En qué consiste el convenio de Budapest y cómo regula la ciberdelincuencia

La penetración de las redes informáticas trajo consigo los ciberataques que hoy, de acuerdo con el Informe de Riesgos Mundiales 2019, se encuentran entre las amenazas globales más graves del planeta, junto a los fenómenos meteorológicos extremos, el fracaso de la protección climática y los desastres naturales. De ahí que el concepto de ciberdelincuencia se convirtiera en una preocupación para los gobiernos de todo el mundo y se firmara el  Convenio de Budapest sobre ciberdelincuencia  para hacerle frente de forma eficaz.

¿En qué consiste específicamente el convenio de Budapest sobre ciberdelincuencia?

De acuerdo con la definición oficial, el Convenio de Budapest (CETS No.185), sancionado el 23 de noviembre de 2001 por el Comité de Ministros del Consejo de Europa, es:

“El primer tratado internacional sobre delitos cometidos a través de Internet y otras redes informáticas, que se ocupa especialmente de las infracciones de los derechos de autor, el fraude informático, la pornografía infantil y las violaciones de la seguridad de la red. También contiene una serie de poderes y procedimientos, como la búsqueda de redes informáticas y la intercepción”.

El objetivo principal de este instrumento, definido en el preámbulo, es establecer una política penal común y alineada entre países, orientada a la protección de la sociedad contra la ciberdelincuencia, Esto se alcanza  tipificando los delitos informáticos de forma similar en todas las naciones, unificando normas procesales y a través de una cooperación internacional armónica.

En la práctica, es el único instrumento internacional vinculante sobre este tema. Y pretende ser una guía para que los países desarrollen legislaciones nacionales integrales y alineadas contra el Cibercrimen.

Además, facilita la adopción de medidas para detectar y perseguir, nacional e internacionalmente, a los ciberdelincuentes. Ejemplo de ello es la creación de una red 24/ 7 para garantizar una rápida cooperación internacional que reaccione frente a cualquier incidente y facilite la extradición de criminales cibernéticos (artículo 24).

Esto es clave en la lucha global contra la ciberdelincuencia, dado el carácter transfronterizo que esta puede llegar a tener (por ejemplo, la víctima del cibercrimen se halla en España, pero fue engañada por un delincuente ubicado en USA a través  de un portal hosteado en México).

Cabe señalar que el tratado no define explícitamente el concepto de ciberdelincuencia, pero sí establece los tipos de cibercrimen que los países deben tipificar en sus legislaciones. Entre estos, son de gran importancia por su impacto y frecuencia, los delitos informáticos reseñados en el Titulo II:

Falsificación informática: hace referencia a la introducción, alteración, borrado o supresión, deliberada y de forma ilegítima, de datos informáticos que dé lugar a datos no auténticos, “con la intención de que sean tenidos en cuenta o utilizados a efectos legales como si se tratara de datos auténticos”.

Fraude informático: son los actos deliberados e ilegítimos que causen perjuicio patrimonial a otro mediante la introducción, alteración, borrado o supresión de datos; o causándole interferencias en el funcionamiento de sus sistemas informáticos.

El artículo 37 establece que los Estados no miembros del Consejo de Europa y que no hayan participado en la elaboración del tratado, pueden adherirse por invitación del Comité de Ministros del COE. A la fecha ya son más de 50 países a nivel global los que se han adherido al tratado,

¿Cómo rige en España?

España firmó el tratado el 23 de noviembre de 2001 y lo ratificó mediante el instrumento de ratificación del convenio el 1 de octubre de 2010 en el que el país se compromete a observarlo y cumplirlo en todas sus partes.

Sin embargo, las reformas al ordenamiento penal –derivadas de la ratificación- solo se hicieron realidad hasta el 24 de diciembre de 2010 cuando entró en vigencia la LO 5/2010 de 22 de junio.

Esta reforma fue inspirada en la Decisión Marco 2005/222/J AI, sustituida por la Directiva 2013/40UE que, en cierta forma, impulsó la Reforma al Código Penal Español de 2015 que introdujo artículos importantes para la tipificación de los diferentes tipos de cibercrimen, como el artículo 197 bis que castiga el acceso no autorizado a sistemas informáticos, o el 197 ter que penaliza la producción, adquisición, importación o entrega a terceros de datos de acceso o software desarrollado o adaptado con el fin de cometer delitos.

Ya en 2019, España aprobó la Estrategia Nacional de Ciberseguridad, la cual busca «garantizar el uso fiable y seguro del ciberespacio, protegiendo los derechos y libertades de los ciudadanos, y promoviendo el progreso económico».

La lucha del Estado contra la ciberdelincuencia es frontal. Aun así, solo en 2018 se registraron 110.613 ciberdélitos que costaron millones de euros a las víctimas, según cifras del Observatorio Español de Delitos Informáticos.