BERNAN SALAZAR

¿CUÁL ES LA RESPONSABILIDAD DEL BANCO EN CASO DE FRAUDE INFORMÁTICO o PHISING?

08/03/2021

Bernan Salazar

Para que se ubiquen en el contexto, les recomiendo leer el artículo que escribí a finales de enero del 2021 denominado ¿LE LLEGÓ UN CORREO O MENSAJE SOSPECHOSO? NO SEA VÍCTIMA DE “PHISHING” O “SMISHING” en el que les describo los conceptos “phising” y “smishing” y les hago saber de algunas de las medidas que podría tomar en cuenta para evitar ser víctima.. pero y si les llegara a ocurrir, cuál podría ser la responsabilidad del banco o institución financiera..??

Sin mucho preámbulo y sin pretender extenderme en un análisis sobre la responsabilidad objetiva y/o la responsabilidad subjetiva relacionada con la responsabilidad contractual y/o extracontractual de la persona jurídica ante el consumidor (otro día tendré oportunidad de extenderme en ese laberinto jurídico), es importante tener presente que la LEY DE PROMOCIÓN DE LA COMPETENCIA Y DEFENSA EFECTIVA DEL CONSUMIDOR (Nº 7472 del 20 de diciembre de 1994) dispone expresamente en su artículo 35 lo siguiente:

“Artículo 35.- RÉGIMEN DE RESPONSABILIDAD. 

El productor, el proveedor y el comerciante deben responder concurrente e independientemente de la existencia de culpa, si el consumidor resulta perjudicado por razón del bien o el servicio, de informaciones inadecuadas o insuficientes sobre ellos o de su utilización y riesgos.

Sólo se libera quien demuestre que ha sido ajeno al daño.

Los representantes legales de los establecimientos mercantiles o, en su caso, los encargados del negocio son responsables por los actos o los hechos propios o por los de sus dependientes o auxiliares. Los técnicos, los encargados de la elaboración y el control responden solidariamente, cuando así corresponda, por las violaciones a esta Ley en perjuicio del consumidor.” (las negritas y subrayado es suplido).-*

Esta norma es de vital importancia para encontrar una respuesta al título de este artículo, ya que la tesis generalizada es que para establecer la responsabilidad debe existir una relación de causalidad entre el daño y la conducta (activa o pasiva) desplegada por la institución financiera (Teoría de la Causalidad); no obstante, al contemplar dicha norma la frase “..Solo se libera quien demuestra que ha sido ajeno al daño..”, tenemos que entender que la carga de la prueba le corresponde a la institución financiera, ya que ésta sería la que tendría que demostrar que el daño no se produjo u originó en su conducta (Teoría del Riesgo). Para tener más claro el panorama, veamos lo que sucede en un caso hipotético:

– Un usuario o cliente de una institución financiera suscrito al servicio de banca por internet (personal o empresarial) se da cuenta e informa de una o varias transferencias electrónicas de sus fondos hacia una o varias cuentas a nombre de personas con las que alega no tener relación alguna.-*

– Este cliente o usuario refiere no haber realizado las transacciones que se reputan fraudulentas y reclama la responsabilidad de la institución financiera, alegando que los sistemas fallaron y que la seguridad cedió, lo que habría permitido -en prime instancia- que se cometiera el ilícito.-*

– No existe elemento de prueba alguno que acredite que el sistema informático de la institución bancaria o financiera haya fallado ni que la información del cliente haya sido obtenida por vulneración del sistema.-*

La anterior es la descripción genérica con la que se inicia un proceso investigativo por fraude informático financiero y con fundamento en la misma es que se han surgido dos hipótesis básicas para fundamentar las resoluciones por parte de nuestros Tribunales de Justicia, veamos:

1. En el proceso SÍ existe prueba que acredita que el cliente facilitó a terceros (por descuido o negligencia) la información confidencial de su cuenta.-*

2. En el proceso NO existe prueba que el cliente haya facilitado a terceros la información confidencial de su cuenta.-*

Ante estas dos situaciones, es claro que cuando se tiene por acreditado que el usuario o cliente es el responsable directo –por cualquier motivo- de suministrar su información a terceros, nuestros Tribunales han sido reiterativos en exonerar de cualquier tipo de responsabilidad a la institución financiera. Por otra parte, en los casos en los que no existe esa certeza (segunda hipótesis) es donde ha comenzado a surgir controversia, toda vez que -como principio general- la “carga de la prueba” le corresponde aportarla a la víctima y por supuesto que es casi imposible que le autoricen realizar una pericia técnica del sistema de seguridad informático para acreditar su versión (popularmente conocida como la “prueba diabólica”), de allí que “poco a poco” nuestros Tribunales de Justicia han variado casuísticamente el método de solución y alejándose de la RELACIÓN DE CAUSALIDAD (TEORÍA DE LA CAUSALIDAD) en la producción del daño para establecer la responsabilidad, en algunas ocasiones utilizan la “TEORÍA DEL RIESGO” del funcionamiento propio del servicio que ofrece la institución financiera según lo dispuesto en el transcrito artículo 35 de la Ley Nº 7472 (aplicable a los supuestos de responsabilidad extracontractual como contractual), considerando que debe llevarse a cabo una verificación de los hechos y pese a que pueda demostrarse la participación de un tercero, desaparecería la eximente de responsabilidad de la institución financiera en aquellos casos en los que se pueda demostrar que el riesgo provocó el daño de forma directa, autónoma y sin interferencias (concluyendo que el causante del daño sería el funcionamiento del servicio que se ofrece); es decir, no es si el riesgo era apto o no para producir el daño, es si efectivamente lo produjo; por lo que el hecho de un tercero –por culpa del cliente- ya no sería una eximente de responsabilidad de la institución.-*

Debo se enfático y evitar confusiones: esta metodología de análisis NO es unánime y tampoco es vinculante, y pese a que existen diversas resoluciones en las que se ha utilizado, en la gran mayoría de los procesos relacionados con “fraudes informáticos” o “phising” se sigue partiendo de la premisa (Teoría de la Causalidad) que si se tiene por probado que el ingreso al sistema informático financiero se dio con el perfil privado del cliente, que el sistema de la institución no falló, que la información del cliente no fue obtenida a partir de las bases de datos de la institución, y que solo el cliente conoce y tiene en su poder la información confidencial de su cuenta, entonces la filtración de la información se produjo por una conducta del cliente y la institución no sería responsable (la culpa de la víctima tiene la virtud de romper el vínculo de causalidad y en consecuencia liberar de responsabilidad a la institución financiera). No obstante, la institución no se libera de su responsabilidad simplemente con demostrar que el sistema de seguridad no ha fallado, sino que tendrá que demostrar que fue el cliente o un tercero quienes causaron el daño (Teoría del Riesgo) y aquí es donde actualmente se centra la discusión jurídico probatoria; ya que en algunas resoluciones judiciales y ante la dificultad de determinar con certeza absoluta qué fue lo que causó el daño (el Riesgo o la Causalidad), se ha optado por establecer la existencia de “concurrencia de culpas”: por un lado la culpa de la víctima por entregar su información y por el otro la culpa de la institución por el riesgo creado, de forma tal que la solución ha sido la de “distribuir la responsabilidad” entre el cliente y la institución (después de una amplia discusión o contienda judicial).-*

COROLARIO: Dependerá de qué lado de la acera se encuentre el cliente y cuál será el interés del mismo, ya que si es una institución financiera le interesará desarrollar la Teoría de la Causalidad, pero si está del lado del usuario, la lógica sería utilizar y desarrollar la Teoría del Riego. Por supuesto que será un tema probatorio el que permitirá a los Tribunales de Justicia establecer cuál se aplica o ajusta mejor al caso particular.-*

Nos seguimos leyendo..!!

Si necesita actualizarse con información legal, contácteme aquí.

¡Recibe lo nuevo del blog!

¡No enviamos spam! Lee más en nuestra política de privacidad