
Abogado Estafa Informática (Art. 249.1.a CP)
Defensa penal especializada en estafa informática: manipulación de sistemas, phishing y transferencias no consentidas (Art. 249 CP).
Última actualización: · Cómo verificamos este contenido
La estafa informática (Art. 249.1.a CP) castiga la manipulación de un sistema informático —no el engaño a una persona— que produce una transferencia patrimonial no consentida: por ejemplo, cuando el autor accede a la banca electrónica de la víctima con credenciales de phishing y ordena él mismo el pago. La pena básica es de 6 meses a 3 años de prisión; si lo defraudado no supera 400 €, es delito leve con solo multa. Sube a 1-6 años cuando la cuantía supera 50.000 €, hay muchas víctimas o se usa la identidad de un tercero (Art. 250 CP). En la defensa cuestionamos que una IP, un dispositivo o una cuenta de destino identifiquen por sí solos al autor material, y analizamos el conocimiento real de quien solo cedió una cuenta para recibir fondos ("mulero"), pues su desconocimiento del origen ilícito puede excluir el dolo.
Estafa Informática: Marco Legal
La estafa informática es la modalidad de estafa que se comete sin engañar directamente a una persona, sino manipulando un sistema informático para conseguir una transferencia patrimonial no consentida. Se regula en el artículo 249.1.a del Código Penal, que castiga el uso de "alguna manipulación informática o artificio semejante" que produzca el desplazamiento de un activo patrimonial en perjuicio de otro (el art. 249.1.b castiga, además, el uso fraudulento de tarjetas y otros instrumentos de pago).
Conviene no confundirla con la estafa por internet (Art. 248 CP): en aquella el autor engaña a una persona a través de medios digitales (tiendas falsas, marketplaces, alquileres ficticios); en la estafa informática no hay engaño a nadie, sino manipulación del sistema. Como abogados penalistas, defendemos tanto a personas investigadas por estos hechos como a víctimas que buscan recuperar lo defraudado. La frontera con los ciberdelitos técnicos (acceso ilícito o daños informáticos) es relevante: la estafa informática protege el patrimonio, no la integridad de los sistemas. Para el catálogo de modalidades (phishing, smishing, vishing, fraude del CEO, muleros) y la actuación de la víctima, vea ciberestafas y phishing.
Modalidades
- Phishing y smishing: obtención fraudulenta de credenciales bancarias suplantando a la entidad, seguida de transferencias no autorizadas.
- Vishing: llamadas telefónicas con suplantación de identidad —hoy potenciadas con clonación de voz mediante IA— para obtener claves o inducir directamente la transferencia.
- SIM swapping: duplicado fraudulento de la tarjeta SIM de la víctima para interceptar los códigos SMS de verificación y consumar la transferencia no consentida.
- Manipulación de banca electrónica: ejecución de órdenes de pago o transferencias accediendo a la cuenta de la víctima.
- Uso no consentido de datos de tarjetas: compras o cargos con numeraciones obtenidas ilícitamente (el uso material de tarjetas falsas se solapa con el Art. 399 bis).
- Fraude del CEO (BEC): órdenes de transferencia falsas que suplantan a un directivo o a un proveedor.
Penas y Agravantes
El tipo básico se castiga con prisión de 6 meses a 3 años, fijándose la pena en atención a la cuantía defraudada y a los medios empleados. Cuando lo defraudado no supera los 400€, los hechos pueden constituir un delito leve sancionado con multa. Concurren los subtipos agravados del artículo 250 CP —prisión de 1 a 6 años y multa— cuando la cuantía excede de 50.000€, los hechos afectan a una generalidad de personas o se comete con la identidad de un tercero. Para la tabla completa de penas de la estafa común, vea el Art. 248 CP.
| Modalidad | Artículo | Pena |
|---|---|---|
| Tipo básico | Art. 249.1.a CP | Prisión de 6 meses a 3 años |
| Delito leve (cuantía ≤ 400€) | Art. 248 CP | Multa (salvo multirreincidencia, LO 1/2026) |
| Agravada (cuantía >50.000€, generalidad de personas u otras circunstancias del Art. 250.1) | Art. 250.1 CP | Prisión de 1 a 6 años y multa de 6 a 12 meses |
| Hiperagravada (doble circunstancia del 250.1 o cuantía >250.000€) | Art. 250.2 CP | Prisión de 4 a 8 años y multa de 12 a 24 meses |
Tabla orientativa conforme a los Arts. 249.1.a y 250 CP. Consulte siempre con un abogado para valorar las circunstancias concretas de su caso.
Estrategia de Defensa
- Impugnación de la autoría: una IP, un dispositivo o una cuenta de destino no acreditan por sí solos quién realizó la operación; exigimos prueba técnica concluyente.
- Posición del "mulero": quien solo cede una cuenta puede desconocer el origen ilícito de los fondos; analizamos el dolo y su posible atipicidad.
- Cuantía y unidad de acción: discutimos la suma de importes y la calificación como delito leve o continuado.
- Responsabilidad de la entidad: cuando defendemos a la víctima, reclamamos a la entidad bancaria por sus deberes de diligencia y autenticación reforzada.
El Proceso Penal y la Competencia Territorial
La estafa informática del artículo 249.1.a CP se persigue de oficio y arranca, en la mayoría de casos, con la denuncia de la entidad bancaria o de la persona perjudicada. La instrucción corresponde al Juzgado de Instrucción, que dirige la investigación, acuerda las diligencias y delimita el objeto del procedimiento. La competencia territorial plantea una cuestión recurrente en este delito: al ejecutarse la transferencia patrimonial de forma telemática, el lugar de comisión no siempre coincide con el domicilio del investigado. La doctrina sitúa la competencia, con carácter general, en el lugar donde se produce el desplazamiento patrimonial o donde se consuma el perjuicio, criterio que conviene fijar pronto para evitar dilaciones y declinatorias.
Según la pena en abstracto, el enjuiciamiento se sustancia por los trámites del procedimiento abreviado cuando la pena no excede de nueve años, lo que abarca tanto la estafa informática del artículo 249.1.a como sus modalidades agravadas del artículo 250.1. El proceso recorre la fase de instrucción, la fase intermedia —donde se decide la apertura del juicio oral o el sobreseimiento— y el juicio oral ante el Juzgado de lo Penal o la Audiencia Provincial. Una intervención técnica desde la primera declaración permite discutir indicios, cuestionar la atribución de la autoría y orientar la estrategia antes de que se consoliden las conclusiones provisionales de la acusación.
La Prueba Pericial Informática y la Cadena de Custodia
En la estafa informática la prueba digital es, casi siempre, el eje del procedimiento: registros de conexión, direcciones IP, trazas de la transferencia, metadatos, dispositivos intervenidos o volcados de mensajería. Toda esta evidencia es por naturaleza frágil y fácilmente alterable, de modo que su valor probatorio depende de que se haya obtenido y conservado con todas las garantías. La defensa examina con detalle la cadena de custodia: cómo se incautó el dispositivo, quién accedió a él, si se generó una imagen forense con su correspondiente función hash, y si cualquier manipulación quedó documentada. Una ruptura no justificada en esa cadena puede comprometer la fiabilidad de la fuente de prueba.
El examen pericial también atiende a la obtención de los datos de tráfico y a la posible afectación de derechos fundamentales, en particular el secreto de las comunicaciones y la protección de datos, cuya injerencia exige autorización judicial motivada y proporcionada. La mera vinculación de una dirección IP no equivale, por sí sola, a la identificación del autor material, pues una conexión puede compartirse o suplantarse. Por ello resulta esencial contrastar la pericial de la acusación con una pericial de parte que valore la solidez de la atribución, descarte falsos positivos y exponga las hipótesis alternativas compatibles con la inocencia del investigado.
Deslinde con la Estafa Común y con el Descubrimiento de Secretos
Conviene distinguir con precisión la estafa informática del artículo 249.1.a CP de la estafa común. La estafa clásica exige un engaño bastante que provoca un error en una persona, la cual realiza un acto de disposición patrimonial. En la modalidad informática no hay propiamente una persona engañada, sino una manipulación informática o artificio semejante que consigue una transferencia no consentida de un activo patrimonial. La frontera importa porque, cuando el ardid se dirige a obtener de la víctima sus credenciales o a inducirla a ordenar ella misma el pago, puede operar la estafa común; cuando el desplazamiento se logra alterando el sistema o el proceso automatizado, encaja en la modalidad informática.
El deslinde con el descubrimiento y revelación de secretos del artículo 197 CP también resulta determinante. El acceso ilícito a un sistema o la captación de datos reservados, sin un desplazamiento patrimonial mediante manipulación, pertenece a la órbita del 197 y figuras afines, no a la estafa. Cuando concurren ambos comportamientos —por ejemplo, un acceso indebido seguido de una transferencia fraudulenta— hay que valorar si estamos ante un concurso de delitos o ante un concurso de normas, lo que incide directamente en la pena. Calificar correctamente desde el inicio evita acusaciones por tipos que no corresponden y permite combatir una posible duplicidad punitiva.
Plazos de Prescripción del Delito
La prescripción es una vía de defensa que conviene comprobar siempre, porque el transcurso del tiempo extingue la responsabilidad penal. Tras la reforma operada por la Ley Orgánica 5/2010 ya no existe el antiguo tramo de tres años; los plazos del artículo 131 CP se calculan en función de la pena máxima señalada al delito. La estafa informática del artículo 249.1.a, castigada con prisión de seis meses a tres años, es delito menos grave y prescribe a los cinco años. La estafa leve del artículo 248.3, cuando la cuantía no supera los 400 euros y se castiga con multa, es delito leve y prescribe al año.
En las modalidades agravadas la prescripción se alarga porque la pena máxima es superior. La estafa agravada del artículo 250.1, con prisión de uno a seis años, supera el umbral de cinco años de pena máxima y prescribe a los diez años. La modalidad hiperagravada del artículo 250.2, castigada con prisión de cuatro a ocho años, prescribe igualmente a los diez años. El cómputo se inicia, por regla general, desde la consumación del delito, y se interrumpe cuando el procedimiento se dirige de forma efectiva contra la persona investigada. Una defensa rigurosa analiza estas fechas con detalle, pues un cálculo erróneo del momento inicial o de los actos interruptivos puede ser decisivo.
Blanqueo Asociado y Responsabilidad de la Persona Jurídica
Las estafas informáticas suelen ir acompañadas de maniobras para mover y ocultar el dinero defraudado, lo que abre la puerta a una imputación añadida por blanqueo de capitales. Especial atención merece la figura del intermediario que, a cambio de una comisión, recibe los fondos en su cuenta y los reenvía. Quien actúa en esa posición puede verse investigado por blanqueo cuando se aprecia que conocía o debía conocer el origen ilícito del dinero. La defensa debe trabajar con cuidado el elemento subjetivo, distinguiendo entre la connivencia consciente y la persona captada con engaño que ignoraba el carácter delictivo de la operación, extremo que condiciona por completo su responsabilidad.
Cuando el delito se comete en el seno o en beneficio de una empresa, puede activarse la responsabilidad penal de la persona jurídica conforme al artículo 31 bis CP. La sociedad responde por los hechos cometidos por sus representantes o por personas sometidas a su control cuando ha existido un defecto de organización y supervisión. Frente a esa imputación adquieren un valor decisivo los modelos de prevención de delitos —los llamados programas de cumplimiento o compliance—, que, debidamente implantados y eficaces, pueden eximir o atenuar la responsabilidad de la entidad. Defender en paralelo a la persona física y a la jurídica exige coordinar ambas estrategias para que no se perjudiquen mutuamente.
Penas y Consecuencias: Estafa Informática (Art. 249.1.a CP)
| Tipo / Supuesto | Consecuencia Penal |
|---|---|
| Tipo básico (Art. 249 CP) | Prisión de 6 meses a 3 años, en función de la cuantía y los medios empleados. |
| Delito leve | Si la cuantía no supera los 400€, pena de multa (delito leve). |
| Agravada (Art. 250 CP) | Prisión de 1 a 6 años y multa cuando la cuantía excede de 50.000€, afecta a una generalidad de personas o se usa la identidad de un tercero. |
* Las penas indicadas son orientativas. La pena concreta depende de las circunstancias del caso, atenuantes y agravantes aplicables.
Estrategia de Defensa: Estafa Informática (Art. 249.1.a CP)
Pericial Informática Forense
Análisis técnico de logs, dispositivos y trazabilidad para impugnar la atribución de la operación al investigado.
Delimitación del Dolo
En receptores de fondos, acreditar el desconocimiento del origen ilícito para excluir la estafa o reconducir a una figura menos grave.
Reclamación a la Entidad
Para la víctima, exigir la responsabilidad de la entidad bancaria por incumplimiento de sus deberes de autenticación y diligencia.
Guía de Defensa en Delitos contra el Patrimonio: Estrategia y Penas
Los delitos contra el patrimonio y el orden socioeconómico se regulan en el Título XIII del Código Penal (Arts. 234-304 CP). Son los delitos más frecuentes en los juzgados españoles y abarcan desde el hurto leve hasta la estafa millonaria. La diferencia entre una absolución y años de prisión depende, con frecuencia, de un solo elemento típico: la cuantía, el método empleado o la existencia de antecedentes penales.
Cuadro Comparativo de Penas: Hurto, Robo y Estafa
| Delito | Artículo CP | Elemento Clave | Pena Base |
|---|---|---|---|
| Hurto leve | Art. 234.2 | <400€, sin fuerza | Multa 1-3 meses |
| Hurto | Art. 234.1 | >400€, sin fuerza | 6 meses – 18 meses |
| Hurto agravado (235 CP) | Art. 235 | Objeto especial / multi-reincidencia | 1 – 3 años |
| Robo con fuerza | Art. 240 | Palanca, ganzúa, puerta forzada | 1 – 3 años |
| Robo con violencia | Art. 242 | Intimidación o violencia directa | 2 – 5 años |
| Estafa | Art. 249 | Engaño + perjuicio económico | 6 meses – 3 años |
| Receptación | Art. 298 | Conocimiento del origen ilícito | 6 meses – 2 años |
Claves de la Defensa Penal en Delitos Patrimoniales
Impugnar el animus lucrandi
Acreditar que no existía intención de lucro — clave en imputaciones de hurto entre conocidos o disputas de propiedad.
Cuestionar la valoración del objeto
La diferencia entre 399€ y 400€ supone pasar de delito leve (multa) a delito menos grave (hasta 18 meses). La pericial de tasación es estratégica.
Acreditar consentimiento previo
En hurtos entre personas relacionadas, demostrar que el acusado creía tener derecho sobre el objeto es una defensa eficaz.
Análisis de antecedentes (multirreincidencia)
El Art. 235.7 CP agrava el hurto cuando hay más de dos condenas previas. Impugnar el cómputo correcto de antecedentes es esencial.
Cadena de custodia (receptación)
Si el fiscal no prueba que el acusado sabía el origen ilícito del bien, no hay delito de receptación. Exigir la prueba del 'conocimiento'.
Error de tipo en estafa (Art. 14 CP)
En fraudes comerciales, demostrar que el acusado creía sinceramente en la veracidad de sus representaciones elimina el dolo y por tanto el delito.
⚡ Tiempo Crítico: Conservación de Pruebas
En delitos patrimoniales, las evidencias digitales — cámaras de seguridad, geolocalización del móvil, logs de cajero — se sobreescriben habitualmente en 30 días. Contacte con abogado especialista inmediatamente tras la detención o la citación para preservar pruebas de descargo.
¿Por Qué Elegirnos?
¿Necesita un abogado penalista para este tipo de delito? Así trabajamos:
¿Necesita Asistencia Legal Especializada?
El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.