6 meses de prisión a un ex-empleado de una empresa de marketing por delito de daños informáticos (acceder al sistema de la empresa)
Seis meses de prisión a un ex-empleado como responsable de un delito de daños informáticos por acceder a la plataforma tecnológica de la empresa para la que trabajaba (meses después de finalizar su contrato accedió a la plataforma de la empresa, modificó la dirección de la IP y provocó que el sistema quedase inoperativo durante varias horas) (Audiencia Provincial
de Alicante de 1 de junio de 2023).
El caso concreto enjuiciado
El empleado trabajaba en una empresa dedicada al marketing y e-commerce. Meses después de finalizar su contrato, accedió al sistema aprovechando que las claves de usuario no habían variado.
Realizó varios cambios en una de las aplicaciones, modificó la dirección de la IP de la plataforma de venta y accedió a los scripts del panel interno, provocando la inoperatividad de la empresa en internet durante cuatro horas.
El apelante, condenado en la Instancia como autor de un delito de daños informáticos del art. 264 bis 1 del Código Penal, se alza contra la sentencia condenatoria. Se desestima su recurso.
Delito de daños informáticos. Ex-trabajador de una empresa
La AP ratifica la sentencia de instancia. Se desestima el recurso del trabajador.
En el fundamento jurídico decimosexto se fundamenta de forma razonable que la empresa sufrió un indudable perjuicio, y que dicho perjuicio se cuantificaría en ejecución de sentencia teniendo en cuenta la facturación de la empresa en el año 2017 según los parámetros establecidos en el indicado fundamento.
Las bases fijadas en la sentencia resultan, señala la sentencia de la AP, absolutamente razonables y la cuantificación en ejecución de sentencia se realizará conforme a un trámite contradictorio, en el que el ahora recurrente podrá realizar las manifestaciones que estime conveniente.
Siendo evidente que se produjo un acceso no autorizado a la plataforma de la plataforma (así lo afirmaron los testigos y se deduce de la IP desde la que se produce el acceso, por completo ajena a la empresa), en el informe pericial se describen una serie de conductas en el acceso (tanto cambios en el panel interno de la plataforma: instalación de diversos plugins, como cambio de la dirección de la IP a terceros) que parece igualmente evidente que suponen una alteración del programa informático de la empresa.
En cuanto a la gravedad de la acción es cierto que una caída del sistema, per sé, no supone una afectación grave. Ahora bien, en la medida en que se expuso que esa caída dejó sin red a la empresa, que aun cuando la restauración de la IP pueda hacerse en tiempo relativamente corto el proceso en general tardó unas cuatro o cinco o horas (pues hubo de contactar con el proveedor y buscar el fallo que provocó la caída y restaurar la red) y que el cambio de IP afectó (y resulta lógico) a los usuarios que querían acceder motivando numerosas quejas parece claro que lo sucedido adquiere la nota de gravedad que exige el tipo penal.
Abona a lo anterior el perjuicio reputacional expuesto por la sra. Bárbara (se trata de una empresa informática y problemas de estas características que hubo de informar a los clientes con pérdida de alguno de ellos).
Por tanto, no solo estamos ante una acción que generó incomodidad, molestia o fastidio, sino que se trató de una acción que paralizó la actividad empresarial durante varias horas, que dejó a la empresa sin red tras la caída de dos servidores, que impidió a los clientes acceder a sus cuentas y que generó, cuanto menos, desprestigio de aquélla frente a éstos.