal introdujo en nuestra legislación el delito de acceso ilícito a sistemas informáticos ajenos, también conocido como «intrusismo informático». En concreto, se añadió un tercer apartado al artículo 197 CP, cuya redacción es la siguiente: «El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años».

[...].

Desde el punto de vista de la acción, el delito se configura como un tipo mixto alternativo y, así, se castiga tanto el acceso a datos o programas informáticos ajenos a través de un sistema informático como el mantenerse dentro de él sin autorización. Tales comportamientos deberán llevarse a cabo: a) por cualquier medio o procedimiento, y, b) vulnerando las medidas de seguridad establecidas para impedirlo. La primera configura el tipo como un delito de medios indeterminados, en el que lo relevante es el resultado (conseguir el acceso a datos o programas informáticos insertos en un sistema informático), independientemente de cómo se consiga. Caben, por lo tanto, todo tipo de fórmulas, tanto físicas como virtuales (directas o remotas); así, el acceso físico directo al sistema en el propio ordenador de la víctima o el control remoto de éste u obtención de los datos mediante aplicaciones que así lo permitan. Suele recurrirse a programas maliciosos destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Son instalados en el ordenador de destino abriendo una puerta para el acceso al sistema (puede ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o spyware).

En cuanto a la segunda exigencia («vulnerando las medidas de seguridad establecidas para impedirlo») ésta plasma la idea, a mi juicio correcta, de limitar los supuestos típicos, cargando el desvalor del tipo en las maniobras dirigidas a la desactivación de las medidas de seguridad. Simultáneamente, la tutela penal estará exigiendo una mínima autoprotección de las eventuales víctimas a través del establecimiento de fórmulas específicas limitadoras de accesos no deseados al sistema; se trata, en definitiva, de todas aquellas fórmulas que pongan de manifiesto un específico interés por excluir a los demás del acceso al sistema propio y a la información en él contenida. Son límites de actuación basados en una mínima diligencia por parte de la víctima (similar, por ejemplo, a la exigencia de que el engaño sea «bastante» en la estafa y su interpretación respecto a la necesidad de una mínima autotutela por parte de la víctima). La exigencia de autoprotección convertirá en atípicos supuestos en que dicha protección no exista o no esté siendo utilizada y, por lo tanto, no sea necesaria su vulneración. El problema radicará en la determinación de los límites y el alcance de la autoprotección. Indudablemente, el nivel de exigencia habrá de ser distinto si se trata de particulares que si se trata de empresas. Es relevante a estos efectos la existencia de servicios de gestión no bloqueados, en firewall, la gestión incorrecta de contraseñas, los desarrollos de páginas web inseguras, las aplicaciones no parcheadas, etc. El precepto parece referirse sólo a medidas de carácter informático (software/hardware), quedando, aparentemente, excluidas las formas físicas de protección.