Incriminación de programas informáticos ‘de doble uso’ y técnicas de anticipación de la tutela penal

Revista Nº 61 Oct.-Dic. 2017

Ivan Salvadori 

Investigador de la Universidad de Verona, 

Doctor Europeo en Derecho penal económico 

e informático por la Universidad de Verona 

(Italia) 

Sumario

El artículo aborda el concepto de “programas de computación de doble uso”, su relación con el derecho penal, partiendo del marco general de la criminalidad informática. De otro lado, es un estudio sobre las formas de incriminación de las conductas que tienen por objeto estos programas con base en las obligaciones internacionales y el derecho penal preventivo. 

Temas relacionados

Delitos informáticos; cibercrimen; programas informáticos de doble uso; software peligroso; lesión y puesta en peligro del bien jurídico. 

1. Introducción

En las últimas décadas, en consecuencia del imparable desarrollo tecnológico, han aumentado de manera significativa las posibilidades de atacar no solamente bienes jurídicos tradicionales (patrimonio, honor, propiedad intelectual, libertad de autodeterminación en ámbito sexual, etc.), sino también intereses “merecedores” y “necesitados” de protección penal totalmente nuevos, como la intimidad informática, la integridad y la disponibilidad de datos y de sistemas informáticos(1). Se asiste así a un considerable aumento de los delitos informáticos y en particular de los delitos cibernéticos (cyber crimes), cometidos a través de las redes telemáticas e internet.

Normalmente, la comisión de estos delitos no requiere elevados conocimientos informáticos. Para lesionar el honor de una persona por medio de la web es suficiente publicar un mensaje injurioso en un blog o en una red social. Lo mismo dígase en relación con los cada vez más frecuentes casos de embaucamiento de menores con fines sexuales por medios tecnológicos (child-grooming), por la difusión o la cesión de imágenes de pornografía infantil en la red.

Mayores competencias informáticas son necesarias para poder acceder sin autorización a los ordenadores protegidos por medidas de seguridad (hacking), para interceptar de manera fraudulenta los datos informáticos enviados o recibidos desde un sistema informático (data-espionaje), para llevar a cabo estafas mediante email (scam), para crear redes Botnet o para obstaculizar o impedir el correcto funcionamiento de los Server o páginas web de instituciones públicas o empresas multinacionales (DoS o DDS attacks). La comisión de estos sofisticados comportamientos ilícitos requiere la disponibilidad y el correcto empleo de programas maliciosos (malware)(2).

La elevada demanda de estas herramientas ha favorecido la emersión de un florecido mundo ilegal underground, que consigue cada año enormes beneficios económicos por la venta de peligrosos dispositivos y programas informáticos. La facilidad de conseguir y utilizar estos softwares para finalidades ilícitas hace que el número de los criminales informáticos siga aumentando, con el serio riesgo de una criminalidad cibernética de masa, difícilmente contrastable, debido a su carácter transnacional.

Para hacer frente a la amenaza de los malware, en los últimos años los organismos internacionales, teniendo en cuenta el preocupante aumento de este fenómeno, confirmado por estudios empíricos y criminológicos, han recomendado o prescrito a los Estados de sancionar un amplio abanico de conductas que tienen por objeto un software, que puede ser utilizado para cometer un delito. Se trata normalmente de conductas “neutras” y que de por sí no son caracterizadas por un desvalor social, en cuanto inidóneas a lesionar un bien jurídico. El desvalor de estas incriminaciones tiene que ser individualizado más bien en la objetiva peligrosidad de los programas que constituyen el objeto material y que por el hecho de entrar en la esfera de disponibilidad del sujeto agente pueden ser utilizados para finalidades ilícitas o entregados o distribuidos a sujetos malintencionados, favoreciendo e incentivando de esta manera la comisión de delitos cibernéticos.

Para definir esta peculiar tipología de delitos la doctrina alemana ha empleado la icástica expresión de “software-Delikte“(3), que expresa bien la idea de cómo el eje de estos delitos se encuentra esencialmente en la peligrosidad del programa informático que constituye el objeto material del delito.

Mediante las incriminaciones de los programas informáticos peligrosos se previene la comisión de otros delitos (contra el patrimonio, la intimidad informática, la integridad y la disponibilidad de datos y de sistemas informáticos, etc.). De esta manera se castigan conductas prodrómicas o, en determinados casos, preparatorias a la comisión de delitos más graves, obstaculizando la realización de hechos más lesivos de los bienes protegidos. Se trata entonces de tipos delictivos que se colocan en el marco del “derecho penal de la prevención”: en lugar de castigar comportamientos socialmente ofensivos de intereses jurídicos, tienden a impedir y prevenir la comisión de futuros delitos(4).

No es fácil individualizar la correcta técnica de tipificación que hay que emplear para seleccionar con precisión los programas informáticos peligrosos que pueden ser utilizados para cometer delitos. Dos son los principales inconvenientes que surgen en el ámbito del “derecho penal del software”.

Si el legislador optase para una incriminación demasiado restrictiva, castigando los programas exclusivamente destinados a cometer un delito, surgiría el riesgo de crear normas simbólicas, cuya aplicación práctica sería muy escasa, sino imposible(5). Como se subrayará en seguida, prácticamente no existen programas informáticos que pueden ser utilizados solamente para finalidades ilícitas.

Por otro lado, una criminalización más amplia tendría el efecto de abarcar conductas que no tienen un carácter ofensivo o que no son necesariamente llevadas a cabo para perseguir finalidades ilícitas. Habría entonces el riesgo de castigar también aquellos comportamientos legítimos y socialmente aceptados realizados cada día por expertos informáticos para mejorar el nivel de seguridad de los ordenadores y de las redes. De esta manera se acabaría con el prohibir al sector de la Information Technology (IT) de desarrollar nuevos programas informáticos para simular ataques informáticos, para controlar de forma remota una red para finalidades de análisis o de control con el objetivo de comprobar la eficacia de un programa antivirus, de un firewall, etc.

Una indiscriminada criminalización de los softwares peligrosos produciría un chilling effect, disuadiendo a las empresas y a las multinacionales que operan en el sector IT a desarrollar software, dispositivos y nuevas aplicaciones para mejorar la seguridad informática y garantizar, en el interés de la colectividad, un acceso seguro a la red y a los espacios “personales” que pueden crearse en la web (e-mail, cloud, etc.).

2. Objetivos y ámbito de la investigación

Dos son los principales objetivos de este trabajo. Por un lado, se tratará de perfilar las técnicas de protección adoptadas a nivel internacional y en particular por parte del legislador italiano para criminalizar los programas informáticos “de doble uso”. En segundo lugar, se individualizarán los criterios para evaluar la legitimidad de la incriminación de conductas relacionadas con programas informáticos que pueden ser destinados a la comisión de delitos.

Para conseguir estos objetivos habrá que definir preliminarmente el concepto de programas “de doble uso” (par. 3). Luego se hará mención a las iniciativas internacionales en este ámbito (par. 4) y en particular a las que han sido adoptadas por el Consejo de Europa (par. 4.1) y la Unión Europea (par. 4.2). Para concluir esta primera parte, se hará un balance crítico de las técnicas de formulación normativa empleadas para describir el objeto material de estos delitos (par. 4.3). En la segunda parte se analizarán los tipos delictivos previstos en la legislación penal italiana que castigan los comportamientos que tienen por objeto programas informáticos (par. 5).

El análisis del derecho penal italiano permitirá individualizar las referencias normativas sobre la base de las cuales se desarrollará, en la tercera parte del trabajo, el análisis dogmático y político-criminal. En primer lugar, se tratará de determinar la estructura normativa de los tipos delictivos introducidos en este ámbito en relación con el grado de abstracción respecto de la ofensa de los bienes jurídicos protegidos (par. 6), sistematizando, en razón de los distintos significados delictivos, las conductas descritas y valorizando la función “tipificadora” que asume la previsión del “fin” específico que el sujeto agente persigue con su conducta (par. 6.1 y 6.2). En seguida se individualizarán los parámetros para evaluar la legitimidad de la incriminación de comportamientos prodrómicos o preparatorios respecto de la comisión de delitos informáticos más graves (par. 7). En conclusión, se formularán algunas propuestas de lege ferenda para una correcta incriminación de conductas relacionadas con los programas informáticos “de doble uso”, que sean respetuosas de los fundamentales principios de derecho penal de nivel constitucional y supranacional (par. 8).

3. Concepto y características de los programas informáticos ‘de doble uso’

La expresión software “de doble uso” (dual-use software) se emplea en el lenguaje técnico para indicar a los programas informáticos que tienen un intrínseco carácter peligroso y que pueden ser utilizados a la vez para llevar a cabo actos lícitos o ilícitos. Los programas pertenecientes a esta categoría se pueden distinguir, según su características objetivas, en dos grupos: 1. Softwares multifuncionales; 2. Software que se pueden emplear por distintas finalidades (multiscopo)(6).

Los softwares multifuncionales se caracterizan por el hecho de ejecutar distintas funciones, de las que solamente una resulta ilegítima. En otras palabras, el programa informático incluye un payload, mejor dicho un código cuya función es la de causar un daño (a datos o sistemas informáticos) o de ejecutar una función ilícita (acceder a un computer, eludir password, etc.)(7).

Para una correcta incriminación de los softwares multifuncionales, debe preliminarmente establecerse si la función ilícita prevalece sobre las que son lícitas. Se trata pues de determinar los tratos típicos que permiten seleccionar con suficiente determinación los programas informáticos que se caracterizan por su intrínseca peligrosidad y que pueden constituir el objeto material de un delito.

En contra, los softwares que pueden emplearse por distintas finalidades (multiscopo) se caracterizan por el hecho que su funcionalidad lesiva o ilegal puede ser empleada a la vez por finalidades ilícitas o totalmente lícitas y útiles para la sociedad(8).

Todos los programas y los sistemas informáticos presentan normalmente vulnerabilidades (o security hole) en sus códigos, algoritmos o protocolos. Estos fallos pueden ser explotados por los criminales informáticos para introducirse ilícitamente en los dispositivos ajenos para finalidades ilícitas (sustraer, interceptar o dañar datos, etc.).

Para mejorar el nivel de seguridad de los sistemas, los técnicos informáticos crean y utilizan constantemente nuevos programas cuya función consiste en simular un ataque no autorizado a un ordenador o a una red (penetration tests). De esta manera pueden comprobar el nivel de protección de un sistema informático o de una red y determinar las eventuales vulnerabilidades.

Las personas que operan en el sector IT y los criminales informáticos persiguen muy a menudo, si bien aparentemente, las mismas finalidades. Ambos desarrollan y emplean nuevos hacking tools o programas malware para individualizar los fallos en los sistemas informáticos, en los sistemas operativos (Windows, Mac OS, Linux, etc.) o en una red de ordenadores. Pero mientras los primeros emplean estas herramientas para mejorar el nivel de seguridad de los nuevos dispositivos, los otros los utilizan para descubrir las vulnerabilidades y explotarlas para finalidades ilícitas. La misma funcionalidad lesiva de los programas que pueden ser destinados para múltiples finalidades pueden ser utilizados tanto para llevar a cabo legítimos test de control y simulaciones de ataques no autorizados como para cometer actividades ilícitas.

Muchos malware se crean por expertos informáticos. Su incriminación generalizada mermaría la posibilidad de mejorar el nivel de la seguridad informática en el interés de la colectividad y en función también de prevenir las amenazas que se difunden en la red, y cuya proliferación está favorecida por las inevitables vulnerabilidades propias de las TIC.

4. Las obligaciones de incriminar los programas informáticos ‘de doble uso’ en las fuentes internacionales

La incriminación cada vez más frecuente en los últimos años de conductas relacionadas con programas informáticos en las legislaciones penales nacionales se debe principalmente a la implementación de las obligaciones supranacionales. Muchos son los instrumentos internacionales que obligan a los Estados a castigar un abanico muy amplio de comportamientos que tienen por objeto software peligroso.

En los siguientes párrafos se mencionarán las fuentes internacionales más importantes que establecen una reglamentación específica de los programas informáticos peligrosos y en particular las iniciativas adoptadas por el Consejo de Europa (par. 4.1) y la Unión Europea (par. 4.2).

4.1. Los convenios del Consejo de Europa

Dos son los instrumentos adoptados por el Consejo de Europa que piden a los Estados miembros que castiguen distintas conductas relacionadas con determinados programas informáticos.

En el convenio sobre la protección de los servicios de acceso condicionado, firmado en Estrasburgo el 24 de enero del 2001, requiere a los Estados miembros que castiguen las conductas llevadas a cabo para beneficio comercial que consisten en la fabricación, producción, importación, distribución, alquiler, venta, posesión, instalación, manutención, sustitución de dispositivos ilícitos o en el hacer promoción comercial, marketing o publicidad en favor de estos objetos (art. 4º)(9).

El Convenio cibercrimen (CoC), firmado en Budapest el 23 de noviembre del 2001, y hasta la fecha ratificado por cincuenta y un Estados, requiere a los legisladores nacionales que castiguen el que, con la finalidad de cometer determinados delitos informáticos, “vende”, “distribuye”, “pone a disposición” o “posee” códigos de acceso, password o software “principalmente concebidos o destinados a la comisión de (“designed or adapted primarily for the purpose of committing”, “principalement conçu ou adapté pour permettre la commission de”)” delitos informáticos contra la intimidad informática, la disponibilidad y la integridad de datos o de sistemas informáticos, previstos por los artículos 2º a 5º del CoC (art. 6º).

4.2. Las decisiones marco y las directivas de la Unión Europea

También en las iniciativas adoptadas en primer lugar en el ámbito de la Comunidad Europea y luego de la Unión Europea hay disposiciones que establecen la obligación para los Estados miembros de castigar o sancionar de manera eficaz, proporcionada o disuasorias conductas que tienen por objeto programas informáticos utilizados para finalidades ilícitas.

La directiva 91/250/CE, sucesivamente sustituida por la directiva 2009/24/CE sobre la protección jurídica de los programas de ordenador, exigía de parte de los Estados miembros la adopción de adecuadas medidas para sancionar las conductas que tienen por objeto cualquier medio (incluso un programa informático) cuyo único propósito sea facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se hubiere utilizado para proteger un programa de ordenador (art. 7º, par. 1º, lit. c)).

El artículo 4º, literal a), de la directiva 98/84/CE sobre la protección de servicios de acceso condicional o basados en dicho acceso preveía la obligación para los Estados miembros de adoptar las medidas adecuadas (no necesariamente de naturaleza penal) para prohibir las conductas llevadas a cabo con fines comerciales de fabricación, importación, distribución, venta, alquiler, posesión, instalación, manutención o sustitución de dispositivos ilícitos ósea de uso de comunicaciones comerciales para la promoción de dispositivos ilícitos(10).

La decisión político-criminal de castigar determinados programas informáticos ha sido adoptada también por el legislador europeo en el marco de los instrumentos del tercer pilar. Paradigmática en este sentido es la decisión marco 2000/383/JAI, sobre el fortalecimiento de la protección, por medio de sanciones penales y de otro tipo, contra la falsificación de moneda con miras a la introducción del euro, que ha sido sustituida recientemente por la directiva 2014/62/UE, que prevé la obligación para los Estados miembros de castigar el hecho de producir fraudulentamente, recibir, obtener o poseer instrumentos, objetos o programas y datos informáticos y otros medios especialmente adaptados para la falsificación o alteración de moneda (“computer programs and data peculiarly adaptad for”; “programes d’ordinateur destinés par leur nature à”) falsificar o alterar monedas (art. 3º, par. 1º, lit. d).

La decisión marco 2001/413/JAI, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo, requiere a los Estados miembros que castiguen el hecho de producir fraudulentamente o de recibir, obtener, vender o ceder a otros “programas informáticos y cualquier otro medio destinado por su naturaleza a la comisión (“computer programmes peculiarly adapted for”; “logiciels spécialement adapté pour”)” de la falsificación o manipulación de instrumentos de pago, para su utilización fraudulenta o “programas informáticos con la finalidad” (“computer programmes the purpose of which”; “logiciels ayant pour”) de cometer delitos relacionados con equipos informáticos (art. 4º).

La reciente Directiva 2013/40/UE, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo, establece que los Estados miembros prevean como delito, al menos en los casos que no sean de menor gravedad, los hechos intencionales y cometidos sin autorización de fabricación, venta, adquisición para el uso, importación, distribución o puesta a disposición de un “programa informático, concebido o adaptado principalmente (“a computer programme, designed or adapted primarily for the purpose of”; “un programme informatique, principalement conçu ou adapté pour permettre la”)” para cometer un ilícito contra la intimidad informática, la integridad o la disponibilidad de datos o de sistemas informáticos establecidos en los artículos 3º a 6º y con la intención de que sea utilizado para cometer cualquiera de los mencionados hechos ilícitos (art. 7º).

4.3. Un balance crítico sobre las técnicas de formulación adoptadas a nivel internacional

El análisis de los dos convenios del Consejo de Europa y de las decisiones marco y de las directivas de la Unión Europea demuestra cómo los programas informáticos que constituyen el objeto material de los preceptos internacionales pueden substancialmente ser distinguidos, sobre la base de la técnica de formulación empleada, en dos grupos. Ellos incluyen los programas informáticos: a) “(principalmente) concebidos o adaptados para” la comisión de un delito; b) “cuya finalidad consiste en la comisión” de un delito.

4.3.1. Programas informáticos ‘concebidos o adaptados para’ la comisión de un delito 

La primera modalidad de formulación empleada a nivel supranacional abarca los programas informáticos concebidos (designed) o adaptados (adapted) para la comisión de un delito(11).

Mediante esta técnica de tipificación se seleccionan los softwares que por voluntad de los que los desarrollan o lo adoptan son destinados a la realización de un determinado delito (acceso no autorizado a un servicio de acceso condicional: Pay-TV, Pay per Review, ecc.). Esto no significa, sin embargo, que estas características tengan que ser determinadas sobre la base de elementos exclusivamente subjetivos.

La voluntad de quien crea o adopta los mencionados programas informáticos tiene que reflejarse objetivamente en su estructura o, mejor dicho, en el lenguaje de programación empleado. La destinación ilícita del software tendrá que ser reconstruida sobre la base de su intrínseca configuración, de su diseño o algoritmo, de sus concretas funciones o de su aptitud a la comisión de aquel delito o grupo de delitos para cuya realización ha sido producido o modificado. La característica de estos softwares no tiene, por lo tanto, que ser determinada en función de su efectiva idoneidad para cometer aquel delito, sino sobre la base de la intención de sus creadores de alcanzar aquel resultado específico, que tiene que manifestarse objetivamente en la misma configuración de los programas.

Evidentes son los límites de esta modalidad de formulación normativa. Una vez establecido que un determinado programa informático ha sido concebido o adaptado para cometer un delito, cualquier persona que lo tenga a su disposición tendría que ser penada, pese al hecho que su intención sea o no de cometer o no un ilícito penal. Piénsese, por ejemplo, al técnico informático que adquiere un hacking tool para comprobar legítimamente la seguridad de un dispositivo o una red de ordenadores de una empresa (control test).

Para excluir la relevancia penal de las conductas que no tienen ningún desvalor social el empleo de esta modalidad descriptiva tendría que exigir a la vez la específica finalidad de utilizar los programas informáticos para finalidades ilícitas. De esta manera se castigarían los comportamientos que tienen por objeto programas informáticos “de doble uso” solamente en los casos en que sean instrumentales a la comisión de un delito, garantizando al mismo tiempo al sector IT la posibilidad de operar de manera lícita, sin riesgos de incurrir en sanciones penales.

4.3.1.1. Programas informáticos ‘principalmente concebidos o adaptados para’ la comisión de un delito

En algunos casos las fuentes internacionales recomiendan a los Estados que castiguen los programas informáticos que son “principalmente concebidos o adaptadas para” cometer un delito(12). Esta modalidad de formulación normativa se diferencia de la anterior (retro, par. 4.3.1) solamente en la parte en que requiere que el programa sea principalmente (primarily, principalement, in erster Linie) destinado o concebido por su desarrollador o productor para la realización de actividades ilícitas. Un software multifuncional para ser típico tiene entonces que haber sido creado en primer lugar o esencialmente para cometer un determinado delito o un grupo de delitos (informáticos)(13).

Los expertos del Consejo de Europa discutieron mucho sobre la oportunidad de incriminar solamente los software concebidos o creados exclusivamente o específicamente para cometer un delito, excluyendo de esta manera los programas informáticos “de doble uso”(14). Sin embargo, consideraron que esta formulación habría sido demasiado estricta y habría generado problemas insoportables en sede procesal, puesta las evidentes dificultades de demostrar que un programa informático está destinado exclusivamente para llevar a cabo una función ilícita(15). De esta manera se habría creado un tipo delictivo simbólico de escasa, si no imposible, aplicación práctica.

Al mismo tiempo se rechazó la perspectiva opuesta, vuelta a incluir en el objeto material del precepto cualquier dual-use software, si bien producido o distribuido legalmente. Como solución de compromiso, los expertos del Consejo de Europa tomaron la decisión de seleccionar solamente aquellos programas informáticos que objetivamente resultasen concebidos o adaptados principalmente para cometer un delito. De esta manera se habrían excluido del tipo la mayor parte de los casos de programas informáticos “a doble uso”. Esta decisión plantea, sin embargo, algunas dudas.

En primer lugar, se limita excesivamente el ámbito del objeto material y, en consecuencia, del precepto. Un programador puede crear un software por distintas finalidades. Esto se considerará típico y, por lo tanto, ilícito solamente si se demuestra que su función o destinación principal consiste en permitir la comisión de un delito o grupo de delitos específicos. Al mismo tiempo, un software no podría integrar el objeto típico en el caso que mediante su creación se persigan a la vez finalidades lícitas e ilícitas. Lo mismo dígase en las hipótesis en que un desarrollador produzca un programa para una finalidad legítima, pero en seguida se descubra que puede ser empleado también de manera ilícita. Si las finalidades perseguidas por el originario creador o productor del software son múltiples, será irrelevante el hecho que su utilizador lo emplee para una finalidad criminal, siempre que esta última represente su principal función.

4.3.2. Programas informáticos “con la finalidad de” cometer un delito

La última modalidad de formulación normativa se centra en la finalidad (purpose) del programa informático. Esta había sido empleada ya por el legislador europeo en la decisión marco 2001/413/JAI, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo (art. 4º, par. 2º) y ha sido recientemente empleada en la Directiva 2014/62/UE, relativa a la protección penal del euro y otras monedas frente a la falsificación (véase retro, par. 4.2).

La finalidad es un concepto que se emplea en relación al actuar de las personas y que describe el objetivo hacia el cual un sujeto dirige su conducta. Es este, según un sector de la doctrina alemana, un concepto que puede aplicarse solamente en relación con las conductas humanas y no a los objetos, que de por sí no tienen ninguna finalidad, puesto que eventualmente pueden ser utilizados con base en la finalidad a la que se destinan por parte de los que los utilizan(16).

Frente a esta ambigüedad, se ha considerado que la finalidad del programa informático podría eventualmente determinarse sobre la base de datos estadísticos(17). En otras palabras, habría que seleccionar aquellos softwares que en la práctica se emplean prevalentemente para la comisión de un delito. Sin embargo, de esta manera quedarían igualmente muchas perplejidades respecto a esta técnica de tipificación del objeto material del precepto.

En primer lugar, se acabaría castigando también el reducido número de sujetos que emplean aquel determinado programa para finalidades ilícitas(18). Al mismo tiempo, un dispositivo particularmente peligroso podría ser utilizado solamente por un grupo muy limitado de criminales informáticos y, por lo tanto, no sería estadísticamente empleado, en la mayoría de los casos, para finalidades ilícitas.

En conclusión, parece más correcto considerar que la finalidad del software no depende del empleo que hace el que lo detiene, sino de su objetiva configuración. La específica destinación de un programa informático para cometer un delito depende del específico algoritmo de programación, cuya ejecución permite llevar a cabo una determinada función delictiva de manera automatizada según los procedimientos técnicos propios de la informática y, por lo tanto, también en (parcial) sustitución de la actividad humana.

Pese a las perplejidades que puede crear el empleo del concepto de finalidad respecto de un objeto, hay que subrayar que esta modalidad de formulación normativa en el contexto informático, basándose en parámetros objetivamente apreciables, permite restringir la tipología de software penalmente relevantes a aquellos que son objetivamente destinados a la comisión de un delito. Sin embargo, adoptando esta técnica de tipificación normativa también los expertos del sector IT que emplean un malware apto a llevar a cabo un control test tendrían que ser penados. Para excluir la relevancia penal de estos comportamientos habría una vez más que exigir, a nivel subjetivo, la previsión de un específico ánimo subjetivo de utilizar estos programas para cometer un delito.

5. La incriminación de los programas informáticos “de doble uso” en el derecho penal italiano

Siete son en el ordenamiento italiano los tipos delictivos cuyo objeto material está constituido por programas informáticos que pueden ser empleados para cometer un hecho ilícito. Cuatro se encuentran en el Código Penal y son incluidos respectivamente entre los delitos contra la fe pública (C.P., art. 461), contra la inviolabilidad del domicilio (C.P., arts. 615-quater y 615-quinquies) y de secretos (C.P., art. 617-quinquies). Tres están previstos en el ámbito de la normativa sobre el derecho de autor.

5.1. Los tipos delictivos previstos en el Código Penal

Anticipando algunas decisiones político-criminales supranacionales, el legislador italiano, con la Ley 547, de 23 de diciembre de 1993, sobre “modificaciones e integración de las normas del Código Penal y del Código Procesal Penal en tema de criminalidad informática”, había considerado oportuno castigar hechos que tenían por objeto programas informáticos destinados a cometer determinados delitos.

Con el delito del artículo 615-quater del Código Penal (detención y difusión no autorizada de códigos de acceso a sistemas informáticos o telemáticos), discutiblemente incluido en la sección IV, que concierne los delitos contra la inviolabilidad del domicilio, del título XII del libro II del Código Penal, el legislador italiano ha castigado el hecho de quien, con la finalidad de procurar para sí mismo o para un tercero un provecho o de causar a otros un daño, sin autorización se procura, reproduce, difunde, comunica o entrega códigos, palabras clave u otros medios (como programas informáticos) “idóneos para acceder a un sistema informático o telemático, protegido por medidas de seguridad”(19).

El tipo delictivo castiga conductas prodrómicas, mejor dicho preparatorias a la comisión del delito de acceso no autorizado a un sistema informático protegido por medidas de seguridad del artículo 615-ter del Código Penal(20).

Dos son las tipologías de conductas tipificadas por el artículo 615-quater ibídem. Por un lado se castigan comportamientos no autorizados que consisten en “hacer entrar” en la propia esfera de control password, códigos de acceso, programas informáticos u otros medios idóneos a acceder a un sistema informático protegido por medidas de seguridad (adquiere o reproduce)(21). Por otro lado, se incriminan conductas que consisten en “poner a disposición” de terceros estos objetos ilícitos (adquiere para otros, difunde, comunica o aconseja).

Alguna perplejidad surge respecto de la nota de abusividad (abusivamente) que tiene que caracterizar las conductas típicas(22). Según un sector de la doctrina, mediante la previsión de este elemento típico el legislador habría querido recordar al juez su deber de examinar con particular atención la ausencia de causas de justificación(23). A primera vista, la formulación del hecho delictivo sería efectivamente capaz de diferenciar entre los comportamientos penalmente relevantes de los que no lo son.

Sin embargo, la (si bien oportuna) decisión de tipificar el hecho mediante la previsión de un ánimo subjetivo del injusto (o dolo específico) que exige que el sujeto agente tiene que perseguir una finalidad de provecho o de daño, no logra delimitar de manera adecuada el ámbito de lo relevante penalmente. Ya hemos dicho que los técnicos informáticos que operan en el sector IT desarrollan y utilizan regularmente nuevos dispositivos y programas idóneos para acceder a sistemas informáticos para comprobar el nivel de seguridad y la ausencia de vulnerabilidades. Por regla, estos programas pueden ser utilizados por sujetos que los producen o bien ser vendidos o cedidos a otros técnicos o system administrators para efectuar las necesarias pruebas sobre la ausencia de fallos en las TIC. Para evitar que estas conductas, en sí legítimas, puedan ser subsumidas en el delito en examen, habrá que valorizar el carácter ilícito (o abusivo) de la conducta. La conducta del técnico informático que produce o entrega a terceros un hacking tool para conseguir una ventaja patrimonial será abusiva y, por lo tanto, penalmente relevante, en el caso en que infrinja las normas extrapenales que reglamentan las actividades de los sujetos que operan en el sector IT. En contra, sería legítima la conducta del system administrator que, con la finalidad de simular los efectos lesivos de un ataque por parte de un hacker, difunda en los sistemas conectados a una Intranet de una empresa un caballo de Troya. En este caso, si bien lleva a cabo la conducta con la finalidad de “causar un daño”, no podrá ser castigado, puesto que no actúa sin autorización.

La previsión del carácter no autorizado que debe tener la conducta enriquece el hecho típico calificándolo en términos objetivos y subjetivos(24). No se trata, por lo tanto, como considera el sector doctrinal que aquí se critica, de apreciar la falta de causas de justificación. Mediante esta oportuna cláusula de antijuridicidad especial, el legislador reenvía a reglas extrapenales que pueden determinarse desde el contexto (profesional, social, laboral, etc.) en que el sujeto agente opera(25).

Por lo que concierne, la descripción del objeto material del artículo 615-quater del Código Penal, el legislador ha delimitado oportunamente el ámbito de los programas informáticos penalmente relevantes en relación con el criterio objetivo de la idoneidad (medios idóneos al acceso) para cometer el delito de acceso no autorizado a un sistema informático protegido por medidas de seguridad (C.P., art. 615-ter).

El delito abarca indistintamente los programas multifuncionales y que pueden ser empleados para finalidades distintas, sean lícitas o ilícitas. La exigencia de garantizar, sin embargo, la posibilidad de desarrollar programas para contrastar los accesos no autorizados a sistemas informáticos favorecidos por el empleo de hacking tools se garantiza mediante la oportuna previsión del “dolo específico”, además, como se ha dicho, de la exigencia que la conducta se lleve a cabo “sin autorización” (abusivamente).

Con el artículo 4º Ley 547/1993 citado, el legislador italiano ha introducido el artículo 615-quinquies del Código Penal, que castiga el delito de “difusión de programas directos a dañar o interrumpir un sistema informático”, sucesivamente modificado, come se verá enseguida, en el 2008(26).

El objeto material del delito son los programas que tienen “como finalidad o por efecto” el daño de datos o de sistemas informáticos ajenos, resultado (evento) esto que se castiga de manera autónoma por el artículo 635-bis del Código Penal. Ya hemos subrayado, como planteado algunas dudas, en el ámbito del derecho penal de los software”, la decisión de limitar el objeto material del delito sobre la base de la finalidad (scopo) de los programas informáticos(27). Todavía más discutible era, en la anterior formulación del artículo 615-quinquies ibídem, la anómala referencia a su efecto que, debiéndose entender como resultado producido por una causa, no podía depender del concreto empleo de los mencionados softwares por parte del sujeto agente. En definitiva, en el objeto material del delito se incluyen indistintamente todos los softwares multifuncionales y los que podían ser empleados para finalidades distintas.

A diferencia de lo que establece el artículo 615-quater del Código Penal, el legislador italiano no había subordinado además la relevancia penal de las conductas a la obtención de una finalidad ilícita o de todos modos lesiva ni a su carácter abusivo, mediante la previsión de una cláusula de ilicitud especial. Muchas eran, por lo tanto, las perplejidades que surgían desde el punto de vista de la conformidad del tipo a los principios de determinación-taxatividad y de lesividad. Con el empleo de esta criticable técnica de tipificación normativa se castigaban también los comportamientos en sí lícitos y sin ningún desvalor social, como por ejemplo la cesión de un malware por parte de un desarrollador informático a un software house para comprobar las medidas de seguridad de un server de una empresa(28).

Con la Ley 48, de 18 de marzo del 2008, de ratificación y ejecución del Convenio sobre el cibercrimen, el legislador ha modificado finalmente la criticable formulación del artículo 615-quinquies ibídem. Sin embargo, el objetivo declarado de adecuarla perfectamente a las recomendaciones del Consejo de Europa no ha sido conseguido.

La oportuna extensión del ámbito de las conductas penalmente relevantes también a los que consisten en hacer entrar en la esfera de control del agente estos programas (adquiere, produce, reproduce o importa) ha hecho más homogénea la formulación del artículo 615-quater del Código Penal. Con el enriquecimiento del elemento subjetivo mediante la oportuna previsión de una finalidad especifica (con la finalidad de dañar lícitamente un sistema informático o telemático), el legislador no ha sido capaz, una vez más, de delimitar con la necesaria precisión el objeto material del delito.

Las conductas típicas tienen como objeto “aparatos, dispositivos o programas informáticos”. No se requiere, sin embargo, como establece el artículo 6º CoC, que estos programas sean “principalmente adaptados o destinados” para la comisión de un delito informático contra la integridad y la disponibilidad de los datos y de los sistemas informáticos.

Faltando una referencia a la intrínseca lesividad o peligrosidad de los dispositivos que constituyen el objeto material de las conductas por sí neutras de adquirir, producir, difundir, distribuir o ceder, el desvalor del tipo delictivo se basa exclusivamente en el fin ilícito que el sujeto agente persigue con su conducta(29). Sin embargo, de esta manera se ha tipificado un hecho que no tiene un carácter objetivamente ofensivo. También el que entrega un programa informático en sí mismo lícito (por ejemplo, un programa P2P) se castigaría, cuando actuase con la finalidad de cometer un delito de daños de datos o de sistemas informáticos (C.P., arts. 615-bis, 635-ter, 635-quater e 635-quinquies)(30).

Finalmente, con el artículo 6º Ley 547 de 1993 citado, el legislador italiano ha introducido en el Código Penal un nuevo tipo delictivo que castiga el que, fuera de los casos permitidos por la ley, instala aparatos “aptos para” interceptar, impedir o interrumpir comunicaciones relativas a un sistema informático o telemático (C.P., art. 617-quinquies).

El concepto de dispositivos abarca también los programas informáticos (Trojan, Spyware, Sniffers, etc.) que, una vez instalados en el sistema informático de un usuario, permiten al criminal conseguir ilícitamente el acceso desde remoto al ordenador e interceptar las comunicaciones que el mismo recibe o envía.

La delimitación de comportamientos penalmente relevantes en este caso no se determina sobre la base de la previsión de una especial finalidad ilícita o lesiva que debe acompañar el hecho-básico. La distinción entre comportamientos lícitos e ilícitos se determina mediante la cláusula “fuera de los casos consentidos por la ley”, que el legislador ha mutuado del tipo gemelo del artículo 617-bis del Código Penal, que se introdujo en el Código Penal italiano con el artículo 3º de la Ley 98, de 8 de abril 1974, que castigaba la instalación de dispositivos “aptos para” interceptar o impedir comunicaciones o conversaciones telegráficas o telefónicas.

Con el empleo de esta locución el legislador había entendido hacer referencia a las disposiciones de la misma Ley 98 de 1974 citada, que autorizaba las interceptaciones de comunicaciones telegráficas por parte de la autoridad judicial (ley citada, arts. 5º y 6º). Esta interpretación tendría, por lo tanto, que valer también por el tipo delictivo en examen, introducido en 1993.

Es de interés subrayar, para efectos de este estudio, que en el 2011, con el objetivo de actualizar la decisión marco 2000/383/JAI sobre el fortalecimiento de la protección, por medio de sanciones penales y de otro tipo, contra la falsificación de moneda, el legislador italiano ha extendido a los programas informáticos el ámbito de aplicación del delito del artículo 461 ibídem (“fabricación o detención de filigranas o de instrumentos destinados a la falsificación de monedas, de valores o de cartas filigranadas”), colocado entre los delitos contra la fe pública en el título VII, del libro segundo del Código Penal. El tipo delictivo castiga el hecho de fabricar, aquistar, detener o alienar filigranas, instrumentos o programas informáticos “destinados exclusivamente a la” contratación o alteración de monedeas, de valores o de carta filigranada.

La modalidad descriptiva empleada para delimitar el objeto material del delito no solo difiere de la que establece la Unión Europea, que requería que se castigase los softwares que “por su naturaleza son particularmente adaptados” a falsificar monedas, sino que resulta también excesivamente restrictiva. Mediante esta discutible técnica de formulación normativa se ha destinado el tipo delictivo a un rol puramente simbólico, haciendo improbable, si no imposible, su aplicación práctica.

5.2. Los tipos delictivos previstos en la legislación especial

Tres son los tipos delictivos previstos en la legislación penal sobre el derecho de autor (copyright), que castigan comportamientos relacionados con programas informáticos. Estos delitos se han introducido en el ordenamiento italiano con el Decreto Legislativo 68, de 9 de abril del 2003, que ha modificado, en actuación de la Directiva 2001/29/CE, la Ley 633, de 22 de abril de 1941, de “protección del derecho de autor y de otros derechos conectados con su ejercicio” y sucesivas modificaciones (en seguida: L. D. A.).

El artículo 171-bis, parágrafo 1, L. D. A. castiga, con la reclusión de seis meses a tres años y la multa, el que “duplica para conseguir un provecho” o para las mismas finalidades importa, distribuye, vende, “detiene para finalidades comerciales o empresariales” o “concede en alquiler” cualquier medio (incluso un programa informático) “entendido únicamente a consentir o facilitar” la remoción arbitraria o la elusión funcional de dispositivos puestos a protección de un programa para ordenadores.

El artículo 171-ter, parágrafo 1, letra f), L. D. A. castiga, con la reclusión de seis meses a tres años y la multa, el que introduce en el territorio del Estado, “detiene para la venta o la distribución”, distribuye, vende, alquila, cede a cualquier título, “promueve comercialmente” o instala dispositivos o elementos de decodificación especial “que permiten” el acceso a un servicio criptado sin el pago del canon debido.

El legislador ha establecido la relevancia penal de los softwares que se caracterizan por la idoneidad de permitir el acceso no autorizado a un servicio criptado. Tampoco en este caso no se determina con precisión el contenido de ilicitud penal del hecho delictivo.

El desvalor de las conductas que tienen por objeto los programas informáticos idóneos para acceder sin autorización a un servicio criptado (p. ej.: Pay-TV) más que derivar de su intrínseca peligrosidad depende de su proyección comercial. No todos los comportamientos tipificados son, sin embargo, caracterizados por una dimensión patrimonial. Piénsese, por ejemplo, a la conducta que consiste en ceder a cualquier título (también gratuito) o en el instalar un software idóneo para decodificar un servicio de pago. Podrían abstractamente entrar en el ámbito de aplicación del tipo delictivo en examen también conductas que tienen por objeto softwares idóneos a la decrepitación que son lícitas, en cuanto no son destinados a conseguir una finalidad de provecho y que se llevan a cabo en el ámbito del sector IT para realizar legítimos test sobre el nivel de seguridad de las medidas técnicas que protegen los mencionados servicios de pago.

Como conclusión de este breve análisis, hace falta mencionar el artículo 171-ter, par. 1, letra. f-bis), L. D. A., que castiga, con la reclusión de tres meses a tres años y la multa, el que fabrica, importa, distribuye, vende, alquila, cede a cualquier título, “da publicidad para la venta o para alquilar” o “detiene para finalidades comerciales” herramientas, productos o elementos “que tengan la prevalente finalidad o el uso comercial” de eludir eficaces medidas tecnológicas destinadas a impedir o a limitar actos no autorizados por los titulares de los derechos de autor sobre las obras protegidas (L. D. A., art. 102-quater) o que “sean principalmente proyectados, producidos, adaptados o realizados con la finalidad de” hacer posible o facilitar la elusión de las mencionadas medidas.

La técnica de formulación empleada por el legislador plantea algunas dudas, puesto que no se establece de manera clara la frontera entre las conductas lícitas e ilícitas. La misma descripción de los objetos materiales del delito no es idónea a seleccionar con precisión el ámbito de los programas informáticos que son objetivamente lesivos o peligrosos.

6. Estructura normativa y desvalor social de los delitos cuyo objeto material es un programa informático

El análisis de la legislación penal italiana sobre los softwares “de doble uso” demuestra cómo en este sector del ius puniendi hay una tendencia político-criminal a incriminar, en línea con las disposiciones de fuente supranacional, un amplio abanico de comportamientos de distinto desvalor social.

Las conductas que tienen por objeto los programas informáticos que pueden ser utilizados para cometer un delito se tipifican normalmente de la siguiente manera: producción, fabricación, venta, distribución, “puesta a disposición”, “adquirir para sí mismo” o “para terceros”, “adquirir para el uso”, detención, posesión, “abastecimiento para el uso”, importación, distribución, “puesta a disposición de otra manera”, receptación o instalación.

Se distinguen por su peculiar carácter comercial patrimonial las conductas que se castigan en el ámbito de la legislación sobre la protección del derecho de autor y que tienen por objeto programas informáticos destinados a vulnerar las medidas técnicas que protegen las obras tuteladas por el copyright o para acceder de manera no autorizada a servicios criptados de pago. Entre estas conductas hay por ejemplo las que consisten en “dar publicidad para la venta”, alquilar, “detener para finalidades comerciales”, “duplicar para traer un provecho”, importar para las mismas finalidades, “detener para finalidades comerciales o empresariales” o “conceder en alquiler”.

Pese a su equiparación para efectos sancionadores, se trata de comportamientos heterogéneos que presentan un distinto grado de peligrosidad o de desvalor social, que depende básicamente del objeto material con el que entran en relación. Valorizando, además, allí donde está previsto de manera expresa, el ánimo subjetivo del injusto (o “dolo específico”) que mueve estas conductas, se pueden distinguir básicamente dos diferentes grupos de comportamientos.

En el primero entran las conductas que consisten en el ejercicio de un dominio o control sobre estos softwares (par. 6.1). En la segunda, hay que reconducir aquellas conductas que consisten en la voluntaria puesta a disposición a terceros de programas informáticos que pueden ser utilizados para la comisión de un delito (par. 6.2).

Como toda clasificación, también la que aquí se propone presenta unos límites. Determinadas conductas pueden ser llevadas a cabo por el sujeto agente para cometer un delito o para facilitar su comisión a terceros. Por lo tanto, su inclusión dentro un grupo u otro podría ser opinable. Esto no significa sin embargo que nuestra bipartición pierda su utilidad. En primer lugar, permite determinar no solamente el distinto grado de peligrosidad o desvalor lesivo para un bien jurídico protegido que constituye la esencia de los hechos delictivos. En segundo lugar, contribuye a individualizar la razón político-criminal que el legislador persigue mediante la tipificación normativa y la evaluación de la oportunidad de su autónoma incriminación.

6.1. El control sobre un programa informático peligroso

Un amplio abanico de comportamientos incriminados por los delitos en examen tiene su esencia en el ejercicio de un control o de un dominio sobre un software “de doble uso”. Piénsese por ejemplo a las conductas que consisten en fabricar, producir, adquirir, procurarse, detener, poseer o conservar un programa informático que puede ser utilizado para cometer un delito.

Las conductas que consisten en el hecho de hacer entrar o mantener un objeto en la propia esfera de dominio no siempre persiguen la finalidad de cometer un delito, pudiéndose llevar a cabo también por finalidades económicas o comerciales.

Para clasificar los tipos delictivos que castigan estas peculiares tipologías de actos prodrómicos, que tienen que ser distinguidos de los actos preparatorios en sentido estricto en cuanto no se llevan a cabo para perseguir el fin específico de cometer un determinado delito, un destacado sector de la doctrina alemana ha empleado la expresión de “delitos de conexión” (Abschließungsdelikte)(31).

En esta categoría de delitos los tipos delictivos abarcan conductas que por sí no lesionan ni ponen en peligro un bien jurídico, pero a las que un tercero podría juntarse con una segunda y autónoma conducta delictiva y ofensiva. Paradigmáticos en este sentido son los casos, muy comunes, en que un sujeto tiene a disposición de otras personas objetos peligrosos (malware, armas, explosivos, informaciones, etc.), que podrían ser utilizados por parte de terceros para cometer un delito(32). Para castigar al “autor primario” irrelevante sería que la siguiente (eventual) conducta llevada a cabo por un tercero se lleve efectivamente a cabo(33).

Valorizando la función político-criminal, en lugar de la estructura normativa de los tipos delictivos que castigan las conductas que consisten en ejercer un poder de control sobre un objeto ilícito, es posible reconducir estas normas a la categoría de los “delitos obstativos” (o de obstáculo)(34).

En contra y poniendo la atención sobre su estructura normativa, estos tipos delictivos podrían ser cualificados, en general, como delitos de peligro indirecto(35). Se trata en este caso de delitos que castigan el peligro de un peligro para un bien jurídico protegido. Piénsese, por ejemplo, al delito del artículo 461, parágrafo 1º, del Código Penal italiano. El hecho de fabricar, adquirir o detener un programa informático destinado a la falsificación o alteración de monedas crea el peligro del (sucesivo) empleo de estos objetos para falsificar las mencionadas monedas, con consiguiente peligro para el bien jurídico de la fe pública y de la genuinidad de los medios de pago, en el momento en que los objetos falsificados se ponen en circulación.

En determinados casos, las conductas que consisten en ejercer un poder de control sobre un objeto ilícito pueden ser llevadas a cabo con el fin específico de cometer un determinado delito (por parte del agente o de un tercero)(36). Se trata, por ejemplo, del caso previsto en el artículo 615-quinquies del Código Penal italiano, que castiga el que adquiere, produce o reproduce programas informáticos, de por sí no peligrosos, “con la finalidad de dañar ilícitamente un sistema informático o telemático”.

No siempre el objeto del fin específico que se persigue mediante la conducta típica consiste en la comisión de un delito, pudiendo ser también en una finalidad lícita. Piénsese, por ejemplo, al delito que castiga la difusión no autorizada de códigos de acceso a sistemas informáticos o telemáticos (C.P., art. 615-quater). Lícito es el fin específico de “procurar para sí mismo o para terceros un provecho”, no calificado como injusto.

En otros casos, la finalidad que mueve la conducta, si bien no es de por si ilícita penalmente, es lesiva(37). Piénsese, una vez más, al artículo 615-quater ibídem, en la parte en que castiga el hecho de quien sin autorización reproduce o adquiere códigos de acceso “con la finalidad de causar un daño a terceros”.

Allá, donde en la formulación del tipo delictivo el legislador requiere de manera expresa que la conducta se lleve a cabo con el fin específico de cometer un delito u otro comportamiento lesivo, esta adquiere un evidente carácter preparatorio(38). En otras palabras, el sujeto agente se castiga en cuanto lleva a cabo aquel determinado hecho para preparar o, de todos modos, facilitar la comisión de un determinado delito.

Normalmente, los actos preparatorios a la comisión de un delito no son penalmente relevantes en cuanto no presentan los elementos necesarios para integrar una tentativa punible(39). Se trata de comportamientos tan lejanos a la lesión de un bien jurídico que no darían todavía inicio a la ejecución de un delito. Estos no pueden ni siquiera considerarse como actos pretípicos, puesto que cronológicamente no son próximos al comienzo de la conducta típica(40). Hay que decir, sin embargo, que de manera excepcional el legislador, en el caso en que existan específicas razones político-criminales, puede castigar de manera autónoma meros actos preparatorios a la comisión de un delito más grave (contra el orden público, en materia de terrorismo, etc.)(41).

Desde un punto de vista de la estructura normativa también los “delitos preparatorios” se configuran, en general, como delitos de peligro indirecto(42). Piénsese, por ejemplo, al hecho de quien “con la finalidad de causar un daño a terceros”, adquiere sin autorización un software idóneo para acceder sin autorización a un sistema informático ajeno protegido por medidas de seguridad (C.P., art. 615-quater). Para que el sujeto cause un daño a terceros, con consecuente ofensa para el bien jurídico de la integridad y de la disponibilidad de datos y de sistemas informáticos, ocurre que se realice una ulterior y autónoma conducta (novus actus interveniens) por su parte o por parte de un tercero. En otras palabras, entre el hecho de procurarse un hacking tool y la ofensa del interés protegido tiene que realizarse un paso intermedio ulterior: en este sentido la disponibilidad de este malware representa un peligro del peligro de una lesión.

6.2. La puesta a disposición de un programa informático peligroso

En otros casos se castigan conductas que consisten en la voluntaria “puesta a disposición de terceros” de un programa informático peligroso. Paradigmáticos en este sentido son los hechos de “poner a disposición” o “adquirir para terceros” un específico software, en el comunicar o, mejor dicho, en el “hacer accesible” o en el ceder a un número determinado de personas un dispositivo idóneo para cometer un delito. De esta manera el sujeto agente facilita con su conducta la comisión de un delito por parte de un tercero mediante aquel objeto, dejando a este la decisión sobre sí utilizarlo para finalidades ilícitas.

El “poner a disposición” o el difundir un malware en la web presenta un nivel de peligrosidad mayor respecto del hecho de entregarlo o comunicarlo a un número limitado de personas. Debido a la facilidad con la que es posible duplicar o ejecutar un software, una vez que se distribuyan en red podrían ser descargados y utilizados por un número elevado e indeterminado de personas y podrían difícilmente ser retirados del mercado.

En muchos casos estas conductas se configuran como actos preparatorios de un futuro delito cometido por un tercero, siempre que el sujeto sea consciente y quiera que la persona a la que cede o vende aquel determinado software lo emplee para finalidades ilícitas. En otras palabras, el sujeto actúa para ayudar a un tercero a cometer un delito o simplemente para facilitar o permitir su comisión. Su conducta constituye en este caso una aportación material de facilitación a la comisión de un delito por parte de un tercero(43). En línea con el modelo de accesoriedad mínima, que el legislador italiano ha adoptado al reglamentar el concurso de personas en el delito (C.P., arts. 110 y ss.) el sujeto agente, mejor dicho, el partícipe será castigado cuando con su conducta lleva a cabo de manera consciente una aportación causal a la realización, por parte de terceros, de un hecho delictivo(44). Por lo tanto, tendrá que actuar con el dolo de participación, es decir, con la conciencia y voluntad de aportar con su conducta una objetiva contribución a la comisión de un delito, además del hecho concreto que se cometerá por parte del autor(45). No será necesario, todavía, que el partícipe conozca las concretas modalidades de ejecución del delito, siendo suficiente que se represente un hecho conforme a aquel típico, descrito por el tipo delictivo.

No siempre las conductas que consisten en la “puesta a disposición” de un software peligroso integran los elementos de una contribución material (atípica) a la realización de un concreto hecho ilícito cometido por terceros. Normalmente no habrá un “nexo de conexión” (en un intervalo de tiempo significativo) de naturaleza objetiva o subjetiva entre la conducta de quien cede, vende o distribuye aquel determinado malware y el sujeto que lo utiliza para cometer un delito. En otras palabras, la conducta del sujeto no siempre accede a un hecho típico de terceros. Piénsese, por ejemplo, en los casos en que el sujeto activo adquiere dicho software y decida, finalmente, desistir de su propósito criminal y renuncie a emplearlo para cometer actos ilícitos(46).

En conclusión, el legislador tipifica de manera autónoma comportamientos que tienen un sentido delictivo en cuanto pueden conectarse con conductas de terceros, contribuyendo o, mejor dicho, facilitando su realización. La previsión legal de estas conductas y su autónoma tipificación no tiene, sin embargo, una “función de disciplina”, sino una función de incriminación. La tipificación, de manera autónoma, de conductas que constituyen una voluntaria “puesta a disposición” de terceros de un software ilícito, representa una excepción a la normativa sobre el concurso de personas en el delito, puesto que extiende la punibilidad autónoma a posibles aportaciones atípicas, que de otra manera quedarían impunes(47). Desde el punto de vista político-criminal estos tipos delictivos persiguen en definitiva una función substancialmente análoga a la de los mencionados delitos obstáculos (retro, par. 6.1).

7. Los presupuestos para una legítima incriminación de los programas informáticos “de doble uso”

El análisis llevado a cabo demuestra cómo, por medio de la incriminación de comportamientos que tienen por objeto un software peligroso, el legislador anticipa la punibilidad respecto de la consumación de un delito más grave, sancionando conductas que, en el normal desarrollo criminal, se colocan en una fase cronológicamente anterior no solamente a la consumación de aquel delito, sino también antes de la misma tentativa.

Mediante esta técnica de tipificación normativa se persiguen en substancia dos objetivos político-criminales. Por un lado, se quieren resolver problemas de naturaleza procesal y de prueba(48). Anticipando el área de lo relevante penalmente se permite a las autoridades de law enforcement llevar a cabo investigaciones en un momento anterior a la comisión de un delito más grave (de interceptación de datos, de fraude informático, de acceso no autorizado a un sistema informático, etc.) y de recoger pruebas en relación con los delitos más complejos y difíciles de averiguar, en el caso en que se cometan en el ciberespacio.

En segundo lugar, el legislador persigue, en general, el objetivo de castigar comportamientos que, si bien no producen todavía una ofensa a un bien jurídico protegido, ponen en peligro (en abstracto o indirectamente) su integridad. De esta manera crea una barrera protectora anticipada, a través de la obstaculización o la prevención de la comisión de hecho que representan una amenaza más grave por el interés jurídico protegido.

La incriminación de conductas que constituyen solamente un peligro indirecto para un bien jurídico si bien no son de por sí ilegítimas, necesitan una fuerte justificación, puesto que limitan intereses fundamentales del condenado (libertad personal, dignidad, honor, etc.), frente a un desvalor ofensivo limitado. Y en este sentido los tipos delictivos que tienen por objeto un software peligroso son útiles para determinar los límites de la anticipación de la tutela penal. Se trata en este sentido de un territorio peculiar del derecho penal en el que el legislador emplea de manera frecuente la categoría de los “delitos de prevención” (Vorfeldsdelikte), que se contraponen a los tradicionales “delitos de represión” (reati repressivi)(49). Se castigan de hecho comportamientos que están en una fase anterior del iter criminis que lleva a la realización integral de un delito consumado, respeto del que o no se ha verificado el resultado o no se ha llevado a cabo completamente la conducta típica. En otras palabras, el legislador castiga de manera autónoma actos que, respecto a un tipo delictivo más grave, no integrarían o podrían no integrar ni siquiera el nivel mínimo de la tentativa ni los requisitos de la participación en su comisión(50).

La característica de este peculiar “modelo de prevención”, al que el legislador recurre de manera cada vez más frecuente (piénsese al sector de la lucha contra el cibercrimen, el terrorismo, el abuso y explotación sexual de menores, a la criminalidad organizada, etc.) es que se emplea para proteger o también para crear bienes jurídicos intermedios (de seguridad)(51). Sin embargo, de esta manera la intervención penal se coloca en una fase muy anterior y anticipada respeto de la ofensa/lesión del bien jurídico final(52).

Como se subrayó anteriormente, en la tipificación de las conductas que tienen por objeto software que se pueden emplear para cometer un delito o un hecho lesivo el legislador italiano, al igual de lo que pasa en otros ordenamientos (alemán, español, austriaco, etc.), recurre substancialmente a dos tipologías de delitos(53). Por un lado, mediante la previsión de “delitos obstáculos” (o délites obstacles) castiga conductas que consisten en el ejercicio de un poder de control o dominio sobre un programa informático “de doble uso”, sin que se prevea la existencia de un nexo entre la futura comisión de un delito (de daños informáticos, de fraude, de interceptación de datos, etc.). Por otro lado, mediante el recurso a la técnica de los delitos preparatorios, castiga actividades que sirven para facilitar o abrir el camino hacia la comisión de un delito por el mismo sujeto agente o terceros.

No es esto el lugar para tratar los numerosos problemas dogmáticos que plantean las técnicas de anticipación de la tutela penal(54). Sin embargo, de cara a esta investigación es oportuno individualizar los criterios sobre la base de los cuales se puede establecer la legitimidad de los tipos delictivos que castigan las conductas que tienen por objeto programas informáticos peligrosos y que pueden ser reconducidos a la categoría de los “delitos de prevención”.

7.1. ¿La relevancia del bien jurídico protegido: un baremo siempre esencial?

Que la función principal del derecho penal sea la de proteger bienes jurídicos se defiende hoy en día por parte de la doctrina mayoritaria italiana, así como por la alemana, la española y la latinoamericana(55). En este sentido, si el derecho penal tiene que “entrar en juego” debe hacerlo en la forma de la protección de bienes jurídicos(56). El reconocimiento del principio constitucional de lesividad (principio di offensività) impone que se reconozca la ilegitimidad de todas aquellas formas y técnicas de tutela que no castigan una ofensa (en términos de lesión o puesta en peligro, no solamente abstracta o concreta, sino también indirecta) de un interés jurídico, sino la mera violación de normas o de disciplinas formales o de una determinada tipología de autor (hacker, pedófilo, groomer, etc.).

Además de una selección “en negativo” de las formas de tutela, el reconocimiento de la centralidad de la protección del bien jurídico vincula al derecho penal “en positivo”. En este sentido el ius puniendi puede castigar solamente “hechos” materiales (nullum crimen sine actione), y no las meras intenciones o el pensamiento (de internis non iudicat praetor). En otras palabras, el derecho penal puede tener como objeto exclusivamente una conducta humana que causa una lesión a un bien jurídico o que sea idónea a ponerlo objetivamente en peligro.

Un sector de la doctrina considera, a razón de que la importancia del bien jurídico protegido tiene que ser tanto elevada cuanto más el comportamiento tipificado sea cronológicamente distante de la efectiva lesión del interés protegido(57). Solamente bienes jurídicos de nivel primario pueden ser protegidos en una fase anticipada respeto de conductas que representan para ellos un peligro abstracto o indirecto.

Aplicando este criterio a los tipos delictivos examinados en este trabajo habría que concluir que muchos de ellos, si no todos, serían constitucionalmente ilegítimos, puesto que protegen bienes jurídicos que no son de primaria importancia. Paradigmáticos en este sentido son los tipos delictivos que castigan un amplio abanico de conductas (producción, distribución, difusiones, cesión, detención, etc.) que tienen por objeto programas informáticos cuya función consiste en facilitar el acceso no autorizado a servicios de acceso condicional o de pago (p. ej.: Pay-TV).

No quepa ninguna duda que el patrimonio es un bien instrumental al desarrollo de la persona(58). Pero no se puede afirmar que el “nexo de instrumentalidad” con la personalidad del individuo sea puesto en peligro de manera significativa por conductas cuyo efecto consiste como mucho en reducir las expectativas de potenciales ganancias futuras de los proveedores de servicios criptados de pago. Tratándose de comportamientos que no causan alguna ofensa a bienes patrimoniales dotados de una dimensión personalística o, de todos modos, de utilidad pública que parece injustificado entonces el recurso al instrumento penal en una fase tan anticipada(59). Seguramente, más correcto sería recurrir, de conformidad con las exigencias de subsidiariedad, a otros instrumentos de protección extrapenal, y en particular de naturaleza civil o administrativa, así como establece, por ejemplo, el legislador alemán en este ámbito, o de naturaleza extrajurídica, favoreciendo la adopción de medidas técnicas de protección.

A conclusiones parecidas hay que llegar respecto de los tipos delictivos establecidos en materia de protección del derecho de autor que castigan conductas que tienen por objeto material, programas informáticos que permiten vulnerar medidas tecnológicas de protección de una obra intelectual (software, DVD, CD-ROM, etc.). Estos comportamientos no causan un verdadero daño económico a los titulares de los derechos de propiedad intelectual sobre obras protegidas por el copyright, sino solamente una vulneración de las medidas de protección, favoreciendo de esta manera la posibilidad de causar una pérdida económica, en consecuencia, de la fruición gratuita de estas obras.

Esta conclusión, si bien mueve premisas que en abstracto se comparten, no tiene suficientemente en cuenta la realidad empírica y criminológica de la criminalidad informática y en particular su complejidad técnica. Los delitos informáticos cometidos en el ciberespacio (o cibercrímenes “en sentido estricto”) se distinguen de manera tajante de los delitos clásicos(60).

En la criminalidad tradicional es tendencialmente apreciable una relación de “uno a uno” (one-to one crime): a una acción delictuosa (hurto, homicidio, etc.) corresponde normalmente una sola víctima. La evolución tecnológica ha demostrado, sin embargo, cómo desde una conducta delictuosa puedan derivar múltiples ofensas. Piénsese, por ejemplo, a los peligros que surgen de la contaminación ambiental o de los desastres tecnológicos(61). El cambio de este paradigma criminológico se aprecia de manera todavía más clara frente a la criminalidad cibernética (cybercrime).

El imparable desarrollo de las TIC ha favorecido en los últimos años la automatización de los delitos cibernéticos. Ellos se cometen mediante programas informáticos que ejecutan en automático y en pocos segundos una multiplicidad de operaciones ilícitas (accesos no autorizados a ordenadores, interceptaciones o alteraciones de datos, daños de sistemas informáticos, etc.) sin una contextual interacción con el hombre, excepto aquella que puede apreciarse en la mera fase inicial que consiste en la instalación y ejecución del software(62). Una vez activados con pocos clic del mouse estos peligrosos malware, no solamente la intervención del hombre no es necesaria, sino que sus efectos dañinos o perturbadores no se pueden parar con facilidad, en cuanto se realizan en un breve lapso temporal y afectan de manera indiscriminada a los usuarios conectados a la red(63).

Cambia entonces completamente la perspectiva respecto de la criminalidad tradicional. Gracias a la automatización de las nuevas tecnologías a una mera acción, o mejor dicho a la ejecución de un malware mediante la digitación de algunos comandos en el teclado del ordenador corresponden normalmente múltiples delitos (one-to many crimes)(64). El empleo ilícito de estos softwares favorece la comisión de delitos que asumen una dimensión de masa y que lesionan miles de personas, también fuera de las fronteras nacionales en la que actúa el criminal informático. Muchas son, por lo tanto, las consecuencias a la hora de determinar el locus commissi delicti y las autoridades competentes para investigar y averiguar la comisión de los delitos cibernéticos(65).

La objetiva y relevante peligrosidad de estos programas informáticos, cuyo empleo ilícito, también de forma serial, puede afectar a los bienes jurídicos que, si bien no son de nivel primario (como el patrimonio o la integridad de datos o de sistemas informáticos privados), entran en juego en su dimensión individual y a la vez colectiva. En otras palabras, la puesta en peligro no es solamente para el interés jurídico protegido de un individuo determinado, sino también de un número potencialmente indeterminado de personas por el simple hecho que están conectadas a la red.

El tendencial carácter difuso del resultado de daño o de peligro que se produce en consecuencia del empleo de estos sofisticados malware, que ponen en riesgo el interés supraindividual de la seguridad informática(66), desde cuya salvaguardia depende también la protección de la intimidad informática y de la disponibilidad de los datos y de los sistemas informáticos, justifica entonces en vía excepcional la intervención del derecho penal en una fase anticipada.

El hecho de haber demostrado cómo los tipos delictivos que tienen por objeto programas informáticos peligrosos “de doble uso” pueden perseguir una legítima finalidad de protección no basta, sin embargo, para justificar el recurso al arma más poderosa que tiene el Estado contra los comportamientos humanos dotados de desvalor social. Habrá que comprobar, además, si la norma sancionadora, así como está formulada por el legislador, es efectivamente adecuada para conseguir este objetivo(67). Se tratará, en este sentido, de determinar, en línea con el principio de fragmentariedad del derecho penal, cuáles son las técnicas de protección que permiten seleccionar los comportamientos que constituyen una efectiva e intolerable amenaza para los intereses jurídicos merecedores y que necesitan protección penal, distinguiéndolos de aquellos inocuos o que no alcanzan un nivel significativo de peligrosidad.

7.2. El objetivo carácter ofensivo del ‘hecho’ delictivo

En la tipificación normativa del hecho delictivo tienen que reflejarse los aspectos que caracterizan, en términos de lesividad u objetiva peligrosidad, la conducta, o, mejor dicho, el Tatbestand, como conjunto de elementos constitutivos de la norma penal sancionadora. El hecho delictivo tiene entonces que caracterizarse, a nivel objetivo, por su idoneidad, susceptible de comprobación judicial en el caso concreto(68), a causar una lesión o por lo menos un peligro (si bien solamente abstracto o indirecto) para un bien jurídico.

Dos son las condiciones que tienen que producirse básicamente para que se pueda decir que una conducta prodrómica o preparatoria determina un objetivo y significativo aumento del riesgo para un bien jurídico protegido y que no tiene ninguna justificación alternativa, siendo destinada a la comisión de un delito más grave (por parte del sujeto agente o de un tercero). La primera tiene un carácter objetivo, mientras que la segunda se caracteriza por su doble carácter “objetivo-subjetivo”.

Desde un punto de vista estrictamente objetivo, una conducta prodrómica o preparatoria (Vorfeldhandlung) tiene un carácter ofensivo cuando crea o aumenta el riesgo de lesión para un bien jurídico protegido (Risikoerhöhung)(69). Ella asume una inequivocable connotación delictiva (eindeutig deliktischer Sinnbezug) o, mejor dicho, ofensiva cuando puede tener solamente el significado de simplificar o facilitar la comisión de un delito, no existiendo otra plausible explicación que pueda justificar su realización(70). En contra, esta connotación objetiva falta cuando el comportamiento humano se haya llevado a cabo para conseguir intereses socialmente legítimos(71).

Los examinados tipos delictivos previstos en la legislación penal italiana que tienen por objeto programas informáticos utilizables para la comisión de un delito castigan, como hemos visto, conductas neutras, que en sí mismos no presentan ningún desvalor social. Su carácter de peligro habrá que ser apreciado en relación con otros elementos constitutivos del hecho delictivo. En este sentido, las conductas prodrómicas o preparatorias se coloran en términos de intrínseca peligrosidad para un bien jurídico cuando tienen por objeto un programa informático que puede ser efectivamente empleado para cometer un hecho que constituye un delito(72).

Como se ha podido subrayar anteriormente, ninguna de las técnicas de formulación normativa empleada a nivel supranacional logra determinar con suficiente precisión cuáles son los programas informáticos que representan, de por sí, un peligro por un determinado interés jurídico(73). Excesivamente estricta, además que contrastar con las características técnicas de los nuevos dispositivos técnicos, es la decisión de limitar la sanción criminal a los programas exclusivamente destinados a la comisión de un delito. No solamente no es fácil determinar en ámbito procesal si un software puede ser utilizado solamente para finalidades ilícitas: limitando el objeto material a los programas únicamente destinados a cometer un delito, se acabaría con excluir automáticamente la relevancia penal de las conductas que tienen por objeto los numerosos programas informáticos que se pueden utilizar para llevar a cabo distintas funciones, entre las cuales hay una que consiste en permitir la realización de un hecho ilícito. Esta técnica de formulación reduciría, por lo tanto, la previsión legal a un rol meramente simbólico.

Seguramente más correcta es la opción de seleccionar aquellos programas informáticos que se caracterizan, en el plano objetivo, por su idoneidad a cometer determinados delitos (interceptaciones de datos, acceso no autorizado a un sistema informático protegido, falsificación de medios de pago, violaciones del copyright, etc.). La disponibilidad de estos softwares, sean ellos multifuncionales o utilizables también por perseguir finalidades ilícitas, facilitaría al sujeto agente o a un tercero a cometer un determinado delito.

Recurrir a esta técnica de tipificación normativa, susceptible por sí misma de respetar los fundamentales principios de determinación-taxatividad y precisión, tendría la indudable ventaja de asegurar la efectividad de los tipos delictivos, garantizando la posibilidad de su aplicación en la práctica procesal(74).

No todas las conductas que tienen por objeto un programa informático idóneo para cometer un delito tienen un idéntico grado de desvalor social. Aquellas que consisten en una “puesta a disposición” no autorizada a un número indeterminado de personas de un software peligroso determinan un mayor aumento del riesgo para los bienes jurídicos protegidos(75). En consecuencia, de la distribución mediante un programa P2P o de la difusión de un malware en red cualquier sujeto podría apoderarse de él y emplearlo para finalidades ilícitas. Difícil sería además su supresión, puesta la facilidad con la que podría ser duplicado.

Menor sería, en contra, el grado de peligrosidad de las conductas que consisten en el ejercicio de un dominio o control sobre estos software(76). En este caso habría solamente la posibilidad de emplear los programas informáticos para finalidades ilícitas o de permitir a terceros de utilizar o engancharse a esta conducta para conseguir propósitos criminales(77). En consecuencia, será oportuno que el marco sancionador establecido para los mencionados delitos no sea limitado dentro de márgenes demasiados estrictos. Solamente de esta manera se garantirá al juez la posibilidad de medir la pena en proporción al distinto grado de peligro de presuponer el hecho delictivo, cometido por el acusado.

La mera connotación en términos de objetiva idoneidad del objeto material de la conducta típica (de producción, de cesión, de entrega, etc.) no basta sin embargo para seleccionar los actos prodrómicos o preparatorios típicamente y generalmente caracterizados por un inequivocable sentido ofensivo. Un system administrator podría tener la disponibilidad de un peligroso malware no para finalidades ilícitas, sino para estudiar su estructura y desarrollar una vacuna (p. ej.: un anti-virus o un firewall), que permita neutralizar sus efectos dañinos con el objetivo de garantizar la seguridad de una red telemática empresarial (Intranet). Si se castigase el simple hecho de tener la disponibilidad de un programa informático idóneo para cometer un delito o ponerlo a disposición de sujetos determinados (p. ej.: una software house) se acabaría con prohibir gran parte de las actividades llevadas a cabo por los expertos del sector IT para mejorar el nivel de seguridad informática, que en sí no tienen un desvalor social y no aumentan de manera significativa el riesgo de lesión de un bien jurídico.

Para evitar una excesiva criminalización, habría que seleccionar de manera más precisa los hechos que tienen un carácter preparatorio o facilitador y que ponen objetivamente en peligro (si bien de manera indirecta) los bienes jurídicos protegidos. En este sentido habría que pedir, desde un punto de vista subjetivo, que la conducta se lleve a cabo con la intención, mejor dicho, con el fin de cometer un hecho ilícito o de causar un resultado lesivo(78).

Según destacada doctrina, solamente a través de la previsión expresa de la intención del sujeto agente de emplear aquel determinado objeto para una finalidad ilícita, el hecho tipificado asumiría una inequivocable connotación delictuosa(79). La finalidad que mueve la conducta del sujeto agente manifestaría la intención de cometer con aquel objeto ilícito (armas, explosivos, malware, etc.) un determinado comportamiento humano constitutivo de delito, enriqueciendo, en el plano (exclusivamente) subjetivo, la descripción del hecho típico. Sin embargo, la conclusión sistemática a la que llega este sector doctrinal no parece correcta.

La previsión del fin ilícito que mueve el hecho-básico, antes de incidir en el elemento subjetivo del tipo, tiene una fundamental función tipificadora(80). Mediante la tipificación normativa de un fin específico de cometer un delito o de causar un resultado lesivo se seleccionan, ya a nivel objetivo, las conductas que son efectivamente instrumentales a la producción del resultado (ilícito) que persigue el sujeto agente.

Evidente es la importancia que asume el “nexo teleológico” que tiene que unir la conducta o el hecho-básico (de producción, de detención, de difusión, etc.) que tiene por objeto un software peligroso con la finalidad ilícita tipificada de manera expresa por el legislador. El fin específico de cometer aquel determinado delito (o resultado lesivo) que tiene que mover la conducta objetivamente descrita no solamente no implica su representación previa por parte del sujeto agente, sino que tampoco exige que tenga una eficacia causal sobre su actuar externo(81). En otras palabras, el comportamiento instrumental llevado a cabo por el sujeto constituye ya la parcial realización de aquel fin ilícito, en cuanto es el medio necesario para producirse el resultado que el mismo persigue(82). El fin específico de cometer un hecho lesivo o constitutivo de un delito concurre en definitiva a manifestar el objetivo sentido preparatorio que asume la conducta en cuanto instrumental al conseguimiento de aquel resultado. Solamente si existe esta conexión teleológica con el fin tipificado será posible afirmar que la conducta es típica y, por lo tanto, penalmente relevante.

Mediante el recurso a esta técnica de previsión normativa es posible asegurar al sector IT la posibilidad de continuar a desarrollar y comprobar de manera legítima los softwares necesarios para verificar la vulnerabilidad de los sistemas informáticos y de estudiar las amenazas representadas por los malware. El técnico informático que produce un programa para crackear las contraseñas no sería penado, en el supuesto en que con su conducta persiga el legítimo fin de simular un ataque a un ordenador para estudiar su resistencia a las amenazas que llegan desde la red. Respecto de estos comportamientos faltaría aquella relación “de medio a fin” entre la disponibilidad de un programa informático “de doble uso” y el fin de cometer un determinado delito o de causar un resultado contra ius.

Sin embargo, en determinados casos, la previsión, en la descripción normativa del hecho típico, del fin específico de cometer un delito (de acceso no autorizado a un sistema informático protegido por medidas de seguridad, de daños de datos o de sistemas informáticos, etc.) o de causar un resultado lesivo (p. ej.: causar a otros un daño) podría restringir excesivamente el ámbito de lo relevante penalmente. Piénsese, por ejemplo, al desarrollador informático que, después de haber creado un sofisticado malware que permite vulnerar las medidas de seguridad de un sistema operativo, decida cederlo o venderlo sin autorización a terceros o ponerlo a disposición de otros en red.

En este caso, su conducta no podría ser reconducida en el delito a “dolo específico”, puesto que no persigue la finalidad de cometer o de hacer cometer un delito o de causar un daño a terceros. Si bien aceptase el riesgo que el sujeto al que cede el programa pueda utilizarlo para finalidades ilícitas no se integraría el fin específico. La causa de su actuar no sería la realización del fin expresamente tipificado por la previsión legal, sino el hecho de perseguir un distinto interés “de parte” (p. ej.: un provecho económico) cuya obtención no depende de realizarse aquel fin específico(83). La conducta, si bien crea seguramente un peligro para los bienes jurídicos protegidos, quedaría impune.

Para evitar que se creen lagunas normativas, habría que incriminar de manera autónoma las conductas que consisten en el poner sin autorización a disposición de terceros un software objetivamente idóneo para cometer un delito(84). Respecto de estos comportamientos bastaría con el exigir que el hecho se lleve a cabo con la “voluntad consciente” de difundir sin autorización a sujetos indeterminados un programa informático que es idóneo para cometer un delito (de acceso no autorizado a un sistema informático, de interceptación de datos informáticos, etc.). Solamente de esta manera sería posible castigar también aquellas conductas que, si bien no son instrumentales a la realización de un delito por parte del sujeto agente o de un tercero, crean un ilegítimo y significativo aumento del riesgo para los bienes jurídicos protegidos y no pertenecen al normal desarrollo de actividades legítimas y socialmente adecuadas de sujetos que operan cotidianamente en el sector IT para mejorar el nivel de la seguridad informática.

7.3. La necesidad y la proporcionalidad de la sanción penal

Por último, habrá que verificar, en una lógica de extrema ratio, la efectiva necesidad de recurrir al instrumento penal para castigar en el ámbito examinado, meros actos prodrómicos o preparatorios a la comisión de delitos más graves. En este sentido será necesario establecer, en línea con el principio fundamental de subsidiariedad, si no sea posible prevenir los riesgos que derivan de las conductas que tienen por objeto un software idóneo a cometer un delito, recurriendo a instrumentos y medidas de control que limiten en menor medida los espacios de libertad del sujeto (sanciones civiles o administrativas, medidas de seguridad, dispositivos técnicos de protección, etc.).

El recurso al instrumento penal en este ámbito parece, sin embargo, inevitable si se tiene en cuenta la objetiva peligrosidad de los programas malware y del riesgo que su difusión pueda favorecer una criminalidad de masa(85). Demasiado elevados son los riesgos que pueden surgir para la infraestructuras críticas (tráfico aéreo, hospitales, centrales eléctricas o nucleares, etc.), cuyo correcto funcionamiento depende de la integridad y de la disponibilidad de datos y de sistemas informáticos, por la distribución y de la circulación indiscriminada de estas insidiosas “armas cibernéticas”, pero también para los bienes jurídicos de un número potencialmente indeterminado de personas por el mero hecho que están conectados a Internet.

En la determinación del tratamiento sancionador de los mencionados hechos delictivos habrá de todos modos que tener en cuenta el limitado significado lesivo que ellos asumen respecto de la efectiva ofensa (en términos de lesión o de directa puesta en peligro en grado más próximo) del interés protegido por la norma penal y que deriva de la realización del resultado hacia el cual miran (daños de datos y de sistemas informáticos, interceptaciones de datos, falsificaciones de monedas o de sistemas de pago, fraudes, etc.).

Parece entonces contrastar con el principio de proporcionalidad el tratamiento sancionador (reclusión de 1 a 5 años y multa) previsto por el legislador italiano por las conductas que tienen por objeto programas informáticos destinados exclusivamente a la falsificación de monedas (C.P., art. 461). Este acto, que constituye un acto prodrómico del delito más grave de alteración de monedas (C.P., art. 454), se castiga con la misma pena establecida por este último. Se trata entonces de una decisión sancionadora que no es sistemáticamente razonable. La pena prevista por un delito que castiga de manera autónoma actos prodrómicos de un delito más serio (p. ej.: C.P., arts. 435, 455, 462) tiene necesariamente que ser inferior respecto de la que se establece para este último y, de todos modos, proporcionada a la que se establece por la tentativa del delito a la cuya comisión está dirigido(86).

8. Consideraciones finales y propuestas de lege ferenda

En conclusión, podemos decir que por una correcta incriminación de las conductas que tienen por objeto un dual-use software y, más en general, los productos de “doble uso” (ganzúas, armas, sustancias bacteriológicas, informaciones, etc.) habrá que respectar básicamente tres requisitos.

En primer lugar, el legislador debería describir de manera precisa el objeto material del delito. Esto no significa que tendría que castigar solamente aquellos programas informáticos que están específica o exclusivamente destinados a cometer un delito. Mediante el recurso a esta discutible técnica de tipificación legislativa, se acabaría con el restringir excesivamente el ámbito de la tutela penal, destinando los mencionados tipos delictivos a un rol simbólico. Esto explica por qué la aplicación jurisprudencial de estos delitos, a distancia de muchos años desde su entrada en vigor, sigue siendo muy escasa o prácticamente nula.

Seguramente, más oportuna parece la decisión de castigar las conductas que tienen por objeto programas informáticos que por su intrínseca naturaleza son objetivamente idóneos para cometer un delito. En este sentido es correcta la técnica de formulación normativa empleada por el legislador italiano en el artículo 615-quater del Código Penal, en la parte que castiga a los dispositivos que son idóneos para cometer un acceso no autorizado a un sistema informático protegido por medidas de seguridad.

Para una correcta delimitación del área penalmente relevante no es suficiente, sin embargo, exigir que el objeto material del delito se caracterice, desde un punto de vista objetivo, en términos de idoneidad para cometer un delito. De esta manera se castigarían indiscriminadamente todas las conductas (de producción, detención, cesión, distribución, etc.) que tienen por objeto un software que puede ser utilizado para finalidades ilícitas.

Los expertos informáticos, así como aquellos que trabajan en el sector IT adquieren, desarrollan, utilizan o ceden programas informáticos idóneos para cometer un delito para realizar controles de seguridad (security testing), para finalidades de estudio o para crear programas idóneos a contrastar las nuevas amenazas que se circulan en la red. Ellos mismos, al igual que los criminales informáticos, pueden producir, procurarse, adquirir o emplear estos softwares para llevar a cabo ataques contra sistemas informáticos (accesos no autorizados a un ordenador, interceptaciones de comunicaciones entre sistemas telemáticos, daños de datos o de sistemas informáticos, violaciones del copyright, etc.).

Para que las conductas que tienen por objeto un programa informático idóneo para cometer, también de manera serial, un delito asuman un objetivo carácter ofensivo y contribuyan a aumentar significativamente el peligro para los bienes jurídicos protegidos, habrá que pedir, a nivel subjetivo, que el hecho se lleve a cabo con la finalidad de utilizar aquel determinado objeto peligroso para realizar un hecho que constituye un delito o para causar un resultado lesivo.

Contrario a lo que sostiene hoy en día la doctrina mayoritaria italiana la previsión de un fin específico que mueve la conducta, antes de calificar el elemento subjetivo y la culpabilidad, permite seleccionar los hechos que son objetivamente instrumentales para conseguir aquel fin ilícito, que constituye la causa, rectius interés causal que realmente determina el sujeto que va a actuar. Mediante el recurso a esta técnica normativa se tipifica la proyección conflictual de la conducta del sujeto agente respecto del contrapuesto interés que pertenece al sujeto pasivo, si bien indeterminado(87). Llevando a cabo aquella determinada conducta para cometer hechos constitutivos de un delito (o de un resultado lesivo) que representan el objeto del fin expresamente tipificado en la norma penal, el sujeto agente pone ya en peligro el contrapuesto interés, perteneciente a un individuo o a un grupo indeterminado de personas.

La previsión del fin de cometer un delito o de causar un resultado lesivo, que tiene que ser unido a la conducta-básica que tiene por objeto un software idóneo para cometer (también de manera serial) un delito, podría tener como efecto el de restringir excesivamente el área de lo relevante penalmente. Las conductas que consisten en la “puesta a disposición” de un programa informático peligroso a sujetos indeterminados, sin la finalidad de cometer un delito, no serían penalmente relevantes, si bien podrían constituir una seria amenaza para los bienes jurídicos protegidos. Sería entonces oportuno castigar de manera autónoma los comportamientos llevados a cabo con voluntad y consciencia (dolo general) de poner a disposición de un número indeterminado de sujetos un programa informático objetivamente idóneo para cometer un delito.

En tercer y último lugar habría que exigir en el plano de la descripción del Tatbestand, que los hechos delictivos que tienen por objeto un software “de doble uso” se lleven a cabo en ausencia de autorización o sin derecho. Mediante esta oportuna cláusula de antijuridicidad especial sería posible asegurar a los técnicos que trabajan en el sector IT la posibilidad de obrar de manera lícita y de perseguir sus legítimas finalidades de mejorar los estándares de seguridad informática, en el interés también de la colectividad y de la sociedad, que dependen cada vez más del correcto y seguro funcionamiento de los sistemas informáticos y telemáticos interconectados con Internet.

(1) Sobre la emersión y la dimensión social de estos nuevos intereses jurídicos en la actual sociedad de la información véase L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, en Id. (dir.), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, p. 21 ss., p. 70 ss.; también I. Salvadori, L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, en L. Picotti (dir.), Tutela penale della persona e nuove tecnologie, Padova, 2013, pp. 125 y ss., pp. 149 y ss.

(2) En el marco de este trabajo el concepto de malware se empleará en sentido amplio para hacer referencia al software que se puede emplear para llevar a cabo actos ilícitos, y en particular acceder sin autorización a un sistema informático (hacking tools), dañar datos o sistemas informáticos (virus, worm, ransomware, etc.), eludir medidas tecnológicas que protegen obras intelectuales (cracking tools) o interceptar datos informáticos (spyware, trojan horses, key-logger, etc.).

(3) Esta definición ha sido empleada por primera vez por A. Popp, § 202c StGB und der neue Typus des europäischen “Software-Delikts”. En: GA, 2008, p. 375 y ss.

(4) Cfr. L. Picotti, Sicurezza, informatica e diritto penale, in M. Donini, M. Pavarini (dirs.), Sicurezza e diritto penale, Bologna, 2011, pp. 217 y ss., pp. 221 y ss. En general, en relación con las características del derecho penal de la prevención, véase W. Wohlers, Deliktstypen des Präventionsstrafrechts. Zur Dogmatik “moderner” Gefährdungsdelikte, Berlin, 2000, passim; y W. Hassemer, Sicherheit durch Strafrecht, en ZIS, 2006, p. 266 y ss.; en la doctrina italiana M. Donini, Sicurezza e diritto penale. La sicurezza come orizzonte totalizzante del discorso penale, en M. Donini, M. Pavarini (dirs.), Sicurezza, cit., pp. 11 y ss., pp. 14 y ss., que subraya cómo la exigencia de garantizar una mayor seguridad a la colectividad ha favorecido el cambio desde el modelo de Estado de derecho a un Estado de la prevención.

(5) Cfr. J. Clough, Principles of Cybercrime, 2nd ed., Cambridge, 2015, p. 135.

(6) Cfr. M. Albrecht, Die Kriminalisierung von Dual-Use-Software, Berlin, 2014, p. 18.

(7) Piénsese, por ejemplo, al programa VLC Media Player. Este software multifuncional, muy difuso en la red, es un lector multimedia que permite a los usuarios reproducir lícitamente música y videos. Sin embargo, un tiempo permitía vulnerar también las medidas de protección de los DVD.

(8) Paradigmáticos en este sentido son los hacking tools. Estos softwares se emplean por hackers y criminales informáticos para acceder sin autorización a sistemas informáticos protegidos por medidas de seguridad. Estos softwares pueden ser empleados a la vez lícitamente por los técnicos informáticos que trabajan en el sector IT para comprobar el nivel de protección de un ordenador, de una red WIFI o de un sistema operativo. No se trata, por lo tanto, de programas informáticos en sí ilícitos, puesto que su carácter ilícito depende de la destinación que a ellos da el que los utiliza.

(9) El concepto de “dispositivos ilícitos” incluye, con base en la definición del artículo 2º, lit. d), del citado Convenio, también los programas informáticos concebidos o adaptados para (designed or adapted to; conçu ou adapté pour) permitir el acceso de forma inteligible sin autorización a uno de los servicios de acceso condicional o basados en dicho acceso.

(10) La directiva define el concepto de “dispositivo ilícito” como “cualquier equipo o programa informático diseñado o adaptado para hacer posible el acceso a un servicio protegido en forma inteligible sin autorización del proveedor del servicio” (art. 2, letra c).

(11) Esta técnica de formulación se ha empleado, como hemos visto, también en la directiva 2001/29/UE (arts. 4º y 2º, lit. e), y en el Convenio del Consejo de Europa sobre la protección jurídica de los servicios de acceso condicionados (art. 2º, lit. d).

(12) Se trata de la formulación empleada en el artículo 6º CoC, en el artículo 3º, n. 1, lit. d, de la Decisión Marco 2000/383/JAI, en el artículo 6º, n. 2, lit. c, directiva 2001/29/CE y recientemente en el artículo 7 de la directiva 2013/40/UE.

(13) Cfr. M. Albrecht, op. cit., pp. 178, p. 181.

(14) Council of Europe, Explanatory Report, cit., par. 73.

(15) M. Albrecht, op. cit., p. 182.

(16) M. Albrecht, op. cit., p. 188.

(17) Ibídem.

(18) M. Albrecht, op. cit., p. 189, nota 462.

(19) Para un primer comentario al mencionado delito véase C. Pecorella, Diritto penale dell’informatica, rist. agg., Padova, 2006, pp. 356 y ss., que considera se trate de un delito de peligro (necesariamente) indirecto.

(20) Sobre la estructura normativa del artículo 615-ter del C.P. véase I. Salvadori, L’accesso abusivo ad un sistema, cit., pp. 125 y ss.

(21) El tipo delictivo no castiga de manera expresa la simple detención de dispositivos. Según un sector de la doctrina, la detención quedaría incluida en el hecho típico de procurarse los mencionados objetos materiales. En este sentido véase, por ejemplo, G. D’Aietti, La tutela dei programmi e dei sistemi informatici. En: AA. VV., Profili penali dell’informatica, 1994, p. 39 y ss., 81. Como se ha podido demostrar en el ámbito de una investigación más amplia sobre los delitos de posesión, el procurarse (la posesión o la detención de) una cosa o de un objeto abarca las conductas dirigidas a obtener su disponibilidad. Se trata, por lo tanto, de un acto que precede la posesión (o la detención) y que, por regla general, constituye su antecedente (véase I. Salvadori, I reati di possesso. Un´indagine dogmatica e politico criminale in prospettiva storica e comparata, Napoli, 2016, cit., p. 7).

(22) Cfr. G. Fiandaca, E. Musco, Dir. pen., PS, vol. II, t. I, IV ed., Bologna, 2013, p. 297. Análogo elemento ha sido empleado en el delito de acceso no autorizado a un sistema informático (C.P., art. 615-ter). En relación con la específica función en la economía del delito y a su significado véase I. Salvadori, Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615-ter c.p. En: Riv. trim. dir. pen. econ., 2012, n.1-2, p. 369 y ss., p. 381 y ss.

(23) En este sentido véase, por ejemplo, G. Marini, Delitti contro la persona, Torino, II ed., 1996, p. 390, que entiende el carácter abusivo de la conducta como falta de título a obrar, sea por la ausencia del reconocimiento de esta facultad por parte del ordenamiento, sea por parte de quien tiene el derecho a autorizarlo o de todos modos por la presencia de causas de justificación (Id., op cit., pp. 390-391, nota p. 29); F. Mantovani, Dir. pen., PS, I, V ed., Padova, 2013, p. 575, que comparte su mención expresa, en cuanto serviría para llamar la atención de juez a la hora de evaluar la ilegitimidad del comportamiento.

(24) El sujeto tendrá que considerarse consciente además del carácter no autorizado de la conducta, puesto que en el objeto del dolo abarca también los elementos normativos que concurren a definir el precepto. En este sentido véase, más en general, Cfr. M. Romano, Pre-Art. 39/63-64. En: Commentario sistematico del Codice penale, 3ª ed. rinn. y ampl., Milano, 2004, p. 324. Sobre la distinción entre cláusulas de ilicitud expresa y especial véase, por todos, D. Pulitanò, Illiceità espressa e illiceità speciale, en Riv. it. dir. proc. pen., 1967, p. 65 y ss., p. 73 y ss.; más recientemente también G. Morgante, L’illiceità speciale nella teoria del reato, Torino, 2002, pp. 27 y ss., p. 30 y ss., p. 61 y ss.

(25) Cfr. L. Picotti, Internet e diritto penale: il quadro attuale alla luce dell’armonizzazione internazionale, en Dir. dell’Internet, n. 2, 2005, pp. 189 y ss., p. 197.

(26) Para un comentario crítico sobre la original formulación de este delito, véase C. Pecorella, Diritto penale dell’informatica, cit., p. 235 y ss.

(27) Véase retro, par. 4.3.2.

(28) Sobre este tema véanse las consideraciones críticas de C. Sarzana, Comunità virtuale e diritto: il problema dei Bulletin Board System, en Dir. pen. proc., 1995, pp. 375 y ss.; L. Picotti, La ratifica della Convenzione Cybercrime del Consiglio d’Europa, Profili di diritto penale sostanziale. En: Dir. pen. proc., n. 6, 2008, pp. 700 y ss., pp. 708-709.

(29) Cfr. L. Picotti, op. cit., p. 709 y ss.

(30) Sobre la criticable técnica de redacción normativa de los tipos que castigan los daños de datos y de sistemas informáticos privados y públicos véase I. Salvadori, Il “microsistema” normativo concernente i danneggiamenti informatici. Un bilancio molto poco esaltante. En: Riv. it. dir. proc. pen., n. 1, 2012, pp. 204 y ss.; Id., Los delitos de daños informáticos en el Código penal italiano, en Revista Derecho Penal Contemporaneo, vol. 47, 2014, p. 87 y ss.

(31) U. Sieber, Legitimation und Grenzen von Gefährdungsdelikten im Vorfeld von terroristischer Gewalt. Eine Analyse der Vorfeldtatbestände im “Entwurf eines Gesetzes zur Verfolgung der Vorbereitung von schweren staatsgefährdenden Gewalttaten”. En: NStZ, H. 7, 2009, pp. 353 y ss., p. 358.

(32) Ibídem.

(33) Ibídem.

(34) En relación con esta peculiar categoría de delitos véase A. Pagliaro, Il reato, en Trattato di diritto penale, PG, dirigido por C.F. Grosso, T. Padovani y A. Pagliaro, Milano, 2007, p. 34; F. Mantovani, Dir. Pen., PG, 9ª ed., Padova, 2015, p. 218.

(35) Sobre los delitos de peligro indirecto véase ya, en la doctrina italiana, V. Manzini, Trattato di diritto penale italiano, I, 2ª ed., Torino, 1920, p. 686; F. Grispigni, Diritto penale italiano. La struttura della fattispecie legale oggettiva, II, 2ª ed., Milano: 1952, p. 77; F. Angioni, Contenuto e funzioni del concetto di bene giuridico, Milano: 1983, p. 176 y ss.; G. Marinucci, E. Dolcini, Manuale di diritto penale, PG, 5ª ed., Milano: 2015, p. 593 y ss., que distinguen entre delitos de peligro necesariamente indirecto y eventualmente indirecto; más recientemente también I. Salvadori, I reati di possesso, cit., p. 234 y ss.

(36) Se trata, por lo tanto, de delitos compuestos de otro delito, que constituye el objeto del dolo específico cuya realización el sujeto activo persigue con su conducta. Sobre la categoría del “delito-elemento del delito” véase las consideraciones de G. Morgante, Il reato come elemento del reato. Analisi e classificazione del concetto di reato richiamato dalla fattispecie penale, Torino: 2013, en particular pp. 10 y ss., p. 58 ss.

(37) L. Picotti, “Dolo specifico” und Absichtsdelikte. Der sog. Handlungszweck zwischen gesetzlicher Formulierungstechnik und dogmatischen Begriffen, en FS-Frisch, Berlin, 2013, pp. 363 y ss., p. 376 y ss.; Id., Zwischen ‘spezifischem’ Vorsatz und subjektiven Unrechtselementen. Ein Beitrag zur typisierten Zielsetzung im gesetzlichen Tatbestand, Berlin, 2014, p. 37 y ss.

(38) Cfr. U. Sieber, Legitimation und Grenzen, cit., p. 359, que, tomando en cuenta el rol fundamental que asume el “diseño criminal” que mueve la conducta del sujeto agente, habla de “Planungsdelikte”. Sobre esta categoría de delitos véase también U Sieber, B. Vogel, Terrorismusfinanzierung. Prävention im Spannungsfeld von internationalen Vorgaben und nationalem Tatstrafrecht, Berlin, 2015, pp. 140 y ss., p. 147 y ss.

(39) Cfr., por ejemplo, G. Marinucci, Soggettivismo e oggettivismo nel diritto penale. Uno schizzo dogmatico e politico-criminale. En: Riv. it. dir. proc. pen., 2011, p. 1 ss., p. 9; S. Seminara, Il delitto tentato, Milano: 2012, p. 834 y ss.; F. Mantovani, Dir. pen., PG, cit., p. 434; G. Marinucci, E. Dolcini, Corso di diritto penale, 1, 3ª ed., Milano: 2001, cit., p. 598 y ss.

(40) En este sentido F. Mantovani, op. cit., p. 445.

(41) Cfr. H.-H. Jescheck, T. Weigend, Lehrbuch des Strafrechts, AT, 5. voll. neubearb. u. erweit. Aufl., Berlin, 1996, p. 523; A. Eser, Vorb. § 22 StGB. En: A. Schönke, H. Schröder (Hrsg.), Strafgesetzbuch, cit., Rn. 13, pp. 404-405.

(42) Véase I. Salvadori, I reati di possesso, cit., p. 258 y ss.

(43) Sobre la facilitación (agevolazione) como forma de participación en el delito cometido por terceros véase el estudio monográfico de L. Stortoni, Agevolazione e concorso di persone nel reato, Padova, 1981, passim.

(44) En relación con la accesoriedad (accessorietà) véase, por todos, además del clásico estudio de C. Pedrazzi, Il concorso di persone nel reato, Palermo: 1952, p. 22 y ss., en particular p. 28 y ss.; G. Insolera, Problemi di struttura del concorso di persone nel reato, Milano: 1986, p. 8 y ss.; S. Seminara, Tecniche normative e concorso di persone nel reato, Milano: 1987, p. 279 y ss.

(45) Marinucci G., Dolcini E., Manuale di diritto penale, PG, cit., p. 461 y ss.

(46) No siempre el sujeto agente es consciente de que el software que pone a disposición de terceros será empleado para cometer un delito. Piénsese, por ejemplo, a los casos en que un malware se cuelgue en una página web libremente accesible por un número indeterminado de usuarios y que puede ser descargado gratuitamente. En el caso en que el sujeto agente ceda el malware a quien quiere utilizarlo para cometer un delito, pero este último sucesivamente por distintas razones decida de no llevar acabo aquel delito, habría una tentativa de concurso en el delito o, mejor dicho, una tentativa de participación no punible en el ordenamiento italiano en aplicación del artículo 115 del C.P. Cfr., en general, F. C. Palazzo, Corso di diritto penale, PG, V ed., Torino: 2013, p. 494 y ss.

(47) El que vende o cede a un tercero un programa malware a sabiendas que quiere utilizarlo para finalidades ilícitas se castiga de manera autónoma, también en el caso en que aquel determinado delito no se lleve finalmente a cabo.

(48) En este sentido se podría hablar, utilizando la expresión creada por J. Bentham, de “delitos probatorios” (J. Bentham, The Theory of Legislation, in Bentham’s Theory of Legislation: being Principes de Législation and Traités de Législation, traducción desde el francés de Étienne Dumont (1st ed. London, 1864, rist. London 1931, pp. 425-427). Sobre este tema véase también I. Salvadori, I reati di possesso, cit., p. 374 y ss.

(49) Se trata de la expresión creada por M. Donini, Modelli di illecito penale minore. Un contributo alla riforma dei reati di pericolo contro la salute pubblica. En: M. Donini, D. Castronuovo (dirs.), La riforma dei reati contro la salute pubblica. Sicurezza del lavoro, sicurezza alimentare, sicurezza dei prodotti, Padova: 2007, p. 201 y ss., p. 254, pp. 258-260. Hay que precisar, sin embargo, que el autor citado emplea este concepto para hacer referencia a los delitos centrados en la inobservancia de reglamentos, reglas preventivas o cautelares, órdenes u obligaciones. En contra, en el ámbito del presente trabajo el concepto de “delitos de prevención” se emplea en sentido más amplio, para abarcar todos los tipos delictivos que se distinguen de los delitos “de represión”, en cuanto más que castigar la lesión o la puesta en peligro (abstracta o concreta) de un bien jurídico incriminan comportamientos que son prodrómicos o preparatorios a la comisión de un delito o que de todos modos facilitan su realización. En este sentido la doctrina alemana habla de Vorfeldsdelikte: véase, por ejemplo, U. Sieber, Grenzen des Strafrechts. Grundlagen und Herausforderungen des neuen strafrechtlichen Forschungsprogramms am Max-Planck-Institut für ausländisches und internationales Strafrecht. En: ZStW, Heft. 119, 2007, p. 11 y ss., pp. 27-28.

(50) En este sentido habla de delitos de consumación anticipada M. Parodi Giusino, La condotta nei reati a tutela anticipata. En: Ind. pen., 1999, p. 687 y ss., p. 688.

(51) M. Donini, Modelli di illecito penale minore, cit., pp. 254, p. 260, donde afirma que en relación con estos delitos la norma al mismo tiempo protege y produce un bien jurídico.

(52) M. Donini, op. cit., p. 254.

(53) Véase retro, par. 6.1.

(54) Sobre los problemas dogmáticos y político-criminales que plantea la anticipación de la tutela penal véase, por ejemplo, G. Grasso, L’anticipazione della tutela penale: i reati di pericolo e di attentato. En: Riv. it. dir. proc. pen., 1986, pp. 689 y ss.; M. Parodi Giusino, La condotta, cit., pp. 687 y ss., en particular p. 690; con referencias a la doctrina extranjera véase también I. Salvadori, I reati di possesso, cit., pp. 211, p. 234 y ss., p. 253 y ss. En la doctrina alemana véase G. Jakobs, Kriminalisierung im Vorfeld einer Rechtsgutsverletzung. En: ZStW, 1985, Bd. 97, H. 4, pp. 751 y ss.; W. Wohlers, Deliktstypen des Präventionsstrafrechts, cit., passim; J. Puschke, Grund und Grenzen des Gefährdungsstrafrechts am Beispiel der Vorbereitungsdelikte. En: R. Hefendehl (Hrsg.), Grenzenlose Vorverlagerung des Strafrechts?, Berlin, 2010, pp. 9 y ss.

(55) En este sentido véase, además del clásico estudio de F. Bricola, Teoria generale del reato. In: Noviss. dig. it., XIX, Torino: 1973, pp. 5 y ss., en particular pp. 81 y ss.; G. Marinucci, Fatto e scriminanti. Note dogmatiche e politico-criminali. En: Riv. it. dir. proc. pen., 1983, pp. 1190 y ss., 1207 y ss.; F. Angioni, Contenuto e funzioni, cit., pp. 108 y ss.; Manes V., Il principio di offensività. Canone di politica criminale, criterio ermeneutico, parametro di ragionevolezza, Torino: 2005, passim; más recientemente M. Donini, “Danno” e “offesa” nella cd. tutela penale dei sentimenti. Note su morale e sicurezza come beni giuridici, a margine della categoria dell’”offense” di Joel Feinberg. En: A. Cadoppi (dir.), Laicità, valori e diritto penale. The Moral Limits of the Criminal Law. In ricordo di Joel Feinberg, Milano: 2010, pp. 41 y ss., p. 49; y en particular Id., Il principio di offensività. Dalla penalistica italiana ai programmi europei. En: Dir. pen. cont. - Riv. trim., 2014, n. 4, pp. 4 y ss., nota 1; D. Pulitanò, Offensività del reato (principio di). En: Enc. dir., Annali VIII, Milano: 2015, pp. 665 y ss.

(56) M. Donini, “Danno” e “offesa”, cit., pp. 49-50; Id., Il principio di offensività, cit., p. 7.

(57) En este sentido véase ya F. Angioni, Contenuto e funzioni, cit., p. 181 y ss.; G. Marinucci, E. Dolcini, Corso, cit., p. 602.

(58) Cfr. G. Fiandaca, Il “bene giuridico” come problema teorico e come criterio di politica criminale. En: A. Stile (dir.), Bene giuridico e riforma della parte speciale, Napoli, 1985, pp. 3 y ss., p. 44.

(59) Considera oportuno recurrir, en lugar del instrumento penal, a otros medios de control social para tutelar el patrimonio, en razón de su nivel no prominente entre los intereses merecedores de protección que menciona la constitución italiana, S. Moccia, Tutela penale del patrimonio e principi costituzionali, Padova, 1988, pp. 26 y ss., p. 43 y ss., passim.

(60) Distingue entre delitos cibernéticos “en sentido estricto” y en “sentido amplio” L. Picotti, Biens juridiques protegés et techniques de formulation des infractions dans le droit pénal de l’informatique, en Revue Inter. Droit Penal, vol. 3-4, 2006, pp. 525 y ss., p. 529 y ss. Para un análisis de las diferencias entre criminalidad informática y tradicional véase S. Brenner, Cybercrime Metrics: Old Wine, New Bottles?. En: Virginia J. L. & Tech., vol. 9, n. 13, 2004, pp. 1 y ss.

(61) En relación con los retos que estos nuevos riesgos presuponen por el derecho penal véase el interesante análisis de F. Centonze, La normalità dei disastri tecnologici. Il problema del congedo dal diritto penale, Milano: 2004.

(62) En este sentido se aprecia también el límite de la tradicional concepción ontológica de acción como “movimiento muscular”. Sobre este punto véase las oportunas consideraciones de L. Picotti, Responsabilità penali in Internet. En: G. Pascuzzi (dir.), Diritto e informatica. L’avvocato di fronte alle tecnologie digitali, Milano: 2002, pp. 115 y ss.; en general I. Salvadori, I reati di possesso, cit., pp. 353 y ss.

(63) Habla, a razón, de “automated crime” D.B. Parker, Defining Automated Crime. En: Information System Security, 2008, vol. 4, n. 3, pp. 16 y ss.

(64) S. Brenner, Cybercrime Metrics, cit., p. 10.

(65) Sobre este aspecto véase S.W. Brenner, Cybercrime Jurisdiction. In: Crime, Law and Social Change, vol. 46, 2006, pp. 189 y ss.; en general A. A. Gillespie, Cybercrime. Key Issues and Debates, Abingdon, 2016, pp. 21 y ss.

(66) En relación con la relevancia y dimensión social de este interés véase ya L. Picotti, Sistematica dei reati informatici, cit., pp. 74 y ss.; en particular Id., Sicurezza, informatica e diritto penale. En: M. Donini, M. Pavarini (dirs.), Sicurezza e diritto penale, cit., pp. 229 y ss.; I. Salvadori, L’accesso abusivo ad un sistema informatico, cit., pp. 153 y ss.

(67) Cfr. F.C. Palazzo, Offensività e ragionevolezza nel controllo di costituzionalità sul contenuto delle leggi penali. En: Riv. it. dir. proc. pen., 1998, pp. 350 y ss., p. 381 y s. Subraya la necesidad que entre la conducta incriminada y el bien jurídico protegido exista una conexión funcional también D. Pulitanò, Politica criminale. En: Enc. dir., vol. XXXIV, Milano: 1985, p. 73 y ss., p. 90 y ss.

(68) En estos términos véase ya P. J. A. Feuerbach, Revision der Grundsätze und Grundbegriffe des positiven peinlichen Rechts, 2. Auf., Erfurt, 1800, rist. 1966, pp. 12 y s.; en la doctrina italiana G. Marinucci, Fatto e scriminanti, cit., pp. 1209 y ss.; M. Donini, Il principio di offensività, cit., pp. 9 y ss., pp. 13-14; sobre el principio de determinación véase G. Marinucci, E. Dolcini, Corso, cit., pp. 163 y ss.

(69) W. Frisch, Tatbestandsmäßiges Verhalten und Zurechnung des Erfolgs, Heidelberg, 1988, p. 293.

(70) W. Frisch, op. cit., p. 281, p. 289; W. Wohlers, Deliktstypen des Präventionsstrafrechts, cit., p. 335; G. Duggte, Vorbereitung eines Computerbetruges, cit., p. 301.

(71) W. Frisch, op. cit., p. 307.

(72) Cfr. A. Albrecht, op. cit., pp. 277 y ss., que habla también de idoneidad a la comisión de un delito (Eignung zur Deliktsbegehung).

(73) Véase retro, par. 4.3.

(74) Sobre el principio político-criminal de efectividad véase C.E. Paliero, Il principio di effettività nel diritto penale, en Riv. it. dir. proc. pen., 1990, pp. 430 y ss.; Id., Il principio di effettività nel diritto penale, Napoli, 2011.

(75) Sobre estas conductas véase retro, par. 6.2.

(76) Véase retro, par. 6.1.

(77) Cfr. W. Frisch, Tatbestandsmäßiges Verhalten, cit., p. 265.

(78) Cfr. A. Albrecht, op. cit., p. 278, que habla en este sentido de “Verwendungsabsicht”, si bien lo caracteriza en términos solamente subjetivos y no, como nos parece más correcto, en términos de tipificación del hecho-básico objetivo.

(79) W. Frisch, Tatbestandsmäßiges Verhalten, cit., p. 319; U. Sieber, Legitimation und Grenzen von Gefährdungsdelikten, cit., p. 361.

(80) Es esta la conclusión a la que llega, sobre la base de una rigurosa argumentación dogmática y político-criminal, L. Picotti, Il dolo specifico, cit., pp. 501 y ss.

(81) L. Picotti, op. cit., p. 501.

(82) L. Picotti, op. cit., p. 502.

(83) Esto no significa que el dolo eventual sea incompatible con los tipos delictivos con “dolo específico” (o animo subjetivo del injusto), cuando abarca elementos del tipo distintos de aquellos propios del fin específico. Piénsese, a título paradigmático, a la ajenidad de la cosa en el delito de hurto. En este sentido cfr. M. Gallo, Dolo (dir. pen.). En: Enc. dir., vol. XIII, Milano: 1964, pp. 750 y ss., p. 794; en particular L. Picotti, Il dolo specifico, cit., pp. 595 y ss., p. 598 y ss., 610.

(84) Cfr. A. Albrecht, op. cit., pp. 270, p. 278.

(85) Cfr. retro, par. 7.1.

(86) En este sentido véase también el párrafo II.5 de la resolución sobre la expansión y las formas de preparación y de participación en el delito, adoptada por la Asociación Internacional de Derecho Penal (AIDP) en ocasión del XVIII Congreso Internacional de Derecho Penal, celebrado en Estambul desde el 20 al 27 de septiembre del 2009.

(87) Subraya cómo a la base de los tipos delictivos tiene que existir una relación conflictual de intereses F. C. Palazzo, I confini della tutela penale: selezione dei beni e criteri di criminalizzazione. En: Riv. it. dir. proc. pen., 1992, pp. 453 y ss., p. 463; L. Picotti, Il dolo specifico, cit., pp. 547 y ss.; Id., La nozione di “criminalità informatica” e la sua rilevanza per le competenze penali europee. En: Riv. trim. dir. pen. econ., n. 4, 2011, pp. 827 y ss., p. 838 y ss.