Derecho Informático  ·  Derecho Penal  ·  Derecho Procesal  ·  Leyes

Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal de Costa Rica (Ley N° 9048)

Bufete de Costa Rica 

77

Actualización Legislativa: 22/04/2015

La reforma de la Sección VIII, “Delitos Informáticos y Conexos”, del Título VII del Código Penal, conocida como Ley N.º 9048, constituye un hito en la adaptación del marco penal costarricense a la realidad digital. Al reconocer que la tecnología permea prácticamente todas las interacciones sociales y económicas, el legislador fortalece la capacidad del Estado para proteger derechos fundamentales frente a conductas delictivas que antes quedaban en un vacío normativo. Esta actualización refuerza la coherencia del ordenamiento jurídico, alineándolo con estándares internacionales y con la jurisprudencia constitucional que exige una protección eficaz de la intimidad y la integridad de las personas, especialmente de menores.

La normativa reformada abarca una variedad de conductas que se desarrollan en entornos digitales, como la corrupción de menores con fines eróticos mediante redes sociales, la violación de correspondencia y de datos personales, la extorsión y la estafa informática. Asimismo, incorpora disposiciones específicas para quienes, por razón de sus funciones, administran o dan soporte a sistemas informáticos, estableciendo responsabilidades más estrictas. El alcance de la reforma también contempla la protección de información sensible relacionada con ideología, salud, origen racial o vida sexual, ampliando la esfera de los delitos tradicionales a la esfera cibernética.

Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal de Costa Rica (Ley N° 9048)

Descargar PDF

Bufete de Costa Rica

Entre los aspectos fundamentales, la Ley 9048 eleva las penas mínimas y máximas cuando los delitos se cometen mediante medios informáticos, imponiendo rangos de prisión de cuatro a diez años en casos agravados. Se introducen agravantes para quienes, en calidad de administradores de sistemas o custodios de datos, vulneran la privacidad de terceros, y se tipifican conductas específicas contra menores, reforzando la protección de este grupo vulnerable. Asimismo, la reforma establece que la autorización del titular es indispensable para cualquier acceso, copia o difusión de datos, y reconoce la responsabilidad penal de quienes faciliten la comisión del delito a través de plataformas digitales.

Para los profesionales del derecho, la reforma implica la necesidad de actualizar la práctica jurídica, la doctrina y la capacitación en materia de pruebas digitales y procedimientos cibernéticos. Los jueces, fiscales y defensores deberán interpretar y aplicar las nuevas penas y agravantes, garantizando el respeto al debido proceso en entornos tecnológicos. Para la ciudadanía, la norma ofrece una mayor garantía de seguridad y privacidad en la utilización de internet y dispositivos electrónicos, reforzando la confianza en que el Estado está preparado para enfrentar los retos que plantea la era digital.

Ver Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal de Costa Rica (Ley N° 9048) en PDF

Leer Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal de Costa Rica (Ley N° 9048)

N° 9048

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

REFORMA DE VARIOS ARTÍCULOS Y MODIFICACIÓN DE LA

SECCIÓN VIII, DENOMINADA DELITOS INFORMÁTICOS Y

CONEXOS, DEL TÍTULO VII DEL CÓDIGO PENAL

ARTÍCULO 1

Refórmanse los artículos 167, 196, 196 bis, 214, 217 bis, 229 bis y 288 de la Ley N.º 4573, Código Penal, de 4 de mayo de 1970, y sus reformas. Los textos dirán:

Artículo 167 Corrupción

Será sancionado con pena de prisión de tres a ocho años quien mantenga o promueva la corrupción de una persona menor de edad o incapaz, con fines eróticos, pornográficos u obscenos, en exhibiciones o espectáculos públicos o privados, aunque la persona menor de edad o incapaz lo consienta.

La pena será de cuatro a diez años de prisión, si el actor, utilizando las redes sociales o cualquier otro medio informático o telemático, u otro medio de comunicación, busca encuentros de carácter sexual para sí, para otro o para grupos, con una persona menor de edad o incapaz; utiliza a estas personas para promover la corrupción o las obliga a realizar actos sexuales perversos, prematuros o excesivos, aunque la víctima consienta participar en ellos o verlos ejecutar."

Artículo 196 Violación de correspondencia o comunicaciones

Será reprimido con pena de prisión de tres a seis años quien, con peligro o daño para la intimidad o privacidad de un tercero, y sin su autorización, se apodere, accese, modifique, altere, suprima, intervenga, intercepte, utilice, abra, difunda o desvíe de su destino documentos o comunicaciones dirigidos a otra persona.

La pena será de cuatro a ocho años de prisión si las conductas descritas son realizadas por:

a) Las personas encargadas de la recolección, entrega o salvaguarda de los documentos o comunicaciones.

b) Las personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

Artículo 196 bis Violación de datos personales

Será sancionado con pena de prisión de tres a seis años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos.

La pena será de cuatro a ocho años de prisión cuando las conductas descritas en esta norma:

a) Sean realizadas por personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

b) O estén contenidos en bases de datos públicas.

(Mediante resolución de la Sala Constitucional N° 5615 del 22 de abril de 2015, se anula la frase "cuando los datos sean de carácter públicos", contenida en el inciso anterior)

c) Si la información vulnerada corresponde a un menor de edad o incapaz.

d) Cuando las conductas afecten datos que revelen la ideología, la religión, las creencias, la salud, el origen racial, la preferencia o la vida sexual de una persona."

Artículo 214 Extorsión

Será reprimido con pena de prisión de cuatro a ocho años al que para procurar un lucro obligue a otro, con intimidación o con amenazas graves, a tomar una disposición patrimonial perjudicial para sí mismo o para un tercero.

La pena será de cinco a diez años de prisión cuando la conducta se realice valiéndose de cualquier manipulación informática, telemática, electrónica o tecnológica."

Artículo 217 bis Estafa informática

Se impondrá prisión de tres a seis años a quien, en perjuicio de una persona física o jurídica, manipule o influya en el ingreso, en el procesamiento o en el resultado de los datos de un sistema automatizado de información, ya sea mediante el uso de datos falsos o incompletos, el uso indebido de datos, programación, valiéndose de alguna operación informática o artificio tecnológico, o bien, por cualquier otra acción que incida en el procesamiento de los datos del sistema o que dé como resultado información falsa, incompleta o fraudulenta, con la cual procure u obtenga un beneficio patrimonial o indebido para sí o para otro.

La pena será de cinco a diez años de prisión, si las conductas son cometidas contra sistemas de información públicos, sistemas de información bancarios y de entidades financieras, o cuando el autor es un empleado encargado de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tenga acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos."

Artículo 229 bis Daño informático

Se impondrá pena de prisión de uno a tres años al que sin autorización del titular o excediendo la que se le hubiera concedido y en perjuicio de un tercero, suprima, modifique o destruya la información contenida en un sistema o red informática o telemática, o en contenedores electrónicos, ópticos o magnéticos.

La pena será de tres a seis años de prisión, si la información suprimida, modificada, destruida es insustituible o irrecuperable."

Artículo 288 (Anulado mediante resolución de la Sala Constitucional N° 5615 del 22 de abril de 2015)

ARTÍCULO 2

Adiciónanse el inciso 6) al artículo 229 y un artículo 229 ter a la Ley N.º 4573, Código Penal, de 4 de mayo de 1970, y sus reformas. Los textos dirán:

Artículo 229 Daño agravado

Se impondrá prisión de seis meses a cuatro años:

[.]

6) Cuando el daño recayera sobre redes, sistemas o equipos informáticos, telemáticos o electrónicos, o sus componentes físicos, lógicos o periféricos."

Artículo 229 ter Sabotaje informático

Se impondrá pena de prisión de tres a seis años al que, en provecho propio o de un tercero, destruya, altere, entorpezca o inutilice la información contenida en una base de datos, o bien, impida, altere, obstaculice o modifique sin autorización el funcionamiento de un sistema de tratamiento de información, sus partes o componentes físicos o lógicos, o un sistema informático.

La pena será de cuatro a ocho años de prisión cuando:

a) Como consecuencia de la conducta del autor sobrevenga peligro colectivo o daño social.

b) La conducta se realice por parte de un empleado encargado de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tenga acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

c) El sistema informático sea de carácter público o la información esté contenida en bases de datos públicas.

d) Sin estar facultado, emplee medios tecnológicos que impidan a personas autorizadas el acceso lícito de los sistemas o redes de telecomunicaciones."

ARTÍCULO 3

Modifícase la sección VIII del título VII de la Ley N.º 4573, Código Penal, de 4 de mayo de 1970, y sus reformas; se corre la numeración de los artículos subsiguientes. El texto dirá:

"TÍTULO VII

[.]

Sección VIII

Delitos informáticos y conexos

Artículo 230 Suplantación de identidad

Será sancionado con pena de prisión de tres a seis años quien suplante la identidad de una persona en cualquier red social, sitio de Internet, medio electrónico o tecnológico de información. La misma pena se le impondrá a quien, utilizando una identidad falsa o inexistente, cause perjuicio a un tercero.

La pena será de cuatro a ocho años de prisión si con las conductas anteriores se causa un perjuicio a una persona menor de edad o incapaz.

Artículo 231 Espionaje informático

Se impondrá prisión de tres a seis años al que, sin autorización del titular o responsable, valiéndose de cualquier manipulación informática o tecnológica, se apodere, transmita, copie, modifique, destruya, utilice, bloquee o recicle información de valor para el tráfico económico de la industria y el comercio.

Artículo 232 Instalación o propagación de programas informáticos maliciosos

Será sancionado con prisión de uno a seis años quien sin autorización, y por cualquier medio, instale programas informáticos maliciosos en un sistema o red informática o telemática, o en los contenedores electrónicos, ópticos o magnéticos.

La misma pena se impondrá en los siguientes casos:

a) A quien induzca a error a una persona para que instale un programa informático malicioso en un sistema o red informática o telemática, o en los contenedores electrónicos, ópticos o magnéticos, sin la debida autorización.

b) A quien, sin autorización, instale programas o aplicaciones informáticas dañinas en sitios de Internet legítimos, con el fin de convertirlos en medios idóneos para propagar programas informáticos maliciosos, conocidos como sitios de Internet atacantes.

c) A quien, para propagar programas informáticos maliciosos, invite a otras personas a descargar archivos o a visitar sitios de Internet que permitan la instalación de programas informáticos maliciosos.

d) A quien distribuya programas informáticos diseñados para la creación de programas informáticos maliciosos.

e) A quien ofrezca, contrate o brinde servicios de denegación de servicios, envío de comunicaciones masivas no solicitadas, o propagación de programas informáticos maliciosos.

La pena será de tres a nueve años de prisión cuando el programa informático malicioso:

i) Afecte a una entidad bancaria, financiera, cooperativa de ahorro y crédito, asociación solidarista o ente estatal.

ii) Afecte el funcionamiento de servicios públicos.

iii) Obtenga el control a distancia de un sistema o de una red informática para formar parte de una red de ordenadores zombi.

iv) Esté diseñado para realizar acciones dirigidas a procurar un beneficio patrimonial para sí o para un tercero.

v) Afecte sistemas informáticos de la salud y la afectación de estos pueda poner en peligro la salud o vida de las personas.

vi) Tenga la capacidad de reproducirse sin la necesidad de intervención adicional por parte del usuario legítimo del sistema informático.

Artículo 233 Suplantación de páginas electrónicas

Se impondrá pena de prisión de uno a tres años a quien, en perjuicio de un tercero, suplante sitios legítimos de la red de Internet.

La pena será de tres a seis años de prisión cuando, como consecuencia de la suplantación del sitio legítimo de Internet y mediante engaño o haciendo incurrir en error, capture información confidencial de una persona física o jurídica para beneficio propio o de un tercero.

Artículo 234 Facilitación del delito informático

Se impondrá pena de prisión de uno a cuatro años a quien facilite los medios para la consecución de un delito efectuado mediante un sistema o red informática o telemática, o los contenedores electrónicos, ópticos o magnéticos.

Artículo 235 Narcotráfico y crimen organizado

La pena se duplicará cuando cualquiera de los delitos cometidos por medio de un sistema o red informática o telemática, o los contenedores electrónicos, ópticos o magnéticos afecte la lucha contra el narcotráfico o el crimen organizado.

Artículo 236 Difusión de información falsa

Será sancionado con pena de tres a seis años de prisión quien, a través de medios electrónicos, informáticos, o mediante un sistema de telecomunicaciones, propague o difunda noticias o hechos falsos capaces de distorsionar o causar perjuicio a la seguridad y estabilidad del sistema financiero o de sus usuarios."

Rige a partir de su publicación.

ASAMBLEA LEGISLATIVA.- Aprobado a los siete días del mes de junio de dos mil doce.

Dado en la Presidencia de la República, San José, a los diez días del mes de julio del año dos mil doce.

Ejecútese y publíquese.

Preguntas frecuentes sobre la Ley 9048 de Delitos Informáticos

¿Qué tipifica la Ley 9048 de Delitos Informáticos en Costa Rica?


La Ley 9048 reformó la Sección VIII del Título VII del Código Penal y tipificó por primera vez de forma sistemática los delitos informáticos en Costa Rica. El artículo 3 de la Ley 9048 modificó esa sección y creó figuras como suplantación de identidad (art. 230 CP), espionaje informático (art. 231 CP), instalación de programas maliciosos (art. 232 CP), suplantación de páginas electrónicas o phishing (art. 233 CP) y facilitación del delito informático (art. 234 CP). También reformó tipos clásicos para incluir el medio informático: extorsión (art. 214), estafa informática (art. 217 bis), violación de comunicaciones (art. 196) y daño informático (art. 229 bis). Las penas oscilan entre uno y diez años de prisión según la conducta y los agravantes.

¿Qué pena tiene hackear o acceder sin permiso a la cuenta de otra persona en Costa Rica?


El acceso no autorizado a cuentas, correos o sistemas informáticos se castiga por la vía de la violación de comunicaciones electrónicas regulada en el artículo 196 del Código Penal (reformado por el artículo 1 de la Ley 9048). La pena base es de tres a seis años de prisión para quien sin autorización se apodere, accese, modifique, altere, intercepte o desvíe documentos o comunicaciones dirigidos a otra persona, siempre que exista peligro o daño para la intimidad. La pena sube a cuatro a ocho años de prisión si quien comete el hecho es la persona encargada de administrar el sistema o red, o si por sus funciones tiene acceso al contenedor electrónico. La denuncia se interpone en el OIJ o el Ministerio Público y conviene preservar capturas, encabezados de correo y registros de IP.

¿Cuál es la pena por suplantación de identidad en redes sociales según la Ley 9048?


La suplantación de identidad en redes sociales o cualquier medio electrónico está tipificada en el artículo 230 del Código Penal, incorporado por el artículo 3 de la Ley 9048. La pena es de tres a seis años de prisión para quien suplante la identidad de una persona en cualquier red social, sitio de Internet, medio electrónico o tecnológico de información. La misma sanción se aplica a quien usa una identidad falsa o inexistente para causar perjuicio a un tercero. La pena se agrava a cuatro a ocho años de prisión cuando el perjuicio recae sobre una persona menor de edad o en estado de incapacidad. Aunque el perfil falso no haya cometido aún un fraude, el solo acto de suplantar ya configura el delito si causa o pone en riesgo de causar perjuicio.

¿El phishing está penalizado en Costa Rica?


Sí. El phishing, entendido como la suplantación de páginas legítimas para capturar credenciales o datos confidenciales, está tipificado en el artículo 233 del Código Penal, agregado por el artículo 3 de la Ley 9048 bajo el nombre de suplantación de páginas electrónicas. La pena base es de uno a tres años de prisión para quien suplante sitios legítimos de Internet en perjuicio de un tercero. Cuando la suplantación se utiliza para capturar información confidencial mediante engaño o haciendo incurrir en error a la víctima, la pena sube a tres a seis años de prisión. Si además se concretó una transferencia patrimonial, puede concurrir con la estafa informática del artículo 217 bis del Código Penal.

¿Qué pena tiene el fraude bancario por Internet o estafa informática en Costa Rica?


El fraude bancario en línea y cualquier manipulación de sistemas que produzca un beneficio patrimonial indebido se castiga como estafa informática en el artículo 217 bis del Código Penal, reformado por el artículo 1 de la Ley 9048. La pena base es de tres a seis años de prisión para quien manipule el ingreso, procesamiento o resultado de los datos de un sistema automatizado y obtenga un beneficio patrimonial. La pena se agrava a cinco a diez años de prisión cuando la conducta se comete contra sistemas bancarios, entidades financieras o sistemas públicos, o cuando el autor es un empleado encargado de administrar o dar soporte al sistema o red. Por eso los fraudes con tarjetas, transferencias SINPE no autorizadas o vaciado de cuentas pueden alcanzar penas de hasta diez años.

¿Cuáles son las penas por sabotaje informático según la Ley 9048?


El sabotaje informático está tipificado en el artículo 229 ter del Código Penal, adicionado por el artículo 2 de la Ley 9048. La pena base es de tres a seis años de prisión para quien destruya, altere, entorpezca o inutilice información contenida en una base de datos, o impida, altere o modifique sin autorización el funcionamiento de un sistema informático, sus componentes físicos o lógicos. La pena sube a cuatro a ocho años de prisión cuando: (a) sobrevenga peligro colectivo o daño social, (b) el autor sea empleado encargado de administrar o soportar el sistema, (c) el sistema sea de carácter público o la información esté en bases de datos públicas, o (d) se empleen medios tecnológicos para impedir el acceso lícito a sistemas o redes de telecomunicaciones.

¿Cuáles son los agravantes de los delitos informáticos en la Ley 9048?


Los agravantes principales aparecen distribuidos en cada tipo penal pero comparten una lógica común. Bajo el artículo 1 y el artículo 2 de la Ley 9048 las penas se aumentan cuando: (a) el autor es la persona encargada de administrar o dar soporte al sistema, red o contenedor electrónico, (b) el sistema afectado es público o pertenece a entidades bancarias, financieras o cooperativas, (c) la víctima es persona menor de edad o incapaz, (d) los datos vulnerados revelan ideología, religión, salud, origen racial o vida sexual de una persona, (e) la conducta afecta el funcionamiento de servicios públicos o sistemas de salud que pongan en riesgo la vida, o (f) el malware obtiene control remoto formando una red zombi. Además, el artículo 235 del Código Penal duplica la pena cuando el delito informático afecta la lucha contra el narcotráfico o el crimen organizado.

¿Cómo denuncio un ciberdelito en Costa Rica?


La denuncia de delitos informáticos se interpone ante el Organismo de Investigación Judicial (OIJ) a través de su Sección de Delitos Informáticos o ante cualquier fiscalía del Ministerio Público. La Ley 9048 no creó un procedimiento especial: la persecución se rige por el Código Procesal Penal y los delitos del artículo 3 son de acción pública, lo que significa que el Ministerio Público investiga aunque la víctima desista. Antes de denunciar conviene preservar evidencia digital: capturas con fecha y URL visible, encabezados completos de correos, registros de transacciones bancarias, números de teléfono o cuentas usadas y conservar el dispositivo afectado sin reformatear. La denuncia puede presentarse de forma personal en cualquier delegación del OIJ o de manera virtual cuando la institución habilite ese canal.

¿Qué hace la Sección de Cibercrimen del OIJ frente a los delitos de la Ley 9048?


La Sección de Delitos Informáticos del OIJ, conocida como Cibercrimen, es la unidad policial especializada que investiga las conductas tipificadas por el artículo 3 de la Ley 9048: suplantación de identidad, espionaje informático, malware, phishing y facilitación del delito informático, además de la estafa informática del artículo 217 bis y la violación de comunicaciones del artículo 196 reformados por el artículo 1. Sus funciones incluyen el rastreo de direcciones IP, el análisis forense de equipos decomisados, la coordinación con proveedores de servicios para identificar usuarios, la cooperación internacional vía INTERPOL en delitos transfronterizos y el peritaje de evidencia digital. La sección depende del Ministerio Público y solo actúa con denuncia previa o de oficio cuando la noticia criminal llega por otra vía.

¿Qué pasa si alguien publica o vende mis datos personales sin autorización?


Quien acceda, copie, transmita, publique, venda o dé tratamiento no autorizado a datos personales almacenados en sistemas informáticos comete el delito de violación de datos personales del artículo 196 bis del Código Penal, reformado por el artículo 1 de la Ley 9048. La pena base es de tres a seis años de prisión cuando hay peligro o daño para la intimidad y se actuó sin autorización del titular. La pena sube a cuatro a ocho años de prisión si el autor es responsable de administrar la base de datos, si la víctima es persona menor de edad o incapaz, o si los datos revelan ideología, religión, salud, origen racial o vida sexual. Esta protección penal complementa los derechos administrativos ante la Agencia de Protección de Datos (Prodhab) bajo la Ley 8968 y permite denunciar simultáneamente en ambas vías.

Referencias Bibliográficas


actualización código penalcódigo penal costarricensedelito cibernético costa ricadelitos informáticos y conexoslegislación informática costa ricaley 9048ley de ciberseguridad costa ricanormativa delitos tecnológicospenal cibernético costa ricareforma delitos informáticossanciones cibercrimensección viii delitos informáticos

Artículos Relacionados


Crea Concepto Salario Base para Delitos Especiales del Código Penal en Costa Rica (Ley N° 7337)
Derecho Laboral  ·  Derecho Penal  ·  Leyes
Crea Concepto Salario Base para Delitos Especiales del Código Penal en Costa Rica (Ley N° 7337)
23/05/2026
Modificación del Código Penal — Libro III Contravenciones de Costa Rica (Ley N° 8250)
Derecho Penal  ·  Leyes
Modificación del Código Penal Libro III Contravenciones de Costa Rica (Ley N° 8250)
23/04/2026