Derecho Informático  ·  Derecho Penal  ·  Derecho Procesal  ·  Leyes

Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal de Costa Rica (Ley N° 9048)

Bufete de Costa Rica 

2

Actualización Legislativa: 22/04/2015

La reforma de la Sección VIII, “Delitos Informáticos y Conexos”, del Título VII del Código Penal, promulgada bajo el número 9048, constituye una respuesta legislativa a la creciente complejidad de los crímenes cometidos a través de tecnologías digitales. Al actualizar disposiciones que datan de la década de los setenta, la Asamblea Legislativa reconoce la necesidad de adaptar el marco penal a los retos que plantea la sociedad de la información. Esta iniciativa refuerza la coherencia del ordenamiento jurídico costarricense con los estándares internacionales en materia de ciberseguridad y protección de datos. Asimismo, subraya el compromiso del Estado de garantizar la seguridad y la dignidad de los usuarios en entornos virtuales.

El cuerpo normativo reformado abarca una variedad de conductas delictivas que se manifiestan en el ámbito digital, entre las que destacan la corrupción de menores mediante redes sociales, la violación de correspondencia y de datos personales, la extorsión y la estafa informática. Cada una de estas conductas se tipifica con precisión para cubrir tanto el acceso no autorizado como la manipulación, difusión o comercialización de información sensible. La norma también contempla la responsabilidad de quienes administran o dan soporte a sistemas informáticos, ampliando el espectro de sujetos pasibles de sanción. De este modo, se cubren tanto los delitos tradicionales adaptados a la tecnología como los nuevos ilícitos surgidos exclusivamente en la esfera digital.

Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal de Costa Rica (Ley N° 9048)

Descargar PDF

Bufete de Costa Rica

Entre los aspectos fundamentales de la reforma, destaca el endurecimiento de las penas, que pueden alcanzar hasta diez años de prisión cuando se emplean medios informáticos o cuando la víctima es menor de edad o pertenece a grupos vulnerables. Se establecen agravantes específicas para quienes, en razón de sus funciones, tienen acceso a sistemas o bases de datos y abusan de esa posición. La normativa incorpora también la protección de datos que revelen ideología, religión, salud o vida sexual, reconociendo la gravedad de la vulneración de la intimidad. Asimismo, se define con claridad el alcance de la “manipulación informática” como base para la imputación de estafa y extorsión. Estas disposiciones buscan crear un marco preventivo y sancionatorio que desincentive la comisión de delitos en el ciberespacio.

Para los profesionales del derecho, la Ley 9048 implica la necesidad de actualizar sus conocimientos y estrategias de defensa o acusación frente a conductas digitales. Los ciudadanos, por su parte, deben estar conscientes de la ampliación de derechos y obligaciones que la reforma introduce en relación con la privacidad y el uso responsable de la tecnología. La claridad de los conceptos y la mayor severidad de las sanciones refuerzan la certeza jurídica y la protección de los derechos fundamentales. En definitiva, esta reforma se erige como una herramienta esencial para enfrentar los desafíos contemporáneos de la criminalidad informática en Costa Rica.

Ver Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal de Costa Rica (Ley N° 9048) en PDF

Leer Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal de Costa Rica (Ley N° 9048)

N° 9048

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

REFORMA DE VARIOS ARTÍCULOS Y MODIFICACIÓN DE LA

SECCIÓN VIII, DENOMINADA DELITOS INFORMÁTICOS Y

CONEXOS, DEL TÍTULO VII DEL CÓDIGO PENAL

ARTÍCULO 1

Refórmanse los artículos 167, 196, 196 bis, 214, 217 bis, 229 bis y 288 de la Ley N.º 4573, Código Penal, de 4 de mayo de 1970, y sus reformas. Los textos dirán:

Artículo 167 Corrupción

Será sancionado con pena de prisión de tres a ocho años quien mantenga o promueva la corrupción de una persona menor de edad o incapaz, con fines eróticos, pornográficos u obscenos, en exhibiciones o espectáculos públicos o privados, aunque la persona menor de edad o incapaz lo consienta.

La pena será de cuatro a diez años de prisión, si el actor, utilizando las redes sociales o cualquier otro medio informático o telemático, u otro medio de comunicación, busca encuentros de carácter sexual para sí, para otro o para grupos, con una persona menor de edad o incapaz; utiliza a estas personas para promover la corrupción o las obliga a realizar actos sexuales perversos, prematuros o excesivos, aunque la víctima consienta participar en ellos o verlos ejecutar."

Artículo 196 Violación de correspondencia o comunicaciones

Será reprimido con pena de prisión de tres a seis años quien, con peligro o daño para la intimidad o privacidad de un tercero, y sin su autorización, se apodere, accese, modifique, altere, suprima, intervenga, intercepte, utilice, abra, difunda o desvíe de su destino documentos o comunicaciones dirigidos a otra persona.

La pena será de cuatro a ocho años de prisión si las conductas descritas son realizadas por:

a) Las personas encargadas de la recolección, entrega o salvaguarda de los documentos o comunicaciones.

b) Las personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

Artículo 196 bis Violación de datos personales

Será sancionado con pena de prisión de tres a seis años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos.

La pena será de cuatro a ocho años de prisión cuando las conductas descritas en esta norma:

a) Sean realizadas por personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

b) O estén contenidos en bases de datos públicas.

(Mediante resolución de la Sala Constitucional N° 5615 del 22 de abril de 2015, se anula la frase "cuando los datos sean de carácter públicos", contenida en el inciso anterior)

c) Si la información vulnerada corresponde a un menor de edad o incapaz.

d) Cuando las conductas afecten datos que revelen la ideología, la religión, las creencias, la salud, el origen racial, la preferencia o la vida sexual de una persona."

Artículo 214 Extorsión

Será reprimido con pena de prisión de cuatro a ocho años al que para procurar un lucro obligue a otro, con intimidación o con amenazas graves, a tomar una disposición patrimonial perjudicial para sí mismo o para un tercero.

La pena será de cinco a diez años de prisión cuando la conducta se realice valiéndose de cualquier manipulación informática, telemática, electrónica o tecnológica."

Artículo 217 bis Estafa informática

Se impondrá prisión de tres a seis años a quien, en perjuicio de una persona física o jurídica, manipule o influya en el ingreso, en el procesamiento o en el resultado de los datos de un sistema automatizado de información, ya sea mediante el uso de datos falsos o incompletos, el uso indebido de datos, programación, valiéndose de alguna operación informática o artificio tecnológico, o bien, por cualquier otra acción que incida en el procesamiento de los datos del sistema o que dé como resultado información falsa, incompleta o fraudulenta, con la cual procure u obtenga un beneficio patrimonial o indebido para sí o para otro.

La pena será de cinco a diez años de prisión, si las conductas son cometidas contra sistemas de información públicos, sistemas de información bancarios y de entidades financieras, o cuando el autor es un empleado encargado de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tenga acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos."

Artículo 229 bis Daño informático

Se impondrá pena de prisión de uno a tres años al que sin autorización del titular o excediendo la que se le hubiera concedido y en perjuicio de un tercero, suprima, modifique o destruya la información contenida en un sistema o red informática o telemática, o en contenedores electrónicos, ópticos o magnéticos.

La pena será de tres a seis años de prisión, si la información suprimida, modificada, destruida es insustituible o irrecuperable."

Artículo 288 (Anulado mediante resolución de la Sala Constitucional N° 5615 del 22 de abril de 2015)

ARTÍCULO 2

Adiciónanse el inciso 6) al artículo 229 y un artículo 229 ter a la Ley N.º 4573, Código Penal, de 4 de mayo de 1970, y sus reformas. Los textos dirán:

Artículo 229 Daño agravado

Se impondrá prisión de seis meses a cuatro años:

[.]

6) Cuando el daño recayera sobre redes, sistemas o equipos informáticos, telemáticos o electrónicos, o sus componentes físicos, lógicos o periféricos."

Artículo 229 ter Sabotaje informático

Se impondrá pena de prisión de tres a seis años al que, en provecho propio o de un tercero, destruya, altere, entorpezca o inutilice la información contenida en una base de datos, o bien, impida, altere, obstaculice o modifique sin autorización el funcionamiento de un sistema de tratamiento de información, sus partes o componentes físicos o lógicos, o un sistema informático.

La pena será de cuatro a ocho años de prisión cuando:

a) Como consecuencia de la conducta del autor sobrevenga peligro colectivo o daño social.

b) La conducta se realice por parte de un empleado encargado de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tenga acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

c) El sistema informático sea de carácter público o la información esté contenida en bases de datos públicas.

d) Sin estar facultado, emplee medios tecnológicos que impidan a personas autorizadas el acceso lícito de los sistemas o redes de telecomunicaciones."

ARTÍCULO 3

Modifícase la sección VIII del título VII de la Ley N.º 4573, Código Penal, de 4 de mayo de 1970, y sus reformas; se corre la numeración de los artículos subsiguientes. El texto dirá:

"TÍTULO VII

[.]

Sección VIII

Delitos informáticos y conexos

Artículo 230 Suplantación de identidad

Será sancionado con pena de prisión de tres a seis años quien suplante la identidad de una persona en cualquier red social, sitio de Internet, medio electrónico o tecnológico de información. La misma pena se le impondrá a quien, utilizando una identidad falsa o inexistente, cause perjuicio a un tercero.

La pena será de cuatro a ocho años de prisión si con las conductas anteriores se causa un perjuicio a una persona menor de edad o incapaz.

Artículo 231 Espionaje informático

Se impondrá prisión de tres a seis años al que, sin autorización del titular o responsable, valiéndose de cualquier manipulación informática o tecnológica, se apodere, transmita, copie, modifique, destruya, utilice, bloquee o recicle información de valor para el tráfico económico de la industria y el comercio.

Artículo 232 Instalación o propagación de programas informáticos maliciosos

Será sancionado con prisión de uno a seis años quien sin autorización, y por cualquier medio, instale programas informáticos maliciosos en un sistema o red informática o telemática, o en los contenedores electrónicos, ópticos o magnéticos.

La misma pena se impondrá en los siguientes casos:

a) A quien induzca a error a una persona para que instale un programa informático malicioso en un sistema o red informática o telemática, o en los contenedores electrónicos, ópticos o magnéticos, sin la debida autorización.

b) A quien, sin autorización, instale programas o aplicaciones informáticas dañinas en sitios de Internet legítimos, con el fin de convertirlos en medios idóneos para propagar programas informáticos maliciosos, conocidos como sitios de Internet atacantes.

c) A quien, para propagar programas informáticos maliciosos, invite a otras personas a descargar archivos o a visitar sitios de Internet que permitan la instalación de programas informáticos maliciosos.

d) A quien distribuya programas informáticos diseñados para la creación de programas informáticos maliciosos.

e) A quien ofrezca, contrate o brinde servicios de denegación de servicios, envío de comunicaciones masivas no solicitadas, o propagación de programas informáticos maliciosos.

La pena será de tres a nueve años de prisión cuando el programa informático malicioso:

i) Afecte a una entidad bancaria, financiera, cooperativa de ahorro y crédito, asociación solidarista o ente estatal.

ii) Afecte el funcionamiento de servicios públicos.

iii) Obtenga el control a distancia de un sistema o de una red informática para formar parte de una red de ordenadores zombi.

iv) Esté diseñado para realizar acciones dirigidas a procurar un beneficio patrimonial para sí o para un tercero.

v) Afecte sistemas informáticos de la salud y la afectación de estos pueda poner en peligro la salud o vida de las personas.

vi) Tenga la capacidad de reproducirse sin la necesidad de intervención adicional por parte del usuario legítimo del sistema informático.

Artículo 233 Suplantación de páginas electrónicas

Se impondrá pena de prisión de uno a tres años a quien, en perjuicio de un tercero, suplante sitios legítimos de la red de Internet.

La pena será de tres a seis años de prisión cuando, como consecuencia de la suplantación del sitio legítimo de Internet y mediante engaño o haciendo incurrir en error, capture información confidencial de una persona física o jurídica para beneficio propio o de un tercero.

Artículo 234 Facilitación del delito informático

Se impondrá pena de prisión de uno a cuatro años a quien facilite los medios para la consecución de un delito efectuado mediante un sistema o red informática o telemática, o los contenedores electrónicos, ópticos o magnéticos.

Artículo 235 Narcotráfico y crimen organizado

La pena se duplicará cuando cualquiera de los delitos cometidos por medio de un sistema o red informática o telemática, o los contenedores electrónicos, ópticos o magnéticos afecte la lucha contra el narcotráfico o el crimen organizado.

Artículo 236 Difusión de información falsa

Será sancionado con pena de tres a seis años de prisión quien, a través de medios electrónicos, informáticos, o mediante un sistema de telecomunicaciones, propague o difunda noticias o hechos falsos capaces de distorsionar o causar perjuicio a la seguridad y estabilidad del sistema financiero o de sus usuarios."

Rige a partir de su publicación.

ASAMBLEA LEGISLATIVA.- Aprobado a los siete días del mes de junio de dos mil doce.

Dado en la Presidencia de la República, San José, a los diez días del mes de julio del año dos mil doce.

Ejecútese y publíquese.


actualización código penalcibercrimen costa ricaCódigo Penal Costa Ricadelitos informáticoslegislación informáticaley 9048 costa ricaley penal informáticanormativa penal digitalprotección datos personalesreforma sección viiisanciones ciberdelitosseguridad cibernética costa rica

Artículos Relacionados


Medidas de Seguridad en Materia Penal Costarricense
Derecho Penal
Medidas de Seguridad en Materia Penal Costarricense
17/03/2026
Evolución del Derecho Penal en Costa Rica
Derecho Penal
Evolución del Derecho Penal en Costa Rica
16/03/2026
La Culpabilidad y sus Elementos en el Derecho Penal de Costa Rica
Derecho Penal
La Culpabilidad y sus Elementos en el Derecho Penal de Costa Rica
16/03/2026