En la mayoría de estos timos, nos encontramos ante delitos de estafa, de acuerdo con el artículo 248 del Código Penal “Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.”

Este engaño es cometido a través de diferentes formas de engaño, pero siendo una de las más recurrentes el phishing. Este concepto, puede definirse, coloquialmente, como la »pesca» de datos, claves, que permiten el acceso a cuentas titularidad de un tercero, causándole así un grave perjuicio o daño patrimonial. El delito de estafa informática, del cual el phishing es una de sus modalidades más extendidas, viene regulado en el art. 249.1.a) del CP.

Existen dos supuestos sobre los que se recientemente se pronuncia la jurisprudencia, que merecen ser comentados, tanto por su actualidad como por su interpretación jurídica.

El primero de ellos, se trata de la responsabilidad de la entidad bancaria cuando el estafador ha suplantado la identidad de la misma y ha conseguido estafar a la víctima, cliente del banco. Especialmente relevante es la sentencia de la Audiencia Provincial de Pontevedra, Sección 6ª, Sentencia 539/2021 de 21 Dic. 2021, Rec. 346/2021, la cual concluye que no existe negligencia grave del cliente por introducir las credenciales de uso personal en una página que imitaba las del sitio oficial de la entidad bancaria emisora de su tarjeta ya que esta incumplió sus deberes de diligencia en la autenticación de las operaciones de pago. La entidad bancaria no prueba disponer de mecanismo antiphising ni haber puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar su tarjeta en una aplicación de pago del terminal telefónico de un tercero. Por ello, se estima el recurso y la responsabilidad de la entidad, obligándola a devolver las cantidades sustraídas.

El segundo de los supuestos, es cuando en la estafa interviene un “mulero” o tercero para recibir el dinero, personas que, a cambio de una comisión, reciben en una cuenta bancaria de su titularidad el dinero que se ha obtenido por medio de la estafa informática y que entregan al estafador o autor intelectual de la estafa. Es habitual que, se ofrezca actuar como mulero a gente muy joven, con escasos conocimientos y conciencia de la tipicidad de la conducta, quienes a cambio de dinero fácil sucumben a intervenir. En ocasiones también existen engaño y/o coacciones para forzar su intervención, ya que el titular de la cuenta, es el más expuesto y fácilmente identificable. En cuanto a la responsabilidad penal de estas personas la jurisprudencia no es unánime, y califica estas conductas de 3 formas:

Como cooperador necesario de un delito de estafa informática en virtud del art. 28.b) del CP. Dentro del delito de blanqueo de capitales previsto en modalidad imprudente del art. 301 del CP; o como comisión de un delito de receptación del art. 298 del CP.

Destaca la Sentencia de la Audiencia Provincial de Cantabria n.º 40/2022, de 1 de febrero: “No obstante, de la jurisprudencia que hasta el momento parte de la Sala 2ª del Tribunal Supremo sobre el delito de phishing, podemos extraer grosso modo las conclusiones siguientes: 1ª) Si el «mulero» interviene y participa dolosamente en el delito cuya secuencia inicial —la obtención de las claves secretas y la transferencia del dinero de esas cuentas a la abierta por el «mulero»— ejecuta un tercero, pero a la que el «mulero» coopera de forma decisiva, cometería delito de estafa.

2ª) Si el «mulero» no interviene ni participa dolosamente en esas primeras secuencias iniciales, limitándose a abrir una cuenta a su nombre y poner ésta a disposición de quienes sí lo hicieron, para acto seguido transferir el producto del dinero en ella ingresado a cuentas de terceros, estaríamos ante un delito de blanqueo de capitales, bien en su modalidad dolosa, bien en su modalidad imprudente, tipificación ésta más ajustada que la manejada por algún sector de la doctrina relativa al delito de receptación.”.