Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
EL PARADIGMA OBJETIVO EN LA RESPONSABILIDAD DE LAS ENTIDADES BANCARIAS POR FRAUDE ELECTRÓNICO: UNA MIRADA DESDE LAS OBLIGACIONES DE RESULTADO REINEL PAIVA MURCIA Trabajo de investigación presentado como requisito parcial para optar al título de: Magister en Derecho Director: Dr. Ricardo Durán Vinazco Codirector: Dr. José Guillermo Castro Ayala UNIVERSIDAD NACIONAL DE COLOMBIA FACULTAD DE DERECHO, CIENCIAS POLITICAS Y SOCIALES Bogotá, D.C. - Colombia 2021 1 En memoria de mi padre Jaime Paiva Quiroga y de mi hermano Helmer Paiva Murcia. Los amaré por siempre. Dedicada a Dios por brindarme esos destellos de iluminación para la conclusión de este trabajo. A mi madre Luz Miriam Murcia y a mis hermanas Liz, Aleja y Sofí por su amor incondicional. 2 RESUMEN El paradigma objetivo en la responsabilidad de las entidades bancarias por fraude electrónico: una mirada desde las obligaciones de resultado El trabajo plantea un desarrollo de la investigación crítico y propositivo dando una interpretación diferente a la postura actual de la Corte Suprema de Justicia, frente a los eventos de fraude electrónico. El trabajo desarrolla la pregunta ¿Cuál debe ser el régimen de responsabilidad civil aplicable a las entidades bancarias en los eventos de fraude electrónico, en desarrollo de los contratos de depósito irregular de cuenta de ahorros y cuenta corriente en Colombia? Y ofrece como hipótesis a la pregunta anterior: que en los eventos de fraude electrónico la jurisprudencia actual de la Corte Suprema de Justicia prevé que el perjuicio padecido por la víctima en los contratos de depósito irregular (cuenta corriente y ahorro) lo debe asumir el banco, bajo la asignación de la responsabilidad objetiva por riesgo creado o riesgo social. Asignación de responsabilidad inaplicable a esta clase de contratos, pues a estos los preside el régimen general de las obligaciones, siendo la vía de análisis para estos eventos, la teoría de las obligaciones de resultado. El trabajo se desarrolla en una hermenéutica de tres niveles: - El fraude en las Transferencias Electrónicas de Fondos - Posición jurisprudencial de la Corte Suprema de Justicia sobre el fraude electrónico - La responsabilidad bancaria por fraude electrónico bajo la teoría de las obligaciones de resultado. Análisis doctrinal y jurisprudencia. Palabras clave: Fraude electrónico, obligaciones de resultado, Transferencia electrónica de fondos, Responsabilidad bancaria 3 ABSTRACT The objective paradigm in the liability of banking institutions for electronic fraud: a view from the obligations of result The work proposes a critical and proactive development of the investigation giving a different interpretation to the current position of the Supreme Court of Justice, in the face of electronic fraud events. The paper develops the question: What should be the civil liability regime applicable to banking entities in electronic fraud events, in the development of irregular deposit contracts for savings and checking accounts in Colombia? And it offers as a hypothesis to the previous question: that in electronic fraud events the current jurisprudence of the Supreme Court of Justice provides that the damage suffered by the victim in irregular deposit contracts (checking and savings accounts) must be assumed by the bank , under the assignment of objective responsibility for risk created or social risk. Assignment of inapplicable responsibility to this class of contracts, since they are presided over by the general regime of obligations, being the way of analysis for these events, the theory of result obligations. The work is developed in a hermeneutic of three levels: - Fraud in Electronic Fund Transfers - Jurisprudential position of the Supreme Court of Justice on electronic fraud - Bank liability for electronic fraud under the theory of result obligations. Doctrinal analysis and jurisprudence. Keywords: Electronic fraud, Obligation of result, Electronic funds transfer, Liability of banking institutions 4 TABLA DE CONTENIDO 1. El fraude en las Tranferencias Electrónicas de Fondos ..................... 15 1.1. Descripción general de las Transferencias Electrónicas de Fondos TEF ........ 15 1.2. Concepto de las Transferencias Electrónicas de Fondos ................................. 16 1.3. Medios por donde se desarrollan las TEF ........................................................ 17 1.4. Operatividad de las Transferencias Electrónicas de Fondos............................ 18 1.5. Proceso de compensación y liquidación de las Transferencias Electrónicas de Fondos ......................................................................................................................... 21 2. El phishing y sus modalidades ................................................................................ 24 3. Contrato de Depósito Irregular ............................................................................ 32 4. El consumidor financiero y el uso de los canales electrónicos bancarios. .......... 37 5. Régimen de responsabilidad aplicable a los Establecimientos de Crédito frente al fraude electrónico ....................................................................................................... 41 2. Posición jurisprudencial de la Corte Suprema de Justicia sobre el fraude electrónico .................................................................................................... 48 2.1. Teoría del riesgo en Colombia y su relación con el fraude electrónico ........... 54 2.2. La responsabilidad objetiva debe estar inserta en la norma ............................. 61 2.3. La aplicación analógica del cheque falso es improcedente ............................. 63 2.4. Analogía con el artículo 733 del Código de Comercio .................................... 70 2.5. Teoría del riesgo social o actividad peligrosa en el ejercicio bancario............ 72 2.5.1. Acumulación u opción de la responsabilidad contractual y extracontractual... 77 2.5.2. Distribución del riesgo, los principios de la buena fe, y la equidad en la relación banco - cliente ............................................................................................... 80 3. La responsabilidad bancaria por fraude electrónico bajo la teoría de las obligaciones de resultado. Análisis doctrinal y jurisprudencial . 88 3.1. Las obligaciones de resultado en el contrato de cuenta corriente y ahorro bancario ....................................................................................................................... 92 3.2. La responsabilidad del banco en eventos de fraude electrónico se rige por las obligaciones de resultado ............................................................................................ 95 3.3. La causalidad en la responsabilidad bancaria frente al fraude electrónico .... 101 4. Conclusiones ..................................................................................................... 108 Bibliografia .............................................................................................................. 112 5 INTRODUCCIÓN La banca es un sector muy importante para cualquier país, resulta fundamental para la evolución general de una economía, siendo su misión realizar una eficaz asignación de los recursos económicos, lograr tanto la estabilidad monetaria como financiera y proporcionar una seguridad máxima en los sistemas de pago (Casilda, R, 2012, p. 1). En palabras del profesor Sergio Rodríguez (2009) la banca “Es el conjunto de autoridades, entidades, e instituciones que realizan y controlan la intermediación en el crédito” (p. 119). De tal manera, la banca adquiere unaresponsabilidad muy grande con la sociedad donde se implementa su sistema, pues son los gestores del crédito y responsables de él. Todas las personas pueden acceder al sistema financiero y bancario según el mandato del artículo 335 de la Constitución que habla de la democratización del crédito, que en concordancia con el artículo 13 ibidem, reclama del Estado garantías de acceso al sistema de la banca. La Corte Constitucional ha dejado claro el carácter de servicio público que reviste a la actividad bancaria y financiera, así lo señaló en la sentencia SU 157 de 1999 (Corte Constitucional, 1999) al decir que la actividad bancaria es un servicio público, en el que el interés comunitario le es implícito, su permanencia, su continuidad, su regularidad y generalidad de su acción, indican que efectivamente es un servicio público. En el derecho colombiano es claro que la actividad bancaria es un servicio público, pues sus nítidas características así lo determinan. En efecto la importancia de la labor que desempeñan para una comunidad económicamente organizada en el sistema de mercado, el interés comunitario que le es implícito, o interés público de la actividad y la necesidad de la permanencia, continuidad, regularidad y generalidad de su acción, indican que la actividad bancaria es indispensablemente un servicio público.1 Dada esa conceptualización de la banca se desprende que debe existir una fuerte y decidida intervención del Estado de manera que “confluya la mano invisible del mercado y el brazo visible del Estado” (Corte Constitucional, 2013) (C-263 de 2013). Lo anterior con el fin de garantizar la confianza de los consumidores financieros para que participen del mercado haciendo uso de los servicios que prestan las entidades bancarias. La 1 También lo han expresado de la misma forma la Corte Constitucional en sentencias T-443 de 1992, T – 321 de 2004, T – 700 A 2006. Corte Suprema de Justicia sentencia del 12 de junio 1696 6 Constitución Política en sus artículos 335, 150 numeral 18 literal e, 189 numeral 24, y el Decreto Ley 663 de 1993, son normas que denuncian la existencia de las relaciones asimétricas en el vínculo banco – consumidor financiero, por lo que surge la necesaria intervención del Estado colombiano (Castro & Gonzalez, 2017, pp. 75 -107). La relación jurídica asimétrica entre el consumidor financiero y la entidad crediticia nace de la autonomía de la voluntad, Betty (2006), entendida esta última, como el punto de legitimidad a partir del cual los particulares logran justificar y dar validez a los acuerdos que alcanzan. Citado por (Quecan, 2017, p. 112). Sin embargo, esta autonomía de la voluntad concretada en un contrato financiero no se conjetura a que las partes tienen la misma fuerza para negociar, sino por el contrario, las partes se encuentran en orillas distintas en el que se relieva un notorio desequilibrio económico e informativo a favor del banco. Es por eso que un Estado preocupado por el ahorro del público, debe tener claridad sobre la responsabilidad que deben tener los bancos para con los ahorradores. Pues es a ellos a los que se les debe garantizar una confianza y certidumbre de las consecuencias y responsabilidades que adquiere su entidad bancaria. De esa manera se puede afianzar la seguridad jurídica y confianza del consumidor quien es parte fundamental en la operación de los mercados financieros. En los últimos diez años Colombia, ha tenido una revolución digital, la mayoría de los procedimientos que regularmente realiza el ciudadano de a pie se han ido trasladando a la virtualidad. El pago de los servicios públicos, la compra del mercado, los trámites judiciales, la atención de Peticiones, Quejas, Reclamos y Sugerencias (PQRS) en las diferentes instituciones privadas y públicas del país, los procedimientos notariales entre otros, ahora se realizan a través de un computador, iPad o celular con acceso a internet. Con la llegada de la Pandemia a Colombia en el año 2020 provocada por el virus COVID 19, forzó a las instituciones y empresas a agilizar y establecer como prioridad todo un andamiaje para ofrecer sus productos y servicios de modo 100% virtual. Y obligó a las personas a acercarse, a conocer, entender y adaptarse al uso de esas modalidades de la tecnología. Reuniones, compras, pagos y celebraciones virtuales, entre otras, se han convertido en la nueva normalidad y han generado un aumento en el uso de dispositivos electrónicos. 7 Dentro de este cambio tan radical, el sector financiero no desentonó para ofrecer sus servicios en la modalidad virtual y se puede decir que tal cambio a este sector no lo tomó por sorpresa. Este era uno de los sectores de la economía que más venia invirtiendo en tecnología, precisamente para facilitar el uso de sus servicios a todos los clientes brindándoles la comodidad de realizar los trámites financieros sin moverse de casa u oficina utilizando la virtualidad. Dentro de esos trámites virtuales destacan entre los más usados por la población los pagos electrónicos que necesariamente se realizan por medio de las Transferencias Electrónicas de Fondos TEF. Para la CNUDMI- Comisión de las Naciones Unidad para el Derecho Mercantil Internacional, las TEF se entienden como: Las transferencias por télex y las transferencias de computadora a computadora es el iniciador de la transferencia de fondos quien empieza los trámites bancarios emitiendo una orden de pago a su banco para que adeude su cuenta y acredite la del beneficiario. La transferencia de fondos cuyo iniciador es quien pone en marcha los trámites bancarios suele denominarse transferencia de crédito, y ése es el término utilizado en la Ley Modelo” (1994, p. 16). Citado por (Duran, 2018, pág. 12) Las nuevas tecnologías en los canales financieros como las Trasferencias Electrónicas de Fondos TEF, han permitido entre otras cosas, a las instituciones crediticias en forma cada vez más intensa, no sólo bajar sus costos, ampliar y masificar sus productos, sino, también reducir el manejo de dinero en efectivo entre sus clientes. En ese sentido, la proliferación de transferencias electrónicas, han puesto sobre la mesa una distinta manera de interrelacionarse entre los bancos y sus clientes, convirtiéndose en un medio más natural para que las personas lleven a cabo sus actividades económicas (Corte Suprema de Justicia, 2016, p. 19) (Exp. 1996 -13623). Según el ranking de Economist Intelligence Unit (EIU) de 2020, “Microscopio Global: el entorno propicio para la inclusión financiera” publicado por el Banco Interamericano de Desarrollo (BID), Colombia obtuvo el primer puesto de los 55 países que fueron parte del estudio para dicha inclusión. Dentro de la banca digital encontramos la modalidad de las TEF, sobre los que se edifican los medios electrónicos de pago2, los cuales están presentes en todos los mecanismos de pago desarrollados por la tecnología. Se han vuelto un recurso sumamente necesario para 2 Ejemplos donde se desarrollan las TEF: “Cajeros automáticos o Automated Teller Machine –ATM–: Mediante los cuales se pueden realizar depósitos o retiros de dinero durante las 24 horas del día, los siete días de la semana, con las restricciones de seguridad que advertimos en algunos cajeros según su ubicación, pagos, programas de gestión empresarial” (Ettore, 2016). Banca Hogareña o Home Banking –HB–: “En donde se pueden hacer Transferencias Electrónicas de Fondos TEF, desde un computador personal ubicado en la casa o en el puesto de trabajo, para lo cual bastaría una línea telefónica, o televisión por cable” (Ettore, 2016). Citado por (Duran, 2018, pág. 22) 8 la observancia de las obligaciones dinerarias de todas las personas en el mundo actual, permitiendo a los ciudadanosobtener recursos de todo tipo, logrando una mejor captación y colocación de recursos económicos (Rico, 2012, p. 38) Estos novedosos medios de Transferencias Electrónicas de Fondos TEF fueron de un uso descomunal a raíz de los efectos de la Pandemia provocada por el virus COVID 19, en Colombia y en el mundo entero. Los gobiernos se vieron en la necesidad de decretar aislamientos preventivos obligatorios, llevando a millones de personas a permanecer en sus hogares en busca de frenar el contagio del virus. En medio de esta difícil situación las TEF han contribuido a mantener el abastecimiento y la continuidad relativamente normal de las relaciones negociales tanto de los hogares como de las empresas a efectos del distanciamiento social. No obstante, la facilidad que otorgan las TEF para el movimiento de dinero, es contrarrestado por la alta exposición al crimen cibernético. Delitos informáticos como el phishing3 van en aumentado. De acuerdo con el informe “Threat Intelligence Insider Latin America” de Fortinet (2020), en el segundo trimestre del año 2020, existió un aumento a nivel mundial en los intentos para engañar a los usuarios a ir a sitios maliciosos o de proporcionar información bajo mensajes relacionados con la pandemia actual, identificando en abril de este año más de 4.250 campañas de phishing relacionadas con COVID19 por correo electrónico. Asobancaria (2020) comunicó que las reclamaciones por fraude y transaccionalidad del sector financiero en Colombia para el año 2020, tuvieron un incremento de 10.7% del fraude en canales digitales. Pasando de $0,26 por cada $10 mil transados en el período enero a agosto de 2019 a $0,29 pesos en el mismo periodo de 2020. Con esos datos esta institución concluyó que la modalidad del phishing representa el 74,2% de las reclamaciones por posible fraude y constituye la principal amenaza de seguridad para los usuarios del sistema financiero que realizan transacciones. (pág. 8). Según la Superintendencia Financiera de Colombia, el sistema financiero reportó 2.469 millones de operaciones realizadas en el canal telefonía móvil, de las cuales 211 millones fueron operaciones monetarias por $67,1 billones y 2.258,5 millones de transacciones no 3 Este delito informático consiste en el engaño a través de correos o páginas falsas para inducir al consumidor financiero en error y que este entregue sus datos como claves de acceso a la banca virtual, para posteriormente suplantarlo ante la entidad bancaria y hurtar los dineros depositados en sus cuentas. 9 monetarias, también señaló que a través de internet y banca móvil se llevaron a cabo 74% del total de las operaciones efectuadas en los primeros seis meses del año 2020. Citado por (La República, 2021, pág. parrafo 5) Los delitos cibernéticos en buena medida son desconocidos por los usuarios de las TEF quienes absorben riesgos sin tener cabal conciencia de ello. (Barbier, 2002, pp. 17 -18). La destreza de los ciberdelincuentes para adquirir información haciéndose pasar por fuentes confiables en diferentes circunstancias, es una de las principales razones por las que aún se presentan este tipo de fraudes. No es un secreto que la cibercriminalidad está en aumento, y que cada vez más, los bancos se ven obligados a invertir grandes sumas de dinero para mejorar su seguridad; sin embargo, esto no es obstáculo para que los llamados crackers4 hagan intentos de robo de información a diario. Según el informe Webroot 2020, durante el año pasado hubo un incremento de los intentos de phising en 640% y en cuanto a malware dirigido a Windows, 7 de 125%. La Policía Nacional de Colombia, confirmó que a junio de 2020 se presentaron 2.103 casos de suplantación de sitios web que mediante correos o mensajes inducen al engaño, y registró que hubo un aumento en el número de casos del 59 % frente al mismo periodo del 2019. Citado por (La Vanguardia, 2020, págs. párrafos 3,4). Los ataques de la cibercriminalidad se traducen naturalmente en fraudes electrónicos, los cuales necesariamente deben efectuarse por medio de una TEF, ya sea de forma material, con una tarjeta o de forma inmaterial por cualquier medio electrónico en internet. La conducta se efectúa por la extracción irregular de fondos de la cuenta del titular sin su autorización. Este delito informático proviene de un tercero que se apropia de los datos medios necesarios para efectuar la TEF, ya sean tarjetas o claves de acceso, remplazando 4 Cracker es aquel Hacker fascinado por su capacidad para romper sistemas y software y que se dedica única y exclusivamente a crackear sistemas. El Cracker diseña y fabrica programas de guerra y hardware para reventar softwares y comunicaciones como el teléfono, el correo electrónico, o el control de otros ordenadores remotos. El Hacker en su gran mayoría es confundido con el Cracker La diferencia básica consiste en que los Hackers construyen cosas; los Crackers las destruyen. Según Eric Raymond el termino Hacker hace referencia a un programador hábil y aclara que definitivamente el término Hacker va desligado de cualquier acto delictivo. Raymond explica que al termino Hacker se le ha dado un mal uso creyendo que son personas que intentan entrar por la fuerza en los sistemas de otras personas o para quienes, usando sus conocimientos de programación, actúan maliciosamente. Para este grupo de expertos informáticos atraídos por el “lado oscuro de la fuerza”, actualmente se utiliza el término "cracker" citado por (Martinez B. , 2006, págs. 6,7) 10 al titular de la cuenta y superando todos los filtros de seguridad que la entidad financiera proporciona al efectuar este tipo de deducciones. (Duran, 2018, p. 101) Antes de abordar los regímenes de responsabilidad a que puede verse incursa la entidad bancaria en el evento de un fraude electrónico, es conveniente ofrecer algún alcance a la expresión “fraude electrónico” con miras a determinar en forma precisa el análisis que se hace en el presente trabajo. En primer lugar, es importante señalar que se hace referencia aquí a los fraudes que puedan referirse a medios de pago con carácter electrónico e individual, entre otros, la modalidad que incluye operaciones por la banca electrónica, la banca móvil, la banca virtual, así como los mecanismos de Transferencia Electrónica de Fondos. A raíz de lo anterior, se entiende en el presente trabajo que el fraude electrónico se configura cuando el titular de una cuenta de ahorros o corriente ve disminuido su patrimonio por cuenta de hurtos de dinero efectuadas por medios transaccionales electrónicos que involucran la internet. En línea con lo que dice Colombia Legal Corporation se define el fraude electrónico como la acción antijurídica y punible que realiza un tercero a través de medios electrónicos o informáticos con el fin de obtener los datos personales de la víctima y así efectuar transferencias electrónicas de dinero a cuentas previamente determinadas. De lo anterior, es claro que no es objeto del presente trabajo el fraude que sobre medios de pago electrónicos pueda generarse por virtud de acciones físicamente verificables, como, por ejemplo, el hurto del plástico y su posterior uso mediante presencia física del delincuente en un establecimiento de comercio o en un cajero electrónico, o la clonación del plástico con los mismos fines. En consecuencia, podemos identificar al menos la situación de la que podría generarse un fraude electrónico: Usurpación de los datos del medio de pago electrónico y los de su titular a través de medios electrónicos por los cuales transita la información, como pasa, en la internet. (Rodríguez A. , 2014, pág. 290) Considerando las cosas con atención a los desafíos que afrontan hoy en día los bancos, a través del intercambiode datos y la utilización de los impulsos electrónicos, conmina a revisar las distintas formas en que se llevan a cabo los casos de fraude electrónico, que como se dijo en párrafos anteriores, los ciberdelincuentes buscan obtener la información 11 confidencial de los consumidores financieros, con la finalidad de suplantarlos y desocupar sus cuentas bancarias. Al respecto, este trabajo, se concentrará en las modalidades más comunes del fraude electrónico, evitando realizar una lista exhaustiva de las destrezas que puedan utilizar los ciberdelincuentes para materializar esa conducta, pues las modalidades pueden ser infinitas a medida que la tecnología avanza, siendo connatural que también lo hagan las habilidades de los delincuentes. En ese orden de ideas, seguimos al profesor Luis Ustáriz cuando dice que “las diferentes modalidades de fraude electrónico se concentran bajo lo que consideramos el tipo más amplio de esta conducta: el denominado phishing” (2019, pág. 121). Por eso, este trabajo se concentrará en el hecho ilícito denominado phishing y algunas de sus modalidades más usadas por los phishers como lo son el pharming y el smishing. Visto este contexto, surge el interrogante en relación con el tratamiento que debe darse a la responsabilidad bancaria frente a los hurtos presentados mediante la utilización de canales electrónicos. Específicamente, en lo que se refiere a quién debe afrontar las pérdidas de la sustracción de dineros por un tercero ajeno, de las cuentas de ahorro o corriente del cuentahabiente, teniendo en cuenta que este tercero es casi que imposible de identificar, después de cometer el ilícito. En la actualidad (año 2021) la interpretación de la Corte Suprema de Justicia (CSJ) sobre la responsabilidad civil de las entidades bancarias en los casos de fraude electrónico cuando se sustraen dineros por terceros no autorizados de los depósitos de cuenta corriente y cuenta de ahorro se ha decantado por una imputación de responsabilidad objetiva por riesgo creado o riesgo social. La responsabilidad del riesgo creado gira en torno a la aplicación analógica del pago de cheques falsos y la del riesgo social en atención al artículo 2356 del Código Civil. Esta interpretación ha dejado de un lado que, para los eventos de fraude electrónico, en los contratos de cuenta corriente y ahorro, debe existir previamente una relación contractual de depósito irregular. Así las cosas, atendiendo esa previa relación contractual, es menester revisar la responsabilidad del banco en los eventos de fraude electrónico bajo los parámetros del régimen general de las obligaciones, particularmente las obligaciones de resultado. Como consecuencia de lo anterior, se formula la siguiente pregunta de investigación: 12 ¿Cuál debe ser el régimen de responsabilidad civil aplicable a las entidades bancarias en los eventos de fraude electrónico, en desarrollo de los contratos de depósito irregular de cuenta de ahorros y cuenta corriente en Colombia? Se aplicará una metodología de investigación Cualitativa – Dogmática, considerando que se ha postulado un problema correspondiente a Lege Lata y que se pretende la reconstrucción del estado del arte en relación a la responsabilidad bancaria, en los eventos de fraude electrónico, mediante la revisión de las fuentes existentes, tales como, los desarrollos realizados por la Doctrina Local y Extranjera (Artículos indexados y Libros) y la Jurisprudencia de la Superintendencia Financiera de Colombia y la Corte Suprema de Justicia, en aras de construir una solución teórica frente a la pregunta de investigación que se formula en el problema. Dentro de la metodología propuesta, el desarrollo al problema planteado se hará desde el Derecho Privado, por lo que se descarta cualquier análisis de estudio de la responsabilidad penal, en cuanto a la asignación de responsabilidad en eventos de fraude electrónico como el phishing. También dentro del desarrollo del trabajo se hará referencia explícita en las entidades bancarias, por lo que en los ejemplos que se propondrán, se hablará de Establecimiento Bancario o de Crédito (clasificación que atañe a los bancos dentro de la estructura del mercado financiero), o también se utilizará el termino entidad financiera, haciendo referencia en todo momento a los bancos. A partir de la descripción de la metodología a utilizar, se propone, frente al problema de investigación planteado, la siguiente hipótesis: En los eventos de fraude electrónico la jurisprudencia actual de la Corte Suprema de Justicia prevé que el perjuicio padecido por la víctima en los contratos de depósito irregular (cuenta corriente y ahorro) lo debe asumir el banco, bajo la asignación de la responsabilidad objetiva por riesgo creado o riesgo social. Asignación de responsabilidad inaplicable a esta clase de contratos, pues a estos los preside el régimen general de las obligaciones, siendo la vía de análisis para estos eventos, la teoría de las obligaciones de resultado. En ese orden de ideas, se planteará un desarrollo de la investigación crítico, propositivo de una interpretación diferente a la postura actual de la Corte Suprema de Justicia, frente a los eventos de fraude electrónico. La investigación se formará bajo un análisis lógico, hermenéutico y sistemático con las normas vigentes dentro del ordenamiento jurídico 13 colombiano, dando a entender que la finalidad de este trabajo está totalmente alejada de plantear una legislación particular para este tipo de conflictos. Con el fin de demostrar o falsear la hipótesis propuesta, la presente investigación se desarrollará en tres capítulos así: En el capítulo primero, denominado “El fraude en las Transferencias Electrónicas de Fondos” se desarrolla una descripción general de las Transferencias Electrónicas de Fondos TEF, pasando por la descripción de su operatividad y funcionamiento y cómo influye en el fraude electrónico. Posteriormente se aborda el delito informático conocido como phishing junto con sus principales modalidades. Luego se analizará el contrato bancario de depósito irregular entre ellos los contratos de cuenta de corriente y de ahorro, analizando la responsabilidad que adquiere el establecimiento bancario cuando celebra dichos contratos. Finalmente se analiza el régimen de responsabilidad de los Establecimientos de Crédito en los eventos de fraude electrónico desde los fallos judiciales de las dos máximas autoridades en Colombia en esta materia como lo son la Corte Suprema de Justicia y la Superintendencia Financiera de Colombia. Lo anterior permitirá observar cómo funciona el fraude electrónico y a través de qué mecanismos es posible su materialización, así mismo los problemas que se pueden presentar cuando el consumidor financiero ha sido suplantado. En el capítulo segundo denominado “Posición jurisprudencial de la Corte Suprema de Justicia sobre el fraude electrónico” se desarrollará en detalle el tratamiento jurisprudencial que ha tenido la Corte sobre el fraude electrónico. Para ello, se analiza la teoría del riesgo, su acogida en Colombia y su adaptación jurisprudencial frente a los casos de fraude electrónico hasta la actualidad. A esta posición de la teoría del riesgo dentro del capítulo se le harán varias críticas por su improcedencia para resolver los casos de fraude electrónico al no estar acorde con el ordenamiento jurídico colombiano. En el capítulo tercero denominado “La responsabilidad bancaria por fraude electrónico bajo la teoría de las obligaciones de resultado. Análisis doctrinal y jurisprudencial” se revisa con detalle la funcionalidad de las obligaciones de resultado y su influencia practica en los contratos de cuenta corriente y ahorro bancarios. Luego se analiza cómo el fraude electrónico es un evento que se debe medir bajo las obligaciones de resultado para poder determinar laresponsabilidad del banco. Y finalmente se hace un corto análisis de la causalidad en la responsabilidad bancaria frente al fraude electrónico en el que se hace un 14 pequeño estudio de lo que es la causalidad, como se maneja en Colombia y como se aplica en un caso de fraude electrónico. La estructura del trabajo corresponde a una hermenéutica de tres niveles de la siguiente manera: El fraude en las Transferencias Electrónicas de Fondos Descripción general de las Transferencias Electrónicas de Fondos TEF El phishing y sus modalidades El contrato bancario de depósito irregular Régimen de responsabilidad de las instituciones crediticias frente al fraude electrónico Posición jurisprudencial de la Corte Suprema de Justicia sobre el fraude electrónico Teoría del riesgo en Colombia y su relación con el fraude electrónico La responsabilidad bancaria por fraude electrónico bajo la teoría de las obligaciones de resultado. Análisis doctrinal y jurisprudencial Las obligaciones de resultado en el contrato de cuenta corriente y ahorro bancario. La responsabilidad bancaria en el fraude electrónico cumple obligaciones de resultado. La causalidad en la responsabilidad bancaria frente al fraude electrónico 15 1. El fraude en las transferencias electrónicas de fondos 1.1. Descripción general de las Transferencias Electrónicas de Fon- dos TEF La incursión de la tecnología en medios digitales y virtuales en el siglo XXI es notoria y se hace necesaria en casi todos los aspectos cotidianos del ser humano. Los desarrollos de esta clase de tecnologías han permitido grandes avances en los medios de pago. Su implementación por los Establecimientos de Crédito en la prestación de sus servicios financieros es el común denominador que con el paso de la Pandemia ha acelerado este tipo servicios, convirtiendo prácticamente el servicio financiero en una actividad 100% virtual. Estas nuevas herramientas tecnológicas al servicio de la banca han venido desplazando el uso de instrumentos físicos que en su momento fueron utilizados masivamente para realizar muchas de las transacciones, como es el caso del cheque. (Asobancaria, 2017, pág. 1). Las transferencias electrónicas se han catapultado como la herramienta por excelencia para la realización de pagos, tales como las facturas de servicios en general, compras, pago de nómina, proveedores, cuotas crediticias, y transferencia de dinero de persona natural a persona natural o de empresa a persona natural y viceversa. En el mundo la eliminación de la moneda y el billete físico es un hecho, dando paso al medio de pago electrónico. En Suecia, por ejemplo, todas las transacciones se hacen por medio de transferencias electrónicas, ya sea usando tarjetas o transacciones en línea. No es raro encontrar letreros en los establecimientos de comercio que digan” no se acepta dinero en efectivo” (Semana, 2019, pág. 2). Colombia no es la excepción, el pago por medios virtuales está creciendo vertiginosamente y más con el paso de la Pandemia. De acuerdo con el X Informe de Tendencias de Medios de Pago publicado por Minsait Payments el 61% de la población colombiana redujo el manejo de efectivo al momento de pagar, lo que guarda relación con que el 71,3 % use los pagos a cuentas o el 57,2 % emplee las billeteras virtuales. (Portafolio, 2021). Esta circunstancia, provoca obligatoriamente conocer en qué consisten las TEF y cómo funciona su operatividad. Es una nueva tecnología en los medios de pagos que ha llegado para quedarse. 16 1.2. Concepto de las Transferencias Electrónicas de Fondos Para la CNUDMI (1987) según en su guía jurídica sobre las Transferencias Electrónicas de Fondos, las define como (…) la transferencia de fondos en la que una o más de las operaciones del proceso que antes se desarrollaban sobre la base de técnicas documentales, se efectúan ahora mediante técnicas electrónicas. En este sentido, las novedades más conspicuas e importantes son la sustitución del traslado físico del documento que contiene la orden de transferencia de débito o de crédito de uno a otro de los bancos participantes en la transferencia por la transmisi6n entre ellos de un mensaje electrónico, y el proceso mediante computadoras de las órdenes de transferencia de débito o de crédito. Mediante la combinación de las diversas técnicas electrónicas ha sido posible también crear nuevos sistemas electrónicos que no constituyen simples modificaciones de anteriores sistemas de base documental. (pág. 13) CIJUL (s.f) identifica la Transferencia Electrónica de Fondos como (…) un medio de traslado de dinero, sin necesidad de traslado material, que se apoya en la orden dada por un cliente del banco para que se pague a la orden de un beneficiario una determinada suma de dinero. La orden dada por el iniciador se hace actualmente por medio de un contrato de adhesión que se firma con el banco. (pág. 9) Para Giannantonio Ettore (1997) (…) son ordenes de transferir fondos de una persona a otra efectuadas por medios electrónicos, o también como sistemas de pago en los cuales la actividad de elaboración y comunicación necesaria para la producción y distribución de servicios inherentes o conectados a los intercambios económicos se desarrolla parcial o íntegramente mediante el uso de sistemas electrónicos (pág. 6) Ortega y León (2018) Los instrumentos de pago electrónicos se utilizan con el propósito de transmitir órdenes de transferencia de fondos. En el caso de las transferencias electrónicas, estas se realizan entre las cuentas que el pagador y el beneficiario tienen en instituciones financieras, con el objetivo de realizar una contraprestación por los bienes y servicios otorgados por este último, la extinción de una obligación dineraria o la transferencia de recursos en sí misma. (pág. 115) Atendiendo las anteriores definiciones sobre las TEF, se puede decir que estas funcionan como instrumentos de pagos inmateriales que comprenden impulsos electrónicos acreditando y descontando fondos de un lugar a otro. Una aclaración importante es que 17 cada vez que se realice una TEF no quiere decir que se esté realizando un pago entendido como la extinción de una obligación del artículo 1626 del Código Civil. De hecho, podemos estar en el caso en que la TEF se realice entre dos cuentas de una misma persona, pasando dinero de su cuenta de ahorro a su cuenta corriente o a su cuenta fiduciaria. En ese ejemplo hablamos de una misma persona titular de diferentes cuentas en una misma institución bancaria o en diferentes bancos que transfiere fondos de una cuenta a otra. (Duran, 2018, pág. 12). 1.3. Medios por donde se desarrollan las TEF Las transferencias electrónicas de fondos se desarrollan en Colombia a través de los siguientes medios: a - Cajeros Automáticos. Automated Teller Machine –ATM–, mediante los cuales se pueden realizar depósitos o retiros de dinero durante las 24 horas del día los siete días de la semana, con las restricciones de seguridad en algunos cajeros según su ubicación, pagos, “programas de gestión empresarial” (Duran, 2016, pág. 61) b.- Terminales en punto de venta. Points of Sale Systems –POS–, mediante el uso de las tarjetas débito o crédito, las cuales empezaron a implementarse con una banda, actualmente se usan con un CHIP2 y un PIN –Personal -Identification Number–, y se espera que se implementen con “banda de chip laser”. (Duran, 2016, pág. 61) c.- Banca Hogareña. Home Banking –HB–en donde se pueden hacer Transferencias Electrónicas de Fondos TEF, desde un computador personal ubicado en la casa o en el puesto de trabajo, para lo cual bastaría una línea telefónica, o televisión por cable. (Duran, 2016, pág. 61) d.- Cámaras de CompensaciónAutomáticas. Auto-matic Clearing Houses –ACH–, los cuales son “sistemas de liquidación entre bancos por medio de los cuales se procesan diariamente las operaciones bancarias”. En Colombia, por ejemplo, podemos hablar de DECEVAL S.A. –Depósito Centralizado de Valores S.A.-, D.C.V. B.R. – Depósito Centralizado de Valores Banco de la República-, S.W.I.F.T. -Society for World-wide Interbank Financial Telecommunication-, y el mercado bursátil, como serían la Bolsa de Valores de Colombia, la Bolsa Agropecuaria o la Bolsa Energética. (Duran, 2016, pág. 61) 18 1.4. Operatividad de las Transferencias Electrónicas de Fondos Visto lo anterior podemos decir que las TEF se reducen a operaciones de débito o crédito, realizadas no por medios convencionales - registro contable del débito o crédito en papel- sino de forma electrónica. De tal manera que estas se pueden encerrar bajo un concepto de operaciones electrónicas de crédito o débito. Dentro del marco operacional de las Transferencias Electrónicas de Fondos, se pueden clasificar cuatro tipo de operaciones desarrolladas mediante estas: a) Entre las cuentas bancarias de un mismo titular en la misma institución crediticia, ya sea en diferentes sucursales o en la misma b) Entre las cuentas bancarias del mismo titular pero en diferentes entidades crediticias c) La cuenta del originador y la del receptor - beneficiario pertenecen a la mismas entidad crediticia d) La cuenta del originador pertenece a una diferente entidad crediticia de la del receptor – beneficiario (Delpiazzo, 2005, p. 16). Citado por (Duran, 2018, pág. 24). Para este trabajo solo se analizará la última operación denominada con el literal d), pues es la más práctica para entender la operatividad de la TEF, sin embargo, también se hará una breve explicación de la operación que surge entre bancos a la hora de la materialización de una TEF. AGENTE DESCRIPCIÓN Originador Se compromete a iniciar la orden de pago en cumplimiento de un vínculo jurídico anterior establecido con el receptor Establecimiento Crediticio Originador ECO Recibe la orden de pago del originador, y la reenvía en línea o en un lote de operaciones al operador de la ACH; inscribe los movimientos (débitos o créditos) en las cuentas del originador SEC - ACH Empresa que almacena, procesa, compensa y liquida las instrucciones de pago recibidas de un ECO Establecimiento Crediticio Receptor (ECR) Recibe la orden de pago del operador de la ACH; registra los movimientos (débitos o créditos) en las cuentas del (receptor) 19 Establecimiento Crediticio Originador ECO Receptor Autoriza previamente al originador para iniciar la orden de pago, la cual, como resultado final del proceso, podría acreditar o debitar su cuenta La operación de la TEF en términos generales tiene el siguiente funcionamiento: El originador de una transferencia crédito (el pagador) inicia una instrucción de pago con el fin de transferir fondos desde su cuenta hacia la cuenta de un receptor (el beneficiario). En este caso, el originador envía una instrucción de pago al establecimiento crediticio originador (ECO), la cual es luego recibida y procesada, por el establecimiento crediticio receptor (ECR) del beneficiario. Posteriormente, los fondos pasan del establecimiento crediticio originador al establecimiento crediticio receptor; es decir, en la transferencia crédito las instrucciones de pago y los fondos fluyen en el mismo sentido –desde el originador hacia el receptor–. Son transferencias crédito típicas las instrucciones iniciadas por el cliente v.gr. pago de nómina, el pago a proveedores, los pagos de dividendos, los pagos de intereses, los pagos de pensiones y los pagos de la seguridad social. Finalmente, con el pago se extingue la obligación de pago en el negocio jurídico subyacente. (Ortega & León, 2018, pág. 117) Originador - Pagador Establecimiento Crediticio Receptor ECR Receptor 20 Ahora se pasa a revisar la situación cuando se presenta la Transferencia Electrónica de Fondos entre bancos. Si se mira el ejemplo anterior se cumple de la misma manera, pero cuando llega la transferencia en la parte entre bancos aparece un intermediario entre ellas conocido como Sistema Electrónico de Compensación (SEC) definido en palabras de Gómez et,al., (2002) como “conjuntos de instrumentos electrónicos y procedimientos que permiten realizar la transferencia electrónica de fondos, mediante la transmisión, conciliación y confirmación de instrucciones cruzadas, permitiendo el pago de obligaciones dinerarias entre dos o más partes” (p. 23) Citado por (Duran, 2018, pág. 28). Las SEC en Colombia se pueden clasificar en dos clases las de alto valor y las de bajo valor. Para este trabajo solo enunciaremos las primeras y se describirán con más detalle las segundas al ser las más utilizadas en Colombia. Sistema electrónico de Compensación de Alto Valor: Cuentas de depósito: El art. 2216 de la ley 31 de 1992 Sistema Electrónico del Banco de la Republica -SEBRA-: Creado en 1993 Sistema Electrónico de Compensación de Bajo Valor: El sistema de pagos de bajo valor es el encargado de reunir las transacciones y los pagos entre comercios y personas. La industria de pagos se podría ver también como un modelo de cuatro partes en el que interactúan personas, comercios, adquirentes y emisores. Los sistemas de pagos de bajo valor en el mundo han surgido bajo estructuras concentradas, con pocos administradores que se encargan de ejecutar la totalidad de la transacción. Es decir que procesan, liquidan y compensan los pagos e incluso gestionan la adquisición en los comercios bajo una misma entidad. (URF, 2018, pág. 4) En Colombia funcionan dos cámaras de compensación automatizadas: ACH Cenit y ACH Colombia. La primera, es de dominio y administración del Banco de la República, su función principal es canalizar los giros y pagos efectuados por la Nación a los entes territoriales. La segunda es administrada por una sociedad de carácter privado que lleva su mismo nombre, de la cual son accionistas entidades del sector financiero. El 97 % del 21 valor total de dichas transferencias corresponde a pagos efectuados por empresas del sector real, típicamente por pago a sus proveedores. (Ortega & León, 2018, pág. 119) El señor Gustavo Vega presidente de ACH Colombia manifestó que “El canal digital es uno de los segmentos que se han visto más beneficiado por la crisis desatada por el Covid- 19. Esto se evidencia en que, por ejemplo, las transacciones efectuadas a través del botón de PSE crecieron 121% si se comparan los resultados de julio con enero de 2020”. ACH Colombia permite realizar transferencias interbancarias como el pago de nómina, a proveedores y terceros; así como recaudos desde una cuenta de una entidad financiera hacia una o varias cuentas de otra entidad financiera vinculada, brindando acceso a un universo de servicios interbancarios. También permite el Pago Seguro en Línea conocido por sus siglas PSE. Esta herramienta de pago admite realizar pagos o compras a través de internet, debitando los recursos de la entidad financiera del usuario y depositándolos en la cuenta de la entidad financiera definida por la empresa o comercio. Esta SEC ocupa un lugar predominante entre las SEC de bajo valor, encargadas de la compensación y liquidación de las operaciones realizadas con los diferentes instrumentos de pago disponibles al público. 1.5. Proceso de compensación y liquidación de las Transferencias Electrónicas de Fondos En el caso de una Transferencia Electrónica de Fondos TEF el originador debe disponer de un medio de pago (v.gr. cuenta de ahorro o cuenta corriente). El proceso inicia cuando el originador utiliza el instrumento de pago correspondientea través de los dispositivos y canales de acceso que ponga a disposición su Establecimiento de Crédito. El originador selecciona de una lista previamente establecida y autorizada el nombre e identificación del receptor del dinero y el monto a ser transferido. Si el originador tiene los fondos suficientes, el Establecimiento de Crédito originador se los debita, pero no los transfiere, los congela, de forma que el originador no puede hacer uso de esos recursos. En forma conjunta inicia el flujo de información desde el Establecimiento de Crédito originador hacia la SEC, el cual puede hacerse en lotes de operaciones. El Servicio Electrónico de Compensación (SEC) en ciclos preestablecidos de compensación intradía, compensa un lote de instrucciones acumuladas en cada uno de los 22 ciclos. El resultado de cada ciclo es la posición multilateral neta a cargo o a favor para cada una de los Establecimientos de Crédito participantes. Como parte del proceso de liquidación, los Establecimientos de Crédito con posición a cargo transfieren desde sus cuentas de depósito los fondos hacia la cuenta de la SEC; esto sucede a través del sistema de pagos de bajo valor. Una vez la SEC recauda la totalidad de los recursos, procede a distribuir la liquidez en las cuentas de depósito de los Establecimientos de Crédito que resultaron con posición a favor en la compensación. Superada la etapa anterior, y en un tiempo posterior, el Establecimiento de Crédito receptor abona el dinero en la cuenta asociada al beneficiario del pago (receptor). (Ortega & León, 2018, págs. 146,147). 23 Tiene cuenta corriente o cuenta de ahorros bancaria Dinero Dinero Dinero Dinero Nota5 5 (Ortega & León, 2018, pág. 146) Originador Transferencia Electrónica de Fondos Instrumento de pago Computador, teléfono celular, Ipad, tablet etc con conexión a internet Establecimiento crediticio originador congela los fondos del originador SEC - Compensador Liquidación coordinada por SEC Establecimiento crediticio con posición a cargo Establecimiento crediticio con posición a favor Receptor 24 2. El phishing y sus modalidades 2.1 El phishing El origen de la palabra phishing proviene del término fishing que traducido al español significa pescar. Se relaciona con esta palabra, porque la finalidad de esta modalidad de ciberataque es “pescar” a los usuarios de la red de internet para hurtarles información sensible, como sus claves, números de identificación personal, nombre de usuario etc. Los phishers, nombre con el que se le conoce a las personas que se dedican a esta práctica, arronjan el anzuelo, esperando atrapar a cualquier usuario de internet para arrebatarle sus datos. Se utilizan las letras “ph” para referirnos al termino y no la letra “f” habida cuenta que los hackers iniciales eran conocidos como phreaks. Surge de la palabra phreaking que es el estudio, comprensión y aprendizaje de las nuevas tecnologías. La palabra Hacker como Phreaker están relacionadas con el uso de “PH” lo cual sirve para identificar los ataques cibernéticos de estas comunidades (Leguizamon, 2015, pág. 10) El ataque cibernético Phising consiste en buscar los datos de acceso y autenticación que usan los consumidores financieros ante sus entidades bancarias para manifestar su consentimiento, lo que le permite al ciberdelincuente suplantar al usuario y engañar posteriormente al banco (Rodriguez M. , 2015, p. 13). Para comprender mejor lo que significa el Phising veamos las siguientes definiciones expuestas por diferentes autores: Archila (2005) define el Phising así: El Phising es el intento de conseguir información sensitiva, como por ejemplo números de cuentas bancarias o de tarjetas de crédito y claves de acceso, haciendo creer que la fuente es confiable y que la solicitud de esta información es auténtica. Típicamente el phising se hace a través del correo electrónico y los mensajes enviados tienen el aspecto de ser comunicados de tipo oficial que regularmente enlazan a páginas de registro con direcciones que parecen ser de una institución a la que suplantan. (P .1) Usera (2007) señala frente al phishing: (…) es la, contracción de “passwod harvesting fishing”(cosecha y pesca de contraseñas), consiste en duplicar una página web para hacer creer al visitante que se encuentra en la página original de una entidad, empresa o institución de confianza, con el objetivo de obtener de forma fraudulenta información personal como contraseñas, números de tarjetas de crédito, 25 documentos de identidad o cualquier otro dato de interés para el ciberdelincuente citado por (Sastoque, 2015, pág. 76) Se identifica que la técnica del phishing se aborda por medio de canales electrónicos, como las páginas web o correos electrónicos, en donde se aprovechan del desconocimiento del visitante para hacerle creer que está navegando en la página original de la entidad y así conseguir que consigne sus datos personales, para después apropiarse de ellos. Por su parte López (2019) propone la siguiente definición: El phishing es una estafa en la que se hace uso de técnicas de ingeniería social para engañar a un usuario con el fin de obtener información o algún beneficio de manera ilícita. Para conseguir un mayor número de víctimas, los estafadores están constantemente mejorando las técnicas que usan para engañar a las víctimas. En el caso de los correos de phishing, en muchas ocasiones el correo parece provenir de la entidad legitima y es complicado para un usuario discernir si se trata de un correo de estafa o un correo de su empresa de confianza. (pág.10) Las técnicas de phising usadas por los phishers son cada vez más difíciles de detectar. El método y forma más directo de los phisher para defraudar a las personas es por medio del phising realizada por medio de las páginas web, creando paginas similares a las originales para que las personas depositen en estas páginas falsas sus datos personales como contraseñas, números telefónicos, nombres entre otros. En síntesis, el phishing reside generalmente en la suplantación de identidad de una persona jurídica para que la víctima crea que esa persona jurídica ya sea una institución pública o privada, (en muchos casos son bancos), es legítima, contacta con ella y solicita los datos personales de la misma. La víctima al creer que es correo electrónico de la persona jurídica que cree es legítima y de forma voluntaria accede a proporcionar esta información personal, sin darse cuenta de que está siendo víctima de una estafa cometida por medios electrónicos. El funcionamiento del phishing se realiza mediante la técnica denominada Password Harvesting que se entiende como la cosecha y pesca de contraseñas. Para lograr su finalidad el ciberdelincuente empieza enviando correos electrónicos a sus víctimas suplantando la imagen de la persona jurídica que quiere suplantar. Generalmente usan instituciones como el ente fiscalizador del país (La DIAN en Colombia), el ente disciplinario (La Procuraduría General de La Nación en Colombia), el ente acusador (La Fiscalía General de la Nación en Colombia) o las entidades bancarias. El correo 26 electrónico contiene ellink o enlace fraudulento que por medio de engaños hacen que la víctima ingrese en él. Una vez dentro de la página a la que el link redirige a la víctima, esta le solicitará que ingrese una serie de datos personales. Las victimas al no ser conscientes de que la pagina es falsa acceden a digitar sus datos creyendo que es la página oficial de la persona jurídica que conocen, y es ahí donde se produce el robo de la información por parte del phisher. Imagen: Recuperada de En realidad, hay muchas características y factores que se puede distinguir del sitio web legítimo original del sitio web fraudulento de phishing de banca electrónica, como errores ortográficos, dirección URL larga y sistemas de nombre de dominio, (DNS) por sus siglas en ingles. Sin embargo, para el usuario común de las TEF, no son fáciles de detectar. A continuación, se muestra el siguiente cuadro donde se pueden encontrar los componentes del phising y las formas en que se puede ser víctima de esta práctica: Tabla 1 Componentes y capas del phishing de banca electrónica criterios del sitio web CRITERIO No. COMPONENTE URL e Identidad de Dominio 1 Uso de la dirección IP 2 Solicitud anormal de URL 3 URL de ancla anormal 4 Registro anormal de DNS 5 Anormal URL Seguridad y encriptación 1 Uso del Secure Sockets Layer o capa de conexión segura (SSL) 2 Autoridad de certificación 3 Cookies anormales 27 Código fuente y Java script 1 Redirección a paginas 2 Ataque de Phraming 3 Controlador de formularios del servidor (SFH) Estilo de página y contenido 1 Errores de ortografía 2 Copiado de sitio web 3 Usar formularios con el botón Enviar 4 Uso de ventanas emergentes 5 Desabilitación click derecho Barra de dirección web 1 Larga dirección de URL 2 Reemplazo de caracteres similares por URL 3 Agregar un prefijo o sufijo 4 Usando el símbolo @ para confundir 5 Usando códigos de caracteres hexadecimales Factor Social Humano 1 Énfasis sobre la seguridad 2 Saludo público general 3 Compa de tiempo para acceder a cuentas Nota:6 La diferencia del phising de otros delitos informáticos son cuatro puntos básicos que con precisión expone Mayra Leguizamón (2015) de la siguiente forma: Ingeniería social: ya que el phishing interactúa de alguna forma con las personas y se aprovecha de su debilidad para poder cometer el ataque con mayor facilidad. Automatización: los avances de las comunicaciones y sus técnicas son utilizados por los phishers para conseguir enviar correos de forma masiva. Comunicación electrónica: es el medio que utilizan para cometer estos ataques, especialmente internet. Suplantación: como ya se vio anteriormente, para realizar un ataque de estas características es necesario que el delincuente suplante la identidad de una empresa o entidad legítima. (pág. 13). Como puede observarse el phising es una amenaza difícil de detectar, presta a cualquier descuido por parte del consumidor financiero. El descuido como se vio en los párrafos anteriores no lo desaprovecha el ciberdelincuente para robar sus datos y utilizarlos con el objetivo sustraer los recursos dinerarios que se encuentren en sus depósitos bancarios. 6 Recuperado (World, 2009) de International Conference on CyberWorlds 2009 por Modelling Intelligent Phishing Detection System for e-Banking using Fuzzy Data Mining. Traducción propia. 28 Este acto ilícito cuenta con varias clases de ejecución los cuales se exponen a continuación. 2.2 Modalidades del phishing En el mundo existen diferentes tipos de fraudes electrónicos que se pueden clasificar dentro del phishing. Las clases de este tipo de hurto de información dependerá de la modalidad en que se realice. Puede ser por medio de mensajes de textos, con la introducción de un malware, a través del envío de correos electrónicos, por vía telefónica y por las múltiples estrategias que logren idear los ciberdelincuentes para el hurto de la información. Dependiendo de la estrategia utilizada para el hurto de información se podrá considerar como una variante del phishing. Para efectos de este trabajo, las clases de phishing que se van a analizar son las técnicas desarrolladas por los ciberdelincuentes, con el fin de apropiarse de la información personal de los consumidores financieros a través de medios virtuales utilizando la red de internet. Por eso queda descartada el fraude por medios físicos como el cambiazo de la tarjeta débito o crédito, o el engaño mediante llamadas telefónicas. A continuación, se presentará de forma breve un esquema de las clases de phishing más relevantes. El pharming El phishing y el pharming son tipos de fraudes informáticos, que buscan apoderarse de información personal de un visitante que navega en internet, con la finalidad de ingresar a sus cuentas de redes sociales, correo electrónico o conseguir claves de e- banking para acceder a las cuentas de depósito irregular bancario del consumidor financiero y transferir dinero a diferentes cuentas conocidas por el ladrón de la información (Oxman, 2013, pág. 215). El pharming específicamente lo podemos delimitar como un ataque al servidor DNS (Sistema de Nombre de Dominio por sus siglas en ingles) y redirecciona el tráfico legítimo a una web falsificada. La diferencia del phishing y el pharming radica según Oxman (2013) (…) en que el “phishing” no se utiliza otra cosa que el correo electrónico como soporte material para reconducir a la víctima a un sitio “web” falso, en el “pharming” lo que se introduce es un malware o un gusano en el servidor de Internet del usuario para reconducirlo mediante la manipulación del “Domain Name Server” (DNS) a una página “web” falsa 29 (pág. 216). Continua el citado autor al definir el pharming en estas palabras: (…) el “pharming” consiste, según se ha esbozado, en la manipulación técnica de las direcciones DNS que son utilizadas por un determinado usuario, reconduciendo la navegación que este realiza a sitios “web” que presentan un aspecto idéntico, pero que son falsos y han sido creados “con fines defraudatorios”. Esta figura puede operar como modalidad de estafa informática si con el mecanismo indicado se consigue la cesión de datos personales financieros o bancarios, con el propósito ulterior de realización de ilícitos de apoderamiento patrimonial de dinero o activos en cuentas corrientes (pág. 217) Por su parte López (2019) define el pharming de la siguiente manera: En este tipo de engaño la victima sufre un ataque a los servidores DNS que usa para resolver los dominios de internet que quiere visitar. Este ataque puede realizarse tanto a un servidor DNS público como DNS local del ordenador de la víctima. Al atacar el servidor DNS, encargado de la resolución de un dominio web, se consigue que la victima de este ataque cuando pretenda visitar una página de confianza, realmente este visitando otra diferente que el atacante ha dispuesto para robar información o engañar al usuario (pág. 12) En igual sentido Jiménez (2015) señala lo siguiente sobre el pharming: Está relacionada con el phishing, pero es una modalidad de estafa online que utiliza la manipulación de los servidores DNS (Domine Name Server) para redireccionar el nombre de un dominio, visitado habitualmente por el usuario, a una página web idéntica a la original, que ha sido creada para obtener datos confidenciales del usuario, como contraseñas, datos bancarios, etc. (pág. 56). El citado autor al referirse a la diferencia entre phishing y pharming dispone: La diferencia entre el phishing y el pharming, radica en que en el primero se envía un mensaje como si fuese la empresa o entidad bancaria, y en el pharming se desvía el tráfico de internet hacia otro deapariencia casi idéntica. La finalidad es la misma, engañar a los usuarios, para obtener sus nombres y contraseñas de acceso. Generalmente la víctima se da cuenta del engaño cuando existe un movimiento extraño de dinero en sus cuentas bancarias. (pág. 57) Comprendido lo anterior, el pharming es una técnica que busca interferir en el DNS por medio de malware o desviando al usuario de internet redireccionándolo a una página casi idéntica a la original de la entidad (entidad bancaria), creada por los ciberdelincuentes. El usuario cree que está en la página del banco y ahí es donde introduce con confianza sus claves y datos personales los cuales son hurtados por el delincuente informático. Estas acciones delictivas de inducción a paginas similares a las del banco son casi imposibles 30 de detectar por un consumidor financiero casual, sin conocimientos en sistemas de cómputo avanzado como la mayoría de los usuarios de estos portales de internet que facilitan el movimiento de acreditación y descuento de cuentas bancarias. Smishing Entiéndase por el ciberdelito de smishing como una variante del phishing, pero esto no se basa en envió de correos electrónico sino mediante mensajes como los SMS a los celulares. Esta fase hace un cambio en el canal de comunicación por medio de los Short Message Service (SMS) a los teléfonos móviles o smarthphones. El smishing se puede definir según Pérez (2010) “como la suplantación de identidad de algún contacto o empresa de confianza por medio de un sistema de spammer automatizado, que utilizando ingeniería social se encarga de enviar mensajes SMS fraudulento” (pág. 221) El citado autor propone un ejemplo de ejecución de este acto ilícito cuando la a víctima se le informa vía SMS de que se le ha dado de alta a algún servicio de pago y que, si quiere darse de baja, debe acceder a través de una web, que cuando el usuario accede se descargan en su ordenador un código malicioso de captura de datos. Al respecto el profesor Devia Edmundo (2017) dice: El smishing es una variante del phishing, pero con el uso de los mensajes cortos o SMS. También es llamado SMS phishing. La técnica smishing consiste del envío de mensajes de texto (SMS) cuya actividad criminal es la de obtener, mediante engaños a los usuarios de telefonía móvil, información privada o suscripciones falsas online y ofertas de trabajo en sitios web, para luego introducir spyware o programas con intenciones maliciosas sin el consentimiento del usuario. (pág. 189) Por su parte López (2019) se refiere a la práctica de smishing: Se denomina smishing a aquellos casos de fraude que se trasmiten por SMS. Existen gran variedad de tipos y de estafas de este estilo, ya que cada vez de manera más frecuente se envían enlaces a webs de phishing por vía SMS. Debido a la corta longitud de estos mensajes, el contenido de los mismos suele ser bastante contenido y basta una frase alarmante o un supuesto atractivo para captar la atención de la víctima y que se dirija al enlace que figura en el SMS. (pág. 13) Esta clase de phishing, igual que las anteriores se concentra en el engaño, un ejemplo común de estos ataques de los delincuentes informáticos es enviar mensajes al celular de la víctima informando que se ha adquirido un servicio a su nombre y que para desactivarlo debe ofrecer algunos datos personales. El smishing se aprovecha del desconocimiento e 31 inocencia de la víctima para aprovechar la oportunidad de hurtar sus datos para la posterior realización del fraude. El sector más sensible a estas prácticas de fraude electrónico es el bancario, y como también se señaló cuando este tipo de delitos cibernéticos se cometen es casi imposible detectar a la persona que lo hizo, donde el riesgo se maximiza en la utilización de las TEF, pero la responsabilidad queda latente y alguien debe asumir el perjuicio causado. Dada las anteriores consideraciones, es claro que no es objeto del presente análisis el fraude que sobre medios de pago electrónicos pueda generarse por acciones físicamente verificables, como por ejemplo el hurto de la tarjeta plástica y su posterior uso mediante presencia física del delincuente en el uso de un datafono o en un cajero electrónico, o la falsificación de la tarjeta con los mismos fines. Como se observa, la banca tiene un reto grande de proteger sus productos digitales de la ciberdelincuencia. La amenaza online es ya uno de los mayores riesgos y todas las empresas son cada vez más vulnerables en esta guerra que afecta de lleno al sector bancario. Y más hoy en día donde la mayoría de las personas tienen teléfonos inteligentes y pueden por medio de la banca móvil realizar sus operaciones bancarias. Según dantos Imagenenes recuperadas de: Asobancaria: https://www.asobancaria.com/wp-content/uploads/2020/10/1256VF.pdf 32 de la Superintendencia Financiera de Colombia los clientes de bancos realizaron el 52% del total de operaciones que se registraron por este canal durante el primer semestre de 2020 De ahí que resulte importante, tener claridad cuál es el régimen de responsabilidad de los bancos ante ataques de ciberseguridad cuando el consumidor financiero utilice las TEF para debitar o acreditar sus depósitos irregulares de cuenta de ahorro o cuenta corriente. La dificultad que se propone debe tener una solución acorde a la relación jurídica que nace entre el banco con sus ahorradores o cuentacorrentistas quienes a su vez tienen la característica de ser consumidores financieros. Consumidores a los que se les debe garantizar una confianza y certidumbre de las consecuencias y responsabilidades que adquiere su entidad bancaria en los casos de fraude electrónico. De esa manera se afianza la seguridad jurídica y confianza del consumidor quien es parte fundamental en la operación de los mercados financieros, sin confianza el mercado colapsaría, no más fíjese el ejemplo por antonomasia donde el banco quebraría si todos sus ahorradores retiraran su dinero en un mismo día. 3. Contrato de Depósito Irregular En la actualidad la autonomía de la voluntad se percibe según Oviedo (2002) en que la contratación no se rige por acuerdos entre las partes en un plano de voluntad, sino por la implementación de contratos predispuestos que los grandes agentes del mercado designan para la comercialización de bienes y servicios citado por (Quecan, 2017, p. 128). Hoy en día la mayoría de los contratos celebrados en el tráfico comercial son formatos predispuestos por los ofertantes en el que el ofertado decide celebrar el contrato o no convirtiéndose esta práctica general en contratos de adhesión. No obstante, por ser esta clase de contratos puede olvidarse que esta convergencia de voluntades debe respetar las directrices de un Estado justo (preceptos morales derivados de la buena fe), entre las cuales encontramos la prohibición del abuso de la posición dominante, la búsqueda del bienestar social, el equilibrio prestacional, la búsqueda de una finalidad socioeconómica del contrato que no solo satisfaga los intereses individuales (Ripert G. , 1941, p. 7) En ese sentido, al ser conscientes de la asimetría que se presenta entre las partes, para que se cumpla lo referido anteriormente debe existir una efectiva intervención del Estado frente al consumidor financiero, la asimetría entre consumidor y el sistema financiero en 33 relación con las TEF, plantea una situación en la que el Estado debe entrar a tomar partido por la parte débil de la relación contractual. (Duran, 2018, p. 30) Dentro de la relación consumidor financiero y entidad bancaria, se encuentran los contratos de cuenta corriente y cuenta de ahorro, contratos que son susceptibles al fraude electrónico cuando los consumidores disponen de los medios digitales para debitar o acreditar sus cuentas. El contrato de cuenta corriente se encuentra reguladoen el artículo 1382 a 1392 del Código de Comercio, nuestro ordenamiento jurídico ha definido a aquel por medio del cual “el cuentacorrentista adquiere la facultad de consignar sumas de dinero y cheques en un establecimiento bancario y disponer, total o parcialmente, de sus saldos mediante el giro de cheques o en otra forma previamente convenida con el banco” (Corte Suprema de Justicia, 2019, pág. 13) De igual forma refiriéndose a este tipo de contrato bancario, la misma Corporación en providencia del 15 de diciembre del año 2006 (Exp. 2002-00025-01) expreso la obligación que le incumbe al banco “entre las obligaciones que al banco impone el citado precepto, derivadas del contrato de cuenta corriente, está la de mantener los dineros depositados regularmente para entregarlos en la medida que el cuentacorrentista haga disposición de ellos” (pág. 10). Por su parte el contrato de cuenta de ahorro está regulado en los artículos 1396 a 1398 de la legislación mercantil colombiana, este contrato al igual que el de cuenta corriente, es un contrato de depósito irregular, que tiene como finalidad conservar los ingresos de las personas, su custodia y manejo por el banco. La creación de este tipo de cuentas es para estimular a los pequeños ahorradores a depositar su dinero en condiciones que estimulen el ahorro, como, por ejemplo, tasas de retorno más altas, bajos costos de manejo, incentivos no monetarios, como rifas, sorteos etc. Por lo general a estas cuentas de ahorro le son aplicables los principios jurídicos por los que se rige la cuenta corriente bancaria. (Rodriguez S. , 2009, págs. 407,408,409) Estas dos clases de contratos hacen parte de la clasificación de depósitos irregulares dinerarios, los cuales constituyen la principal fuente de recursos de los bancos comerciales. Bajo esta figura se captan depósitos monetarios por parte del banco al consumidor financiero y los reciben en propiedad. La institución bancaria puede disponer 34 de esos recursos y obtener de su colocación utilidades necesarios para pagar los costos que acarrea su administración. (Rodriguez S. , 2009, p. 286) El profesor Fernando Valenzuela (2000) define el contrato de depósito irregular como: El contrato en virtud del cual el depositante (cliente del banco), entrega a un banco una determinada suma de dinero de la que éste pasa a ser titular y de la que por tanto puede disponer pero que en todo caso ha de custodiar, con el compromiso de devolver una igual a la recibida en la moneda, tiempo y forma pactada (pág. 468) El depósito irregular se diferencia del depósito regular, en cuanto el primero generalmente recibe bienes fungibles, que pasan a su propiedad y puede disponer de ellos, quedando con la obligación de restituir los bienes fungibles en la misma equivalencia. Esta clase de depósito es utilizado más que todo en operaciones de dinero con la banca, mientras que en el depósito regular el depositario tiene la obligación de guardar y devolver el mismo bien en el estado que lo recibió. Así lo expresa Boada Sebastián (2019) Los sistemas de la tradición civilista se basan en el antecedente romano del depósito irregular para definir la relación privada de la cuenta bancaria. En la formulación tradicional del contrato de depósito regular, el depositario tiene la obligación de guarda y cuidado del bien depositado, para su eventual restitución al depositante. El derecho de dominio sobre la cosa depositada permanece en cabeza del depositante, siendo el depositario un mero guardador o tenedor. Frente a la posibilidad de un depósito de bienes fungibles se aceptó que la obligación del depositario no era la devolución del mismo bien depositado, sino de bienes equivalentes. Hasta este punto llega el depósito regular. (pág.14) En el derecho continental, para los casos de depósito de dinero ha habido discusiones sobre el trato que se le debe dar a esos depósitos. En consenso los países de estirpe civilista no reconocen que esta sea una operación de préstamo, aunque algunos sistemas jurídicos influyentes han tratado de dar la calidad de contrato de mutuo a la cuenta bancaria. En Francia por ejemplo no existe la figura de depósito irregular, por eso surgen problemas a la hora de definir la naturaleza jurídica de estas operaciones bancarias discutiendo si es un contrato de depósito, muto o un contrato siu generis (Boada S. , 2019, p. 15) En España la operación bancaria de la captación de recursos por parte de los bancos, por medio de cuentas bancarias, se regula como un contrato de mutuo. El artículo 1768 del Código Civil español señala: “cuando el depositario tiene permiso para servirse o usar de la cosa depositada, el contrato pierde el concepto de depósito y se convierte en préstamo o comodato” 35 Mientras tanto en Colombia la relación del banco con su cuentahabiente se interpreta bajo la figura del depósito irregular monetario. En el ordenamiento jurídico colombiano existe una incompatibilidad entre deposito regular e irregular. Las diferencias que distinguen a los dos contratos se refieren a: (i) en el primero se tiene la obligación de guarda y custodia devolviendo el mismo bien en depósito (ii) en el segundo o sea el depósito irregular se da la trasferencia del dominio del bien en depósito. (Boada S. , 2019, p. 16) En síntesis, se puede decir que la naturaleza jurídica del depósito irregular en Colombia no es un depósito propiamente dicho, puesto que en este contrato su lógica atiende a la entrega corporal de un bien mueble por un depositante a un depositario, este último adquiere las obligaciones de guarda y custodia sobre los bienes entregados, los cuales a su vez deben ser entregados cuando sean reclamados los mismos. Mencionado contrato es netamente de tenencia, puesto que no se le otorgan las facultades de disposición sobre los bienes recibidos. No obstante, si aplicamos el depósito a bienes fungibles resulta todo lo contrario. El depositario en esta situación adquiere el uso, goce y disposición de los bienes fungibles como el dinero y no necesita consérvalos, sino restituirlos en la misma cantidad de cosas de igual género y calidad al de las recibidas (Guzman, 2014, p. 121) En suma, el depósito de dineros en los bancos es claramente tratado por la figura del depósito irregular bajo la captación de recursos a través de contratos de cuenta de ahorros y cuenta corriente. En estos casos lo que hay es un depósito irregular, en el que el banco es el depositario y los clientes sus depositantes. Ahora bien, entendiendo la relación del banco con el cuentahabiente, en la celebración de contratos de depósito irregular como lo son la cuenta de ahorros y cuenta corriente, se encuentra que dentro de las obligaciones que adquiere el banco como consecuencia de la recepción de un depósito irregular de dinero son las siguientes: (i) la devolución de la suma de dinero recibida, dependiendo si es depósito a plazo o a la vista. La entidad bancaria cumple su obligación devolviendo cuantitativa y formalmente el dinero inicialmente recibido, (ii) Custodia de los dineros depositados, el banco tiene una obligación genérica de custodia puesto que los bienes captados son sustituibles y mutables en sus partidas individuales que refleja las relaciones entre los clientes y el banco. (iii) Pago de intereses. Generalmente en los depósitos irregulares a plazo, existe la remuneración de un pago de interés, mas en los depósitos a la vista pueden generarse intereses, pero más como estímulo del banco a sus cuentahabientes. (Rodriguez S. , 2009, p. 293) 36 Como se dijo anteriormente, los contratos de cuenta corriente y cuenta de ahorros, hacen parte de los contratos de depósito irregular monetario, en general son contratos en los que el cuentahabiente puede depositar su dinero ya sea con papel moneda o por medio de transferencias electrónicas y tiene la posibilidad
Compartir