El pasado 14 de agosto, el Parlamento uruguayo aprobó el Proyecto de Ley sobre la prevención y represión de la Ciberdelincuencia (el “Proyecto de Ley”), dando así un paso significativo en la regulación de actividades ilegales en el entorno digital en Uruguay.

Este Proyecto de Ley aún no ha sido promulgado expresamente por el Poder Ejecutivo. De todas formas,  se considera promulgado de forma ficta a los 10 días¹. 

El Proyecto de Ley aborda cuatro ejes principales:

• la tipificación de ocho ciberdelitos y sus circunstancias agravantes,
• la promoción de la educación sobre el manejo de finanzas personales y ciberseguridad;
• la facultad de las instituciones financieras y de las entidades emisoras de dinero electrónico para crear un registro de ciberdelincuentes y
• medidas de prevención de transacciones no consentidas que podrán ser adoptadas por las instituciones financieras y las entidades emisoras de dinero electrónico.

A continuación, profundizaremos sobre cada una de las principales novedades introducidas por el proyecto y que, como anticipamos, suponen un avance cualitativo importante a nivel normativo frente a uno de los flagelos en materia de seguridad que más ha crecido en los últimos tiempos de la mano del avance tecnológico.

Los nuevos tipos delictivos y sus agravantes

Los nuevos delitos reconocidos por nuestro legislador son: acoso telemático (stalking); fraude informático; daño informático; acceso ilícito a datos informáticos; interceptación ilícita; vulneración de datos; suplantación de identidad y; abuso de dispositivos.

El Acoso telemático (stalking) es definido como la conducta consistente en vigilar, perseguir o procurar cercanía física, estableciendo o intentando establecer contacto con una persona, sea en forma directa o por intermedio de terceros de tal modo que altere gravemente el desarrollo de su vida, mediante la utilización de medios telemáticos (a modo de ejemplo, correos electrónicos, redes sociales o aplicaciones de mensajería).

Este delito se castiga con tres meses de prisión a tres años de penitenciaría, reconociéndose como agravante especial la realización de esta conducta sobre un menor de edad, adultos incapaces, personas que previamente hayan tenido una relación afectiva o íntima, o de individuos vulnerables por enfermedad o situaciones especiales que supongan una mayor fragilidad. 

El Fraude informático, según el Proyecto de Ley, puede manifestarse de distintas formas:

• el uso de estratagemas o engaños artificiosos para inducir en error a alguna persona a efectos de obtener información (como contraseñas o datos personales), y lucrarse injustamente a costa de la víctima.
• la manipulación de sistemas informáticos para realizar operaciones financieras, como transferencias o pagos de dinero, sin el consentimiento de la persona afectada,
• el uso no autorizado de tarjetas, cheques, códigos u otros medios de pago, o los datos vinculados a los mismos, para realizar transacciones fraudulentas, con el fin de obtener un provecho en daño de otro.

La pena prevista para este delito es de seis meses de prisión a cuatro años de penitenciaría, reconociéndose  como circunstancias agravantes especiales de dicho delito: el parentesco y la vinculación laboral o afectiva con la víctima o el tercero perjudicado; el hecho se efectúe en perjuicio del Estado, de cualquier ente público o afectando infraestructuras críticas y que el hecho se efectúe generando en la víctima el temor de un peligro imaginario o la persuasión de obedecer a una orden de la autoridad.

El Fraude informático, además, se agrega como actividad delictiva precedente del delito de lavado de activos en la Ley N° 19.574 “Ley Integral Contra El Lavado De Activos”.

El Daño informático castiga con seis a veinticuatro meses de prisión, al que por cualquier medio y sin autorización, destruya, altere o inutilice datos o sistemas informáticos, con la finalidad de causar daño.

En este delito las circunstancias agravantes especiales son: el daño ocasionado sea irreparable o fuere imposible retornar a su estado anterior; que el daño se cometa en perjuicio de documentos electrónicos o sistemas informáticos de carácter estatal o vinculados a infraestructuras críticas.

El Acceso ilícito a datos informáticos consiste en la conducta de causar, acceder, interferir, difundir, vender o ceder información ajena contenida en soporte digital, mediante medios informáticos o telemáticos, sin autorización y sin justa causa. Esta conducta se castiga con seis a veinticuatro meses de prisión.

La Interceptación ilícita, que se castiga con seis a veinticuatro meses de prisión, contempla al que, sin autorización y sin justa causa intercepte, interrumpa o interfiera por medios técnicos, datos informáticos en transmisiones no públicas dirigidas a un sistema informático (como correos electrónicos o comunicaciones internas de una empresa).

La Vulneración de dato, castiga con seis a veinticuatro meses de prisión al que, mediante la utilización de cualquier medio telemático, acceda, se apodere, utilice, o modifique datos confidenciales de terceros, registrados en soportes digitales, o cualquier otro tipo de archivo o registro público o privado, sin autorización de su titular.

La pena será de un año de prisión a cuatro años de penitenciaría para el que, habiendo formado o no parte de descubrimiento, difunda, revele o ceda a terceras personas los datos, hechos o imágenes registrados en soportes digitales.

Se establecen como circunstancias agravantes especiales de este delito que: sea cometido por quienes sean encargados de custodiar los soportes informáticos, electrónicos, registros o archivos digitales; las víctimas sean menores de edad o un adulto declarado judicialmente incapaz; se cometa con una finalidad lucrativa; sea cometido en afectación de datos personales tutelados por la ley o se trate de datos estatales o vinculados a infraestructuras críticas.

La Suplantación de identidad se dirige al que, valiéndose de cualquier medio, herramienta tecnológica o sistema informático; usurpe, adopte, cree, o se apropie de la identidad de otra persona física o jurídica, obteniendo datos, accediendo a redes sociales, casillas de correo electrónico, cuentas bancarias, medios de pago, plataformas digitales, o cualquier credencial digital o factor de autenticación, con la intención de dañar a su legítimo titular. Este delito se castiga con un año de prisión a seis años de penitenciaría.

Se aclara expresamente en la norma que no se considera suplantación de identidad la creación de perfiles con fines exclusivos de parodia.

Se establecen como circunstancias agravantes especiales de este delito que: se cometa con la finalidad de divulgar la información a la cual se accedió; se modifique, supriman o adulteren datos de la víctima o utilicen las credenciales para vincularse con terceras personas físicas o jurídicas; se adquieran, mediante el uso indebido de sus datos personales, productos o mercancías, o contraten servicios a través de medios telemáticos, en nombre de la víctima; se suplante la identidad de un organismo estatal u otro vinculado a infraestructuras críticas o concurra con extorsión a la víctima, sus familiares o terceras personas vinculadas, para la obtención de activos o cualquier prestación en especie a los efectos de recuperar las referidas credenciales.

Finalmente, el Abuso de dispositivos castiga se castiga la conducta de quien produzca, adquiera, importe, comercialice o facilite a terceros programas, sistemas informáticos o telemáticos de cualquier índole, credenciales o contraseñas, que estén inequívocamente destinados a la comisión de un delito (como el software malicioso o los dispositivos diseñados para hackear sistemas). La pena contemplada asciende de seis a veinticuatro meses de prisión

Agravante al Art. 277 BIS del C.P.U.: en el año 2017 la Ley Nº 19.580 (“Ley De Violencia Hacia Las Mujeres Basada En Genero”) agregó al Código Penal Uruguayo, castigando con seis meses de prisión a cuatro años de penitenciaría, la conducta del que mediante la utilización de tecnologías, de internet, de cualquier sistema informático o cualquier medio de comunicación o tecnología de trasmisión de datos, contactare a una persona menor de edad o ejerza influencia sobre el mismo, con el propósito de cometer cualquier delito contra su integridad sexual, actos con connotaciones sexuales, obtener material pornográfico u obligarlo a hacer o no hacer algo en contra de su voluntad.

En esta oportunidad, en el Proyecto de Ley se agregan como circunstancias agravantes especiales de dicho delito que: las actividades descriptas se ejecuten mediante coacción, intimidación o engaño hacia los menores de edad; el hecho sea realizado por personas con un vínculo de afinidad o parentesco con el menor; o el contacto se realice con un menor de trece años, discapacidad, deficiencias físicas o psíquicas.

Educación sobre ciberseguridad

El capítulo segundo del Proyecto de Ley se denomina Campaña Nacional de Educación y en éste, se establece que se promoverá una campaña educativa nacional centrada en ciberseguridad y finanzas personales. Se impartirán cursos a estudiantes y beneficiarios de programas sociales sobre temas como medios de pago electrónicos, planificación financiera, riesgos en el uso de canales digitales, y fraudes en línea. La campaña busca también promover la seguridad digital de manera inclusiva.

Registro de ciberdelincuentes

El Proyecto de Ley faculta a las instituciones de intermediación financiera y a las entidades emisoras de dinero electrónico a crear registros interinstitucionales para identificar, prevenir y gestionar transacciones no consentidas, operativas fraudulentas y tomar medidas preventivas conjuntas.

A los solos efectos de compartir entre sí la información a que refiere el inciso anterior, no aplicarán a las instituciones y entidades mencionadas las limitaciones impuestas en relación al deber de guardar secreto bancario, quedando dichas instituciones y entidades facultadas para compartir sus registros con las autoridades jurisdiccionales, a los efectos de radicar denuncias y realizar gestiones tendientes a prevenir y mitigar los ciberdelitos tipificados.

Prevención de Transacciones No Consentidas

Finalmente, el proyecto faculta a las instituciones financieras y emisoras de dinero electrónico a la no ejecución de cualquier orden de retiro o transferencia de activos cuando hubieren tomado conocimiento que en las cuentas referidas ingresaron fondos de terceros a través de transacciones que le fueran declaradas como desconocidas y no autorizadas por el titular de las cuentas de origen de los fondos transferidos.

La medida se aplicará tanto a saldos actuales como a ingresos futuros, hasta cubrir el monto de las transacciones denunciadas.

La inmovilización de fondos que, alcanzará hasta el límite del monto de las transacciones denunciadas como desconocidas y no autorizadas, deberá ser comunicada dentro del plazo de un día hábil al Banco Central del Uruguay, quien podrá solicitar información adicional y, previo análisis de la información a la que acceda podrá instruir dejar sin efecto la inmovilización de fondos.

Consideraciones finales

La aprobación de esta normativa marca un avance significativo en la regulación, prevención y combate de los ciberdelitos en Uruguay, alineándose con estándares internacionales como la Convención de Budapest de 2001.  No obstante, a pesar de su avance, el proyecto podría beneficiarse de mejoras adicionales para reforzar la cooperación judicial internacional y adoptar medidas procesales más robustas. De igual manera, la ratificación de la Convención de Budapest fortalecería aún más el marco legal uruguayo, permitiéndole responder de forma más eficaz a los desafíos del cibercrimen.

^[1] En virtud del artículo 144 de la Constitución, si el Poder Ejecutivo no devuelve el proyecto con observaciones dentro del plazo de diez días establecido por el artículo 137, este adquirirá fuerza de ley y se cumplirá como tal.