Fraudes bancarios (vía phishing o pharming) y responsabilidad de los Bancos

Plataforma para ingresar denuncias o reclamos

Fraudes bancarios (vía phishing o pharming) y responsabilidad de los Bancos

 Renzo Munita Marambio, Universidad del Desarrollo

 Jornadas Derecho del Consumo – Iquique/2019

I.- Planteamiento del problema.

II.- Precisiones conceptuales.

 III.- Aplicabilidad del derecho del consumo.

 IV.- Asimetría.

 V.- Fraude e imputabilidad del Banco.

 VI.- Banco principal perjudicado con el fraude, argumentos de fondo.

 VI.- Nota final.

Ramírez.

I.- Planteamiento del problema.

Fallos recientes han puesto en el foco de la discusión la responsabilidad que cabe a Bancos respecto de actos de phishing o de pharming padecidos por titulares de cuentas bancarias.

La contingencia es la siguiente: un cliente bancario percibe con estupor que el saldo de sus ahorros ha disminuido en atención a transferencias que no han sido autorizadas por él.

Evidentemente, un tercero, en virtud del uso de sus claves ha ingresado virtualmente en el portal del banco cometiendo el fraude.

El problema empalma con otro más amplio, el cual dice relación con como el impacto de las nuevas tecnologías motiva a dar respuesta a encrucijadas que podemos considerar como modernas.

Ciberderecho y cibercrimen, constituyen entonces el marco de nuestro estudio.

En este contexto, el Banco no debiera olvidar que internet constituye un riesgo en sí, y cabe a la parte fuerte en el vínculo de consumo implementar un estándar de diseño adecuado en los mecanismos establecidos para el requerimiento de la información confidencial de parte del usuario.

La entidad no debe desentenderse a priori de la cuestión relativa a lo que se denomina internet de las cosas (lo que implica que de cada objeto virtualmente parametrizado es posible extraer datos personales), y en evitar proyectar que la red constituye un mecanismo apto para vulnerar confidencialidades e ingresar en la vida privada de las personas. En otros términos debe brindar seguridad.

De aquí, que, no deba ser un seguro el que incorpore el pretendido deber en la esfera contractual, pues éste es una consecuencia natural, y nada forzada, de la naturaleza del acuerdo; y la exoneración del Banco – justificada en la voluntad del consumidor manifestada en una cláusula del contrato de cuenta bancaria – sea considerable como abusiva, y por tanto entendible como no escrita.

Antes de continuar, una necesidad de precisión conceptual se impone para efectos de conectar esta ponencia con el título de la misma.

II.- Precisiones conceptuales.

El phishing evoca una pesca en el sentido de la obtención de los datos personales del cliente bancario, mediante la digitación de éstos por aquel, luego de sucumbir al programa tanto fraudulento como inductivo, dirigido en su contra por el sujeto activo del ilícito.

Piénsese por ejemplo en la recepción de correos electrónicos que aparentemente disponen de una información importante (premios, alertas, urgencias, etc.), que para ser leída se requiere necesariamente la información bancaria de parte del usuario. Apreciamos que en el phishing el rol del cliente bancario en la facilitación de su información es determinante, no hay virus involucrados, solo una inducción fraudulenta y una participación.

El pharming, por su parte, supone un virus que redirige el nombre de dominio del Banco hacia otro sitio previamente diseñado. Luego, cada vez que cualquier cliente pretenda ingresar en la página, indefectiblemente lo hará en la fraudulenta. Vemos que el rol del usuario en la comunicación de sus datos es menos determinante, pues, en principio, no tendría como precaver que el nombre de dominio se encuentra intervenido.

Como enseña Oxman, “lo que ocurre es que el usuario teclea en la barra de direcciones del navegador intentando ingresar a su banco, pero debido a que su computador ha sido infectado previamente con un virus, se redirige la navegación hacia una “web” falsa”.

A su turno, la figura igualmente puede concretizarse, cuando el redireccionamiento se produce por la infección del software de internet del usuario, o más concretamente de sus archivos host (que son aquellos que permiten al sistema operativo catalogar a una página como autorizadas o como prohibida, identificando el IP y nombres de dominio).

En las modalidades de pharming entonces es posible distinguir dos supuestos, uno de corte universal, y otro que es más bien de carácter particular. En este último supuesto, el pharming, puede verificarse, por ejemplo, a través del seguimiento de algún link inserto en algún correo electrónico, que pretende conducir a la descarga de alguna tarjeta.

Visto lo anterior nos referiremos sobre la aplicabilidad del problema en referencia desde la perspectiva del derecho del consumo.

III.- Aplicación del derecho del consumo.

Entendemos que el problema respecto del cual nos pronunciamos es analizable desde la perspectiva de la protección al consumidor, activando aquel estatuto, aun cuando no exclusivamente. Éste ingresa en el campo de aplicación de la ley n° 19.496, en particular, por vulneración de las letras b y d del artículo 3, así como el art. 23 de la indicada ley.

Para mayor claridad, la primera de las letras mencionadas establece como un derecho del  consumidor, el postular “a una información veraz y oportuna”; la segunda, se refiere a la legítima aspiración a su “seguridad en el consumo de bienes o servicios”. El artículo 23, a su turno, sanciona al proveedor que, en la prestación de un servicio, actuando con negligencia, causa menoscabo al consumidor debido a fallas o deficiencias en la seguridad, del respectivo servicio”.

Desde luego el análisis también puede ser enfocado desde el prisma del derecho común, tal como se ha hecho en columnas publicadas en el Mercurio Legal, por los autores Alvear, Corral y quien habla (en conjunto con la profesora Mendoza); como por parte del profesor Tomarelli, en las últimas jornadas nacionales de derecho civil.

IV.-  En cuanto a la asimetría.

Lo expuesto se conecta con la posición que ocupa el cliente bancario (cuenta rut, por ejemplo) o cuentacorrentista en el contrato en cuestión, la que es representativa de una relación de asimetría respecto de la entidad en la cual ha depositado no tan solo su dinero, sino que también su confianza.

El desequilibrio es evidente, pues se recurre precisamente a la entidad para que sea ella quien custodie el activo, toda vez que encarna para el interesado garantía de seguridad en ese sentido.

La asimetría no se limita a lo mencionado, pues se manifiesta igualmente en problemas de racionalidad imperfecta que afectan al consumidor, lo que se traduce concretamente en la fijación de cláusulas que podríamos entender como abusivas insertables en contratos de esta naturaleza.

Volviendo a nuestro punto, debemos decir, que la decisión del cliente de confiar en el Banco, no implica por cierto, un acto de altruismo de parte de este último. En efecto, a cambio de la custodia es devengado un costo de mantención, e incluso la facultad de realizar actividades de intermediación financiera (art 40 ley general de Bancos) incrementando mediante ellas el patrimonio de la misma institución, su propio patrimonio.

Aquello en la medida en que de cumplimiento a las órdenes de pago que el cliente le formule hasta la concurrencia de dicha cantidad (art. 1° del DFL n° 707 del 7 de octubre de 1982). El contrato es en definitiva beneficioso el Banco, respecto del cual es posible proyectar su imputabilidad en los referidos problemas de fraude.

V.- Fraude u imputabilidad del Banco.

Como indicábamos, lo que ofrece el Banco es un servicio esencialmente seguro y confiable, que frente al acto de phishing o de pharming, revela ineficacia.

En síntesis, la víctima atribuirá al Banco un defectuoso servicio de internet; mientras que la entidad, pretenderá descargar en la víctima su responsabilidad, enfocando el infortunio en el manejo descuidado de claves o contraseñas. En otros términos, se analizará “si los eventos que originaron las transferencias cuestionadas no han tenido como única causa la voluntad del depositante o cuentacorrentista, o han ocurrido otros que llevan a sostener que se han incumplido las obligaciones de resguardo y seguridad que recaen en la institución bancaria respectiva” (Corte Suprema, 13 de agosto de 2019).

El problema queda entonces reducido a una cuestión de onus probandi, y más concretamente a explorar si corresponde al usuario realmente demostrar la negligencia del Banco en lo que respecta el cumplimiento de su obligación de seguridad.

El punto sobre el que nos pronunciamos nos sitúa frente a una paradoja, toda vez que de situarse en la órbita del citado art. 23, apreciamos que éste exige negligencia de parte del prestador del servicio, cuestión que en principio perjudica al consumidor.

Con todo, creemos que nada impide morigerar dicha prueba, dando aplicación a la regla del res ipsa loquitur, pues frente a actos fraudulentos como los mencionados las cosas hablan por sí mismas, y la manipulación fraudulenta de las claves deja entrever la negligencia del servicio informático de la institución bancaria.

La aplicación del criterio en referencia, permite ser entendido desde la dificultad probatoria inmediata del fraude, el cual obliga “a realizar un juicio acerca de indicios sobre la ocurrencia de los hechos y confrontar aquellos con las diversas normas que determinan las obligaciones de seguridad de las instituciones bancarias”. (CS, Rol: 12093-2019, de 13 de agosto de 2019). Sin que baste al banco, por cierto, señalar en su informe que las transferencias se realizaron utilizando las claves del cliente (CS, Rol: 7155-2019, de 14 de agosto de 2019).

Más allá, el contexto del que hablamos motiva a reflexionar sobre el estándar de diligencia que debe observar la entidad bancaria, en cuanto se refiere al cumplimiento de su deber de seguridad en la administración de portales virtuales, esto es, con la certeza (en el concepto de confianza) que representa para el cliente o cuentacorrentista, que la plataforma desde la cual se le está solicitando su información (claves) es autorizada por el Banco, como además que éste dispone de la tecnología adecuada para evitar actos fraudulentos; en el sentido de permitir o de rechazar movimientos dinerarios a requerimiento de clientes (reales o aparentes).

El indicado aspecto, se condice con Capítulo 1-7, punto 4.2, de la Recopilación de normas de la Superintendencia de Bancos indica que: “Los bancos deberán contar con sistemas o procedimientos que permitan identificar, evaluar, monitorear y detectar en el menor tiempo posible aquellas operaciones con patrones de fraude, de modo de marcar o abortar actividades u operaciones potencialmente fraudulentas, para lo cual deberán establecer y mantener, de acuerdo a la dinámica de los fraudes, patrones conocidos de estos y comportamientos que no estén asociados al cliente”.

Pensamos también que la infracción al deber de seguridad, ya reseñada a título de imputabilidad, puede igualmente ser revisada desde la perspectiva de la causalidad y en particular de la tesis de la imputación objetiva. Lo anterior, por cuanto, al no detectar a tiempo que quien está ordenando una o varias transferencias no es el usuario, en razón de un deficiente cumplimiento obligacional, se está incrementando el riesgo por quien debe cumplir cabalmente una obligación de garante.

La jurisprudencia se ha manifestado en esta línea en los siguientes términos: “…que cada vez que las instituciones bancarias o financieras ofrecen a sus clientes la posibilidad de desarrollar por vía electrónica operaciones de transferencias de fondos u otras, se asume que aquéllas deben asegurar sus fines sustrayendo de cualquier menoscabo a quienes, guiados por los beneficios de rapidez y precisamente mayor reserva y seguridad, deciden utilizar estos métodos.

Por lo mismo el Banco debe asegurar que las operaciones de que se trata solo puedan ser realizadas por personas autorizadas para ello, cuestión que en la especie no ha ocurrido” (Corte de Apelaciones de Puerto Montt, 15 de marzo de 2019, Rol Corte N° 2032-2018. Figueroa Godoy con Banco Santander Chile).

Con base en lo anterior, creemos que no parece razonable endosar sobre los consumidores la vigilancia de sus cuentas bancarias, pues la entidad debe disponer de alertas efectivas en el cometido de detectar el fraude. Por lo demás, no debe olvidarse que la figura dolosa normalmente no se revela a través de actos singulares, sino que más bien plurales en un determinado espacio de tiempo, tal como igualmente lo ha reconocido la jurisprudencia.

VI.- Banco, principal perjudicado con el fraude, argumentos de fondo.

Lo que hasta aquí hemos expuesto nos permite, creemos, justificar el porqué los Bancos no deben intentar traspasar a sus clientes los riesgos de fraudes, o el fraude propiamente tal, aquello supone una desvinculación de su obligación de seguridad, vigilancia o custodia. El Banco debe reintegrar las sumas en cuestión, considerándose incluso que una negativa a este respecto, podría configurar daños morales que el Banco se encontraría obligado a indemnizar.

El celo en la observancia del deber de seguridad tributa en propio beneficio de la entidad, por cuanto ésta es la principal perjudicada con el evento dañoso. En otros términos, el titular de las sumas distraídas no es precisamente el cliente o cuentacorrentista, sino que el mismo Banco.

Aquello ha sido reconocido por la jurisprudencia en virtud de una contundente fundamentación sustantiva. Primero, calificando como depósito irregular al contrato de cuenta corriente bancaria, a través de ella el depositario se hace dueño de lo depositado; y, segundo, recordando la naturaleza de bien fungible que tiene el dinero; el cual se confunde con otros de igual poder liberatorio, (Corte Suprema, de 29 de mayo de 2019, Rol 29892-2018).

VII. Nota final

 Lo que acabamos de exponer representa un problema del cual nadie está libre. La afirmación señalada se robustece si tenemos en vista la magnitud de personas que hoy tienen acceso a la banca.

La responsabilidad del Banco en casos de fraude bancario por phishing o por pharming nos parece de reconocimiento necesario, la asimetría en el contrato, la magnitud de medios de que dispone para detectar el ilícito, y la reflexión tendiente a afirmar que a fin de cuentas el real perjudicado con el fraude no es el consumidor, creemos permite concluir, que constituye derechamente un abuso atribuirle a éste deberes de vigilancia que de suyo no le corresponden.

Bibliografía exploratoria y jurisprudencia relevante

 En cuanto a la bibliografía:

 1.- Alvear Téllez, Julio. “El banco y nuestras cuentas corrientes”. http://www.elmercurio.com/Legal/Noticias/Analisis-Juridico/2019/06/18/El-banco-y-nuestras-cuentas-corrientes.aspx

2.- Corral Talciani, Hernán. “Fungibilidad del dinero y riesgo de fraude bancario”. http://www.elmercurio.com/legal/movil/detalle.aspx?Id=907624&Path=/0D/D9/

3.- Mendoza Alonzo, Pamela, y Munita Marambio, Renzo. “Deposito irregular, fungibilidad y seguridad”. http://www.elmercurio.com/Legal/Noticias/Opinion/2019/07/04/Deposito-irregular-fungibilidad-y-seguridad.aspx.

4.- Oxmann Vilches, Nicolás. “Estafas informáticas a través de Internet: acerca de la imputación penal del phishing y el pharming”. Revista de Derecho de la Pontificia Universidad Católica de Valparaíso [online]. 2013, n. 41

En cuanto a la jurisprudencia:

1.- Banco debe responder

• Corte de Apelaciones de Temuco, 30 de julio de 2013, Rol 97-2013. Huenchulaf con Banco Estado de Chile (Recurso de Apelación).
• Corte de Apelaciones de Temuco, 10 de marzo de 2014, Rol 143-2013. Banco de Créditos e Inversiones BCI Nova con Gómez Rosenthal (Recurso de Apelación).
• Corte de Apelaciones de Valparaíso, 23 de noviembre de 2018, Rol Nº 6434-2018. Ingeniería Agroindustrial Maci Limitada con Banco Santander Chile.
• Corte de Apelaciones de Concepción, 13 de marzo de 2019, Rol Nº 586-2019. Bravo Nuñez con Banco Santander Chile.
• Corte de Apelaciones de Puerto Montt, 15 de marzo de 2019, Rol Corte N° 2032-2018.
• Corte de Apelaciones de Puerto Montt, 11 de abril de 2019, Rol 27-2019. Oyarzun Loayza con Banco de Chile.
• Corte de Apelaciones de La Serena, 19 de junio de 2019, Rol Nº 714-2019. López Puebla con Banco del Estado de Chile.
• Corte Suprema, 20 de junio de 2018, Rol 2196-2018. Bottai Ramírez con Banco Itaú.
• Corte de Apelaciones de Santiago, 3 de julio de 2019, Rol 3776-2019. Sociedad Tecnología de Empresas Limitada con Banco Estado.
• Corte Suprema, 9 de julio de 2019, Rol Nº 32.864-2018. Guerra Vergara Establecimientos Educacionales Antilhue E.I.R.L. con Banco Santander Chile S.A.
• Corte Suprema, 09 de julio de 2019, Rol 31.744-2018. Leiva Cortes con Banco Santander Chile S.A.

2.- Banco no debe responder (recurso de protección no es el medio idóneo).

• Corte de Apelaciones de Antofagasta, 01 de marzo de 2019, Rol Nº 3499-2018. Hernández Herrera con Banco Santander Chile.
• Corte de Apelaciones de Santiago, 24 de mayo de 2019, Rol Nº 15924-2019. Badrie Awad con Banco Santander Chile.
• Corte de Apelaciones de Puerto Montt, 30 de mayo de 2019, Rol Nº 2068-2018. Meza Caro con Banco Santander de Chile.
• Corte de Apelaciones de Valdivia, 01 de agosto de 2019, Rol Nº 1698-2019. Verdejo Arias con Banco del Estado de Chile.

Plataforma para ingresar denuncias o reclamos

 359 Vistas totales