En relación con el inabarcable problema de la delincuencia en el ciberespacio, nada se descubre diciendo que uno de los delitos que más preocupa es el del ransomware, que consiste en bloquear o secuestrar la información de una empresa o de un profesional, haciendo imposible el acceso a ella, situación cuya solución pasa por el pago de un “rescate”, que devolverá el acceso normal a su titular.
De la gravedad de esos hechos nadie tiene duda, y hasta se puede decir que es fácil conocer a víctimas de esos delitos. Están sobradamente justificadas las inversiones que se hagan en policía del ciberespacio, cuya necesariedad en nuestro tiempo es indiscutible, y no solo por los secuestros de información, sino por la creciente extensión de la ciberdelincuencia. De las medidas de prevención que aconsejan los especialistas no voy a hablar, y no ya por mi manifiesta incompetencia informática, sino porque es una obviedad análoga a las alarmas antirrobo o cualquiera otra medida de prevención del delito.
El tema al que quiero dedicar este comentario no se refiere a la necesidad de sensibilizarse ante la gravedad del problema, sino a cierta línea de opinión de acuerdo con la cual, en primer lugar, las compañías aseguradoras harán bien en no asegurar esa clase perjuicios (especialmente, el costo del rescate) para evitar, precisamente, que los delincuentes consigan su objetivo. Si la cuestión se ciñera a eso podría dejarse en el (importante) campo de las decisiones de las compañías de seguros, las exigencias de medidas a tomar por los asegurados (duplicar información, ante todo) y el precio del aseguramiento de ese riesgo.
Pero no es esa la única línea de lucha contra esa clase de delitos, sino que también se propone por algunos o muchos, que, con seguro o sin seguro, se luche abiertamente contra el pago de los rescates, lo cual, en sí mismo es razonable, y los motivos asumibles: el recate no garantiza la recuperación, fomenta la continuidad de la actividad delictiva, y la experiencia demuestra, respecto de otras situaciones en que se exige rescate, que la vía de aceptar las exigencias criminales y pagar es la menos recomendable por criminógena.
Esa referencia a otras situaciones conocidas de secuestro y exigencia de dinero para ponerle fin están en la memoria de todos. En primer lugar, los secuestros terroristas, de los que, en España, desgraciadamente, sabemos algo. Pero no solo esos, pues en muchos lugares del planeta, y también de Europa, el secuestro ha sido una actividad criminal común desprovista de connotaciones políticas, como sufrió Italia, donde la mafia y otras organizaciones criminales pusieron en marcha, el último tercio del pasado siglo, una auténtica industria del secuestro de personas, lo cual llevó finalmente al Estado a prohibir el pago de rescates a las familias de los secuestrados, para lo cual se autorizó el bloqueo de cuentas bancarias y se prohibió entrar en negociaciones con los secuestradores.
Por demás, es sabido que ningún Gobierno de un Estado de Derecho normal aconseja, antes todo lo contrario, el pago de rescates, aunque, por lo común, no se llega a calificar como “delito” el pago de un rescate. Pese a ello, en algunos casos de secuestros terroristas países como EE.UU. llegaron a advertir que el pago de rescates podría ser considerado como financiación del terrorismo.
En esa misma línea de negarse a pagar el rescate para no contribuir con dinero a la causa del terrorista, y en relación con casos de secuestros llevados a cabo por grupos islamistas, países como Francia o el Reino Unido también observan (al menos, en teoría) la línea de no ceder ni siquiera ante el perceptible riesgo de muerte del secuestrado.
Me he alejado por un momento del tema inicial que era el del ciberdelito consistente en el secuestro o bloqueo de la información
perteneciente a empresas o personas físicas, y a cuáles eran las mejores estrategias de lucha, entre las cuales, y eso es lo más discutible cuando no censurable, se propone por algunos considerar el pago exigido para acabar con el bloqueo como una complicidad en el delito. De ese modo, la víctima del delito, que accede a pagar, por la razón que sea, para recuperar lo que es suyo podría pasar a compartir la responsabilidad penal por el delito cometido.
Esa posibilidad es, en mi opinión, abiertamente rechazable.
En primer lugar, la participación dolosa en un delito tiene una tipicidad, como la tiene la autoría o la tiene la tentativa. Se trata de una tipicidad accesoria compuesta por la combinación de las reglas generales de incriminación de la participación (arts. 27 y ss. del CP) con la respectiva figura de delito, que, en el caso que nos ocupa, será el correspondiente ciberdelito de secuestro de información. Esa dependencia técnica del tipo que realiza el autor principal del hecho da lugar a una especie de tipicidad subordinada, pero que, al igual que cualquier otro delito, tiene una específica significación antijurídica externa e interna, objetiva y subjetiva.
El componente subjetivo de cualquier comportamiento injusto no se reduce a la consciencia de lo que se está haciendo (entregar dinero a unos delincuentes) sino, además, del deseo de dirigir la propia conducta en contra del bien jurídico agredido por el delito. En el caso del secuestro de información, el bien jurídico protegido se integrará por el derecho de su propietario a disponer de esa información sin la injerencia de nadie y, además, de los derechos de aquellas personas físicas o jurídicas de las cuales la información secuestrada contenga datos que dichas personas tienen el derecho a mantener en el ámbito de privacidad. El autor del delito obra contra ese bien jurídico, y el mismo “consenso criminal” es el que anima a todos aquellos que contribuyen a que pueda llevar su plan adelante.
Partiendo de este elemental análisis sobre cuál es el fundamento jurídico de la teoría de la participación punible en derecho penal, puede salirse al paso de la pretensión de tratar como conducta penalmente antijurídica la de quien decide pagar para acabar con la situación de riesgo grave en la que se encuentra el bien jurídico que se quiere proteger. A buen seguro, quienes sostienen que pagar para recuperar la información imprescindible para el funcionamiento de una empresa o de una actividad profesional debiera ser tratado y castigado como complicidad “porque contribuye a que el autor del delito alcance su perfecta consumación, no dirían lo mismo si se tratara del secuestro de un niño, por ejemplo. En tal caso correrían, como poco, a invocar la eximente de estado de necesidad justificante o exculpante, añadiendo, tal vez, que “un niño es otra cosa”, razonamiento tan ajurídico como absurdo.
Hay que recordar, por demás, que cuando se exige un rescate, el delito ya se ha consumado, y ese rescate, pedido o cobrado, solo servirá para agravar la pena, pero no para modificar la tipificación. Que la víctima pague el rescate no modifica el indiscutible hecho de que el delito ya se ha cometido. Esa intervención de la víctima post-consumación no alterará esa realidad, ni aliviará la responsabilidad penal del autor si llega a ser aprehendido.
Habrá quien opine que todo eso está muy bien, pero que la eficacia en la lucha contra los ciber-secuestros de información pasa por amenazar a las víctimas de esa manera, sin perjuicio de que, ulteriormente, en la sentencia que se pueda dictar, se le absuelva de su presunta cooperación “al delito”, apreciando la causa de justificación de obrar en estado de necesidad, lo cual es lo primero que debe rechazarse, pues para poder invocar una causa de justificación lo primero que ha de demostrarse es que esa persona había actuado típicamente, y , en mi opinión, la decisión de pagar para recuperar la información es atípica, con lo cual no hay base alguna para someter a esa persona a un proceso penal, más allá de su eventual participación como testigo.
Con esto no pretendo poner en duda el enorme valor de aquellos que se niegan a pasar por las exigencias de los delincuentes. Pero eso no ha de llevar el péndulo a criminalizar a quienes, por las razones que sea no pueden o no quieren seguir esa línea. Incriminarles supondría, en primer lugar, que, la situación de la víctima tras el delito sería la de uno de los imputados como responsable criminal en ese delito, dejando en anecdótico todo lo que se ha dicho sobre la necesidad de evitar la llamada “criminalización secundaria”, o, con otras palabras, cornudo y apaleado, como el personaje del Decamerón.