Los nuevos delitos tecnológicos en la Ley Orgánica 1/2015

El legislador ha aprovechado la importante reforma del Código Penal protagonizada por la LO 1/2015 para dar cumplimiento a las exigencias de trasposición impuestas por la Directiva 2013/40/UE, relativa a los ataques a sistemas de información; atendiendo para ello a la necesidad de adaptar la normativa penal a las necesidades de lucha contra las nuevas formas de delincuencia organizada que se basan en conductas de intromisión que, incidiendo sobre las vulnerabilidades de redes y dispositivos, actúan en un primer momento logrando un control remoto sobre los mismos, a la espera de organizar futuros ataques informáticos dirigidos. Para ello no solo se adelantan las fronteras de la protección penal, sino que se trasciende el concepto mismo de comunicación para dar protección tanto a las transmisiones de datos automáticas como a la información a la que se pudiera acceder mediante la interferencia sobre emisiones electromagnéticas. Se analizan también nuevas modalidades delictivas que tienen por denominador común el uso de dispositivos electrónicos, utilizados tanto como instrumentos del delito como objetos del mismo.

El redactor de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, se marcó como uno de sus principales objetivos la adaptación del derecho español al mandato de trasposición contenido en la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo. Para ello se dan forma a tipos penales de nuevo cuño y se readaptan otros que ya se introdujeran en nuestro ya tantas veces enmendado Código Penal –CP–.

Aunque el legislador nacional trata de enfocar el espíritu de la Directiva que traspone hacia la idea de incidir sobre vías de intrusión que no sean en sí una comunicación personal –Preámbulo, apdo. I, párrafo séptimo–; lo cierto es que esta se mostraba más ambiciosa, al tener como finalidad esencial la de huir de una protección individualizada de terminales o dominios, sistemas informáticos, para adentrarse en una protección más global, adaptada a la nueva realidad de los ataques masivos que actúan sobre infinidad de terminales a través de la creación de redes infectadas –bot-nets–.

La Directiva se muestra realmente como una readaptación de la Decisión marco 2005/222/JAI a la nueva realidad; hasta el punto que en buena parte se limita a introducir pequeñas variaciones técnicas sobre el precedente. Podemos