Responsabilidad de Entidades Financieras en Casos De Fraude.
Los avances en las tecnologías de la información y la comunicación han llevado cada vez más a que los consumidores acudan menos a las oficinas o sucursales bancarias para hacer sus diligencias, cambiando dichos desplazamientos por el acceso a servicios financieros a través de herramientas como banca virtual, banca móvil, banca telefónica y en general, métodos de acceso no presenciales.
Esta dinámica ha traído consigo también que, con los avances tecnológicos tendientes a facilitar el acceso a los servicios que ofrecen las entidades financieras desde cualquier sitio a través de conexiones a internet o conexiones a datos móviles, también hayan evolucionado los distintos mecanismos a que acuden los delincuentes para tener acceso a la información personal de los consumidores y cometer actos delictivos que afectan el patrimonio de aquellos.
Así las cosas, se ha vuelto común que los consumidores sean víctimas de clonación de tarjetas, compras fraudulentas por internet, transacciones fraudulentas a través de banca virtual y en general cualquier tipo de fraude electrónico que implique el acceso fraudulento a información como nombres de usuario y/o claves personales.
Es común que en este tipo de casos las víctimas no sepan cómo acudir a los mecanismos que la ley ha establecido para protegerlos o, por otra parte, que se vean avasallados por la posición de las entidades con las que han contratado servicios financieros, partes fuertes en dichas relaciones, quienes, por lo general, no responden por los perjuicios sufridos por sus clientes en esos casos.
El objetivo de esta entrada es hacer una corta aproximación al régimen de responsabilidad de las entidades financieras en caso de fraude, acudiendo principalmente a los últimos precedentes que ha sentado la Corte Suprema de Justicia sobre la materia.
A juicio de la Corte, la responsabilidad de las entidades financieras se debe regir bajo la teoría del riesgo profesional, en virtud de la cual “la obligación de asumir los riesgos inherentes al ejercicio de la actividad se basa en el profesionalismo que esta requiere.” En el caso de la actividad financiera cobra especial relevancia el concepto de riesgo profesional desarrollado por la Corte, toda vez que las entidades que participan en el mercado financiero (Bancos, Cooperativas Financieras, Fiduciarias, Comisionistas de Bolsa, etc.,) cuentan con una organización empresarial en la cual confluyen una serie de elementos de naturaleza técnica, financiera, humana, etc., los cuales, junto con la interdisciplinariedad de las personas que participan en dicha actividad, conllevan a que los conocimientos, bondades y virtudes de este tipo de organizaciones se potencialicen, lo que trae como consecuencia entonces que las entidades financieras sean profesionales que, por su alto grado de especialización, su organización técnica y humana, desarrollen una actividad de especial interés público, por una parte y, por la otra, ocupen una posición privilegiada en los mercados, lo que conlleva que su régimen de responsabilidad debe ser acorde con dichas cualidades especiales, implicando estándares de exigencia mayores que los de un profesional común y corriente.
En cuanto a la responsabilidad bancaria por fraudes cometidos con instrumentos diferentes a los cheques, la Corte precisa que si bien es cierto que los artículos 732, 733 y 1391 del Código de Comercio no contemplan la posibilidad de ocurrencia de fraudes, “esto no conlleva la inaplicabilidad del régimen de responsabilidad reconocido por ellas a otra clase de defraudaciones cometidas tanto en la disposición irregular de recursos pecuniarios en cuentas corrientes como en las de ahorro, pues lo que subyace en la regulación mencionada es que el ordenamiento positivo reconoce que las instituciones bancarias ejercen una actividad que es profesional, habitual y de la que deriva un provecho económico, a la que le es inherente una multiplicidad de peligros, y entre ellos se encuentran los derivados de las operaciones que realizan (riesgos operacionales), que pueden afectar los intereses de los cuentahabientes por la mala disposición de sus depósitos”, razones por las cuales entiende la Corte que estamos frente a un “modelo particular de responsabilidad particular del banco” en cuya virtud, dentro de las obligaciones de los bancos “está la de mantener los dineros depositados regularmente para entregarlos en la medida que el cuentacorrentista haga disposición de ellos de acuerdo con las distintas modalidades reconocidas por la ley, por el contrato o por las prácticas bancarias. (…) Ante esos compromisos, el banco debe mantener las precauciones, diligencias y cuidados indispensables para que los actos de movimiento de la cuenta del usuario se alcance con plena normalidad; por eso, cualquier desviación constituye un factor de desatención del contrato, dado su particular designio”; de modo que “si llega a producirse una operación de transferencia de fondos que incida en el saldo, cualquier reclamo o inconformidad que muestre el cuentacorrentista puede comprometer la responsabilidad de la entidad bancaria que para exonerarse debe acreditar, por cualquier medio idóneo, que contó con la autorización de aquel” o, en otras palabras, que las operaciones que el cuentacorrientista denuncie como fraudulentas, fueron exitosas debido a culpa o negligencia de aquel.
En los casos de fraudes a través de internet, la Corte ha considerado que “la circunstancia de que internet sea una red abierta y pública, hace que esté caracterizada por una inherente inseguridad, pues eventualmente cualquier transferencia de datos puede ser monitoreada por terceros, lo que incrementa la potencialidad de pérdidas y defraudaciones, cuyos patrones de operación, por lo menos en lo que atañe a la banca electrónica, cambian constantemente y se manifiestan a través de la alteración de registros encaminada a la apropiación de fondos; la suplantación de la identidad de los usuarios, y la simulación de operaciones, compras y préstamos.
Sin embargo, no es posible ignorar que se trata de riesgos que son propios de la actividad asumida por las entidades y corporaciones que participan en el e-commerce, entre ellas los Bancos, de la cual obtienen grandes beneficios económicos, pues son estos los que para disminuir costos y obtener mejores rendimientos, han puesto al servicio de sus clientes los recursos informáticos y los sistemas de comunicaciones a través de la red, en una estrategia de ampliación de la oferta y cobertura de productos y servicios financieros.
Es natural y obvio que la implementación de medios como el portal virtual de transacciones, si bien requiere de una inversión para su operación y mantenimiento, genera un lucro para la entidad, en la medida en que atrae un mayor número de clientes y de operaciones bancarias.
No obstante, el uso de este lleva ínsito el riesgo de fraude electrónico, el cual es de la institución financiera precisamente por la función cumplida por las instituciones financieras y el interés general que existe en su ejercicio y la confianza depositada en él, lo que determina una serie de mayores exigencias, cargas y deberes que dichas entidades deben cumplir con todo el rigor; por el provecho que obtiene de las operaciones que realiza; por ser la dueña de la actividad, la que -se reitera- tiene las características de ser profesional, habitual y lucrativa; y además, por ser quien la controla, o al menos, a quien le son exigibles los deberes de control, seguridad y diligencia en sus actividades, entre ellas la de custodiar dineros provenientes del ahorro privado.
El riesgo, entonces, se materializa con el ofrecimiento a los clientes de una plataforma tecnológica para realizar sus transacciones en línea, la cual puede ser vulnerada por delincuentes cibernéticos a través de diversas acciones, atendida la vulnerabilidad inherente a los sistemas electrónicos.
Por eso, por una parte las instituciones financieras están compelidas a adoptar mecanismos de protección de los datos transferidos en relación con sus usuarios, a través de los cuales pueda prevenirse la defraudación, pues para el momento en que estos son detectados, generalmente, ya se ha causado el daño patrimonial, y por otra, están sujetas a la responsabilidad que acarrea para ellas la creación de un riesgo de fraude que afecta a sus clientes, a disposición de los cuales ha dispuesto su plataforma y recursos tecnológicos.”
Por lo tanto, para la Corte, “…al ofrecer a sus clientes la prestación de servicios bancarios a través de un portal de internet, las medidas de precaución y diligencia que le son exigibles (a los bancos) no corresponden a las mínimas requeridas en cualquier actividad comercial, sino a aquellas de alto nivel que puedan garantizar la realización de las transacciones electrónicas de forma segura, siendo requerida la implementación de herramientas, instrumentos o mecanismos tecnológicos adecuados, idóneos y suficientes para evitar la contingencia de la defraudación por medios virtuales o minimizar al máximo su ocurrencia, rodeando de la debida seguridad el entorno web en que se desarrolla, los elementos empleados, las contraseñas y claves, el acceso al sistema, la autenticación de los usuarios, la trazabilidad de las transacciones, el sistema de alertas por movimientos sospechosos o ajenos al perfil transaccional del cliente y el bloqueo de cuentas destinatarias en transferencias irregulares, de ser el caso.”
En cuanto al análisis de las distintas modalidades de fraude electrónico, la Corte plantea una importante apreciación al considerar que “entre las más conocidas se encuentran las de interceptación de datos del medio de pago electrónico y de su titular en los canales virtuales por los cuales circula esta información, y la obtención de esta al extraerla de las bandas magnéticas de las tarjetas débito o de crédito, o del chip de la tarjeta inteligente, incorporando mecanismos detectores en cajeros electrónicos y datáfonos.
Tales situaciones, en principio, no suponen un descuido o negligencia del cliente o titular del medio de pago, pues el fraude electrónico puede ocurrir con independencia del cuidado en la custodia de las tarjetas y aún de las claves” y, por lo tanto, dichas modalidades de fraude demuestran e implican que “las contraseñas y palabras clave (PIN) ya no son mecanismos suficientemente confiables y seguros, porque pueden ser interceptados durante la transmisión de los datos vía internet y tienen, por tanto, un alto grado de vulnerabilidad, lo que obliga a adoptar herramientas más seguras y dinámicas, porque es la plataforma tecnológica la que debe proveer los medios técnicos de seguridad que se requieran para que solo los titulares de los productos sean los que dispongan de sus dineros, minimizando la vulnerabilidad del sistema informático. Los métodos de defraudación son cada vez más sofisticados, de manera que al cliente le es prácticamente imposible detectarlos antes de la sustracción de dinero de su cuenta.”
Con base en las anteriores consideraciones, para la Corte “queda claro que en el caso de defraudación por transacciones electrónicas, dado que tal contingencia o riesgo es inherente a la actividad bancaria la cual es profesional, habitual y lucrativa, cuya realización requiere de altos estándares de diligencia, seguridad, control, confiabilidad y profesionalismo, que también tienen que ser atendidos en materia de seguridad de la información que sea transmitida por esa vía, siendo innegable e ineludible su obligación de garantizar la seguridad de las transacciones que autoriza por cualquiera de los medios ofrecidos al público y con independencia de si los dineros sustraídos provienen de cuentas de ahorro o de cuentas corrientes.
De ahí que atendiendo la naturaleza de la actividad y de los riesgos que involucra o genera su ejercicio y el funcionamiento de los servicios que ofrece; el interés público que en ella existe; el profesionalismo exigido a la entidad y el provecho que de sus operaciones obtiene, los riesgos de pérdida por transacciones electrónicas corren por su cuenta, y por lo tanto, deben asumir las consecuencias derivadas de la materialización de esos riesgos a través de reparar los perjuicios causados, y no los usuarios que han confiado en la seguridad que les ofrecen los establecimientos bancarios en la custodia de sus dineros, cuya obligación es apenas la de mantener en reserva sus claves de acceso al portal transaccional.
Desde luego que consumada la defraudación, el Banco para exonerarse de responsabilidad, debe probar que esta ocurrió por culpa del cuentahabiente o de sus dependientes, que con su actuar dieron lugar al retiro de dinero de la cuenta, transferencias u otras operaciones que comprometieron sus recursos, pues amén de que es este quien tiene el control de mecanismo que le permiten hacer seguimiento informático a las operaciones a través de controles implantados en los software especializados con los que cuentan, la culpa incumbe demostrarla a quien la alegue (art. 835 C.Co.), pues se presume la buena fe «aún la exenta de culpa».”
En conclusión, la Corte Suprema de Justicia plantea avances importantes en materia de responsabilidad de entidades financieras, yendo más allá de la denominada responsabilidad por riesgo creado y sentando un precedente importante que sin lugar a dudas servirá como elemento de defensa para que los consumidores puedan reclamar de manera exitosa los perjuicios que sufren en los casos de fraude.
+ Fuente: Sentencia SC18614-2016 del 19 de diciembre de 2016.
+ Las negrillas y subrayas en los textos citados son nuestros.
Mario Ernesto Vargas
Comentarios
jaime May 4th, 2018
sin