Cibercrimen y Código Penal: La Urgente Necesidad de Tipificar Phishing y Ransomware en Argentina

Propuesta de actualización del Código Penal ante los nuevos dispositivos delictuales digitales

Resumen

La acelerada digitalización de la vida social, económica e institucional ha generado nuevas modalidades delictivas que desafían las categorías tradicionales del derecho penal de fondo. En particular, prácticas como el phishing y el ransomware revelan una brecha creciente entre las formas contemporáneas de criminalidad

 digital y los tipos penales actualmente vigentes en el Código Penal argentino. Este trabajo sostiene la necesidad y viabilidad de incorporar figuras penales autónomas que tipifiquen la captación fraudulenta de datos personales sensibles y la ciberextorsión por secuestro de información, respectivamente, como respuesta jurídicamente fundada, proporcional y alineada con el derecho comparado.

El artículo propone criterios dogmáticos, sistemáticos y político-criminales para su incorporación legislativa, sin perjuicio de señalar la necesaria articulación futura con una actualización del régimen de protección de datos personales y con una ley específica de gobernanza de la inteligencia artificial.

Introducción: Transformación Tecnológica y Crisis de Adecuación Normativa

El derecho penal moderno se estructura sobre categorías conceptuales que responden a una realidad material, territorial y patrimonial propia de los siglos XIX y XX. Sin embargo, la transformación digital de las últimas décadas ha alterado profundamente los modos de interacción social, económica e institucional, trasladando una parte sustancial de la vida humana a entornos virtuales mediados por sistemas informáticos, redes de datos y plataformas digitales.

En este nuevo contexto, bienes jurídicos como la confidencialidad de la información, la integridad de los sistemas y la disponibilidad de los datos han adquirido una centralidad que excede largamente su consideración como meros instrumentos técnicos. Su afectación compromete derechos fundamentales, la continuidad de servicios públicos esenciales y, en determinados supuestos, la seguridad institucional del Estado.

Esta mutación del escenario social ha sido acompañada por una evolución correlativa de las prácticas delictivas. No obstante, el derecho penal argentino no ha experimentado una actualización estructural acorde, lo que ha generado una zona de desajuste entre los fenómenos criminales emergentes y los tipos penales disponibles para su abordaje.

Anclaje Constitucional de los Bienes Jurídicos Informacionales

La tutela de estos nuevos bienes jurídicos encuentra su anclaje en el bloque de constitucionalidad federal. La protección de la privacidad informacional y la identidad digital se derivan directamente de los artículos 18 y 19 de la Constitución Nacional, así como del artículo 11 del Pacto de San José de Costa Rica, que garantiza la protección de la honra y la dignidad. La disponibilidad de los sistemas, por su parte, se relaciona con la garantía de acceso a la información pública y la protección de los datos personales sensibles, conforme al artículo 43 de la Carta Magna.

La Criminalidad Digital como Fenómeno Autónomo

Entre las modalidades delictivas que mejor evidencian este desfasaje se encuentran el phishing y el ransomware. Ambas prácticas comparten un rasgo común: operan directamente sobre la información y los sistemas, y no necesariamente sobre bienes materiales en sentido clásico.

El phishing consiste en la captación fraudulenta de datos personales sensibles —credenciales de acceso, claves bancarias, identificadores digitales— mediante engaños informáticos que simulan comunicaciones legítimas. El ransomware, por su parte, implica la intrusión en sistemas informáticos, el cifrado o bloqueo de datos y la exigencia de una contraprestación bajo amenaza de mantener la indisponibilidad, destruir o difundir la información.

Estas conductas no constituyen meras variantes tecnológicas de delitos tradicionales, sino formas complejas de agresión jurídica que combinan intrusión, engaño, coacción y riesgo sistémico, y que requieren un análisis dogmático propio.

Insuficiencia de los Tipos Penales Vigentes

El Código Penal argentino aborda estas conductas de manera indirecta, principalmente a través de las figuras de estafa (arts. 172 y 173 CP), daño (art. 183 CP) y extorsión (art. 166 CP). Sin embargo, dichos tipos presentan limitaciones estructurales frente a la criminalidad digital.

En el caso del phishing, la exigencia típica de una disposición patrimonial y un perjuicio económico consumado, requerida tanto por la estafa genérica como por la Defraudación Informática (Art. 173, inc. 16, CP), deja fuera del reproche penal numerosas conductas de captación masiva de datos que no derivan inmediatamente en una transferencia de fondos, pero que generan un riesgo concreto y alimentan circuitos criminales posteriores. La jurisprudencia nacional ha debido recurrir a construcciones complejas —como la doctrina de la estafa plurilocal— para resolver cuestiones de competencia y tipicidad, evidenciando que el foco normativo continúa puesto en el resultado económico final y no en la lesión autónoma al bien jurídico informacional.[1]

En el caso del ransomware, la fragmentación es aún más evidente. La conducta suele ser descompuesta artificialmente en intrusión, daño informático y extorsión, sin que ninguna de estas figuras, por sí sola, capture la unidad del fenómeno. En particular, cuando el rescate no se paga o el daño es reversible, la respuesta penal resulta insuficiente, pese a la gravedad del riesgo generado. El bien jurídico afectado es la disponibilidad de los datos y sistemas (CID), un elemento que, si bien tiene un impacto patrimonial, es cualitativamente distinto al daño simple (que afecta la integridad) o a la extorsión clásica (que afecta la libertad de disposición patrimonial).

Fundamentación Dogmática para la Incorporación de Nuevas Figuras Penales

Desde un punto de vista estrictamente jurídico, la incorporación de tipos penales autónomos en materia de phishing y ransomware se justifica sobre la base de tres argumentos centrales.

En primer lugar, la autonomía del bien jurídico protegido. La privacidad informacional, la identidad digital y la disponibilidad de los sistemas no pueden ser subsumidas sin más en la noción clásica de patrimonio. Su afectación produce un daño cualitativamente distinto, que justifica una tutela penal específica.[2]

En segundo lugar, la necesidad de anticipación normativa. El derecho penal no puede limitarse a intervenir únicamente cuando el daño patrimonial ya se ha consumado. En el ámbito digital, la mera captación fraudulenta de datos o la indisponibilidad de sistemas ya configura una situación de peligro concreto que habilita la intervención penal, conforme a criterios aceptados en materia de delitos de peligro.[3]

En tercer lugar, la proporcionalidad y sistematicidad. La creación de tipos autónomos permite calibrar adecuadamente las escalas penales, evitando tanto la impunidad como el exceso punitivo, y garantizando una articulación clara con los delitos tradicionales mediante reglas de concurso. Además, la tipificación de agravantes por afectación a infraestructura crítica permite proteger la Ciberseguridad Nacional como un bien jurídico colectivo.

Derecho Comparado y Estándares Internacionales

El derecho comparado ofrece un respaldo significativo a esta orientación. El Convenio de Budapest sobre Ciberdelincuencia —ratificado por la Argentina— establece la obligación de criminalizar el acceso ilícito y la interferencia de datos y sistemas, pero deja margen a los Estados para desarrollar figuras específicas conforme a su política criminal.[4]

Algunos ordenamientos, como Alemania y el Reino Unido, continúan abordando el ransomware mediante combinaciones de tipos tradicionales, reconociendo doctrinariamente sus limitaciones. Otros, como Italia, han avanzado hacia la tipificación autónoma de la extorsión informática (estorsione informatica), reconociendo que la indisponibilidad de datos con finalidad coactiva constituye un delito diferenciado. [5]

En los Estados Unidos, el modelo es mixto, con normas federales generales y legislaciones estaduales específicas en materia de computer extortion.

Un Nuevo Paradigma: La Criminalidad Organizada como Servicio (RaaS)

Un aspecto central del ransomware contemporáneo es su evolución hacia esquemas de criminalidad organizada digital, particularmente a través del modelo conocido como Ransomware as a Service (RaaS). Bajo este esquema, desarrolladores de software malicioso, operadores de infraestructura y ejecutores materiales actúan de manera coordinada, fragmentando la cadena delictiva y dificultando la atribución de responsabilidades conforme a las categorías clásicas de autoría y participación.

Esta realidad refuerza la necesidad de que las futuras figuras penales contemplen no solo al autor material del ataque, sino también a quienes proveen, desarrollan o facilitan herramientas e infraestructura específicamente diseñadas para estas conductas, equiparándolas a formas modernas de criminalidad organizada.

Propuesta Legislativa y Viabilidad Sistemática

Sobre la base de los argumentos expuestos, resulta jurídicamente viable y sistemáticamente coherente proponer la incorporación de nuevas figuras al Código Penal argentino. Lo sistemáticamente más adecuado sería la creación de un capítulo específico (“Delitos Informáticos” o “Delitos contra la Confidencialidad, Integridad y Disponibilidad de los Sistemas y Datos”) para reflejar la autonomía del bien jurídico; no obstante, una ubicación transitoria en el capítulo de delitos contra la propiedad permitiría una sanción más inmediata, sin perjuicio de una futura reestructuración integral.

En particular, podría contemplarse la incorporación de un artículo que tipifique la captación fraudulenta de datos personales sensibles con finalidad delictiva, así como otro que sancione la ciberextorsión mediante secuestro de información, con agravantes vinculadas a la afectación de infraestructura crítica, servicios esenciales, difusión de datos y criminalidad organizada digital. La previsión expresa de reglas de concurso permitiría asegurar una respuesta penal integral frente a planes delictivos complejos.

Articulación con la Protección de Datos y la Regulación de la Inteligencia Artificial

Si bien el eje de este trabajo es estrictamente penal, no puede dejar de señalarse que estas reformas deben inscribirse en una política normativa integral. La actualización del Código Penal en materia de criminalidad digital debe dialogar con una modernización del régimen de protección de datos personales, hoy desfasado frente a estándares internacionales como el Reglamento General de Protección de Datos (GDPR), y con la sanción de una ley de inteligencia artificial que establezca principios de gobernanza, transparencia y responsabilidad frente al uso de sistemas automatizados.

La convergencia entre delitos digitales, explotación de datos e inteligencia artificial configura un nuevo ecosistema de riesgos que exige respuestas normativas coherentes y coordinadas.

Conclusión

La incorporación de figuras penales específicas en materia de phishing y ransomware no constituye una expansión irreflexiva del poder punitivo, sino una adecuación necesaria del derecho penal a la realidad tecnológica contemporánea. La experiencia argentina y el derecho comparado demuestran que continuar forzando categorías tradicionales frente a fenómenos digitales complejos solo profundiza la brecha entre norma y realidad.

Generar el escenario legislativo para estas reformas, a partir de un debate académico riguroso y técnicamente fundado, es un paso indispensable para garantizar la tutela efectiva de los derechos fundamentales, fortalecer la seguridad jurídica y asegurar que el derecho penal vuelva a cumplir su función de protección en un mundo crecientemente digitalizado.

Claudio Martin Doñate Holowiniec

Abogado, Lic en Ciencias Sociales, Ex Senador Nacional. Director del Instituto Argentina 2050 (IA 2050), Fundador del Estudio Jurídico DHLex especializado en Derecho Digital y del portar www.tecnoenergía.com.ar .

---

[1] La doctrina de la estafa plurilocal ha sido aplicada por la CSJN en casos de defraudación informática para definir la competencia, evidenciando la dificultad de encuadrar el phishing en un único lugar de consumación del perjuicio (Corte Suprema de Justicia de la Nación, N.N. s/ incidente de competencia, CCC 055915/2021/1/CS001; López, Romina Mayra s/ incidente de incompetencia, CCC 057429/2022/1/CS001).

[2] Corte IDH, “Escher y otros vs. Brasil”, sentencia del 6/7/2009.

[3] Zaffaroni, E. R., Derecho Penal. Parte General, Ediar, Buenos Aires, 2012.

[4] Consejo de Europa, Convenio sobre Ciberdelincuencia (Budapest), 2001.

[5] La tipificación autónoma en Italia se basa en la Ley n.º 48/2008 de ratificación del Convenio de Budapest y se articula sobre el Art. 640-ter (Frode informatica) del Codice Penale, sirviendo de base para la jurisprudencia sobre estorsione informatica.