Consecuencias legales y judiciales de ser víctimas de un ciberdelito

Desde el punto de vista legal, la comisión de un delito o ciberdelito tiene diferentes consecuencias en relación a las acciones que derivan de ese hecho. Por ejemplo, al estar en presencia de un ciberdelito, la conducta penada se encuentra recogida por la ley 21.459 sobre delitos informáticos. Si el hecho, además produjo perjuicios económicos, la victima podrá accionar civilmente, bien sea en el propio proceso penal, en la instancia de rigor o bien en un juicio civil teniendo como fundamento la sentencia dictada en el proceso penal. En este caso se aplicarán las normas sobre responsabilidad civil extracontractual regladas en el Código Civil.

Si estamos en presencia de un ciberdelito en el cual se realiza un robo de dinero, por ejemplo, a través de una trasferencia electrónica, opera de manera especial, en materia comercial / civil lo consagrado en la ley 21.234.

Con la dictación de la Ley Nº21.234 de fecha 20 de mayo de 2020, se limitó la responsabilidad de los titulares o usuarios de tarjetas de pago y transacciones electrónicas, eximiéndolos de ella y traspasándola a los emisores de las operaciones. Una actualización necesaria a esa fecha, que si bien no realizó todos los cambios que se requerían a la Ley Nº19.223, que era la ley vigente a esa fecha que tipificaba figuras penales relativas a la informática, si fue de ayuda en los dos años que tardó en promulgarse la actual ley sobre delitos informáticos, sobre todo dado el auge y exponencialidad que tuvieron ese tipo de ciberdelitos durante la pandemia del COVID-19.

Desde el punto de vista de los usuarios de las tarjetas, la Ley Nº21.234 vino a subsanar la indefensión en que quedaban cuando la operación fraudulenta ocurría bajo la total ignorancia del titular y, al no poder notificar a su emisor el aparente fraude no se estaba en presencia del supuesto establecido por la Ley Nº 20.009.- Pero, desde el punto de vista del emisor, este requiere desplegar un sin número de resguardos, transfiriendo la carga de la prueba a ellos y estableciendo una responsabilidad objetiva del emisor (eliminando los supuestos que se daban por el aviso de fraude).

Dentro de la Historia de la Ley, la Asociación de Bancos e Instituciones Financieras (ABIF) alertó sobre el desincentivo del cumplimiento de “las obligaciones que corresponden a los intervinientes en el mercado, especialmente la adopción de medidas de seguridad por parte del comercio. Y desincentiva la persecución de la responsabilidad penal de los autores del fraude”. La necesidad de adopción de medidas de seguridad tiene que generarse en todos los puntos de la cadena, y no tratar de responsabilizar únicamente a uno de los eslabones de ella. Es nuestro parecer la normativa al menos no deja en indefensión a los tarjetahabientes, pero creó -indirectamente- una sociedad menos responsable – desde el punto de vista de la precaución del fraude y reducción al riesgo- en cuanto a la forma y uso de sus tarjetas y medios de pagos digitales.

Si bien lo que buscó la dictación de la Ley Nº21.234, fue poner punto final a un sinnúmero de litigios que buscaban demostrar por parte de los afectados, la responsabilidad de los emisores, con pocas o nulas herramientas técnicas que siempre eran sopesadas con informes de las propias instituciones financieras o de aquellas empresas de apoyo al giro involucradas en el ilícito. Sin embargo, omite colocar a las personas y sus conductas en un lugar primordial frente al riesgo asociado al uso de las tarjetas, sobre todo a través de medios electrónicos. Como país excesivamente legalista, nuestras leyes buscan adecuar y modelar conductas, pero no se incentiva la educación en seguridad, la concientización y culturización en dichas materias, ni mucho menos la reducción de riesgos asociadas a beneficios. Pareciera justo que al menos la ley reconociese a aquellos emisores con una menor tasa de siniestralidad y que han adoptado las medidas y generado los medios para educar a sus clientes, al menos con minorantes o eximentes de responsabilidad, en su caso.

En el caso señalado, esto es, cuando un tarjeta habiente es víctima de un ciberdelito consagrado en la citada Ley 21234, de acuerdo al artículo 5to de la ley, el usuario y entidad bancaria, se ven enfrentados a dos escenarios diversos, a saber:

Primera Hipótesis, inciso primero del artículo Quinto: “El emisor deberá proceder a la cancelación de los cargos o a la restitución de los fondos correspondientes a las operaciones reclamadas en virtud del artículo 4, dentro de cinco días hábiles contados desde la fecha del reclamo, cuando el monto total reclamado sea igual o inferior a 35 unidades de fomento.”

Segunda Hipótesis, inciso segundo del artículo Quinto: “Si el monto reclamado fuere superior a 35 unidades de fomento, el emisor deberá proceder a la cancelación de los cargos o la restitución de los fondos, según corresponda, por un valor de 35 unidades de fomento en igual plazo que el inciso precedente. Respecto del monto superior a dicha cifra el emisor tendrá siete días adicionales para cancelarlos, restituirlos al usuario o ejercer las acciones del inciso siguiente, debiendo notificar al usuario la decisión que adopte de la manera indicada en el inciso tercero del artículo 2.

En uno u otro caso, lo que está ocurriendo con demasiada frecuencia es lo señalado en el inciso tercero del artículo Quinto y, esto consiste en que una vez pagada la suma anterior por parte de la Institución Financiera obligada por ley, procede a ejercer acciones civiles de restitución en contra del cliente, así las cosas, el artículo reza lo siguiente:

“Si en el plazo anterior, el emisor recopilare antecedentes que acrediten la existencia de dolo o culpa grave por parte del usuario, podrá ejercer ante el juez de policía local todas las acciones que emanan de esta ley, siendo competente aquel que corresponda a la comuna del domicilio del usuario.”

El problema es que el Banco acompaña una serie de antecedentes que darían cuenta de que el cliente, hoy demandado, es en realidad quien tiene que hacerse cargo de la perdida denunciada, por haber actuado con dolo o culpa grave.

Así las cosas, he visto casos en que el titular de la cuenta corriente, quien es víctima de un ciberdelito, le sustraen desde dicha cuenta un millón de pesos y además desde la línea de crédito otro monto que asciende a cinco millones de pesos y otros cinco millones de pesos desde la tarjeta de crédito, como un avance en dinero. En este caso el Banco demanda la devolución de la suma que restituyó, la cual no era superior a 35 Unidades de Fomento y, además, la suma sustraída de la línea de crédito y de la tarjeta de crédito.

Ocurre además que, para defenderse ante el Juzgado de Policía Local, dado principalmente por la especialidad de la materia tratada, debe contar con la asesoría de un abogado y en muchos casos, requerir además que se realice un peritaje forense para poder acreditar que no fue responsable de los hechos imputados, honorarios que, en muchos casos, si sumamos los de ambos profesionales, puede superar la suma defraudada en el ejemplo anterior.

En definitiva y al parecer, a los Bancos e Instituciones Financieras no les gustó que a través de la dictación de la ley 21.234, en la cual se les prohibió cobrar un seguro por la custodia de dineros de sus cuenta correntistas, dado que en realidad se trata precisamente del servicio que ellos prestan y del cual deben hacer cargo, por lo que procedieron a demandar, prácticamente a todos los clientes que son victimas de un ciberdelito, no importando en definitiva lo que declare el cliente.

Esa puede ser hoy en día una de las consecuencias de un ciberdelito, es decir, que un cliente Bancario que se siente tranquilo con la protección que le da su banco, luego, es víctima de un ciberdelito y, además su banco decide demandarlo.

Otra consecuencia que generalmente se produce una vez que una persona ha sido victima de un ciberdelito es la eventual exposición a la cual se puede ver afectada por el robo de sus datos o información sensible.

De igual forma, pueden existir daños civiles como en el caso que una empresa que ha sido victima de ciberdelito, pierde la base de datos de sus clientes, dineros que custodiaba o bien claves de acceso a través del cual su cliente es, a su turno, víctima de un ciberdelito y luego éste último decide demandarlo civilmente o bien cobrar las boletas de garantías que estén asociadas al cumplimiento del servicio contratado.

Por último y, no menos importante, es la perdida del denominado “prestigio reputacional” que puede expresarse como la pérdida de credibilidad que sufre una persona o empresa, producto de un hecho en particular, del cual puede ser responsable o no, en relación a la sociedad toda o a un grupo de individuos que lo reconocían como alguien de cierta honorabilidad y credibilidad.

Recordemos que la confianza tarda mucho en ganarse, pero puede ser perdida en un segundo. En un mercado pequeño como el chileno o en general el mercado de LATAM, es muy fácil que una empresa o sus dueños, una vez que se ven afectados por un ciberdelito la noticia se propague y se produzca una estampida de demandas y de clientes, que, en uno u otro caso, pueden conllevar la quiebra comercial de la empresa y que para poder reinventarse deban hacerlo a través de terceros, sin poder exponerse a que los clientes se den cuenta que nuevamente están prestando servicios en el mercado en el cual se vio afectado.

Por lo anterior e independientemente de que hoy existan leyes como las mencionadas, que persigan los Ciberdelitos por un lado y, por otro, que protejan al cliente bancario, no es menos cierto que dada la implementación de una y otra y el recorrido y adecuación que tengan luego desde los jurisprudencial, nos puede llevar a la conclusión de que el remedio, fue peor que la enfermedad. Recordemos el dicho de los abogados “hecha la ley, hecha la trampa”.