Por: Joshimar de la Cruz Aroni, Asociado Senior del Estudio Santivañez Antúnez & Abogados.
Una de las obligaciones más importantes de la entidad financiera es verificar y detectar las operaciones inusuales en la cuenta bancaria. Asimismo, debe tenerse en cuenta que una operación inusual es evaluada a raíz del comportamiento habitual de consumo del usuario, considerando diversos factores como por ejemplo el país de consumo, tipos de comercio, frecuencia, canal utilizado, los cuales pueden ser determinados a partir de la información histórica de las operaciones.
De lo dicho anteriormente, lo podemos constatar en lo regulado por el numeral 5 del artículo 2 de la Resolución SBS N.º 6523 – 2013 “Reglamento de tarjeta de crédito y débito” que señala lo siguiente:
«5. Comportamiento habitual de consumo del usuario: se refiere al tipo de operaciones que usualmente realiza casa usuario con sus tarjetas, considerando diversos factores, como por ejemplo el país de consumo, tipos de comercio, frecuencia, canal utilizado, entre otros, los cuales pueden ser determinados a partir de la información histórica de las operaciones de cada usuario que registra la empresa.»
En esta misma línea, las disposiciones establecidas en el Reglamento de Tarjetas de Crédito y Débito permiten apreciar las medidas de seguridad que las entidades bancarias deben otorgar a sus clientes ante transacciones inusuales. Asimismo, la SBS ha requerido la incorporación de disposiciones de seguridad para el monitoreo de operaciones bancarias e información que protejan a los clientes. Al respecto, el mencionado Reglamento determina en su artículo 17 lo siguiente:
Artículo 17.- Medidas de seguridad respecto al monitoreo y realización de las operaciones
Las empresas deben adoptar como mínimo las siguientes medidas de seguridad con respecto a las operaciones con tarjetas que realizan los usuarios:
-
- Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario.
- Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones.
- Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones.
[…]
En tal sentido según lo expuesto, la entidad bancaria tiene dentro de sus deberes construir un perfil de consumo del usuario a fin de prevenir los fraudes o transacciones inusuales que se pueden realizar. En este mismo extremo expone el Órgano Resolutivo de Procedimientos Sumarísimos de Protección al Consumidor – Sede Lambayeque en su decisión recaída en la resolución final 0386-2020/PS0-INDECOPI-LAM al señalar lo siguiente:
«23. Esta instancia considera que de conformidad con el referido artículo 17 del Reglamento de protección de los usuarios frente al cargo de transacciones fraudulentas en las cuentas de sus tarjetas de crédito o débito, se da a partir de, entre otros aspectos, la revisión del movimiento histórico de transacciones en dichas cuentas, lo cual evidentemente involucra el análisis de la pluralidad de operaciones que permitan a la empresa supervisada generar razonablemente un patrón de consumo respecto al uso de dicho producto por parte de su cliente. En ese sentido, dicho Reglamento exige un historial respecto del cual se pueden determinar ciertos factores que permiten construir el perfil de consumo del titular de la tarjeta e integrarlo al sistema de monitoreo correspondiente».
En concordancia con lo expuesto, a fin de acreditar la omisión de una entidad bancaria es oportuno realizar un análisis comparativo de los gastos o transacciones dentro de un periodo razonable y compararlo con las transacciones fraudulentas a fin de corroborar la transacción inusual. En este extremo y aplicando la misma metodología la máxima instancia del Indecopi, la Sala Especializada en Protección al Consumidor imputa la responsabilidad al Scotiabank Perú S.A.A. en su resolución N.º 0226 – 2019 /SPC-INDECOPI señalando lo siguiente:
«60. Finalmente, en vía de integración, este Colegiado considera que corresponde declarar fundada la denuncia contra el Banco, por infracción de los artículos 18 y 19 del Código, en la medida que no adoptó las medidas de seguridad necesarias, toda vez que cargó a la línea de la tarjeta de crédito del señor Sanchez una operación no reconocida por la suma de US$ 837.42, la cual se encontraba fuera de las características de las transacciones previamente realizadas por el denunciante».
(Énfasis nuestro)
Sobre la responsabilidad objetiva ante los fraudes electrónicos
Es importante advertir que en la actualidad las operaciones bancarias mediante la web son riesgosas; aún más, hoy en día, tras la pandemia generada por el Covid-19 donde casi todas las operaciones se realizan electrónicamente. Aumentando así la incidencia de ataques cibernéticos o el uso de datos personales, claves o números, por el personal de la entidad bancaria y su indebida utilización.
Como consecuencia de ello, actualmente las transacciones se han vuelto un riesgo total para los consumidores. Por lo tanto, se debe tener presente que mientras aumente o se vuelve más sofisticada la delincuencia cibernética es imprescindible aumentar las medidas de seguridad de protección al consumidor. Pues, si esto no va de la mano, se generaría un desincentivo a los consumidores de recurrir a este vía, generándose un perjuicio económico en el mercado.
Ante dicho problema, la pregunta cae de madura ¿quién debe asumir esas medidas de seguridad para las transacciones online o web? ¿el consumidor o el proveedor? Aquí es oportuno replantearnos una pregunta adicional ¿quién se encuentra en una posición de ventaja para aminorar los costos o riesgos? Consideramos que sin duda es la entidad bancaria la que por su posición debe establecer las medidas de seguridad. Puesto que, el banco no solo tiene la capacidad económica sino la mejor posición para afrontar estos hechos al ofrecer este medio como una alternativa de transacción a los consumidores.
En tal sentido debemos recalcar que el artículo 104 del Código establece la responsabilidad objetiva del proveedor y, asimismo, el riesgo injustificado en que somete al consumidor. Léase el artículo en mención:
«Artículo 104.- Responsabilidad administrativa del proveedor
El proveedor es administrativamente responsable por la falta de idoneidad o calidad, el riesgo injustificado o la omisión o defecto de información, o cualquier otra infracción a lo establecido en el presente Código y demás normas complementarias de protección al consumidor, sobre un producto o servicio determinado.
El proveedor es exonerado de responsabilidad administrativa si logra acreditar la existencia de una causa objetiva, justificada y no previsible que configure ruptura del nexo causal por caso fortuito o fuerza mayor, de hecho determinante de un tercero o de la imprudencia del propio consumidor afectado […]»
En tal sentido, debemos tener en cuenta que la falta u omisión de medidas de protección de la entidad bancaria convierte las operaciones por internet en actividades riesgos que perjudican la seguridad económica del consumidor. Esto, se puede deslindar de la Resolución Final N.º 102-2019/CC3 de la Comisión de Protección al Consumidor N.º 03 que señala lo siguiente:
«16. Partiendo de dicha premisa, el concepto de riesgo injustificado […] no se encuentra relacionado al peligro intrínseco que, por su propia naturaleza pueda tener un determinado grupo de bienes y/o servicios, sino al riesgo configurado por una serie de acciones y/u omisiones atribuibles a la esfera del proveedor al momento de comercializar un producto o prestar un servicio, teniendo como consecuencia una potencial afectación a la seguridad y salud de los consumidores».
1 Asociado Senior del Estudio Santivañez Antúnez & Abogados. Abogado por la Universidad Nacional Mayor de San Marcos. Especialista en Contratos y Daños por la Universidad de Salamanca (España). Fundador del círculo de estudios de Derecho Privado Comparado de la Universidad Nacional Mayor de San Marcos.
