Daños informáticos
Categoría: Penal
Definición: Los daños informáticos son los delitos que castigan la alteración, supresión o destrucción de datos informáticos, programas o documentos electrónicos ajenos, así como la obstaculización del funcionamiento de sistemas informáticos. Se regulan en los arts. 264 a 264 quater del Código Penal, en transposición de la Directiva 2013/40/UE sobre ataques a los sistemas de información.
Los daños informáticos son una de las figuras más relevantes de la ciberdelincuencia. España transpuso la Directiva 2013/40/UE introduciendo tipos específicos para los ataques a la integridad de los datos y de los sistemas.
Tipos del Código Penal:
- Daños a datos, programas o documentos electrónicos (art. 264 CP): borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas o documentos electrónicos ajenos, cuando el resultado sea grave. Pena: prisión 6 meses a 3 años.
- Obstaculización de sistemas informáticos (art. 264 bis CP): obstaculizar o interrumpir gravemente el funcionamiento de un sistema informático ajeno (ataques DDoS, ransomware). Pena: prisión 6 meses a 3 años.
- Producción, adquisición o facilitación de instrumentos para cometer estos delitos (art. 264 ter CP): software malicioso, contraseñas, códigos. Pena: prisión 6 meses a 2 años o multa.
- Tipos agravados (art. 264 quater CP): cuando el sujeto activo sea persona jurídica, organización criminal, afecte a infraestructuras críticas, sistemas de seguridad pública, etc. Pena de prisión 1-5 años, además de las penas a la persona jurídica.
Concurrencia con otros delitos:
- Intrusión informática (art. 197 bis CP): acceder sin autorización a un sistema; figura distinta de los daños, aunque a menudo se combinan en cibertaques.
- Descubrimiento y revelación de secretos (art. 197 CP): cuando del ataque se obtiene información personal o empresarial.
- Estafa informática (art. 248.2 CP): manipulación informática con ánimo de lucro y perjuicio patrimonial.
- Coacciones y extorsión: en ataques de ransomware con exigencia de rescate.
Particularidades probatorias:
- La cadena de custodia digital es esencial: la captura, análisis y conservación de evidencias informáticas debe seguir protocolos forenses estándar (ISO 27037).
- Colaboración con proveedores de servicios de internet y fuerzas y cuerpos de seguridad especializadas (BIT de la Guardia Civil, Brigada Investigación Tecnológica de Policía Nacional).
- Coordinación internacional vía el Convenio de Budapest de 2001 sobre ciberdelincuencia.
El Reglamento UE 2016/679 (RGPD) impone obligaciones de notificación de brechas de seguridad a la AEPD y a los afectados, compatibles con la persecución penal.
Fuentes oficiales: Código Penal (BOE) · INCIBE — Instituto Nacional de Ciberseguridad · Directiva 2013/40/UE (EUR-Lex)
Normativa aplicable
- Arts. 264-264 quater CP
- Directiva 2013/40/UE
- Convenio Budapest 2001 ciberdelincuencia
- Art. 197 CP (intrusión informática)
- Reglamento UE 2016/679 RGPD