Hoy en día, es bien conocido el hecho de que se producen a diario miles de ciber delitos en el entorno de Internet. Debido a ello, ya se están introduciendo reformas en los códigos penales de diferentes países con la finalidad de tipificar éstos tipos de delitos. De hecho, en España fue introducido el delito de Ciber Estafa en el artículo 248 apartado segundo del Código Penal español, el 23 de diciembre de 2010.

Dicho artículo establece que, cometerán ciber estafa o estafa informática cualquiera que «con ánimo de lucro utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno»; con el añadido de que «valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida». Habría que matizar en este caso, que también sería ciber estafa aunque consigan una transferencia consentida si se hubiera conseguido engañando a los usuarios. Ya que en este caso el consentimiento sería nulo o inválido.

La sanción que cumpliría quienes cometieran éstos delitos podría ser de 6 meses hasta 6 años de prisión y un añadido de multa por 12 meses. Es decir, la sanción será mayor dependiendo de la gravedad de la ciber estafa y de la cantidad defraudada. Por ejemplo, cuando se superan los 50 mil euros, afecte a un número elevado de personas u otros supuestos recogidos en el artículo 250 del Código Penal.

Con el finalidad de tener una visión más práctica de este ciber crimen, analizaremos una de las sentencias pioneras del Tribunal Supremo, en la que se recoge el delito de ciber estafa. La STS, de la Sala de lo Penal, Nº 92/2017, de 16 de febrero, Recurso Nº 1245/2016, caso MAYASA, con la intervención del excelentísimo Sr. D. Cándido Conde-Pumpido Tourón.

Hechos: Los acusados, actuaban principalmente desde Nigeria y España. Éstos decidieron aprovecharse del prestigio internacional de MAYASA, MINAS DE ALMADÉN Y ARRAYANES S.A, empresa española dedicada a la explotación y comercialización de mercurio, para obtener un beneficio económico injustificado, a cuyo efecto registraron el dominio http://www.mayasaespana.com.

En este dominio, crearon una web imitando el estilo, diseño y contenido de la página web “www.mayasa.es”, eliminando los datos de contacto auténticos y sustituyéndolos por otros, de tal manera que cuando los clientes de MAYASA accedían por error a la página webwww.mayasaespana.com, se les facilitaban teléfonos de contacto y direcciones de correo electrónico que correspondían a personas que actuaban conjuntamente con quienes habían creado la página web estafadora.

Los clientes de MAYASA, creyendo estar en contacto con empleados o agentes comerciales de dicha entidad, contactaron con personas que nada tenían que ver con la empresa, quienes, actuando en colaboración con quienes habían creado la página web fraudulenta, ofrecían partidas de mercurio a precios muy competitivos, exigiendo que se remitiera a las cuentas por ellos designadas cantidades en efectivo por adelantado. A través de este procedimiento obtienen cuantiosas sumas de diferentes clientes, en concepto de señal o como confirmación de los pedidos, alcanzando un total de más de 150 mil euros.

De éstos hechos podemos comprobar que se cumplen con los requisitos establecidos en el artículo 248 del Código Penal, ya que existe claramente un ánimo de obtener un beneficio económico que se consigue a través de una manipulación informática y de medios artificiosos que engañan al usuario haciendole creer que está manteniendo una relación comercial con la empresa oficial, pero en realidad no es así.

Además, se puede apreciar un delito de phishing o suplantación de identidad, con la particularidad de que en este caso se produce sobre una persona jurídica que es la empresa MAYASA. Y con ello, también se le estaría causando a esta empresa un daño reputacional ya que los ciber delincuentes estarían cometiendo delitos en su nombre, valiéndose del prestigio que ésta tiene en el mercado.

Como veíamos en los hechos señalados, para suplantar la identidad de la persona jurídica los acusados crean y registran una página web muy similar hasta el punto de que el usuario es incapaz de diferenciar entre la empresa oficial y la estafadora. Para lograr su objetivo: duplicaron el contenido y aspecto de la página web oficial; e incluso copiaron el mismo patrón que sigue la web oficial cuando el usuario navega por ella. La jurisprudencia americana recoge este hecho como el «Look and feel«.

Otros datos relevantes del caso: Los acusados se habían puesto de acuerdo con las personas que, desde Nigeria, crearon las páginas web en imitación de la original «www.mayasa.es», y que formaban parte del grupo de personas encargadas de abrir las cuentas corrientes donde se producirían los ingresos y remitir posteriormente las cantidades obtenidas fuera del país, bien directamente mediante transferencias a empresas extranjeras, o mediante sucesivas retiradas de dinero en efectivo, para su posterior reenvío al extranjero.

De éstos últimos datos y de los mencionados previamente, es posible vislumbrar una conducta reiterada por parte de los ciber criminales ya que el dinero proviene de diferentes víctimas y éstos actos tienen lugar en diferentes fechas. Con lo que nos podría llevar a un delito continuado de estafa. A ello, se le ha de sumaría un delito continuado de falsedad en documentos mercantiles, ya que para asegurar la creencia de que los clientes están en contacto con MAYASA, pues han de suministrar contratos en donde aparezcan la identificación fiscal de la empresa, el domicilio social, entre otros; emitir presupuestos y confeccionar facturas.

Por otro lado, al formar un grupo coordinado de personas que son necesarias para la consecución del ciber crimen, se podría sancionar a los acusados por participación en organización criminal. Para que se dé este caso, la agrupación ha de estar formada por más de dos personas, ha de tener una cierta estabilidad en el tiempo, y que de manera coordinada se repartan diversas tareas o funciones con el propósito de cometer delitos.

Finalmente el Tribunal Supremo condena a los acusados por los siguientes delitos:

Delito continuado de estafa en base a los artículos 248, 249, 250.1.5º y 74.2 del Código Penal. Y los elementos que tiene en cuenta el tribunal son los siguientes:

1º) El engaño precedente y concurrente.

2º) La suficiencia del engaño.

3º) La producción de un error esencial en los sujetos pasivos.

4º) Un acto de disposición patrimonial con el consiguiente perjuicio para la víctima,  a consecuencia del error y en definitiva del engaño desencadenante del mismo.

5º) El ánimo de lucro, como elemento subjetivo del injusto.

6º) La relación de causalidad entre el engaño provocado y el perjuicio experimentado.

Delito continuado de falsedad en documento mercantil (arts. 390.1.2º, 392 y 74.1 del Código Penal). Este delito se aprecia en la actuación conjunta de los acusados, elaborando diversos documentos para engañar a los perjudicados.

Delito de participación en organización criminal (art. 570-bis del Código Penal). En este artículo se establece que se sanciona a «quienes promovieren, constituyeren, organizan, o dirigieren una organización criminal», y a quienes «participen activamente en la organización, formaren parte de ella o cooperaren económicamente o de cualquier otro modo», lo que indudablemente concurre en el supuesto analizado. Ya que la ciber organización criminal actual con cierta estabilidad y reparto de tareas, además de la sofisticación acreditada en el procedimiento de diseñado y confeccionado para engañar a través de medios informáticos a una serie de empresas internacionales que pasan a ser víctimas de una ciber estafa.

Aparte de los delitos señalados por el Tribunal Supremo, también se estarían produciéndose infracciones con respecto a la propiedad industrial, intelectual, e incluso en el ámbito de la competencia desleal.

En cuanto a propiedad industrial, se estaría dando lugar a una infracción del artículo 34.2 b) de la Ley de Marcas, ya que los ciber estafadores generan un riesgo de confusión y asociación a los potenciales clientes debido a que no pueden diferenciar con facilidad si están contratando con la empresa oficial o no.

En cuanto a la propiedad intelectual, se estaría infringiendo el artículo 20.2 letra i) de la Ley de Propiedad Intelectual, ya que se trataría de una puesta a disposición del público el hecho de copiar el contenido tanto de los textos como de las imágenes que aparecen en la página oficial. Además, en el ámbito de Internet para éstos casos se suele aplicar la Digital Millennium Copyright Act (DMCA), al poseer una aplicación casi universal debido a que los principales motores de búsquedas, redes sociales y marketplaces se encuentran alojados en Estados Unidos de America, por lo que por ejemplo sería de aplicación en Google, Yahoo!, Bing, DuckDuckGo, Facebook, Twitter, Amazon, etc. Esta norma permite a los propietarios de derechos de copyright defender sus intereses en el ámbito digital, de una manera más rápida y sencilla, sin la necesidad de acudir a tribunales.

En cuanto a la competencia desleal, se estarían cometiendo: actos de confusión recogidos en el art. 6 LCD, actos de imitación del art. 11 LCD, explotación indebida de la reputación de una marca ajena del art. 12 LCD, y prácticas engañosas por confusión del art. 25 LCD.

Para evitar la fuga de potenciales clientes asustados por los hechos ocurridos y un daño reputacional mayor, MAYASA decide publicar un aviso en el que reconoce que ha sido víctima de una suplantación de identidad, como se puede ver en la siguiente captura de pantalla.

 

Al analizar esta sentencia nos hemos percatado de que los ciber delincuentes cada vez se hacen con medios más eficaces y sofisticados, para aprovecharse de la reputación y del esfuerzo ajeno. Ya que muchos ven más fácil acudir a ese tipo de prácticas para ganarse la vida, en vez de tener una iniciativa propia y apostar por ella. Y se arriesgan a ello porque si nos basaremos en el dilema del prisionero seguramente vean más ventajas que desventajas al cometer éstos tipos de delitos, debido a que en la mayoría de los casos en la práctica es difícil  sancionar a los ciber criminales que actúan desde un tercer país, además de brindarse del anonimato que les provee Internet.