El requisito de la gravedad en los delitos informáticos y un empleado vengativo por haberle despedido.

Jul 18, 2025 | Penal

Introducción

La ciberdelincuencia es una realidad en constante evolución que desafía a nuestros marcos legales. La adaptación del Derecho penal a las nuevas formas de criminalidad digital es un proceso continuo, y sentencias como la reciente del Sentencia del Tribunal Supremo (STS) nº 569/2025, de 20 de junio (Ponente: Excmo. Sr. D. Juan Ramón Berdugo Gómez de la Torre) son cruciales para entender la interpretación judicial de los delitos informáticos en España. Esta sentencia aborda un recurso de casación contra una condena por delitos de acceso ilícito y sabotaje informático, y ofrece una valiosa clarificación sobre el requisito de «gravedad» en estos tipos penales.

El Caso

Nos encontramos ante el caso de un empleado despedido y un sabotaje digital.

Tras celebrarse juicio oral ante el Juzgado de lo Penal nº 28 de Barcelona contra D.S.D. que venía acusado por un delito continuado de acceso ilícito a sistemas de información en concurso medial con un delito continuado de sabotaje informático de empresa o negocio se dictó la sentencia nº 233/2021, de fecha 13 de mayo de 2021

Los hechos probados de la sentencia relatan cómo D.S.D., exempleado de una empresa dedicada al Comercio al por mayor de aparatos y material radioeléctrico y electrónicos accedió ilícitamente a varios sistemas informáticos de la empresa dos días después de su despido, con la clara voluntad de perjudicarla. Las acciones de D.S.D. incluyeron:

Impedir y obstaculizar la venta online al cambiar claves de acceso y bloquear servicios como Mailchimp.

Dificultar la relación con la clientela al desactivar datos de la plataforma Wayfair.

Extraer el catálogo de productos y cambiar contraseñas.

Borrar correos electrónicos de clientes en Mailchimp y datos de plataformas como El Corte Inglés y la feria de muestras de Berlín.

Modificar datos en la web IFA, introduciendo información errónea en perjuicio de la imagen comercial de la marca.

Borrar datos de la empresa en Sogostore.fr e intentar acceder a cuentas de Slack para comunicaciones internas.

Todo esto se realizó con el ánimo de menoscabar el patrimonio empresarial, causando perjuicios que no pudieron ser cuantificados en el momento de la sentencia en concepto de reparación, daño emergente o lucro cesante.

El Juzgado de lo Penal nº 28 de Barcelona condenó a David como autor de un delito continuado de acceso no autorizado a un sistema de información en concurso medial con un delito continuado de obstaculización e interrupción del funcionamiento de un sistema informático, imponiéndole una pena de 2 años de prisión, inhabilitación especial y la obligación de indemnizar a la empresa por los daños y perjuicios, indemnización que se fijaría en ejecución de sentencia. Esta condena fue confirmada por la Sección Octava de la Audiencia Provincial de Barcelona en apelación.

Ante esta situación, la representación procesal de D.S.D interpuso recurso de casación ante el Tribunal Supremo, alegando entre otros motivos infracción de ley, por considerar que la resolución impugnada infringía los artículos 264 y 264 Bis del Código Penal, argumentando la falta de tipicidad por no cumplirse con el requisito de «gravedad» exigido en estos delitos informáticos.

La clave del asunto

La clave está el requisito de «gravedad» en los delitos informáticos

El Tribunal Supremo, en esta sentencia, analiza la supuesta ausencia de «gravedad» en la acción y el resultado, tal como lo exige su propia jurisprudencia para los delitos informáticos (SSTS nº 220/2020 y nº 91/2022). Según el recurrente, la conducta de D.S.D. era atípica al no concurrir esta «gravedad», que se define por:

La imposibilidad de recuperar la plena operatividad del sistema.

La exigencia de grandes esfuerzos técnicos y económicos para el retorno operativo.

La falta de acreditación de los daños.

El Tribunal Supremo reitera que el recurso de casación por infracción de ley (artículo 849.1 de la Ley de Enjuiciamiento Criminal) exige un respeto absoluto a los hechos declarados probados por el Tribunal de instancia. La función de este recurso es discutir la correcta aplicación de la norma jurídica a unos hechos ya inalterables, no reevaluar la prueba o alterar el relato fáctico.

No obstante, la STS nº 569/2025, de 20 de junio, realiza estas interesantes argumentaciones sobre el delito de daños informáticos y la gravedad:

«2.2 Como hemos dicho en STS nº 91/2022, de 7-2, el desarrollo de las nuevas tecnologías, basadas no sólo en la utilización de un conjunto de componentes que integran la parte material y la operatividad física de una computadora (hardware), sino en la utilización de datos y bases de datos que se someten a los componentes lógicos (software) necesarios para posibilitar o facilitar el desarrollo de determinadas tareas, ha supuesto una revolución en el funcionamiento de las sociedades modernas, particularmente de las sociedades más desarrolladas y no sólo respecto de actividades complejas sino, incluso, de las más frecuentes y cotidianas. El dato informático, los documentos electrónicos y los programas informáticos, configuran un sustrato físico intangible en torno al cual gira, en mayor o menor medida, la práctica totalidad de la actividad comercial, científica, sanitaria o administrativa actual, así como una parte muy significativa de los derechos individuales de los ciudadanos o de su actividad diaria, como la intimidad, las comunicaciones, la propiedad o su ideología y creencias. Cualquier faceta personal o colectiva en un mundo interconectado descansa hoy en la utilización de los datos digitales, de sus colecciones o de los programas informáticos que, sobre su base, operan en la gestión de cualquier interés o actividad. Lo que ha supuesto, con esta evolución y creciente relevancia, que hayan encontrado espacio nuevos fenómenos delictivos que son el resultado de un uso indebido de la tecnología y que se manifiestan, entre otras formas, mediante la realización de acciones exclusivamente dirigidas a impedir que el tenedor del elemento inmaterial que permite cada proceso digital pueda servirse de él y sufra con ello un perjuicio en cualquiera de sus intereses.

La importante difusión de los delitos informáticos ha conducido a una regulación nacional y supra estatal que tiene sus orígenes en el Convenio sobre Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001(BOE núm. 226, de 17 de noviembre de 2010), con el que se pretendió establecer una armonización entre las regulaciones penales de los Estados firmantes, reflejando su preámbulo que el Convenio «resulta necesario para prevenir los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, mediante la tipificación de esos actos, tal y como se definen en el presente Convenio, y la asunción de poderes suficientes para luchar de forma efectiva contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones que permitan una cooperación internacional rápida y fiable».

El Convenio, ratificado por España el 3 de junio de 2010, contempló los daños informáticos en el artículo 1.b y en su artículo 4. El primer precepto fijaba el contenido semántico del término datos informáticos, entendiendo por tales como «cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función», estableciendo su artículo 4.1 que cada Estado parte adoptaría las medidas legislativas para tipificar como delito en su derecho interno la comisión deliberada e ilegítima de actos que dañen, borren, deterioren, alteren o supriman datos informáticos, añadiendo el número 4.2 que «Cualquier parte podrá reservarse el derecho a exigir que los actos definidos en el apartado 1 provoquen daños graves».

Las previsiones del Convenio, suscrito por los Estados miembros de la Unión Europea además de otros países como Canadá, Sudáfrica, Japón o los Estados Unidos de América, fue recogido con posterioridad por la Decisión Marco 2005-222- JAI del Consejo de Europa de 24 de febrero de 2005, que consideró la necesidad de llegar a un enfoque común respecto de los elementos constitutivos de las infracciones penales, así como prever sanciones para reprimir de manera disuasoria y proporcional los ataques contra los sistemas de información, estableciendo en su artículo 4 que «Cada Estado miembro adoptará las medidas necesarias para que el acto intencionado, cometido sin autorización, de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad».

En igual sentido, la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de2013, relativa a los ataques contra los sistemas de información y por la que se sustituyó la Decisión Marco anteriormente referenciada, insistió en proclamar datos informáticos, toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función (art. 2.a),recogiéndose en su artículo 5 la obligación de los Estados miembros de adoptar «…las medidas necesarias para que borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información, intencionalmente y sin autorización, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad».

Asimismo, para ofrecer un concepto de programa informático cabe recordar que el considerando 16 de la Directiva señala que «Dadas las diferentes formas en que pueden realizarse los ataques y la rápida evolución de los programas y equipos informáticos, la presente Directiva se refiere a los «instrumentos» que pueden utilizarse para cometer las infracciones enumeradas en la presente Directiva. Dichos instrumentos pueden ser programas informes maliciosos, incluidos los que permiten crear redes infectadas, que se utilizan para cometer ciberataques.»

Y en consonancia con ello, el art. 2 b) define los «datos informáticos» como «toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función.»

En análogo sentido, el art. 1 del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 13-11-2001, define el «sistema informático» como «todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa. Y por «datos informáticos» entiende «cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función.»

En base a ello, como se dice en la STS nº 183/2024, de 29-2, el programa informático se incluye dentro del concepto de dato informático, pudiendo aquel definirse como un conjunto de líneas de código, o lo que es lo mismo, un conjunto de instrucciones escritas en algún lenguaje de programación. El programa es el que le dice a una computadora qué hacer. Estas instrucciones están escritas en un lenguaje de programación (conjunto de líneas de código) pero tienen que ser compiladas o interpretadas para correr y hacer lo que se les pide.

2.3.- Expuesto lo anterior y retomando la STS nº 91/2022, de 7-2, nuestro Código Penal, en su redacción original dada por LO nº 10/95, de 23-11, introdujo en nuestro ordenamiento jurídico el delito de daños informáticos, al sancionar «al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos». Tipificación que fue modificada por la LO nº 5/2010 que, haciéndose eco de la posibilidad recogida en los instrumentos internacionales anteriormente expuestos, introdujeron la exigencia de una gravedad en la acción y en el resultado que, tras la reforma operada por LO nº 1/2015, el legislador aún mantiene con una redacción idéntica del tipo básico. Se sanciona así al que «por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave».

Como ya indicamos en nuestra Sentencia nº 220/2020, de 22 de mayo, no es fácil modular la gravedad de la acción cuando el tipo penal exige, además, de un resultado también grave. La taxatividad de la norma penal no sólo se resiente por la exigencia de que el comportamiento sea grave, sino por el requerimiento de que también se aprecie una gravedad en el resultado de la acción delictiva. Si la gravedad de una actuación delictiva es una conclusión que sólo puede alcanzarse a partir de la valoración que los jueces hagan de aspectos a veces singulares e irrepetibles del comportamiento, su definición es aún más compleja cuando la punibilidad de los hechos se hace depender de una doble gravedad, esto es, de una acción grave y de un resultado también grave, de suerte que resulta dificultoso delimitar donde termina la primera y empieza a medirse la segunda, o determinar la gravedad de una conducta sin introducir la dimensión del menoscabo que genera. Y lo es más aún cuando la imprecisa dimensión de la antijuridicidad de los hechos puede conducir a la apreciación de un subtipo agravado o de otro hiperagravado, pues el primero se hace depender que la conducta «haya ocasionado daños de especial gravedad» (art. 264.2.2.ª) y el segundo de que los hechos «hubieran resultado de extrema gravedad» (último párrafo del art. 264.2).

Pese a estas dificultades, concluimos que la gravedad de la acción no debe observarse a partir del mecanismo que se emplee para llevar a término la acción típica, pues el propio legislador plasma la punición de la conducta con independencia de cuál sea el medio que se emplee para borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles los datos informáticos, los programas informáticos o los documentos electrónicos ajenos, habiendo previsto como una agravación específica cuando el autor actúe por medio de programas informáticos concebidos o adaptados principalmente para cometer la acción, o cuando emplee para ello una contraseña, un código o un dato de acceso al sistema de información para cuyo uso no estuviera el sujeto activo legítimamente autorizado ( art. 264.2.5.ª, en relación con el artículo 264 ter del Código Penal).

La gravedad de la acción viene determinada por el daño funcional que el comportamiento genere, resultando atípicas todas aquellas actuaciones que, pese a satisfacer objetivamente alguna de las modalidades de obrar previstas en el tipo penal, resulten cualitativa o cuantitativamente irrelevantes para que el servicio o el sistema operen de manera rigurosa. Solo si la función digital deviene imposible o si se trastoca de manera relevante la utilidad o facilitación que introduce, la actuación dolosa de pervertir el sistema puede llegar a merecer el reproche penal.

En todo caso, la tipicidad exige además que la disfunción electrónica genere un resultado realmente gravoso para el titular de los instrumentos digitales».

Aplicado lo anterior al caso concreto, el Tribunal Supremo señala que la sentencia de instancia ya había acreditado que las acciones del acusado causaron «disfunciones y trastornos importantes en el devenir de una actividad empresarial que giraba en torno a la venta por internet«, lo que se consideró perfectamente adecuado a la intención de perjudicar que impulsó al acusado. Aunque la cuantificación exacta de los daños se difiriera a la fase de ejecución de sentencia, la sentencia de instancia ya afirmaba que estos hechos «plasma así la entidad de los perjuicios derivados de la acción delictiva, perfectamente adecuados a la intención de perjudicar que impulsó al acusado, que se corresponden con disfunciones y trastornos importantes en el devenir de una actividad empresarial que giraba en torno a la venta por internet y ello, aunque la determinación de tales daños se haya diferido a la fase de ejecución de sentencia».

El Tribunal Supremo, por tanto, desestima el recurso de casación, confirmando la condena y reafirmando que, en el ámbito de la casación por infracción de ley, la valoración de los hechos probados es competencia de las instancias anteriores, y el recurso se limita al control de la subsunción jurídica.

Implicaciones para el derecho penal informático

Esta sentencia es un recordatorio importante de que, si bien la «gravedad» es un elemento esencial en la tipificación de ciertos delitos informáticos, su apreciación corresponde a los tribunales de instancia. La casación no es una tercera instancia para revisar los hechos, sino un mecanismo para garantizar la correcta aplicación del derecho sustantivo. Esto subraya la necesidad de una sólida argumentación y presentación de pruebas en las fases previas del proceso para acreditar la entidad del perjuicio y la afectación al sistema informático, elementos clave para la configuración de estos delitos.

Si necesita asesoramiento o defensa en cualquier asunto penal, no dude en consultarnos a través de cualquiera de las formas de contacto con #escudolegal https://escudolegal.es/contacto/

Entradas Relacionadas

No related posts.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Cookies
Usamos cookies. Si te parece bien, simplemente haz clic en «Aceptar todo». También puedes elegir qué tipo de cookies quieres haciendo clic en «Ajustes». Lee nuestra política de cookies
Ajustes Rechazar todo Aceptar todo
Cookies
Elige qué tipo de cookies aceptar. Tu elección será guardada durante un año. Lee nuestra política de cookies
Guardar Rechazar todo Aceptar todo
Call Now Button