Embed Size (px)
Citation preview
ITIP UPDATE 2011
Seminario “Delitos informáticos”
Cuestiones de práctica procesal
Alicante, 7 de junio de 2011
Mario Pomares Caballero
ÍNDICE
1. EL PHISHING EN EL SECTOR BANCARIO
2. JUZGADOS COMPETENTES TERRITORIALMENTE
3. CALIFICACIÓN
4. LA INSTRUCCIÓN
5. CULPABILIDAD DE LOS MULEROS
6. RESPONSABILIDAD CIVIL DE LAS ENTIDADES
FINANCIERAS
El PHISHING EN EL SECTOR BANCARIO
Forma de estafa informática que comprende las siguientesfases:
Los phishers (promotores de la estafa), a través de falsasofertas de empleo enviadas a través de spam, captancolaboradores que actuarán como intermediarios en el paíselegido para la realización de los fraudes (muleros).
Los muleros, por indicación de los phishers, aperturancuentas bancarias donde recibirán transferencias de dinero.
Obtención de contraseñas y claves de acceso a cuentas debanca electrónica a través de manipulaciones informáticas:spam, troyanos, web spoofing, etc.
Los phishers transfieren el dinero a las cuentas de losmuleros.
Los muleros retiran el dinero, que envían a países del esteprevia deducción de una comisión
COMPETENCIA JUDICIAL TERRITORIAL ¿QUÉ
JUZGADOS SON COMPETENTES
TERRITORIALMENTE?
Art. 14 LECrim: Forum delicti comissi
Es competente para la instrucción y para el conocimiento y
fallo de las causas el Juez (de Instrucción o de lo Penal) del
lugar donde el delito se haya cometido.
Acuerdo no jurisdiccional del Pleno del TS de 3 de febrero de
2005:
“El delito se comete en todas las jurisdicciones en las que se
haya realizado algún elemento del tipo. En consecuencia, el
Juez de cualquiera de ellas que primero haya iniciado las
actuaciones procesales será en principio competente para la
instrucción de la causa”
(teoría de la ubicuidad)
CALIFICACIÓN
“Estafa informática”
Art. 248.2 CP
“También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de algunamanipulación informática o artificio semejante, consigan unatransferencia no consentida de cualquier activo patrimonialen perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeran o facilitarenprogramas informáticos específicamente destinados a lacomisión de las estafas previstas en este artículo”.
Cubre laguna – estas modalidades de defraudaciones nopueden incluirse en la estafa tradicional (engaño) ni en eldelito de apropiación indebida (depósito, comisión oadministración con la obligación de entregarlos odevolverlos)
LA INSTRUCCIÓN
Art. 299 LECrim.:
“Constituyen el sumario las actuaciones encaminadas a
preparar el juicio y practicadas para averiguar y hacer
constar la perpetración de los delitos con todas las
circunstancias que puedan influir en su calificación, y la
culpabilidad de los delincuentes, asegurando sus personas y
las responsabilidades pecuniarias de los mismos”
LA INSTRUCCIÓN
DOCUMENTAL
Extractos bancarios de las transferencias (entidad de
origen y destino) en los que consten todos los detalles de
las mismas (fecha, hora, importe, cuenta de cargo y
cuenta de abono)
Certificaciones bancarias de la titularidad de las cuentas
Listado de accesos a la cuenta de banca electrónica del
perjudicado el día en que se produjo la transferencia
Justificante de abono del Banco
LA INSTRUCCIÓN
INFORME DELINCUENCIA ECONÓMICA
Hechos investigados se corresponden con delincuencia
económica especializada (phishing)
Imposibilidad de conocer la identidad del que realiza la
transferencia: IPs clonadas, ordenadores zombies,
cibercafés
INTERROGATORIO TITULAR IP:
Completo desconocimiento de los hechos
Ausencia de vínculo con el ordenante y con el beneficiario
Ausencia de conocimientos informáticos
LA INSTRUCCIÓN
INTERROGATORIO PERJUDICADO:
Grado de conocimiento sobre la transferencia
Ausencia de vínculo con el beneficiario
Servicio de banca electrónica
¿Algún correo del banco solicitándole sus claves de acceso?
¿Imposibilidad de ejecutar una operación desde la supuesta
Web de su banco? ¿Introducción reiterada de sus claves?
INTERROGATORIO MULERO
Circunstancias personales: trabajo, nivel de estudios, etc.
Ausencia de vínculo con el “ordenante”
Vínculo con el beneficiario
Disposición del dinero con evidente ánimo de
enriquecimiento. Western Union - MoneyGram.
Ignorancia deliberada - Completo desconocimiento del
entramado pero hubo de tener sospechas más que fundadas
de la antijuridicidad de su conducta
LA INSTRUCCIÓN
LA INSTRUCCIÓN
DIFICULTADES
Archivo de procedimientos ante la imposibilidad de llegar a
los autores del phishing
Huída de los “muleros” a países como Rusia, donde la
cooperación judicial y policial es nula
Residentes en otros países comunitarios, normalmente
Portugal y países del este europeo: importancia de la
emisión de comisiones rogatorias a las autoridades
judiciales, orden de detención europea, orden de detención
internacional
Pericial. No suele dar resultados y en algunos casos es
imposible practicarla dado que la víctima ha formateado su
ordenador
CULPABILIDAD DE LOS MULEROS
Elementos del tipo
Maquinación informática o artificio semejante
Transferencia no consentida
Causación de perjuicio patrimonial a tercero
Relación de causalidad entre la manipulación informática y elperjuicio patrimonial
Elemento subjetivo: ánimo de lucro
+ Dolo genérico de conocimiento y voluntad de la ilicitud dela conducta
Art. 248. CP: “Los que, con ánimo de lucro y valiéndose dealguna manipulación informática o artificio semejante,consigan una transferencia no consentida de cualquier activopatrimonial en perjuicio de otro”
CULPABILIDAD DE LOS MULEROS
La prueba indiciaria como elemento de cargo.
STC 174/1985 y posteriores:
A falta de prueba directa de cargo, también la prueba
indiciaria puede sustentar un pronunciamiento de condena
sin menoscabo del derecho a la presunción de inocencia,
siempre que:
A) Parta de hechos plenamente probados
B) Los hechos constitutivos del delito se deduzcan de los
indicios a través de un proceso mental razonado y acorde
con las reglas del criterio humano (canon: lógica, cohesión,
suficiencia, calidad concluyente)
CULPABILIDAD DE LOS MULEROS SEGÚN LA
JURISPRUDENCIA
Argumentos defensivos
Desconocimiento de la ilegalidad de lo que hacían
Desconocimiento del origen ilícito de las transferencias
Prueba indiciaria
Ausencia de conocimientos de informática
Inexistencia de engaño
No necesarios
(¿cómplices, cooperadores, autores?)
CULPABILIDAD DE LOS MULEROS SEGÚN LA
JURISPRUDENCIA
Sentencia AP de Vizcaya de 9 de mayo de 2006
“Acreditados los elementos objetivos del tipo penal, la
siguiente fase consiste en determinar si también concurren
los elementos subjetivos, lo que en el caso supone el
conocimiento del origen ilícito de las cantidades transferidas
a las cuentas abiertas por el acusado, conocimiento que no
necesariamente ha de comprender todos los detalles de la
operación fraudulenta, sino que basta con que abarque la
fundada probabilidad de que su procedencia es delictiva.
Y en este sentido, siguiendo el desarrollo argumental de la
sentencia apelada, la prueba indirecta o indiciaria lleva a
concluir sin género de duda razonable que Felipe sabía que
el origen y el destino de los fondos era ilícito”
CULPABILIDAD DE LOS MULEROS SEGÚN LA
JURISPRUDENCIA
Sentencia del TS de 12 de junio de 2007. Asunto “Citibank”
Ignorancia deliberada
tuvieron un conocimiento puntual del dinero que pasaba por sus cuentas ydel que disponían íntegramente, bien fuese para ellos mismos, bien paraentregar a un tercero
estaban al corriente, al menos de forma limitada, de la operación
Se argumenta que los recurrentes no conocían el resto de la red deimplicados y podemos añadir que no le era necesario ese conocimiento
la ignorancia del resto del operativo no borra ni disminuye su culpabilidadporque fueron conscientes de la antijuridicidad de su conducta, prestandosu conformidad con un evidente ánimo de enriquecimiento, ya supieran, noquisieran saber –ignorancia deliberada–, o les fuera indiferente el origendel dinero que en cantidad tan relevante recibieron. Lo relevante es que sebeneficiaron con todo, o, más probablemente, en parte como "pago" de susservicios
la "explicación" que dieron de que no pensaban que efectuaban algo ilícitoes de un angelismo que se desmorona por sí sólo
CULPABILIDAD DE LOS MULEROS SEGÚN LA
JURISPRUDENCIA
Sentencia AP de Burgos de 14 de diciembre de 2007
Argumento defensivo: “desconocimiento de la ilegalidad de
la actuación”
Prueba indiciaria de cargo:
Diplomada en Ciencias Empresariales: conocimientos
específicos en materia económica y bancaria
Subdirectora de entidad bancaria
Desconocía la identidad de la titular de las cantidades
recibidas, del destinatario en Rusia de sus transferencias y la
causa de las mismas
RESPONSABILIDAD CIVIL DE LAS ENTIDADES
FINANCIERAS
Memoria del Servicio de Reclamaciones del Banco de España de2007. “Traslación al cliente de transferencias fraudulentasrealizadas a través de Internet”
El uso fraudulento puede deberse a negligencia de los clientes perotambién a falta de información o vulnerabilidad de los sistemas deautenticación
Principios de buenas prácticas bancarias:
De información: precontractual, contractual, formación yasesoramiento
De diligencia: recuperación de los fondos
De responsabilidad: buen funcionamiento y seguridad del sistema
“No es equitativo ni acorde con las buenas prácticas bancariashacer recaer automáticamente la negligencia o culpa y elconsiguiente perjuicio en el cliente que sufre el fraude”
RESPONSABILIDAD CIVIL DE LAS ENTIDADES
FINANCIERAS
Sentencia del Juzgado de Primera Instancia nº 2 de
Castellón de 25 de junio de 2008
Condena a la entidad bancaria a restituir la suma de las
trasferencias fraudulentas realizadas en perjuicio del cliente
Cláusulas del contrato de exención de responsabilidad por la
utilización fraudulenta de las claves – inválidas
No se acredita que la Caja facilitara al cliente las
advertencias necesarias para evitar el fraude en el comercio
electrónico (Recomendaciones de seguridad)
RESPONSABILIDAD CIVIL DE LAS ENTIDADES
FINANCIERAS
Sentencia del Juzgado de Primera Instancia nº 9 de
Valladolid de 10 de marzo de 2009
Concurrencia de culpas entre el Banco y el cliente.
Compensación de responsabilidades: 50%
Actitud negligente del actor – proporcionó a terceros sus
claves sin atender a las más elementales normas de
seguridad de la banca online
Falta de diligencia del Banco
No informó sobre el ataque de phishing
Permitió disposiciones por encima del límite contractual
Tardó dos días en solicitar el dinero a los bancos a donde
fueron hechas las transferencias
