Santiago, veintidós de noviembre de dos mil veintidós.
Vistos:
Se reproduce la sentencia en alzada con excepción de sus motivos 10º
al 28º que se suprimen.
Y se tiene en su lugar, y, además presente:
Primero: Que se ha deducido apelación por la parte denunciada y
demandada del Banco de Chile, en contra de la sentencia dictada el treinta de
octubre de dos mil diecinueve, que en lo infraccional, lo condenó al pago de
una multa de 25 Unidades Tributarias Menusales por la contravención al literal
d) del artículo 3º y 23 de la Ley Nº 19.496 y artículo 1 Nº 2 y 24 inciso final del
mismo texto; y, en lo civil, sólo en cuanto lo condenó al pago de la suma de
$3.000.000 por concepto de daño emergente, a favor de don Elías Eduardo
Arueste Sabah, solicitando la revocación de dichos capítulos.
Sustenta su arbitrio, señalando, en síntesis, que el fallo erradamente
concluye que el banco demandado no proveyó de sistemas seguros para la
realización de operaciones bancarias por internet, y ello, a pesar de que el
propio demandante reconoció su actuar negligente al entregar sus claves por
un correo electrónico que resultó fraudulento, quedando demostrado que no
hubo transgresión a su sistema computacional, sino que la actora, mediante el
método denominado “phishing” fue engañada, entregando a terceros sus
claves, de manera que no se le puede imputar responsabilidad a su parte,
añadiendo que, además, la sentencia impugnada no realiza ningún tipo de
consideración acerca de si las redes informáticas del banco fueron vulneradas,
incluyendo la comunicación con el cliente, asignándole responsabilidad
contravencional y civil, y sólo reconociendo la actitud del cliente, como un
elemento de exposición imprudente al daño, para efectos de rebajar la
indemnización.
Añade que tal razonamiento es arbitrario, pues, por un lado, soslaya que
el demandante reconoció en su querella su negligencia al ingresar a una
página web fraudulenta, entregando su clave secreta, y posiblemente su
digipass; por otro lado, omite la prueba rendida que demuestra el cumplimiento
de su parte de las normas relativas a la seguridad en las transacciones.
En lo relativo a lo infraccional:
Segundo: Que al respecto, es conveniente recordar que conforme lo
establece el artículo 3, letra d) de la ley N° 19.496, son derechos del
consumidor: “La seguridad en el consumo de bienes o servicios, la protección
de la salud y el medio ambiente y el deber de evitar los riesgos que puedan
afectarles”, norma, que juicio de esta Corte, configura un deber para el
proveedor, desde que se trata de un precepto que contiene una prerrogativa
que le asiste al consumidor a su respecto, lo que se vincula con el tenor
expreso del artículo 23 del mismo texto legal, que señala en su inciso primero
que “Comete infracción a las disposiciones de la presente ley el proveedor que,
en la venta de un bien o en la prestación de un servicio, actuando con
negligencia, causa menoscabo al consumidor debido a fallas o deficiencias en
la calidad, cantidad, identidad, sustancia, procedencia, seguridad, peso o
medida del respectivo bien o servicio”, como también, con el inciso primero del
artículo 50 de dicho compendio, al consagrar que “Las denuncias y acciones
que derivan de esta ley se ejercerán frente a actos, omisiones o conductas que
afecten el ejercicio de cualquiera de los derechos de los consumidores”,
añadiendo su inciso segundo, que el incumplimiento de tales deberes, da lugar
a las acciones pertinentes para perseguir la responsabilidad tanto infraccional
como civil.
De su tenor, fluye, por lo tanto, que al proveedor le corresponde un
deber o deuda amplia de otorgar seguridad en el consumo, lo que significa la
adopción de todas las medidas necesarias para impedir situaciones que alteren
dicho estado de normalidad que la normativa referida, viene a consagrar, lo
que acarrea como consecuencia procesal evidente, su obligación de acreditar
la diligencia en la toma de medidas que tiendan a evitar situaciones inseguras,
correspondiéndole el onus probatorio en dicho sentido.
Tercero: Que en tal contexto, en la especie no se discute que el día 14
de febrero de 2019, el actor recibió un correo electrónico proveniente de un
dominio que no corresponde al del Banco demandado, pero imitando su logo,
publicidad y fuente, en el cual se le solicitaba acceder a un link que se ponía a
su disposición, a fin de verificar sus últimas transacciones, mensaje del cual
tomó conocimiento al día siguiente, misma data en la cual, ingresó a dicho link
y digitó su clave de cuatro dígitos de acceso a la página del banco –aunque
expresa que no se le solicitó clave para transferencias o digipass.
Por lo demás así consta de la documentación aparejada en autos, en
especial de aquella de fojas 1, que corresponde a la impresión del correo
fraudulento, que proviene de la dirección boletin@econexpresscargo.com.
Tampoco se discute que ese día se realizaron diversos pagos a
instituciones comerciales, bancarias, universitarias y de servicios, mediante la
plataforma “Servipag”. Con posterioridad a ellas, dio aviso al banco.
Por su parte, el mismo actor reconoce haber sido víctima de “phishing”,
en cuanto fraude por el cual el estafador intenta conseguir información
confidencial mediante la suplantación electrónica de una persona o empresa,
para que en ese contexto, facilite datos privados.
Cuarto: Que para determinar la responsabilidad del banco apelante, es
necesario, entonces, considerar la manera en que se verificó el acto
fraudulento denunciado, a fin de establecer si durante su iter, el banco
incumplió las normas antes referidas, y si la defraudación sufrida por el
denunciante, se produjo por una insuficiencia de las medidas con las que
busca garantizar su cumplimiento, y que en suma, si existió vulneración de sus
sistemas de seguridad, supuesto en el cual, cabría concluir su obligación de
hacerse cargo de los perjuicios producidos.
Quinto: Que conforme se indicó, fue el demandante quien, omitiendo las
recomendaciones de seguridad que las instituciones financieras realizan,
accedió a un link que recibió de un correo de remitente cuyo dominio no
coincide con el del banco denunciado, simulando provenir del mismo, y en el
cual, ingresó su clave secreta, pudiéndose presumir, de dicho hecho, que
mediante dicha acción, terceros lograron obtener sus datos, para luego realizar
la actividad engañosa.
De esta forma, conforme la manera en que se concretó el fraude
referido, es posible concluir que el ardid utilizado, y la actividad poco cuidadosa
del demandante, sobrepasó la esfera de cuidado que debió otorgar el banco,
pues como se refirió, es el propio actor quien reconoce haber caído en el
“phishing” realizado, y aunque intenta eludir su responsabilidad, señalando que
sólo habría digitado su clave de acceso de cuatro números, más no la clave de
seguridad o digipass; sin embargo, del mérito del informe de la demandada de
1 de abril de 2019, acompañado a fojas 9, aparece que consultado “Servipag”,
en cuya plataforma se realizaron los pagos cuestionados, éste señaló que para
ello, se realizaron tres transacciones, que abarcan las distintas operaciones,
donde el Banco de Chile, sólo actuó como medio de pago, por lo que era
necesario contar, no sólo con la clave secreta de seguridad, sino también con
la clave digipass, con la que los terceros que realizarn el fraude, debieron
haber contado, no verificándose alguna brecha de seguridad, por lo que la
responsabilidad del cuidado de dichos datos, recaía en el cliente.
En efecto, es posible tener por acreditado, que el fraude se realizó
mediante el ardid denominado “phishing”, por el cual, el cliente,
descuidadamente, accedió a una página web que simulaba ser del banco
demandado, donde digitó sus claves de seguridad, y obteniendo dichos datos,
realizó las transferencias de autos, las que se realizaron utilizando las claves
que el banco otorga a sus clientes.
Sexto: Que, de esta manera, concordante con las reglas de la sana
crítica, en especial la de la lógica, correspondientes a los subprincipios de
coherencia, razón suficiente y no contradicción, aparece que la actividad
fraudulenta y la conducta descuidada del propio cliente, excedió los límites de
los protocolos y controles a que está obligado el Banco, condiciones en las
cuales, no es posible hacer responsable al banco de la falta de diligencia que
se le imputa, puesto que con los medios probatorios mencionados, la actividad
de cuidado debida, se encuentra acreditada, por lo que corresponde absolver a
la denunciada de la acusación de vulneración de lo preceptuado en los
artículos 3 d), 12 y 23 de la Ley Nº 19.496.
Respecto la demanda civil
Séptimo: Que atendida la conclusión precedente, corresponde
desestimar la demanda civil impetrada, por no haberse acreditado la
responsabilidad contravencional de la cual se hace derivar.
Y de conformidad con lo dispuesto en las disposiciones citadas y lo
previsto en los artículos 32 y siguientes de la Ley Nº 18.287, artículos 3º letra
b), 14, 23, 50 y siguientes de la Ley Nº 19.496, se resuelve:
Se revoca la sentencia apelada de treinta de octubre de dos mil
diecinueve, dictada por el Primer Juzgado de Policía Local de Las Condes, en
cuanto condenó a la demandada a la multa que se indica, por su
responsabilidad por la infracción de los artículos 3 d) y 23 de la Ley Nº 19.496,
y se declara que se le absuelve de dichos cargos, asimismo, se la revoca en
cuanto concedió la demanda civil de indemnización de perjuicios, y en su lugar
se declara que se rechaza dicha pretensión en todas sus partes, sin costas,
por haber tenido motivo plausible para litigar.
Regístrese y devuélvase.
N° 783-2020-Policía Local.
Pronunciada por la Décima Tercera Sala de la Corte de Apelaciones de
Santiago integrada con los ministros Carolina Vásquez Acevedo, Patricio
Martínez Benavides y Fiscal Judicial Ana María Hernández Medina.
No firma la Fiscal Judicial Ana María Hernández Medina por encontrarse
ausente
TELEGRAM
Reciba en su Telegram los últimos fallos que publicamos: AQUÍ
ADVERTENCIA:
Si se trata de una sentencia de Corte de Apelaciones o Juzgado, verifique si se encuentra firme y ejecutoriado en el sitio del Poder Judicial.
MARIO AGUILA, editor.