Se ha venido planteando la posibilidad de subsumir determinadas suplantaciones de identidad, perpetradas a través de Internet, en el vetusto tipo penal del artículo 401 CP. El Auto del Tribunal Supremo de 7 de julio de 2011, del cual fue Ponente Andrés Martínez Arrieta, permite atisbar la realidad de esta hipótesis en la práctica jurisdiccional de nuestro país.
El concepto de "robo" de identidad – identity theft – informático se ha ido introduciendo en nuestro país, y el delito en él consistente ha sido ya causa de procedimientos de extradición (así, Autos de la Audiencia Nacional nº 22/2008, de 18 de febrero o nº 14/2008, de 14 de marzo). Varios ordenamientos de nuestro entorno se vieron desbordados por el incremento de suplantaciones de identidad a través de Internet, al carecer de figuras delictivas que pudieran serles aplicables. Ello conllevó que se tipificaran específicamente las suplantaciones informáticas de identidad (por ejemplo, EE.UU. mediante leyes de 1998 y 2004, o Francia en el presente año 2011). En España, por el contrario, ya preveía el Fuero Juzgo un delito de suplantación de identidad que, con la llegada del movimiento codificador, se articularía como de "usurpación del estado civil" (hoy, artículo 401 CP). Es lógico, por lo tanto, plantear si podían calificarse conforme a este tipo penal algunas suplantaciones de identidad cometidas a través de Internet.
Un breve apunte: muchas estafas cometidas a través de Internet se producen gracias al uso de una identidad falsa (paradigmáticamente, el llamado phishing), que muchas veces no será más que el engaño que requiere el tipo penal de estafa, y no nos encontraremos ante un concurso de delitos. La duda surge cuando quien suplanta la identidad de otra persona, lo hace concurriendo los requisitos típicos del artículo 401 CP. Estos requisitos serían, sucintamente enumerados, que la suplantación tenga cierta permanencia (pues de lo contrario sería mero uso, no usurpación), que al menos uno de esos elementos de identidad arrogados forme parte del estado civil desde una perspectiva jurídico-penal (nombre, filiación, nacionalidad, etc.), suplantando suficientes como para hacerse pasar idóneamente por otro, y que la identidad usurpada pertenezca a una persona real. Sin embargo, la posibilidad de aplicar este tipo penal a estas formas de criminalidad contemporáneas generó cierto escepticismo por parte de muy respetables sectores. Así, si bien se admitía que una suplantación de identidad a través de Internet es "muy cercana en significación antijurídica a la usurpación de estado civil", y que cabría considerarla "como una modalidad del delito de usurpación del estado civil, de poder acreditarse un uso continuado en el tiempo", se concluía que esa hipótesis "no aparece en la realidad criminal informática" (véase la opinión del Fiscal de Sala Delegado en materia de Delitos Informáticos, recogida en las Memorias de la Fiscalía General del Estado de los años 2010 y 2011).
Pues bien, el Auto del Tribunal Supremo de 7 de julio de 2011 parece indicar lo contrario. Se trata de una cuestión de competencia, planteada por el Ministerio Fiscal, precisamente al contemplar éste la indiciaria existencia de un delito de usurpación del estado civil cometido a través de Internet. Lo interesante es el supuesto de hecho: una "estafa cometida mediante la venta por internet […] en la que el vendedor suplantó en la Red de identidad de "X", averiguándose posteriormente que el autor de los hechos se llamaba "Y" […] al que se le imputaban también otros hechos similares". Afirma la resolución que "nos encontramos con delitos conexos (estafa y usurpación de estado civil) del art. 17.3 LECrim, en tanto que el presunto autor de los hechos se valió de una identidad perteneciente a otra persona como medio para perpetrar la estafa". La indiciaria apreciación de este delito deviene esencial para resolver la cuestión, pues se atribuye competencia "al Juzgado del territorio en que se haya cometido el delito al que esté señalada mayor pena, que sería el delito de usurpación de estado civil". Así, conforme a la teoría de la ubicuidad, se atribuyó al Juzgado del lugar desde el cual accedieron a Internet "los datos de identidad". Por supuesto, ello no implica que finalmente se produjera una condena por este delito, pero al menos sí puede afirmarse que es posible calificar conforme al mismo estas suplantaciones de identidad a través de Internet.
En definitiva, parece que el artículo 401 CP sí permite hacer frente de un modo adecuado y proporcionado a estas nuevas realidades y sancionar aquellos comportamientos en los que se aprecie una genuina necesidad de intervención penal. Bien es cierto que conductas como el spoofing son, en sí mismas, atípicas (por ejemplo, el empleo como propia de la IP del ordenador de otra persona: una suplantación de "identidad informática", que no "informática de identidad"). Pero si ese spoofing no supuso la arrogación de elementos que forman parte del estado civil, ni es punible conforme a otras conductas ya tipificadas por nuestro Código Penal, no es penalmente relevante. No toda suplantación de identidad ha de serlo, como no lo es ya el derogado delito de uso público de nombre supuesto. El artículo 401 CP puede y debe dar suficiente respuesta a esta problemática, sin necesidad de crear un tipo específico y extraño a nuestro ordenamiento para cubrir lagunas de punibilidad inexistentes.
