El Gobierno prepara —todavía en fase de borrador— una reforma del Código Penal que convertiría en delito la manipulación deliberada de algoritmos por las grandes plataformas, con responsabilidad penal directa para sus administradores si desatienden una orden de retirada de contenidos ilícitos. El anuncio, formulado el 3 de julio de 2026 por la ministra de Juventud e Infancia, Sira Rego, llega apenas cinco días antes de que la Comisión Europea remitiera a España —junto con Irlanda, Francia y los Países Bajos— ante el Tribunal de Justicia de la Unión Europea (8 de julio de 2026) por no transponer la Directiva NIS2, y a menos de un mes de que el Reglamento europeo de Inteligencia Artificial despliegue sus obligaciones más severas (2 de agosto de 2026). Esta triple coincidencia temporal no es casual, y permite —exige, más bien— una lectura crítica conjunta que vaya más allá del titular político.
Los datos que disparan la alarma: el Informe de Cibercriminalidad 2025
El contexto que explicaría la premura legislativa lo ha proporcionado el propio Ministerio del Interior. Según el Informe sobre la Cibercriminalidad en España 2025, difundido el 10 de julio de 2026, las Fuerzas y Cuerpos de Seguridad registraron 488.426 ciberdelitos el año pasado —un 5,1 % más que en 2024—, cifra que sitúa la cibercriminalidad en el 19,8 % de toda la criminalidad conocida en España. Se detuvo o investigó a 19.876 personas (+2,9 %) y solo se esclareció el 14,6 % de los hechos.
Un fraude masivo, no una amplificación algorítmica
De ese universo, 429.677 hechos —en torno al 88 %— fueron calificados administrativamente como fraude informático, con 383.285 víctimas (+9,3 %), buena parte perjudicadas por el uso fraudulento de tarjetas y medios de pago (146.737 afectados). Conviene no confundir esta categoría estadística con la calificación penal estricta: la mayoría de estos hechos serían subsumibles en el art. 248.2 CP (estafa informática), no en el tipo que ahora se anuncia. La lectura crítica de la cifra es incómoda para el discurso oficial: el grueso de la cibercriminalidad que sufre el ciudadano medio no consiste en la amplificación algorítmica de contenidos por grandes plataformas, sino en estafas de base tecnológica modesta —phishing, smishing, suplantación— ejecutadas por organizaciones a menudo transnacionales. La reforma anunciada no incide, por tanto, sobre el núcleo estadístico del problema, sino sobre un fenómeno distinto y políticamente más visible: el pulso del Ejecutivo con los propietarios de las grandes redes sociales.
El nuevo tipo penal: manipulación algorítmica y responsabilidad de directivos
Conforme a lo avanzado por la ministra Rego —quien advirtió que «se acabó la impunidad» para las plataformas—, el anteproyecto, todavía no publicado, crearía un tipo penal para quien manipule intencionadamente los algoritmos de una plataforma con el fin de amplificar contenidos ilícitos o de interferir en procesos democráticos, y extendería la responsabilidad a sus propietarios y directivos cuando incumplan una orden de retirada de contenidos ilegales. La norma, que por afectar a derechos fundamentales exigiría rango de ley orgánica, se presenta como refuerzo nacional del Reglamento (UE) 2022/2065 de Servicios Digitales (DSA), cuya obligación de diligencia debida el Gobierno considera insuficientemente satisfecha por operadores como X.
Tres objeciones de técnica penal
El anuncio suscita tres objeciones. La primera afecta al principio de legalidad y a la taxatividad (art. 25.1 CE, art. 4.1 CP): «manipular un algoritmo para amplificar contenidos dañinos» describe una conducta todavía informe, y calificar qué contenido resulta «dañino» linda con la libertad de expresión del art. 20 CE. La segunda es de eficacia: la jurisdicción penal española halla límites prácticos (art. 23 LOPJ, cooperación judicial internacional) para juzgar a directivos domiciliados fuera de la Unión, como reconoce implícitamente la propia retórica gubernamental dirigida a Elon Musk. La tercera, de mayor calado dogmático, es la necesidad de la norma penal como ultima ratio frente a un DSA que ya habilita multas de hasta el 6 % de la facturación mundial anual del operador.
El frente concurrente: el Reglamento de IA y el riesgo de bis in idem
El segundo frente concurrente lo marca el Reglamento (UE) 2024/1689 de Inteligencia Artificial, cuya aplicación plena comienza el 2 de agosto de 2026 y que impone a proveedores e implantadores de sistemas de alto riesgo —entre ellos, previsiblemente, los sistemas de recomendación y moderación algorítmica— obligaciones de supervisión humana, trazabilidad y evaluación de conformidad, bajo la vigilancia sancionadora de la AESIA, operativa desde febrero de 2025. Su régimen sancionador —hasta 35 millones de euros o el 7 % de la facturación global por usos prohibidos del art. 5, y hasta 15 millones o el 3 % por incumplimientos de alto riesgo— se suma al del DSA y, eventualmente, al del futuro tipo penal. Ya analizamos ese despliegue en Deepfakes y el AI Act aplazado.
Esta acumulación de instrumentos punitivos —administrativo europeo, administrativo nacional y ahora penal— sobre unos mismos hechos no es cuestión académica. El TJUE, en su sentencia de 20 de marzo de 2018 (asunto C-524/15, Menci), admitió la duplicidad sancionadora solo si existe coordinación entre procedimientos y si la sanción global resulta estrictamente proporcionada a la gravedad de la conducta. Nada de esto se ha explicitado en el anteproyecto español, lo que abre un flanco de fragilidad constitucional que el legislador orgánico debería despejar antes de tramitarlo.
La incoherencia de fondo: España, camino del TJUE por la propia NIS2
El contraste resulta más llamativo si se repara en que, el 8 de julio de 2026, la Comisión Europea decidió remitir a España —junto con Irlanda, Francia y los Países Bajos— ante el Tribunal de Justicia de la Unión Europea por no haber notificado la transposición de la Directiva (UE) 2022/2555 (NIS2), cuyo plazo venció el 17 de octubre de 2024. La Comisión, tras las cartas de emplazamiento de 28 de noviembre de 2024 y los dictámenes motivados de 7 de mayo de 2025, ha solicitado al Tribunal sanciones económicas a tanto alzado y multas coercitivas diarias hasta que España notifique la transposición completa. La Ley de Coordinación y Gobernanza de la Ciberseguridad, llamada a incorporar NIS2 al ordenamiento español, continúa sin aprobación parlamentaria más de veinte meses después de agotado el plazo europeo.
“El mismo Estado que se apresta a criminalizar la falta de diligencia algorítmica de terceros incumple, con una demora superior al año y medio, su propio deber de diligencia normativa en ciberseguridad frente a la Unión Europea.”
Exigir estándares que uno mismo no satisface no constituye, todavía, un ilícito jurídico, pero sí un déficit de autoridad moral que debilita la legitimidad del discurso punitivo.
Valoración crítica
La reforma contra la manipulación algorítmica responde a una preocupación legítima —la opacidad y el poder de las plataformas sobre el debate público—, pero llega como anuncio político antes que como texto articulado, sin resolver su tensión con la taxatividad, sin garantías frente al riesgo de doble sanción con el DSA y el futuro Reglamento de IA, y con dudas sobre su eficacia frente a operadores extracomunitarios. Mientras tanto, el fraude informático de sofisticación baja o media sigue creciendo casi al margen del debate, y el propio Estado arrastra ante el TJUE su propia mora en ciberseguridad. Una política criminal digital coherente debería ordenar esa casa propia antes de reclamar diligencia ajena.
Preguntas frecuentes
¿Qué es la manipulación algorítmica que España quiere convertir en delito?
Alterar intencionadamente un algoritmo de recomendación o moderación para amplificar contenidos ilícitos o dañinos, o interferir en procesos democráticos. El tipo penal no se ha publicado todavía y necesitará tramitarse como ley orgánica.
¿Podrían ser juzgados en España directivos de plataformas como X?
El Gobierno lo afirma, pero esa previsión choca con los límites de la jurisdicción penal española (art. 23 LOPJ) y con la necesidad de cooperación judicial internacional cuando el investigado reside fuera de la Unión Europea.
¿Qué relación tiene esta reforma con el Reglamento de IA del 2 de agosto de 2026?
Ambas normas inciden sobre los mismos sistemas algorítmicos. Su concurrencia sancionadora —administrativa europea, administrativa nacional (AESIA) y penal— plantea riesgo de vulnerar el non bis in idem, conforme a la doctrina Menci del TJUE (asunto C-524/15).
¿Por qué ha sido España llevada ante el Tribunal de Justicia de la UE?
Por no notificar la transposición completa de la Directiva NIS2 dentro de plazo, vencido el 17 de octubre de 2024. La Comisión remitió el asunto al Tribunal el 8 de julio de 2026, junto con Irlanda, Francia y los Países Bajos, pidiendo sanciones a tanto alzado y multas diarias.
¿Qué peso real tiene la manipulación algorítmica en la cibercriminalidad española?
Según el Informe de Cibercriminalidad 2025, en torno al 88 % de los ciberdelitos registrados son fraudes informáticos ajenos a la amplificación algorítmica de contenidos, lo que relativiza el impacto estadístico de la conducta que se pretende tipificar.
Fuentes
- Ministerio del Interior / La Moncloa: Los ciberdelitos representaron en 2025 casi el 20 % de la criminalidad total en España (10/07/2026)
- Qué!: El Gobierno prepara una reforma penal contra la manipulación de algoritmos (03/07/2026)
- HispaColex: Lo que exige el Reglamento de IA a tu empresa antes del 2 de agosto (26/06/2026)
- Red Seguridad: España, al Tribunal de Justicia por no transponer la Directiva NIS2 (09/07/2026)
- ACAL: «No dos veces sobre lo mismo»: el non bis in idem según el TJUE (caso Menci) (05/2018)
- BOE: Reglamento (UE) 2022/2065 de Servicios Digitales
