LA NECESARIA CREACIÓN DE UNA CULTURA COLECTIVA CONTRA LA CIBERDELINCUENCIA

Tal como ponía de manifiesto la Comisión Europea, es necesario proceder de una manera eficaz a la represión del delito en la era digital.

Hoy por hoy, Internet se ha convertido en parte íntegra e indispensable de nuestra sociedad y nuestra economía. Así, en la actualidad una cifra ya superior al ochenta por ciento de los jóvenes europeos se conectan entre sí y con el mundo a través de las redes sociales, y de más de 8 billones USD aproximadamente cambian de mano cada año en operaciones de comercio electrónico. Pero, si cada vez una mayor parte de nuestra vida diaria y nuestras transacciones comerciales se desarrollan en línea, igual sucede con la actividad delictiva: más de un millón de personas de todo el mundo son víctimas diarias de la ciberdelincuencia. Ello conduce a pensar sobre el alcance mundial y la rápida difusión de este tipo de actividades han causado que gobiernos de todo el mundo empiecen a implementar en sus legislaciones medidas para combatirlas y tratar de evitar y prevenir los efectos nocivos que puedan causar en sus ciudadanos. 

En este mismo sentido el Ministerio del Interior de España, en un Informe sobre Cibercriminalidad señalaba que el empleo de términos como delincuencia informática, cibercriminalidad, delitos informáticos, lo que determina que ello se haya convertido en una constante en nuestra sociedad actual.

Consecuentemente con ello, se afirmaba que el nacimiento y la rápida difusión de las redes informáticas, estaba propiciando que la cibercriminalidad fuera uno de los ámbitos delictivos con más rápido crecimiento.

Este crecimiento se achacaba a elementos como la rapidez, el anonimato, la comodidad y la amplitud de alcance que facilitan las nuevas tecnologías, que propicia que los delincuentes se aprovechen de las mismas para llevar a cabo sus actuaciones delictivas de la más variada índole, poniéndose especial énfasis tanto en las de carácter tradicional en las que se aprovechan los nuevos medios, como otras nuevas nacidas dentro de este ámbito puramente tecnológico.

No debe olvidarse que son muchos los medios que se implementan para combatir la delincuencia, pero que muchas veces son los mismos, o incluso son menores, que los que desarrollan los propios delincuentes para llevar a cabo sus acciones delictivas.

Así, se ponía de manifiesto en el incremento del número de esta clase de delitos, materializados en los ataques contra sistemas informáticos, en el robo y manipulación de los datos personales, en la usurpación de identidad, en las actividades pedófilas, en las estafas comerciales y bancarias, mediante el empleo de diferentes técnicas, entre las que destacan:  el phishing, la difusión de malware, la creación de botnets, todo ello con distintos fines y cometidos, pero que, en definitiva, constituyen parte de estas actividades delictivas cometidas  a través de estos nuevos y cada vez más sofisticados medios técnicos e informáticos.

A estas dificultades debe agregarse el hecho de que los ciberdelitos son por lo general de naturaleza “global”, es decir, ocurren en ámbitos que transcienden las competencias nacionales

Por ello, cabe señalar que la preocupación a nivel internacional y doméstico no sólo está conduciendo a la modificación de las legislaciones nacionales, sino que la misma tienen un gran impacto a nivel internacional, lo que está determinando la creación y financiación de diversas estructuras para combatir este nuevo ámbito delictivo.

Este conjunto de elementos y circunstancias ponen en evidencia que enfrentar las amenazas informáticas no es una tarea fácil.

En verdad se requiere de una cultura de la ciberseguridad, cuyos rasgos principales deben incluir de manera principal, los elementos que se describen a continuación: la sensibilización sobre el problema, la responsabilidad, la respuesta oportuna, el respeto a los intereses legítimos, la adhesión a los valores democráticos, la estimación de los riesgos, la implementación de los instrumentos de protección, la gestión de la seguridad, y la evaluación continua (Resolución 57/239 de la ONU).

Esta cultura de ciberseguridad, es evidente, que no ha calado de manera suficiente entre los ciudadanos, que en alguna manera siguen teniendo la idea, de que la delincuencia de carácter informático no va con ellos, que a ellos nunca les va a ocurrir, o que, en definitiva, nunca va a ser víctimas de este tipo de delincuencia, hecho absolutamente alejado de la realidad, que se evidencia sólo con consultar las estadísticas sobre delincuencia informática.

Constituye un hecho palmario, que no se ha avanzado lo suficiente en el desarrollo de una cultura colectiva en esta materia, y que cada vez es más necesario y urgente plantear la misma como una exigencia colectiva, en defensa de los ciudadanos y de la sociedad en su conjunto.

Complementariamente a ello, es importante tener en cuenta que en la actualidad la llamada “libertad de internet” es el factor clave que explica la revolución digital de los últimos años. El internet abierto no tiene ni confines nacionales ni una única estructura global de gobernanza. Tampoco tiene leyes, normas, e incluso es posible afirmar, que del mismo modo carece de límites o de principios éticos, donde todo es posible. La ausencia de derecho positivo es cada vez un factor más preocupante para la ciudadanía.

Esta ausencia normativa y ética, más que nunca está justificando que la ciudadanía se empodere frente a esta nueva delincuencia, y la mejor forma de hacerlo es, que cada uno, dentro de sus medios y posibilidades, adopte aquellas medidas de precaución imprescindibles, que sin lugar a duda no solo reducirá este tipo de delincuencia, sino que creará una conciencia colectiva de lucha contra estas nuevas tipologías de delitos.

LA EVALUACION DE LOS MODELOS DE COMPLIANCE: LOS RIESGOS Y LAS POLITICAS CORPORATIVAS

Muchos han sido los esfuerzos por implementar los modelos de cumplimiento, y por desarrollar culturas de Corporate Compliance en el seno de las empresas, y demás personas jurídicas, y probablemente ha llegado la hora de empezar a evaluar en España, si los modelos desarrollados son realmente reales, eficaces y eficientes, y responden a los cometidos de prevención establecidos legalmente al efecto.
Para ello, constituye un documento de mucha ayuda y de una singular importancia la Guía elaborada por la División criminal del Departamento de Justicia de los Estados Unidos, en la que se pretende dar instrucciones al Ministerio Fiscal, sobre el modo de proceder, a los efectos de la correcta evaluación y valoración de los modelos de cumplimiento de los diversos tipos de corporaciones y empresas.
Y por ello, puede ser sumamente útil trasladar las consideraciones y los pronunciamientos contenidos en dicha Guía al modelo español de Corporate Compliance, a los fines de poder también evaluar dichos programas de cumplimiento, y poder verificar si los mismos constituyen solamente declaraciones formales, o por el contrario, responden de manera adecuada a las finales previstas en el artículo 31 bis del Código Penal y demás disposiciones concordantes sobre la responsabilidad penal de las personas jurídicas.
De acuerdo con los mismos, en primer término, se determina que cualquier modelo de cumplimiento, debe dar cumplimiento y reunir una serie de factores que incluyan de manera principal la idoneidad y la eficacia de dicho modelo, tanto en el momento en el que se produzca cualquier clase de infracción, como cuando se adopte la decisión resolutoria correspondiente derivada del oportuno procedimiento penal y/o administrativo seguido al efecto.
Del mismo modo, se hace necesario poder tasar el valor de los esfuerzos correctivos llevados a cabo por cualquier corporación para implementar un programa de cumplimiento corporativo, que sea adecuado y efectivo para prevenir efectivamente la comisión de delitos, o para mejorar un modelo ya existente.
A la hora de evaluar un modelo de Corporate Compliance, cabe formular inicialmente tres cuestiones básicas, a las que se debe dar una adecuada respuesta, y que son las que se indican a continuación:
a). ¿Está bien diseñado el programa de cumplimiento de la persona jurídica?
b). ¿Se está aplicando el programa con seriedad y de buena fe?
En otras palabras, ¿Se está implementando el programa de manera efectiva?
c). ¿El programa de cumplimiento de la corporación funciona efectivamente en la práctica?
Los factores críticos en la evaluación de cualquier programa son, si el programa está diseñado adecuadamente para lograr la máxima efectividad en la prevención y detección de irregularidades por parte de los empleados y si la administración o los responsables de la persona jurídica están haciendo cumplir el programa, o, a contrario sensu, están alentando o presionando expresa o tácitamente a los empleados para que participen en una conducta indebida.
En este sentido, es procedente examinar la exhaustividad del programa de cumplimiento, asegurando que no sólo haya un mensaje claro en el sentido de que no se tolera la conducta ilegal, sino también las políticas y los procedimientos - desde las asignaciones apropiadas de responsabilidad hasta los programas de capacitación, a los sistemas de incentivos y disciplina, que aseguran que el programa de cumplimiento esté bien integrado en las operaciones, y la fuerza laboral de la compañía.
El punto de partida para la evaluación sobre si una empresa tiene un programa de cumplimiento bien diseñado es comprender inicialmente el alcance y el contenido del negocio de la empresa desde una perspectiva comercial, y en este sentido, cómo la empresa ha identificado, evaluado y definido su perfil de riesgo y el grado en que el programa ha valorado la necesaria asignación de recursos económico, humanos y materiales, al espectro de riesgos detectados.

Asimismo, se debe considerar si el programa está apropiadamente diseñado para detectar los tipos particulares de conducta ilegal que probablemente ocurran en la línea de negocios de una organización o empresa en particular, y el entorno regulatorio complejo al cual está sometido tanto con carácter general, como a consecuencia de su ámbito específico de actividad, sea del tipo que sea.

También, es importante tomar en consideración la efectividad de la evaluación de riesgos de la empresa y la manera en que el programa de cumplimiento de la organización se ha adaptado al mismo, sobre la base de esa evaluación de riesgos y, al mismo tiempo, si se ha procedido a actualizar sus criterios de manera periódica.

Para ello, se puede acreditar la calidad y la eficacia de un programa de cumplimiento basado en la atención que dedica al riesgo y a los recursos adecuados a las transacciones de alto riesgo, incluso si no evita una infracción mediante la creación de manera específica de un área que controle el desenvolvimiento de los indicados riesgos.

Al hilo de estas consideraciones se debe tener presente como un indicador de la adaptación del riesgo, las revisiones a los programas de cumplimiento corporativo a la luz de las experiencias que la organización haya tenido.

Con relación, por tanto, a los procesos de gestión de riesgos, y como métrica de estas, cabe preguntarse y dar respuesta a tal efecto, a las siguientes cuestiones:

a). ¿Qué metodología ha utilizado la empresa para identificar, analizar y abordar los riesgos particulares que enfrenta?

b). ¿Qué información o métricas ha recopilado y usado la compañía para ayudar a detectar el tipo de conducta indebida en cuestión?

c). ¿Cómo han informado la información o las métricas al programa de cumplimiento de la compañía?

En lo que atañe a la asignación de recursos adaptada a los riesgos, las cuestiones que deben ser respondidas por toda organización o corporación son las que se indican seguidamente:

a). ¿La empresa dedica una cantidad desproporcionada de tiempo para vigilar las áreas de bajo riesgo en lugar de las áreas de alto riesgo, como pagos cuestionables a terceros consultores, actividades comerciales sospechosas o descuentos excesivos para revendedores y distribuidores?

b). ¿La compañía otorga un mayor valor, según se justifique, a las transacciones de alto riesgo, que la hospitalidad y el entretenimiento más modestos y de rutina?

En lo concerniente a las llamadas actualizaciones y revisiones del modelo de cumplimiento, las cuestiones a tener presente con relación a la eficacia de este son, a su vez, las siguientes:

a). ¿Está actualizada la evaluación de riesgos y está sujeta a revisiones periódicas?

b). ¿Se han actualizado las políticas y los procedimientos a la luz de las lecciones aprendidas?

c). ¿Estas actualizaciones tienen en cuenta los riesgos descubiertos por conducta ilegal u otros problemas con el programa de cumplimiento?

En lo referente a las políticas y procedimientos que debe conllevar el desarrollo de cualquier modelo de cumplimiento, debe partirse del hecho consistente en que cualquier programa de Corporate Compliance bien diseñado, implica políticas y procedimientos que den contenido y efecto a las normas éticas que la empresa haya asumido como tales a través de su código de conducta u otras normas de semejante alcance, y que, al mismo tiempo, aborden y apunten a reducir los riesgos identificados por la organización, como parte de su proceso de evaluación de riesgos.

Por ello, debe examinarse si la compañía tiene un código de conducta que establezca, entre otras cosas, el compromiso de la compañía de cumplir plenamente con las leyes y demás normativa general o sectorial pertinentes, que el mismo sea accesible y aplicable a todos los empleados de la empresa, y si la compañía ha establecido políticas y procedimientos que incorporen y fomenten la cultura de cumplimiento en sus operaciones diarias.

En lo referente a estas políticas y procedimientos, debe prestarse una especial atención al diseño de estas, y para ello, cabe formularse las siguientes preguntas al respecto:

a). ¿Cuál es el proceso de la empresa para diseñar e implementar nuevas políticas y procedimientos, y si ese proceso ha cambiado con el tiempo?

b). ¿Quién ha estado involucrado en el diseño de políticas y procedimientos?

c). ¿Se han consultado las unidades de negocio antes de lanzarlas?

Del mismo modo, han de valorarse y evaluarse la exhaustividad con respecto a las mismas.

En este sentido, la cuestión que debe ser respondida, hace referencia a los esfuerzos que ha realizado la compañía para monitorear e implementar políticas y procedimientos que reflejen y se ocupen del espectro de riesgos que enfrenta, incluidos los cambios en el panorama legal y normativo, o cualquier otra circunstancia relevante que por su trascendencia aconsejen la modificación del contenido de dicho modelo.

La accesibilidad de dichas políticas y procedimientos a los empleados o/y a terceros constituyen otro factor, al que debe prestarse una especial importancia.

Como consecuencia de ello, cabe preguntarse con relación a la misma, y a efectos de su debido control, las siguientes reflexiones:

a). ¿Cómo ha comunicado la compañía sus políticas y procedimientos a todos los empleados y terceros relevantes?

b). Y si la empresa tiene filiales extranjeras, si ¿existen barreras lingüísticas o de otro tipo para el acceso de los empleados extranjeros?

Siguiendo con este análisis en la evaluación de la eficacia y la eficiencia de este modelo de cumplimiento, cabe examinar todo lo atinente a la responsabilidad de la integración operativa, por el que deben evaluarse los siguientes extremos:

a). ¿Quién ha sido responsable de la integración de políticas y procedimientos?

b). ¿Se han implementado de una manera que garantice la comprensión de las políticas por parte de los empleados?

c). ¿De qué maneras específicas se refuerzan las políticas y procedimientos de cumplimiento a través de los sistemas de control interno de la empresa?

Y finalmente, en lo que respecta a las personas encargadas de supervisar y controlar el modelo de cumplimiento, la valoración del modelo de cumplimiento conduce a tener presente algunos condicionamientos, que van a determinar el alcance y la eficacia de la función desarrollada, y que se corresponden con los siguientes patrones de actuación:

a). ¿Qué orientación y capacitación se ha brindado a las personas que desarrollan de manera clave los procesos de control?

b). ¿Tienen suficiente conocimiento con relación a la conducta ilegal que buscar y analizar?

c). ¿Saben cuándo y cómo actuar a los fines del desarrollo de una investigación, en el caso de que tengan conocimiento de hechos o actuaciones irregulares?

Las respuestas a las cuestiones expuestas, nos proporcionan una visión de conjunto sobre la realidad, la eficacia y la eficiencia del modelo de cumplimiento en que esté siendo de aplicación, a los efectos de que el mismo responda de manera real a las finalidades de prevención para la que fue implantado, o al menos, nos evidencie la necesidad de proceder a establecer en el seno del mismo, aquellas correcciones o modificaciones del modelo de cumplimiento implantado, que se juzguen como necesarias, y que garanticen su correcto funcionamiento.

 

LA BIOMETRIA Y LOS SISTEMAS DE RECONOCIMIENTO FACIAL

El reconocimiento facial constituye una nueva técnica basada fundamentalmente en una aplicación dirigida por ordenador que identifica automáticamente a una persona en una imagen digital.
Esto es posible mediante un análisis de las características faciales del sujeto extraídas de la imagen o de un fotograma clave de una fuente de video, y comparándolas con una base de datos.
El reconocimiento facial es un complemento perfecto para su sistema de vigilancia existente, puesto que refuerza tanto la seguridad como la experiencia del cliente en tiempo real.
El software de reconocimiento facial establece principalmente coincidencias entre los rostros del vídeo en tiempo real, y una base de datos con imágenes de las caras previamente almacenadas.
Los rostros se categorizan en la base de datos según las necesidades de la aplicación: ya sea para control de acceso, detección de personas VIP o individuos buscados por la policía.
El objetivo de un sistema de reconocimiento facial es, generalmente, el siguiente: dada una imagen de una cara "desconocida", o imagen de test, encontrar una imagen de la misma cara en un conjunto de imágenes "conocidas", o imágenes de entrenamiento.
La gran dificultad añadida es la de conseguir que este proceso se pueda realizar en tiempo real. El sistema identificará las caras presentes en imágenes o videos automáticamente. Puede operar en dos modos:
a). La verificación o autentificación de caras: compara una imagen de la cara con otra imagen con la cara de la que queremos saber la identidad. El sistema confirmará o rechazará la identidad de la cara.
b). La identificación o reconocimiento de caras: compara la imagen de una cara desconocida con todas las imágenes de caras conocidas que se encuentran en la base de datos para determinar su identidad.
Por su naturaleza amigable, este tipo de sistemas siguen siendo atractivos a pesar de la existencia de otros métodos muy fiables de identificación personal biométricos, como el análisis de huellas dactilares y el reconocimiento del iris .
Las técnicas de reconocimiento facial están basadas en la biometría. Biometría es la ciencia y la tecnología dedicada a medir y analizar datos biológicos.
Dicha nueva técnica es una tecnología de identificación basada en el reconocimiento de características físicas, personalísimas e intransferibles de las personas, como por ejemplo, la huella digital, el reconocimiento del patrón venoso del dedo o el reconocimiento facial.
Los datos biométricos según el nuevo Reglamento 2016/679 de Protección de datos de la Unión Europea son aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.
La biometría es un excelente sistema de identificación de la persona que se aplica en muchos procesos debido a dos razones fundamentales, la seguridad y la comodidad.
Esta nueva técnica se usa para poder identificar y autenticar a una persona usando un conjunto de datos reconocibles y verificables únicos y específicos de esa persona.
La identificación responde a la pregunta: "¿Quién es usted?
En este caso, la persona se identifica como una entre un grupo de otras (coincidencia 1:N). Los datos personales de la persona a identificar se comparan con los datos de otras personas almacenados en la misma base de datos o posiblemente otras bases de datos vinculadas.
La autenticación responde a la pregunta: "¿De verdad usted es quien dices ser?".
En este caso, los datos biométricos se utilizan para certificar la identidad de una persona mediante la comparación de los datos que proporciona con los datos pregrabados de la persona que dice ser (coincidencia 1: 1) .
Para que un software de reconocimiento facial funcione tiene que pasar varias fases:
a). La detección: se captura el rostro de la persona que se va identificar en el dispositivo elegido.
b). La extracción de características faciales: el programa obtiene la información biométrica de los rasgos faciales, que conforman el denominado patrón biométrico facial.
c). La comparación: se coteja la información biométrica lograda con las existentes en una determinada base de datos. Como resultado se obtiene el porcentaje de similitud de la persona a identificar con los almacenados en dicha base.
d).La toma de decisión: se identificará el rostro como el que mayor porcentaje de similitud ha obtenido de los consultados, a partir de un umbral de coincidencia muy elevado .
No obstante todo ello, hoy en día ha surgido la polémica con relación a este tipo de técnica, en lo referente al hecho de que los sesgos programados en el software de reconocimiento facial pueden implicar o llevar consigo que las personas transgénero y de género no conforme puedan no ser capaces de usar unos avances en este ámbito de actividad y en el uso de esta técnica del reconocimiento facial que, al menos nominalmente, tienen la intención de facilitar la vida de las personas y, lo que es más importante, pueden ser discriminadas y malinterpretadas, o identificadas incorrectamente por el software que se usa en este tipo de aplicaciones.
Pero en todo caso, es completamente previsible que, en la medida en que siga siendo necesario verificar con detalle la identidad de los individuos que pretenden acceder a determinados espacios físicos o servicios digitales, el género/sexo biológico (al margen del estatus administrativo o social) siga siendo utilizado en el futuro como un factor a analizar .

 

 

 

Page 4 of 7