En eumed.net:
INVESTIGACIONES EN CIENCIAS JURÍDICAS: DESAFÍOS ACTUALES DEL DERECHO

INVESTIGACIONES EN CIENCIAS JURÍDICAS: DESAFÍOS ACTUALES DEL DERECHO

Ángel Valencia Sáiz (Coord.)

Volver al índice

Panorama normativo supranacional del delito de acceso ilícito a un sistema informático

 

María Isabel Montserrat Sánchez-Escribano
Profesora Ayudante de Derecho Penal
Universidad de las Islas Baleares

 

El presente estudio efectúa un análisis comparativo de la normativa de carácter supranacional que, en materia de acceso ilícito a un sistema informático, condujo a la introducción del nuevo apartado 3 en el artículo 197 del Código penal. Ello con la pretensión de dar a conocer al lector cuál ha sido el origen y la evolución de una una figura delictiva de nula tradición jurídico-penal -aunque no práctica- en nuestro ordenamiento.

Computer related crime - computer crime - acceso ilícito a un sistema informático - intrusismo informático - recomendación 1989 (9) - convenio sobre cibercrimen - decisión marco 2005/222/JAI

I. INTRODUCCIÓN
            La tipificación del delito de acceso ilícito a un sistema informático es o, más bien, debiera ser a día de hoy, una realidad en nuestro ordenamiento jurídico, pues el apartado 3 del artículo 197 del Código penal ha pretendido constituir la transposición de sendos artículos 2 de la Decisión Marco 2005/222/JAI, de 22 de febrero, del Consejo de la Unión Europea, relativa a los ataques a sistemas de información, y del Convenio de Budapest sobre Cibercriminalidad, de 23 de noviembre de 2001, ratificado por el Estado español el 3 de junio del año 2010.
            No obstante, aunque la introducción de esta infracción no ha tenido lugar en nuestro ordenamiento jurídico-penal hasta el año 2010 (a través de la reforma operada por la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre), la voluntad supranacional de armonizar las legislaciones nacionales por lo que se refiere a este tipo delictivo procede de las primeras manifestaciones -en la década de los 70- tendentes a proponer la tipificación uniforme en los Estados de ciertos comportamientos vinculados a la informática, a los que se les ha dado cobijo bajo la denominación genérica de delincuencia informática.
            El presente estudio efectúa un recorrido legislativo de estas propuestas en tanto antecedentes lógicos de los dos instrumentos normativos de carácter vinculante citados, los cuales, en este sentido, han supuesto la culminación de la voluntad supranacional de armonización legislativa en la materia. Ello con la pretensión de dar a conocer al lector cuál ha sido el origen y la evolución de una una figura delictiva de nula tradición jurídico-penal -aunque no práctica- en nuestro ordenamiento.

I. ACCESO ILÍCITO: EL ORIGEN
El primer planteamiento en materia de criminalidad informática surgió en la 12th Conference of Directors of Criminologidal Reserch Institutes: Criminological Aspects of Economic Crime del Consejo de Europa, celebrada en el año 1976 en Estrasburgo, en el seno de la cual se promovió la necesidad de dar respuesta penal a todo un amplio abanico de delitos económicos cuya comisión estaba siendo reiterada a través del uso de la informática1 .
En la década de los 80, la Organización de Cooperación y Desarrollo Económico (OCDE) creó un Comité de Expertos en Delincuencia Informática con el fin de discutir las posibilidades de una armonización del Derecho penal a nivel internacional en materia de delincuencia informática. Concretamente, en 1986, el Comité sugirió a los Estados miembros de la organización mediante el Informe “Computer-related crime – analisys of legal policy” la adopción de medidas en relación con una lista de actos que consideró el común denominador para el acercamiento de las respectivas legislaciones 2 . En el quinto número de dicha lista se enunciaba “el acceso o la interceptación de una computadora y/o sistema de telecomunicaciones realizada con conocimiento y sin la autorización de la persona responsable del sistema, bien infringiendo medidas de seguridad, o bien por cualquier otra finalidad deshonesta o dañina3 .

II. EL PRIMER DESARROLLO: LA RECOMENDACIÓN DE 1989
El contenido de dicho Informe fue desarrollado por la Recomendación 89 (9), del Consejo de Europa, adoptada el 13 de septiembre de 1989, sobre delincuencia informática, que recogió también en el quinto puesto de una lista que consideró de mínimos 4 una propuesta específica de incriminación del “acceso ilícito a un sistema informático o red infringiendo medidas de seguridad5 .
La Recomendación confirió un contenido más concreto a la conducta mediante la introducción de diferentes requisitos en la descripción que, de un lado, supusieron la ampliación de la misma, mientras que, de otro, implicaron su restricción respecto del texto del Informe. Véanse a continuación cuáles fueron estos contenidos:
a. La conducta de acceso se deslindó de la de interceptación, previéndose ambas ya no de forma conjunta, sino separadamente. Así, la conducta de acceso ilícito (access without right) se describió de la siguiente forma: El acceso ilícito a un sistema informático o a una red de ordenadores infringiendo medidas de seguridad6 . Como puede observarse, se exigieron unos medios comisivos determinados: la infracción de medidas de seguridad (by infringing security measures), lo que implicó la posibilidad de entender realizado el acceso al sistema no sólo a través de la utilización de medios técnicos, sino por medio de cualquier procedimiento posible, por ejemplo, accediendo físicamente y usando la contraseña correcta pero habiéndola obtenido ilícitamente mediante la averiguación subrepticia al administrador o al propietario del sistema.
b. Otorgó mayor contenido a la conducta, incluyendo la expresión “ilícitamente” en lugar de la de “sin autorización”. En este sentido, tal y como se explicó en el Informe del Comité, el uso de esta expresión tuvo un carácter deliberado, en la medida en que se trata de un concepto más amplio y que permite incluir un mayor número de acciones en la descripción, como, por ejemplo, el incumplimiento de una relación contractual7 . Del mismo modo, sustituyó el concepto de sistema de telecomunicaciones (telecommunication system) por los de sistema informático (computer system) y red de telecomunicaciones (network), hecho que permitía englobar tanto comunicaciones internas como externas.
c. Por otra parte, la Recomendación mantuvo la distinción del Informe por lo que respecta a las conductas que afectan a los datos o programas informáticos (computer fraud, computer forgery, damage to computer data or computer programs, computer sabotage, alteration of computer data or computer programs, unauthorized reproduction of a protected computer programyunauthorized use of a protected computer program) de aquellas que afectan al propio sistema (unauthorized access, unauthorized interception y unauthorized use of a computer), así como aquellas que provocan una interferencia en el curso del procesamiento de datos o en programas informáticos (computer fraud - computer forgery) del mero acceso ilícito a un sistema sin repercusión alguna en el funcionamiento del mismo (unauthorized acces). Asimismo, distinguió también el acceso no autorizado (unauthorized acces) y el uso no autorizado del ordenador (unauthorized use of a computer), este último recogido en la lista opcional.
d. Finalmente, el Informe Final del Comité a la Recomendación explicaba que el interés  protegido sería la seguridad del propio sistema o red informáticos, expresada en la inviolabilidad del domicilio informático, al que se ofrecería protección ya en un estadio temprano con el fin de evitar posteriores peligros, como el espionaje industrial o los daños informáticos. El objeto material del delito estaría constituido por el sistema informático (computer system) o la red de ordenadores (networks), definido como un complejo de dos o más ordenadores interconectados con independencia del método utilizado para ello. Además, el acceso tendría lugar tanto en la ausencia de una autorización del titular, como excediendo los permisos concedidos por éste; y las medidas de seguridad podrían ser infringidas bien a través de su superación o bien mediante su desviación, dejando a la voluntad de los Estados la consideración de cuáles deberían ser estas medidas aunque estableciendo el límite de no exigir la superación del más alto grado de seguridad, caso en el que el delito sobrevendría inaplicable. A tal efecto, en la práctica únicamente sería necesario probar la existencia de la medida en el sistema al tiempo de cometer el delito. En último lugar, proponía como posibilidad la restricción del alcance de la aplicación del delito mediante el requerimiento de una intención subjetiva, como hacía el informe de la OCDE –que exigía intenciones deshonestas o dañinas– o a través de la previsión de un derecho premiante para los casos en que el accedente diera inmediata noticia del acceso y de las vulnerabilidades del sistema a la víctima o a las autoridades8 .
Si bien la Recomendación (89) 9 llevó a cierto grado de aproximación las legislaciones nacionales, no logró su objetivo de alcanzar una política penal uniforme, pues subsistían discrepancias considerables entre los Estados miembros de la organización. Por lo que respecta al acceso ilícito, algunos países castigaban el acceso al propio ordenador (Dinamarca, Francia, Suecia, Estados Unidos), mientras que en otros (como Canadá, República Federal de Alemania, República Democrática Alemana, Noruega) la protección se ofrecía únicamente a los datos informáticos (especialmente personales) cuando se obtenían ilegalmente o era interceptados. El profesor Kaspersen reseñaba tal circunstancia en su “Informe sobre la Aplicación de la Recomendación (89) 9”, concluyendo que “debería recurrirse a un instrumento jurídico que implicara mayor compromiso que una recomendación, tal como un convenio 9.

III. LA RESPUESTA A KASPERSEN: LOS INSTRUMENTOS VINCULANTES
A) CONSEJO DE EUROPA: EL CONVENIO SOBRE CIBERCRIMINALIDAD
Acogiendo la propuesta del profesor, se creó ese mismo año en el propio Consejo de Europa un Comité Especial de Expertos sobre Delitos relacionados con el empleo de Ordenadores, al que se le atribuyó un único cometido: elaborar un instrumento internacional de carácter vinculante capaz de asegurar la eficacia necesaria en la lucha contra esta nueva forma de delincuencia10 . El resultado del trabajo de dicho Comité fue el vigente Convenio de Budapest sobre Cibercriminalidad de 23 de noviembre de 2001.
El Convenio mantiene, en general, las directrices desarrolladas por la Recomendación (89) 9 del Consejo de Europa, de la que conserva en su mayor parte tanto la redacción como el contenido. Si bien, en este caso, el primer delito cuya incriminación propone es el de acceso ilícito a un sistema informático. Así, el artículo 2 define el acceso ilícito como “el acceso intencionado e ilícito a la totalidad o a una parte de un sistema informático11 . Además, el párrafo segundo de dicho precepto faculta a los Estados para establecer algunas exigencias a la hora de configurar la infracción penal: “requerir que el hecho sea cometido infringiendo medidas de seguridad o con la finalidad de obtener datos informáticos u otra finalidad deshonesta o, en relación con los sistemas informáticos, que se encuentren conectados a otros sistemas informáticos 12.
Como la Recomendación, conserva desglosadas las conductas de acceso e interceptación, recogiéndolas de forma consecutiva en los artículos 2 y 3 respectivamente y, al igual que en ésta, mientras que el acceso se predica respecto del propio sistema, la conducta de interceptación viene referida a los datos informáticos contenidos en él o destinados por o hacia él, con el objetivo último de proteger la privacidad.
            Tres cuestiones más deben resaltarse respecto de los elementos del tipo que introduce el texto de la Convención:
            a. Se especifican dos modalidades de acceso, que abarca la entrada tanto a la totalidad del sistema informático como a alguna parte del mismo. Este término incluye el ingreso a otro sistema informático que esté conectado a través de redes de telecomunicaciones públicas o a un sistema conectado a la misma red o a una Intranet que opere en el seno de una organización, con independencia del método de comunicación utilizado 13. Aunque se elimina el término red de ordenadores (networks) se entiende, esta vez, incluido dentro del concepto de sistema. Además, la conducta puede ser limitada a través de la exigencia de que el delito se haya cometido contra un sistema informático que esté conectado de forma remota a otro sistema informático, hecho que supone excluir la situación en que una persona accede físicamente a un ordenador; pero esta posibilidad es, simplemente, una facultad de los Estados 14.

  1. La infracción de medidas de seguridad ya no se concibe como un elemento obligatorio del tipo sino también como uno opcional.

c. Con la expresión “intencional” se restringe la parte subjetiva del tipo a la modalidad de comisión puramente dolosa. Ningún tipo de imprudencia cabe en la incriminación de la conducta pero, en cambio, es posible añadir elementos subjetivos específicos al dolo del autor: la finalidad de obtener datos informáticos u otra finalidad deshonesta. Se recupera en este punto la redacción utilizada en el Informe de la OCDE, que había sido abandonada por la Recomendación (89) 9 pero sí considerada como una opción. 
En consecuencia, mientras que en el Convenio se efectúa una mayor concreción de ciertos aspectos de la parte objetiva del tipo que no aparecían en la Recomendación (a. modalidades de comisión), dos elementos (b. la infracción de medidas de seguridad o c. la exigencia de una finalidad añadida) que conformaban elementos facultativos en el Informe de la OCDE y, uno de ellos, la infracción de medidas de seguridad, parte del tipo en la Recomendación (89) 9 del Consejo de Europa, se convierten ahora únicamente en posibilidades a tener en cuenta por los legisladores nacionales, que pueden o no incluir tales elementos al efectuar la transposición a sus respectivos Derechos internos.

B) UNIÓN EUROPEA: LA DECISIÓN MARCO 2005/222/JAI
            Entretanto, en el ámbito de la Unión Europea, esta preocupación se materializó en la aprobación de una disposición sobre la materia: la Decisión Marco 2005/222/JAI, del Consejo, de fecha 24 de febrero de 2005, relativa a los ataques a los sistemas de información.
La estructura de la Decisión es muy similar a la del Convenio ya que, de hecho, salvo por la denominación que se atribuye a los delitos, la Decisión Marco constituye prácticamente una reproducción del contenido del Convenio. Así, también es el artículo 2 el que obliga a los Estados miembros de la Unión a incorporar un precepto en su Código penal sancionando el “acceso ilícito a los sistemas de información”. Dicho artículo reza lo siguiente: “Cada Estado miembro adoptará las medidas necesarias para que el acceso intencionado e ilícito a la totalidad o a una parte del sistema de información sea sancionable como delito, al menos en los casos de menor gravedad 15. Además, igual que ya hacía el Convenio, recoge la facultad de que cada Estado miembro pueda decidir que la conducta de acceso sea “únicamente delito cuando se realice infringiendo medidas de seguridad 16.
Pocos son los cambios que pueden reseñarse en relación con la descripción del acceso ilícito ofrecida en el Convenio, pues, en coherencia con lo que se ha comentado, el contenido de la propuesta de tipificación es prácticamente idéntica. Si bien, dos cuestiones deben resaltarse al respecto.
a. La opción que el Convenio concede a los Estados miembros de añadir ulteriores exigencias para configurar la conducta se reduce a una sola posibilidad: la infracción de medidas de seguridad. La práctica eliminación de esta facultad puede crear, en mi opinión, importantes diferencias en las legislaciones de los Estados, conduciendo como mínimo a la mengua de la consecución de la finalidad armonizadora. Así, si un Estado miembro de la Unión incluye alguno de los elementos facultativos previstos en el Convenio y que no figuran en el texto de la Decisión -algo que en la práctica por el momento todavía no ha sucedido-, dicho Estado habrán introducido en la descripción del tipo penal elementos que restringirán la subsunción de hechos típicos que deberían ser incardinables conforme a la redacción propuesta por la Decisión, hecho que podría considerarse una incorrecta transposición de las obligaciones derivadas de la Decisión. Lo anterior supone, además, que -aunque en pocos casos- aquellos países que formen parte únicamente del Convenio gozarán de mayor libertad para configurar la conducta, mientras que los Estados miembros de la Unión que no hayan ratificado el Convenio verán muy reducida esta posibilidad.
b. Además, en lugar de acoger la expresión “sistema informático” la Decisión alude a “sistema de información”, si bien la definición ofrecida de este concepto por ambas normas se corresponde en sus términos. Así, se define sistema de información como “todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento”. Esta noción de sistema de información es la misma que la recogida en el Convenio aunque más completa, ya que menciona expresamente cuáles son las funciones específicas de los programas informáticos: el almacenamiento, tratamiento, recuperación y transmisión de los datos, atribuyéndoles una serie de características básicas: conseguir el funcionamiento del sistema a través de la utilización, la protección y el mantenimiento de los datos informáticos. El programa informático conforma, así, el eje motor del funcionamiento del sistema de información.
En definitiva, con el Convenio y la Decisión Marco el delito de acceso ilícito se consolida en cuanto a estructura y contenido conforme a la descripción típica de la Recomendación, que ambas normas mantienen en todos sus términos con las precisiones realizadas al respecto. A esta consolidación contribuirá, además, el hecho de que la transposición del delito no solo se lleve a cabo en el seno de la Unión Europea, sino también en los ordenamientos de todos aquellos países que ratifiquen o hayan ratificado el Convenio sobre Cibercriminalidad.

IV. CONCLUSIONES
La preocupación por las conductas de acceso ilícito a los sistemas informáticos ha sido una constante a lo largo de las tres últimas décadas. La evolución legislativa estudiada pone de manifiesto que la incriminación de esta conducta como delito se ha mantenido inmutable desde su primera propuesta de tipificación allá por 1986. En este sentido, es importante no soslayar que el acceso ilícito constituyó a nivel supranacional una de las primeras conductas cuya punición se reclamó en el momento en que la expresión delincuencia informática podría considerarse, todavía, un término incipiente. Y es que no solo se ha propuesto en las sucesivas recomendaciones a los Estados la inclusión en sus respectivos Códigos penales de un delito a través del cual se sancionara esta conducta, sino que, además, se han aprobado normas de carácter vinculante con este cometido: el Convenio de Budapest sobre Cibercriminalidad de 23 de noviembre de 2001 y la Decisión Marco 2005/222/JAI, de 22 de febrero de 2001, relativa a los ataques a sistemas de información.
Nótese, al respecto, que la formulación inicial de la conducta se ha mantenido inalterada a lo largo del tiempo, salvo nimias modificaciones tendentes a concretar y a aumentar el nivel de injusto –pero nunca a alterar elemento alguno de la descripción típica– en la configuración del tipo. Como corroboración de lo anterior, véase  a continuación la esquematización de las cuestiones comentadas:

  1. Concreción de la conducta:

a.1 Separación de otros comportamientos con distinto contenido de injusto: La conducta ha sido deslindada respecto de otras, poniendo de manifiesto que no integra su contenido ni la provocación de interferencias o de repercusión alguna en el funcionamiento del sistema informático, ni tampoco el uso del ordenador por quien accede ilícitamente a él.
a.2 Especificación de las modalidades comisivas del delito: el acceso puede ser parcial o total (expresión un tanto confusa y nada explicada en los Informes anejos a las respectivas normas) y no es necesario que deba realizarse de forma remota desde otro equipo informático. Así, puede tener lugar tanto a distancia como mediante un acceso físico al sistema informático, hecho que demuestra que la intención del legislador supranacional no es castigar simplemente la conducta del llamado hacker, con un perfil criminológico determinado, sino cualquier acceso a un sistema informático a través del cual puedan ponerse en peligro distintos bienes jurídicos de mayor entidad.

  1. Ampliación del contenido típico:

b.1 En la primera formulación de la conducta, la vulneración de las medidas de seguridad se integraba en la descripción típica como elemento de la parte objetiva. Posteriormente, sin embargo, se consideró que el mero acceso ilícito al sistema, con independencia de que se hubiesen o no vulnerado medidas de seguridad, ya constituía una conducta con el suficiente desvalor como para ser sancionada penalmente. Así, la exigencia relativa a la vulneración de medidas de seguridad se concibió como una posibilidad facultativa para los Estados, junto con la cual se previeron otras tantas tanto en el plano objetivo como subjetivo.
b.2 Esta ampliación del contenido típico puede observarse también en la  sustitución de la expresión sin autorización “unauthorized access” por el término ilícitamente “access without right”, cuyo contenido resulta circunscrito, en primer lugar, al tenor de la ley y, después, al consentimiento del propietario del sistema informático.
En conclusión, a nivel supranacional la persecución y punición del acceso ilícito a un sistema informático ha sido considerada una cuestión de primer orden. La evolución incriminatoria ha tendido, en este sentido, a reducir los elementos exigidos desde un punto de vista objetivo, ampliando el ámbito típico hacia una mayor inclusión de comportamientos posibles, de tal forma que la propuesta básica de tipificación abarca las máximas posibilidades de subsunción. Así pues, todas las iniciativas se han encaminado a conseguir una sanción armonizada cada vez más agresiva, limitada  únicamente por el carácter doloso de la conducta.

1 SCHJOLBERG, S. (2008): The History of Global Harmonization on Cybercrime Legislation - The Road to Geneva, pág. 2, disponible en www.cybercrimelaw.net/documents/cybercrime_history.pdf

2El informe propuso incriminar los siguientes hechos: 
1. The input, alteration, erasure and/or suppression of computer data and/or computer programs made willfully with the intent to commit an illegal transfer of funds or of another thing of value;
2. The input, alteration, erasure and/or suppression of computer data and/or computer programs made willfully with the intent to commit a forgery;
3. The input, alteration, erasure and/or suppression of computer data and/or computer programs, or other interference with computer systems, made willfully with the intent to hinder the functioning of a computer and/or telecommunication system;
4. The infringement of the exclusive right of the owner of a protected computer program with the intent to exploit commercially the program and put in on the market;
5. The access to or the interception of a computer and/or telecommunication system made knowingly and without the authorization of the person responsible for the system, either (i) by infringement of security measures or (ii) for other dishonest or harmful intentions.

3“5. The access to or the interception of a computer and/or telecommunication system made knowingly and without the authorization of the person responsible for the system, either (i) by infringement of security measures or (ii) for other dishonest or harmful intentions." Computer related crime - analysis of legal policy, Paris, 1986, pág. 79. 18. OCDE

4 La Recomendación contiene dos listas: una lista de mínimos y una lista opcional. La lista de mínimos recoge aquellas conductas que entrañan un relevante peligro en la práctica, cuya incriminación resulta absolutamente necesaria en atención a su especial peligro y nocividad. Concretamente, las de fraude informático, falsificación informática, daños a datos o programas informáticos, sabotaje informático, acceso no autorizado, interceptación no autorizada reproducción no autorizada de un programa informático protegido y reproducción no autorizada de la topografía. Esta lista tiene como suplemento una lista opcional, que incluye comportamientos cuya relevancia práctica todavía es escasa, debido a su todavía pequeña incidencia, pero cuyo incremento puede ser una realidad en el futuro. En ellas se enumeran la alteración de datos o programas informáticos, el espionaje informático, el uso no autorizado de un ordenador, el uso no autorizado de un programa de ordenador protegido. Para una mayor concreción sobre este punto, véase BEQUAI, A. (1990). Recomendation (89) 9 on computer-related crime. Report by the European Committee on Crime Problems. Strasbourg: Council of Europe, pág. 33.

5“Unauthorized access. The access without right to a computer system or network by infringing security measures”.

6 “Unauthorized interception. The interception, made without right and by technical means, of Communications to, from and within a computer system or network”.

7 En general, la estructura de la Recomendación tiene en un patrón uniforme, de forma que la redacción es la misma para todas las conductas enunciadas. En este sentido, todos los aspectos comentados en relación con el acceso no autorizado pueden predicarse también de las restantes conductas. BEQUAI, A. (1990). Recomendation (89) 9 on … op. cit., pág. 35.

8 BEQUAI, A. (1990). Recomendation (89) 9 on … op. cit, págs. 49 a 53.

9 KASPERSEN, H.W.K. (1997): Implementation of Recommendation N° R (89) 9 on computer-related crime, Report prepared by Professor Dr. H.W.K. Kaspersen, doc. CDPC (97) 5 y PC-CY (97) 5, pág. 106.

10 Para más información, véase Explanatory Report to the Convention on Cybercrime, accesible en http://conventions.coe.int/treaty/en/reports/html/185.htm.

11 “Article 2 – Illegal access. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right”. Debe hacerse notar una discordancia entre la versión oficial del Convenio en lengua inglesa y la traducción oficial en español, pues mientras la versión inglesa mantiene la expresión “ilícitamente” (without right), la traducción oficial española del Convenio emplea la de “sin autorización”. Debe manifestarse, por tanto, el desacuerdo de este estudio con la traducción oficial del Convenio realizada en español en la medida en que, con independencia de las consecuencias que ello pueda tener en la transposición de dicha norma a la legislación española, en el Informe a la Recomendación ya se expresó la voluntad de los redactores de no utilizar dicha expresión. En este caso, sin embargo, el “Explanatory Report” no efectúa mención alguna en este punto, hecho que induce a pensar que se manifiesta implícitamente conforme con el Informe Final a la Recomendación. Vid. supra II.

12 “… A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system”.

13 Para más información, véase Explanatory Report to the Convention on Cybercrime, párrafo 46, accesible en http://conventions.coe.int/treaty/en/reports/html/185.htm.

14 Explanatory Report to the Convention on Cybercrime, párrafo 50, accesible en http://conventions.coe.int/treaty/en/reports/html/185.htm.

15 “Article 2. llegal access to information Systems 1. Each Member State shall take the necessary measures to ensure that the intentional access without right to the whole or any part of an information system is punishable as a criminal offence, at least for cases which are not minor”.

16 “… 2. Each Member State may decide that the conduct referred to in paragraph 1 is incriminated only where the offence is committed by infringing a security measure”.

Volver al índice