Esto es un proyecto Ley sobre La Protección de la Información y de los Datos donde se habla de todo lo que en Colombia es considerado crimen o delito informatico, en el hablan de pishing y defacing entre otros. xD

Aun no he conseguido el texto para humanos, este es el texto para abogados (porque los abogados no son humanos).

 

Bogotá D.C., 05 de diciembre de 2007

Doctor

OSCAR ARBOLEDA PALACIO

Presidente

H. Cámara de Representantes

Ciudad

REF: ponencia para segundo debate de los Proyectos de Ley 042 de 2.007 Cámara y 123 de 2.007 Cámara, acumulados

Respetado Señor Presidente,

En cumplimiento de la Ley 5ª de 1.992, y por su amable designación, nos permitmos rendir ponencia para segundo debate en la Plenaria de la H. Cámara de Representantes de los Proyectos de Ley 042 de 2.007 Cámara y 123 de 2.007 Cámara acumulados, por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –denominado “De la Protección de la Información y de los Datos”– y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.

I. OBJETIVO DEL PROYECTO

La propuesta legislativa acumulada va dirigida no sólo a regular los diversos atentados que se cometen contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de las redes y de los datos, sino los que comportan el uso fraudulento de los mismos. Se trata, en otras palabras, de que el ordenamiento penal colombiano se sume a las políticas penales globalizadas en materia del combate frontal contra la llamada criminalidad del ciberespacio y le brinde herramientas a la comunidad internacional para la persecución de estos flagelos; al mismo tiempo, se busca brindar una adecuada tutela jurídica a un bien jurídico de tanta trascendencia en el mundo de hoy como lo es el atinente a la Protección de la Información y de los Datos.

Este Proyecto está llamado a modernizar la legislación penal colombiana y a ponerla a la par de la de otros países, como los que integran la comunidad económica europea, que se viene desarrollando a partir de acuerdos internacionales tan importantes como el Convenio sobre Cibercriminalidad suscrito en Budapest por los Estados Miembros del Consejo de Europa y por otros Estados firmantes, el 23 de noviembre de 2.001, que entró en vigor desde el primero de julio de 2.004 y ha sido ratificada por una veintena de países. Si bien, por razones obvias, Colombia no forma parte de ese organismo ni tampoco ha firmado el susodicho Convenio, es de vital importancia que la normatividad a expedir recoja esas directrices que son, además, las que las legislaciones europeas y de otros continentes empiezan a introducir en los respectivos ordenamientos jurídicos.

Por esta razón, el Proyecto acumulado y modificado que hoy presentamos recoge todas y cada una de las innovaciones contenidas en los Proyectos 042 Cámara –presentado por el suscrito Representante Germán Varón Cotrino– y 123 de 2.007 –presentado por el suscrito Representante Carlos Arturo Piedrahita C. y el H. Senador Luis Humberto Gómez Gallo, redactado por Juez Segundo Promiscuo Municipal de Rovira Alexander Díaz García, quien contó con el aporte intelectual del tratadista Dr. Fernando Velásquez Velásquez y el académico de los Drs. Jarvey Rincón Director de Postgrados de la Facultad de Derecho de la Universidad Santiago de Cali y Gabriel Fernando Roldán Restrepo, Juez Veinte Penal del Circuito de Medellín y Coordinador del Comité de Estudios Políticos y Legislativos del Colegio de Jueces y Fiscales de Antioquia–, las infracciones previstas en el Convenio de Budapest de 2.001, a las que se adicionan diversos propuestas que fueron escuchadas por la Comisión en el seno de las Audiencias fijadas al efecto, como la formulada por la Dra. Sol Marina de la Rosa F. a nombre de Telmex Colombia S. A. Mayor Freddy Bautista Jefe del grupo de delitos informáticos de la Dijin Dra Isaura Duarte del ministerio de relaciones exteriores, Dr Andrés Ormaza del ministerio del interior y de justicia y el Dr Rubiel Nivia funcionario de la Fiscalía general de la Nación El resultado es un Proyecto de Ley notablemente enriquecido y depurado que constituye un importe avance sobre la materia, cuando se le mira con la lupa del derecho comparado y que, sin duda, está llamado a convertirse en una importante herramienta de lucha contra la llamada cibercriminalidad.

II. LA DESCRIPCIÓN DEL PROYECTO

A. Aspectos Generales. El proyecto acumulado consta de cuatro artículos:

En el primero, se adoptan diversas definiciones sobre los distintos términos técnicos utilizados en la confección del texto, que son indispensables para orientar de mejor manera a los aplicadores de Justicia y a los intérpretes y estudiosos del derecho positivo sobre estas materias que, en la medida en que avanzan los modernos desarrollos, han ido conformando su propio lenguaje.

En el segundo, se introduce el Título VII Bis al Código Penal destinado a la “Protección de la Información y de los Datos”, que consta de dos capítulos diferentes. En el primero, compuesto por ocho artículos, a la par del Convenio sobre Cibercriminalidad suscrito en Budapest en 2.001, se introducen los diversos atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos, así:

En el artículo 269A se incluye como punible el acceso abusivo a un sistema informático, conducta criminosa caracterizada porque sus autores quieren demostrarle al sistema de seguridad al que acceden, lo capaces que son de vulnerarlo; este comportamiento es, sin duda, uno de los delitos de mayor ocurrencia puesto que el hacker (pirata informático), al realizar otros comportamientos informáticos, ingresa abusivamente al sistema. En otras palabras: el actuar criminoso llevado a cabo por el sujeto activo va asociado a otras conductas punibles.

En el artículo 269B, se prevé la obstaculización ilegítima de sistema informático o red de telecomunicación, que también se conoce como “bloqueo ilegítimo” o “extorsión informática”, pues el delincuente bloquea, asedia, o acorrala el sistema hasta cuando se le cancele una determinada suma de dinero. El caso más patético es el de los Hackers turcos y eslovenos que tomaron como rehén la página de un equipo de fútbol colombiano de segunda división, el Envigado Fútbol Club.

También, quedan incluidas aquí las conductas de aquellas personas que, por alguna relación de confianza, logran acceder a las cuentas de correo electrónicos de otras y luego –por alguna indisposición– se distancian de éstas pero siguen conociendo de sus claves de acceso, oportunidad que aprovechan para modificar éstas e impedir que el titular de la cuenta las abra, o para realizar otros comportamientos como la difamación del titular de la dirección electrónica.

En el artículo 269C, se regula la conducta de quien dolosamente, valiéndose de medios electrónicos y sin autorización para ello, realiza la interceptación ilícita de datos informáticos en su origen, destino o en el interior de un sistema informático, o de emisiones electromagnéticas provenientes de un sistema informático que las transporte, tal y como lo sugiere el artículo 3º del Título 1 de la Convención de Budapest de 2.001.

En el artículo 269D se prevé la conducta de daño informático, mediante la que se castiga la obstaculización grave, cometida de forma dolosa y sin autorización, contra el funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos, o mediante la realización de esas conductas en relación con un sistema de tratamiento de información o sus partes o componentes lógicos. Una figura similar a esta prevé el artículo 264.2 del Código Penal Español de 1.995, en los siguientes términos: “2. La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos”.

Por su parte, el artículo 269E, prevé como punible el uso de softaware malicioso (malware), conducta que se ha generalizado en la red causando enormes daños a los usuarios; por eso se pune a quien, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos.

A su turno, en el artículo 269F se regula la violación de datos personales (hacking); con ello, se quiere salvaguardar el derecho protegido a la autodeterminación informativa en estrecho nexo con valores como la dignidad humana y el libre desarrollo de la personalidad, así como con otras libertades públicas como la ideológica o la de expresión. La conducta típica se define, así: el que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes.

El artículo 269G, sanciona como punible la suplantación de sitios web para capturar datos personales (phishing). La conducta pone en peligro la integridad de la información sensible del usuario con graves consecuencias patrimoniales la mayoría de las veces. El tipo se consuma con el diseño de página (s) falsa (s) de la entidad atacada; el imputado debe registrar ese site falso, que en el medio se le denomina como «carnada», con un dominio similar al de la entidad. Logrado el registro del nombre de dominio se debe ubicar el alojamiento en un hosting. Luego, el delincuente remite correo masivo spam (lanza la carnada) a una base de datos que seguramente ha adquirido en el mercado negro. Seguidamente, caen incautos que no diferencian fácilmente entre un site legítimo y uno falso; el afectado, ingenuamente, suministra su información e incluye datos de acceso y contraseñas bancarias que son capturados por el delincuente, quien procede a realizar las operaciones bancarias electrónicas correspondientes y ordena las transferencias a cuentas de tercero.

Estas transferencias, normalmente, las realiza mediante spam a través de terceros que se les llaman Phishing mulas, enviando correos de ofertas de trabajo a personas que –ansiosas de laborar– realizan cualquier labor para ganarse algunos pesos. El objetivo es claro: captar intermediarios para recibir el dinero; y la actividad es la de recibir en su cuenta el dinero procedente de las víctimas, que luego envían al Phisher (delincuente informático) según instrucciones.

En esta descripción típica, pues, no se pena al phisher mula (incauto cibernauta, casi siempre) que vincula el agente para el éxito del ilícito, pues ha ofrecido su cuenta bancaria o sus servicios en forma espontánea, ante unas supuestas transacciones, como un pseudo-representante de la compañía internacional que en el país le han hecho creer, porque si se prueba que éste, el que ha prestado su nombre, lo hace con la finalidad de obtener lucro incurre en una conducta ya consagrada en nuestro Código Penal, bajo el epígrafe de Enriquecimiento ilícito de particulares, consistente en penalizar el que de manera directa o por interpuesta persona obtenga, para sí o para otro, incremento patrimonial no justificado, derivado en una u otra forma de actividades delictivas (artículo 327).

El nombre de Phishing viene de una combinación de “Phishing” (en inglés pescar) con las dos primeras letras cambiadas por “ph”: la “p” de password (contraseña) y la “h” de hacker (pirata informático).

Finalmente, el artículo 269H se destina a la introducción de diversas circunstancias de agravación punitiva que, normalmente, se suelen presentar en relación con las conductas anteriores aunque, debe advertirse, algunas de ellas no necesariamente son extensibles a todos los comportamientos incriminados; con el empleo de esta técnica, pues, se busca darle una mejor redacción a la ley. A tal efecto, se prevé un incremento punitivo de la tercera parte.

En el capítulo Segundo, se prevén los que el Convenio de Budapest denomina como “infracciones informáticas”, a las que se agregar otros atentados.

En primer lugar, se regula en el artículo 269I el hurto por medios informáticos y semejantes, figura llamada a completar las descripciones típicas contenidas en los artículos 239 y siguientes del Código Penal, a las cuales se remite expresamente.

La falsedad informática está prevista en el artículo 269J disposición que, como dice el artículo 7 del título 2 de la Convención de Budapest de 2.001, busca castigar la introducción, alteración, borrado o supresión dolosa y sin autorización de datos informáticos, generando datos no auténticos, con la intención de que sean percibidos o utilizados a efectos legales como auténticos, con independencia de que sean directamente legibles e inteligibles. Como se sabe, hoy la mayoría de las transacciones en comercio electrónico se hace en este formato y son muy pocas las oportunidades en las que se registran en soporte de papel. Esta temática es de tanta trascendencia que, incluso, ha sido debatida por la propia Corte Constitucional en su sentencia No. C-356 de seis de Mayo 2.003.

El artículo 269K prevé la transferencia no consentida de activos –también llamada como estafa electrónica o informática en el derecho comparado– distinta, en todo caso, de la figura clásica de estafa que requiere, para su producción, de diversos elementos entre los que sobresalen la utilización de un engaño por parte del autor del delito y, por consiguiente, la producción de un error en la víctima del mismo (confróntese, artículo 246 del Código Penal).

Naturalmente, es casi imposible tipificar como una estafa clásica la conducta de quien utilizando el computador de su casa logra llevar a cabo una transferencia bancaria de la cuenta de un tercero a una de su titularidad. En este supuesto, obvio es decirlo, sí existe el ánimo de lucro, pues el estafador actúa guiado por ese afán de enriquecerse económicamente y, además, se configura el perjuicio a un tercero, puesto que se produce un detrimento económico a otra persona; no obstante, no aparecen los dos elementos anteriormente señalados: el engaño a tercero y el error, pues el autor del delito no utiliza ninguna treta ni artimaña para engañar a la víctima o para viciar la voluntad del tercero, puesto que la acción se ha producido a través de una máquina (el computador) y, como consecuencia de ello, por la misma razón, tampoco se ha producido un error.

Para llenar estos vacíos el C. P. español de 1.995 diseñó un dispositivo legal en su artículo 248.2 –que aquí ha sido tenido en cuenta para redactar el artículo en comento– que a la letra reza: “También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero”. Es más, en el artículo 248.3 de esa codificación se diseña un tipo penal especial para castigar a quienes fabriquen, introduzcan, posean o faciliten programas de computador destinados a la comisión de las diversas modalidades de estafa que prevé la disposición hispana, que ha sido utilizado como fuente para redactar el inciso segundo del artículo propuesto.

A su turno, el espionaje informático que prevé el artículo 269L es una figura con la que busca proteger la información privilegiada industrial, comercial, política o militar relacionada con la seguridad del Estado; se castiga, pues, la falta de sigilo o confidencialidad de los profesionales, responsables o encargados de los ficheros de los datos automatizados. En relación con los antecedentes del derecho comparado, debe recordarse que el artículo 278 del Código Penal Español de 1.995, prevé una figura con unos alcances parecidos a los que consagra el Proyecto.

Y, finalmente, la violación de reserva industrial o comercial valiéndose de medios informáticos está prevista en el artículo 269M para punir a quien, sin estar facultado para ello, realice una cualquiera de las conductas señaladas en el artículo 308 de este Código, valiéndose de medios informáticos y superando las seguridades existentes. Se remite, entonces, a los verbos rectores contenidos en dicha disposición de la ley penal para evitar la repetición y enriqueciendo, de paso, el catálogo de prohibiciones.

Un par de advertencias deben hacerse: en primer lugar, no se han incluido las infracciones atinentes a la pornografía infantil que prevé el Convenio de Budapest ya citado, por considerar que la legislación colombiana vigente protege de forma suficiente el bien jurídico cuando se trata de tales atentados.

En segundo lugar, el monto de las sanciones de prisión se ha tasado en meses para adaptar la legislación a las exigencias derivadas de los incrementos punitivos contemplados en la ley 890 de 2.004, que obliga a realizar el proceso de tasación no en años sino en meses; con ello, sin duda, se evitan desbarajustes en los quantums punitivos y se facilita la interpretación y aplicación de la ley.

En el artículo 3º del Proyecto acumulado se introduce un nuevo artículo 52 Bis al Código Penal, mediante el que se introduce como pena accesoria la interdicción de acceder o de hacer uso de los sistemas informáticos, por un lapso de cinco a diez años, disponiéndose al efecto que el fallador –al imponer la sanción– envíe copia de la parte motiva de la sentencia a todos los servidores o agentes dispensadores de los correspondientes servicios informáticos debidamente autorizados, y a la dependencia correspondiente de Ministerio de comunicaciones.

Finalmente, el artículo 4º deroga todas las disposiciones que sean contrarias a la presente ley y deroga, de forma expresa, por ser objeto de una nueva redacción legal y al ser reubicado en el nuevo título que se crea, el artículo 195 del Código Penal.

B. Sobre la mejor manera de incorporar la materia a la legislación penal.

Como muy bien lo señala la Exposición de Motivos del Proyecto 042 DE 2.007 original, son tres los modelos legislativos por los que se puede optar cuando de regular una materia tan especial como la atinente a la cibercriminalidad, se trata:

En efecto, en primer lugar, es viable confeccionar un texto legal que de manera íntegra regule toda la materia en una ley especial, que se integre al llamado derecho penal complementario, esto es, por fuera del llamado derecho penal fundamental contenido en el Código Penal, para el caso la Ley 599 de 2.000. En segundo lugar, es factible hacer lo que el citado proyecto señala: introducir modificaciones puntuales a las diversas figuras punibles que tocan con el asunto a lo largo y ancho del articulado del Código Penal. Finalmente, en tercer lugar, es viable confeccionar un Título adicional para ser incluido en el texto del estatuto punitivo.

De los tres mecanismos indicados hemos optado por el último. En efecto, el primero –el más técnico de todos– tiene el gran inconveniente práctico de que este tipo de leyes especiales se pierden dentro de todo el entramado del ordenamiento jurídico, sin merecer la atención requerida por parte de estudiosos y administradores de Justicia, quienes, pretextando dificultades técnicas, falta de preparación, etc. prefieren dejar en el olvido este tipo de normatividades que terminan por no ser aplicadas o, si lo son, de una manera deficiente.

El segundo mecanismo, por el que optaba el Proyecto de Ley 042 originalmente –que tiene la gran ventaja de incorporar el asunto al articulado del Código Penal — tiene, sin embargo, la dificultad de permitir la dispersión de esta problemática a lo largo del articulado lo que le quita fuerza y coherencia a la materia, suscitando no pocos malos entendidos entre estudiosos y administradores de justicia, amén de que dificulta en extremo la precisión del bien jurídico que se debe proteger en estos caso, esto es, la Protección de la Información y de los Datos.

Por ello, entonces, parece más saludable optar por el tercer camino como aquí se propone. Por ello, creemos que lo más viable es introducir un Título VII BIS en el Código Penal, contiguo al destinado para proteger los delitos contra el Patrimonio económico dedicado a la Protección de la Información y de los Datos como bien jurídico objeto de tutela y que se cambie la denominación del Proyecto por la siguiente: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –denominado “De la Protección de la Información y de los Datos”– y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

En conclusión, lo que se pretende a través de esta iniciativa es modernizar la legislación penal colombiana de cara a una problemática delincuencial muy grave que trasciende las fronteras nacionales, a la par que se recogen las directrices del Convenio sobre Cibercriminalidad de Budapest de 2.001, mediante el cual los Estados miembros del Consejo de Europa y los otros estados firmantes se comprometieron a impulsar una política penal común, destinada a prevenir la criminalidad en el ciberspacio y, sobre todo, a hacerlo mediante la adopción de una legislación apropiada de cara a la mejora de la cooperación internacional en tan delicadas e importantes materias.

Por ello, los Ponentes consideran que el texto propuesto se ajusta a las necesidades sociales y jurídico-penales, cuales son las de dotar al ordenamiento jurídico y a los organismos judiciales de un instrumento adecuado para proteger el bien jurídico de la información, en virtud del cual sea posible enfrentar los graves riesgos que hoy padecen las redes informáticas y la información electrónica que vienen siendo utilizados para cometer graves infracciones penales.

III. MODIFICACIONES PROPUESTAS
En el inciso primero del artículo 269G, contenido en el artículo segundo del proyecto, es adicionada la expresión: “El que con objeto ilícito Y”, con el objeto de dar mayor claridad al tipo penal.

IV. PROPOSICIÓN

Por lo expuesto, los suscritos ponentes recomiendan dar segundo debate a los Proyectos de ley número 042 de 2.007 Cámara y 123 de 2007 Cámara, acumulados, “por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –denominado “De la Protección de la Información y de los Datos”– y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”, en los términos del siguiente texto propuesto con modificaciones.

De los Honorables Representantes,

GERMÁN VARÓN CETRINO CARLOS ARTURO PIEDRAHÍTA C.

Ponente. Ponente.

TEXTO PROPUESTO PARA SEGUNDO DEBATE DE LOS PROYECTOS DE LEY NÚMEROS 042 DE 2.007 CÁMARA Y 123 DE 2.007, CÁMARA, UNIFICADOS. “POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO BIEN JURÍDICO TUTELADO –DENOMINADO “DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS”– Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES”

El Congreso de la República de Colombia

DECRETA:

Artículo 1º. Definiciones. Para los efectos de las conductas contempladas en la presente ley, se entenderán las palabras aquí empleadas de acuerdo a las siguientes definiciones:

Sistema informático. Es todo dispositivo aislado o conjunto de conectores interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa de ordenador.

Datos informáticos. Cualquier representación de hechos, informaciones o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función.

Dato personal. Toda representación que permita la identificación e individualización de una persona natural y que sea susceptible de tratamiento informático.

Sistema de autenticación. Cualquier procedimiento que se emplee para identificar de manera unívoca a un usuario de un sistema informático.

Sistema de autorización. Cualquier procedimiento que se emplee para verificar que un usuario identificado está autorizado para realizar determinadas acciones.

Prestador de servicio. Es toda entidad pública o privada que ofrezca a los usuarios de sus servicios, la posibilidad de comunicarlos a través de un sistema informático; también, se entiende por tal cualquier entidad que almacene o trate datos informáticos para un servicio de comunicación o para sus usuarios.

Malware. Expresión derivada del inglés malicious software, también llamado badware. Es un software que tiene como objetivo infiltrarse en una computadora o dañarla sin el consentimiento informado de su dueño. Existen diferentes tipos de malware, como son los virus informáticos, los gusanos, los troyanos, los programas de spyware/adware e incluso los bots”.

Spyware. Programa que se instala sin el conocimiento del usuario para recolectar y enviar información.

Virus. Programa o código de programación transmitido como un adjunto de mail que se replica, copiándose o iniciando su copia en otro programa, sector de booteo de una computadora o documento.

Booteo. Proceso que inicia el sistema operativo cuando el usuario enciende una computadora; se encarga de la inicialización del sistema y de los dispositivos.

Gusano. Programa o código de programación transmitido como un adjunto de mail que se replica copiándose o iniciando su copia en otro programa, sector de booteo de una computadora, o documento, pero que no requiere de un portador para poder replicarse.

Troyanos. Programa malicioso o dañino disfrazado de software inofensivo, que puede llegar a tomar el control de la computadora y provocar el daño para el que fue creado, pero no se replica a sí mismo.

Bot Net. Redes de sistemas de computación conectados y controlados remotamente, por una computadora que actúa como “command”, diseñadas para ejecutar tareas sin el conocimiento del dueño del sistema.

Spam. Correo electrónico comercial no deseado, enviado al buzón del destinatario sin contar con su anuencia o permiso.

Phishing. Máscara, usualmente implementada por SPAM, mediante la que se busca apoderarse de la identidad del usuario.

Hacking. Procedimiento mediante el que se violan los códigos personales y/o el acceso a datos o sistemas informáticos sin autorización del titular.

Web site. Colección de páginas web, imágenes, videos y activos digitales que se reciben en uno o en varios servidores.

Pop up. Denota un elemento emergente que se utiliza generalmente dentro de terminología web.

Link. Es sinónimo de “acoplamiento”, en el sentido práctico de internet este término está referido a un enlace o hipervínculo.

Artículo 2º. Adicionase el Código Penal con un Título VII BIS denominado “De la Protección de la información y de los datos”, del siguiente tenor:

CAPITULO PRIMERO

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos

ARTÍCULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

ARTÍCULO 269C: INTERCEPTACIÓN ILICITA DE DATOS INFORMÁTICOS O DE EMISIONES ELECTROMAGNÉTICAS. El que, sin estar facultado para ello, emplee medios tecnológicos mediante los que indebidamente intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269E: USO DE SOFTAWARE MALICIOSO (MALWARE). El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269F: VIOLACIÓN DE DATOS PERSONALES (HACKING). El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES (PHISHING). El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas (web site), enlaces (links) o ventanas emergentes (pop up), incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el phisher ha reclutado Phishing mulas en la cadena del delito.

ARTÍCULO 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: Las penas señaladas para las conductas descritas en los artículos 269A a 269G, se incrementarán en una tercera parte, cuando se presente una cualquiera de las siguientes situaciones:

1. Si la conducta se lleva a cabo sobre redes o sistemas estatales u oficiales o del sector financiero, nacionales o extranjeros.

2. Si el sujeto activo de la conducta fuere un servidor público o tuviere una relación contractual con el propietario de los datos.

3. Si el sujeto activo instala un programa de ordenador o un dispositivo que, de cualquier forma, atente contra la confidencialidad o la integridad de los datos almacenados en el sistema informático.

4. Si el sujeto activo da a conocer a terceros los datos informáticos así obtenidos.

5. Si el sujeto activo procesa, recolecta o pone a circular los datos personales o de autorización o de autenticación de sistemas informáticos que obtenga, o de los cuales tenga conocimiento.

6. Si el sujeto activo de la conducta obtiene provecho de cualquiera índole para sí o para un tercero.

7. Si la conducta se produjere sobre un sistema informático conectado a otro sistema de la misma naturaleza.

8. Si el propósito o fin perseguido por el sujeto activo es de carácter terrorista, o se genera riesgo para la seguridad nacional.

CAPITULO SEGUNDO

De las atentados informáticos y otras infracciones

ARTÍCULO 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.

ARTÍCULO 269J: FALSEDAD INFORMÁTICA. El que, sin estar facultado para ello, introduzca, altere, borre, inutilice o suprima datos informáticos, generando datos no auténticos, con la finalidad de que sean percibidos o utilizados a efectos legales como genuinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269K. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.

ARTÍCULO 269L. ESPIONAJE INFORMÁTICO. El que, sin estar facultado para ello, se apodere, interfiera, transmita, copie, modifique, destruya, utilice, impida o recicle datos informáticos de valor para el tráfico económico de la industria, el comercio, o datos de carácter político y/o militar relacionados con la seguridad del Estado, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes, siempre que la conducta no esté castigada con una pena mayor.

ARTÍCULO 269M. VIOLACIÓN DE RESERVA INDUSTRIAL O COMERCIAL VALIÉNDOSE MEDIOS INFORMÁTICOS. El que, sin estar facultado para ello, realice una cualquiera de las conductas señaladas en el artículo 308 de este Código, valiéndose de medios informáticos y superando las seguridades existentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales, siempre que la conducta no esté castigada con una pena mayor.

Artículo 3º. El Código Penal tendrá un artículo 52 Bis del siguiente tenor:

Artículo 52 Bis: fuera de las sanciones mencionadas en el artículo anterior, el juez pondrá imponer la pena accesoria de interdicción de acceder o de hacer uso de los sistemas informáticos, por un lapso de cinco a diez años. Copia de la parte motiva de la sentencia se enviará a todos los servidores o agentes dispensadores de los correspondientes servicios informáticos debidamente autorizados y a la dependencia correspondiente de Ministerio de comunicaciones.

Artículo 4º. La presente ley rige a partir de su promulgación y deroga todas las disposiciones que le sean contrarias, en especial el texto del artículo 195 del Código Penal.

De los Honorables Representantes,

GERMÁN VARÓN CETRINO CARLOS ARTURO PIEDRAHÍTA C.

Ponente. Ponente.