Contenido

• Ley 20.393

• Que sanciona la Ley 20.393

• Ley de Delitos Informáticos

• Delitos
• Responsabilidad Penal de la Persona Jurídica
• Riesgo del delito
• Medidas de control
Ley 20.393 – Criterio General
Artículo 3º

Atribución de responsabilidad penal. Las personas jurídicas serán responsables de

los delitos señalados en el artículo 1° que fueren cometidos directa e
inmediatamente en su interés o para su provecho, por sus dueños, controladores,
responsables, ejecutivos principales, representantes o quienes realicen actividades
de administración y supervisión, siempre que la comisión del delito fuere
consecuencia del incumplimiento, por parte de ésta, de los deberes de dirección
y supervisión.

Serán también responsables las personas jurídicas por los delitos cometidos por
personas naturales que estén bajo la dirección o supervisión directa de alguno
de los sujetos mencionados en el inciso anterior.
Ley 20.393 – Cuando aplica
Artículo 3º

Se considerará que los deberes de dirección y supervisión se han cumplido

cuando, con anterioridad a la comisión del delito, la persona jurídica hubiere
adoptado e implementado modelos de organización, administración y supervisión
para prevenir delitos como el cometido, conforme a lo dispuesto en el artículo
siguiente.

Las personas jurídicas no serán responsables en los casos que las personas
naturales indicadas en los incisos anteriores, hubieren cometido el delito
exclusivamente en ventaja propia o a favor de un tercero.
Ley 20.393
MPD Sistema de Prevención
Artículo 4º
Designación de un EPD Identificar riesgos en los
Modelo de prevención procesos
de los delitos. Para los Dependiente de la máxima
efectos previstos en el autoridad Medidas de prevención
inciso tercero
del artículo anterios, las El EPD debe contar con Auditoría de recursos
personas jurídicas autonomía financieros
podrán adoptar el
modelo de prevención a Medios y facultades: Sanciones definidas
que allí se hace • Recursos y medios
referencia, el que materiales Canal de denuncia
deberá contener a lo • Acceso a la máxima
menos los siguientes autoridad Supervisión del sistema y
elementos: • Un sistema de prevención actualización permanente
 Ley 20.393 - Delitos
Ley 21.459 - Artículo 21.- Modifícase la ley N° 20.393, que
establece la responsabilidad penal de las personas
• Cohecho jurídicas en los delitos de lavado de activos,
financiamiento del terrorismo y delitos de cohecho que
• Lavado de Activo indica, en el siguiente sentido:
• Financiamiento de Terrorismo 1) Intercálase, en el inciso primero del artículo 1, a
• Receptación continuación de la expresión “Nº 18.314”, la expresión “,
en el Título I de la ley que sanciona delitos informáticos”.
• Negociación incompatible
• Apropiación indebida • Ataque a la integridad de un sistema informático.
• Soborno entre particulares • Acceso ilícito.
• Administración desleal • Interceptación ilícita.
• Ley de Pesca (4) • Ataque a la integridad de los datos informáticos.

• Covid (2) • Falsificación informática.

• Receptación de datos informáticos.
• Tráfico de inmigrantes (20 de abril de 2021)
• Fraude informático.
• Control de armas
• Abuso de los dispositivos.
Delito: Ataque a la integridad
de un sistema informático
Riesgos:
• Uso de infraestructura TI de
la compañía para generar
ataques a sistema de terceros
• Intervenir o dañar sistemas
informáticos de terceros para
obtener ventajas de negocio
• El que obstaculice o impida el normal funcionamiento,
total o parcial, de un sistema informático, a través de la
introducción, transmisión, daño, deterioro, alteración o
supresión de los datos informáticos, será castigado con
la pena de presidio menor en su grado medio a máximo.
Controles:
• Monitoreo de actividades inusuales en redes y sistemas
de la Compañía
• Separación de ambientes y personal que interviene
sistemas y quienes los operan
• Base de configuración de sistemas con análisis de
integridad periódicos
• Proceso de prueba de código, funcionalidad e
integración previo a instalar nuevas aplicaciones de
terceros y desarrolladas internamente
Delito: Acceso ilícito
Riesgos:
• Uso de infraestructura TI de la
compañía para obtener acceso a
datos de terceros no autorizado
• Acceso indebido a datos de
terceros (competidor, proveedor,
cliente, etc.) para obtener ventajas
de negocio
• El que, sin autorización o excediendo la
autorización que posea y superando barreras
técnicas o medidas tecnológicas de seguridad,
acceda a un sistema informático.
Controles:
• Niveles de autorización para el otorgamiento de permisos a datos o
sistemas
• Revisión periódica de integridad de usuarios y permisos otorgados a
usuarios del sistema
• Monitoreo de actividades inusuales en redes y sistemas de la compañía
• Inventario de datos de tercero, verificando su origen y permiso
para su uso
Delito: Interceptación
ilícita
Riesgos:
• Interceptar comunicaciones de
terceros no autorizada para
obtener ventajas de negocio
• Interceptar comunicaciones del
personal sin permisos o
autorización establecida por ley
El que indebidamente intercepte, interrumpa o interfiera, por medios
técnicos, la transmisión no pública de información en un sistema
informático o entre dos o más de aquellos
Controles
• Verificar que los dispositivos para entrega de personal, clientes o
proveedores se encuentren libres de código ilegal
• Monitoreo de actividades inusuales en redes y sistemas de la
compañía
• Segregar el acceso a datos de correos electrónicos, comunicaciones
internas y otros medios de comunicación solo a cuentas para uso en
caso de contingencia
• Verificar periódicamente las actividades realizadas por usuarios con
privilegios para acceder a datos de comunicaciones y acceso a las
comunicaciones
Delito: Ataque a la integridad
de los datos informáticos
Riesgos:
• Uso de infraestructura TI de
la compañìa para ataques a
datos de terceros
• Intervenir o dañar datos
informáticos de terceros para
obtener ventajas de negocio
El que indebidamente altere, dañe o suprima datos informáticos
Controles
• Monitoreo de actividades inusuales en redes y sistemas de la
compañía
• Tráfico dirigido a competidores
• Tráfico dirigido a proveedores o clientes fuera de parámetros normales
• Tráfico a terceros inusuales
• Separación de ambientes y personal que interviene sistemas y quienes
los operan
• Base de configuración de sistemas con análisis de integridad periódicos
• Proceso de prueba de código, funcionalidad e integración previo a
instalar nuevas aplicaciones de terceros y desarrolladas internamente
Delito: Falsificación El que indebidamente introduzca, altere, dañe o suprima datos informáticos
con la intención de que sean tomados como auténticos o utilizados para
informática generar documentos auténticos

Controles

Riesgos: • Validación de documentos electrónicos recibidos de terceros con

fuentes públicas
• Generador de códigos de autenticación de documentos electrónicos
• Adulterar documentos generados
electrónicos para obtener • Segregación de accesos a ambientes productivos y desarrollo
ventajas de negocio o • Validación de documentos previo a su utilización en fiscalizaciones,
evitar perjuicios presentaciones a terceros o en procesos judiciales
Delito: Receptación de datos
informáticos
Riesgos:
• Adquirir bases de datos de
origen ilícito
• Almacenar datos de terceros
obtenidos de forma ilegal
El que conociendo su origen o no pudiendo menos que conocerlo
comercialice, transfiera o almacene con el mismo objeto u otro fin ilícito, a
cualquier título, datos informáticos, provenientes de la realización de las
conductas descritas en los artículos 2° (Acceso ilícito) , 3° (Interceptación
ilícita) y 5° (Ataque a la integridad de los datos informáticos)
Controles
• Solicitar certificado de origen de datos adquiridos a terceros,
verificando que el proveedor posee las autorizaciones para la venta de
los datos
• Cláusula contractual que establezca que los datos que son entregados
por un tercero para ser almacenados o utilizados provienen de fuentes
lícitas.
• Niveles de autorización que incluya al área legal para la adquisición de
datos de terceros
• Inventario de datos de tercero, verificando su origen y permiso para su
uso
• Verificar consistencia de giro del proveedor con los servicios o
productos que entrega

Delito: Fraude informático
Riesgos:
• Adquirir bases de datos de
origen ilícito
• Almacenar datos de terceros
obtenidos de forma ilegal
El que, causando perjuicio a otro, con la finalidad de obtener un beneficio
económico para sí o para un tercero, manipule un sistema informático,
mediante la introducción, alteración, daño o supresión de datos
informáticos o a través de cualquier interferencia en el funcionamiento de
un sistema informático
Controles
• Control de versiones con validación de códigos probados y disponibles
en operación
• Monitoreo de operaciones inusuales en ambientes de operación TI
• Segregación de accesos a ambientes productivos y desarrollo
• Restricción de uso de cuentas de administración y su monitoreo
continuo de su utilización

Delito: Abuso de los dispositivos
Riesgos:
• Entrega de dispositivos
computacionales a terceros
intervenidos para cometer delitos
• Intervenir dispositivos o
programas con el objeto de
cometer delitos
El que para la perpetración de los delitos previstos en los artículos 1° a 4°
(Ataque a la integridad de un sistema informático, Acceso ilícito,
Interceptación ilícita; Ataque a la integridad de los datos informáticos) de
esta ley o de las conductas señaladas en el artículo 7° de la ley N° 20.009
(uso fraudulento de tarjetas de pago y transacciones electrónicas),
entregare u obtuviere para su utilización, importare, difundiera o realizare
otra forma de puesta a disposición uno o más dispositivos, programas
computacionales, contraseñas, códigos de seguridad o de acceso u otros
datos similares, creados o adaptados principalmente para la perpetración de
dichos delitos
Controles
• Verificar que los dispositivos disponible para entrega a clientes,
empleados o proveedores se encuentren libres de código ilegal
• Segregar acceso a dispositivos disponibles para la venta solo a personal
autorizado
• Uso de sellos u otros medios para limitar el acceso no autorizado a
dispositivos para la venta
Controles Directivos
Controles Directivos

• Política de seguridad de la información

• Política de protección de datos
• Procedimientos o protocolos de operación para
actividades de:
• Desarrollo de sistemas y software
• Operaciones TI
• Comunicaciones TI
• Administración de bases de datos
• Administración de redes
• Actualizar manual de prevención de delitos
• Actualizar código de ética y conducta
• Actualizar reglamento interno
• Políticas y procedimientos comerciales en los casos
que el giro del negocio esté relacionado con servicios
TI, dispositivos computacionales, etc.
Controles Directivos

• Capacitación a todo el personal sobre los nuevos

delitos
• Capacitación específica a personal expuesto a riesgos
de los nuevos delitos
• Actualizar canales de denuncia incorporando los
nuevos delitos
• Capacitar al EPD en aspectos computacionales,
incorporación de profesionales técnicos
• Establecer comunicación permanente con el CISO (Sin
afectar autonomía). El CISO es objeto de auditoría y
control de compliance
• Procedimientos para la adquisición de bases de datos
• Procedimientos para el uso de datos propios
Anexo: Ley 20.009 artículo 7º

Ley 20.009
ESTABLECE UN RÉGIMEN DE
LIMITACIÓN DE RESPONSABILIDAD
PARA TITULARES O USUARIOS DE
TARJETAS DE PAGO Y
TRANSACCIONES ELECTRÓNICAS
EN CASO DE EXTRAVÍO, HURTO,
ROBO O FRAUDE
Artículo 7.- Las conductas que a continuación se señalan constituyen delito
de uso fraudulento de tarjetas de pago y transacciones electrónicas y se
sancionarán con la pena de presidio menor en su grado medio a máximo y
multa correspondiente al triple del monto defraudado:
a) Falsificar tarjetas de pago.
b) Usar, vender, exportar, importar o distribuir tarjetas de pago
falsificadas o sustraídas.
c) Negociar, en cualquier forma, tarjetas de pago falsificadas o sustraídas.
d) Usar, vender, exportar, importar o distribuir los datos o el número de
tarjetas de pago, haciendo posible que terceros realicen pagos,
transacciones electrónicas o cualquier otra operación que corresponda
exclusivamente al titular o usuario de las mismas.
e) Negociar, en cualquier forma, con los datos, el número de tarjetas de
pago y claves o demás credenciales de seguridad o autenticación para
efectuar pagos o transacciones electrónicas, con el fin de realizar las
operaciones señaladas en el literal anterior.
f) Usar maliciosamente una tarjeta de pago o clave y demás credenciales
de seguridad o autenticación, bloqueadas, en cualquiera de las formas
señaladas en las letras precedentes.

Ley 20.009
ESTABLECE UN RÉGIMEN DE
LIMITACIÓN DE RESPONSABILIDAD
PARA TITULARES O USUARIOS DE
TARJETAS DE PAGO Y
TRANSACCIONES ELECTRÓNICAS
EN CASO DE EXTRAVÍO, HURTO,
ROBO O FRAUDE
Artículo 7.- Las conductas que a continuación se señalan constituyen delito
de uso fraudulento de tarjetas de pago y transacciones electrónicas y se
sancionarán con la pena de presidio menor en su grado medio a máximo y
multa correspondiente al triple del monto defraudado:
g) Suplantar la identidad del titular o usuario frente al emisor, operador o
comercio afiliado, según corresponda, para obtener la autorización que
sea requerida para realizar transacciones.
h) Obtener maliciosamente, para sí o para un tercero, el pago total o
parcial indebido, sea simulando la existencia de operaciones no
autorizadas, provocándolo intencionalmente, o presentándolo ante el
emisor como ocurrido por causas o en circunstancias distintas a las
verdaderas.
Asimismo, incurrirá en el delito y sanciones que establece este artículo el
que mediante cualquier engaño o simulación obtenga o vulnere la
información y medidas de seguridad de una cuenta corriente bancaria, de
una cuenta de depósito a la vista, de una cuenta de provisión de fondos,
de una tarjeta de pago o de cualquier otro sistema similar, para fines de
suplantar al titular o usuario y efectuar pagos o transacciones electrónicas.
Muchas Gracias!!!

Quedamos a su disposición para

resolver cualquier duda o consulta
al respecto

madiaz@bracgroup.com

https://www.linkedin.com/company/brac-group-latam/

https://www.bracgroup.com