María Isabel Montserrat Sánchez-Escribano és professora Titular de Dret Penal a la Universitat de les Illes Balears (UIB), on desenvolupa la seva activitat docent i investigadora en l’àmbit del Dret públic, amb especial atenció a l’impacte de les noves tecnologies sobre l’ordenament jurídic.
La seva tasca acadèmica s’orienta a l’anàlisi jurídica de fenòmens com Internet i la societat digital, la intel·ligència artificial, la protecció de dades, la ciberseguretat i els reptes normatius que planteja la transformació digital de les administracions públiques i del sector públic en general. En aquest context, aborda qüestions relacionades amb la regulació de l’ús d’algoritmes, la presa de decisions automatitzada, les garanties dels drets fonamentals en entorns digitals i el paper del Dret penal davant la innovació tecnològica.
Com a docent, participa en assignatures i activitats formatives vinculades al Dret penal i al Dret de les tecnologies, contribuint a formar professionals capaços d’entendre i aplicar el marc jurídic en entorns digitals complexos. La seva recerca i divulgació s’emmarca en el debat actual sobre com el Dret pot donar resposta als desafiaments ètics, jurídics i institucionals derivats del desenvolupament tecnològic.
1. La delinqüència informàtica evoluciona molt més ràpid que la normativa. En un context on fins i tot atacs cibernètics han afectat institucions de les illes, quin diries que és avui el repte més urgent per al dret penal?
Des del punt de vista del dret penal que denominam substantiu, no partim d’un buit normatiu. Existeixen instruments jurídics rellevants per fer front a la delinqüència informàtica, com el Conveni del Consell d’Europa sobre la ciberdelinqüència, fet a Budapest el 23 de novembre de 2001, que continua essent el principal marc internacional en la matèria, i, en l’àmbit de la Unió Europea, la Directiva 2013/40/UE del Parlament Europeu i del Consell, de 12 d’agost de 2013, relativa als atacs contra els sistemes d’informació i per la qual se substitueix la Decisió marc 2005/222/JAI del Consell. Aquests instruments varen ser traslladats a l’ordenament jurídic espanyol a través de la reforma del Codi Penal operada per la Llei orgànica 1/2015, de 30 de març, que va actualitzar i ampliar de manera significativa els tipus penals vinculats als delictes informàtics. Aquests instruments han permès tipificar conductes noves, reforçar les ja existents per adaptar-les als reptes tecnològics i establir un mínim comú denominador en la persecució penal dels ciberdelictes.
Tanmateix, el repte més urgent avui per al dret penal no és tant la manca de normes substantives com la seva efectivitat real en un entorn que és estructuralment transfronterer, altament tècnic i extremadament dinàmic. Identificar els autors, atribuir responsabilitats i coordinar investigacions que depenen d’infraestructures, dades i actors situats fora de la jurisdicció nacional continua essent el principal coll d’ampolla. A la pràctica, molts procediments es troben amb límits en aquests àmbits, fet que obliga a posar l’accent en les polítiques preventives de ciberseguretat i ciberresiliència.
2. En moltes informacions de premsa local sobre ciberatacs s’assenyala sovint un origen rus dels atacants. A què es deu aquesta atribució? Quins elements tècnics, jurídics o d’intel·ligència permeten identificar —o, si escau, només inferir— l’origen d’un ciberatac, i fins a quin punt aquesta identificació és fiable?
Atribuir l’origen d’un ciberatac és difícil perquè hi ha tècniques de camuflatge i “false flag” (infraestructura llogada, proxies, llenguatge i horaris simulats, reutilització deliberada de codi, etc.). La comunitat tècnica i d’intel·ligència sol combinar indicadors tècnics (IOC): IPs, dominis, certificats, “hashes” de malware, patrons de comandament i control i TTPs (tècniques, tàctiques i procediments): manera d’entrar, moure’s lateralment, exfiltrar, xifrar, extorsionar. Aquest “modus operandi” sovint és més informatiu que un indicador puntual, intel·ligència contextual: objectius, selecció de víctimes, idiomes, fusos horaris, coincidències amb campanyes conegudes.
La fiabilitat varia. La atribució tècnica pot ser forta a nivell de campanya (semblances consistents), però la atribució jurídica i política (assenyalar un Estat o un actor concret com a responsable) és un pas diferent, amb llindars probatoris i conseqüències diferents. A nivell europeu es reconeix explícitament que l’atribució política és una decisió sobirana i cas per cas. Per això, quan en premsa es diu “origen rus”, sovint és una inferència basada en patrons i campanyes prèvies, no una “prova” d’autoria individual.
3. Quan una decisió que afecta una persona és adoptada mitjançant un algoritme —per exemple, l’inici d’una inspecció tributària, la denegació d’un crèdit o d’una ajuda social, quins drets té aquesta persona per exigir a la institució informació sobre els criteris, les variables o la lògica utilitzada pel sistema? Com es pot fer efectiu, a la pràctica, aquest dret a la transparència i a l’explicabilitat algorítmica? I com evitam la discriminació de col•lectius vulnerables?
Si una decisió amb efectes jurídics o impacte significatiu es basa exclusivament en tractament automatitzat, el marc clau és el RGPD, concretamente l’article 22, que reconeix el dret a no ser objecte d’aquest tipus de decisió amb determinades excepcions i garanties. A la pràctica, els drets es concreten en informació “significativa” sobre la lògica aplicada i les conseqüències previstes (en el marc dels deures d’informació i d’accés), sobre tot pel que respecta a la intervenció humana, la possibilitat d’expressar el punt de vista i d’impugnar la decisió quan sigui aplicable (garanties habitualment associades a l’art. 22 RGPD).
A aquest marc s’hi afegeix ara el Reglament (UE) 2024/1689 del Parlament Europeu i del Consell, pel qual s’estableixen normes harmonitzades en matèria d’intel·ligència artificial (RIA o AI Act). Aquest reglament introdueix obligacions específiques de transparència, traçabilitat, supervisió humana i gestió del risc, especialment en el cas dels sistemes d’IA qualificats d’alt risc, entre els quals s’inclouen determinats sistemes utilitzats per administracions públiques en àmbits com la selecció, l’avaluació o l’adopció de decisions que poden afectar drets fonamentals.
En la pràctica, això reforça el dret de les persones a rebre informació clara i comprensible sobre l’ús d’aquests sistemes, a exigir mecanismes de revisió humana efectiva i a reclamar garanties addicionals per prevenir biaixos i discriminacions, especialment quan es tracta de col·lectius vulnerables. El Reglament d’IA no substitueix el RGPD, sinó que el complementa, ampliant les obligacions de les institucions i organitzacions que dissenyen o utilitzen sistemes algorítmics amb impacte jurídic o social rellevant.
4. A les Illes Balears conviuen moltes administracions petites (ajuntaments, consells, empreses públiques) amb recursos desiguals. Creus que aquesta fragmentació institucional fa més difícil protegir-se davant ciberatacs i aplicar protocols de seguretat homogenis?
Sí. La fragmentació institucional, amb molts ens petits que disposen de nivells de maduresa molt desiguals, tendeix a generar asimetries importants de capacitat, tant pel que fa a equips tècnics com a monitoratge i resposta davant incidents, així com una elevada heterogeneïtat de proveïdors. Resulta molt important l’homogeneïtzació de controls bàsics de seguretat, com les còpies de seguretat, l’autenticació multifactor, la segmentació de xarxes o la gestió de vulnerabilitats, així com la formació de les persones per evitar pràctiques per desconeixement com la de shadow IT.
Davant aquesta realitat, la resposta més realista passa per avançar cap a serveis compartits, com ara centres d’operacions de seguretat (SOC), mecanismes de contractació centralitzada, catàlegs comuns de controls i una resposta coordinada als incidents, juntament amb una exigència de compliment coherent amb els estàndards públics de seguretat, com la lògica de l’Esquema Nacional de Seguretat, i amb les obligacions que es derivin progressivament del ecosistema europeu, com per exemple NIS2.
5. Les Illes Balears depenen molt del sector turístic, que sovint gestiona grans volums de dades personals. Quins riscos específics veu en aquest sector i com hauria d’adaptar-se la regulació per protegir millor visitants i personal laboral?
El sector turístic gestiona volums molt rellevants de dades d’alt valor —dades identificatives, de contacte, de pagament, preferències o informació de mobilitat— i em consta que, de manera creixent, moltes empreses del sector a les Illes Balears estan incorporant bones pràctiques en matèria de protecció de dades i seguretat digital. Tot i això, continua essent un àmbit especialment exposat a determinats riscos, com ara incidències en les cadenes de subministrament tecnològic (sistemes de gestió hotelera, channel managers, CRM o centres d’atenció telefònica), campanyes de phishing i robatori de credencials —sobretot en períodes de màxima activitat i elevada rotació de personal—, o intents d’exfiltració i extorsió mitjançant atacs de ransomware.
En aquest context, diria que l’aspecte més important actualment és formar a tot el personal en ciberseguretat, especialment per detectar i prevenir ciberatacs. Crec que avui dia, les empreses en general han d’estar molt alerta, i elevar el nivell de seguretat exigible tant en la contractació de serveis com en la relació amb tercers. També és molt important tenir en compte i cumplir d’una manera ferme les obligacions derivades del RGPD, sobre tot en aquest àmbit tenir en compte les obligacions derivades del tractament i els terminis de conservació de dades.
6. Quins errors habituals veu en petites empreses de les Illes Balears pel que fa a protecció de dades i seguretat digital?
Em permetran que, com que soc professora, insisteixi en la formació, però l’experiència em mostra que moltes empreses encara no formen adequadament el seu personal en ciberseguretat, i això es reflecteix en una sèrie d’errors que es repeteixen amb freqüència. És molt important, per tant, formar al personal, especialment el d’administració i comptabilitat, perquè sovint són els objectius més directes dels ciberdelincuents.
Des d’un punt de vista tècnic, entre els errors més habituals hi ha l’absència d’autenticació multifactor en el correu electrònic i en els sistemes clau, que no se fan de còpies de seguretat o que se fan molt poques —afegint emportar-se dins una motxila cada dia el disc amb la còpia—, contrasenyes febles, falta d’actualitzacions als sistemes, un inventari incomplet dels actius digitals, així com l’atorgament de permisos excessius i l’ús compartit de comptes d’usuari. A això s’hi afegeixen la manca de plans de resposta a incidents, de manera que, quan es produeix una bretxa de seguretat, la reacció és complicada.
7. Quin impacte està tinguent la irrupció de la IA en el frau acadèmic? Quin és el seu posicionament al respecte, com es pot aprofitar aquesta onada positivament?
L’impacte de la intel·ligència artificial generativa en el frau acadèmic és real i innegable, ja que aquestes eines faciliten la producció de textos i solucions amb una aparença formalment correcta i plausible, fet que ha reobert amb força el debat sobre el disseny de les proves d’avaluació i la garantia de la integritat acadèmica. La recerca recent posa de manifest tant els riscos que això comporta per a la credibilitat del sistema educatiu com l’aparició de noves pràctiques d’avaluació adaptades a aquest nou context tecnològic.
Des del meu punt de vista, no em sembla problemàtic que l’alumnat utilitzi la intel·ligència artificial com a eina d’assistència, sempre que se’n faci un ús conscient i crític. Això implica, d’una banda, ser plenament conscient del risc d’al·lucinacions o errors que poden generar aquests sistemes i, de l’altra, garantir que els treballs acadèmics incorporin un procés creatiu i intel·lectual original atribuïble a l’autor, i no una mera reproducció automatitzada de continguts. Per aquest motiu, no és sostenible confiar únicament en mecanismes de detecció del frau.
La resposta més sòlida passa per un replantejament de l’avaluació, mitjançant el redisseny de les tasques perquè incorporin processos, versions successives, defenses orals o evidències del treball realitzat, així com per la introducció d’avaluacions orals o “vives” en moments clau, especialment quan es tracta de valorar competències d’anàlisi, raonament i aplicació. A això s’hi ha d’afegir una aposta clara per l’alfabetització en intel·ligència artificial, que permeti ensenyar usos legítims i responsables d’aquestes eines —com la generació d’idees, l’elaboració d’esquemes, la comprovació de resultats o la millora de l’estil— i, al mateix temps, exigir transparència en el seu ús, mitjançant la declaració de les eines i dels prompts utilitzats quan sigui pertinent. Al meu cas, lider un projecte d’innovació docent amb aquesta precisa finalitat.
8. La UNESCO ha publicat recentment les primeres directrius sobre neurotecnologia, un àmbit que fins ara estava regulat principalment dins del sector de la salut. No obstant això, dispositius d’ús quotidià com auriculars o rellotges intel·ligents poden captar dades biològiques i fisiològiques altament sensibles, capaces d’inferir pensaments, emocions o reaccions. Quin podria ser l’abast i els riscos d’un ús inadequat d’aquestes dades per part d’empreses, governs o altres actors?
Efectivament, la UNESCO ha adoptat recentment (el novembre si no vaig malament) el primer estàndard normatiu global sobre l’ètica de la neurotecnologia, advertint dels riscos que aquestes tecnologies poden comportar per a drets fonamentals especialment sensibles, com la privacitat mental i la llibertat de pensament, sobretot en un context en què dispositius d’ús quotidià són capaços de captar dades biològiques i fisiològiques amb un alt potencial inferencial.
Desde el meu punt de vista, un ús inadequat d’aquestes dades pot facilitar pràctiques de perfilatge i manipulació, permetent inferir emocions, i utilitzar aquesta informació per segmentar, influir o discriminar persones o col·lectius, encara que també he de dir que totes aquestes són pràctiques prohibides pel RIA. A això s’hi afegeix el problema d’un consentiment sovint feble o merament formal, ja que moltes d’aquestes dades es generen o es recullen de manera poc conscient per part dels usuaris, com va passar al cas de l’escaneig de l’iris.
Els riscos s’estenen també a possibles usos per part d’actors públics o privats en àmbits com la vigilància, la selecció de personal, les assegurances, el crèdit, l’educació o el control social, així com a l’aparició de noves bretxes d’equitat, atès que el cost elevat d’aquestes tecnologies i la concentració de la innovació poden accentuar desigualtats socials i econòmiques existents. Sense prejudici d’això, he de dir que les empreses i l’Administració són les que més mesures estan implementant precisament per complir el RIA, de manera que molts d’aquests riscos estan disminuint significativament.
9 . En casos d’error, mal funcionament o atac (tècnic o cibercriminal) d’un sistema d’IA, qui hauria de ser considerat responsable legalment: el desenvolupador, l’usuari, l’organització que l’implementa o un altre actor?
No hi ha una resposta fàcil ni única: depèn del tipus de dany produït, del rol de cada actor i del règim jurídic aplicable (civil, penal, de consum, entre d’altres). En termes operatius, el desenvolupador pot respondre per defectes de disseny; l’empresa o organització implementadora, per un desplegament negligent, per la manca de controls adequats o per un ús del sistema fora de les especificacions previstes; i els tercers, com ara proveïdors o integradors, en funció del que estableixin els contractes i dels seus deures de diligència. Cal contemplar també la possibilitat d’un mal ús per part de l’usuari, per exemple quan el sistema s’utilitza fora dels casos d’ús definits pel dissenyador. En l’àmbit públic, a més, entren en joc estàndards específics de motivació, proporcionalitat, control i revisió, que condicionen l’atribució de responsabilitats.
10. És legal, normatiu o ètic que un sistema d’intel·ligència artificial (sigui virtual o físic) estigui dissenyat de manera que un ésser humà no pugui distinguir si està interactuant amb una màquina o amb una altra persona real?
En general, el moviment regulatori europeu va en direcció contrària: imposar obligacions de transparència. El RIA estableix que els sistemes destinats a interactuar amb persones han d’informar que l’usuari està interactuant amb una IA, excepte si és obvi pel context.
Èticament, el problema central és la decepció (afecta autonomia, confiança i consentiment). Jurídicament, a més RIA, poden entrar normes de consum i pràctiques deslleials si la confusió s’utilitza per influir en decisions econòmiques.
De totes maneres, per a mi, aquí el problema principal és la pèrdua de confiança que es produeix quan les persones no saben si estan interactuant amb un ésser humà o amb un sistema automatitzat. Això és especialment visible a les xarxes socials, com ara als comentaris d’Instagram, on cada vegada és més difícil distingir entre interaccions genuïnes i continguts generats o amplificats per sistemes d’intel·ligència artificial, fet que erosiona la credibilitat de l’espai públic digital i alimenta la desconfiança entre usuaris. Precisament per evitar aquest efecte, el Reglament europeu d’intel·ligència artificial (AI Act) estableix obligacions de transparència, imposant que els sistemes destinats a interactuar amb persones informin clarament que l’usuari està interactuant amb una IA, llevat que això sigui evident pel context.
11. Pot recomanar alguna pel·lícula relacionada amb les temàtiques que hem tractat en aquesta entrevista?
Idò, te diré Ex Machina (2014), una pel·lícula sobre identitat, engany i responsabilitat.
12. Pot recomanar algun llibre?
Aquí tenc un molt clar, Click Here to Kill Everybody, de Bruce Schneier, sobre seguretat i societat hiperconnectada.