Presunta estafa informática a entidad financiera. Sentencia absolutoria al no acreditarse la manipulación informática o artificio semejante.
AUDIENCIA PROVINCIAL DE BARCELONA
SECCIÓN SÉPTIMA
Magistrado ponente:
JOSÉ GRAU GASSÓ
SENTENCIA
Ilmo. José Grau Gassó
Ilmo. Pablo Diez Noval
Ilma. Gemma Garcés Sesé
Barcelona, a nueve de noviembre del dos mii dieciocho,
VISTA en juicio oral y público, ante la SECCIÓN SÉPTIMA de esta Audiencia Provincial de Barcelona, la presente causa, Procedimiento Abreviado n o 12/2018, correspondiente a las Diligencias Previas 351/2016 del Juzgado de Instrucción 28 de Barcelona, seguida por un delito de estafa, contra el acusado X, cuya solvencia no consta, en libertad provisional por esta causa, representado por el Procurador D, Carlos Pons de Gironella y defendido por el Letrado D. Carlos Alberto Sánchez Almeida, y contra las responsables civiles subsidiarias X y Z, representadas por el Procurador D. Carlos Pons de Gironella y defendidas por el Letrado D. Carlos Alberto Sánchez Almeida, y en la que ha sido parte acusadora el Ministerio Fiscal y la entidad B como Acusación Particular, representada por el Procurador D. Ignacio López Chocarro y defendida por el Letrado D. Oscar Carod Como Magistrado Ponente, en la presente expreso el criterio unánime del tribunal.
ANTECEDENTES DE HECHO
PRIMERO- Las presentes diligencias se incoaron en virtud de atestado policial en las que, tras la instrucción pertinente, se dictó auto ordenando seguir los trámites del procedimiento abreviado Formulada acusación provisional por el Ministerio Fiscal y por la Acusación Particular, se dictó auto de apertura de juicio oral, cumpliéndose posteriormente el trámite de calificación por la defensa del acusado. Remitidos los autos a esta Sección Séptima de la Audiencia Provincial, se formó el presente Rollo, en el que se me nombró magistrado ponente conforme al turno de reparto previamente establecido y en el que se señaló fecha para la celebración de la vista que tuvo lugar el día 23 de octubre del año en curso con la asistencia de las partes, y en la que se practicaron las pruebas del interrogatorio del acusado, la testifical, la pericial y la documental, con el resultado que refleja la grabación efectuada por orden del Letrado de la Administración de Justicia.
SEGUNDO.- El Ministerio Fiscal, en la vista oral, calificó definitivamente los hechos como constitutivos de un delito continuado de estafa de los arts. 248 1-2.a), 250,1 y 74 del Código Penal, estimando responsable del mismo en concepto de autor al acusado X.; sin la concurrencia de circunstancias modificativas de la responsabilidad criminal, solicitando que se le impusieran las penas de cinco de años prisión, accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de condena y doce meses de multa con una cuota diaria de doce euros con seis meses de arresto sustitutorio en caso de impago, así como el pago de las costas procesales, En concepto de responsabilidad civil solicitó que se le condenara a pagar a B, la suma de un millón ciento veintidós mil novecientos veinticinco euros con diecinueve céntimos, declarando la responsabilidad civil subsidiaria de las entidades Y e Z.
La Acusación Particular, en la vista oral, calificó definitivamente los hechos como constitutivos de un delito continuado de estafa de los arts. 248 1-2a), 250,1 y 74 del Código Penal, estimando responsable del mismo en concepto de autor al acusado X., sin la concurrencia de circunstancias modificativas de la responsabilidad criminal, solicitando que se le impusieran las penas de cinco de años prisión, accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y doce meses de multa con una cuota diaria de veinte euros con seis meses de responsabilidad personal subsidiaria en caso de impago, así como el pago de las costas procesales incluidas las de la Acusación Particular, En concepto de responsabilidad civil solicitó que se le condenara a pagar a B la suma de un millón ciento veintidós mil novecientos veinticinco euros con diecinueve céntimos, declarando la responsabilidad civil subsidiaria de las entidades X e Y.
TERCERO.- La defensa del acusado y de las responsables civiles subsidiarias, por su parte, mostró su disconformidad con la calificación de las partes acusadoras, negando los hechos que se le imputan y solicitando su libre absolución
HECHOS PROBADOS
Se declara probado que X. como administrador único de las mercantiles Y, que actuaba bajo la denominación comercial X (con datafono con contrato XXXXXXXXXXX, con número de establecimiento de Servired XXXXX, con CIF XXXX y pagina web www.xxxxxxx) y Z, que operaba con la denominación comercial Z (con datafono con contrato XXXXXXXXXX, con número de establecimiento de Servired ZZZZZ, con CIF ZZZZZZ y pagina web ZZZZZ) procedió los días 4 y 5 de marzo del año 2016 a realizar a través de X dos mil doscientos treinta devoluciones de operaciones por un importe de novecientos treinta un mil novecientos noventa y ocho euros con sesenta y cuatro céntimos correspondientes a compras efectuadas por Internet entre octubre del 2015 y marzo del 2016 y a través de Z quinientas sesenta y dos devoluciones por un importe de ciento noventa mil novecientos veintiséis euros con cincuenta y cinco euros correspondientes a compras efectuadas por Internet durante el mismo periodo de tiempo.
Debido a todo ello la cuenta corriente xxxxxxxxxxxxx asociada a la entidad X presentó un saldo en descubierto de ochocientos setenta mil cuatrocientos setenta y siete euros y la cuenta corriente zzzzzzzzzzz asociada a la entidad Z presentó un saldo en descubierto de ciento noventa mil novecientos cincuenta euros, estando ambas cuentas abiertas en la entidad B.
Todas las operaciones mencionadas se realizaron con la IP número xxxxxxxx ubicada en la sede social de las empresas X y Z.
FUNDAMENTOS DE DERECHO
PRIMERO. Valoración de las pruebas.- No resulta controvertido que los días 4 y 5 de marzo del año 2016 desde la dirección de IP xxxxxx, ubicada en la sede social de las empresas X y Z, se produjeron las ordenes de devolución que se han reflejado en la declaración de hechos probados y que como consecuencia de todo ello las cuentas corrientes de dichas empresas quedaron en descubierto, por las cantidades que también hemos reflejado en dicha declaración de hechos probados
Sí que resulta controvertido, si dichas operaciones fueron directamente realizadas por orden del administrador único de dichas sociedades X, o si, por el contrario, fueron realizadas por una tercera persona no identificada que se introdujo ilícitamente en el sistema informático de dichas empresas,
Consta en las actuaciones que X. denunció que sus empresas habían sufrido un ataque informático y que como consecuencia de ello una persona desconocida había dado las ordenes de devolución objeto de controversia. También consta debidamente acreditado que, como consecuencia de dicha denuncia, se siguió el correspondiente procedimiento de Diligencias Previas tramitado bajo el n o xxxx/xx del Juzgado de Instrucción n o 2 de Villanueva de la Serena, desconociendo el estado en el que se encuentra dicha investigación,
La defensa del acusado se queja de que los ordenadores de las empresas administradas por su defendido no han sido objeto de examen por- técnicos o peritos que pudieran afirmar, de forma categórica, si habían sufrido algún tipo de ataque informático, asumiendo la hipótesis defendida por el perito J. (ver informe pericial obrante a los folios 756 y siguientes de la causa) que considera que existen buenas razones para pensar que el proceso se verificó de forma automatizada, con un programa informático sin intervención humana en cada transacción, basando dicha conclusión en que en un espacio temporal muy pequeño se han producido varias órdenes de devolución.
Es cierto que la ausencia de una pericia sobre los ordenadores de las empresas del acusado hace muy difícil afirmar de forma rotunda que no existió un ataque informático y que las devoluciones objeto de controversia se realizaron por orden de X., pero lo cierto es que no conseguimos identificar la utilidad o ventaja que podía obtener la persona que dio las ordenes de devolución, Efectivamente, como consecuencia de dichas ordenes de devolución las cantidades dinerarias fueron entregadas a los clientes del acusado y no a la persona que pudo realizar el ataque informático, razón por la que dicha persona no pudo obtener ningún beneficio personal con su actuación.
Por otra parte, el argumento utilizado por la defensa para argumentar que existió un ataque informático tampoco resulta concluyente. Efectivamente, si examinamos el documento de Excel identificado con el numero xxxxxxx por el perito J. podemos constatar como con anterioridad a la fecha de los días 4 y 5 de marzo del año 2016, ya se habían producido otras operaciones de devolución, cuya autenticidad no ha sido cuestionada por ninguna de las partes personadas, que se verifican en un corto espacio de tiempo. Por ejemplo las operaciones con la enumeración 35613 y 35614 (de 8 de enero del año 2016) se produjeron con un segundo de diferencia, las operaciones con la numeración 35615 y 35616 (de la misma fecha) también se verificaron con un segundo de diferencia, reiterándose la misma situación en innumerables ocasiones, por lo que difícilmente podemos afirmar que el hecho de que se produjeran varias operaciones en un corto espacio de tiempo sea una razón suficiente para pensar que las mismas se realizaron de forma automatizada a través de una tercera persona que se introdujo en el sistema informático de las empresas y Z.
En suma, hemos llegado al convencimiento de que 'las operaciones de devolución objeto de controversia fueron realizadas por el acusado X., o por orden suya, aunque es cierto que en ausencia de un informe pericial sobre los ordenadores de las empresas X y Z resulta imposible descartar de forma definitiva la inexistencia de un ataque sobre el sistema informático de dichas empresas.
Por otra parte, no hemos declarado probada la afirmación realizada por las partes acusadoras de que las devoluciones se correspondían a ventas de productos no entregados a los clientes, toda vez que dicha circunstancia no ha quedado acreditada a través de la prueba practicada en el acto del juicio. Las acusaciones llegan a dicha conclusión porque en el atestado policial se recogen hasta cuarenta y seis denuncias formuladas contra el hoy acusado por no haber entregado mercancías que habían adquirido por Internet y pagado a través de tarjetas de crédito, pero lo cierto es que desconocemos que ha pasado con cada una de las denuncias formuladas, Además, difícilmente puede aceptarse el juicio de inferencia realizado por las acusaciones cuando consideran que la existencia de estas cuarenta y seis denuncias ya permiten afirmar que las más de dos mil devoluciones realizadas los días 4 y 5 de marzo del año 2016 también tenían que proceder de diversas mercancías vendidas por el acusado y, pese a ello, no entregadas a los compradores, siendo necesario poner de relieve que el agente de la autoridad que investigó los hechos (y prestó declaración testifical por videoconferencia) dijo que no podía descartar que algunas devoluciones se hubieran realizado a pesar de haberse entregado la mercancía vendida
Por último, es necesario poner de relieve (porque esta circunstancia tendrá una gran trascendencia a la hora de calificar jurídicamente los hechos objeto del presente enjuiciamiento) que el acusado venía utilizando con total normalidad la operativa consistente en ordenar la devolución de cantidades que previamente había cobrado mediante tarjetas de crédito, operativa que había sido aceptada sin ninguna dificultad por parte de B, hasta el punto de que en el informe pericial emitido por J. se hace constar que en el periodo de tiempo comprendido entre los meses de septiembre del 2015 a febrero del 2016 (ambos inclusive) se produjeron más de cinco mil devoluciones por parte de X, por un importe total que superó la suma de un millón ochocientos mil euros
SEGUNDO. Calificación jurídica de los hechos. El delito de estafa- Las partes acusadoras han calificado los hechos indistintamente como un delito continuado de estafa del art. 248.1 del Código Penal o como un delito continuado de la llamada estafa informática expresamente regulada en el art, 248.2a) del mismo cuerpo legal, Como veremos los hechos declarados probados no pueden subsumirse en ninguno de los tipos penales que acabamos de mencionar,
El tipo básico del delito de estafa viene descrito en el art. 248M del Código Penal en el que se dispone que cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajena
La jurisprudencia de la Sala Segunda del Tribunal Supremo ha venido entendiendo que los elementos que estructuran el delito de estafa son los siguientes: 1) La utilización de un engaño previo bastante, por parte del autor del delito, para generar un riesgo no permitido para el bien jurídico (primer juicio de imputación objetiva); esta suficiencia, idoneidad o adecuación del engaño ha de establecerse con arreglo a un baremo mixto objetivo-subjetivo, en el que se pondere tanto el nivel de perspicacia o intelección del ciudadano medio como las circunstancias especificas que individualizan la capacidad del sujeto pasivo en el caso concreto. 2) El engaño ha de desencadenar el error del sujeto pasivo de la acción. 3) Debe darse también un acto de disposición patrimonial del sujeto pasivo, debido precisamente al error, en beneficio del autor de la defraudación o de un tercero. 4) La conducta engañosa ha de ser ejecutada con dolo y ánimo de lucro. 5) De ella tiene que derivarse un perjuicio para la víctima, perjuicio que ha de aparecer vinculado causalmente a la acción engañosa (nexo causal o naturalístico) y materializarse en el mismo el riesgo ilícito que para el patrimonio de la víctima supone la acción engañosa del sujeto activo (relación de riesgo o segundo juicio de imputación objetiva).
Ahora bien, en supuestos equiparables al que es objeto del presente enjuiciamiento, la misma jurisprudencia del Tribunal Supremo, al analizar el tipo penal del delito de estafa tal y como venía redactado en el Código Penal de 1973, ya se decantó por afirmar que mal puede concluirse la perpetración de un delito de estafa por parte del procesado, al impedirlo la concepción legal' y jurisprudencial del engaño, ardid que se produce e incide por y sobre personas, surgiendo en el afectado un vicio de voluntad por mor de la alteración psicológica provocada La "inducción" a un acto de disposición patrimonial sólo es realizable frente a una persona y no frente a una máquina, implica una dinámica comisiva con acusado substrato ideológico, Con razón se ha destacado que a las máquinas no se las puede engañar, a los ordenadores tampoco, por lo que los casos en los que el perjuicio se produce directamente por medio del sistema informático, con el que se realizan las operaciones de desplazamiento patrimonial, no se produce ni el engaño ni el error necesarios para el delito de estafa (STS n o 369/2007).
En el mismo sentido, la Sentencia de la Sala Segunda del Tribunal Supremo n o 172/2013 vuelve a recordar que la estafa descrita en el art. 248 exige un engaño y un error que solo pueden ocasionarse en personas y concluye afirmando que tan solo de una manera figurada, incompatible con el derecho penal, se puede hablar de "engañar a una máquina .
La aplicación al presente caso de la doctrina jurisprudencial que acabamos de mencionar nos lleva a la conclusión de que el relato de los hechos que hemos declarado probados no puede subsumirse en el tipo penal del delito de estafa del art, 248.1 del Código Penal, lo que nos obliga a valorar si los hechos pueden subsumirse en el tipo penal de la llamada estafa informática.
TERCERO La estafa informática.- Como recuerda la Sentencia de la Sala Segunda del Tribunal Supremo n o 845/2014 el conocido como fraude informático, esta previsto como una modalidad de estafa con configuración propia, que no responde a la estructura tradicional de aquella. Es un tipo a través del que se pretende proteger el patrimonio de los ataques que propician las nuevas tecnologías y cuyo eje lo constituye lo que el Código describe como "manipulación informática o artificio semejante". Son éstos los que han de ser idóneos para conseguir esa transferencia inconsentida de un activo patrimonial, que integra el acto de disposición que provoca el enriquecimiento que el autor persigue. A diferencia de lo que ocurre respecto a la estafa prevista en el n o 1 del artículo 248 del CP, el engaño ya no es un elemento básico ni es de imprescindible presencia.
Se ha visto sustituido en esa función por los artificios prohibidos. En palabras de la STS 533/2007 de 12 de junio no es precisa la concurrencia de engaño alguno por el estafador, porque el acecho a patrimonios ajenos realizados mediante manipulaciones informáticas actúa con automatismo en perjuicio de tercero, precisamente porque existe la manipulación informática y por ello no se exige el engaño personal
En el mismo sentido, la STS 1 175/2001 de 20 de noviembre ya dijo que "la actual redacción del artículo 248 2 del Código penal permite incluir en la tipicidad de la estafa aquellos casos que mediante una manipulación informática o artificio semejante se efectúa una transferencia no consentida de activos en perjuicio de un tercero admitiendo diversas modalidades, bien mediante la creación de órdenes de pago o de transferencias, bien a través de manipulaciones de entrada o salida de datos en virtud de los que la máquina actúa en su función mecánica propia.
Corno en la estafa debe existir un ánimo de lucro; debe existir la manipulación informática o artificio semejante que es la modalidad comisiva mediante la que torticeramente se hace que la máquina actúe; y también un acto de disposición económica en perjuicio de tercero que se concreta en una transferencia no consentida Subsiste la defraudación y el engaño, propio de la relación personal, es sustituido como medio comisivo defraudatorio por la manipulación informática o artificio semejante en el que Io relevante es que la máquina, informática o mecánica, actúe a impulsos de una actuación ilegítima que bien puede consistir en la alteración de los elementos físicos, de aquéllos que permite su programación, o por la introducción de datos falsos.
Cuando la conducta que desapodera a otro de forma no consentida de su patrimonio se realiza mediante manipulaciones del sistema informático, bien del equipo, bien del programa, se incurre en la tipicidad del art. 248.2 del Código penal También cuando se emplea un artificio semejante. Una de las acepciones del término artificio hace que este signifique artimaña, doblez, enredo o truco,
En este extremo de la cuestión de cuáles son los artificios semejantes las SSTS 369/2007 de 9.5 y 1476/2004 de 21 2, precisan que debe ser determinada por la aptitud del medio informático empleado para producir el daño patrimonial. En este sentido es equivalente, a los efectos del contenido de la ilicitud, que el autor modifique materialmente el programa informático indebidamente o que lo utilice sin la debida autorización o en forma contraria al deber,
El tipo penal del art 248.2 CP. tiene la función de cubrir un ámbito al que no alcanzaba la definición de la estafa introducida en la reforma de 1983 La nueva figura tiene la finalidad de proteger el patrimonio contra acciones que no responden al esquema típico del art. 248,1 CP. pues no se dirigen contra un sujeto que pueda ser inducido a error. En efecto, los aparatos electrónicos no tienen errores como los exigidos por el tipo tradicional de la estafa, es decir, en el sentido de una representación falsa de la realidad. El aparato se comporta según el programa que lo gobierna y, en principio, "sin error.a.," 860/'2008 de I n 12).
Asimismo no resulta ocioso recordar La Decisión Marco del Consejo de Ministros de la Unión Europea sobre "la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo", de fecha 28 de Mayo de 2001", dispone en su art. 3 que "Cada estado miembro adoptará las medidas necesarias para garantizar que las siguientes conductas sean delitos penales cuando se produzcan de forma deliberada: realización o provocación de una transferencia de dinero o de valor monetario mediante:
la introducción, alteración, borrado o supresión indebidas de datos informáticos especialmente datos de identidad.
la interferencia indebida en el funcionamiento de un programa o sistema informáticos,
En la Sentencia 5391291 51 de 1 de octubre de 2015, ya se determinó que cuando la conducta que desapodera a otro de forma no consentida de su patrimonio se realiza mediante manipulaciones del sistema informático, bien del equipo, bien del programa, se incurre en la tipicidad del art, 248.2 del Código penal. También cuando se emplea un artificio semejante. Una de las acepciones del término artificio hace que este signifique artimaña, doblez, enredo o truco.
En similar dirección la doctrina más autorizada considera que los elementos del delito, con las salvedades señaladas, siendo semejante a los de estafa genérica. Se requiere ánimo de lucro; la manipulación informática o el artificio semejante equivale al engaño bastante y al error; la transferencia no consentida es el acto de disposición que provoca el perjuicio, elemento que también se requiere. Igualmente, se precisa la relación causal entre la manipulación informática, la transferencia electrónica y el perjuicio ajeno,
Ahora bien, en el presente caso las partes acusadoras en sus conclusiones definitivas no atribuyen al acusado la realización de ningún tipo (e manipulación informática, ni la utilización de otro artificio semejante. Por el contrario, de la documentación obrante en las actuaciones, en especial del informe pericial ratificado en el acto del juicio por J., se desprende claramente que los días cuatro y cinco de marzo del año 2016 X. ordenó, como lo venía haciendo con anterioridad, la realización de varias operaciones de devolución, manteniendo la misma operativa que venía realizando desde hacía varios meses
Efectivamente, el fin de semana de los días 4 y 5 de marzo del año 2016 lo que resultó claramente novedoso no fue que el acusado diera u ordenara la realización de múltiples operaciones de devolución, sino que diera dichas órdenes sin tener en sus cuentas corrientes fondos suficientes con los que hacer frente al pago de dichas devoluciones pero de lo que no cabe ninguna duda es de que no tuvo que realizar ninguna manipulación informática, ni utilizar ningún otro artificio semejante, para lograr que la entidad bancaria aceptara llevar a cabo las órdenes de devolución, pese a que tenía que ser plenamente consciente (no la persona jurídica, sino su sistema informático) de que las cuentas corrientes de las empresas del acusado no podrían hacer frente o abonar el importe de dichas devoluciones,
Como ya hemos anunciado en el primer fundamento jurídico, Io que nos parece más característico del presente caso es que el fin de semana del que estamos hablando X. se limitó a realizar la misma operativa que había utilizado de una forma constante e ininterrumpida durante los últimos meses, hasta el punto de que en los cinco últimos meses inmediatamente anteriores a la fecha de los hechos objeto de controversia más de cinco mil devoluciones por parte de X, por un importe total que superó la suma de un millón ochocientos mil euros,
Desconocemos si en los negocios jurídicos suscritos por el acusado con la entidad bancaria se estableció alguna clausula en la que X. se comprometiera a no realizar operaciones de devolución que pudieran dejar en descubierto las cuentas corrientes con las que operaba, aunque si ello fuera así, no entendemos como el sistema informático de la entidad financiera no detectó que se estaba produciendo dicha situación de descubierto y siguió validando unas operaciones realizadas en contra de Io acordado entre las partes sin que se haya dado ninguna explicación al respecto
En todo caso, volvemos a reiterar que desconocemos si existió un pacto como el que acabamos de mencionar, siendo necesario poner de relieve que no constan unidos a la causa los contratos o negocios jurídicos celebrados entre las empresas del acusado y la entidad B, razón por la que no podemos aventurar cual fue el concreto contenido de los mismos. A pesar de todo ello, aun aceptando que el acusado se hubiera comprometido a no realizar operaciones de devolución cuando sus cuentas corrientes estuvieran en descubierto, difícilmente dicho incumplimiento podría subsumirse en la conducta que la jurisprudencia ha considerado como la propia de la estafa informática.
Volvemos a recordar que la jurisprudencia del Tribunal Supremo ha venido entendiendo, en expresión que ha creado fortuna, que la cuestión de cuáles son los artificios semejantes debe ser determinada por la aptitud del medio informático empleado para producir el daño patrimonial. En este sentido es equivalente, a los efectos del contenido de la ilicitud, que el autor modifique materialmente el programa informático indebidamente o que lo utilice sin la debida autorización o en forma contraria al deber (ver STS n o 1476/2004 y otras muchas posteriores).
Efectivamente, solo aplicando de forma muy extensiva la expresión "utilización del programa informático en forma contraria al deber" podríamos subsumir dicho incumplimiento contractual (caso de existir) en el ámbito propio de la tipicidad del delito de estafa informática del art. 248.2.a) del Código Penal.
Por todo lo expuesto, concluimos afirmando que los hechos declarados probados no son constitutivos de un delito de estafa y, por tanto, debemos dictar absolver a X.
CUARTO, Costas Procesales.- De conformidad con lo dispuesto en el art, 240 de la Ley de Enjuiciamiento Criminal deben de oficio las costas procesales,
Vistos los artículos citados y los de general y pertinente aplicación,
FALLAMOS:
Que debemos ABSOLVER Y ABSOLVEMOS al acusado X. de los delitos por los que venía siendo acusado, declarando de oficio las costas procesales,
Notifíquese esta sentencia a las partes haciéndoles saber que contra la misma cabe interponer recurso de apelación ante la Sala de lo Civil y Penal del Tribunal Superior de Justicia de Catalunya dentro del plazo de diez días contar desde la última notificación.
La presente sentencia, de la que se unirá certificación al Rollo, la pronunciamos y firmamos,
PUBLICACIÓN: La anterior sentencia ha sido leída y publicada, el mismo día de su fecha, por el magistrado ponente en audiencia pública Doy fe,