Ley Nº 20327 - REGULACION PARA LA PREVENCION Y REPRESION DE LA CIBERDELINCUENCIA

CAPÍTULO I - TIPIFICACIÓN DE CIBERDELITOS

Artículo 1

(*)

Artículo 2

(*)

Artículo 3

(*)

Artículo 4

(*)

Artículo 5

(*)

Artículo 6

(*)

Artículo 7

(*)

Artículo 8

(*)

CAPÍTULO II - MEDIDAS EDUCATIVAS

Artículo 9

(Campaña nacional educativa).- El Poder Ejecutivo promoverá una campaña nacional educativa sobre el manejo de finanzas personales y ciberseguridad en los centros educativos dependientes de la Dirección General de Educación Secundaria y de la Dirección General de Educación Técnico-Profesional de la Administración Nacional de Educación Pública, que deberá comprender, además, a beneficiarios de prestaciones servidas por el Banco de Previsión Social, Ceibal y los programas del Instituto Nacional de Empleo y Formación Profesional.

Los conceptos a desarrollar deberán revisarse y actualizarse periódicamente acompasando los avances tecnológicos y serán los siguientes:

A) Medios de pago, (dinero electrónico, diferencia entre subtipos de tarjetas, realización de operaciones en línea y cualquier otro medio de pago electrónico que pudiere desarrollarse).

B) Cuentas bancarias: cajas de ahorro, cuentas corrientes, (diferencias entre ambas y vinculación a la Ley N° 19.210, de 29 de abril de 2014, y al Decreto-Ley N° 14.701, de 12 de setiembre de 1977).

C) Acceso al financiamiento: préstamos (análisis de tasas de interés, plazos, cálculo de cuota contra ingresos mensuales, consecuencias de incumplimientos).

D) Instituciones financieras: diferencia entre agentes clásicos y nuevos participantes, (plataformas de comercio electrónico y mensajería instantánea, entre otras).

E) Planificación presupuestaria: relación ahorro y consumo, costo del dinero.

F) Antecedentes crediticios: clearing de informes, central de riesgos del Banco Central del Uruguay, implicancias e impacto en acceso al crédito.

G) Intangibilidad del salario (límite para el endeudamiento, pago de prestaciones alimenticias, orden de deducciones).

H) Mecanismos de defensa al usuario financiero.

I) Canales digitales y riesgos derivados de su uso inadecuado.

J) Ejercicio de derechos en el entorno digital y aplicación de conceptos de autorregulación, comportamiento ético y empático en el ciberespacio.

K) Fraudes tendientes al acceso de datos personales y financieros, que se determinan según las siguientes definiciones:

1) Phishing: suplantación de identidad, técnica de ingeniería social que usan los ciberdelincuentes para obtener información confidencial de los usuarios de forma fraudulenta y así apropiarse de la identidad de esas personas.

2) Vishing: tipo de estafa de ingeniería social por teléfono en la que a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima.

3) Smishing: técnica que consiste en el envío de un mensaje de texto por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública u otros) con el objetivo de robarle información privada o causarle un perjuicio económico.

4) Malware: hace referencia al software malicioso, que afecte los intereses del usuario, entendiéndose software al conjunto de programas y rutinas que permiten a una computadora realizar determinadas tareas.

5) Troyano: es un programa que instala otros programas a menudo malware, sin consentimiento.

6) Ingeniería social: son las diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios, engañando a sus víctimas haciéndose pasar por otra persona.

L) Buenas prácticas para el uso de canales digitales (riesgos asociados a su utilización por parte de menores de edad, relevancia de la supervisión).

Asimismo, deberá asegurarse la igualdad en el acceso a las tecnologías de la información y de la comunicación, así como la equidad de género en su uso y acceso por lo que las entidades competentes deberán desarrollar campañas de seguridad digital en todo el territorio nacional con el fin de generar espacios de formación, capacitación, sociabilización y accesibilidad en las tecnologías de la información y la educación de forma equitativa a hombres y mujeres e igualitaria en materia de generaciones y discapacidad.

CAPÍTULO III - REGISTRO DE CIBERDELINCUENTES

Artículo 10

(Registro de antecedentes).- Facúltase a las instituciones de intermediación financiera y a las entidades emisoras de dinero electrónico a crear registros interinstitucionales que contengan datos para identificar, gestionar y prevenir transacciones no consentidas, operativas fraudulentas y tomar medidas preventivas conjuntas sobre los beneficiarios de éstas.

A los solos efectos de compartir entre sí la información a que refiere el inciso anterior, no aplicarán a las instituciones y entidades mencionadas las limitaciones impuestas por el Decreto-Ley N° 15.322, de 17 de setiembre de 1982, quedando dichas instituciones y entidades facultadas para compartir sus registros con las autoridades jurisdiccionales, a los efectos de radicar denuncias y realizar gestiones tendientes a prevenir y mitigar los ciberdelitos tipificados en la presente ley.

CAPÍTULO IV - PREVENCIÓN DE TRANSACCIONES NO CONSENTIDAS

Artículo 11

(Inmovilización de fondos).- Facúltase a las instituciones de intermediación financiera y a las entidades emisoras de dinero electrónico a la no ejecución de cualquier tipo de orden de retiro o transferencia de activos brindada por personas físicas o jurídicas titulares o apoderados de cuentas, cuando hubieren tomado conocimiento, por cualquier medio de comunicación fehaciente, que en las cuentas referidas ingresaron fondos de terceros a través de transacciones que les fueran declaradas como desconocidas y no autorizadas por el titular de las cuentas de origen de los fondos transferidos. Lo dispuesto comprende instrucciones efectuadas directamente por los titulares de la cuenta así como instrucciones impartidas por sus representantes o apoderados a cualquier título.

La inmovilización de fondos referida en el inciso anterior se aplicará a las cuentas correspondientes y comprenderá los saldos actuales e ingresos futuros de fondos o valores a dichas cuentas. En cualquier caso, la inmovilización de fondos alcanzará hasta el límite del monto de las transacciones denunciadas como desconocidas y no autorizadas por el titular de las cuentas de origen de los fondos transferidos, debiendo las instituciones de intermediación financiera y las entidades emisoras de dinero electrónico ejecutar toda orden que excediera dicho límite, salvo que las mismas no cumplan con requisitos legales o contractuales.

La inmovilización de los fondos consecuentemente con lo dispuesto en los incisos anteriores, deberá ser comunicada dentro del plazo de un día hábil al Banco Central del Uruguay (BCU), quien podrá solicitar información adicional a las instituciones de intermediación financiera y a las entidades emisoras de dinero electrónico donde se encuentran radicadas las cuentas de origen y destino vinculadas a las transacciones denunciadas como desconocidas y no autorizadas y, previo análisis de la información a la que acceda, podrá instruir dejar sin efecto la inmovilización de fondos.

La inmovilización de fondos deberá dejarse sin efecto y comunicarse al BCU cuando ocurra alguna de las siguientes situaciones:

A) La institución de intermediación financiera o la entidad emisora de dinero electrónico donde se encuentra radicada la cuenta afectada no hubiere recibido dentro del plazo de cuarenta y ocho horas de efectuada la inmovilización, constancia de denuncia presentada por el titular de la cuenta origen de los fondos ante autoridad competente (Ministerio del Interior o Fiscalía General de la Nación).

B) La institución de intermediación financiera o la entidad emisora de dinero electrónico donde se encuentra radicada la cuenta afectada no hubiere recibido, dentro del plazo de treinta días siguientes a la recepción de la constancia de denuncia referida en el literal A), una orden jurisdiccional confirmando la medida de inmovilización.

C) La institución de intermediación financiera o la entidad emisora de dinero electrónico donde se encuentra radicada la cuenta afectada por inmovilización recibiera de cualquier autoridad jurisdiccional competente instrucción de dejar sin efecto la inmovilización referida.

D) La institución de intermediación financiera o la entidad emisora de dinero electrónico donde se encuentra radicada la cuenta afectada por inmovilización recibiera, del titular de la misma, elementos de convicción suficiente o documentación fehaciente que, a su exclusivo criterio, indiquen que la transacción denunciada fue efectivamente autorizada por el titular de la cuenta de origen.

Las instituciones de intermediación financiera y las entidades emisoras de dinero electrónico podrán radicar o ampliar denuncias ante las autoridades competentes, y realizar gestiones interinstitucionales, quedando facultadas para brindar todos los datos vinculados a las operaciones no consentidas.

LACALLE POU LUIS - NICOLÁS MARTINELLI - OMAR PAGANINI - AZUCENA ARBELECHE - ARMANDO CASTAINGDEBAT - PABLO DA SILVEIRA - JOSÉ LUIS FALERO - WALTER VERRI - MARIO ARIZTI - JOSÉ SATDJIAN - JUAN BUFFA - EDUARDO SANGUINETTI - RAÚL LOZANO - ALEJANDRO SCIARRA - ROBERT BOUVIER