Hackeada, estafada y condenada

Tras una brecha de seguridad, al empleado de una empresa le suplantaron la dirección de correo electrónico por medios informáticos  para contactarse con un socio comercial, que luego fue engañado para que realice una transferencia de dinero.

El caso culminó con una condena penal a 6 meses de prisión contra el autor por el delito de Estafa informática, absolviendo en la investigación a la empresa de la responsabilidad civil subsidiaria reclamada por el socio comercial perjudicado.

Sin embargo, el pronunciamiento fue apelado por la firma engañada y que transfirió el dinero a los delincuentes. En su recurso, la empresa cuestionó la responsabilidad civil subsidiaria de la entidad “hackeada”, puesto que los hechos se produjeron como consecuencia de la brecha de seguridad sufrida por la misma, y coincidieron en el tiempo con otra incidencia que involucró a la misma empresa con otro socio comercial al que se intentó estafar.

Como ese otro incidente se conocía en la mañana del mismo día que los delincuentes se contactaron con el socio comercial del segundo incidente, lo que derivó en una transferencia un día después, los recurrentes alegaban que la empresa afectada, aun sabiendo del primer hecho, “no alertó a otros concesionarios con los que tenía abiertas operaciones similares” a fin de que se abstuvieran de realizar pagos hasta tanto no se verifique que la cuenta facilitada realmente pertenecía a la compañía, lo que dio como resultado que su empresa fuera víctima de la estafa.

Este recurso fue admitido por la Audiencia Provincial de Asturias, que terminó por condenar a la firma por esa negligencia en la falta de alertas. Sin embargo, el decisorio fue nuevamente recurrido, en este caso con un recurso de casación de la empresa condenada, que llevó el caso hasta la Sala de lo Penal del Tribunal Supremo de Madrid.

La empresa “no alertó a otros concesionarios con los que tenía abiertas operaciones similares” a fin de que se abstuvieran de realizar pagos hasta tanto no se verifique que la cuenta facilitada realmente pertenecía a la compañía, lo que dio como resultado que su empresa fuera víctima de la estafa.

Allí, la entidad se quejó de que el hecho que generó la responsabilidad penal se trató de una suplantación por medios informáticos que permitió cambiar el correo electrónico de un empleado del departamento comercial y luego que se concrete una transferencia a una cuenta que no era de su firma.

En tal sentido, cuestionó que se entienda en la sentencia que el delito se cometió “en el establecimiento de la entidad recurrente”, cuando el hecho se generó en un entorno digital, lo que no constituye el denominado elemento locativo del art. 120.3 CP, y más porque se hizo sobre el sistema de correo electrónico, que “no son ni podrán ser considerados establecimientos”.

Este tema era relevante porque la norma requiere que los delitos hayan sido cometidos “en los establecimientos de los que sean titulares”, para que proceda la responsabilidad civil, y en el caso no había “establecimiento” para el recurrente.

El tribunal madrileño concluyó  que “en el desarrollo de cualquier a clase de esa actividad en nuestra sociedad actual como la propia de un concesionario de automóviles, el sistema informático comporta habitualmente un elemento imprescindible de la misma” y que “resulta difícil negar que el sistema informático y los medios tecnológicos utilizados habitualmente por el empresario o sus empleados, pese a que se utilizan en las sedes físicas donde se desarrolla la actividad propia de concesionario de automóviles, no queden abarcados por el término "establecimiento”.

Para los jueces, “el hecho omisivo que propicia el fraude, se cumplimenta por la falta de aviso” de la firma a sus otros socios comerciales, cuando y había ocurrido otro incidente el mismo día, lo que tornaba la responsabilidad civil subsidiaria procedente.