Ley Nº 20.327. TIPIFICACIÓN DE CIBERDELITO.
N o r m a s
El Senado y la
Cámara de Representantes de la República Oriental del Uruguay, reunidos en
Asamblea General,
DECRETAN
Capítulo I
Artículo 1°.-
Agréganse al Capítulo I del Título XI del Libro II del Código Penal, los
siguientes artículos:
"ARTÍCULO 288
BIS. (Acoso telemático).- El que, mediante la utilización de medios
telemáticos, desarrolle de forma insistente cualquiera de las siguientes
conductas será castigado con de tres meses de prisión a tres años de
penitenciaría: vigilar, perseguir o procurar cercanía física, estableciendo o
intentando establecer contacto con una persona, sea de forma directa o por
intermedio de terceros, de tal modo que altere gravemente el desarrollo de su
vida".
"ARTÍCULO 288
TER. (Circunstancias agravantes especiales del delito de acoso telemático).-
Será circunstancia agravante especial del delito de acoso telemático que se
constituya en detrimento de un menor de edad, de adultos incapaces, de personas
que previamente hayan tenido una relación afectiva o íntima, o de individuos
vulnerables por enfermedad o por situaciones especiales que supongan una mayor
fragilidad".
Artículo 2º.-
Agrégase al Capítulo IV del Título X del Libro II del Código Penal el siguiente
artículo:
"ARTÍCULO 277
TER. (Circunstancias agravantes especiales del delito previsto por el artículo
277 BIS).-
A) Que las
actividades descriptas en el tipo se ejecuten mediante coacción, intimidación o
engaño hacia los menores de edad.
B) Que el hecho sea
realizado por personas con un vínculo de afinidad o parentesco con el menor de
edad.
C) Que el contacto
se realice con un menor de trece años de edad con discapacidad, deficiencias
físicas o psíquicas".
Artículo 3°.-
Agréganse al Capítulo III del Título XIII del Libro II del Código Penal los
siguientes artículos:
"ARTÍCULO 347
BIS. (Fraude informático).- Se considera autor de fraude informático y será
castigado con la pena prevista en el artículo 347 quien incurra en alguna de
las siguientes conductas:
A) Inducir, con
estratagemas o engaños artificiosos, induzca en error a alguna persona para
obtener información mediante tecnologías de la información y de la comunicación
para procurar, para sí mismo o un tercero, un provecho injusto en daño de otro.
B) Efectuar
manipulaciones informáticas o artificios afines con el fin de realizar
operaciones financieras, transferencias o pagos no consentidos en perjuicio de
otro, independientemente de que el beneficio sea personal o de un tercero.
C) Utilizar
cualquier tipo de tarjeta, cheque, código o cualquier otro medio de pago, o los
datos vinculados a los mismos, para realizar transferencias, pagos o cualquier
operación no consentida con el fin de obtener un provecho en daño de
otro".
"ARTÍCULO 348
BIS. (Circunstancias agravantes).- Serán circunstancias agravantes especiales
del delito de fraude informático:
A) Que exista parentesco o vinculación laboral o
afectiva con la víctima o el tercero perjudicado.
B) Que el hecho se efectúe en perjuicio del
Estado o de cualquier ente público, o afecte infraestructuras críticas.
C) Que el hecho se efectúe generando en la
víctima el temor de un peligro imaginario o la persuasión de obedecer a una
orden de la autoridad".
Artículo 4°.-
Agrégase al artículo 34 de la Ley Nº 19.574, de 20 de diciembre de 2017, el
siguiente numeral:
"34) Fraude informático cuyo monto real o estimado
sea superior a 200.000 UI (doscientas mil unidades indexadas)".
Artículo 5°.-
Agréganse al Capítulo VI del Libro II del Título XIII del Código Penal, los
siguientes artículos:
"ARTÍCULO 358
QUATER. (Daño informático).- El que, por cualquier medio y sin autorización,
destruya, altere o inutilice datos o sistemas informáticos con la finalidad de
causar un daño será castigado de seis a veinticuatro meses de prisión".
"ARTÍCULO 359
TER.- Serán circunstancias agravantes especiales del delito de daño informático:
A) Que
el daño ocasionado sea irreparable o sea imposible retornar a su estado
anterior.
B) Que el daño se cometa en perjuicio de
documentos electrónicos o sistemas informáticos de carácter estatal o
vinculados a infraestructuras críticas".
Artículo 6°.-
Agréganse al Capítulo III del Libro II del Título XI del Código Penal los
siguientes artículos:
"ARTÍCULO 297
BIS. (Acceso ilícito a datos informáticos).- El que, mediante medios
informáticos o telemáticos, sin autorización y sin justa causa, acceda,
interfiera, difunda, venda o ceda información ajena contenida en soporte
digital será castigado con de seis veinticuatro meses de prisión".
"ARTÍCULO 297
TER. (Interceptación ilícita).- El que, sin autorización y sin justa causa,
intercepte, interrumpa o interfiera por medios técnicos datos informáticos en
transmisiones no públicas dirigidas a un sistema informático, sean estas
originadas en un sistema informático o efectuadas dentro del mismo, incluyendo
las emisiones electromagnéticas provenientes de un sistema informático que
transporte estos datos, será castigado con de seis a veinticuatro meses de
prisión".
"ARTÍCULO 297
QUATER. (Vulneración de datos).- El que, mediante la utilización de cualquier
medio telemático, acceda, se apodere, utilice o modifique datos confidenciales
de terceros, registrados en soportes digitales o cualquier otro tipo de archivo
o registro público o privado, sin autorización de su titular será castigado con
de seis a veinticuatro meses de prisión.
El que, habiendo
formado parte o no de su descubrimiento, difunda, revele o ceda a terceras
personas los datos, hechos o imágenes registrados en soportes digitales será
castigado con un año de prisión a cuatro años de penitenciaría.
Constituye
circunstancia agravante especial de este delito:
A) Que sea cometido
por personas encargadas de custodiar los soportes informáticos, electrónicos,
registros o archivos digitales.
B) Que el sujeto
pasivo sea un menor de edad o un adulto declarado judicialmente incapaz.
C) Que se cometa
con una finalidad lucrativa.
D) Que sea cometido
en afectación de datos personales tutelados por la Ley Nº 18.331, de 11 de
agosto de 2008.
E) Que se trate de datos estatales o
vinculados a infraestructuras críticas".
Artículo 7°.-
Agréganse al Capítulo III del Título XIII del Libro II del Código Penal los
siguientes artículos:
"ARTÍCULO 347
TER. (Suplantación de identidad).- El que usurpe, adopte, cree o se apropie de
la identidad de otra persona física o jurídica, valiéndose de cualquier medio,
herramienta tecnológica o sistema informático, y obtenga datos accediendo a
redes sociales, casillas de correo electrónico, cuentas bancarias, medios de
pago, plataformas digitales o cualquier credencial digital o factor de
autenticación, con la intención de dañar a su legítimo titular, será castigado
con de un año de prisión a seis años de penitenciaría. No constituirá
suplantación de identidad la creación de nuevos perfiles destinados
exclusivamente a la parodia".
"ARTÍCULO 348
TER. (Circunstancias agravantes especiales).- Serán circunstancias agravantes
especiales del delito de suplantación de identidad:
A) Que se cometa
con la finalidad de divulgar la información a la cual se accedió.
B) Que se
modifiquen, supriman o adulteren datos de la víctima, o utilicen las credenciales
para vincularse con terceras personas físicas o jurídicas.
C) Que se
adquieran, mediante el uso indebido de sus datos personales, productos o
mercaderías, o contraten servicios a través de medios telemáticos en nombre de
la víctima.
D) Que se suplante
la identidad de un organismo estatal u otro vinculado a infraestructuras
críticas.
E) Que exista
concurrencia con extorsión a la víctima, sus familiares o terceras personas
vinculadas para la obtención de activos o cualquier prestación en especie a los
efectos de recuperar las referidas credenciales”.
Artículo 8°.-
Agrégase al Capítulo VI del Título XIII del Libro II del Código Penal el
siguiente artículo:
"ARTÍCULO 358
QUINQUIES. (Abuso de los dispositivos).- El que, de forma ilegítima, produzca,
adquiera, importe, comercialice o facilite a terceros programas, sistemas
informáticos o telemáticos de cualquier índole, credenciales o contraseñas de
acceso a datos informáticos o sistemas de información, destinados
inequívocamente a la comisión de un delito, será castigado con de seis a
veinticuatro meses de prisión".
CAPÍTULO II
MEDIDAS EDUCATIVAS
Artículo 9º.
(Campaña nacional educativa).- El Poder Ejecutivo promoverá una campaña
nacional educativa sobre el manejo de finanzas personales y ciberseguridad en
los centros educativos dependientes de la Dirección General de Educación
Secundaria y de la Dirección General de Educación Técnico‑Profesional de la
Administración Nacional de Educación Pública, que deberá comprender, además, a
beneficiarios de prestaciones servidas por el Banco de Previsión Social, Ceibal
y los programas del Instituto Nacional de Empleo y Formación Profesional.
Los conceptos por
desarrollar deberán revisarse y actualizarse periódicamente, acompasando los
avances tecnológicos, y serán los siguientes:
A) Medios de pago (dinero electrónico,
diferencia entre subtipos de tarjetas, realización de operaciones en línea y
cualquier otro medio de pago electrónico que pueda desarrollarse).
B) Cuentas bancarias: cajas de ahorro y cuentas
corrientes (diferencias entre ambas y vinculación a la Ley Nº 19.210, de 29 de
abril de 2014, y al Decreto‑Ley Nº 14.701, de 12 de setiembre de 1977).
C) Acceso al financiamiento: préstamos (análisis
de tasas de interés, plazos, cálculo de cuota contra ingresos mensuales,
consecuencias de incumplimientos).
D) Instituciones financieras: diferencia entre
agentes clásicos y nuevos participantes (plataformas de comercio electrónico y
mensajería instantánea, entre otras).
E) Planificación presupuestaria: relación ahorro
y consumo, costo del dinero.
F) Antecedentes crediticios: Clearing de
Informes, Central de Riesgos Crediticios del Banco Central del Uruguay e
implicancias e impacto en acceso al crédito.
G) Intangibilidad del salario (límite para el
endeudamiento, pago de prestaciones alimenticias y orden de deducciones).
H) Mecanismos de defensa del usuario financiero.
I) Canales digitales y riesgos derivados de su
uso inadecuado.
J)
Ejercicio de derechos en el entorno digital y aplicación de conceptos de
autorregulación y comportamiento ético y empático en el ciberespacio.
K) Fraudes tendientes al acceso de datos
personales y financieros, que se determinan según las siguientes definiciones:
1) phishing: es la
suplantación de identidad, técnica de ingeniería social que usan los
ciberdelincuentes para obtener información confidencial de los usuarios de
forma fraudulenta y así apropiarse de la identidad de esas personas;
2) vishing: es un
tipo de estafa de ingeniería social por teléfono en la que, a través de una
llamada, se suplanta la identidad de una empresa, organización o persona de
confianza con el fin de obtener información personal y sensible de la víctima;
3) smishing: es una técnica que consiste en el
envío de un mensaje de texto por parte de un ciberdelincuente a un usuario, en
el que simula ser una entidad legítima (red social, banco, institución pública
u otra) con el objetivo de robarle información privada o causarle un perjuicio
económico;
4) malware: hace
referencia al software malicioso que afecta los intereses del usuario,
entendiéndose por software el conjunto de programas y rutinas que permiten a
una computadora realizar determinadas tareas;
5) Troyano: es un
programa que instala otros programas, a menudo malware, sin consentimento.
6) ingeniería social: son las diferentes
técnicas de manipulación que usan los ciberdelincuentes para obtener
información confidencial de los usuarios, engañando a sus víctimas al hacerse
pasar por otra persona.
L) Buenas prácticas
para el uso de canales digitales (riesgos asociados a su utilización por parte
de menores de edad y relevancia de la supervisión).
Asimismo, deberá
asegurarse la igualdad en el acceso a las tecnologías de la información y de la
comunicación, así como la equidad de género en su uso y acceso, por lo que las
entidades competentes deberán desarrollar campañas de seguridad digital en todo
el territorio nacional con el fin de generar espacios de formación,
capacitación, sociabilización y accesibilidad en las tecnologías de la
información y la educación de forma equitativa para hombres y mujeres, e
igualitaria en materia de generaciones y discapacidad.
CAPÍTULO III
REGISTRO DE
CIBERDELINCUENTES
Artículo 10.
(Registro de antecedentes).- Facúltase a las instituciones de intermediación
financiera y a las entidades emisoras de dinero electrónico a crear registros
interinstitucionales que contengan datos para identificar, gestionar y prevenir
transacciones no consentidas y operativas fraudulentas, y tomar medidas
preventivas conjuntas sobre los beneficiarios de estas.
A los solos efectos de compartir entre sí la
información a que refiere el inciso anterior, no aplicarán a las instituciones
y entidades mencionadas las limitaciones impuestas por el Decreto-Ley Nº
15.322, de 17 de setiembre de 1982, quedando dichas instituciones y entidades
facultadas quedarán para compartir sus registros con las autoridades
jurisdiccionales a fin de radicar denuncias y realizar gestiones tendientes a
prevenir y mitigar los ciberdelitos tipificados en la presente ley.
CAPÍTULO IV
PREVENCIÓN DE
TRANSACCIONES NO CONSENTIDAS
Artículo 11.
(Inmovilización de fondos).- Facúltase a las instituciones de intermediación
financiera y a las entidades emisoras de dinero electrónico a no ejecutar
cualquier tipo de orden de retiro o transferencia de activos brindada por
personas físicas o jurídicas titulares o apoderados de cuentas cuando hayan
tomado conocimiento, por cualquier medio de comunicación fehaciente, de que en
las cuentas referidas hubieran ingresaron fondos de terceros a través de
transacciones que les hayan sido declaradas como desconocidas y no autorizadas
por el titular de las cuentas de origen de los fondos transferidos. Lo
dispuesto comprende las instrucciones efectuadas directamente por los titulares
de la cuenta, así como las impartidas por sus representantes o apoderados a
cualquier título.
La inmovilización
de fondos referida en el inciso anterior se aplicará a las cuentas
correspondientes y comprenderá los saldos actuales e ingresos futuros de fondos
o valores a dichas cuentas. En cualquier caso, la inmovilización de fondos
alcanzará hasta el límite del monto de las transacciones denunciadas como
desconocidas y no autorizadas por el titular de las cuentas de origen de los
fondos transferidos. Las instituciones de intermediación financiera y las
entidades emisoras de dinero electrónico deberán ejecutar toda orden que exceda
dicho límite, salvo que la misma no cumpla con los requisitos legales o
contractuales.
La inmovilización
de los fondos, consecuentemente con lo dispuesto en los incisos anteriores,
deberá ser comunicada dentro del plazo de un día hábil al Banco Central del
Uruguay (BCU), el que podrá solicitar información adicional a las instituciones
de intermediación financiera y a las entidades emisoras de dinero electrónico
donde se encuentren radicadas las cuentas de origen y destino vinculadas a las
transacciones denunciadas como desconocidas y no autorizadas y, previo análisis
de la información a la que acceda, podrá instruir el dejar sin efecto la
inmovilización de fondos.
La inmovilización
de fondos deberá dejarse sin efecto y comunicarse al BCU cuando ocurra alguna
de las siguientes situaciones:
A) La institución
de intermediación financiera o la entidad emisora de dinero electrónico donde
se encuentre radicada la cuenta afectada no haya recibido, dentro del plazo de
cuarenta y ocho horas de efectuada la inmovilización, la constancia de la
denuncia presentada por el titular de la cuenta origen de los fondos ante la
autoridad competente (Ministerio del Interior o Fiscalía General de la Nación).
B) La institución
de intermediación financiera o la entidad emisora de dinero electrónico donde
se encuentre radicada la cuenta afectada no haya recibido, dentro de los
treinta días siguientes a la recepción de la constancia de la denuncia referida
en el literal A), una orden jurisdiccional que confirme la medida de
inmovilización.
C) La institución
de intermediación financiera o la entidad emisora de dinero electrónico donde
se encuentre radicada la cuenta afectada por inmovilización reciba de cualquier
autoridad jurisdiccional competente la instrucción de dejar sin efecto la
inmovilización referida.
D) La institución
de intermediación financiera o la entidad emisora de dinero electrónico donde
se encuentre radicada la cuenta afectada por inmovilización reciba del titular
de la misma elementos de convicción suficiente o documentación fehaciente que,
a su exclusivo criterio, indiquen que la transacción denunciada fue efectivamente
autorizada por el titular de la cuenta de origen.
Las instituciones
de intermediación financiera y las entidades emisoras de dinero electrónico
podrán radicar o ampliar denuncias ante las autoridades competentes y realizar
gestiones interinstitucionales, y quedarán facultadas para brindar todos los
datos vinculados a las operaciones no consentidas.
Sala de Sesiones de
la Cámara de Senadores, en Montevideo, a 14 de agosto de 2024.
