EscucharEngañada por una llamada telefónica desde un número idéntico al del Banco Nacional (BN), una mujer perdió más de ¢2 millones cuando los ciberdelincuentes lograron acceder a su cuenta bancaria. La víctima demandó al BN y el caso llegó hasta las más altas instancias judiciales.
En procura de recuperar el dinero, el caso llegó a la Sala Primera de la Corte Suprema, donde los magistrados fallaron a favor del banco.
Los hechos ocurrieron en febrero de 2019, cuando recibió una llamada telefónica mientras estaba en su lugar de trabajo. Según su versión, atendió al ver el número oficial del Banco Nacional en la pantalla, y quien la llamó le indicó que debía cambiar el token debido a la actualización de una cuenta IBAN.
Durante la llamada, la mujer siguió las instrucciones de la persona que la contactó y proporcionó varios códigos del token, así como claves recibidas por correo, las cuales debía “leer y eliminar de inmediato”.
Poco después de finalizada la conversación, comenzó a recibir mensajes del banco sobre movimientos en su cuenta. Al intentar ingresar a la plataforma digital, descubrió que el acceso estaba bloqueado. Más tarde, al presentarse en una oficina de la entidad, le informaron de que, mediante 16 transacciones, le habían sustraído ¢308.702 y que se había tramitado un crédito por ¢1,9 millones a su nombre.
La mujer denunció el caso ante el Organismo de Investigación Judicial (OIJ) y el Banco Nacional, donde pidió que se investigara lo ocurrido y se le reintegrara el dinero.
No obstante, tras 10 meses de análisis, la entidad concluyó que las transacciones fueron válidas, pues se realizaron con el pin, usuario, contraseña, datos de las tarjetas y códigos del token, información que solo la afectada debía tener.
La mujer llevó el caso a los tribunales. En una primera instancia, el Tribunal Contencioso Administrativo rechazó su reclamo y falló a favor del Banco Nacional, al considerar que la sustracción del dinero fue consecuencia de sus propias acciones. Inconforme, la afectada acudió a la Sala Primera de la Corte, la cual respaldó el criterio del Tribunal en julio del 2024 y concluyó que exigir el reintegro al banco resultaría “desproporcionado”.
Análisis de los estrados judiciales
En el fallo de primera instancia, el Tribunal Contencioso Administrativo recibió en audiencia a un funcionario del Banco Nacional especializado en ingeniería de sistemas. El testigo explicó que, para prevenir fraudes electrónicos, la entidad ofrece el servicio de tokens, los cuales permiten verificar la identidad del usuario mediante tecnologías matemáticas.
Por ello, en este caso, al haberse utilizado los distintos accesos, claves y tokens asignados a la usuaria, la entidad no consideró los movimientos como fraudulentos, ya que superaron los controles de autenticación con información que, en principio, solo debía estar en poder de la cliente.
Además, se indicó que la propia afectada presentó los correos electrónicos mediante los cuales se le enviaban los códigos del token para realizar transacciones. En esos mensajes, la entidad bancaria advertía expresamente que dicha información no debía compartirse con ninguna persona, incluidos funcionarios del banco. Por ende, se rechazó la demanda.
Inconforme con el fallo, la mujer presentó un recurso de casación ante la Sala Primera alegando una interpretación incorrecta del artículo 35 de la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, al no aplicarse el régimen de responsabilidad civil objetiva en materia de consumo.
Según este principio, el empresario asume los riesgos propios de su actividad. Si esta causa un daño al consumidor, puede ser responsable aunque no haya actuado con negligencia. No obstante, la Sala determinó que esta responsabilidad no es automática.
El consumidor debe probar la existencia de una relación de consumo, el daño sufrido y su conexión con la actividad del proveedor. La empresa, por su parte, queda exenta de responsabilidad si acredita que no tuvo vinculación con el perjuicio, amparándose en una causa eximente.
En este caso, se determinó que el Banco Nacional no fue responsable, ya que no se vulneraron sus sistemas, sino que el acceso se logró mediante información proporcionada por la propia afectada.
“No procede imputar a un agente del mercado financiero, la responsabilidad por actos de terceros con intervención de quien se presenta como supuesta víctima. Esto, porque implicaría ponerle una excesiva y desproporcionada carga. (...) Aunque el servicio puesto a disposición del Banco para uso de sus clientes conlleve un potencial riesgo, no es motivo suficiente para endilgar la responsabilidad al BNCR”.
— Resolución Nº 00926 - 2024, Sala Primera de la Corte Suprema de Justicia.
La Sala concluyó que fue la propia conducta de la afectada la que facilitó la estafa, al proporcionar a terceros información confidencial que permitió el acceso a su cuenta, el retiro de fondos y la tramitación del extra financiamiento. Según el estrado judicial, esta actuación interrumpió el nexo causal entre el daño sufrido y el proceder del banco, al atribuir la responsabilidad a la conducta de la víctima.
Conozca más detalles de esta sentencia en este enlace.
¿Hasta dónde llega la responsabilidad de los usuarios víctimas de estafas?
John Brenes, abogado asociado de la firma Alta Batalla, explicó a La Nación que, en Costa Rica, la responsabilidad de la víctima se configura cuando la persona afectada contribuye, por acción u omisión, a la ocurrencia del daño.
En ese contexto, no es válido alegar desconocimiento técnico para evitar asumir responsabilidades porque la jurisprudencia, señaló Brenes, exige un mínimo de diligencia en el resguardo de las claves por parte de las personas consumidoras.
“Si la causa de la transferencia es el engaño al usuario, o en general una causa ajena al control del Banco, en principio (la entidad) no es responsable”, acotó.
¿Qué se requiere para que una demanda prospere?
Sin embargo, al abogado Brenes advirtió de que cada situación debe analizarse de forma individual, pues la entidad financiera sí podría ser responsable si se comprueba, por ejemplo, la participación de algún funcionario, el uso de su infraestructura para cometer el delito, o la vulneración de sus sistemas de seguridad.
Además, recalcó que los bancos están obligados a ofrecer una infraestructura tecnológica robusta, con mecanismos de autenticación confiables, así como a promover buenas prácticas entre sus clientes para prevenir fraudes.
Entonces, ¿qué se requiere para que una demanda de este tipo prospere? Según Brenes, se deben demostrar tres elementos fundamentales:
- La existencia de una relación de consumo: la persona afectada debe probar que es cliente de la entidad financiera.
- La ocurrencia de un daño indemnizable: este puede ser de carácter material, como la pérdida de fondos, y/o moral, por el sufrimiento derivado de la situación.
- El vínculo entre el daño y la actuación del banco: es necesario acreditar que existe un nexo de causalidad entre lo sucedido y una conducta atribuible a la entidad.
Según la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, los comerciantes pueden eximirse de responsabilidad si demuestran que el daño les es ajeno. Es decir, durante el proceso deben asumir la carga de probar que la afectación fue provocada por un factor externo a su control.
---
¡Nos contactamos de nuevo en una semana con un nuevo caso! Se despide la periodista Arianna Villalobos.
