• No se han encontrado resultados

DAÑOS INFORMÁTICOS CONTRA SISTEMAS: EL ARTÍCULO 264 BIS DEL CÓDIGO PENAL

N/A
N/A
Protected

Academic year: 2021

Share "DAÑOS INFORMÁTICOS CONTRA SISTEMAS: EL ARTÍCULO 264 BIS DEL CÓDIGO PENAL"

Copied!
20
0
0

Texto completo

(1)

DAÑOS INFORMÁTICOS CONTRA SISTEMAS: EL ARTÍCULO 264 BIS DEL CÓDIGO PENAL

Alberto Rodríguez Fernández

Fiscal Delegado de Delitos Informáticos de la Fiscalía Superior del Principado de Asturias

(2)

RESUMEN

El nuevo artículo 264 bis del Código Penal, introducido por la Ley Orgánica 1/2015, de 30 de junio, regula los ataques ejecutados de manera grave contra los sistemas de información y viene a dar una mejor respuesta a la incriminación de estas conductas. Lleva a cabo la implementación de la Directiva 2013/40/UE, de 12 de agosto, del Parlamento y del Consejo relativa a los ataques contra los sistemas de información, y de la Convención sobre Ciberdelincuencia de Budapest. Se definen las conductas de forma abierta con la finalidad de tratar de incluir toda clase de comportamientos. La conducta típica consiste en lograr un resultado, la obstaculización o interrupción del funcionamiento, de manera grave y a través de alguna de las acciones indicadas en el precepto, de un sistema informático ajeno. La definición de lo que se entiende por sistema informático, como objeto del delito, se encuentra en la propia Convención sobre Ciberdelincuencia y en la Directiva 2013/40/UE. El artículo 264 bis establece un catálogo de agravaciones, en línea con la Directiva, la mayoría de ellas comunes con la del artículo 264, relativo a los daños en los datos informáticos. La exacerbación punitiva viene a otorgar, frente a los ataques, una mayor protección penal a los sistemas informáticos que a los datos informáticos.

INTRODUCCIÓN

La reforma del Código Penal realizada por la Ley Orgánica 1/2015, de 30 de junio, afecta de forma importante a la regulación existente en materia de delitos de daños informáticos y muy especialmente al objeto de este estudio pues introduce un nuevo precepto, el artículo 264 bis.

La Exposición de Motivos de la citada Ley Orgánica ya desde su inicio menciona la causa por la que se introduce estas modificaciones en el Código Penal que no es otra que la incorporación al ordenamiento jurídico interno de la Directiva 2013/40/UE, de 12 de agosto, del Parlamento y del Consejo relativa a los ataques contra los sistemas de información. Concretamente en el apartado XIII se dice que se regulan separadamente, de un modo que permite ofrecer diferentes niveles de respuesta a la diferente gravedad de los hechos, los supuestos de daños informáticos y las interferencias en los sistemas de información.

Por eso, el análisis de las novedades incorporadas exige previamente una reflexión sobre el sentido y alcance de la Directiva 2013/40/UE. Al respecto ha de recordarse que dicha norma europea, dictada en el marco del proceso de aproximación de las legislaciones penales de los Estados miembros, viene a sustituir a la Decisión Marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa también a los ataques contra los servicios de información, y cuya publicación en febrero del año 2005 tuvo un doble objetivo: por una parte el establecimiento de normas mínimas comunes para todos los Estados en la definición de infracciones penales y de las

(3)

otro lado reforzar y mejorar la cooperación entre las autoridades competentes de los Estados y los organismos europeos con responsabilidad en esta materia.

La citada Decisión Marco 2005/222/JAI fue incorporada al ordenamiento jurídico español a través de la reforma operada en el Código Penal por la Ley Orgánica 5/2010, de 22 de junio, que dio lugar a la tipificación específica en el artículo 264 de los delitos de daños informáticos, en relación con los cuales también se contempló, siguiendo las directrices de dicha norma europea, una agravación especifica en los supuestos de actuación en el marco de una organización criminal, así como la posibilidad de extender la responsabilidad penal por estos hechos a las personas jurídicas, cuando concurrieran las circunstancias previstas en el artículo 31 bis del Código Penal, estableciéndose en el apartado 4º citado precepto, las sanciones imponibles en esos supuestos.

Pese a este esfuerzo realizado por el legislador, tanto español como europeo, para definir los tipos delictivos que permitieran la actuación en vía penal, ante determinados comportamientos surgidos al hilo del desarrollo tecnológico y cuyo objeto son los propios datos y sistemas informáticos, la propia evolución de esas mismas tecnologías ha ido determinando la aparición de nuevos riesgos y amenazas y por ende, la necesidad de articular nuevas figuras delictivas -o modificar las ya existentes- de tal forma que sea posible actuar penalmente frente a estas nuevas situaciones cuando se estime que por su gravedad y por los riesgos que generan se hacen acreedoras de reproche penal.

La Directiva persigue como objetivos aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra los sistemas de información, mediante el establecimiento de normas mínimas relativas a la definición de las infracciones penales y las sanciones aplicables, y mejorar la cooperación entre las autoridades competentes, incluida la policía y los demás servicios especializados encargados de la aplicación de la ley en los Estados miembros, así como los organismos especializados de la Unión, como Eurojust, Europol y su Centro Europeo contra la Ciberdelincuencia y la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).

Pone de manifiesto la importancia de los sistemas de información, pues son un elemento esencial para la interacción política, social y económica en la Unión Europea. Destaca la dependencia de este tipo de sistemas por parte de la sociedad y la necesidad de garantizar el buen funcionamiento y la seguridad de estos sistemas, pues es clave para el desarrollo del mercado interior y de una economía competitiva e innovadora. Añade que, garantizar un adecuado nivel de protección de los sistemas de información, debe formar parte de un marco general efectivo de medidas de prevención que acompañen a las respuestas del Derecho penal a la ciberdelincuencia.

Se refiere específicamente la Directiva a la amenaza que suponen para la Unión los ataques contra los sistemas de información y, en particular, los ataques

(4)

vinculados a la delincuencia organizada y la posibilidad de ataques de carácter terrorista o de naturaleza política contra los sistemas información que forman parte de de las infraestructuras criticas de los Estados Miembros o de las Instituciones de la Unión.

Pone de manifiesto también la tendencia hacia ataques de gran escala cada vez más graves y recurrentes contra sistemas de información, que a menudo pueden ser críticos para los Estados miembros o para determinadas funciones del sector público o privado. Esta tendencia coincide con el desarrollo de métodos cada vez más sofisticados, como la creación y utilización de redes infectadas (botnets), que conllevan fases múltiples del acto delictivo, cada una de las cuales puede por sí sola constituir un grave peligro para el interés público. Por ello, tiene por objeto, entre otros, establecer sanciones para la fase en que se crea la red infectada, es decir, cuando se establece un control remoto sobre un número significativo de ordenadores infectándolos mediante programas nocivos a través de ataques informáticos dirigidos. Una vez establecida la red, los ordenadores infectados, que constituyen la red infectada, pueden activarse sin el conocimiento de los usuarios para realizar un ataque informático a gran escala, que en circunstancias normales puede causar daños graves. En consecuencia, plantea la necesidad de perseguir y sancionar penalmente determinadas conductas, particularmente aquellas que se producen en fases más incipientes de la planificación y desarrollo de la actividad delictiva, así como también el establecimiento de penas más graves en atención a la importancia o trascendencia de los sistemas afectados por los ciberataques. Insta a los Estados miembros a establecer qué constituyen daños graves de conformidad con su ordenamiento jurídico y práctica nacionales, tales como interrumpir los servicios del sistema de una importancia pública relevante, o causar importantes costes económicos o pérdidas de datos de carácter personal o de información sensible.

De acuerdo con este planteamiento, la Directiva 2013/40/UE insta a los Estados a la tipificación penal de nuevas conductas no contempladas en la Decisión Marco 2005/222/JAI, tales como la interceptación ilegal de transmisiones no públicas de datos informáticos o la producción intencional, venta, adquisición para el uso, importación, distribución u otra forma de puesta a disposición de instrumentos aptos para cometer este tipo de infracciones con la intención de ser utilizados con esa finalidad. También la Directiva demanda de los Estados el establecimiento para estos ilícitos de penas efectivas, proporcionadas y disuasorias, contemplando agravaciones en atención a la importancia de los daños causados, a la afectación de sistemas de infraestructuras criticas y a la utilización en la acción criminal de datos de carácter personal de otra persona.

Es imprescindible señalar también que la Directiva europea toma como punto de partida en la definición de los tipos penales la Convención sobre Ciberdelincuencia, aprobada, junto con su Informe explicativo, por el Comité de Ministros del Consejo de Europa en su 109ª reunión (8 de noviembre de 2001) y

(5)

celebración de la Conferencia Internacional sobre la ciberdelincuencia. Dicho Convenio fue ratificado por España en Instrumento publicado en el BOE el 17 de junio de 2010. Como se explica en el considerando decimosexto, la nueva estrategia de la UE en esta materia se ha de inspirar en la citada Convención por lo que se insta a los Estados Miembros, que aun no lo hayan hecho, a llevar a efecto el proceso de ratificación de la misma.

Este Convenio, como su informe explicativo señala, tiene como finalidad primordial: 1) armonizar los elementos de los delitos conforme al derecho sustantivo penal de cada país y las disposiciones conexas en materia de delitos informáticos; 2) establecer conforme al derecho procesal penal de cada país los poderes necesarios para la investigación y el procesamiento de dichos delitos, así como también de otros delitos cometidos mediante el uso de un sistema informático o las pruebas conexas que se encuentren en formato electrónico, 3) establecer un régimen rápido y eficaz de cooperación internacional.

A estos fines, el Convenio se estructura en cuatro capítulos: I) Terminología, II) Medidas que deberán adoptarse a nivel nacional -el derecho penal sustantivo y el derecho procesal- , (III) Cooperación internacional y (IV) Cláusulas finales.

La Sección 1 del Capítulo II (Derecho penal sustantivo) abarca las disposiciones relativas a los delitos y otras disposiciones conexas referentes al ámbito de los delitos informáticos o los delitos relacionados con el empleo de ordenadores. En primer lugar, define 9 delitos agrupados en 4 categorías diferentes y más tarde versa sobre las responsabilidades y sanciones conexas. En los artículos 2 a 11 el Convenio define los siguientes delitos: acceso ilícito, interceptación ilícita, ataques a la integridad de los datos, ataques a la integridad del sistema, abuso de los dispositivos, falsificación informática, fraude informático, delitos relacionados con la pornografía infantil y delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines.

En lo que se refiere al tipo delictivo objeto de este estudio, el artículo 5, bajo el epígrafe de Interferencia en el sistema, dispone que cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, provocación de daños, borrado, deterioro, alteración o supresión de datos informáticos.

EVOLUCIÓN DEL TIPO PENAL

El artículo 264.2 del Código Penal fue introducido en nuestro panorama penal por virtud de la Ley Orgánica 10/95 y establecía que la misma pena se impondrá al que por cualquier medio que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos.

(6)

Este delito se configuraba como un tipo agravado más del delito de daños y, por su especial redacción, alejaba estas conductas del tipo básico en el que hasta ese momento había que incluirlas, consciente el legislador de la necesidad de dar respuesta al problema introducido a raíz del desarrollo de las nuevas tecnologías por los conocidos como "piratas” o hackers a través de la difusión de "virus informáticos", es decir programas cuya única finalidad es producir un deterioro o destrucción del "software" de aquellos terminales que infectan, o sencillamente una alteración de su sistema operativo, que determina un funcionamiento anómalo o deficiente. Problema que hasta ese momento no daba respuesta el tipo básico ordinario, más pensado en la afectación de un bien, de un objeto material perfectamente tangible, por lo era de fácil comprensión la idea de la destrucción, de rotura que este delito implica, frente al supuesto ahora valorado, en que estamos hablando de algo intangible, inmaterial, como es un programa informático, que se hace mas etéreo aun, cuando pensamos que estos se integran en una red, prácticamente ilimitado, que los intercomunica, que hace que una alteración puede que individualmente considerada no sea de una gran trascendencia, pero si esta se contempla tomando en consideración la totalidad de los usuarios afectados, si que llega a tomar un verdadera trascendencia, generando unos importantes daños.

Aunque, como queda dicho, supuso un avance en el camino de separar los daños informáticos del delito tradicional de daños de naturaleza física, las insuficiencias de este precepto para recoger todas las conductas merecedoras de reproche penal (como por ejemplo, los ataques de denegación de servicio a los cuales me referiré posteriormente) y la Decisión Marco 2005/222/JAI hicieron necesaria una reforma de este precepto.

Con la entrada en vigor de la ley Orgánica 5/2010 el articulo 264 pasa a tener una nueva redacción con dos apartados. Su número 1º establecía: El por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, suprimiere o hiciese inaccesible datos programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera, grave será castigado con la pena de prisión de seis meses a dos años. En su número 2 recogía la conducta de daños al sistema informático: El que por cualquier medio sin estar autorizado y de manera grave obstaculizara o interrumpiere el de un sistema informático ajeno, introduciendo, trasmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuere grave será castigado, con la pena de prisión de seis meses a tres años.

Este precepto ahondaba en el camino de separación de los daños informáticos de los tradicionales daños, dejando de contemplarlo junto a las circunstancias cualificadoras de los daños para dotarle de autonomía sistemática. Esta autonomía era tal que, el caso de este tipo de daños, ya no era necesario tener en cuenta el criterio de los 400 euros para poder considerarlos como delito.

(7)

Así lo estimó la Audiencia Provincial de Sevilla, Sección 7ª, Sentencia de 30 de diciembre de 2011, rec. 6474/2010, y la Audiencia Provincial de Madrid, Sección 6ª, Sentencia de 3 de junio de 2013, rec. 523/2012. Esta última señalaba: En efecto, la frontera de los 400 euros establecida para diferenciar el delito de la falta de daños, no resulta de aplicación al delito de daños informáticos, recogido en el segundo número del art. 264 del Código Penal. El delito que ahora examinamos fue introducido por virtud de la Ley Orgánica 10/95, que, como se pone de manifiesto en la SAP de Valencia de 10 de Junio de 2011 , amplia su ámbito, de un lado dándole carta de naturaleza propia al dejar de contemplarlo junto a las circunstancias cualificadoras de los daños, dotándole de autonomía sistemática, y de otro lado, recogiendo incluso un elenco de conductas más amplio, para solventar así todo debate en relación a su alcance, a que manipulaciones debían valorarse, pasando a contemplar prácticamente cualquier injerencia en un programa ajeno, con tal de que esta pueda tacharse de grave, ya que en su número primero, como elenco de conductas punibles alude a: borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas o documentos, y, en su número segundo a: obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno introduciendo, trasmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, conductas todas éstas que no dejan de ser exponente de un funcionamiento anómalo de un sistema informático y, por extensión, de un determinado terminal, por consecuencia de una conducta voluntaria y deliberada de un tercero , que es definitiva es lo que ocurre en el supuesto de autos, como luego se examinará, por lo que se trata de un delito con sustantividad propia.

NOVEDADES INTRODUCIDAS EN LOS DELITOS DE DAÑOS INFORMÁTICOS

Como ya hemos indicado, las variaciones incorporadas por la Ley Orgánica 1/2015 de 30 de marzo en los delitos de daños informáticos son el resultado de la implementación en nuestro ordenamiento jurídico penal de la Directiva 2013/40/UE de 12 de agosto del Parlamento y del Consejo relativa a los ataques contra los sistemas de información. A su vez, esta Directiva, hace suyos los planteamientos de la Convención de Budapest del Convenio de Europa. En los estudios previos de dicha Convención, se dejó constancia de que lo que se pretende a través de estos preceptos legales es otorgar a los datos y programas informáticos una protección similar a la que tienen los objetos corpóreos frente a la protección otorgada ante daños causados de forma deliberada.

Ha de recordarse que el artículo 264 del Código Penal, en su redacción previa a esta reforma, había sido introducido en el Código Penal español por Ley Orgánica 5/2010 de 22 de junio para dar cumplimiento a la Decisión Marco 2005/222/JAI del Consejo de 24 de junio. La sustitución en el marco normativo europeo de dicha Decisión Marco por la citada Directiva del año 2013 ha determinado la necesidad de acomodar nuestra regulación penal a las innovaciones contempladas por esta última

(8)

con la que se pretende dar respuesta a los problemas y situaciones que se están generando como consecuencia de las novedosas manifestaciones de ataque masivo y coordinado a los sistemas de información. La reforma de estos preceptos penales es el resultado de las enmiendas nº 828, 829 ,830 y 831 planteadas por el Grupo Parlamentario Popular en la fase de tramitación del proyecto de reforma ante el Congreso de los Diputados con el objetivo antes indicado

Una primera aproximación a la nueva redacción de los artículos en los que se definen y sancionan este tipo de conductas da cuenta de la reorganización sistemática de los mismos. Efectivamente, el legislador, apartándose del criterio seguido en la anterior regulación ha estimado oportuno tipificar y sancionar, en artículo separados, las conductas ilícitas cuyo objeto son datos informáticos, programas informáticos y documentos electrónicos ajenos, y aquellas otras que se refieren a acciones delictivas dirigidas y ejecutadas contra sistemas informáticos, recogiendo las primeras en el articulo 264, que es objeto de nueva redacción e incorporando un nuevo artículo, el 264 bis, específicamente para los delitos relativos a los daños sobre sistemas informáticos. Con ello se realiza una más adecuada adaptación de nuestra normativa interna a la Directiva europea que contempla separadamente los dos tipos de conductas. Las primeras en el artículo 5, subtitulado como Interferencia ilegal en los datos, y las segundas en el artículo 4, bajo el epígrafe Interferencia ilegal en los sistemas de información.

EL ARTÍCULO 264 BIS CÓDIGO PENAL

Como queda dicho, la Ley Orgánica 1/2015, siguiendo también en este punto el criterio de la Directiva europea, aborda en preceptos separados la descripción y sanción de las acciones ilícitas contra los datos y programas informáticos y los documentos electrónicos ajenos y aquellas otras cuyo objeto son los propios sistemas informáticos (Interferencia ilegal en los sistemas de información, en la terminología de la Directiva).

Por ello y en referencia a estas últimas articula un nuevo precepto cuyo tenor es el siguiente:

1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:

a) realizando alguna de las conductas a que se refiere el artículo anterior; b) introduciendo o transmitiendo datos; o

c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

(9)

Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.

2. Se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior.

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

Este precepto viene a cumplir lo previsto en el artículo 4 de la Directiva en esta materia, el cual dispone: Los Estados miembros adoptarán las medidas necesarias para que la obstaculización o la interrupción significativas del funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo, o haciendo inaccesibles datos informáticos, intencionadamente y sin autorización, sea sancionable como infracción penal, al menos en los supuestos que no sean de menor gravedad

El legislador, en su afán por tratar de incluir toda clase de conductas, ha optado por definir de forma muy abierta, e incluso reiterativa, la conducta típica que consiste básicamente en lograr un resultado, la obstaculización o interrupción del funcionamiento, de manera grave y a través de alguna de las acciones indicadas en el precepto, de un sistema informático ajeno.

Se trata, por tanto, de un delito de resultado en el que el elemento esencial es que se produzca la efectiva obstaculización o interrupción de un sistema informático de manera grave.

La primera cuestión a abordar es el objeto del ataque, esto es, qué se entiende por sistema informático. La definición la encontramos en la Convención sobre Ciberdelincuencia, la cual, en su artículo 1.a), nos dice que por “sistema informático” se entenderá todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa.

En el Informe explicativo aclara que es un dispositivo que consta de hardware y software cuya función es el tratamiento automatizado de datos digitales. Puede incluir facilidades de entrada (input), salida (output) y almacenamiento. Puede funcionar en forma independiente o estar conectado a una red con otros dispositivos similares. "Automatizado" significa sin intervención directa de un ser humano; "tratamiento de datos” significa que los datos que se encuentran en un sistema

(10)

informático son operados mediante la ejecución de un programa informático. Un "programa informático" es un conjunto de instrucciones que pueden ser ejecutadas por el equipo para alcanzar el resultado deseado. Un equipo puede ejecutar diversos programas. Un sistema informático por lo general consta de diferentes dispositivos, diferenciándose entre el procesador o unidad de procesamiento central y los periféricos. Un "periférico" es un dispositivo que realiza ciertas funciones específicas interactuando con la unidad de procesamiento, como puede ser una impresora, una pantalla de video, un dispositivo para leer o escribir CD u otros dispositivos de almacenamiento.

Asimismo, también la Directiva 2013/40/UE, en su artículo 1 a), establece que por sistema informático hemos de entender, todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento.

El objeto de la acción típica no son sólo las herramientas, dispositivos o elementos externos (hardware) a través de las cuales operamos informáticamente, sino también pueden serlo los elementos lógicos o de carácter inmaterial (software) de un sistema de información. Las conductas delictivas no tienen por que estar vinculadas a actos materiales que impliquen alteración, destrucción o inutilización de soportes físicos, es más, en la mayoría de los supuestos no se verán afectados por la actividad ilícita dichos elementos o soportes físicos. En relación con ello, es importante recordar que tanto la Decisión Marco 2005/222/JAI del Consejo de 24 de febrero como la Directiva 2013/40/UE incorporada por la Ley Orgánica 1/2015, de 30 de marzo, tienen por objeto el establecimiento de criterios comunes para sancionar penalmente los ataques contra los sistemas de información que se llevan a efecto en el ciberespacio, a través por tanto de las tecnologías de la información y la comunicación.

Cabría plantearse la cuestión acerca de la calificación jurídica del supuesto de un ataque material con destrucción o inutilización de los soportes físicos que conforman el sistema de información. De hecho, de esa calificación derivarían muy distintas consecuencias penológicas. Así, si se entendiera que se trata de daños físicos tradicionales, tendrían encaje en el artículo 263 del Código Penal, con pena de multa, salvo que concurriera alguna de las circunstancias de agravación del 263.2. Sin embargo, si se entienden tipificados en el artículo 264 bis, la pena siempre sería de prisión. Para una correcta calificación jurídica habría que acudir a la finalidad perseguida por el autor: si tratare de obstaculizar o interrumpir el funcionamiento, incluso con dolo eventual, el tipo aplicable sería el del artículo 264 bis; mientras que, si lo perseguido en exclusiva es causar la destrucción física de las máquinas, sin que el dolo abarque la obstaculización o interrupción, el precepto aplicable sería el artículo 263 del Código Penal.

(11)

Por lo que se refiere a la exigencia de que la obstaculización o interrupción se produzca de manera grave, debe destacarse de que, a diferencia del artículo 264, que exige la doble gravedad, tanto en la acción como en el resultado, en el artículo 264 bis sólo se exige esa gravedad en la acción.

En cuanto a la interpretación del término grave que cualifica la interrupción u obstaculización del sistema, resulta también útil acudir a la terminología empleada en el texto original de la Directiva que utiliza a dicho fin la expresión seriously (seriamente) en referencia al alcance de la obstaculización o interrupción. En consecuencia, no toda obstaculización o interrupción del funcionamiento de un sistema informático se haría acreedora por si sola de una sanción penal sino únicamente aquella que afectara realmente y de forma significativa a la funcionalidad del sistema atacado, circunstancia que será necesario analizar en cada supuesto en particular y que en un buen número de ocasiones precisará de los correspondientes informes técnicos.

La Directiva, en su Considerando decimoprimero, al referirse a aquellos supuestos que pueden considerarse como de menor gravedad, y que, en consecuencia pudieran quedar excluidos de sanción, ofrece algunos otros parámetros de valoración como el riesgo para intereses públicos o privados, el nivel de afectación a la integridad de los datos o de los sistemas afectados ó los derechos o intereses de las personas que resulten afectados.

El texto que examinamos, al igual que el del artículo 264, en su versión inicial y en la derivada de la reforma, acota la conducta típica con un requisito que no contempla la Directiva: que el sistema informático, o, en su caso, los datos, programas o documentos electrónicos sean ajenos. Este requisito, tradicional en el delito de daños, puede resultar difícil de concretar cuando se trata no de objetos físicos sino de elementos de carácter inmaterial concebidos para operar y ser utilizados en un entorno virtual, cuyo objeto precisamente es compartir información y gestionarla para su mejor aprovechamiento colectivo.

Hay supuestos en los que este requisito sea incuestionable, como aquellos en los que el ataque provenga de un agente completamente externo. Sin embargo, en muchos supuestos, su origen puede estar en la acción ilícita de personas o colectivos que interactúan o son usuarios del sistema atacado y a dicho fin incorporan o comparten información a través del mismo. En estos casos acreditar el elemento de la ajeneidad puede entrañar dificultades. Para facilitar la interpretación, dicho elemento ha de integrarse e interpretarse conjuntamente con el de la falta de autorización o, en otras palabras, con la falta de disponibilidad de los contenidos o del sistema sobre el que se actúa, de tal forma que serían típicas aquellas acciones que se realizan intencionadamente sobre los mismos, con los objetivos indicados, sin estar habilitado para ello. En consecuencia, solo la actuación, no necesitada de autorización, sobre elementos propios -datos, programas, documentos o sistemas- respecto de los que su

(12)

titular tiene pleno control y disposición, quedarían extramuros de la aplicación de este precepto.

A estos efectos el artículo 1º d) de la Directiva 2013/40/UE refiere la expresión sin autorización a los supuestos en los que el comportamiento no haya sido autorizado por el propietario u otro titular del derecho sobre el sistema o parte del mismo o no permitido por el Derecho nacional.

El legislador español dedica tres apartados a describir todas las conductas a través de las cuales sería posible lograr el resultado pretendido, obstaculizar o interrumpir el sistema informático:

- En el primer apartado incluye todas las del artículo 264, es decir las de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos. Por tanto, la diferencia con el artículo 264 será que, a través de las indicadas conductas, se afecta no solo a los elementos que integran el sistema, sino al sistema de información mismo.

La Directiva 2013/40/UE define datos informáticos como toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas informáticos.

Por programas informáticos entiende aquellos que sirven para hacer que dicho sistema de información realice una función.

Por su parte el documento electrónico ha sido definido como el conjunto de datos o informaciones creados informáticamente o susceptibles de un tratamiento informático. La Norma Técnica de Interoperabilidad del Documento electrónico, aprobada por Resolución de 19 de julio de 2011 de la Secretaria de Estado para la Función Pública, establece los componentes de estos documentos incluyendo contenido, firma electrónica y metadatos mínimos obligatorios así como su formato y las condiciones para su intercambio y reproducción.

- En el segundo apartado el precepto incluye las conductas de transmitir o introducir nuevos datos, a las que también se refiere el artículo 4 de la Directiva, que no se encuentran comprendidas en el apartado anterior y que también pueden causar como efecto la interrupción u obstaculización del funcionamiento del sistema.

La posibilidad de apreciar estas conductas de forma diferente a las anteriores resulta difícil porque vienen a solaparse. Así, parece complicado pensar en una conducta de obstaculización o interrupción del funcionamiento de un sistema informático ajeno efectuada borrando, dañando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos que no conlleve necesariamente la transmisión o introducción de

(13)

Quizás, cabría encajar en estos supuestos los ataques denominados mail bombing, es decir, aquellos en los que se persigue la saturación de uno o varios correos electrónicos mediante el envío malicioso de miles de correos electrónicos cuyo único objetivo es obstaculizar o interrumpir el funcionamiento del servicio de correo.

- Finalmente en el tercero de los apartados se relacionan los comportamientos de destruir, dañar, inutilizar, eliminar o sustituir pero referidos directamente, en este caso, al sistema de información o a los sistemas de almacenamiento masivo de información afectados por la acción ilícita.

LAS AGRAVACIONES

La Directiva señala la conveniencia de establecer sanciones más severas cuando un ataque contra un sistema de información se comete en el contexto de una organización delictiva, tal como se define en la Decisión marco 2008/841/JAI del Consejo, de 24 de octubre de 2008, relativa a la lucha contra la delincuencia organizada, o cuando el ciberataque se realiza a gran escala y afecta a un número importante de sistemas de información, en particular cuando el ataque tiene por objeto crear una red infectada o si el ciberataque causa un daño grave, incluido cuando se lleva a cabo a través de una red infectada. De igual forma, insta a establecer sanciones más severas cuando el ataque se lleva a cabo contra una infraestructura crítica de los Estados miembros o de la Unión.

Conforme a esa previsión, el artículo 264 bis establece diversas agravaciones que pasamos seguidamente a analizar.

- Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública

La primera de ellas, recogida en el párrafo segundo del apartado primero del artículo 264 bis, hace referencia a que la interrupción u obstaculización grave del sistema informático hubiera perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, en cuyo caso se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.

Se ha de entender que la empresa, negocio o Administración pública se sirve del sistema informático afectado por el ataque.

Por otro lado, el perjuicio relevante a la actividad del sujeto afectado es una circunstancia que deberá acreditarse en cada supuesto y la mayor o menor relevancia del perjuicio dependerá del tipo de actividad y de la entidad de la empresa, organismo o institución de que se trate. Ello no es obstáculo para que pueda valorarse el perjuicio como relevante cuando paralice la actividad del sujeto afectado de forma importante,

(14)

como puede ser en los casos de pequeños negocios on line cuya actividad puede sufrir una interrupción que los podría conducir a cuantiosas pérdidas, en relación a su volumen de ventas, e incluso a su desaparición.

- Cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior.

Este apartado segundo del mismo artículo hace extensivos los subtipos agravados del artículo 264 a las acciones ilícitas contra los sistemas informáticos. Y es importante resaltar la diferencia penológica entre los subtipos agravados de los artículos 264 y 264 ter, ya que en el 264 la pena privativa de libertad prevista para estos subtipos es de dos a cinco años y multa del tanto al décuplo del perjuicio causado, con posibilidad de elevarse en grado si es apreciable extrema gravedad, mientras que en el caso del artículo 264 bis el marco de la pena de prisión es de tres años a ocho años y multa del triplo al décuplo del perjuicio causado.

Se desprende de ello que el legislador ha considerado notablemente más graves y peligrosas las acciones dirigidas contra el sistema informático en su conjunto y que provocan su interrupción u obstaculizan, de forma grave, su normal funcionamiento, de aquellas otras que afectan exclusivamente a los datos, programas o documentos electrónicos, aun cuando tengan incidencia, al menos indirecta, en el sistema en el que se integran, siempre que no impliquen una perdida significativa en la funcionalidad del mismo.

Este precepto establece como agravaciones las siguientes:

1.ª Se hubiese cometido en el marco de una organización criminal.

2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.

(15)

A continuación, examinaremos cada una de estas agravaciones: 1.ª Se hubiese cometido en el marco de una organización criminal.

Para la definición de lo que se ha de entender por organización criminal, hay que acudir al artículo 570 bis del Código Penal: A los efectos de este Código se entiende por organización criminal la agrupación formada por más de dos personas con carácter estable o por tiempo indefinido, que de manera concertada y coordinada se repartan diversas tareas o funciones con el fin de cometer delitos.

Asimismo, deben ser tenidos en cuenta los criterios que establece la Circular 2/2011 de la Fiscalía General del Estado sobre la Reforma del Código Penal por Ley Orgánica 5/2010 en relación con las Organizaciones y Grupos Criminales, en los casos en que concurra en una misma persona el carácter de sujeto activo de este delito y de alguno de los hechos ilícitos contemplados en el artículo 570 bis del CP.

Por otro lado, es importante resaltar que la agravación se refiere, de forma exclusiva, a organización criminal y no a grupo criminal. En consecuencia, en este último supuesto habría de aplicarse un concurso real de delitos entre el que nos ocupa y sus circunstancias y el del artículo 570 ter cuando el sujeto activo del delito de daños constituya, financie o integre a su vez un grupo criminal, en las circunstancias y condiciones que se establecen en dicho precepto.

2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

El primer inciso de este subtipo estaba previsto ya en la anterior redacción del artículo 264 y se ha ampliado con la referencia a la afectación a un número elevado de sistemas informáticos.

Como las dos circunstancias están enlazadas por la conjunción disyuntiva “o” se debe interpretar en el sentido de que no han de concurrir conjuntamente sino que puede apreciarse la agravación aunque solo se presente una u otra circunstancia. Puede tratarse, por tanto, de daños de especial gravedad causados en uno solo o en una pluralidad de sistemas de información o de una acción que genere efectos en un número importante de sistemas, aun cuando el daño causado en cada uno de ellos no sea de especial gravedad, si el volumen de sistemas afectados justifica la aplicación de la agravación

Sin perjuicio de ello, en relación con ambas circunstancias, ha de reseñarse la imprecisión de los términos empleados por el legislador, lo que obligará a una importante labor interpretativa que finalmente será completada por los criterios jurisprudenciales que se vayan elaborando al respecto.

(16)

Es de destacar que, en el artículo examinado, el parámetro gravedad se utilice tanto en el apartado primero al definir los requisitos del tipo, ya que, como hemos visto, la acción solo será delictiva si la conducta se realiza de manera grave, como en el apartado segundo, circunstancia segunda, para delimitar la aplicación de agravante que nos ocupa a los supuestos en que se hayan ocasionado daños de especial gravedad. Además, en el párrafo segundo del apartado primero, se alude al perjuicio de forma relevante de la actividad también como causa de agravación.

Es decir la gravedad de la acción y la gravedad del resultado determinan la tipicidad de la conducta y la aplicación de un subtipo agravado, respectivamente. Sin embargo y pese a su trascendencia a estos efectos, la determinación de criterios en orden a una adecuada valoración de dicho calificativo presenta dificultades.

En el subtipo que estamos examinando se pone el acento en los daños ocasionados, es decir en los efectos, materiales e inmateriales, derivados de la acción ilícita, si bien, no ha de olvidarse, que para que la conducta sea típica es imprescindible que la misma se lleve a efecto de manera grave. Quiere decirse con ello, que procedería la aplicación de esta agravante cuando concurriendo los requisitos del tipo básico, los efectos lesivos causados por el delito merecieran, por su gravedad, la consideración de especialmente graves y además no estuvieran incluidos en ninguno de los supuestos previstos en los restantes subtipos contemplados en el mismo artículo.

Todo ello ha de considerarse en la valoración de los daños causados a los efectos de la aplicación de esta circunstancia de agravación. Por tanto y a esos efectos habrán de tenerse en cuenta no solo el valor económico -si es que se puede determinar y que en ocasiones, como en supuestos de ataques de denegación de servicio, puede ser inexistente como tal- de los daños causados, sino también el perjuicio que de ello puede derivarse para el directamente ofendidos, para terceros, o incluso para el interés general, los bienes jurídicos afectados por la acción ilícita, ó el riesgo que se genera para intereses públicos o privados, etc. consecuencias que deberán valorarse caso a caso y en atención a las circunstancias concurrentes.

La Directiva, en su Quinto Considerando, al referirse a la competencia de los Estados para delimitar el concepto de daños graves, remite al propio criterio de los distintos ordenamientos nacionales si bien, ofrece algunas pautas a dicho fin tales como interrumpir los servicios del sistema de una importancia pública relevante o causar importantes costes económicos o pérdidas de datos de carácter personal o de información sensible.

En relación con el segundo inciso de este mismo apartado, que hace depender la agravación del elevado número de sistemas afectados, la Directiva 2013/40/UE se refiere específicamente al sentido último de esta circunstancia al indicar en su Considerando Decimotercero que es conveniente establecer sanciones más

(17)

importante de sistemas de información, en particular, cuando el ataque tiene por objeto crear una red infectada o si el ciberataque causa un daño grave, incluido cuando se lleva a cabo a través de una red infectada. Es decir la razón de ser de la agravación, que se deriva directamente de dicha norma europea, está en el especial riesgo que generan aquellos ataques en los que se ven afectados un número considerable de ordenadores que, a su vez, y una vez infectados pueden servir para poder llevar a efecto un posterior ataque masivo y coordinado.

Por ello y con independencia de que la cantidad de sistemas informáticos afectados pueda ser un factor a tener en cuenta a efectos de integrar la agravación derivada de la causación de daños de especial gravedad, la circunstancia recogida en el segundo inciso del precepto que examinamos, habría que restringirla a los supuestos en los que se encontraran afectados un número tal de sistemas de información que pudieran generar el riesgo de un ataque masivo de dichas características.

3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

La Sentencia del Tribunal Constitucional STC 26/1981, de 17 de julio refiere el concepto de servicio esencial del artículo 128.2 CE, a aquellas actividades industriales o mercantiles de las que derivan prestaciones vitales o necesarias para la vida de una comunidad. Por su parte la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de infraestructuras criticas, define, en su articulo 2, los servicios esenciales como aquellos necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.

Según el artículo 128.2 de la Constitución Española los servicios esenciales podrán reservarse por ley al sector público y también podrá acordarse la intervención de empresas en la prestación de los mismos cuando así lo exija el interés general. Se trata, por tanto, de servicios indispensables para el funcionamiento de la sociedad que en ocasiones pueden prestarse por el sector publico o también encomendarse a la iniciativa privada sometidos a una adecuada reglamentación, como es el caso de las telecomunicaciones, el transporte aéreo o la energía.

En cuanto a la referencia a bienes de primera necesidad, serán aquellos que son fundamentales para el desarrollo de la vida de los ciudadanos y para la atención de sus necesidades primarias. En relación con ello la jurisprudencia, respecto al delito de estafa, viene entendiendo que son bienes de primera necesidad los alimentos, medicamentos, viviendas y otros productos de consumo necesario para la subsistencia y salud de las personas

(18)

Por tanto, la agravación será aplicable cuando el ataque informático afecte gravemente a la prestación ordinaria de los indicados servicios esenciales o a la provisión de bienes de primera necesidad. También en este subtipo la utilización del adverbio gravemente supone introducir un criterio de valoración indeterminado cuya concurrencia habrá de analizarse individualizadamente y en función del servicio o prestación de que se trate, pero que excluye en todo caso la aplicación de esta circunstancia cuando los efectos de la acción ilícita hayan resultado intrascendentes o no hubieran supuesto una alteración apreciable en el funcionamiento de dichos servicios.

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.

En relación con esta circunstancia, es el propio legislador el que define lo que ha de entenderse por infraestructura crítica. Por su parte, la Ley 8/2011 prevé la existencia de un Catálogo Nacional de Infraestructuras Estratégicas, que es un registro de carácter administrativo en el que se recoge la información completa y actualizada de todas las infraestructuras estratégicas ubicadas en el territorio nacional, entre las que se hallan incluidas aquellas clasificadas como críticas o críticas europeas que afecten a España.

La Directiva 2013/40/UE se refiere también a esta circunstancia en los siguientes términos: existen en la Unión una serie de infraestructuras críticas cuya perturbación o destrucción tendría repercusiones transfronterizas importantes. De la necesidad de incrementar en la Unión la capacidad de protección de estas infraestructuras se desprende que las medidas contra los ataques informáticos deben complementarse con penas estrictas que reflejen la gravedad de tales ataques. Al respecto la Directiva delimita el concepto de infraestructura crítica en términos prácticamente iguales a los que recoge el precepto que nos ocupa, citando como tales, a modo de ejemplo, las centrales eléctricas, las redes de transporte y las redes de los órganos de gobierno.

La agravación operará con la simple afectación al sistema informático de una infraestructura de esta naturaleza, sin que sea necesario para ello que la incidencia en el propio sistema sea de carácter especialmente grave. Por el contrario y en relación con el segundo inciso, referido a la creación de un peligro para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea, el legislador exige para la apreciación de esa circunstancia que el peligro sea

(19)

Por último, reseñar que el artículo 573.2 del Código Penal considera delitos de terrorismo los delitos informáticos tipificados en los artículos 197 bis y 197 ter y 264 a 264 quater, cuando los hechos se cometan con alguna de las finalidades recogidas en el artículo 573.1 del Código Penal por lo que en los supuestos en que concurra esta circunstancia habrá de valorarse la posible concurrencia de alguna de esas finalidades en orden a una correcta valoración de los hechos.

5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Este precepto recoge como medios el uso de un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos de los artículos 264 y 264 bis o de una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte del sistema de información. La Directiva se refiere a la concurrencia de esta circunstancia en su artículo 9º y en sus Considerandos 13º y 16º, señalando la especial gravedad de la utilización de programas maliciosos (malware) diseñados y/o adaptados para cometer estas conductas. Debe indicarse que dicha circunstancia pudiera quedar también cubierta en el inciso segundo de la agravación segunda de este mismo apartado (afectar a un número elevado de sistemas informáticos).

Es diferente el supuesto de que las herramientas utilizadas sean programas informáticos maliciosos concebidos para efectuar ataques informáticos de carácter aislado o también contraseñas de ordenador, códigos de acceso o datos similares que permiten acceder a un sistema de información. El empleo de estas herramientas o de las claves de acceso, en principio diferentes en cada uno de los sistemas, no tiene porque estar vinculado a ataques informáticos plurales. De hecho, el uso de una contraseña o clave de acceso ajena concurrirá con frecuencia en cualquier clase de acción ilícita, también en aquellas de carácter aislado, contra sistemas informáticos. Sin embargo, el legislador ha optado por penalizar esta circunstancia con una sanción considerablemente mas elevada que la correspondiente al tipo básico.

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

Para finalizar el análisis de este precepto, se ha de indicar que también en estos supuestos se contempla como circunstancia agravante y en iguales términos que en el artículo 264 del Código Penal, la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

(20)

La incorporación de esta agravación responde a la Directiva 2013/40/UE, que en su Considerando decimocuarto señala la conveniencia de establecer medidas eficaces contra la usurpación de identidad y otras infracciones relacionadas con la identidad y que en su artículo 9-5º incluye esta circunstancia como una de las que ha de ser tenida en cuenta para la agravación de las penas (utilizando ilícitamente datos de carácter personal de otra persona con la finalidad de ganar la confianza de un tercero, causando así daños al propietario legítimo de la identidad).

El legislador español, sin embargo, no ha introducido un tipo penal autónomo de usurpación de identidad en el ámbito de las nuevas tecnologías, conducta que quizás sería merecedora de reproche penal de forma independiente y frente a la que el tipo penal de la usurpación del estado civil del artículo 401 del Código Penal, al menos en su interpretación jurisprudencial, no da respuesta.

Además, no ha incorporado de forma exacta la agravante tal y como se configura en la Directiva, pues la aplicación de esta circunstancia se hace depender de la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema o para ganarse la confianza de un tercero. La circunstancia se integra por la utilización de datos de carácter personal de cualquier persona, hay que entender que realmente existente, y no exclusivamente los de la propia victima del delito.

Finalmente, el Código Penal español omite la exigencia, que establece la Directiva, de que se cause un perjuicio al titular de la identidad usurpada, y amplía el ámbito del uso irregular de datos personales de otro añadiendo la de facilitar el acceso a un sistema.

Referencias

Documento similar

The notified body that issued the AIMDD or MDD certificate may confirm in writing (after having reviewed manufacturer’s description of the (proposed) change) that the

Cedulario se inicia a mediados del siglo XVIL, por sus propias cédulas puede advertirse que no estaba totalmente conquistada la Nueva Gali- cia, ya que a fines del siglo xvn y en

En estos últimos años, he tenido el privilegio, durante varias prolongadas visitas al extranjero, de hacer investigaciones sobre el teatro, y muchas veces he tenido la ocasión

que hasta que llegue el tiempo en que su regia planta ; | pise el hispano suelo... que hasta que el

Para ello, trabajaremos con una colección de cartas redactadas desde allí, impresa en Évora en 1598 y otros documentos jesuitas: el Sumario de las cosas de Japón (1583),

Sanz (Universidad Carlos III-IUNE): "El papel de las fuentes de datos en los ranking nacionales de universidades".. Reuniones científicas 75 Los días 12 y 13 de noviembre

(Banco de España) Mancebo, Pascual (U. de Alicante) Marco, Mariluz (U. de València) Marhuenda, Francisco (U. de Alicante) Marhuenda, Joaquín (U. de Alicante) Marquerie,

Dada la endogeneidad de la respuesta de la política monetaria a la evolución prevista para la economía, esta evolución de las cotizaciones bancarias ante sorpresas monetarias puede