Por Alfredo Sánchez Franco
De antemano aclaro al lector que en esta ocasión:
En lo medular este breve ensayo está enfocado de manera pragmática al texto de algunos de los delitos contenidos en la “Ley para regular las Instituciones de Tecnología Financiera” publicada el 09 de marzo del 2018 en el Diario Oficial de la Federación (en lo sucesivo como “Ley Fintech”).
Dado el tema objeto de análisis y mis opiniones que más adelante expongo, intencionalmente no propongo un análisis dogmático exhaustivo con apartados de Derecho Comparado Internacional o Interestatal como en otros trabajos de investigación, ni abordo los delitos de Lavado de Dinero y Financiamiento al Terrorismo.
Al partir de la Ley Fintech no incluyo a las instituciones no consideradas como ITF en dicha ley pero que operan en el universo Fintech y; con el propósito de no incurrir en repeticiones innecesarias, cito enlaces electrónicos (links) que dan acceso a otros dos trabajos relacionados cuyos contenidos complementan mis observaciones.
Han transcurrido poco más de 17 años desde que en enero del 2004 dediqué un artículo a los delitos informáticos que desde entonces podrían tener lugar en el escenario virtual del internet (con las herramientas virtuales o equipos periféricos que lo complementan) y a la necesidad de probar de manera objetiva tales hechos con las respectivas pruebas periciales tecnológicas.
Como era de esperarse al paso de los años y como producto del ingenio humano la tecnología ha seguido su evolución, mutando sin interrupción, y quedando integrada también a las actividades económicas y financieras de las personas físicas y entes jurídicos, dando origen a nivel internacional al surgimiento disruptivo del sector o “mundo Fintech” con las denominadas en México “Instituciones de Tecnología Financiera” (en lo sucesivo como “ITF”) en la Ley Fintech. Así, tenemos un texto que sirve como punto de partida, pero que como cualquier ordenamiento legal deberá ser actualizado, ampliado y revolucionado para regular y anticipar hechos que de manera particular podrían acontecer en el mundo Fintech.
Como idea general es claro que, el mundo o universo Fintech (como resultado de las actividades financieras y la tecnología o Financial Technology) es muy amplio (como género) y en este gran sector, también operan los Bancos, Casas de Bolsa, Arrendadoras Financieras, Aseguradoras, Agregadoras de Pago y todo aquel servicio colateral que complemente a las ITF, pero que en México por limitantes impuestas en la propia Ley Fintech -al menos hasta la fecha- sólo se catalogan como ITF (como especie) a las Instituciones de fondos de pago electrónico, de financiamiento colectivo y de modelos novedosos. Por lo señalado en estos dos párrafos, estimo que al 25 de agosto del 2021 y en lato sensu los delitos Fintech son delitos informáticos que acontecen en el universo Fintech.
De la lectura inicial que se lleve a cabo sobre el capítulo de delitos en la Ley Fintech tenemos que su texto resulta deficiente y limitado; ya que la mezcla de actividades financieras y la tecnología –per se-, dan como resultado nuevas modalidades muy particulares, más complejas, no presenciales y en constante evolución. Hoy estamos siendo testigos de formatos digitales, blockchain, tokens, smart contracts, realidad virtual, tecnologías emergentes o modelos novedosos, bajo las cuales podrían tener lugar ciertos comportamientos que:
- Ya están descritos como delitos en el listado de la Ley Fintech.
- Otros que no figuran en dicho catálogo pero que por el contenido de los artículos 4 fracciones XII, XVI, XVII y XVIII, 10, 96 y 118 de la Ley Fintech y del Art. 400 bis párrafo quinto del Código Penal Federal, este último al referirse a las “Instituciones que integran el Sistema Financiero”, los hechos e instrumentos tecnológicos utilizados en su comisión (dependiendo de las circunstancias de tiempo, modo y lugar de cada caso en concreto) podrían encuadrar en los “delitos informáticos” descritos en los artículos 211 bis 4 al 211 bis 7 del Código Penal Federal o quedar subsumidos en diversos delitos como robo, fraude, administración fraudulenta, abuso de confianza, etc., contemplados en dicho ordenamiento; o en otras leyes especiales y en ambos supuestos con la posible y consecuente (mal llamada) responsabilidad penal para las Personas Morales, su Órgano de Administración, sus accionistas y/o su Compliance Officer u Oficial de Cumplimiento.
De la llana lectura que se efectúe sobre los preceptos invocados en este punto resulta una aparente sobreregulación sobre el tema de delitos informáticos, pero al analizarlos surgen diferencias y omisiones que deberían versar en cuanto a la calidad específica del sujeto pasivo-ofendido-víctima, el acto o comportamiento prohibido por la norma y el objeto material o digital que fue o no dañado, alterado o sustituido, utilizado, obtenido, retenido, sustraído o robado por el sujeto activo.
- Por excepción, aquellos comportamientos que podrían acontecer en el mundo Fintech pero que todavía al día de hoy no han sido considerados a la letra por el legislador para su regulación y sanción penal, como por ejemplo por:
- a) La “conversión” de dinero a activos virtuales, bitcoin o criptomonedas o viceversa y su “uso” para proyectos u operaciones no contratadas por los dueños de tales bienes.
- b) El uso temporal (“jineteo”) de dinero, bitcoins y criptomonedas o activos virtuales por conversión no autorizada y uso parcial o total, temporal o definitivo, aun cuando sean restituidos fraudulentamente para la obtención de ganancias no informadas a sus propietarios o titulares.
- c) La “fractura electrónica” de base general de datos o registros matriz y/o aplicaciones móviles electrónicas o virtuales, registros de seguridad digitales o virtuales tipo blockchain que soporten la existencia de y/o el acceso a dinero, bitcoins y criptomonedas o activos virtuales, para acceder a dichos bienes.
- d) La clonación fraudulenta o generación apócrifa de registros digitales gr. tipo blockchain (registros fork como se les conoce en el cryptomining o minería) que soporten la existencia irreal de operaciones, dinero o activos virtuales propiedad de terceros (en perjuicio de los propietarios, solicitantes o inversionistas) lo que además podría implicar a una institución que opere en el mundo Fintech.
- e) La generación de “informes fraudulentos” por un doble control o registro electrónico o digital interno como sucede de manera equiparada ante el Sistema de Administración Tributaria (SAT) con una “doble contabilidad” para evitar “reales efectos fiscales” o ante el Instituto Mexicano del Seguro Social (IMSS) para ocultar “reales efectos parafiscales”, lo que permitiría anticipar e identificar el posible mal uso de otras tecnologías emergentes más avanzadas que el conocido blockchain usado para la creación de bitcoin así como la fractura de la seguridad digital de nuevas herramientas digitales-virtuales como las utilizadas para la elaboración de diversos productos digitales como el Certificado de Vacunación COVID-19 (Vaccination Certificate COVID-19) o los pasaportes digitales que por su propia naturaleza pudiesen contener la identidad personal, datos biométricos, datos sensibles o confidenciales de sus titulares.
A fin de concluir el análisis práctico y directo sobre el texto utilizado en el capítulo de delitos de la Ley Fintech considero que:
Primero. Resulta equivocado recalcar innecesariamente una ilicitud que se sobreentiende propia de un hecho ya contemplado como delito al usar en el texto “A quien en forma indebida…” (Art. 119 1er párrafo). Al eliminar dicha incongruencia, carece de relevancia penal todo el artículo citado.
Segundo. Aunque pareciera obvio bajo una lectura superficial y bajo un contexto de valoración coloquial o cultural preguntar el significado de los vocablos “desvío” o “…para cualquier fin distinto al que se haya pactado” (Art. 121 1er párrafo) y “o de cualquier otra forma” (Art. 119 1er párrafo), tenemos que para fines de valoración jurídica penal resulta vago y oscuro el utilizar dichos conceptos sin que se defina qué debe entenderse por tales vocablos ni sus alcances dado que tampoco aparecen en el apartado de definiciones en el artículo 4 ni pueden ser aclarados en una norma de inferior jerarquía, quedando en materia penal su riesgoso complemento al arbitrio personal de cada autoridad investigadora o judicial que conozca de cada asunto, por lo que en la formulación de dichos tipos penales no se colma con los principios de exacta aplicación de la ley en materia penal, de convencionalidad, de legalidad y de seguridad jurídica; ya que no permite al destinatario de la norma (el gobernado) conocer con anticipación que está prohibido por las normas penales fintech. Dicho en otras palabras, en mi opinión resultan inconstitucionales dichos tipos penales.
Tercero. Con independencia a los puntos anteriores, la incongruencia para solo admitir a los delitos Fintech como “delitos dolosos” (Art. 118) pero si considerar como “conducta grave” el “desvío” de dinero o activos virtuales que son propiedad ajena y fijar la aplicación de una multa económica (Artículos 103 Fr. VII inciso C y 105 fracciones I, II y III), cuando dichos actos -de facto- implicaría la “disposición”, “robo” o “administración fraudulenta” de bienes ajenos, usados para fines no autorizados ni contratados por sus dueños, es decir, constituyen actos que afectan el patrimonio y que además, cuando así suceda, pudiesen generar ganancias ilícitas o lucro indebido a favor de las ITF, su órgano de administración o accionistas.
Cuarto. Pareciera duplicado el objeto de regulación del Art. 119 (enfocado a los bienes objeto de protección) con el del Art. 133 (que versa sobre los medios usados para allegarse de dichos bienes). Subsana el legislador usando “al que sin autorización obtenga”, pero agrega, “desvíe recursos” y “recursos” en las 3 fracciones de dicho precepto y con distintas penalidades aplicables.
Aquí insisto en mis comentarios en el punto 2 anterior sobre la necesidad de sus definiciones jurídicas y alcances a fin de colmar los principios de exacta aplicación de la ley penal, de convencionalidad, de legalidad y seguridad jurídica.
En virtud de estar ante un tema sui generis y en constante mutación porque esa es su tendencia y considero que en algunos años más adelante, sin perjuicio de los avisos o informes periódicos que deban formular de manera física o electrónica, las instituciones Fintech ante las autoridades u organismos competentes, surgirá la posible supervisión mediante visitas o auditorías de rutina (anuales o aleatorias) en línea para revisar una “base de datos especial” que contenga la información básica obligatoria, salvo prueba en contrario, con el cumplimiento de obligaciones (de administración, inversión y/o de informes) a cargo de las instituciones Fintech, como sucede de manera cotidiana y en vía de equiparación informativa con las revisiones, todavía presenciales, llevadas a cabo por los Colegios de Notarios, con los Notarios Públicos o por la Secretaría de Economía con los Corredores Públicos; y además, que cuando resulte necesario ante delitos Fintech de relevancia internacional, dicha información también será compartida entre países aliados para combatir el Lavado de Dinero y Financiamiento al Terrorismo.
Considero importantes este tipo de precisiones para que se permita mayor transparencia en el funcionamiento interno de las instituciones Fintech, mayor seguridad en la infraestructura digital interna y no presencial (online) que usan para la prestación de sus servicios, así como en la tenencia, custodia, administración y/o integridad del dinero o activos virtuales de sus clientes. Y en caso extremo, para facilitar la identificación de “delitos Fintech” con la obtención de las evidencias informáticas, digitales o virtuales que generaron (para asegurar la identificación, conservación, trazabilidad y custodia de pruebas idóneas) para que en su conjunto, como herramientas de trabajo permitan al estudioso del Derecho o a las autoridades competentes documentar y acreditar la existencia de un “delito Fintech” en perjuicio de los inversionistas, solicitantes, propietarios o titulares de dinero, bitcoins y criptomonedas u otros activos virtuales, incluso cuando así proceda en agravio de las propias instituciones Fintech y/o de sus accionistas.
Alfredo Sánchez Franco
Abogado Corporativo con más de 15 años de experiencia profesional en Despachos de Abogados, Empresas y Grupos Corporativos, practicando Derecho Corporativo, Derecho Civil, Derecho Mercantil y Derecho Penal. Asesora a Personas Físicas, Empresas, instituciones bancarias, financieras, de arrendamiento financiero y aseguradoras en temas de Derecho Corporativo, Derecho Inmobiliario, etc.