/ La concientización al consumidor como defensa ante fraudes

El fallo de la ICA marca un precedente inédito respecto de los límites en la responsabilidad por el cuidado de credenciales de acceso a una plataforma en el marco de una relación de consumo.

Jaime Urzúa
Asociado
Alessandri Abogados

A fines de marzo de 2023, la Ilustre Corte de Apelaciones de Puerto Montt (ICA) dictó un interesante fallo en materia de deberes de seguridad de los bancos respecto de conductas fraudulentas en contra de sus clientes.

El caso se remonta al año 2020, cuando una clienta del BancoEstado fue víctima de una estafa telefónica, por medio de la cual entregó sus credenciales de acceso al sitio privado del banco a sujetos desconocidos, que se hicieron pasar por ejecutivos de dicha institución. La clienta fue afectada en cerca de once millones de pesos entre transferencias electrónicas de fondos, compras y créditos que los individuos solicitaron.

La interesada inició un proceso ante el Segundo Juzgado de Policía Local de Puerto Montt (JPL), donde argumentó infracciones por parte del banco a los deberes exigidos por la Ley N°19.496 (LPDC) y a la Ley N°20.009 (Ley de Fraudes).

En resumen, ella indicó que el banco habría:

• Incumplido con el deber de seguridad en el consumo de bienes y servicios (artículo 3° de la LPDC).
• Actuado con negligencia debido a fallas o deficiencias en la calidad y seguridad del servicio (artículo 23° de la LPDC).
• Infringido con la adopción de medidas de seguridad necesarias para prevenir la comisión de fraude en transacciones electrónicas.

El JPL dictó sentencia y estableció la responsabilidad infraccional del proveedor denunciado, por haber incumplido la obligación de seguridad y actuar negligentemente en la prestación del servicio.

Sin embargo, el banco apeló a dicha sentencia y finalmente la ICA revocó en su totalidad la demanda de la clienta. La corte de alzada estimó que los antecedentes aportados por la demandante no resultaron suficientes para acreditar algún grado de negligencia o falta de seguridad por parte del citado banco.

Este cambio se debió principalmente a que el banco acreditó en la apelación la realización de diversas campañas de seguridad para evitar fraudes bancarios, en las que recomendaba constantemente a los clientes que no entreguen sus claves personales a terceros y que el banco jamás se las pedirá, cuestión que lleva a descartar la concurrencia de vulneración a la ley del consumidor.

Este fallo marca un precedente inédito respecto de los límites en la responsabilidad por el cuidado de credenciales de acceso a una plataforma en el marco de una relación de consumo.

El artículo 3° de la LPDC se refiere a una exigencia hacia los proveedores de que los bienes o servicios no causen daños diferentes a los que sencillamente se derivan de sus de defectos de cantidad o funcionamiento (el llamado derecho de “seguridad en el consumo”). Tanto la doctrina como la jurisprudencia han entendido que este deber se circunscribe a la integridad física y psíquica del consumidor, en el sentido que el bien o servicio que se consume no dañe o lesione su salud (por ejemplo, que las instalaciones de una tienda o recinto sean seguras o que el producto no produzca lesiones al consumidor en su uso).

Como contracara al derecho citado, existe el deber de seguridad del consumidor, en virtud del cual este debe evitar los riesgos que puedan afectarle. Esto significa que el cliente debe observar un autocuidado y prudencia en el uso que haga del producto y servicio, lo que se traduce en la responsabilidad por conocer y seguir las instrucciones y advertencias que han sido comunicadas por el proveedor. Por consiguiente, si el consumidor incumple este deber, el daño ocasionado puede ser imputado a su propia conducta y no generar ni sanciones infraccionales ni responsabilidad civil para el proveedor.

Aparte, el artículo 23 de la LPDC exige un análisis subjetivo (contrario al régimen de culpa objetiva) para determinar la infracción. Es decir, se requiere que la actuación del banco haya sido negligente, cuestión que no es posible de imputar según se desprende de los hechos.

Así, se puede apreciar que las medidas de seguridad empleadas por el banco para cuidar sus activos y proteger los productos contratados por los usuarios (obligaciones básicas del banco según lo analizado) no son precisamente aquellas que fueron vulneradas en este caso. En el proceso quedó reconocido que la víctima fue quien entregó sus credenciales y coordenadas, cuestión que el banco en cuestión ha instruido no hacer en reiteradas ocasiones a través de campañas de concientización.

Lamentablemente este caso se condice con el alza en las cifras de estafas telefónicas y delitos como el vishing. Es lamentable que a pesar de las medidas que tanto los actores públicos como privados (especialmente desde las instituciones financieras) las personas sigan siendo víctimas de este tipo de actividades ilícitas. Por otra parte, el fallo es un llamado de alerta a no bajar la guardia frente a nuevas formas de fraude por medios electrónicos, cada vez más presentes en nuestra vida cotidiana.