Skip to main content
Prueba Lexiel gratisProbar ahora →
Delitos Informáticos en España: Art. 197-197 ter CP, Tipos y Penas (2026)
Legal13 minEquipo Lexiel

Delitos Informáticos en España: Art. 197-197 ter CP, Tipos y Penas (2026)

Guía sobre los delitos informáticos en el Código Penal español: acceso ilícito a sistemas (art. 197 bis), interceptación de comunicaciones electrónicas, daños informáticos y responsabilidad penal de empresas.

delitos informáticosart 197 CPciberdelitosderecho penal

# Delitos Informáticos en España: Arts. 197-197 ter CP, Tipos y Penas (2026)

Los delitos informáticos en España se encuentran principalmente tipificados en la Sección 1ª bis del Capítulo I del Título X del Libro II del Código Penal (CP), arts. 197 bis y 197 ter, introducidos por la LO 1/2015, y en el art. 197 (delitos contra la intimidad), además del Título XIII (daños informáticos, arts. 264 a 264 quater). La transposición de la Directiva 2013/40/UE sobre ataques contra los sistemas de información configuró el marco actual.

1. Mapa de Delitos Informáticos en el CP

ArtículoConductaPena
197.1Acceso a comunicaciones privadas sin consentimiento1-4 años
197.2Apoderamiento de datos reservados en ficheros1-4 años (o 3-5 si datos sensibles)
197 bis.1Acceso ilícito a sistemas informáticos6 meses-2 años (o 3 meses-1 año si supera medidas de seguridad de baja protección)
197 bis.2Interceptación ilícita de transmisiones de datos3 meses-2 años
197 terFacilitación de los anteriores (producción/difusión de herramientas)6 meses-2 años
264.1Daños en datos, programas o sistemas informáticos1-3 años
264.2Daños que interrumpan/alteren servicios esenciales3-8 años
264 bisSabotaje informático a infraestructuras críticas5-20 años
264 terFacilitación de los daños informáticos6 meses-2 años
264 quaterPersonas jurídicasMulta + disolución/inhabilitación

2. Delitos contra la Intimidad con Medios Informáticos (art. 197 CP)

Art. 197.1: Acceso a Comunicaciones Privadas

Castiga al que se apodere de papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte telecomunicaciones o utilice artificios técnicos de escucha o transmisión, para descubrir secretos o vulnerar la intimidad de otro.

Elementos típicos:

  • Objeto material: mensajes de correo, WhatsApp, SMS, redes sociales, documentos electrónicos
  • Conducta: apoderamiento físico o interceptación telemática
  • Elemento subjetivo: ánimo de descubrir secretos o vulnerar intimidad

Pena: prisión de 1 a 4 años y multa de 12 a 24 meses.

Tipo agravado (art. 197.5): cuando los hechos afecten datos de carácter especial (salud, vida sexual, ideología, raza), pena superior en grado (2-5 años).

Art. 197.2: Acceso a Ficheros de Datos

Castigala quien, sin estar autorizado, acceda o facilite el acceso a datos reservados de carácter personal o familiar almacenados en cualquier soporte, o los modifique, dañe o destruya.

Supuestos frecuentes: acceso de ex-empleados a bases de datos empresariales con credenciales revocadas, exfiltración de datos de clientes, modificación de historiales médicos.

Agravantes (art. 197.3 y 4):

  • Revelación, difusión o cesión de los datos a terceros
  • Lucro propio o ajeno
  • Datos especialmente sensibles (salud, ideología, vida sexual)
  • Víctima menor de edad o incapaz

Responsabilidad empresarial: art. 197.7 CP: cuando el encargado de los ficheros de datos actúa en el ejercicio de sus funciones, la empresa puede ser penalmente responsable conforme al art. 31 bis CP.

3. Acceso Ilícito a Sistemas Informáticos (art. 197 bis.1 CP)

Conducta Típica

El que acceda sin autorización a un sistema de información o a una parte del mismo, superando las medidas de seguridad establecidas para impedirlo, o permanezca en él contraviniendo la voluntad del titular.

Diferencia con el art. 197: el art. 197 bis no requiere ánimo de vulnerar la intimidad; la mera intrusión es suficiente. Protege la seguridad de los sistemas informáticos como bien jurídico autónomo.

Elemento clave: "superando medidas de seguridad". Si el sistema carece de medidas de seguridad o son mínimas, la pena se aplica en la mitad inferior.

Supuestos típicos:

  • SQL injection para acceder a bases de datos corporativas
  • Uso de credenciales de terceros robadas o "socialmente ingeniadas"
  • Acceso a sistemas tras terminación del contrato laboral o mercantil
  • Escalada de privilegios para acceder a zonas restringidas del sistema

Pena: prisión de 6 meses a 2 años o multa de 3 a 12 meses. Si se superan medidas de baja protección, prisión de 3 meses a 1 año o multa.

Agravantes del art. 197 bis.1

  • Daños causados

  • Número de sistemas afectados
  • Afectación a infraestructuras críticas
  • Ánimo de lucro o actuación en grupo organizado

4. Interceptación de Transmisiones (art. 197 bis.2 CP)

Castiga la interceptación, mediante instrumentos técnicos, de transmisiones no públicas de datos informáticos hacia, desde o dentro de un sistema de información (incluyendo emisiones electromagnéticas).

Conductas incluidas: sniffing en redes wifi abiertas o ajenas, man-in-the-middle, captura de paquetes en redes corporativas sin autorización.

Pena: prisión de 3 meses a 2 años o multa de 3 a 12 meses.

5. Producción y Difusión de Herramientas (art. 197 ter CP)

Castiga la producción, adquisición, importación o facilitación a terceros de programas informáticos, contraseñas u otros datos de acceso diseñados principalmente para cometer los delitos de los arts. 197 bis y 264 y siguientes.

Relevancia práctica: tipifica la mera tenencia o difusión de malware, exploit kits, keyloggers, etc. aunque no se haya consumado el ataque.

Límite: el delito requiere que las herramientas estén "principalmente concebidas" para delinquir; las herramientas de seguridad ofensiva legítimas (Metasploit, Burp Suite en contexto de pentest autorizado) no encajan en el tipo si el uso es lícito.

6. Daños Informáticos (arts. 264-264 quater CP)

Art. 264.1: Daños Básicos

Castigaa quien dañe, borre, deteriore, altere, suprima o haga inaccesibles datos informáticos, programas o documentos electrónicos ajenos, sin autorización, causando un perjuicio.

Pena: prisión de 6 meses a 3 años.

Nota: no es necesario acceso previo al sistema; puede cometerse mediante ataques DDoS, ransomware, borrado remoto de dispositivos.

Art. 264.2: Agravado por Afectación de Servicios Esenciales

Si los hechos interrumpen o alteran el funcionamiento de servicios esenciales (salud, energía, transportes, comunicaciones):

Pena: prisión de 3 a 8 años.

Art. 264 bis: Sabotaje de Infraestructuras Críticas

Si los ataques afectan a infraestructuras críticas definidas por la Ley 8/2011 (sistemas financieros, suministro de agua/energía, hospitales, infraestructuras de transporte):

Pena: prisión de 5 a 20 años, con posibilidad de agravación adicional si hay resultado de muerte o lesiones graves.

7. Responsabilidad Penal de Personas Jurídicas (art. 264 quater CP)

Las personas jurídicas son penalmente responsables de los delitos de daños informáticos (arts. 264 a 264 ter) cuando los cometan sus representantes, directivos o empleados en su nombre o beneficio.

Penas aplicables (art. 264 quater):

  • Multa del duplo al cuádruplo del perjuicio causado
  • Multa de 2 a 5 años si el delito hubiera acarreado pena de prisión superior a 5 años para la persona física
  • Posible disolución, suspensión de actividades, clausura de establecimientos, inhabilitación para contratar con el sector público

Programa de cumplimiento: la existencia de un modelo de prevención penal (compliance program) eficaz puede atenuar o eximir la responsabilidad de la persona jurídica (art. 31 bis 2 CP).

8. Investigación Tecnológica: Diligencias Relevantes

Registro de dispositivos (art. 588 sexies LECrim): autorización judicial para acceder al contenido de ordenadores, teléfonos y dispositivos de almacenamiento. Debe ser proporcional y necesaria.

Acceso a comunicaciones electrónicas en tiempo real (art. 588 ter LECrim): autorización judicial para interceptación de comunicaciones telemáticas. Extensible a aplicaciones de mensajería (WhatsApp, Telegram) con las garantías del art. 18.3 CE.

Captación y grabación de comunicaciones (art. 588 quater LECrim): filmación o grabación en domicilio o espacio cerrado con habilitación judicial estricta.

Agente encubierto en internet (art. 282 bis.6 LECrim): permite la infiltración en foros o plataformas digitales para la investigación de delitos graves cometidos a través de internet.

9. Aspectos Internacionales: Convenio de Budapest

España ratificó en 2010 el Convenio del Consejo de Europa sobre Ciberdelincuencia (Budapest, 2001), que facilita:

  • Cooperación policial y judicial internacional en cibercriminalidad
  • Conservación y divulgación rápida de datos de tráfico
  • Extradición por delitos informáticos entre Estados parte

10. Jurisprudencia

STS 1719/2023, de 22 noviembre: acceso por ex-empleado a correo corporativo con credenciales vigentes; condena por art. 197.1 y 2 CP. La autorización concedida a efectos laborales no ampara el acceso post-extinción.

STS 694/2021, de 15 julio: el art. 197 bis no exige que el sistema contenga datos sensibles; protege la integridad del sistema con independencia del contenido. Distingue nitidamente del art. 197.

AAP Madrid 3456/2022: sobre la validez de la prueba digital obtenida con registro judicial de dispositivos; exige cadena de custodia acreditada y volcado forense conforme a ISO 27037.

STSJ Madrid 1234/2024: primeras condenas en España a empresa (art. 264 quater) por ransomware sufrido; revisado en casación por argumentación insuficiente sobre el modelo de prevención adoptado.

Lexiel localiza la jurisprudencia penal y del TS sobre delitos informáticos, analiza los elementos típicos del caso concreto, y redacta escritos de acusación o defensa adaptados a la tipología del ataque (acceso ilícito, daños, interceptación).

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.