La Corte Suprema acogió el recurso de queja interpuesto en contra de los Ministros de una sala de la Corte de Apelaciones de Santiago, por haber dictado con falta y abuso grave la resolución que revocó el fallo de base, en cuanto acogió la denuncia infraccional y demanda civil entabladas en contra de Banco Security S.A., y en su lugar, absolvió a la empresa y desestimó la demanda.
Se estableció en la causa que una empresa fue víctima de una operación fraudulenta mientras accedía a la página web de su banco, al aparecer una ventana emergente que solicitaba la actualización de datos personales y coordenadas bancarias, lo que permitió una transferencia no autorizada de $5.000.000.- a una tercera persona. El banco, tras reintegrar inicialmente los fondos, revirtió dicha operación luego de una investigación interna en que concluyó no tener responsabilidad en el fraude. La empresa demandó al banco por considerar que no adoptó las medidas de seguridad necesarias para proteger a sus clientes.
El tribunal de primera instancia acogió parcialmente la denuncia y demanda, ordenando el reintegro del monto y aplicando una multa por infracción a la Ley N° 19.496 sobre protección de los derechos de los consumidores. No obstante, la Corte de Santiago revocó el fallo, desestimando las acciones al considerar que la empresa no acreditó la omisión de medidas de resguardo por parte del banco, especialmente habiendo sido el propio representante legal quien proporcionó voluntariamente las claves de acceso.
El quejoso alegó que los jueces recurridos incurrieron en falta o abuso grave al revocar la sentencia del Tercer Juzgado de Policía Local de Las Condes, al haber desestimado la denuncia infraccional y la demanda civil interpuesta contra el banco, pese a que se acreditó el incumplimiento de su deber de prestar un servicio seguro y proteger al cliente frente a operaciones fraudulentas. Expuso que su representada fue víctima de una transferencia no consentida por cinco millones de pesos, monto que el banco primero restituyó y luego descontó al considerarse exento de responsabilidad. Señaló que la sentencia de primera instancia había establecido la infracción a los artículos 3 letras b) y d) y 23 de la Ley N° 19.496, imponiendo una multa y ordenando el reintegro del dinero. Cuestionó que los jueces de segunda instancia incurrieron en una falsa apreciación de los hechos y en contravención formal de la ley, por lo que solicitó acoger el recurso de queja, anular el fallo impugnado y dictar uno de reemplazo que confirme la sentencia de primer grado, aplicando además las sanciones disciplinarias que correspondan.
Informando los jueces recurridos, refirieron que su decisión jurisdiccional se basó exclusivamente en las alegaciones y pruebas vertidas y producidas por las partes, adquiriendo convicción acerca de la ausencia de responsabilidad del banco en los hechos denunciados, habida consideración de la inexistencia de elementos de juicio susceptibles de atribuir al ente demandado algún grado de negligencia en la implementación y adecuada operatividad de sus mecanismos de seguridad.
El máximo Tribunal acogió el recurso de queja, al considerar que los jueces de alzada incurrieron en una falta grave al revocar la sentencia que condenó al banco por una transferencia fraudulenta, sin contar con elementos probatorios suficientes para sostener que la empresa actuó con negligencia. Razón por la cual se alteró indebidamente la carga de la prueba, en contravención a la Ley N° 20.009, que impone al banco la obligación de restituir los fondos defraudados salvo que acredite dolo o culpa grave del usuario, lo que no ocurrió en la especie.
La Corte sostuvo que la operación cuestionada tuvo lugar dentro del sitio web oficial del banco, lo que evidencia una infracción a su deber de seguridad, y que la conducta del representante legal de la empresa no puede considerarse imprudente ni culposa, ya que actuó en un entorno que razonablemente ofrecía confianza al consumidor.
En tal sentido indica que, “(…) el hecho que las claves se hayan entregado voluntariamente a un tercero, en este caso, carece de toda relevancia jurídica. La razón es la siguiente: la entrega se produjo en un entorno en el que, razonablemente, el usuario podía sentirse protegido; no se trata, entonces, de una llamada telefónica o de una conversación a través de algún sistema de comunicaciones electrónicas -en cuyo caso, en general, el usuario debe, en virtud de las múltiples campañas comunicacionales al respecto, desconfiar- sino del sitio web del Banco con posterioridad a la realización de los trámites de verificación de identidad del cliente”.
Enseguida, añade que, “(…) además, deberá considerarse que, a pesar de que la transferencia cuestionada fue hecha a favor de un destinatario nuevo, el banco, alautorizar una transferencia por un monto de cinco millones de pesos, no adoptó ninguna medida de seguridad para evitar el fraude por parte del tercero. Sobre este punto -es decir, sobre la obligación de seguridad que pesa sobre las instituciones financieras según la ley 20.009- convendrá añadir que el hecho de que la “ventana” se haya abierto una vez digitados el rut y la clave, indica que el ilícito tuvo lugar dentro de la esfera de control del Banco demandado y que, a falta de una norma expresa, consideraciones elementales aconsejan que el riesgo se adjudique a quien está en mejores condiciones de controlarlo”.
El fallo agrega que, “(…) todo lleva a estimar que quien está en mejores condiciones de controlar el riesgo al interior de su sitio web -y, más allá de detalles técnicos, interior aquí significa la utilización del sitio web con posterioridad al ingreso de los datos de identificación del usuario- es el Banco y no el usuario. De esta manera, el hecho de que las cosas sucedieron como se acaba de indicar constituye un antecedente suficientemente persuasivo de que el Banco demandado no cumplió con su obligación de seguridad: res ipsa loquitur”.
La Corte concluye que, «(…) al haber sido acreditada la transferencia indebida y no consentida de cinco millones de pesos desde la cuenta corriente de la empresa hacia la cuenta de una tercera persona y no habiendo sido demostrado un actuar atribuible a culpa grave o dolo en la consumidora del servicio, sólo quedaba hacer efectiva la responsabilidad infraccional y civil del banco por infringir el derecho del cliente previsto en el artículo 3 letra d) de la Ley N°19.496 y a su vez incumplir sus deberes, en tanto proveedor, contemplados en los artículos 12 y 23 del citado estatuto jurídico”.
En mérito de lo expuesto, el máximo Tribunal acogió el recurso de queja, dejó sin efecto la sentencia de la Corte de Santiago, y en su lugar, confirmó el fallo de primera instancia que hizo lugar a la denuncia infraccional y demanda civil entabladas contra Banco Security S.A., ordenando restituir a la empresa la suma de $5.000.000.-, más reajustes e intereses.
No se dispuso la remisión de los antecedentes al Pleno, por tratarse de un asunto en que la inobservancia constatada no fue considerada como una falta o abuso que amerite disponer una medida de carácter disciplinario.
Vea sentencia Corte Suprema Rol N°234221/2023 y Corte de Santiago Rol N°2093/2021 (Policía Local).