En fallo unánime la Corte de Apelaciones de Antofagasta acogió el recurso de protección y ordenó a Banco restituir los fondos sustraídos por medio de transacciones fraudulentas de la cuenta corriente de la recurrente, tras establecer el actuar ilegal y arbitrario del banco, al denegar la restitución de los fondos defraudados.
Como es costumbre se han eliminado o abreviado los nombres de las partes ya que éstos no se tienen por relevantes para el análisis de la sentencia causa Rol 1.010-2020.
TEXTO DE LA SENTENCIA:
Antofagasta, a veintisiete de abril de dos mil veinte.
VISTOS:
Comparece DSRV, con domicilio en XXXX N° XXX, XXXX, de esta ciudad, quien interpone recurso de protección en contra de Banco S S.A, por el actuar ilegal y arbitrario de la recurrida.
Informó la recurrida, solicitando el rechazo del recurso.
Puesta la causa en estado, se trajeron los autos para dictar sentencia.
CON LO RELACIONADO Y CONSIDERANDO:
PRIMERO: Que la recurrente es cliente del Banco S desde el año 2011, manteniendo una cuenta corriente personal y tres tarjetas – de las cuales es la única titular y se encuentran en su poder – y que fueron objeto de fraude. El 15 de enero del presente, recibió un correo electrónico del Banco que informaba un avance en dinero efectivo realizado desde su tarjeta Mastercard Black a su cuenta corriente. Al ingresar a la página web del banco, visualiza 15 movimientos de transferencias de dineros de su cuenta, los cuales no fueron consentidos por ella, entre los días 14 y 17 de ese mes. Dichos movimientos, ascendían a la suma de $25.700.229.-, la cual fue extraída de su cuenta corriente, por medio de compras, pagos y transferencias electrónicas. Asimismo, el banco recurrido cargó de la cuenta corriente la suma de $812.112.- como consecuencia de pagos de cuota del crédito, intereses por línea de sobregiro y comisiones derivadas de las transacciones fraudulentas.
Los hechos relatados constituyen un delito informático, cuya responsabilidad de evitarlo es del recurrido, ya que los dineros le fueron entregados para su administración y custodia.
Además, la recurrente indico que llamó el 16 de enero al banco recurrido, para pedir el bloqueo de sus productos y de su página web, por lo que a la fecha, no tiene acceso a dicha página para realizar trámites en su cuenta. Ese mismo día, llamó a la ejecutiva bancaría, sin tener respuesta sobre las transacciones efectuadas. En forma paralela, se efectuó otra transacción fraudulenta, consistente en la contratación de un préstamo por la suma de $10.181.600.-.
Al día siguiente, concurre a la sucursal, donde se comprometen a entregarle una respuesta formal en un plazo de 7 a 10 días, acerca de si el banco le retornará su dinero.
¿Ha sido víctima de un fraude informático?
En Derecho-Chile lo asesoramos, le ayudamos de la forma más rápida y al precio más económico del mercado, ¡consúltenos!
A pesar de las gestiones realizadas, el día 17, encontrándose supuestamente la cuenta bancaria bloqueada desde el día anterior, se registra un pago desde su cuenta corriente, por la suma de $4.800.000.-, el cual nuevamente denuncia al banco, señalándole este que los movimientos entraran a un proceso investigativo.
Hizo presente que no recibió correos electrónicos con notificaciones de todas las transacciones realizadas, solo de los avances, prestamos contratados y el pago automático de cuentas y que además, el banco no tiene mecanismos de seguridad, como clave dinámica. Tampoco posee servicio de monitoreo de transacciones anómalas o sospechosas en cuentas corrientes, en donde llaman al cliente y notifican que está sucediendo. Asimismo, la recurrida no ha provisto información de las transacciones y los destinatarios.
El día 25 de febrero del año en curso, se recibió desde el banco un correo electrónico conteniendo respuesta del proceso de investigación, el que indica que el banco no se hará cargo de devolver el dinero que se transfirió desde la cuenta corriente, por presunta existencia de malware en los dispositivos electrónicos de la recurrente, que eventualmente hubieran permitido la captura de credenciales de seguridad para acceder al banco. No obstante, no se adjuntó el informe de la investigación, por lo que se desconoce las razones técnicas y legales de su respuesta. Por lo tanto, se estima que la respuesta carece de sustento técnico, ya que 25 horas después del bloqueo de la cuenta corriente de la recurrente, igualmente se registraron transacciones no autorizadas.
Por lo anterior, concluye que la situación que afecta gravemente a la actora, es producto de un acto unilateral del banco, quien sin su consentimiento y no respetando las órdenes de bloqueo para acceder vía internet a los fondos de su cuenta corriente, y eludiendo sus facultades legales y contractuales, ha vulnerado el derecho de propiedad de la recurrente, sobre el dinero depositado, consagrado en el artículo 19 N° 24 de la Constitución Política de la República.
Refiriéndose a los fundamentos de derecho, cita la normativa aplicable en la materia, destacando la Ley general de bancos y el Decreto con Fuerza de Ley N° 707, respecto de la naturaleza del contrato de cuenta corriente. Al respecto, tratándose de un contrato de depósito, y siendo dinero lo que se sustrajo a través del fraude, resulta imposible acreditar la exacta identidad de las especies sustraídas, circunstancia que fuerza a concluir que en definitiva el exclusivo afectado por el engaño es el banco, dada su calidad de propietario del mismo y al ser en quien recae finalmente el deber de eficaz custodia material de éste, a quien le toca adoptar, al efecto, todas las medidas de seguridad necesarias para proteger adecuadamente el dinero entregado a su resguardo.
En consecuencia, el actuar del recurrido es ilegal y arbitrario, al no asumir el perjuicio económico, como le asiste como administrador de esos dineros, atribuyendo los efectos del fraude bancario a la actora, afectando su patrimonio. Lo anterior, sin perjuicio del derecho a ejercer todo tipo de acciones civiles y penales, en su calidad de directo afectado.
Asimismo, la Superintendencia de Bancos e Instituciones financieras, en su Recopilación Actualizada de Normas (RAN), en su capítulo 1-7, denominado Transferencia electrónica de información y fondos, en su número 2 fija los requisitos que deben cumplirse para habilitar un sistema de transferencia electrónica de información o de fondos. Estos requisitos dicen relación con que los sistemas, junto con reconocer la validez de la operación, deben controlar que los importes girados no superen el saldo disponible o el límite que se haya fijado para el efecto. Además, los bancos deberán ponderar la exposición al riesgo financiero y operativo de los sistemas de transferencia y considerar las instancias internas de revisiones y autorizaciones previas que sean necesarias.
Así, se puede apreciar, que el banco ha extremado los requisitos para utilizar sistemas de transferencia electrónica de los dineros, exigiendo los máximos estándares de seguridad en la protección de los fondos de sus clientes. Además, dicha norma regula la prevención de fraudes, señalando que los bancos deberán contar con sistemas o procedimientos que permitan identificar, evaluar, monitorear y detectar en el menor tiempo posible aquellas operaciones con patrones de fraude, de modo de marcar o abortar operaciones potencialmente fraudulentas.
Por lo anterior, el Banco recurrido no habría cumplido con las instrucciones del ente supervisor, al no detectar a tiempo las inusuales transacciones electrónicas que dieron origen al fraude.
En cuanto a la ilegalidad del acto, agrega que es indiscutido que las transferencias no autorizadas, fueron efectuadas a través de los propios medios que entrega el banco a sus clientes para el desarrollo de sus operaciones electrónicas, particularmente su plataforma digital o página web, sin que operaran los resguardos o mecanismos de control que a ella le caben. Por ello, no resulta sostenible que se libere de toda responsabilidad ante su contratante y pretenda imponerle a ésta la pérdida patrimonial. Concluye solicitando que se decrete que el banco recurrido tiene el deber de dejar sin efecto todas las operaciones bancarias fraudulentas y reintegrar en 24 horas hábiles, el total de los fondos sustraídos de la cuenta corriente, que ascienden a la suma de $25.700.229.- ; como también todos los intereses y comisiones pagadas y derivadas de tales transacciones, que asciende al monto de $812.112.-, que ascienden en su totalidad a la suma de $26.512.341.- , con expresa condena en costas, procesales y personales.
SEGUNDO: Que informó el abogado EGC, en representación del recurrido Banco S, solicitando el rechazo del recurso.
En primer lugar, alegó la extemporaneidad del Recurso de Protección, ya que conforme al relato de la recurrente y los documentos acompañados, el recurso no fue presentado en el plazo de treinta días corridos, contados desde la ejecución del acto o la ocurrencia de los mismos, o bien desde que se haya tenido noticias o conocimiento cierto de ellos. El acto que vulneraría el derecho de propiedad, sería la sustracción de los dineros de la cuenta corriente, cuestión de la que tomó conocimiento el día 16 de enero de este año, por lo que a la fecha de presentación de esta acción, el día 7 de marzo, ya había transcurrido el plazo de 30 días corridos establecido en el artículo 1º del Auto Acordado sobre tramitación y fallo del Recurso de Protección de las Garantías Constitucionales. Además, los reclamos ante la entidad bancaria no interrumpen el plazo para la interposición del recurso, y la fecha en que pretende la recurrente computar el plazo, esto es, 25 de febrero, no corresponde para los efectos de tener por interpuesto el arbitrio judicial dentro de plazo.
En subsidio, solicitó el rechazo porque los derechos cuya protección se reclama, no tienen el carácter de indubitados, lo cual es un requisito esencial de la acción.
En efecto, conforme al “contrato de operaciones bancarias para personas naturales” que suscribió la recurrente con el banco, se establece el procedimiento para estos casos, así como también el grado de responsabilidad que pudiera tener el Banco o el cliente en el manejo de los canales remotos por donde circula la información, tales como internet o conexión telefónica. Así, para determinar si la actuación del banco ha infringido la relación contractual con la recurrente, el conflicto debe ventilarse en una instancia en que las partes procesalmente acrediten en forma legal sus pretensiones, como por ejemplo, el procedimiento contemplado en la Ley N° 19.496, u otras acciones que pueda interponer la recurrente ante los Tribunales ordinarios, cuestión que excede la competencia de la Corte.
En subsidio, se alegó la inexistencia de acción u omisión ilegal o arbitraria por parte de la recurrida. Consta en el “INFORME GSFD N°012/2020 de la Gerencia de servicios Forenses Digitales” de S, que la causa de la defraudación obedece a “Malware, compromiso del dispositivo utilizado por el cliente”. Según el informe, este tipo de defraudaciones se puede hacer de dos formas, a través del medio del phishing, que utiliza el correo electrónico como soporte material para reconducir a la víctima a un sitio “web falso” o en el pharming, lo que se introduce es un malware o un gusano en el servidor de internet del usuario para reconducirlo mediante la manipulación del “Domain Name Server” (DNS) a una página “web” falsa. En consecuencia, las normas de la Superintendencia de Bancos e Instituciones Financieras, señalan frente a situaciones como las expuestas dos cuestiones completamente diversas: la primera, consiste en la intervención directa y por parte de terceros de la página web del Banco y, la segunda, la intervención de terceros, ya no de la página web del Banco, sino del computador o pantalla del cliente o usuario, bajo la modalidad del phishing. Para evitar lo primero – intervención por terceros de la página web del Banco y, por ende, suplantación a través de ella del cliente – el Organismo Supervisor dispone que el sistema debe proveer un perfil de seguridad que garantice que las operaciones sólo puedan ser realizadas por personas debidamente autorizadas para ello, debiendo resguardar la privacidad la información transmitida o procesada por ese medio. Lo anterior, con la finalidad de evitar que se desconozca la autoría de las transacciones o mensajes, utilizándose claves de acceso al sistema, que permitan asegurar autenticidad, sin intervención de terceros.
Agrega la norma citada que los canales electrónicos que ofrezcan las instituciones bancarias para realizar estas transferencias deberán contar con apropiados privilegios de autorización y medidas de autentificación, e infraestructura de seguridad para cuidar la integridad de los datos de cada transacción y la adecuada privacidad de los registros e información de los clientes. Asimismo se indica por la superintendencia que los bancos deberán contar con procedimientos que permitan detectar todas las operaciones con patrones de fraude, para marcar o abortar operaciones potencialmente fraudulentas, para lo cual deberán establecer patrones conocidos de estos y comportamientos que no estén asociados al cliente.
Por lo señalado, hizo presente que los sistemas de seguridad del Banco no fueron transgredidos, ya que las transferencias no se ejecutaron vulnerando sistemas de seguridad del Banco.
La segunda cuestión prevista por la normativa, es la intervención de terceros, ya no de la página web del Banco y por ende de la comunicación entre ambos, sino del dispositivo móvil empleado por el cliente, bajo la modalidad del “phishing” antes descrito u otra similar; operación en la que el delincuente ingresa a la página web del Banco, ya con todos los datos personales adulterados y procede a efectuar transferencias a terceros. En este caso, existe una comunicación autentica para estos efectos entre el Banco y el cliente, con la salvedad de que quien opera las claves no es el titular, sino, un tercero quien las extrajo previamente. Por ello, lo que ha ocurrido es que el cliente ha proporcionado sus claves – probablemente en forma inadvertida- a un tercero.
En el último caso, no hay un problema de autenticidad de comunicación o de violación de la página del Banco, ningún error u omisión administrativo, sino mal uso que terceros hacen de las claves confidenciales del cliente, quien ha perdido el dominio de ellas en virtud de una acción anterior, correspondiente al bloqueo de su equipo.
Así las cosas, no se ha quebrantado ningún derecho de la recurrente y no se ha cometido ningún acto arbitrario o ilegal en su contra.
TERCERO: Que de conformidad a lo establecido en el inciso primero del artículo 20 de la Constitución Política de la República el recurso de protección de garantías constitucionales constituye jurídicamente una acción de naturaleza cautelar, destinada a amparar el legítimo ejercicio de las garantías y derechos preexistentes que en esa misma disposición se enumeran, mediante la adopción de medidas de resguardo que se deben tomar ante un acto arbitrario o ilegal que impida, amague o moleste ese ejercicio.
CUARTO: Que el recurso de protección, como acción cautelar de urgencia, carece de las garantías procesales de un juicio declarativo de lato conocimiento, razón por la que sólo ampara derechos no controvertidos o indubitados.
En este sentido, un acto u omisión es arbitrario cuando carece de razonabilidad, de fundamentación suficiente, de sustentación lógica, es decir, cuando no existe razón que lo fundamente y quien actúa lo hace por mero capricho.
El acto u omisión será ilegal cuando no reúne los requisitos legales, es contrario a derecho o a la ley o no se atiene estrictamente a la normativa legal vigente.
QUINTO: Que en relación a la extemporaneidad del recurso de protección en los términos alegados por el banco recurrido, si bien la actora tomó conocimiento del fraude bancario sufrido, el 15 de enero del presente año, el acto vulneratorio se vincula cuando la institución prescindiendo de las decisiones normales y corrientes respecto del reintegro en casos similares, se niega a asumir la pérdida patrimonial como propia, de la que se tomó conocimiento con la respuesta recibida el 25 de febrero de los corrientes, por lo tanto, el recurso está interpuesto en forma oportuna.
SEXTO: Que para resolver el fondo del asunto, es menester tener presente que según se desprende de la acción constitucional, y tal como fue ratificado en estrados por ambas partes, tras tomar conocimiento de la existencia de transacciones fraudulentas, la actora solicitó a la institución financiera el bloqueo de sus productos y de su página web, lo cual fue efectuado por el banco, el día 16 de enero del presente año, pero a pesar de ello, no hay discusión ni es controvertido en este recurso, que continuaron las transacciones fraudulentas en perjuicio de DSRV, al punto que incluso se simularon pagos por convenios generados coetáneamente y de una suma no menor, por lo que acreditado como está el fraude más la falta inequívoca de medidas necesarias para impedirlo, no obstante el bloqueo y comunicación personal que se hizo con el banco éste no fue capaz de contener los perjuicios ocasionados como consecuencia de la intervención irregular a lo menos de los antecedentes de la cuenta correntista, causándole grave perjuicio patrimonial.
Por lo anterior, resulta indubitado que la recurrida no adoptó las medidas de seguridad suficientes para impedir que se afectara el patrimonio de la actora al no ser efectivas o eficientes las medidas de seguridad con posterioridad al bloqueo de las cuentas, por consiguiente surge con claridad la existencia de actos arbitrarios e ilegales por parte de la institución recurrida al denegar la devolución de los montos defraudados, ya que ante la omisión de adoptar las medidas de seguridad pertinentes, corresponde que sea asumida por ella la pérdida patrimonial sufrida, debido a los actos ilícitos, ilegalidad porque desconoce las obligaciones básicas que impone la Ley General de Bancos frente a situaciones subrepticias como también a los reglamentos e instrucciones que le obligan a adoptar medidas concretas frente a este tipo de acciones y arbitrarias porque habiendo tomado conocimiento de que el perjuicio fraudulento continuó en contra de la voluntad de la cuentacorrentista y del propio banco, sin razón alguna solo discrecionalmente denegó su devolución, razón por la cual corresponde acoger la presente acción constitucional, disponiendo la devolución de todas las sumas de dinero referidas por la recurrente, dentro de tercero día en que quede ejecutoriada la sentencia, más intereses corrientes fijados para operaciones de dinero no reajustables a partir de la fecha de la sustracción que aparece en la misma comunicación del banco, porque se ha privado en la forma señalada el derecho de propiedad representado por el dinero sustraído irregularmente.
Por estas consideraciones y de acuerdo, además, con lo dispuesto en el artículo 20 de la Constitución Política de la República y Auto Acordado de la Corte Suprema sobre Tramitación del Recurso de Protección de Garantías Constitucionales, SE ACOGE con costas, el recurso deducido por DSRV contra Banco S S.A., y en consecuencia, se ordena la restitución de los dineros defraudados de la cuenta corriente de la recurrente con intereses corrientes para obligaciones de dinero no reajustables, a contar de la fecha de cada una de las operaciones, y la restitución de las comisiones bancarias derivadas de dichas transacciones.
Regístrese y comuníquese.
Rol 1010-2020 (PROT).
Pronunciado por la Segunda Sala de la C.A. de Antofagasta integrada por los Ministros (as) Oscar Claveria G., Virginia Elena Soublette M., Dinko Franulic C. Antofagasta, veintisiete de abril de dos mil veinte.
En Antofagasta, a veintisiete de abril de dos mil veinte, notifiqué en Secretaría por el Estado Diario la resolución precedente.
AVISO:
Todas las partes involucradas en la causa tienen la posibilidad de utilizar recursos procesales disponibles dentro de los plazos legales, los que permiten la revisión de lo resuelto y su eventual modificación.
¿Ha sido víctima de un fraude informático?
En Derecho-Chile lo asesoramos, le ayudamos de la forma más rápida y al precio más económico del mercado, ¡consúltenos!
Otras sentencias y otros artículos que le pueden interesar:
- C. A. DE IQUIQUE ORDENA A BANCO RESTITUIR FONDOS SUSTRAÍDOS VÍA FRAUDE INFORMÁTICO A CUENTACORRENTISTA.
- C. S. ACOGE R. DE PROTECCIÓN POR DINEROS SUSTRAÍDO EN FRAUDE INFORMÁTICO.
- C. S. ORDENA A BANCO RESTITUIR FONDOS SUSTRAÍDOS DE CUENTA CORRIENTE POR FRAUDE INFORMÁTICO.
- C. S. CONFIRMA FALLO CONTRA EL FISCO POR DESPIDO INJUSTIFICADO DE FUNCIONARIO PÚBLICO Y ORDENA ENTERAR COTIZACIONES PREVISIONALES.
- R. Protección acogido contra Banco y ordena dejar sin efecto la decisión de cerrar unilateralmente la cuenta corriente y productos financieros asociados.
- C. A. de Antofagasta ordena toma de razón de nombramiento de vicerrector rechazado por no ser chileno.
- Ordenamiento jurídico alemán.
- Se acoge exequátur para que se lleve a efecto en Chile la sentencia dictada en el extranjero que declara la paternidad.
