Riquert Delincuencia Informática

jueves, 30 de abril de 2026

CIBERDELITOS EN URUGUAY: LEY 20327/24

Ley Nº 20.327. TIPIFICACIÓN DE CIBERDELITO.

N o r m a s

El Senado y la Cámara de Representantes de la República Oriental del Uruguay, reunidos en Asamblea General,

DECRETAN

Capítulo I

Artículo 1°.- Agréganse al Capítulo I del Título XI del Libro II del Código Penal, los siguientes artículos:

"ARTÍCULO 288 BIS. (Acoso telemático).- El que, mediante la utilización de medios telemáticos, desarrolle de forma insistente cualquiera de las siguientes conductas será castigado con de tres meses de prisión a tres años de penitenciaría: vigilar, perseguir o procurar cercanía física, estableciendo o intentando establecer contacto con una persona, sea de forma directa o por intermedio de terceros, de tal modo que altere gravemente el desarrollo de su vida".

"ARTÍCULO 288 TER. (Circunstancias agravantes especiales del delito de acoso telemático).- Será circunstancia agravante especial del delito de acoso telemático que se constituya en detrimento de un menor de edad, de adultos incapaces, de personas que previamente hayan tenido una relación afectiva o íntima, o de individuos vulnerables por enfermedad o por situaciones especiales que supongan una mayor fragilidad".

Artículo 2º.- Agrégase al Capítulo IV del Título X del Libro II del Código Penal el siguiente artículo:

"ARTÍCULO 277 TER. (Circunstancias agravantes especiales del delito previsto por el artículo 277 BIS).-

A) Que las actividades descriptas en el tipo se ejecuten mediante coacción, intimidación o engaño hacia los menores de edad.

B) Que el hecho sea realizado por personas con un vínculo de afinidad o parentesco con el menor de edad.

C) Que el contacto se realice con un menor de trece años de edad con discapacidad, deficiencias físicas o psíquicas".

Artículo 3°.- Agréganse al Capítulo III del Título XIII del Libro II del Código Penal los siguientes artículos:

"ARTÍCULO 347 BIS. (Fraude informático).- Se considera autor de fraude informático y será castigado con la pena prevista en el artículo 347 quien incurra en alguna de las siguientes conductas:

A) Inducir, con estratagemas o engaños artificiosos, induzca en error a alguna persona para obtener información mediante tecnologías de la información y de la comunicación para procurar, para sí mismo o un tercero, un provecho injusto en daño de otro.

B) Efectuar manipulaciones informáticas o artificios afines con el fin de realizar operaciones financieras, transferencias o pagos no consentidos en perjuicio de otro, independientemente de que el beneficio sea personal o de un tercero.

C) Utilizar cualquier tipo de tarjeta, cheque, código o cualquier otro medio de pago, o los datos vinculados a los mismos, para realizar transferencias, pagos o cualquier operación no consentida con el fin de obtener un provecho en daño de otro".

"ARTÍCULO 348 BIS. (Circunstancias agravantes).- Serán circunstancias agravantes especiales del delito de fraude informático:

A) Que exista parentesco o vinculación laboral o afectiva con la víctima o el tercero perjudicado.

B) Que el hecho se efectúe en perjuicio del Estado o de cualquier ente público, o afecte infraestructuras críticas.

C) Que el hecho se efectúe generando en la víctima el temor de un peligro imaginario o la persuasión de obedecer a una orden de la autoridad".

Artículo 4°.- Agrégase al artículo 34 de la Ley Nº 19.574, de 20 de diciembre de 2017, el siguiente numeral:

"34) Fraude informático cuyo monto real o estimado sea superior a 200.000 UI (doscientas mil unidades indexadas)".

Artículo 5°.- Agréganse al Capítulo VI del Libro II del Título XIII del Código Penal, los siguientes artículos:

"ARTÍCULO 358 QUATER. (Daño informático).- El que, por cualquier medio y sin autorización, destruya, altere o inutilice datos o sistemas informáticos con la finalidad de causar un daño será castigado de seis a veinticuatro meses de prisión".

"ARTÍCULO 359 TER.- Serán circunstancias agravantes especiales del delito de daño informático:

A) Que el daño ocasionado sea irreparable o sea imposible retornar a su estado anterior.

B) Que el daño se cometa en perjuicio de documentos electrónicos o sistemas informáticos de carácter estatal o vinculados a infraestructuras críticas".

Artículo 6°.- Agréganse al Capítulo III del Libro II del Título XI del Código Penal los siguientes artículos:

"ARTÍCULO 297 BIS. (Acceso ilícito a datos informáticos).- El que, mediante medios informáticos o telemáticos, sin autorización y sin justa causa, acceda, interfiera, difunda, venda o ceda información ajena contenida en soporte digital será castigado con de seis veinticuatro meses de prisión".

"ARTÍCULO 297 TER. (Interceptación ilícita).- El que, sin autorización y sin justa causa, intercepte, interrumpa o interfiera por medios técnicos datos informáticos en transmisiones no públicas dirigidas a un sistema informático, sean estas originadas en un sistema informático o efectuadas dentro del mismo, incluyendo las emisiones electromagnéticas provenientes de un sistema informático que transporte estos datos, será castigado con de seis a veinticuatro meses de prisión".

"ARTÍCULO 297 QUATER. (Vulneración de datos).- El que, mediante la utilización de cualquier medio telemático, acceda, se apodere, utilice o modifique datos confidenciales de terceros, registrados en soportes digitales o cualquier otro tipo de archivo o registro público o privado, sin autorización de su titular será castigado con de seis a veinticuatro meses de prisión.

El que, habiendo formado parte o no de su descubrimiento, difunda, revele o ceda a terceras personas los datos, hechos o imágenes registrados en soportes digitales será castigado con un año de prisión a cuatro años de penitenciaría.

Constituye circunstancia agravante especial de este delito:

A) Que sea cometido por personas encargadas de custodiar los soportes informáticos, electrónicos, registros o archivos digitales.

B) Que el sujeto pasivo sea un menor de edad o un adulto declarado judicialmente incapaz.

C) Que se cometa con una finalidad lucrativa.

D) Que sea cometido en afectación de datos personales tutelados por la Ley Nº 18.331, de 11 de agosto de 2008.

E) Que se trate de datos estatales o vinculados a infraestructuras críticas".

Artículo 7°.- Agréganse al Capítulo III del Título XIII del Libro II del Código Penal los siguientes artículos:

"ARTÍCULO 347 TER. (Suplantación de identidad).- El que usurpe, adopte, cree o se apropie de la identidad de otra persona física o jurídica, valiéndose de cualquier medio, herramienta tecnológica o sistema informático, y obtenga datos accediendo a redes sociales, casillas de correo electrónico, cuentas bancarias, medios de pago, plataformas digitales o cualquier credencial digital o factor de autenticación, con la intención de dañar a su legítimo titular, será castigado con de un año de prisión a seis años de penitenciaría. No constituirá suplantación de identidad la creación de nuevos perfiles destinados exclusivamente a la parodia".

"ARTÍCULO 348 TER. (Circunstancias agravantes especiales).- Serán circunstancias agravantes especiales del delito de suplantación de identidad:

A) Que se cometa con la finalidad de divulgar la información a la cual se accedió.

B) Que se modifiquen, supriman o adulteren datos de la víctima, o utilicen las credenciales para vincularse con terceras personas físicas o jurídicas.

C) Que se adquieran, mediante el uso indebido de sus datos personales, productos o mercaderías, o contraten servicios a través de medios telemáticos en nombre de la víctima.

D) Que se suplante la identidad de un organismo estatal u otro vinculado a infraestructuras críticas.

E) Que exista concurrencia con extorsión a la víctima, sus familiares o terceras personas vinculadas para la obtención de activos o cualquier prestación en especie a los efectos de recuperar las referidas credenciales”.

Artículo 8°.- Agrégase al Capítulo VI del Título XIII del Libro II del Código Penal el siguiente artículo:

"ARTÍCULO 358 QUINQUIES. (Abuso de los dispositivos).- El que, de forma ilegítima, produzca, adquiera, importe, comercialice o facilite a terceros programas, sistemas informáticos o telemáticos de cualquier índole, credenciales o contraseñas de acceso a datos informáticos o sistemas de información, destinados inequívocamente a la comisión de un delito, será castigado con de seis a veinticuatro meses de prisión".

CAPÍTULO II

MEDIDAS EDUCATIVAS

Artículo 9º. (Campaña nacional educativa).- El Poder Ejecutivo promoverá una campaña nacional educativa sobre el manejo de finanzas personales y ciberseguridad en los centros educativos dependientes de la Dirección General de Educación Secundaria y de la Dirección General de Educación Técnico‑Profesional de la Administración Nacional de Educación Pública, que deberá comprender, además, a beneficiarios de prestaciones servidas por el Banco de Previsión Social, Ceibal y los programas del Instituto Nacional de Empleo y Formación Profesional.

Los conceptos por desarrollar deberán revisarse y actualizarse periódicamente, acompasando los avances tecnológicos, y serán los siguientes:

A) Medios de pago (dinero electrónico, diferencia entre subtipos de tarjetas, realización de operaciones en línea y cualquier otro medio de pago electrónico que pueda desarrollarse).

B) Cuentas bancarias: cajas de ahorro y cuentas corrientes (diferencias entre ambas y vinculación a la Ley Nº 19.210, de 29 de abril de 2014, y al Decreto‑Ley Nº 14.701, de 12 de setiembre de 1977).

C) Acceso al financiamiento: préstamos (análisis de tasas de interés, plazos, cálculo de cuota contra ingresos mensuales, consecuencias de incumplimientos).

D) Instituciones financieras: diferencia entre agentes clásicos y nuevos participantes (plataformas de comercio electrónico y mensajería instantánea, entre otras).

E) Planificación presupuestaria: relación ahorro y consumo, costo del dinero.

F) Antecedentes crediticios: Clearing de Informes, Central de Riesgos Crediticios del Banco Central del Uruguay e implicancias e impacto en acceso al crédito.

G) Intangibilidad del salario (límite para el endeudamiento, pago de prestaciones alimenticias y orden de deducciones).

H) Mecanismos de defensa del usuario financiero.

I) Canales digitales y riesgos derivados de su uso inadecuado.

J) Ejercicio de derechos en el entorno digital y aplicación de conceptos de autorregulación y comportamiento ético y empático en el ciberespacio.

K) Fraudes tendientes al acceso de datos personales y financieros, que se determinan según las siguientes definiciones:

1) phishing: es la suplantación de identidad, técnica de ingeniería social que usan los ciberdelincuentes para obtener información confidencial de los usuarios de forma fraudulenta y así apropiarse de la identidad de esas personas;

2) vishing: es un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza con el fin de obtener información personal y sensible de la víctima;

3) smishing: es una técnica que consiste en el envío de un mensaje de texto por parte de un ciberdelincuente a un usuario, en el que simula ser una entidad legítima (red social, banco, institución pública u otra) con el objetivo de robarle información privada o causarle un perjuicio económico;

4) malware: hace referencia al software malicioso que afecta los intereses del usuario, entendiéndose por software el conjunto de programas y rutinas que permiten a una computadora realizar determinadas tareas;

5) Troyano: es un programa que instala otros programas, a menudo malware, sin consentimento.

6) ingeniería social: son las diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios, engañando a sus víctimas al hacerse pasar por otra persona.

L) Buenas prácticas para el uso de canales digitales (riesgos asociados a su utilización por parte de menores de edad y relevancia de la supervisión).

Asimismo, deberá asegurarse la igualdad en el acceso a las tecnologías de la información y de la comunicación, así como la equidad de género en su uso y acceso, por lo que las entidades competentes deberán desarrollar campañas de seguridad digital en todo el territorio nacional con el fin de generar espacios de formación, capacitación, sociabilización y accesibilidad en las tecnologías de la información y la educación de forma equitativa para hombres y mujeres, e igualitaria en materia de generaciones y discapacidad.

CAPÍTULO III

REGISTRO DE CIBERDELINCUENTES

Artículo 10. (Registro de antecedentes).- Facúltase a las instituciones de intermediación financiera y a las entidades emisoras de dinero electrónico a crear registros interinstitucionales que contengan datos para identificar, gestionar y prevenir transacciones no consentidas y operativas fraudulentas, y tomar medidas preventivas conjuntas sobre los beneficiarios de estas.

A los solos efectos de compartir entre sí la información a que refiere el inciso anterior, no aplicarán a las instituciones y entidades mencionadas las limitaciones impuestas por el Decreto-Ley Nº 15.322, de 17 de setiembre de 1982, quedando dichas instituciones y entidades facultadas quedarán para compartir sus registros con las autoridades jurisdiccionales a fin de radicar denuncias y realizar gestiones tendientes a prevenir y mitigar los ciberdelitos tipificados en la presente ley.

CAPÍTULO IV

PREVENCIÓN DE TRANSACCIONES NO CONSENTIDAS

Artículo 11. (Inmovilización de fondos).- Facúltase a las instituciones de intermediación financiera y a las entidades emisoras de dinero electrónico a no ejecutar cualquier tipo de orden de retiro o transferencia de activos brindada por personas físicas o jurídicas titulares o apoderados de cuentas cuando hayan tomado conocimiento, por cualquier medio de comunicación fehaciente, de que en las cuentas referidas hubieran ingresaron fondos de terceros a través de transacciones que les hayan sido declaradas como desconocidas y no autorizadas por el titular de las cuentas de origen de los fondos transferidos. Lo dispuesto comprende las instrucciones efectuadas directamente por los titulares de la cuenta, así como las impartidas por sus representantes o apoderados a cualquier título.

La inmovilización de fondos referida en el inciso anterior se aplicará a las cuentas correspondientes y comprenderá los saldos actuales e ingresos futuros de fondos o valores a dichas cuentas. En cualquier caso, la inmovilización de fondos alcanzará hasta el límite del monto de las transacciones denunciadas como desconocidas y no autorizadas por el titular de las cuentas de origen de los fondos transferidos. Las instituciones de intermediación financiera y las entidades emisoras de dinero electrónico deberán ejecutar toda orden que exceda dicho límite, salvo que la misma no cumpla con los requisitos legales o contractuales.

La inmovilización de los fondos, consecuentemente con lo dispuesto en los incisos anteriores, deberá ser comunicada dentro del plazo de un día hábil al Banco Central del Uruguay (BCU), el que podrá solicitar información adicional a las instituciones de intermediación financiera y a las entidades emisoras de dinero electrónico donde se encuentren radicadas las cuentas de origen y destino vinculadas a las transacciones denunciadas como desconocidas y no autorizadas y, previo análisis de la información a la que acceda, podrá instruir el dejar sin efecto la inmovilización de fondos.

La inmovilización de fondos deberá dejarse sin efecto y comunicarse al BCU cuando ocurra alguna de las siguientes situaciones:

A) La institución de intermediación financiera o la entidad emisora de dinero electrónico donde se encuentre radicada la cuenta afectada no haya recibido, dentro del plazo de cuarenta y ocho horas de efectuada la inmovilización, la constancia de la denuncia presentada por el titular de la cuenta origen de los fondos ante la autoridad competente (Ministerio del Interior o Fiscalía General de la Nación).

B) La institución de intermediación financiera o la entidad emisora de dinero electrónico donde se encuentre radicada la cuenta afectada no haya recibido, dentro de los treinta días siguientes a la recepción de la constancia de la denuncia referida en el literal A), una orden jurisdiccional que confirme la medida de inmovilización.

C) La institución de intermediación financiera o la entidad emisora de dinero electrónico donde se encuentre radicada la cuenta afectada por inmovilización reciba de cualquier autoridad jurisdiccional competente la instrucción de dejar sin efecto la inmovilización referida.

D) La institución de intermediación financiera o la entidad emisora de dinero electrónico donde se encuentre radicada la cuenta afectada por inmovilización reciba del titular de la misma elementos de convicción suficiente o documentación fehaciente que, a su exclusivo criterio, indiquen que la transacción denunciada fue efectivamente autorizada por el titular de la cuenta de origen.

Las instituciones de intermediación financiera y las entidades emisoras de dinero electrónico podrán radicar o ampliar denuncias ante las autoridades competentes y realizar gestiones interinstitucionales, y quedarán facultadas para brindar todos los datos vinculados a las operaciones no consentidas.

Sala de Sesiones de la Cámara de Senadores, en Montevideo, a 14 de agosto de 2024.

miércoles, 19 de noviembre de 2025

INTELIGENCIA ARTIFICIAL Y DERECHO PENAL: LIMITES PARA UNA INTERACCIÓN CONSTITUCIONAL

“Inteligencia artificial y derecho penal: límites para una interacción constitucional”[1]

por Marcelo A. Riquert[2]

- I -

Suelo decir que, para los juristas, abordar las relaciones entre las nuevas tecnologías y el derecho penal es estresante, básicamente porque las novedades se suceden con tal velocidad que no se ha terminado de identificar un grupo de problemas y cuestiones, pensando, discutiendo y ensayando las posibles respuestas, cuando de inmediato aparecen otros avances que modifican o hacen surgir una nueva fenomenología que provoca que, antes de cerrar aquellos, tengamos que estar haciendo frente a estos.

Los descubrimientos que cambian en modo radical la vida de la humanidad se han acelerado dramáticamente. El hombre primitivo comenzó a moldear utensilios en arcilla y para que llegara la rueda pasaron alrededor de 23.000 años. Mucho más acá en el tiempo, el VHS, el DVD o el Blu-Ray como formatos que cambiaron los modos de acceder a películas o música cayeron en obsolescencia en poco más de una década. La red social Facebook, que aparece en 2004, hoy es caracterizada como algo que usan “los viejos”. Los avances en las interfaces cerebro-computadora llevan a plantear la existencia de neuroderechos y sus posibles usos fraudulentos en tiempos que no están tan lejos a preguntarse por la necesidad de tipificar neurodelitos[3].

Es una relación estresante porque, claro, estamos condenados a ir por detrás de la novedad y, ante la necesidad de considerarla, se abre un ineludible interrogante: ¿se trata sólo de adecuar el derecho a los cambios, de validarlos, o se trata de recordar que hay límites previos que deben ser respetados?. El título elegido actúa como un claro “spoiler” de la postura personal: la Constitución impone límites. Retomo. Si nos remitimos a novedades normativas trascendentes en apenas el último año y medio puede verse que, a nivel mundial, en diciembre de 2024 se ha abierto a la firma el primer Convenio sobre Cibercriminalidad de Naciones Unidas, fruto de una larguísima discusión, con sus 68 artículos dedicados a cuestiones fondales, procesales y de cooperación; en el nivel regional, también en 2024 aparece el primer Reglamento/Ley sobre Inteligencia Artificial europeo; en el plano local, a fines de 2023 se consagró la llamada “Ley Olimpia”[4], que vino a modificar la Ley 26485 de “Protección integral de la Mujer”[5], incorporando todo lo relativo a la violencia de género “digital”[6].

- II -

El tema en abordaje son los posibles límites a las intersecciones entre la IA y el derecho penal. En la ocasión, influido por la crítica mirada que proporciona la reconocida académica australiana Kate Crawford en su obra “Atlas de Inteligencia Artificial. Poder, política y costos planetarios”[7], donde hace hincapié en dirigir la mirada no sólo hacia la usual presentación de la IA como algo etéreo, inmaterial, que está en “la nube”, sino hacia la habitualmente ignorada u omitida dimensión física de lo que, dice Crawford, no es “artificial” ni “inteligente”, sino corpóreo, material, hecho de recursos naturales, combustible, mano de obra, infraestructuras, logística, historias y clasificaciones. La nombrada enfatiza que la IA como la conocemos depende por completo de un vasto grupo de estructuras políticas y sociales, y que debido al capital que se necesita para construirla a gran escala y los modos de ver que optimiza, los sistemas de IA son diseñados para servir a intereses dominantes ya existentes[8].

Breve digresión: esto se da en un momento en que tales intereses son por los que, conforme refiere Byung-Chul Han, se ha verificado el pasaje del capitalismo industrial al capitalismo de la información. En obra también reciente el filósofo surcoreano señala que la democracia occidental tal como la conocemos está pasando a transformarse en una verdadera “infocracia” y, tarea para repensar por los penalistas, aquellas explicaciones sobre el poder punitivo de Foucault, cuando nos describió el “régimen de la disciplina”^{^[9]}, deben volver a procesarse cuando ya no se trata de la explotación de cuerpos y energía, cuando el factor de poder ya no es la posesión de los medios de producción, sino que se trata de la explotación de la información y datos, es el acceso a estos el factor de poder y, por eso, es un “régimen de la información”. Las personas no son más ganado laboral sino datos y ganado consumidor. Por decirlo sintéticamente, la cárcel panóptica es reemplazada por el Smartphone, por el teléfono inteligente, como instrumento de vigilancia y sometimiento[10].

Por supuesto, este escenario necesita una explicación que excede el marco y tiempo para esta presentación. Retomando a Crawford, sintetiza la postura diciendo que “…la IA es un certificado de poder”, llamándonos la atención acerca de la IA como una “industria de extracción”, a que no se pierda de vista que la creación de sistemas de IA contemporáneos depende de la explotación de los recursos energéticos y minerales del planeta, de la mano de obra barata y los datos a escala[11]. No es una fuerza espectral o computación incorpórea. No tiene nada de abstracto: es una idea, una infraestructura, una industria, una forma de ejercer poder y una manera de ver. Es la manifestación, nos dice Crawford, de un capital muy organizado, respaldado por vastos sistemas de extracción y logística, con cadenas de suministros que abarcan todo el planeta, al que, en el camino, están alterando significativamente[12].

La columna vertebral de la IA son los minerales, en particular, la minería del litio[13] y otros dieciochos minerales de “tierras raras” (como los poco conocidos lantano, cerio, praseodimio, samario, europio o gadolinio, entre otros). Para entender la intensidad de la explotación baste pensar que un celular lleva unos 8,5 gramos de litio, mientras que la batería de un Tesla S requiere 63 kilos del mismo material. Si se agrega el masivo consumo de energía eléctrica y que cuando se hace referencia a la computación avanzada se omite su impacto en la huella de carbono, los combustibles fósiles o la contaminación, se explica la construcción del mito de que todo se trata de “la nube”, metáfora que sugiere algo que flota y es parte de una industria natural y verde. Se ofrece una mítica imagen pública de compromiso ambiental (sustentabilidad y algoritmos “verdes”), mientras se requieren colosales cantidades de energía para hacer funcionar la infraestructura computacional de los servidores de las grandes compañías como Amazon o Microsoft[14]. En síntesis, la IA es una “megamáquina”, un conjunto de enfoques tecnológicos que depende de infraestructuras industriales, cadenas de suministros y mano de obra extendidas por todo el mundo, con un alto costo, pero que se mantienen en un segundo plano[15]. Un modo de bajar esos costos es en la mano de obra: aunque a los empleados se los llame “asociados”, el trato que reciben no es de tales y su labor se registra y monitorea chequeando hasta su estado emocional para maximizar la eficiencia. Enseguida volveré sobre las apps para monitorear emociones en distintos contextos.

- III -

La ideología de “extracción de datos” en el campo de la IA se ha llevado a una escala gigantesca ya que los datos son la base de su éxito y rentabilidad. Se va pasando de la metáfora de los datos como “recursos naturales” esperando a ser descubiertos, de datos sensibles de personas a “bienes comunes” respecto de los que no interesa la privacidad, a su consideración como “capital” acumulable con el que se obtienen ganancias[16] (el mencionado capitalismo de la información). En cómo y qué se hace con los datos en las apps de IA hay varias intersecciones de interés penal.

En 2021, en Europa se llamó la atención sobre el particular señalando que la IA ofrece posibilidades y riesgos extraordinarios, que no es un fin en sí misma sino un instrumento al servicio de las personas y que el objetivo debe ser aumentar el bienestar, capacidad y seguridad humanos[17]. En lo específico, advertía que su uso en el ámbito del DP se basa en la promesa no siempre cumplida de reducir la criminalidad. Por esa época, al sistematizar los problemas fondales y procesales en la relación entre la IA y el DP, identifiqué cuatro grandes núcleos: tecnología de predicción criminal (por ejemplo, vigilancia policial predictiva y herramientas de reconocimiento facial); agentes autónomos o artificiales (con los inconvenientes para determinar cuestiones de participación criminal cuando, por caso, el sistema de conducción autónoma de un automotor funciona mal y se provoca un daño); gestión judicial (en particular, el apoyo a decisiones sobre la base de valoración de riesgos); y, producto de la pandemia sanitaria del COVID-19, el incremento de la cibervigilancia y el control social[18].

Al comienzo mencioné como novedad normativa que el Parlamento Europeo –tras profusa discusión e interconsulta- ha aprobado en 2024 la propuesta de “Reglamento de Inteligencia Artificial”, una verdadera “Ley de Inteligencia Artificial” (LIA), pionera en el mundo[19]. Es decir, se ha tomado el correcto camino de la regulación y se lo ha hecho con un enfoque basado en el riesgo, que define en cuatro clases de uso de los sistemas de IA: 1) aquellos que producen un riesgo inaceptable; 2) un alto riesgo; 3) un riesgo limitado y, finalmente, 4) uno mínimo o sin riesgo. En el último caso solo se fomentan códigos de conducta o ética para que las empresas adhieran; en el segundo y tercero deben implementarse controles de distinta intensidad que incluyen tareas de prueba, documentación, transparencia y notificación. En el primer caso, riesgo inaceptable o intolerable respecto de los derechos fundamentales (aquí hablaríamos de derechos reconocidos y garantizados constitucionalmente), se ha dispuesto directamente la prohibición (art. 5), vigente desde febrero de 2025. Así, por ejemplo, en el inc. e) de la norma citada, se prohíbe “la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión”. Es importante resaltar las prohibiciones porque, se verá, hay una serie de novedades locales concretadas por vía de decretos o resoluciones ministeriales en las que se habilita la realización de aquello que en Europa se ha prohibido.

Es reconocido fuera de discusión los posibles conjuntos de datos sesgados y algoritmos injustos, así como que una de las explicaciones para que ello ocurra son las políticas de clasificación, una práctica central de la IA y que es a través de la que se determina cómo se reconoce y produce la “inteligencia” de las máquinas que pueblan desde los laboratorios hasta la industria tecnológica. La extracción, medición, etiquetado y ordenamiento de datos con que los sistemas se entrenan son lo que generan resultados discriminatorios dentro de categorías como la raza, la clase, el género, la discapacidad o la edad[20]. Adscribir un dato a una categoría es una manera de cosificar el fenómeno sacándolo de una masa indiferenciada. Una jerarquizaba base de imágenes como “ImageNet” las tiene organizadas en 21841 categorías, en las que todo es simplificado, achatado y etiquetado para lo que, lejos de la pretensión de objetividad, lo que hay es un ejercicio profundamente ideológico que privilegia y puebla algunas categorías en desmedro u omisión de otras posibles[21].

No puede soslayarse que algunos métodos de aprendizaje automático incursionan en distinciones vinculadas con la sexualidad o la criminalidad que, claro, se apoyan sobre categorizaciones profundamente relacionales y determinadas socialmente, que son contextuales y cambiantes según el momento y lugar. Por lo tanto, es evidente no son fijas ni traspasables a cualquier sitio en cualquier oportunidad. Y entonces los sistemas de aprendizaje automático construyen respuestas sobre base de categorías fijas clasificando cosas que son relacionales por lo que son pasibles de críticas tanto científicas como éticas[22].

En línea con esto, valga retomar la referida LIA europea del año 2024, que dentro de las actividades prohibidas, en el art. 5. c) prevé: “La introducción en el mercado, la puesta en servicio o la utilización de sistemas de IA con el fin de evaluar o clasificar a personas físicas o a grupos de personas durante un período determinado de tiempo atendiendo a su comportamiento social o a características personales o de su personalidad conocidas, inferidas o predichas, de forma que la puntuación ciudadana resultante provoque una o varias de las situaciones siguientes: i) un trato perjudicial o desfavorable hacia determinadas personas físicas o grupos enteros de personas en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente; ii) un trato perjudicial o desfavorable hacia determinadas personas físicas o grupos de personas que sea injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este;…”.

Siendo evidente que las clasificaciones son necesarias para el entrenamiento y desarrollo de las IA, no cualquier tipo de aquellas es admisible. Y es preciso que, las herramientas que se nos ponen a disposición, sean miradas con sentido crítico. Muchos de los sistemas de predicción de emociones se apoyan en la labor que desde los años sesenta desarrolló el famoso psicólogo estadounidense Paul Ekman, quien con los años se transformó en una celebridad mediática, siendo presentado como el lector de rostros más famoso del mundo y llegó a hacerse una serie televisiva basada en su capacidad de detectar mentiras (“Lie to me”^{^[23]}). Estos sistemas se usan en aeropuertos, centros de educación y empresas de selección/contratación de empleados. Sin embargo, se olvida toda la controversia en torno a la premisa de que el estado interior emocional de alguien puede evaluarse con precisión analizando un rostro[24].

Otra vez, lo relativo al reconocimiento de emociones mediantes sistema de IA es abordado por la autoridad europea y en la mencionada LIA de 2024 se lo limitado excluyéndolo de los ámbitos laborales y educativos. En efecto, entre las prohibiciones del art. 5, en el inc. f) se ha previsto a “…la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad;…”.

Vale la pena insistir en que con un aura de objetividad, por tratarse “solo de matemáticas”, se esconden sesgos intencionales y no intencionales de la práctica policial en los sistemas de vigilancia predictiva (por ejemplo, Predpol, desarrollado por el Departamento de Policía de la ciudad de Los Ángeles en colaboración con la Universidad de California), que generan un bucle de retroalimentación y provocan una vigilancia más acentuada sobre grupos como migrantes, indocumentados, pobres y comunidades afroamericanas y latinas[25]. Es decir, acentúan la selectividad vigente sobre los grupos más vulnerables. Algo similar pasa con los controvertidos sistemas de apoyo a decisiones judiciales por valoración de riesgos (por ejemplo, COMPASS)[26]. Esto conecta con otra de las prohibiciones de la LIA europea, que en el art. 5, inc. d), incluye: “… la introducción en el mercado, la puesta en servicio para este fin específico o el uso de un sistema de IA para realizar evaluaciones de riesgos de personas físicas con el fin de evaluar o predecir la probabilidad de que una persona física cometa una infracción penal basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la evaluación humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva;…”.

- IV -

El detalle sobre las prohibiciones europeas, reitero, es importante porque estamos viendo en nuestro país que por vía de “softlaw” (decretos y disposiciones ministeriales), sin pasar por el Congreso nacional pese a involucrar acciones que pueden comprometer derechos de raigambre constitucional, se estaría caminando en el sentido inverso al deseable (justamente, por no prohibirlas o habilitarlas sin necesarios controles que aseguren no se los afecte)[27].

Me refiero, por ejemplo, a la Res. 428/2024 del Ministerio de Seguridad, cuyo art. 2º inc. “o”, habilita a la policía a realizar labores preventivas en el ciberespacio respecto de cualquier delito del que se pueda obtener noticia a través de tal medio. Es decir, ciberpatrullaje con uso de fuentes abiertas (art. 3º inc. b), para todo. Y en reiteradas ocasiones he señalado que no estoy en contra de tal actividad investigativa, que considero necesaria y útil, sino que por tratarse de algo que importa escudriñar en aspectos de la vida social de los ciudadanos debe tener límites precisos para no incurrir en desvíos que, por caso, terminen coartando la libertad de expresión. En la misma resolución, el art. 3º inc. e), permite el uso del “agente revelador tecnológico” conforme los términos de la Ley 27319. Y esto también es muy delicado y mereciera mayores discusiones y precisiones porque, dejando de lado la pretensión de novedad que deriva de la inclusión “tecnológico”, no se trata de nada realmente nuevo[28] y es antigua la discusión en torno a que no es lo mismo un agente encubierto que uno revelador o provocador, y el tipo de provocación constitucionalmente admisible se vincula con distinciones acerca de la doctrina de la celada legal o el entrampamiento, que tienen una vertiente objetiva y otra subjetiva, sin que haya vuelto a ser considerada por la CSJN desde el leading case “Fiscal c/Fernández”, hace más de tres décadas (la sentencia es del 11/12/1990)[29]. Unos meses más tarde, por Res. 1253/2024 del MS, se creó la “Unidad Especial de Agentes Encubiertos” en la Dirección Nacional de normativa y relaciones con los poderes judiciales y los ministerios públicos.

A su vez, la Res. 710/2024 de la misma autoridad ministerial, crea en su ámbito una “Unidad de Inteligencia Artificial aplicada a la Seguridad” (UIAAS), entre cuyas funciones (art. 4º) se especifican las siguientes: reconocimiento facial en tiempo real mediante cámaras de seguridad (inc. “c”; que tiene posterior correlato en la Res. 1234/2024 del MS, por la que se aprobó el “Protocolo Unificada para el Reconocimiento y Comparación Facial”); usar algoritmos para predecir futuros delitos (inc. “d”); procesar grandes volúmenes de datos para crear perfiles de sospechosos (inc. “e”); analizar redes sociales para detectar amenazas potenciales, identificar movimientos de grupos delictivos o prever disturbios (inc. “j”, cuya amplitud es perfectamente compatible con el uso del ciberpatrullaje para reprimir manifestaciones de protesta social). No es todo, este año, el mes de junio, por Dec. 383/2025 se aprobó el nuevo “Estatuto de la Policía Federal Argentina”, cuyo art. 6º inc. 8, en conexión con el antes citado inc. “e”, establece como una facultad de la PFA el registrar y calificar a las personas dedicadas habitualmente a una actividad que la policía debe reprimir; mientras que vinculado al inc. “j”, agrega la misión de hacer inteligencia criminal (arts. 5 inc. 3 y 6 inc. 2 del decreto; 5 inc. 3 del Estatuto) habilitando su acceso a bases de datos públicas y pudiendo solicitar acceso a privadas (art. 6 inc. 5 del decreto; mismo número e inciso del Estatuto).

Es que el nuevo marco general de actuación previsto es la investigación “proactiva” de los delitos federales y complejos, la desarticulación de organizaciones criminales y la protección del Estado (arts. 1 y 5 inc. 1º del decreto; 1 del Estatuto). Es decir, enfatizando que no es necesaria la previa orden por autoridad judicial o del MPF. De allí el amplio haz de facultades habilitadas en su art. 6º, entre las que destacan (porque son merecedoras de real control y seguimiento), las siguientes:

Inc. 2: hacer inteligencia criminal y análisis de la información;

Inc. 3: recabar información y asegurar prueba para “luego” presentarla al MPF o jueces para facilitar el “inicio” de una investigación;

Inc. 6: relacionarse con la comunidad, instituciones y organizaciones de la sociedad civil con el fin de prevenir delitos;

Inc. 7: detener sin orden judicial por hasta diez horas si presume delito y la persona no acredita la identidad;

Inc. 11: realizar, sin necesidad de autorización judicial, tareas de prevención del delito en espacios públicos digitales (redes sociales, sitios web públicos y otras fuentes abiertas), conforme pautas y principios rectores dictados para dichas actividades por la autoridad competente, respetando la protección de datos personales, libertad de expresión, intimidad y privacidad.

Esta última, muy específica al acontecer en el ciberespacio, no puede dejar de crear preocupación si se atiende al modo diferencial en que se valoran por la autoridad pública los discursos con relevancia típica que en redes sociales día a día circulan. Las conductas comunicativas odiosas del sector oficial son ignoradas, las de origen y sentido contrapuesto pueden dar lugar a formación de causas, detenciones, etc. Sin desconocer las facultades inherentes al poder administrador para organizar cómo diseña y ejecuta su labor específica, cuando se trata de medidas que pueden afectar la calidad de “ciudadanía”, el ejercicio de los derechos constitucionales, debiera no perderse de vista la conveniencia de que discutan y legislen en sede natural para establecerles límites, que es la del Congreso.

- V -

Cierro esta intervención postulando que, en mi modesta opinión, no albergo dudas de que debe consagrarse una regulación en materia de IA y que, en la relativo con sus intersecciones con el derecho penal, debe hacérselo sin olvido de que este interviene, con límites, después (no antes) del delito.

La mentada resolución del Parlamento Europeo de 2021 recordaba lo que vulgarmente serían verdades de Perogrullo pero, en los tiempos que corren, es aconsejable repetir cual si fuese un mantra: debe tratarse de una regulación que le diga que no al derecho penal de autor, que también niegue al estado de policía, que evite todo rastro de peligrosismo y, final, aunque sea técnicamente posible, que proscriba la vigilancia masiva ilimitada.

Es que la razón de eficacia no puede legitimar el abandono del sistema de garantías que se ha tardado siglos en construir y que ha demandado el derrame de la sangre de muchos. Como tiempo atrás resaltaba el profesor Zaffaroni, el derecho penal liberal (humanitas) y el derecho penal autoritario (hostis) siguen corriendo una carrera dramática y, si alguna duda hubiera acerca de qué posición adopta el saber penal en el moderno orden democrático occidental, que es por “humanitas”, lo exterioriza que no hay ningún instituto, facultad, universidad, centro o ente académico que lleve por nombre Torquemada, o Rosenberg, o los nazistas de la escuela de Kiel[30], o el fiscal Vichinski. Como señala el gran maestro de la UBA, “Nuestra ciencia siempre está del lado de humanitas y no perdona a sus traidores”[31].

Podría decirse que aquella conclusión de privilegiar al derecho penal liberal del documento europeo previo ha sido felizmente recogida en el posterior y de allí que aquellos sistemas de IA que provocan riesgos intolerables respecto de los derechos fundamentales hayan sido prohibidos. En nuestro medio, los mencionados decretos y resoluciones ministeriales pondrían en evidencia que no estamos teniendo esto tan claro y es de esperar que se revierta la dirección que se insinúa como de una permisividad que, por cierto, es preocupante[32].

[1] Conferencia brindada en el “Congreso Internacional de Derecho Penal y Criminología: Ciberespacio y criminalidad en el siglo XXI”, organizado por la Universidad Nacional del Oeste y celebrado en la CABA los días 3 y 4 de julio de 2025, bajo dirección de los Profs. Ricardo A. Basílico, Jorge E. Buompadre y Javier A. Mariani. Se han insertado algunas notas al pie que pueden aclarar o ampliar conceptos o sugerencias de bibliografía sobre el punto.

Ha sido publicado en la biblioteca jurídica online “elDial.com” (www.eldial.com), sección “Suplemento de Derecho Penal y Procesal Penal”, dirigida por Gustavo E. Aboso, edición del lunes 20 de octubre de 2025 (Ref.: DC36EC).

[2] Doctor en Derecho, UNMDP. Máster en Derecho Penal, U. Salamanca (España). Director del Área Departamental Penal, Facultad de Derecho de la UNMDP. Ex Presidente de la Asociación Argentina de Profesores de Derecho Penal.

[3] Sobre el particular puede consultarse la reciente obra de Carlos Christian Sueiro, “Neuroderechos y neurodelitos. Impacto de las neurociencias y la inteligencia artificial en el sistema penal”, prologada por Gustavo Aboso, ed. Hammurabi, Bs.As., 2024.

[4] Es la Ley 27736 sobre “Violencia de Género Digital”, pub. en el BO del 23/10/2023.

[5] Pub. en el BO del 14/4/2009.

[6] Me ocupé de la novedad en el capítulo IV titulado “Violencia de género digital y Ley Olimpia”, de la obra “Nuevas tecnologías y derecho penal”, prólogo de Marcos Salt, ed. Erreius, Bs.As., 2025, págs. 187/241.

[7] Traducida por Francisco Díaz Klaassen, ed. Fondo de Cultura Económica, CABA, 2022, 445 páginas. Pueden consultarse otros trabajos e investigaciones en su página web, disponible en https://katecrawford.net/

[8] En “Atlas…”, ob.cit., pág. 29.

[9] En particular, en su obra “Vigilar y castigar. Nacimiento de la prisión”, Siglo XXI, 22º edición en castellano, Madrid, 1994 (1º edición en francés, 1975).

[10] Para ampliar, ver el opúsculo de Han titulado “Infocracia”, ed. Taurus, Bs.As., 2022. Me he referido asimismo al punto en mi monografía “Inteligencia artificial y derecho penal”, Ediar, Bs.As., 2º edición ampliada y actualizada, 2024, págs. 57/62.

[11] En “Atlas…”, ob.cit., pág. 38.

[12] En “Atlas…”, ob.cit., pág. 42.

[13] Valga recordar que nuestro país es el cuarto productor mundial de litio. En el llamado "triángulo del litio", que se conforma junto a Chile y Bolivia, están alrededor del 65% de los recursos mundiales de litio, que se extrae principalmente de los salares de la Puna. En forma individual, Argentina tiene la segunda reserva más grande del mundo, después de Bolivia. La producción argentina aumentó de 35.000 toneladas en 2022 a 73.000 en 2024. Para 2025 se proyecta una producción de 115.000 toneladas de litio, un 229% más que en 2022, según la Cámara Argentina de Empresas Mineras (CAEM). Fuente: noticia titulada “Litio en Argentina: el motor de la nueva fiebre minera y qué falta para despegar”, pub. en el diario “La Nación”, edición del 3/3/25, versión digital disponible en https://www.lanacion.com.ar/economia/litio-en-argentina-el-motor-de-la-nueva-fiebre-minera-y-que-falta-para-despegar-nid03032025/

[14] En “Atlas…”, ob.cit., pág. 74.

[15] En “Atlas…”, ob.cit., pág. 85.

[16] En “Atlas…”, ob.cit., págs. 147 y 149.

[17] En la Resolución del Parlamento Europeo de 6 de octubre de 2021, sobre la inteligencia artificial en el derecho penal y su utilización por las autoridades policiales y judiciales en asuntos penales.

[18] Así, en la obra “Inteligencia artificial y derecho penal”, 1º edición, 2022.

[19] Se trata de la resolución legislativa del Parlamento Europeo, de 13 de marzo de 2024, sobre la propuesta de “Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD))”. El Consejo Europeo hizo su aprobación el 13 de junio y el texto fue publicado en el Diario Oficial de la UE el 12 de julio de 2024. Su entrada en vigor ha comenzado el 1 de agosto, siguiendo pasos escalonados que terminarán dentro de dos años, en agosto de 2026.

[20] Así, Crawford, ob.cit., pág. 194. La nombrada hace un muy interesante paralelo con la craneometría del frenólogo Samuel Morton, quien a mediados del siglo XIX había reunido más de mil cráneos (hoy en el museo Penn de Filadelfia), a partir de cuyo estudio y mediciones procuraba justificar la conclusión de la superioridad caucásica.

[21] Obra reseñada, pág. 213.

[22] Crawford, ob.cit., pág. 222.

[23] Protagonizada por Tim Roth, tuvo tres temporadas de capítulos entre los años 2009 y 2011.

[24] Crawford, ob.cit. págs. 233, 237 y 264.

[25] Crawford, ob.cit., págs. 300/301.

[26] Sobre el particular me he extendido en el capítulo III de la obra “Inteligencia artificial…”, ya citada.

[27] Sobre el particular me extendí en la reciente obre “Nuevas tecnologías y derecho penal”, prologada por Marcos Salta, Erreius, Bs.As., 2025. En particular, en el capítulo II “Nueva regulación del ciberpatrullaje y creación de la Unidad de Inteligencia Artificial aplicada a la Seguridad en Argentina”, págs. 77/116.

[28] Como destaca Zaffaroni, “Instituciones procesales demolidas hace siglos son presentadas por los medios de comunicación masivos del actual momento de dominio mundial del capital financiero transnacional, como verdaderas novedades (testigos secretos, agentes provocadores, jueces sin rostro, informes policiales como prueba, extorsiones judiciales, confesiones policiales, por no hablar de tortura moderada), o sea que, elementos inquisitoriales, premodernos, se presentan como innovaciones posmodernas” (en “Doctrina penal nazi. La dogmática penal alemana entre 1933 y 1945”, Ediar, Bs.As., 2017, pág. 278).

[29] Un análisis en extenso de la cuestión en “Nuevas tecnologías…”, ob.cit., capítulo III: “El agente revelador (no provocador) tecnológico (mal llamado “agente encubierto informático”)”, págs. 137/188.

[30] Dentro de la colección “El penalismo olvidado”, dirigida por Zaffaroni, puede consultarse la traducción de Leonardo Brond del trabajo Georg Dahm y Friedrich Schaffstein, los más (tristemente) reconocidos catedráticos penales de la Universidad de Kiel, titulado “¿Derecho penal liberal o derecho penal autoritario?”, Ediar, Bs.As., 2011, que cuenta además con un extenso “Prólogo” del propio Zaffaroni e incluye un trabajo titulado “Las Escuelas de Kiel y de Marburgo, la doctrina Penla nacional-socialista”, de Francisco Blasco y Fernández de Moreda publicado originalmente en 1944.

[31] Zaffaroni, en su conferencia “Humanitas en el derecho penal”, pub. en AAVV “Reforma penal y política criminal. La codificación en el estado de derecho. VI Encuentro de la AAPDP en homenaje al Prof. Enrique U. García Vitor”, Ediar, Bs.As., 2007, pág. 267.

[32] Corroborando que hay buenas razones para la preocupación oportunamente exteriorizada, al momento de cerrar esta versión escrita de la conferencia se ha publicado una noticia titulada “A un año de su creación, el gobierno oculta qué función cumple la Unidad de Inteligencia Artificial del Ministerio de Seguridad” (en diario “Perfil”, edición del 8/7/2025, versión digital disponible en https://www.perfil.com/noticias/politica/a-un-ano-de-su-creacion-el-gobierno-oculta-que-funcion-cumple-la-unidad-de-inteligencia-artificial-del-ministerio-de-seguridad.phtml). El diario informa que presentó una solicitud de acceso a la información pública en abril de 2025 y las autoridades ministeriales decidieron no responder, por lo que un año después de su creación no es posible conocer detalles sobre las tareas que llevó adelante la unidad, con qué tecnología, cuánto personal tiene asignado y qué presupuesto tiene a su cargo. También se noticia que poco después de la publicación de la Res. 710/2024, el Centro de Estudios Legales y Sociales (CELS), la Fundación Vía Libre y Revista Crisis presentaron solicitudes de acceso a la información para saber más sobre la unidad, recibiendo en todos los casos respuestas vagas con el argumento de que se estaban definiendo detalles. Asimismo, aunque sin mayores detalles, se indica que el Observatorio de Derecho Informático Argentino (ODIA) llevó el tema a sede judicial y logró las autoridades entreguen el expediente administrativo en el que se tramitó la sanción de la resolución 710/2024, donde están las deliberaciones previas a la creación de la unidad.