Comentarios al Decreto Legislativo No. 1614 que modifica la Ley de Delitos Informáticos del Perú. Exposición de las principales diferencias con el texto legal anterior, así como de los principales problemas y deficiencias del D.L. No. 1614. Críticas a las modificaciones de los tipos penales de acceso ilícito y de fraude informático. Qué debe hacerse. Propuestas de solución.

1. Modifica Ley de Delitos
Informáticos
Decreto Legislativo No. 1614

2. Decreto Legislativo No. 1614
Modifica los Artículos 2 (tipificación del delito de Acceso Ilícito) y 8 (tipificación del
delito de fraude informático) de la Ley de Delitos Informáticos (Ley 30096 y
modificatorias).

3. Modificación del tipo penal de Acceso Ilícito
Antes de la modificación:
“Artículo 2. Acceso ilícito
El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático, siempre que se realice con vulneración de medidas de
seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a
noventa días-multa.
Será reprimido con la misma pena, el que accede a un sistema informático excediendo lo autorizado.”
Después de la modificación:
“Artículo 2. Acceso ilícito
El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático, o se excede en lo
autorizado, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta
a noventa días-multa.
Si el agente accede deliberada e ilegítimamente, en todo o en parte, al sistema informático vulnerando las
medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de
tres ni mayor de seis años y con ochenta a ciento veinte días-multa.

4. ● Se parte en dos el tipo penal: La redacción previa a la entrada en vigencia
del D.L. No. 1614 estaba estructurada en una sola secuencia de hechos
punibles que incorporaba en sí todas las posibilidades punibles bajo el
supuesto de comisión del delito de acceso ilícito. A partir de la modificación,
esta estructura deja de ser única y se divide en dos diferentes entre sí: la
primera referida al acceso deliberado e ilegítimo “a todo o en parte” de un
sistema informático, o exceder el límite de acceso autorizado. La segunda
viene referida al acceso deliberado e ilegítimo “en todo o en parte” al sistema
informático, vulnerando las medidas de seguridad establecidas para
impedirlo.
Principales diferencias:

5. Principales diferencias
● Al dividir el tipo penal se crean dos figuras diferentes de acceso ilícito que
tienen distinto tratamiento legal:
○ En la primera figura se penaliza el acceso deliberado e ilegítimo a todo o en parte de un
sistema informático, así como aquel acceso en el que el agente excede los términos de la
autorización recibida.
○ En la segunda figura se penaliza el acceso deliberado e ilegítimo en todo o en parte al
sistema informático, vulnerando las medidas de seguridad establecidas para impedirlo. Como
quiera que la pena para este supuesto es mayor que para el primero, se entiende que esta
segunda figura es un “agravante”, por lo que debe ser considerada como un caso de “acceso
ilícito agravado”.

6. Problemas identificados
● Deficiente redacción: La Convención de Budapest (CB) de la que el Perú es
parte, señala respecto al “acceso ilícito” que los países deben tipificar el
acceso “a todo o parte” de un sistema informático. La redacción original
contenida en la Ley 30096 era coherente con esta exigencia de la CB, pero a
partir de la Ley 30171 se varió a la forma “a todo o en parte”. En el DL No.
1614 se hace más cambio aún: en la primera figura de acceso ilícito se
mantiene la forma “a todo o en parte” de la Ley 30171, pero en el agravante
se cambia a “en todo o en parte”, que difiere y por mucho de lo que señala
la CB. Estos cambios sin razón alguna únicamente favorecen a la defensa
legal de quienes son procesados por este delito y perjudican la actividad de
la fiscalía y obstruyen la cooperación internacional.

7. Problemas identificados
● En la figura de “acceso ilícito agravado” se deja de lado al acceso ilegítimo y
deliberado que consiste en excederse del límite de la autorización de acceso,
cuando dicho exceso se logra materializar a través de la vulneración de las
medidas de seguridad establecidas para impedirlo. En ese sentido, resulta
incomprensible por qué esta conducta específica ha quedado fuera de la
forma agravada. Considero que esta situación debe ser corregida de
inmediato, ya que nada justifica que para unos casos se considere que la
vulneración de medidas de seguridad establecidas para impedir el acceso
ilícito merezcan penas más elevadas, pero para otros casos en los que se
recurre a lo mismo, se mantengan las penas del tipo básico.

8. Modificación del tipo penal de Fraude Informático
Antes de la modificación:
“Artículo 8. Fraude Informático
El que deliberada e ilegítimamente procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado,
supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena
privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días-multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días-multa cuando se afecte el patrimonio del Estado
destinado a fines asistenciales o a programas de apoyo social.”
Después de la modificación:
“Artículo 2. Fraude Informático
El que deliberada e ilegítimamente procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción,
alteración, borrado, supresión, clonación de datos informáticos, suplantación de interfaces o páginas web o cualquier interferencia o
manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de cuatro ni mayor de
ocho años y con sesenta a ciento veinte días-multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días multa cuando se afecte el
patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.
La misma pena se aplica al que intencionalmente colabora con la comisión de alguno de los supuestos de los párrafos precedentes,
facilitando la transferencia de activos.”

9. Problemas identificados
● Se introduce una conducta específica: “suplantación de interfaces o páginas
web” dentro de la relación de verbos rectores que conforman la estructura
conductual del tipo penal.
● Se reprime con las mismas penas, tanto las que corresponden a la comisión
de fraude informático básico como las correspondientes a la comisión de
fraude informático agravado, a quien intencionalmente colabora con la
comisión de alguno de los supuestos de fraude informático, facilitando
la transferencia de activos. Se entiende con esta modificación que queda
amarrado a las mismas penas que reprimen al fraude informático quien
ejecuta acciones independientes destinadas a facilitar la finalidad patrimonial
de conseguir un provecho ilícito para quien comete fraude informático o para
otro, en perjuicio de tercero.

10. ● Tanto en la Convención de Budapest (CB) como en la Ley de Delitos Informáticos ya está
incorporada una definición de “datos informáticos” que en la amplitud de sus términos ya
comprende los conceptos de interfaz y de página web, ya que estos dos últimos son en sí
mismos, sendos conjuntos de datos informáticos. En ese sentido, es completamente
innecesaria la modificación efectuada en este extremo, siendo contraproducente, pues se da
el erróneo mensaje al operador jurídico penal de que aquella conducta antijurídica que recae
sobre aquello técnicamente mencionado en el tipo penal en los términos amplios y genéricos
que recomienda la CB, carece de tipicidad pues se requiere una mención específica para
compensar un supuesto vacío que sólo existe en la imaginación del operador
deficientemente formado. Esto puede ser aprovechado por la defensa legal de los
procesados por fraude informático, ya que podrán argumentar la atipicidad cuando la
conducta denunciada no recaiga sobre una situación que se juzgue incorrectamente como
“no explícita” a causa de la deficiente formación técnico jurídica de un abogado, policía,
fiscal, juez o tribunal.
Problemas identificados

11. ● Cuando en el último párrafo se indica que “la misma pena se aplica al que intencionalmente colabora con
la comisión de alguno de los supuestos de los párrafos precedentes, facilitando la transferencia de
activos”, no se especifica si esa intencionalidad está vinculada al conocimiento de la comisión de un fraude
informático básico, o de un fraude informático agravado o al hecho de facilitar una simple colaboración
abierta para hacer posible una transferencia de activos que no podría realizarse si no se prestara dicha
colaboración. Por tal motivo, resulta desproporcionadamente excesivo que el mero acto de brindar datos
bancarios para materializar una transferencia, sin que en dicha colaboración se haya tenido conocimiento
alguno, por ejemplo, de la afectación del patrimonio del Estado destinado a fines asistenciales o a
programas de apoyo social, sea sancionado hasta con diez años de pena privativa de la libertad. Con esta
modificación se está penalizando una conducta que es habitual en el Perú, dada la deficiente educación
financiera que tiene la mayoría de la población del país. Cualquiera que por buena voluntad le haga un
favor a un vecino, amigo o conocido puede terminar preso por diez años o metido en un largo proceso
judicial.
La redacción de este párrafo final debe ser modificada urgentemente, para dejar en claro y de la manera
más explícita posible que sólo se aplican las mismas penas a quienes facilitan la transferencia de activos
con conocimiento de que los activos que se transfieren provienen de la comisión de un fraude informático.
Problemas identificados