Adding insult to injury: ¿responsabilidad penal de la entidad ciberatacada por los daños generados por el ataque?

La reciente publicación del Anteproyecto de Ley de Ciberseguridad, por el que se pretende transponer al derecho español la Directiva NIS 2, promete ampliar tanto el espectro de entidades obligadas a adoptar medidas adecuadas para la prevención de incidentes en este ámbito como la intensidad de estos deberes y de las sanciones previstas como consecuencia de su incumplimiento. Con este telón de fondo, el presente trabajo pretende responder a la pregunta por la posible responsabilidad penal derivada del incumplimiento imprudente de las obligaciones de ciberseguridad en un contexto concreto: el de la materialización de un ciberataque con consecuencias perjudiciales. Se defiende que la respuesta a esta pregunta ha de ser negativa, dadas la escasez de tipos penales aplicables (argumento de la tipicidad), la ausencia de los requisitos previstos en el artículo 11 del Código Penal (argumento de la comisión por omisión) y la impunidad de la participación imprudente (argumento de la participación).

Descargar pdf