Contenido
Sin lugar a dudas la revolución de las tecnologías de la información en los últimos años ha brindado múltiples herramientas que han permitido lograr una mayor dinamización no solo del tráfico mercantil, sino también de las relaciones sociales en general.
Sin embargo, esto ha llevado así mismo a que la tecnología sea usada como un mecanismo que facilita la comisión de ciertos delitos tales como la apropiación indebida de uno de los activos más valiosos en los tiempos de hoy: la información.
Es así como ha venido aumentando cada vez más el número de casos de fraudes electrónicos en los que ciberdelincuentes obtienen información de cuentas bancarias a través de modalidades tales como el phishing, pharming y hoax con el fin de sustraer recursos de dichas cuentas a través de transferencias electrónicas no autorizadas.
En estos casos ¿cuál es el régimen de responsabilidad aplicable a los establecimientos bancarios?
En Colombia no hay regulación sustancial al respecto. Empero, en estos casos la SFC ha estructurado la imputación calificando las obligaciones de los bancos como obligaciones de resultado lo cual ha llevado a que, sin mencionarlo expresamente, en la práctica se termine aplicando un régimen de responsabilidad objetiva. Esto en la medida en que, si bien a dichos establecimientos se les exige el cumplimiento de obligaciones de cuidado y diligencia, de todos modos no se exoneran de responsabilidad demostrando la ausencia de culpa, sino probando la existencia de una causa extraña o la ausencia de nexo causal.
La postura de la CSJ es mucho más clara: ante la falta de norma sustancial que rija la materia, debe aplicarse por analogía la regulación y el régimen de responsabilidad aplicable a otro tipo de fraudes como por ejemplo el de pago de cheques falsos o adulterados en donde se imputa objetivamente el daño al banco.
¿Cómo se ha abordado entonces la exoneración de responsabilidad de los bancos?
La jurisprudencia ha afirmado que para exonerarse de responsabilidad los bancos deben demostrar un incumplimiento del cliente de las recomendaciones de seguridad del banco para el manejo adecuado del producto, tales como: i) no ingresar a la banca virtual desde equipos de uso público; ii) establecer una clave de acceso para el equipo desde el cual habitualmente se realizan operaciones electrónicas; iii) tener instalado y actualizado un antivirus licenciado y un firewall; iv) no suministrar el usuario, clave o token a personas no autorizadas ante el banco para acceder a la banca virtual; vi) cambiar periódicamente la clave de acceso; vii) no acceder a la página del banco desde la pestaña de favoritos, entre otras.
No obstante, el banco debe acreditar el cumplimiento de obligaciones tales como: i) elaborar un perfil de costumbres transaccionales para cada cliente. Este consiste en un análisis de las transacciones habituales realizadas por el cliente teniendo en cuenta los días, montos, destinatarios e incluso dirección IP desde la cual realiza habitualmente dichas operaciones, entre otros; ii) proceder con el bloqueo preventivo de la cuenta en caso de advertir operaciones que no se adecuen al perfil transaccional del cliente. No basta con la notificación al cliente de las operaciones inusuales.