Mucho se dice sobre el exponencial aumento de los casos de ciberdelincuencia, particularmente tras el auge del mundo digital que trajo la pandemia. Aunque es común ver críticas tanto a jueces como a fiscales, poco se dice sobre la falta de técnica legislativa que puede llegar a comprometer la prosperidad de un proceso penal o la imposición de una pena justa y proporcional.
Tomemos, por ejemplo, el artículo 269G del Código Penal, que consagra la suplantación de sitios web para capturar datos personales. De la lectura de la exposición de motivos de la ley 1273 de 2009, se desprende la intención del legislador de tipificar lo que en el argot de la informática se conoce como phishing. No obstante, la falta de técnica a la hora de redactar el tipo penal ha dado pie a que, cuando estas conductas ocurren, dicho artículo no resulte suficiente.
El primer inciso del artículo 269G contempla una conducta autónoma respecto del resto del artículo. Este prevé como conducta típica el diseño, desarrollo, tráfico, venta, ejecución, programación o envío de páginas electrónicas, enlaces o ventanas emergentes, con objeto o fin ilícito; sin hacer referencia a que la página creada deba ser falsa o deba ser un clon de otra que se pretende suplantar. Basta el “objeto ilícito”, cuya prueba, por tratarse de un elemento subjetivo, resulta más compleja que aquella que habría bastado para probar hechos objetivos (como la semejanza de una página web), de haber sido tipificados directamente en este inciso.
El inciso segundo, por su parte, hace referencia a “modificar el sistema de resolución de nombres de dominio” para que una persona ingrese a una página distinta de la que cree estar accediendo. A pesar de que el phishing se logra a través del redireccionamiento no consentido del usuario a otra página web e implica la efectiva captación de sus datos, el delito del 269G no contempla en ninguno de sus incisos los verbos “obtener” o “interceptar” los datos informáticos o datos personales del usuario que es engañado. Así, el delito se consuma tan pronto el usuario víctima “accede” a la página web “carnada” (de ahí el nombre phishing) creyendo que se encuentra en otra. Realmente el delito castiga el pharming como delito medio (autónomo) para cometer phishing, a pesar de que podría encuadrarse como una tentativa de este último.
Esta falta de técnica legislativa puede llegar repercutir en el desempeño de la Fiscalía General de la Nación, pues no resulta eficiente tener que imputar tres o más delitos por una conducta que por lo general solo se advierte tras la afectación patrimonial y que, bien redactada, habría podido regularse a través de un solo artículo. De igual forma, en la práctica esta dispersión del phishing en múltiples artículos genera el riesgo de que, la hora de imputar, algún delito quede por fuera o que la teoría del caso y las pruebas se enfoquen en demostrar un tipo penal, descuidando los demás, circunstancias que pueden repercutir en la cuantía de la pena o incluso generar absolución por duda razonable.
Vemos entonces que, en algunos casos, la necesidad de actualizar tipos penales no es una cuestión de populismo punitivo, como el caso de los delitos informáticos. La necesidad de su revisión obedece a que, de la claridad de los tipos penales y de su consecuente capacidad para cobijar con precisión las conductas que pretenden sancionarse, depende la prosperidad de un proceso. Es una cuestión de técnica legislativa, y no de expansión del derecho penal.
