La presente ley, actualiza la legislación chilena en materia de delitos informáticos, adecuándola a las exigencias del Convenio de Budapest, del cual Chile es parte. La ley tipifica como delitos informáticos las siguientes conductas: ataque a la integridad de un sistema informático, acceso ilícito, interceptación ilícita, ataque a la integridad de los datos informáticos, falsificación informática, receptación de datos informáticos, fraude informático y el abuso de dispositivos, para los cuales se contemplan penas, según su gravedad, que van desde presidio menor en su grado mínimo a presidio mayor en su grado mínimo, así como aplicación de multas. Adicionalmente, se incorporan circunstancias modificatorias de responsabilidad penal, en particular, como atenuante, la cooperación eficaz, y como agravantes, a modo ejemplar, cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función, o de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores. Asimismo, se agregan reglas especiales en materia de procedimiento, concediéndose legitimación activa al Ministerio del Interior y Seguridad Pública, delegados presidenciales regionales y delegados presidenciales provinciales cuando las conductas señaladas en la ley afecten servicios de utilidad pública. Se permite ordenar técnicas de investigación de aquellas reguladas en los artículos 222 a 226 del Código Procesal Penal, cumpliendo los requisitos previstos en la ley, y se hace referencia expresa al comiso y evidencia digital. Finalmente, se deja sin efecto la Ley N° 19.223, que tipifica figuras penales relativas a la informática, y modifica otros textos legales para adecuarlos a esta nueva normativa.
     
    Artículo 2°.- Acceso ilícito. El que, sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.
    Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en sus grados mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.
    En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo.
    NoLey 21663
Art. 55 Nº 1
D.O. 08.04.2024 será objeto de sanción penal por haber incurrido en los hechos tipificados en el inciso primero, el que habiendo accedido a un sistema informático cuyo responsable tenga domicilio en Chile, lo hiciera cumpliendo con las siguientes condiciones:
     
    1. Que se encuentre inscrito en el registro que al efecto lleve la Agencia Nacional de Ciberseguridad.
    2. Que el acceso se haya realizado habiendo informado previamente de ello a la Agencia.
    3. Que el acceso y las vulnerabilidades de seguridad detectadas hayan sido reportadas al responsable del sistema informático y a la Agencia, tan pronto se hubiere realizado.
    4. Que el acceso no haya sido realizado con el ánimo de apoderarse o de usar la información contenida en el sistema informático, ni con intención fraudulenta. Tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni habrá utilizado métodos que pudieran conducir a denegación de servicio, a pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, exfiltración o destrucción de datos.
    5. Que no haya divulgado públicamente la información relativa a la potencial vulnerabilidad.
    6. Que se trate de un acceso a un sistema informático de los organismos de la Administración del Estado. En el resto de los casos, requerirá del consentimiento del responsable del sistema informático.
    7. Que haya dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia.