Estafa informática
Categoría: Penal
Definición: La estafa informática es la modalidad agravada de estafa que se comete mediante manipulación informática o artificio semejante para conseguir la transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. Se regula en el art. 248.2 del Código Penal y se considera estafa cualificada por la utilización de medios informáticos.
La estafa informática se aparta del esquema clásico de la estafa (engaño-error-disposición) porque la víctima del engaño es el sistema informático, no una persona física. Por eso fue necesario un tipo específico que no exija el clásico «engaño bastante» en una persona.
Conductas típicas (art. 248.2 CP):
- Manipulación informática o artificio semejante.
- Conseguir transferencia no consentida de cualquier activo patrimonial.
- Perjuicio de otro.
- Ánimo de lucro.
Modalidades habituales:
- Phishing: suplantación de identidad de entidades bancarias o servicios para obtener credenciales. Cuando se usan para realizar transferencias, integra estafa informática.
- SIM swapping: clonación de tarjeta SIM para duplicar el teléfono de la víctima y captar SMS de verificación bancaria.
- BEC (Business Email Compromise): suplantación de correos corporativos para desviar pagos a cuentas controladas por los atacantes.
- Skimming: clonación de tarjetas en cajeros o TPV.
- Ransomware con extorsión patrimonial: cuando además del cifrado se exige pago en criptomonedas (concurso con coacciones o extorsión).
- Compraventa online fraudulenta: cuando se utiliza una plataforma simulada para captar pagos sin entregar el producto.
- Romance scam (estafa sentimental): cuando la manipulación incluye uso de sistemas informáticos automatizados o suplantación.
Penas:
- Tipo básico (art. 249 CP): prisión 6 meses a 3 años si cuantía superior a 400 €; delito leve (multa) si inferior.
- Agravada (art. 250.1.6 CP, manipulación informática): prisión de 1 a 6 años y multa. Suele aplicarse en casos cualificados.
Aspectos procesales:
- Competencia: el juzgado del lugar donde se produjo la lesión patrimonial (residencia o cuenta de la víctima), aunque el ataque proceda del extranjero.
- Investigación: trazabilidad de las transferencias, colaboración internacional, análisis forense de equipos.
- Responsabilidad civil bancaria: la jurisprudencia (TS y AAPP) ha establecido que el banco debe restituir las cantidades sustraídas cuando no aplicó medidas de seguridad razonables (autenticación reforzada del cliente conforme a la Directiva PSD2 y el RD-Ley 19/2018).
Fuentes oficiales: Código Penal (BOE) · INCIBE · Banco de España
Normativa aplicable
- Art. 248.2 CP (estafa informática)
- Art. 249 CP (pena básica)
- Art. 250.1.6 CP (manipulación informática agravada)
- Art. 250 CP (agravantes generales)