A continuación, se deja el texto completo del Proyecto Nº S-1312/12 (Suplantación de Identidad Digital) y el Proyecto S-2257/11 (Phishing)
A continuación, se deja el texto completo del Proyecto Nº S-1312/12 (Suplantación de Identidad Digital) y el Proyecto S-2257/11 (Phishing), no sin antes destacar que se considera que una adecuada legislación es parte de la solución, pero que no opera como "solución mágica". Junto con ella, deberá establecerse un centro de atención a las víctimas, con personal capacitado y con los recursos suficientes para llevar a cabo una real investigación y persecución de estos delitos informáticos. Por último, insistir en que es fundamental la realización de campañas de capacitación y concientización a los usuarios con relación a buenas prácticas en materia de seguridad de la información.
____________________________________________________________________________
Proyecto Nº S-1312/12 (Suplantación de Identidad Digital)
____________________________________________________________________________
Proyecto Nº S-1312/12 (Suplantación de Identidad Digital)
El Senado y Cámara de Diputados,…
ARTICULO 1º: Incorporase como Articulo 138 bis. del Código Penal de la Nación el siguiente:
Art. 138 bis: Será reprimido con prisión de 6 (seis) meses a 3 (tres) años o multa de pesos veinte mil a pesos doscientos mil, el que sin consentimiento, adquiriere, tuviere en posesión, transfiriere, creare o utilizare la identidad de una persona física o jurídica que no le pertenezca, a través de internet o cualquier otro medio electrónico, y con la intención de dañar, extorsionar, defraudar, injuriar o amenazar a otra persona u obtener beneficio para si o para terceros.
Fundamentos:
Sr. Presidente:
La presente Ley tiene como objeto tipificar el delito de suplantación de identidad digital, conocido también como “robo de identidad digital”, el cuál según la OECD (Organización para la Economía, Cooperación y Desarrollo) ocurre cuando una parte adquiere, transfiere, posee o utiliza información personal de una persona física o jurídica de forma no autorizada, con la intención de cometer fraude u otros delitos relacionados.
Por definición, la identidad es aquel conjunto de rasgos propios de un individuo que lo caracteriza frente a los demás. Así, la Identidad Digital es la extensión virtual de esa personalidad, expresada y transmitida a través de los diferentes medios electrónicos. A título de ejemplo, se pueden mencionar como datos de identificación personal el nombre, apellido, documento de identidad, números o códigos de cuentas y servicios, contraseñas, datos biométricos, firmas digitales, etc.
Como podrá observarse en el texto y su ubicación dentro del Código Penal, el fundamento del delito propuesto es precisamente considerar a la Identidad Digital de las personas físicas y jurídicas, como un bien jurídico a proteger, dado que cualquier daño realizado hacia este aspecto digital de la personalidad, tiene sus efectos sobre toda la persona. Por ello, se considera aquí el merecimiento de la tutela más atenta por parte del Estado.
Actualmente, la suplantación de identidad digital se encuentra en amplio crecimiento en Argentina dada su falta de regulación legal. El marcado aumento de bases de datos ilegales con información privada sobre las personas, permite a los delincuentes acceder con relativa facilidad a esos detalles de información, que son materia prima para facilitar la usurpación de una identidad, con la cuál el autor encontrará allanado el camino para poder realizar un gran abanico de conductas maliciosas.
Entre estas conductas, se pueden mencionar la realización de estafas comprando con tarjetas de crédito de la víctima -uno de los delitos más comunes-, la creación de perfiles falsos en redes sociales como Facebook o Twitter, para publicar mensajes que buscan difamar a la víctima; la utilización de la identidad de un menor, buscando acosar a otros menores; la utilización de la identidad de una persona (previo acceso indebido a su cuenta de correo electrónico) para enviar correos publicitarios no solicitados -spam- o bien realizar transacciones o estafas a conocidos de la lista de contactos; entre otras diferentes actividades que tienen como punto en común el previo robo o usurpación de la identidad digital.
En cuanto a las víctimas de este tipo de delitos, cabe destacar que las mismas pueden ser tanto personas físicas como jurídicas, ya que es común que los delincuentes se hagan pasar como empleados de empresas, bancos o financieras, con la finalidad de extraer más datos de terceras personas, combinándose con otras técnicas de captación ilegítima de datos confidenciales. Así, es ejemplo el delincuente que contacta vía correo electrónico a una víctima, haciéndose pasar por personal autorizado de una entidad financiera para engañarlo y obtener los datos de la cuenta bancaria. En estos casos, se utiliza la técnica conocida como “phishing” donde el delincuente utiliza la identidad digital del banco -una de las víctimas- para así adquirir datos de identificación de un tercero engañado -futura víctima de fraude-.
En relación a otros tipos de delitos informáticos, si bien a través de la Ley Nº 26.388 se encuentra actualmente tipificado el acceso indebido a un sistema o dato restringido (conocido como “hacking”), ello deja fuera muchos casos donde el delincuente no accede una cuenta personal ya existente para hacerse pasar por la víctima, sino que directamente crea una cuenta o perfil nuevo, utilizando datos personales como fotos e información privada con la finalidad de que dicho perfil sea creíble por el resto de la sociedad. Paso posterior, el delincuente suele utilizar dicha cuenta para publicar información que injuria o afecta a terceros, o muchas veces que lesionan el honor y buen nombre de la propia persona víctima de la suplantación de identidad digital.
En otros casos, puede suceder que el control de la cuenta de correo electrónico se adquiera a través de un acceso ilegítimo, pero una vez ocurrido ello, el delincuente decide escribir a todos los contactos de la cuenta, haciéndose pasar por la víctima e indicando que por encontrarse en un accidente o estado de emergencia personal, le depositen dinero en una cuenta determinada. Como puede observarse, en el ámbito de la delincuencia informática, la magnitud y la complejidad de los delitos es realmente importante, y es por ello que se considera necesaria la tipificación de este delito, como una herramienta más para combatir la ciberdelincuencia.
Vale destacar que independientemente de considerada la propuesta de tipificación de la suplantación de identidad digital, se debe tener en cuenta la necesidad de contar con campañas de concientización a la sociedad sobre la existencia, riesgos y consecuencias de este tipo de delitos, afirmándose que como en muchos otros delitos, la mejor manera de evitarlos es la prevención, que en estos casos, será a través de la enseñanza de un uso responsable y adecuado de las nuevas tecnologías.
Por último quiero destacar la colaboración del Dr. Marcelo Temperini y el Lic. Cristian Borghello, ambos especialistas en la materia.
Por todo lo expuesto, solicito a mis pares me acompañen en este proyecto de Ley.
Maria de los Ángeles Higonet y Carlos Alberto Verna
La presente Ley tiene como objeto tipificar el delito de suplantación de identidad digital, conocido también como “robo de identidad digital”, el cuál según la OECD (Organización para la Economía, Cooperación y Desarrollo) ocurre cuando una parte adquiere, transfiere, posee o utiliza información personal de una persona física o jurídica de forma no autorizada, con la intención de cometer fraude u otros delitos relacionados.
Por definición, la identidad es aquel conjunto de rasgos propios de un individuo que lo caracteriza frente a los demás. Así, la Identidad Digital es la extensión virtual de esa personalidad, expresada y transmitida a través de los diferentes medios electrónicos. A título de ejemplo, se pueden mencionar como datos de identificación personal el nombre, apellido, documento de identidad, números o códigos de cuentas y servicios, contraseñas, datos biométricos, firmas digitales, etc.
Como podrá observarse en el texto y su ubicación dentro del Código Penal, el fundamento del delito propuesto es precisamente considerar a la Identidad Digital de las personas físicas y jurídicas, como un bien jurídico a proteger, dado que cualquier daño realizado hacia este aspecto digital de la personalidad, tiene sus efectos sobre toda la persona. Por ello, se considera aquí el merecimiento de la tutela más atenta por parte del Estado.
Actualmente, la suplantación de identidad digital se encuentra en amplio crecimiento en Argentina dada su falta de regulación legal. El marcado aumento de bases de datos ilegales con información privada sobre las personas, permite a los delincuentes acceder con relativa facilidad a esos detalles de información, que son materia prima para facilitar la usurpación de una identidad, con la cuál el autor encontrará allanado el camino para poder realizar un gran abanico de conductas maliciosas.
Entre estas conductas, se pueden mencionar la realización de estafas comprando con tarjetas de crédito de la víctima -uno de los delitos más comunes-, la creación de perfiles falsos en redes sociales como Facebook o Twitter, para publicar mensajes que buscan difamar a la víctima; la utilización de la identidad de un menor, buscando acosar a otros menores; la utilización de la identidad de una persona (previo acceso indebido a su cuenta de correo electrónico) para enviar correos publicitarios no solicitados -spam- o bien realizar transacciones o estafas a conocidos de la lista de contactos; entre otras diferentes actividades que tienen como punto en común el previo robo o usurpación de la identidad digital.
En cuanto a las víctimas de este tipo de delitos, cabe destacar que las mismas pueden ser tanto personas físicas como jurídicas, ya que es común que los delincuentes se hagan pasar como empleados de empresas, bancos o financieras, con la finalidad de extraer más datos de terceras personas, combinándose con otras técnicas de captación ilegítima de datos confidenciales. Así, es ejemplo el delincuente que contacta vía correo electrónico a una víctima, haciéndose pasar por personal autorizado de una entidad financiera para engañarlo y obtener los datos de la cuenta bancaria. En estos casos, se utiliza la técnica conocida como “phishing” donde el delincuente utiliza la identidad digital del banco -una de las víctimas- para así adquirir datos de identificación de un tercero engañado -futura víctima de fraude-.
En relación a otros tipos de delitos informáticos, si bien a través de la Ley Nº 26.388 se encuentra actualmente tipificado el acceso indebido a un sistema o dato restringido (conocido como “hacking”), ello deja fuera muchos casos donde el delincuente no accede una cuenta personal ya existente para hacerse pasar por la víctima, sino que directamente crea una cuenta o perfil nuevo, utilizando datos personales como fotos e información privada con la finalidad de que dicho perfil sea creíble por el resto de la sociedad. Paso posterior, el delincuente suele utilizar dicha cuenta para publicar información que injuria o afecta a terceros, o muchas veces que lesionan el honor y buen nombre de la propia persona víctima de la suplantación de identidad digital.
En otros casos, puede suceder que el control de la cuenta de correo electrónico se adquiera a través de un acceso ilegítimo, pero una vez ocurrido ello, el delincuente decide escribir a todos los contactos de la cuenta, haciéndose pasar por la víctima e indicando que por encontrarse en un accidente o estado de emergencia personal, le depositen dinero en una cuenta determinada. Como puede observarse, en el ámbito de la delincuencia informática, la magnitud y la complejidad de los delitos es realmente importante, y es por ello que se considera necesaria la tipificación de este delito, como una herramienta más para combatir la ciberdelincuencia.
Vale destacar que independientemente de considerada la propuesta de tipificación de la suplantación de identidad digital, se debe tener en cuenta la necesidad de contar con campañas de concientización a la sociedad sobre la existencia, riesgos y consecuencias de este tipo de delitos, afirmándose que como en muchos otros delitos, la mejor manera de evitarlos es la prevención, que en estos casos, será a través de la enseñanza de un uso responsable y adecuado de las nuevas tecnologías.
Por último quiero destacar la colaboración del Dr. Marcelo Temperini y el Lic. Cristian Borghello, ambos especialistas en la materia.
Por todo lo expuesto, solicito a mis pares me acompañen en este proyecto de Ley.
Maria de los Ángeles Higonet y Carlos Alberto Verna
____________________________________________________________________________
El Senado y Cámara de Diputados...
ARTICULO 1º: Incorporase como Articulo 157 ter. del Código Penal de la Nación el siguiente:
Art. 157 ter.- Será reprimido con prisión de un (1) mes a dos (2) años o multa de pesos diez mil a pesos cien mil el que:
1. Mediante cualquier forma de ardid o engaño, indebidamente obtuviere o captare datos personales, financieros o confidenciales.
2. Con fines ilícitos, diseñare, programare, desarrollare, vendiere, ejecutare, facilitare o enviare un dispositivo, sistema o programa informático, destinados a la indebida obtención o captura de datos personales, financieros o confidenciales.
ARTICULO 2º.- Comuníquese al Poder Ejecutivo.
ARTICULO 1º: Incorporase como Articulo 157 ter. del Código Penal de la Nación el siguiente:
Art. 157 ter.- Será reprimido con prisión de un (1) mes a dos (2) años o multa de pesos diez mil a pesos cien mil el que:
1. Mediante cualquier forma de ardid o engaño, indebidamente obtuviere o captare datos personales, financieros o confidenciales.
2. Con fines ilícitos, diseñare, programare, desarrollare, vendiere, ejecutare, facilitare o enviare un dispositivo, sistema o programa informático, destinados a la indebida obtención o captura de datos personales, financieros o confidenciales.
ARTICULO 2º.- Comuníquese al Poder Ejecutivo.
Fundamentos:
Sr. Presidente:
La presente Ley tiene como objeto tipificar el delito de obtención ilegitima de datos confidenciales, conocido como “phishing” el cual se define como la capacidad de duplicar una página Web para hacer creer al visitante que se encuentra en el sitio Web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando SPAM e invitando acceder a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios.
El Convenio de Cibercriminalidad de Budapest, es el único acuerdo internacional que cubre todas las áreas relevantes a la legislación sobre ciberdelincuencia (derecho penal, derecho procesal y cooperación internacional) y trata con carácter prioritario una política penal contra la ciberdelincuencia. Fue adoptado por el Comité de Ministros del Consejo de Europa en su sesión Nº 109 del 8 de Noviembre de 2001, se presento a firma en Budapest, el 23 de Noviembre de 2001 y entro en vigor el 1 de Julio de 2004.
En abril de 2001 el Consejo Europeo publico el proyecto destinado a armonizar las legislaciones en los Estados miembros (47 miembros y 8 observadores al día de la fecha) y abierta a otros países como Australia, Japón, Canadá, Sudáfrica y los EEUU en Noviembre de 2001, actualmente nuestro país basa su ley sobre delitos informáticos en este Convenio y ha manifestado la intensión de adherirse.
Esto es importante tenerlo en cuenta, ya que en caso nuestro país sea parte estará obligado a adaptarse a todas las directivas y lineamientos del tratado, es por esto que la idea de sancionar penalmente la obtención ilegitima de datos confidenciales se encuentra enmarcada dentro de las directivas del Art. 6º de la Convención.
Actualmente en nuestra legislación nacional no esta penado como delito autónomo la mera obtención de datos (por phishing o cualquier otro método) con fines de defraudar, ya que actualmente la conducta se encuadra dentro de las previsiones del Art. 173, inciso 16, incorporado al Código Penal mediante la Ley 26 388 y que castiga con pena de un (1) mes a seis (6) años, a quien “defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos”
Entonces, el phishing es en principio en Argentina, un tipo especial de la estafa común del Art. 172, de manera que debemos recurrir a la doctrina clásica penal del Delito de estafa, para saber así cuando quedara configurado el tipo, por lo que para que quede configurado el delito de estafa (y por lo tanto el de phishing) debe existir primero el ardid o engaño y luego el perjuicio patrimonial consecuencia de dicho engaño.
Debido a que no siempre los encargados de realizar los perjuicios económicos con los datos obtenidos de manera fraudulenta has sido los que mediante engaño obtuvieron esos datos, se hace imperiosa la tipificación de este delito como autónomo.
Entre las modalidades actuales mas utilizadas, se encuentra la creación de sitios Webs falsos, en URLs parecidas (en los casos mas elaborados), apelando siempre a la inocencia del usuario. El tema es que dado el aumento de esta actividad delictiva, hace tiempo que existe una especialización en la misma. Especialización en el sentido de organización, donde existen personas dedicadas a la programación, diseño y montaje de los sitios falsos, otros a los envíos
masivos de mails intentando que se ingresen a estos sitios. Una vez capturados los datos de usuarios engañados, existen también diferentes alternativas, como la venta en paquetes de bases de datos (por banco, por regiones, según los saldos de las cuentas, etc.), o bien, puede que la misma banda tenga montada la segunda parte de la cadena. Esta opción dentro de la segunda parte implica la estafa en se, es decir, el acceso a los sistemas utilizando los datos robados, realizando allí las transferencias bancarias (muchas veces hacia terceros llamados “mulas”), y es esta la situación contemplada y penada actualmente en el sistema argentino. Como ya hemos aclarado antes, siempre que exista el perjuicio patrimonial, esto será un delito pero por no estar configurado el inc. 16, sino por ser un caso típico de estafa común del Art. 172. Es decir, existe un ardid o engaño (configurado en la realización de un site tercero para que el engañado brinde sus datos pensando que lo esta haciendo en el site oficial), y si luego existe el daño patrimonial, se dan los requisitos esenciales, ergo, hay delito.
Sin embargo, este camino es el menos transitado, y el incremento de la actividad se da por las otras alternativas mencionadas, que son las que aun no se encuentran reguladas ni sancionadas. Es decir, crecen exponencialmente los delincuentes especializados en la primera etapa del “phishing completo”, es decir en la captura ilegitima de datos para su posterior venta o cesión a terceros.
Es por esto que considero esencial lograr una mejora en la legislación penal para lograr la punición de la obtención ilegitima de datos, por lo expuesto anteriormente solicito a mis pares me acompañen en este proyecto de Ley.
La presente Ley tiene como objeto tipificar el delito de obtención ilegitima de datos confidenciales, conocido como “phishing” el cual se define como la capacidad de duplicar una página Web para hacer creer al visitante que se encuentra en el sitio Web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando SPAM e invitando acceder a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios.
El Convenio de Cibercriminalidad de Budapest, es el único acuerdo internacional que cubre todas las áreas relevantes a la legislación sobre ciberdelincuencia (derecho penal, derecho procesal y cooperación internacional) y trata con carácter prioritario una política penal contra la ciberdelincuencia. Fue adoptado por el Comité de Ministros del Consejo de Europa en su sesión Nº 109 del 8 de Noviembre de 2001, se presento a firma en Budapest, el 23 de Noviembre de 2001 y entro en vigor el 1 de Julio de 2004.
En abril de 2001 el Consejo Europeo publico el proyecto destinado a armonizar las legislaciones en los Estados miembros (47 miembros y 8 observadores al día de la fecha) y abierta a otros países como Australia, Japón, Canadá, Sudáfrica y los EEUU en Noviembre de 2001, actualmente nuestro país basa su ley sobre delitos informáticos en este Convenio y ha manifestado la intensión de adherirse.
Esto es importante tenerlo en cuenta, ya que en caso nuestro país sea parte estará obligado a adaptarse a todas las directivas y lineamientos del tratado, es por esto que la idea de sancionar penalmente la obtención ilegitima de datos confidenciales se encuentra enmarcada dentro de las directivas del Art. 6º de la Convención.
Actualmente en nuestra legislación nacional no esta penado como delito autónomo la mera obtención de datos (por phishing o cualquier otro método) con fines de defraudar, ya que actualmente la conducta se encuadra dentro de las previsiones del Art. 173, inciso 16, incorporado al Código Penal mediante la Ley 26 388 y que castiga con pena de un (1) mes a seis (6) años, a quien “defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos”
Entonces, el phishing es en principio en Argentina, un tipo especial de la estafa común del Art. 172, de manera que debemos recurrir a la doctrina clásica penal del Delito de estafa, para saber así cuando quedara configurado el tipo, por lo que para que quede configurado el delito de estafa (y por lo tanto el de phishing) debe existir primero el ardid o engaño y luego el perjuicio patrimonial consecuencia de dicho engaño.
Debido a que no siempre los encargados de realizar los perjuicios económicos con los datos obtenidos de manera fraudulenta has sido los que mediante engaño obtuvieron esos datos, se hace imperiosa la tipificación de este delito como autónomo.
Entre las modalidades actuales mas utilizadas, se encuentra la creación de sitios Webs falsos, en URLs parecidas (en los casos mas elaborados), apelando siempre a la inocencia del usuario. El tema es que dado el aumento de esta actividad delictiva, hace tiempo que existe una especialización en la misma. Especialización en el sentido de organización, donde existen personas dedicadas a la programación, diseño y montaje de los sitios falsos, otros a los envíos
masivos de mails intentando que se ingresen a estos sitios. Una vez capturados los datos de usuarios engañados, existen también diferentes alternativas, como la venta en paquetes de bases de datos (por banco, por regiones, según los saldos de las cuentas, etc.), o bien, puede que la misma banda tenga montada la segunda parte de la cadena. Esta opción dentro de la segunda parte implica la estafa en se, es decir, el acceso a los sistemas utilizando los datos robados, realizando allí las transferencias bancarias (muchas veces hacia terceros llamados “mulas”), y es esta la situación contemplada y penada actualmente en el sistema argentino. Como ya hemos aclarado antes, siempre que exista el perjuicio patrimonial, esto será un delito pero por no estar configurado el inc. 16, sino por ser un caso típico de estafa común del Art. 172. Es decir, existe un ardid o engaño (configurado en la realización de un site tercero para que el engañado brinde sus datos pensando que lo esta haciendo en el site oficial), y si luego existe el daño patrimonial, se dan los requisitos esenciales, ergo, hay delito.
Sin embargo, este camino es el menos transitado, y el incremento de la actividad se da por las otras alternativas mencionadas, que son las que aun no se encuentran reguladas ni sancionadas. Es decir, crecen exponencialmente los delincuentes especializados en la primera etapa del “phishing completo”, es decir en la captura ilegitima de datos para su posterior venta o cesión a terceros.
Es por esto que considero esencial lograr una mejora en la legislación penal para lograr la punición de la obtención ilegitima de datos, por lo expuesto anteriormente solicito a mis pares me acompañen en este proyecto de Ley.
María de los Ángeles Higonet.- Carlos A. Verna.-
Comentarios