Resumen: La responsabilidad de los bancos por el fraude electrónico es uno de los temas más preocupantes para los consumidores financieros. Al analizar este régimen desde una perspectiva doméstica y comparada, se observan varios problemas que plantea. En una primera mirada, la viabilidad de aplicación jurídica del régimen. En segundo lugar, el cuestionamiento de algunas ideas centrales del derecho contractual colombiano. Finalmente, el debate sobre la conveniencia económica de dicho régimen para el sistema bancario colombiano.
Abstract: The banking liability for the electronic fraud is one of the most concerning issues for the financial costumers. By analyzing this regime from a domestic and comparative perspective, can be observed several problems that it arises. At first glance, the viability of the juridical application of the regime. In second place, the questioning of some core ideas of the Colombian contractual law. Finally, the debate about the economic convenience of such regime, for the banking Colombian system.
Palabras clave: Responsabilidad bancaria, fraude electrónico, consumidor financiero, servicio público, responsabilidad contractual.
Keywords: Banking liability, electronic fraud, financial costumer, public service, contractual liability.
Introducción
A medida que avanza la tecnología, los usuarios del sistema financiero esperan acceder a servicios y productos bancarios que generen comodidad y agilidad en sus transacciones económicas. Es por ello que, a lo largo de los recientes años, los
bancos han competido entre ellos con el fin de desarrollar mecanismos de banca electrónica que logren dichos objetivos. Desde pasaportes virtuales, sucursales electrónicas, aplicaciones móviles, transacciones en línea, entre otros servicios, las entidades bancarias han querido ofrecer en el mercado instrumentos que faciliten el comercio y persuadan a un mayor número de clientes a depositar su dinero en sus establecimientos.
No obstante, a medida que avanza la tecnología y la comunicación, el crimen encuentra nuevas puertas en las que puede generar réditos. Ataques cibernéticos, hackeos, phishing, esparcimiento de virus electrónicos, entre otros pérfidos instrumentos, sirven de soporte a grupos criminales para lograr cometer ilícitos que van desde la desviación de dineros de cuentas bancarias, hasta la sustracción de datos e información financiera. La defraudación electrónica, esto es, la pérdida de los recursos depositados por los clientes en un banco es un riesgo latente.
A pesar de los intentos jurisprudenciales y administrativos, dicha amenaza no cuenta hoy por hoy con régimen de responsabilidad del banco lo suficientemente claro y completo ¿Cuándo está llamado a responder el banco por dicha defraudación? ¿Cuál es el límite de su responsabilidad? ¿Cómo podría exonerarse el banco de responsabilidad ante un ciberataque que ha vaciado la cuenta de un depositante? ¿Es posible esa exoneración?
En ese contexto, el presente artículo tiene dos objetivos. En primer lugar, (I) exponer cuál ha sido el desarrollo del régimen de responsabilidad contractual de las entidades bancarias, frente a los depositantes de ahorros víctimas de fraudes electrónicos. En segundo lugar, (II) su objetivo es realizar un análisis sobre los problemas de estructuración del régimen actual de responsabilidad contractual por fraude electrónico.
En esta segunda parte del texto, se defiende la tesis según la cual el régimen de responsabilidad actual de los bancos por los fraudes electrónicos, desarrollado por la jurisprudencia, se enfrenta a tres problemas. En primer lugar, se enfrenta a un problema semántico-jurídico. En segundo lugar, a un problema teórico-jurídico. En tercer lugar, a un problema jurídico-económico.
I El fraude electrónico en los depósitos irregulares de dinero, en la modalidad de cuentas de ahorro.
- El servicio de depósito bancario como una actividad de interés público, un servicio público esencial y una actividad de consumo.
La historia nos ha enseñado con duros golpes la importancia y riesgo del sector financiero en la economía. Colombia, claro está, no ha sido ajena a esta verdad. Con los desarrollos económicos y el fortalecimiento institucional del Estado, como director general de la economía, según los dispuesto en el artículo 334 de la Constitución Política, la actividad bancaria ha sido reconocida, como una actividad financiera de interés público que, además de estar sujeto a una normativa determinada y profundamente regulada, es de especial relevancia para el Estado y la economía nacional.
En este punto se hace necesario reconocer que, si los bancos se encuentran en crisis, la economía está en crisis. En Colombia, el mayor porcentaje del PIB corresponde a la actividad financiera, la cual representó, en el año 2016, un 23,2% del PIB (Mora, 2017, pág. 24). Así mismo, existe una razón práctica y lógica, la cual consiste en que los bancos tienen por una de sus actividades captar recursos del público, por lo que deviene en una actividad que pone en riesgo los ingresos y los ahorros de las personas y con ello, la economía en general (Acosta, 2001). Por otro lado, jurisprudencial y académicamente, se ha reconocido a la actividad bancaria como un servicio público esencial, en el marco del proceso de irradiación constitucional (Villegas, 2013).
Finalmente, legalmente se ha previsto que la relación jurídica existente entre las entidades bancarias y el público en general es una relación de consumo guiada por unos principios y derroteros particulares que, por supuesto, tienen a proteger al consumidor financiero, claro está, pero también a la economía y a la sociedad. Las experiencias de las crisis económicas mundiales que se han desatado en el sector financiero, han dejado una huella, un terrorífico sentimiento de celo hacia el sistema financiero, por lo que las legislaciones modernas se esfuerzan en otorgar las
mejores garantías a la sociedad, de que las entidades bancarias no son ajenas a la Ley, y que, por el contrario, son ampliamente limitadas por ella.
Por ello, tanto la Ley 1328 de 2009, como la Ley 1480 de 2011 desarrollaron todo un sistema de protección al consumidor en general y, claro está, de protección al consumidor financiero en particular. Un sistema que trajo consigo unos principios directores de la actividad financiera que delimitan el marco de dicha actividad económica y que concurren a definir el conjunto de derechos y deberes que gozan los consumidores financieros.
B) La responsabilidad bancaria por el fraude electrónico.
Cabe resaltar, como primera medida, que la actividad bancaria es extensa, compleja y se compone de diversas actividades que la doctrina ha generalmente dividido en tres, a saber, operaciones activas, operaciones pasivas y operaciones neutras (Azuero, 1990). Por lo tanto, hablar de un régimen general de responsabilidad civil de las entidades financieras, y en especial, de las entidades bancarias puede llevar a equívocos. Nótese que, en efecto, cuando nos referimos a ese trípode de operaciones, nos estamos enmarcando en un tipo especial de responsabilidad civil, esto es, en la responsabilidad civil contractual, toda vez que dichas operaciones se materializan en negocios jurídicos convencionales, en la especie de contratos bancarios (Holguín, 1979).
Según el contrato que se estudie, sea este una apertura de crédito, un depósito en cuenta corriente, u otro arquetipo negocial, la Ley y el contrato prevén la naturaleza de las obligaciones y los alcances y límites de la responsabilidad en caso de incumplimiento de las mismas. El presente texto, se circunscribe a estudiar la responsabilidad de los bancos por el fraude electrónico en el marco de los contratos de depósito irregular de dinero, a través de cuentas de ahorros.
Huelga decir, en primer lugar, que la legislación en relación a la responsabilidad civil de los bancos por el fraude electrónico es ambigua, como más adelante se mostrará. La razón de ser de esta oscuridad se explica toda vez que ha sido reciente
el auge en la utilización por parte de las entidades financieras de mecanismos electrónicos para realizar diversas actividades, como consulta de saldos, transferencias electrónicas, pagos y retiros de dinero. Los servicios tecnológicos bancarios no fueron contemplados al redactarse el Código de Comercio, a principios de la década de 1970. Esto permite entender por qué no existe un régimen suficientemente claro de responsabilidad patrimonial de los bancos en caso de fraude electrónico.
Algunos esfuerzos se han desarrollado en sede pretoriana y administrativa, con el objetivo de plantear los lineamientos de un régimen de responsabilidad bancaria por fraude electrónico. A pesar de no estar plasmado ex lege, la doctrina judicial ha negado la supuesta inexistencia de un régimen de responsabilidad contractual en caso del siniestro de un fraude electrónico.
Conforme a la jurisprudencia reciente sobre la materia, la responsabilidad bancaria por el fraude electrónico ha sido deducida a partir de la existencia de normas positivas en relación con el pago de cheques por parte de un banco, en caso de adulteración del título de contenido crediticio. En el entender de la doctrina jurisprudencial mayoritaria, el desarrollo histórico de la responsabilidad por el pago del cheque adulterado permite entrever –o deducir, mejor- la existencia de un régimen de responsabilidad civil contractual del banco en el evento de un fraude electrónico. Ello se traduce en una aplicación analógica del régimen de responsabilidad del banco por el pago de cheques adulterados en el contrato de depósito en cuenta corriente, a la responsabilidad del banco por el fraude electrónico a los depositantes de dinero en cuentas de ahorro.
En razón a la existencia de dicha posición jurisprudencial, se torna imperioso exponer: (B.1) el régimen de responsabilidad de los bancos en relación con la falsificación de cheques, pues es de este régimen del que se ha agarrado la doctrina jurisprudencial para emular un (B.2) régimen de responsabilidad bancaria por fraude electrónico.
B.1) La responsabilidad bancaria por el pago de cheque adulterado:
La Ley 46 de 1923 sobre Instrumentos negociables en su artículo 191 establecía que en caso de que el banco pagara un cheque falso o adulterado sería responsable ante el titular de la cuenta corriente, salvo que el depositante no notificara al banco de dicha adulteración, dentro del año siguiente a la devolución del comprobante de pago por parte de la entidad. La exoneración de responsabilidad del banco era la excepción, no la regla, por lo que la protección del cliente era excesivamente amplia.
La jurisprudencia de la Sala de Casación Civil de la Corte Suprema de Justicia entendió que la responsabilidad del banco era tan amplia, ya que por la actividad concreta que desarrolla la entidad financiera crea un riesgo para los usuarios o clientes financieros. Dicha teoría, denominada “Teoría del riesgo creado”, se puede observar en los pronunciamientos de la Corte Suprema de Justicia del 9 de diciembre de 1936, del 15 de julio de 1938, y el 11 de marzo de 1943.
En este punto se hace necesario mencionar que la Teoría del riesgo creado es un régimen de responsabilidad esencialmente objetivo. En este sentido, el banco, no podría exonerarse de responsabilidad alegando diligencia o un patrón de conducta revestido de buena fe y ausente de culpa por parte de la entidad, al realizar el pago del título fraudulento o adulterado. En efecto, la culpabilidad como criterio de imputación desaparece en la teoría del riesgo creado, se vuelve irrelevante de cara a imputar un reproche en sede de responsabilidad contractual.
No obstante, la jurisprudencia de la Corte Suprema de Justicia puntualizó durante gran parte del Siglo XX que el banco podría exonerarse de responsabilidad si demostraba malicia, impericia o negligencia por parte del cuentacorrentista en el manejo de la cuenta y la chequera (Sentencia CSJ, Sala de Casación Civil, del 26 de noviembre de 1965). Nótese que esta causal de exoneración, que podemos denominar “culpa exclusiva del acreedor”, no estaba contemplada en la Ley 46 de 1923.
Toda vez que la Ley de Instrumentos negociables no preveía dicha circunstancia de exoneración de responsabilidad, sino que era una subregla pretoriana surgida al interior de la doctrina jurisprudencial de la Corte Suprema, el Código de Comercio de 1971 estipuló en su artículo 1391:
“Todo banco es responsable con el cuentacorrentista por el pago que haga de un cheque falso o cuya cantidad se haya alterado, salvo que el cuentacorrentista haya dado lugar a ello por su culpa o la de sus dependientes, factores o representantes.
La responsabilidad del banco cesará si el cuentacorrentista no le hubiere notificado sobre la falsedad o adulteración del cheque, dentro de los seis meses siguientes a la fecha en que se le envió la información sobre tal pago” (Subraya fuera de texto).
Lo primero que se debe mencionar en cuanto a la norma transcrita es que esta se encuentra en el Capítulo relativo al contrato de depósito en cuenta corriente bancaria. En segundo lugar, que dicha causal de exoneración de responsabilidad fue novedosa, porque si bien no se alejó de la directriz existente en la Ley de Instrumentos negociables de 1923, es decir, el régimen siguió siendo de responsabilidad objetiva, positivizó una norma exceptiva de exclusión de responsabilidad.
La jurisprudencia de la Corte Suprema de Justicia ha ratificado en diversas oportunidades que el régimen de responsabilidad de los bancos por el pago del cheque adulterado o falseado, se asienta en un postulado objetivo. En un primer momento lo justificó en el riesgo creado por los bancos a sus clientes al avalar la utilización de cheques que, evidentemente, pueden ser adulterados. Sin embargo, dicha posición se reforzó con doctrina jurisprudencial que encontraba como justificante del establecimiento de un régimen de responsabilidad contractual objetiva, el hecho de que para la empresa bancaria, entendida como actividad comercial, el riesgo que rodea a los titulares de cuentas de depósito en cuenta corriente en un entidad financiera, se traduce a su vez, en un beneficio económico para el banco:
“Según esta línea de pensamiento que hoy en día encuentra visible reflejo en el artículo 1391 del Código de Comercio, se estima que el ejercicio de la banca de depósito se equipara fundamentalmente al de una empresa
comercial que, masivamente, atrae a sí y asume los riesgos inherentes a la organización y ejecución del servicio de caja, luego es en virtud de este principio de la responsabilidad de empresa, cuyos rasgos objetivos no pueden pasar desapercibidos, que el establecimiento bancario asumiendo una prestación tácita de garantía, responde por el pago de cheques objeto de falsificación, ello en el entendido, se repite, que es inherente a la circulación y uso de títulos bancarios de esta índole el peligro de falsificación y el costo económico de tener que pagarlos se compensa sin duda con el lucro que para los bancos reporta el cúmulo de operaciones que en este ámbito llevan a cabo.” (Sentencia Corte Suprema de Justicia, Sala de Casación Civil, 24 Oct. 1994, Rad. 4311).
No obstante, en tratándose de defraudación de depositantes, la legislación comercial no se limitó a prever la situación de alteración o falsedad del cheque, toda vez que el artículo 733 del Código de Comercio reguló cuál debía ser la consecuencia en caso de pérdida del formulario de cheques, que posteriormente fueron alterados o falsificados:
“El dueño de una chequera que hubiere perdido uno o más formularios y no hubiere dado aviso oportunamente al banco, sólo podrá objetar el pago si la alteración o la falsificación fueren notorias.”
De dicha disposición surgió el debate jurisprudencial dirigido a determinar si el banco podía exonerarse de responsabilidad en caso de alteración o falsificación de un cheque, alegando simplemente que el titular de la cuenta corriente había perdido el formulario, o si, por el contrario, solo podría exonerarse de responsabilidad en caso de que la falsificación o adulteración del título valor, no fueren notorias.
En un primer momento, la jurisprudencia de la Sala Civil consideró que el riesgo de la falsificación del cheque corría siempre en cabeza del banco, independientemente de si el titular de la cuenta había extraviado la chequera. A pesar que el Código de Comercio disponía que el banco podía exonerarse de responsabilidad probando la culpa del titular de la cuenta, para la Sala, la pérdida del formulario no era suficiente
reproche para endilgar culpa al depositante, por lo que el banco solo podía eximirse de responsabilidad probando que la falsificación no era notoria. Contrario sensu, siendo notoria la falsificación, el banco estaba llamado a responder, aun cuando la chequera se hubiera perdido por culpa del depositante:
“El hecho de la pérdida del formulario del titular de la chequera -sostuvo la Corporación- no descarga, por sí solo, la responsabilidad del banco. Este es un deber del dueño de la chequera que no puede comportar un grado de culpa suficiente para eximir a aquél del daño causado por el pago de un cheque falso. Para ampararse el banco en la situación derivada de la pérdida, tiene que demostrar que la falsificación no fue notoria. Esto supone, entonces, que la carga de la prueba corra por cuenta del banco, para desvirtuar así la responsabilidad que asume del pago hecho en cheque falso, si se acredita dentro del proceso esta circunstancia” (Corte Suprema de Justicia, Sala de Casación Civil, 30 de septiembre de 1986, G.J. T. CLXXXIV, p. 290)1.
Posteriormente la Sala cambió su posición, para considerar que el banco solo debía responder si realizó el pago de un cheque cuya falsificación era evidente, palmaria o notoria -cuya prueba corresponde claramente al titular de la cuenta-. En caso de que esta notoriedad no existiera, el banco solo estaría llamado a responder cuando el titular dio aviso oportuno de la pérdida de la chequera y aun así se efectuó el pago del título valor.
Es síntesis, para la Corte, mientras por una parte la responsabilidad la tiene por regla general el banco, en virtud de la teoría del riesgo, conforme a los artículo 732 y 1391 del Código de Comercio; por otra, en el caso de pérdida de la chequera, independientemente de si esta sucedió con culpa o no del titular de la cuenta, la
1 Resulta interesante analizar la razonabilidad de la exigencia probatoria de la Corte Suprema de Justicia. En efecto, ¿podría el banco probar que la falsificación no fue notoria? Según las reglas generales del derecho probatorio, las negaciones indefinidas no se pueden probar, lo que lleva a preguntarse, ¿cómo podría el banco cumplir con el requisito exigido? Véase en la actualidad la regla según la cual “Los hechos notorios y las afirmaciones o negaciones indefinidas no requieren prueba.” (Artículo 167, Ley 1564 de 2012; artículo 177 del C.P.C).
responsabilidad recae principalmente en el cliente y excepcionalmente en el banco, cuando la falsificación era notoria o cuando no siendo notoria, se dio aviso oportuno a la entidad financiera y aun así se efectuó el pago del título valor. (Véanse las sentencias de la Corte Suprema de Justicia, Sala de Casación Civil, del 15 Junio de 2005, Rad. 1999-00444-01; y del 16 Junio de 2008, Rad. 1995-01394-01).
B.2) Las reglas jurisprudenciales sobre responsabilidad bancaria por la defraudación mediante instrumentos electrónicos:
Como se mencionó, el tema es prácticamente novedoso. Es poca la doctrina académica doméstica sobre la materia y al menos en la Corte Suprema de Justicia, poco se ha dicho sobre la materia en sede de casación. Como se mostró, la jurisprudencia de la Sala Civil de la Corte Suprema de Justicia, se ha pronunciado solamente en relación a la responsabilidad de los bancos por el pago de un cheque falso o adulterado. No obstante, dicha historia es profundamente limitada, ya que se refiere exclusivamente a la responsabilidad frente al uso de un único instrumento, a saber, el cheque; así mismo, está limitada también en el sentido de no decir nada en relación con la defraudación de titulares de otro tipo de cuentas, especialmente las de ahorro, a través de instrumentos diferentes, como lo son los instrumentos electrónicos. Luego surgen las preguntas siguientes ¿Cuál es el régimen de responsabilidad aplicable a esos casos? ¿Debe acaso aplicarse por vía de interpretación analógica o extensiva el régimen de responsabilidad bancaria por falsificación o adulteración de cheque? ¿Cuáles serían los fundamentos de dicha responsabilidad? Desde el análisis económico del derecho ¿es conveniente aplicar extensivamente un régimen de responsabilidad objetiva a los bancos?
Como se mencionó anteriormente, poco se ha dicho en la jurisprudencia sobre esto. No obstante, fundamental para este tema se convierte la sentencia proferida por la Corte Suprema de Justicia, en Sala de Casación Civil, el 19 de diciembre de 2016, con ponencia del Magistrado Ariel Salazar Ramírez. Esta sentencia, claro está, debe ser catalogada como sentencia hito sobre la materia (Medina, 2008). En dicha oportunidad la Corte se pronunciaba sobre la responsabilidad de una entidad
bancaria por el fraude electrónico sufrido por una compañía en su cuenta de ahorros.
Como tribunal de casación, y trayendo a colación el régimen de responsabilidad objetiva asentado en la teoría del riesgo profesional de cara al pago de cheques falsos (que hemos explicado en este texto), la Corte consideró que la responsabilidad de los bancos, independientemente de estar hablando de un contrato de cuenta corriente o de cuenta de ahorros es eminentemente objetivo y, por lo tanto, el banco no puede exonerarse probando diligencia o ausencia de culpa de la entidad financiera. Haciendo hincapié en el carácter profesional de la actividad bancaria, señaló que es la entidad financiera quien debe asumir el riesgo:
“La circunstancia de que internet sea una red abierta y pública, hace que esté caracterizada por una inherente inseguridad, pues eventualmente cualquier transferencia de datos puede ser monitoreada por terceros, lo que incrementa la potencialidad de pérdidas y defraudaciones, cuyos patrones de operación, por lo menos en lo que atañe a la banca electrónica, cambian constantemente y se manifiestan a través de la alteración de registros encaminada a la apropiación de fondos; la suplantación de la identidad de los usuarios, y la simulación de operaciones, compras y préstamos.
Sin embargo, no es posible ignorar que se trata de riesgos que son propios de la actividad asumida por las entidades y corporaciones que participan en el e-commerce, entre ellas los Bancos, de la cual obtienen grandes beneficios económicos, pues son estos los que para disminuir costos y obtener mejores rendimientos, han puesto al servicio de sus clientes los recursos informáticos y los sistemas de comunicaciones a través de la red, en una estrategia de ampliación de la oferta y cobertura de productos y servicios financieros.
(…)
De la exposición que precede, queda claro que en el caso de defraudación por transacciones electrónicas, dado que tal contingencia o riesgo es inherente a la actividad bancaria la cual es profesional, habitual y lucrativa,
cuya realización requiere de altos estándares de diligencia, seguridad, control, confiabilidad y profesionalismo, que también tienen que ser atendidos en materia de seguridad de la información que sea transmitida por esa vía, siendo innegable e ineludible su obligación de garantizar la seguridad de las transacciones que autoriza por cualquiera de los medios ofrecidos al público y con independencia de si los dineros sustraídos provienen de cuentas de ahorro o de cuentas corrientes.
De ahí que atendiendo la naturaleza de la actividad y de los riesgos que involucra o genera su ejercicio y el funcionamiento de los servicios que ofrece; el interés público que en ella existe; el profesionalismo exigido a la entidad y el provecho que de sus operaciones obtiene, los riesgos de pérdida por transacciones electrónicas corren por su cuenta, y por lo tanto, deben asumir las consecuencias derivadas de la materialización de esos riesgos a través de reparar los perjuicios causados, y no los usuarios que han confiado en la seguridad que les ofrecen los establecimientos bancarios en la custodia de sus dineros, cuya obligación es apenas la de mantener en reserva sus claves de acceso al portal transaccional.
Desde luego que consumada la defraudación, el Banco para exonerarse de responsabilidad, debe probar que esta ocurrió por culpa del cuentahabiente o de sus dependientes, que con su actuar dieron lugar al retiro de dinero de la cuenta, transferencias u otras operaciones que comprometieron sus recursos, pues amén de que es este quien tiene el control de mecanismo que le permiten hacer seguimiento informático a las operaciones a través de controles implantados en los software especializados con los que cuentan, la culpa incumbe demostrarla a quien la alegue (art. 835 C.Co.), pues se presume la buena fe «aún la exenta de culpa».”
En conclusión, la Corte consideró que la actividad bancaria es una actividad riesgosa, profesional y lucrativa. Así mismo, que cuando las entidades financieras ofrecen servicios de transacciones electrónicas u otros servicios electrónicos (como consultas de saldo, realización de pagos, etc), pone en riesgo a sus clientes. Del mismo modo, por ser un riesgo inherente a la banca electrónica, corresponde al banco asumirla. En consecuencia, en caso de defraudación electrónica, el título de imputación es objetivo, por lo que no se puede exonerar de responsabilidad la entidad financiera que acredite haber implementado estándares de seguridad adecuados o pertinentes, ni haber actuado con diligencia y profesionalismo. Contrario sensu, el banco se puede exonerar solamente probando culpa exclusiva de la víctima.
II Problemas de estructuración del régimen actual de responsabilidad bancaria por defraudación electrónica:
Como se mencionó en las primeras páginas, la tesis central de este texto afirma que el régimen de responsabilidad bancaria por fraude electrónico en cuentas de ahorro desarrollado por la jurisprudencia doméstica, que se expuso anteriormente, se enfrenta a tres problemas principales. A continuación, se desarrollan argumentativamente los tres problemas que, en opinión del autor, son los más importantes para defender la premisa del texto.
A) Primer problema: ¿Existe en realidad un ‘régimen’ de responsabilidad contractual bancaria por el fraude electrónico?
En este texto se mostró cómo este régimen de responsabilidad contractual bancaria por fraude electrónico es de origen pretoriano, no legal. Esta característica lleva a cuestionar su misma existencia, toda vez que los regímenes de responsabilidad civil contractuales son por esencia sancionatorios y, por tanto, no puede ser de origen pretoriano, pues se violaría el principio de legalidad y separación de poderes, ya que los jueces no tienen función legislativa positiva y no pueden crear sanciones motu propio.
Por otro lado, más allá de los razonamientos y argumentos que esboza la Corte en la sentencia hito anteriormente citada, con ponencia de Ariel Salazar Ramírez, es bastante criticable que tenga facultad para crear un régimen de responsabilidad contractual que, por demás, ha sido caracterizado como un régimen objetivo, alejándose del principio general de responsabilidad por culpa (presunta o probada).
Aunado a ello, como bien se mencionó, dicha providencia es única en su clase, en el sentido de que es la primera vez que la Corte desarrolla el tema de responsabilidad por fraude electrónico. Sin subestimar la trascendental importancia de la sentencia de marras, para que la interpretación dada por la Corte fuera vinculante, requeriría conformar una doctrina probable, esto es, conforme a las reglas generales de fuentes del derecho, que hiciera parte de un trípode de sentencias de la Corte Suprema de Justicia, como tribunal de casación, sobre el mismo punto de derecho. Mientras ello no suceda, lo dictaminado por la Sala Civil no puede enarbolarse como un régimen de responsabilidad bancaria por fraude electrónico, por la potísima razón de que no es precedente.
Pero la discusión no es simplemente semántica, en el sentido de debatir sobre si esa sola sentencia puede o no conformar un “régimen”. La discusión es también jurídica. En efecto, La Corte acudió a derivar la existencia de un régimen objetivo de responsabilidad contractual del banco por fraude electrónico, con base en una interpretación analógica, a través del criterio de analogía legis. Recordemos: para la Corte Suprema de Justicia, de las normas sobre responsabilidad bancaria por el pago del cheque adulterado, se deducen o se derivan analógicamente las reglas generales de responsabilidad por el fraude electrónico.
Ese razonamiento adolece de problemas que la Corte no estudió en dicha oportunidad, pero que seguramente más adelante deberá hacerlo. En efecto, la analogía legis, como criterio de interpretación jurídica, tiene unos presupuestos rigurosos que deben cumplirse, de acuerdo a la posición de la misma Sala de Casación Civil. No basta simplemente con aplicar un razonamiento analógico; deviene imperioso, obligatorio justificar su aplicación.
En primer lugar, debe existir un vacío normativo sobre un punto de derecho. La Corte no entró a determinar si en el caso objeto de estudio, existía una laguna o vacío normativo, o si por el contrario, simplemente existía un silencio del legislador. Este análisis no es simplemente un tecnicismo, puesto que de él se deriva la viabilidad de recurrir al razonamiento analógico. La analogía procede en caso de vacío o laguna, no en caso de silencio del legislador (Calderón Villegas & López Castro, 2016).
En segundo lugar, la Corte no analizó si existían criterios de comparación adecuados entre los casos:
“Constatar la similitud del caso regulado con el caso no regulado constituye una condición central del razonamiento analógico. Para ello, debe establecerse el criterio de comparación a partir del cual se efectúa el cotejo correspondiente.” (Calderón Villegas & López Castro, 2016, pág. 130).
Si bien en ambos casos estamos ante contratos bancarios, lo cierto es que el contrato de cuenta corriente bancaria y el contrato de cuenta de ahorros no son iguales. Una de sus diferencias esenciales es precisamente que en uno se utiliza un título valor como el cheque. Esa diferencia es un elemento determinante en el contrato, al ser un elemento de la esencia del contrato de cuenta corriente, y a la vez, un elemento completamente ajeno al contrato de depósito en cuenta de ahorros. En consecuencia, la Corte debía analizar si en el caso podía acudirse a una aplicación analógica de la responsabilidad por la adulteración de cheques, a un contrato que, por definición legal, no utiliza los cheques como instrumentos negociables.
En tercer lugar, de acuerdo a la jurisprudencia desarrollada por la Corte Suprema de Justicia, en caso de aplicación analógica, deben desarrollarse argumentativamente las razones que justifican que un caso sea tratado de manera análoga o similar a otro que sí está regulado en la Ley. En nuestra opinión, dicho requisito sí fue cumplido, al menos de manera implícita por la Corte. En efecto, la Corte invoca razones económicas, y sociales para justificar el razonamiento analógico. La alta corporación judicial se refirió a la actividad bancaria como
actividad riesgosa, profesional y que genera utilidades para las entidades bancarias, lo que a su entender justificaba una aplicación de las normas de responsabilidad por adulteración de los cheques, en los contratos de cuenta corriente bancaria.
La omisión en el análisis de la Corte, sobre los presupuestos del razonamiento analógico permiten cuestionar la viabilidad del régimen de responsabilidad bancaria por el fraude electrónico, tanto en un plano teórico, como práctico.
B) Segundo problema: Armonización del régimen de responsabilidad bancaria por fraude electrónico en cuentas de ahorro, con el régimen general de responsabilidad civil contractual por incumplimiento.
En este artículo se ha caracterizado este segundo problema como un problema teórico-jurídico. Dicho problema tiene dos manifestaciones. La primera (B.1), en cuanto al cambio en el entendimiento de las categorías de la responsabilidad contractual por incumplimiento. La segunda manifestación del problema (B.2), se refiere a la incongruencia entre los postulados teóricos del régimen de responsabilidad bancaria por fraude electrónico, con los preceptos legales que regulan la actividad bancaria.
B.1) El cambio en la concepción de las categorías de la responsabilidad contractual por incumplimiento.
El régimen de responsabilidad del banco por el fraude electrónico, desarrollado por la jurisprudencia, genera un problema teórico-jurídico, en el sentido de mostrar un cambio en el entendimiento de categorías jurídicas como el incumplimiento, la culpa contractual y la distinción entre obligaciones de medios y de resultado.
En efecto, la responsabilidad del banco por el fraude electrónico en cuentas de ahorro, es un asunto relativo a la responsabilidad contractual por incumplimiento de obligaciones derivadas del contrato de depósito irregular de dinero en cuentas de ahorro. Sin embargo, este régimen plantea retos y preguntas teórico-jurídicas relacionadas con los elementos de la responsabilidad civil contractual.
En el régimen general clásico de responsabilidad contractual por incumplimiento (tanto en derecho civil, como en derecho comercial), el concepto de incumplimiento se ha entendido en el ordenamiento jurídico colombiano de tres maneras, a saber:
a) incumplimiento por inejecución total de la prestación debida; b) incumplimiento por ejecución tardía de la prestación debida; c) incumplimiento por ejecución imperfecta de la prestación debida2.
En este punto deviene imperioso recordar que, conforme a lo determinado por la doctrina y la jurisprudencia, no todo incumplimiento tiene un título de reproche, es decir, no todo incumplimiento genera responsabilidad contractual del deudor. El incumplimiento justificable no constituye un hecho ilícito y, por tanto, no es susceptible de estructurar la responsabilidad contractual:
“Cuando el deudor no pueda justificar su proceder con base en la intervención de una causal de justificación, el incumplimiento constituye un hecho ilícito, toda vez que estará contaminado por la antijuridicidad o contrariedad del acontecimiento frente al orden jurídico” (Baquero, 2013).
Conforme al régimen general clásico de responsabilidad contractual, para que el incumplimiento sea objeto de reproche, y pueda ser considerado como hecho ilícito susceptible de generar responsabilidad del deudor, se hace necesario estudiar el tipo de obligación, concretamente hablando, si la obligación es de medios, o es de resultado. Para que el incumplimiento sea considerado un hecho ilícito, en ambos tipos de obligaciones se requiere de la culpa del deudor, solo que esta se expresa de manera distinta. En ese sentido, el incumplimiento culpable en las obligaciones de medios consistirá en no ejecutar la debida diligencia que, conforme al arquetipo
2 Artículo 1613 del Código Civil colombiano: “La indemnización de perjuicios comprende el daño emergente y lucro cesante, ya provenga de no haberse cumplido la obligación, o de haberse cumplido imperfectamente, o de haberse retardado el cumplimiento.”
Artículo 1614 del Código Civil: “Entiéndese por daño emergente el perjuicio o la pérdida que proviene de no haberse cumplido la obligación o de haberse cumplido imperfectamente, o de haberse retardado su cumplimiento; y por lucro cesante, la ganancia o provecho que deja de reportarse a consecuencia de no haberse cumplido la obligación, o cumplido imperfectamente, o retardado su cumplimiento”.
contractual, las cláusulas pactadas, la ley y la lex artis corresponda3. Por el contrario, en las obligaciones de resultado, el simple incumplimiento injustificado hace presumir la culpa del deudor, según la jurisprudencia de la Corte Suprema de Justicia4.
Habiendo esbozado escuetamente el funcionamiento general de la responsabilidad contractual, podemos adentrarnos en la problemática planteada al inicio de este apartado, esto es, ¿Por qué el régimen de responsabilidad bancaria por fraude electrónico presenta problemas teórico-jurídicos? La razón, como muestro a continuación puede resumirse en que dicho régimen rompe con las reglas generales de responsabilidad civil contractual que se expusieron en párrafos anteriores. Veamos:
La Corte Suprema de Justicia, en la sentencia antes mencionada de diciembre de 2016, sostiene que la responsabilidad del banco por la defraudación electrónica de los depositantes en cuentas de ahorro es una responsabilidad objetiva, en primer lugar, por la aplicación de la teoría del riesgo creado y por la interpretación analógica con las normas de responsabilidad por adulteración de cheque. Pero además, la Corte sostiene que la obligación del banco de proveer seguridad electrónica para evitar el fraude es una obligación de resultado, no de medios, por lo que el banco no se puede exonerar alegando debida diligencia. Esto significa que un banco no podría eximirse de responsabilidad probando, por ejemplo, que empleó todos los medios disponibles según su capacidad económica e institucional para proveer un sistema seguro para sus clientes.
3 Recuérdese que en responsabilidad contractual, la graduación de culpas deviene en un elemento trascendental a la hora de definir el alcance de la responsabilidad, conforme al artículo 1604 del Código Civil: “El deudor no es responsable sino de la culpa lata en los contratos que por su naturaleza solo son útiles al acreedor; es responsable de la leve en los contratos que se hacen para beneficio recíproco de las partes; y de la levísima en los contratos en que el deudor es el único que reporta beneficio”
4 Ver Corte Suprema de Justicia, Sala de Casación Civil, sentencia del 19 de abril de 1993, M.P Pedro Lafont Pianetta. Para un estudio detallado sobre la materia ver la tesis “La distinción entre obligaciones de medios y de resultado. Análisis de los criterios adoptados por la Corte Suprema de Justicia”, Paola Castañeda Cáceres, Colegio Mayor de Nuestra Señora del Rosario, disponible en: Distinción entre obligaciones de medios y resultado análisis de los criterios adoptados por la Corte Suprema de Justicia
Esta posición rompe con el entendimiento general de la responsabilidad del ordenamiento jurídico colombiano que se ha plasmado con anterioridad. Por el contrario, se acerca más a teorías extranjeras en materia de responsabilidad contractual por incumplimiento. El concepto de incumplimiento como lo habíamos entendido en tres formas o manifestaciones, cambia. La sentencia de la Corte desdibuja la diferencia clásica entre obligaciones de medio y de resultado.
En efecto, para la Corte, lo que determina que la obligación del banco sea de resultado, y no de medios es el hecho de que la entidad pone en riesgo a los clientes y se lucra de su actividad bancaria. Esa posición no tiene un fundamento jurídico en el mundo de la responsabilidad contractual en Colombia. Según nuestras normas de derecho común, las obligaciones no son de medios o de resultado según su conveniencia para una de las partes. Lo que determina si una obligación es de medios o de resultado es su naturaleza misma y no la actividad o beneficio que genera para quien la ejecuta.
La sentencia acá estudiada rompe este entendimiento que desde el derecho romano parecía claro. La Corte se acerca más a un entendimiento de la obligación, en términos de utilidad o satisfacción del interés del acreedor; la obligación se entiende de resultados porque los bancos son entidades poderosas, que ganan dinero al poner en riesgo a sus clientes, y a sus clientes lo que les interesa es que su dinero esté disponible.
Esta posición resulta sumamente interesante, y se alza como un reto de los regímenes responsabilidad contractual por incumplimiento. Lo anterior por cuanto dicho entendimiento de la obligación, se aleja del régimen clásico de responsabilidad contractual por incumplimiento existente en Colombia y se acerca más a teorías de derecho comparado que cada vez adquieren mayor peso. Entre ellas encontramos las teorías de modernización del derecho de contratos (Moreno, 2016), y la teoría de solidarismo contractual (Pico Zúñiga & Rojas Quiñonez, 2013).
Recordemos que de acuerdo a la Ley 1328 de 2009 y la Ley 1480 de 2011, la relación entre banco y depositantes de cuentas de ahorro, es una relación de consumo. Gracias al avance del derecho de consumo y el peso de las teorías de
modernización del derecho de contratos y el solidarismo contractual, el concepto de incumplimiento está cambiando. La visión tradicional de responsabilidad por incumplimiento entendido como inejecución total, ejecución tardía, o ejecución imperfecta, será eventualmente superada por nuevas concepciones de las categorías de incumplimiento, la inejecución, la culpa, el pago y, por qué no, la obligación. De la misma manera, la diferencia entre obligaciones de medio y de resultado, cada vez parecerá más superflua.
En el moderno derecho de contratos, el incumplimiento se entiende toda insatisfacción del interés del acreedor, independientemente de la culpa del deudor:
“En el nuevo modelo de articulación de la responsabilidad contractual, el concepto de incumplimiento es un concepto fundamental. Se caracteriza por su amplitud y por su naturaleza neutra desde el punto de vista de la imputación subjetiva al deudor. Este concepto se construye tomando en cuenta, ante todo, la insatisfacción del interés del acreedor, configurado y garantizado por el contrato”. (Moreno, 2016, pág. 90)
“El incumplimiento expresa la falta de ejecución o de realización del contrato y la consiguiente insatisfacción del interés del acreedor. No exige, en cambio, ningún nivel de imputación subjetiva al deudor (dolo, culpa).” (Moreno, 2016, pág. 92)
A pesar de que el régimen de responsabilidad bancaria por fraude electrónico desarrollado por la Corte utiliza los conceptos de obligación de medios y de resultado, la Corte entiende el incumplimiento en términos de insatisfacción general del acreedor y apela al carácter lucrativo y riesgoso de la actividad bancaria. La Corte ha empezado a dar los primeros pasos para aceptar un cambio en la concepción tradicional del incumplimiento obligacional en los contratos. Este cambio será trascendental en los próximos años, tanto en los contratos domésticos, como en los contratos internacionales.
Esta tendencia de modernización del concepto de incumplimiento se observa en diversos instrumentos internacionales, como por ejemplo Los Principios de Derecho Europeo de los Contratos (PECL), los cuales establecen en su artículo 1:301 (4):
“Incumplimiento significa cualquier falta de ejecución de cualquier obligación del contrato, tanto si es excusable, como si no lo es, e inclusive el cumplimiento retrasado, el cumplimiento defectuoso y la infracción de los deberes de cooperación para alcanzar la plena efectividad del contrato”
Hasta este punto se ha explicado por qué el régimen de responsabilidad del banco por el fraude electrónico, desarrollado por la jurisprudencia, genera un problema teórico-jurídico, en el sentido de mostrar un cambio en el entendimiento de categorías jurídicas como el incumplimiento, la culpa contractual y la distinción entre obligaciones de medios y de resultado.
B.2) La incongruencia del régimen de responsabilidad bancaria por fraude electrónico desarrollado por la Corte, con las normas aplicables a los servicios bancarios.
El régimen de responsabilidad bancaria por fraude electrónico enfrenta otro problema teórico-jurídico, a saber: su incongruencia teórica con la Ley que lo rige. En efecto, la Corte Suprema de Justicia sustentó su opinión según la cual la responsabilidad de los bancos es de carácter objetivo puesto que son entidades que desarrollan una actividad profesional, de manera habitual y que es inherentemente riesgosa. En su entender, estos argumentos, de mano del desarrollo jurisprudencial en relación con la responsabilidad de los bancos por la falsificación o adulteración de los cheques, permitían concluir que, aunque el legislador no lo previó, el régimen de responsabilidad era evidentemente objetivo.
Si bien es cierto que por la importancia económica y social que reviste la actividad bancaria, la Ley es mucho más exigente en cuanto al profesionalismo y diligencia exigida a las sociedades comerciales que la ejecuten, no menos cierto es que de ello no se puede deducir que su responsabilidad sea de carácter objetivo. En efecto, ni la Ley lo dispuso in expreso, ni se logra deducir de la misma.
El artículo 3 de la Ley 1328 de 2009 establece el principio de debida diligencia de las entidades financieras:
“Las entidades vigiladas por la Superintendencia Financiera de Colombia deben emplear la debida diligencia en el ofrecimiento de sus productos o en la prestación de sus servicios a los consumidores, a fin de que estos reciban la información y/o la atención debida y respetuosa en desarrollo de las relaciones que establezcan con aquellas, y en general, en el desenvolvimiento normal de sus operaciones. En tal sentido, las relaciones entre las entidades vigiladas y los consumidores financieros deberán desarrollarse de forma que se propenda por la satisfacción de las necesidades del consumidor financiero, de acuerdo con la oferta, compromiso y obligaciones acordadas. Las entidades vigiladas deberán observar las instrucciones que imparta la Superintendencia Financiera de Colombia en materia de seguridad y calidad en los distintos canales de distribución de servicios financieros.”
Así mismo, el artículo 5, literal a de la misma norma, en relación con los derechos de los consumidores financieros preceptúa:
“a) En desarrollo del principio de debida diligencia, los consumidores financieros tienen el derecho de recibir de parte de las entidades vigiladas productos y servicios con estándares de seguridad y calidad, de acuerdo con las condiciones ofrecidas y las obligaciones asumidas por las entidades vigiladas.”
Finalmente, el artículo 7 de la misma norma, en su literal b, relativo a los deberes de las entidades financieras dispone:
“b) Entregar el producto o prestar el servicio debidamente, es decir, en las condiciones informadas, ofrecidas o pactadas con el consumidor financiero, y emplear adecuados estándares de seguridad y calidad en el suministro de los mismos.”
Las anteriores citas son importantes, por cuanto la norma se refiere explícitamente al “principio de debida diligencia” en la prestación de los servicios. Según el régimen creado por la Corte, estos factores de debida diligencia son irrelevantes. Para la Sala, sin importar el tipo de banco de que se trate, ni el tipo de servicio de banca electrónica que se ofrezca, el banco siempre debe responder por los fraudes electrónicos, salvo que se demuestre la culpa de la víctima, es decir, del titular de la cuenta.
Según esta lógica, no importa qué tan bueno sea el sistema de banca electrónica que haya creado el banco para atraer más clientes, ni qué tan seguro sea el mismo, si fue objeto de fraude electrónico, ya sea por un hacker o cualquier otro tipo de ciber crimen, el banco es quien está llamado a responder. Si ello es así, surge la pregunta: ¿Por qué la Ley habla de debida diligencia en la prestación de servicios de los bancos, si para la jurisprudencia, la debida diligencia de la entidad bancaria no es factor relevante en materia de responsabilidad contractual por fraude electrónico? Se concluye entonces que existe, como se afirmó, una incongruencia entre la teoría de la Corte y los preceptos normativos vigentes.
En diversos pronunciamientos en ejercicio de función jurisdiccional, la Superintendencia Financiera de Colombia ha ratificado la vigencia del principio de debida diligencia:
“En armonía con lo anterior, se contemplan unos requerimientos mínimos de seguridad y calidad para la realización de operaciones, contenidos en el Capitulo XII del Titulo I de la Circular Básica Jurídica No. 007 de 1996 de la Superintendencia Bancaria -hoy Financiera de Colombia-, que deben asegurar las entidades financieras según el tipo de canal que ponen a disposición de sus clientes. La implementación, operatividad y eficacia de dichos requerimientos, fuerza decirlo, integra las obligaciones de la entidad financiera. Con estas se busca mitigar los riesgos naturales y propios de la actividad que asume en su ejercicio profesional y de la que consecuentemente se beneficia, sin que -en todo caso- se entienda dispensada de adoptar otros mecanismos adicionales que resulten más
adecuados para minimizar la ocurrencia de situaciones que afecten el normal desarrollo de sus operaciones o representen peligro para el cumplimiento de sus obligaciones contractuales con los consumidores financieros. De esta manera, la ejecución del contrato impone precisos deberes de diligencia a las partes contratantes, determinados por aspectos tales como la utilidad que éste les reporta, experiencia, profesionalismo, poder negocial, ubicación en el contrato, etc.”5
De lo anterior se concluye que, aunque no lo enuncia expresamente, el espíritu del legislador en materia de responsabilidad bancaria por fraude electrónico se acerca más a un régimen de responsabilidad subjetivo, que objetivo. Ello se traduce en la exigencia de unos estándares mínimos de seguridad electrónica a las entidades bancarias, es decir, una debida diligencia. Así incluso se plasma en la Circular Básica Jurídica (029/2014), en la cual se establece:
“2.3.4.8. (…) Las entidades que ofrezcan servicio de acceso remoto para la realización de operaciones monetarias deben contar con un módulo de seguridad de hardware para el sistema, que cumpla al menos con el estándar de seguridad FIPS-140-2 (Federal Information Processing Standard), el cual debe ser de propósito específico (appliance) totalmente separado e independiente de cualquier otro dispositivo o elemento de procesamiento de información, de seguridad informática, de transmisión y/o recepción de datos, de comunicaciones, de conmutación, de enrutamiento, de gateways, de servidores de acceso remoto (RAS) y/o de concentradores.”
De todo lo anterior se colige que la Corte Suprema de Justicia ha establecido un régimen e responsabilidad objetivo de las entidades bancarias por fraude electrónico, en abierta oposición a los preceptos legales que rigen la prestación de los productos y servicios bancarios. Ello no solamente es criticable desde el punto
5 Superintendencia Financiera de Colombia, Delegatura para Funciones Jurisdiccionales, 20 de enero de 2014, disponible en: https://insolvencia.co/responsabilidad-de-la-entidad-financiera-ante-fraudes- electronicos-fallo-del-20-de-enero-de-2014/. Véase también el Concepto 2009002916-001 del 2 de febrero de 2009.
de vista jurídico, sino que, como se mostrará a continuación tiene efectos adversos desde un análisis económico del derecho.
C) Tercer problema: Consecuencias adversas del análisis económico del régimen de responsabilidad bancaria por fraude electrónico y la experiencia norteamericana.
Como todo actor de un mercado de competencia libre, las entidades bancarias compiten entre ellas en aras de atraer a los clientes y con ellos, a sus recursos para captación. Con el fin de persuadir al usuario, es normal que los bancos ofrezcan productos y servicios diversos. En el caso de depósitos irregulares, beneficios como por ejemplo, el tamaño de la red bancaria, el costo del retiro del dinero, beneficios secundarios como productos y descuentos en tiendas, entre otros beneficios que dependerán del marketing que desarrolle cada entidad. Un elemento que atrae tanto a clientes naturales como empresariales son los servicios de banca en línea. Estos servicios generan comodidad, evitan desgaste y agilizan las transacciones de los clientes. Evidentemente, para estos servicios se requiere un software y un hardware específico que el banco ofrece a sus usuarios, a través de plataformas, servicios virtuales, entre otros.
La calidad, agilidad y seguridad del software dependerá de la inversión que el banco haya hecho, la cual a su vez depende de las posibilidades económicas, del tamaño del banco, de su poder en el mercado, entre otros. Existen bancos que prestan un mejor servicio que otros, como sucede en cualquier otro tipo de mercado.
Al acudir a otras legislaciones, con el objetivo de observar cuál ha sido su posición respecto a la responsabilidad de los bancos por el fraude electrónico, deviene trascendental el ejemplo norteamericano. En efecto, de conformidad con la legislación y el precedente, el régimen es ampliamente distinto.
En primer lugar, de acuerdo al Uniform Commercial Code (4-202), el banco debe garantizar unos mínimos en cuanto a la seguridad, por ejemplo, relativos a lograr la plena identidad del usuario. Si el banco ha cumplido con ello, el riesgo por cualquier pérdida derivada de un fraude electrónico reside en cabeza del cliente. No obstante,
de acuerdo al desarrollo jurisprudencial, para que los bancos sean objeto de este beneficio, el procedimiento y sistema de seguridad que implanten debe garantizar ser comercialmente razonable (“commercially reasonable”).
Como se puede observar, el término “commercially reasonable” es profundamente etéreo, y bien podría clasificarse como un concepto jurídico indeterminado. Es aquí donde la labor pretoriana de los jueces anglosajones ha prestado un servicio vital para delimitar el alcance de la responsabilidad de los bancos por el fraude electrónico. Los jueces, a su vez, han tenido que apelar a las guías de un organismo gubernamental: el Consejo para el examen de las instituciones financieras federales (FFIEC por sus siglas en inglés). Conforme a esas guías se han desarrollados parámetros o estándares mínimos que deben cubrir los sistemas de seguridad electrónica de los bancos, de cara a permitir su exoneración de responsabilidad ante fraudes electrónicos (Burrow, 2017).
A pesar de la trascendental importancia que tienen las guías de la FFIEC, ellas tan solo son recomendaciones, que sirven de parámetro, más no son vinculantes. Corresponde a los Jueces determinar en cada caso, si se cumplieron con los estándares mínimos para garantizar la seguridad electrónica de los clientes de las entidades financieras. Aunque, importante es aclarar que por precedente, los jueces norteamericanos se han apegado a las directrices de la FFIEC, puesto que no tienen otro estándar desde donde puedan juzgar si un sistema de seguridad podría ser considerado “Commercially reasonable” (Burrow, 2017).
Para los jueces norteamericanos resulta insensato declarar responsables y generar un reproche a los bancos por no tener el sistema de seguridad más fuerte e infalible, pues ciber ataques y fraudes existirán siempre. En su entender, los bancos deben garantizar unos mínimos de seguridad, fijados por una entidad independiente, que aunque no son de obligatorio cumplimiento, en caso de fraude los eximen de responsabilidad.
Así se determinó en el pleito suscitado entre Experi-Metal Inc. Vs Comercia Bank, caso en el cual la Corte de Distrito de Apelaciones decidió que toda vez que no se habían cumplido con las guías de la FFIEC, no se había cumplido con la obligación
de brindar un servicio de banca electrónica seguro y, en consecuencia, el banco era responsable del fraude sufrido por el cliente, pues se había incumplido la obligación de cuidado dispuesta en el artículo 4-202 del UCC (Burrow, 2017).
Nótese de qué manera el régimen creado por el derecho norteamericano varía ampliamente al régimen colombiano creado por la Corte Suprema de Justicia. La desconfianza hacia los bancos y sobreprotección al consumidor financiero son los derroteros que han servido de fuente para determinar que en Colombia los bancos son siempre responsables del fraude electrónico, salvo en caso de culpa de la víctima. Se pretende exigir a los bancos el máximo nivel de seguridad, pero ni siquiera se determina cuál es el parámetro para establecer ese nivel de seguridad. Ello se traduce en la exigencia a los bancos de obligaciones que no siempre estarán en capacidad de cumplir.
En Colombia, no todos los bancos tienen la capacidad para montar un sistema de seguridad infalible (suponiendo que ese sistema exista en el mundo). Pero aun así, conforme al régimen actual de responsabilidad creado por la Corte, el título de reproche y de imputación persistirá, bajo el argumento de que los bancos decidieron asumir ese riesgo al tratar de brindar mayores comodidades a sus usuarios y el argumento de que se están lucrando con ello (Saade, 2012).
El régimen de responsabilidad bancaria por fraude electrónico al que le ha abierto la puerta la Corte Suprema de Justicia es sobreprotector del consumidor. Parte de una visión recelosa de la actividad bancaria que impone obligaciones que no siempre podrán cumplir y que les imputa el riesgo en caso de incumplimiento. Es un régimen que incluso se aleja por completo de los derroteros de la Ley 1328 de 2009, pues la Ley exige a los bancos un deber de diligencia, unas condiciones de seguridad que, aunque no caracteriza a profundidad, permite entrever que se está refiriendo a un factor subjetivo de imputación, no objetivo.
En ese sentido, el ordenamiento norteamericano, que debería ser mucho más suspicaz y celoso con los bancos por la historia económica de las crisis financieras, es mucho más prudente en el establecimiento del régimen de responsabilidad por fraude electrónico ¡Qué ironía!
Esta sobreprotección legal al consumidor financiero es problemática en términos económicos (Zárate, 2014), pues resulta insensato y antieconómico hacer a los bancos titulares de todo riesgo relacionado con la banca, pues eso genera efectos adversos. Entre esos efectos adversos pueden enunciarse el hecho de que torna lento el proceso de bancarización, aumenta los costos de transacción y abre la puerta a la inseguridad jurídica. Para los bancos, no habrá incentivo en fomentar las tecnologías de la comunicación y la información para las transacciones de sus clientes, pues el riesgo es demasiado alto. Eso afecta no solo a las entidades bancarias, sino a los clientes y el público en general, sin mencionar las desventajas que para la administración pública implica, especialmente las autoridades tributarias.
Conclusiones
La actividad bancaria es una actividad comercial pero también es de interés público y un servicio público esencial. Así mismo, en virtud de lo dispuesto en la Ley 1328 de 2009 y la Ley 1480 de 2011, las relaciones de los bancos con sus clientes son relaciones de consumo.
La Corte Suprema de Justicia ha creado un régimen de responsabilidad bancaria por fraude electrónico deducido analógicamente, transgrediendo los requisitos que ella misma ha exigido para la creación de subreglas jurídicas mediante la analogía legis.
Por otro lado, dicho régimen de responsabilidad de origen pretoriano plantea un reto en materia de obligaciones y principios generales de responsabilidad contractual. En efecto, el régimen de responsabilidad bancaria desecha los conceptos de a) obligación de medio y de b) ‘debida diligencia’ de las entidades bancarias como presupuesto de la responsabilidad contractual.
Mientras ayer tenía sentido que distinguiéramos obligaciones de medio y de resultado en sede de responsabilidad contractual bancaria, este fallo nos demuestra que dicha distinción cada vez es más superflua, puesto que lo que interesa, finalmente es la satisfacción real del interés del consumidor financiero. Esta posición
no tiene justificación en nuestro ordenamiento positivo, pero es el resultado de la influencia de las doctrinas extranjeras sobre la modernización del derecho de los contratos.
El régimen de responsabilidad bancaria ha abierto las puertas a una nueva concepción de las categorías de responsabilidad contractual, atendiendo a los procesos de modernización del derecho de las obligaciones y los contratos. Este reto no solo afectará el derecho del consumidor financiero, sino el régimen general de las obligaciones y el régimen general de los contratos, tanto públicos como privados.
Así mismo, el régimen de responsabilidad bancaria creado por la Corte, se caracteriza por ser un título de imputación objetivo. Este presupuesto creado jurisprudencialmente rompe groseramente con las disposiciones legales que regulan la prestación de los productos y servicios financieros, disposiciones que se asientan en una exigencia de ‘debida diligencia’ de las entidades bancarias (Ley 1328 de 2009). De esta manera, en abierta oposición a la voluntad del legislador, la jurisprudencia de nuestro máximo tribunal de la jurisdicción ordinaria, ha cambiado el régimen de responsabilidad contractual y ha desechado la posibilidad de estudiar la culpabilidad de la entidad bancaria a la hora de estructurar su responsabilidad. Con ello, se transgredió el principio general de responsabilidad con culpa que cimentaba nuestro ordenamiento jurídico.
Finalmente, en términos de seguridad jurídica y análisis económico del derecho, el régimen de responsabilidad bancaria por fraude electrónico creado por la Corte Suprema de Justicia se torna preocupante. En efecto, este régimen genera un retroceso en el proceso de bancarización electrónica en Colombia. Ello se materializa principalmente en el hecho de que para las entidades bancarias no hay incentivos en generar instrumentos de banca electrónica, pues en virtud del régimen de responsabilidad que tienen ahora, el riesgo es demasiado alto. Al final, todo ello termina afectando al consumidor financiero. Es por esto que se concluye que la decisión de la Corte Suprema de Justicia, de crear un régimen objetivo de responsabilidad bancaria por fraude electrónico es sumamente desafortunada.
Bibliografía
Acosta, W. L. (2001). Introducción al análisis de la economía política colombiana.
Bogotá: Ibáñez.
Anaya, C. P. (2012). Riesgos en las transacciones electrónicas bancarias. Un carga que debe ser asumida por la banca. E mercatoria, Vol. 11(N° 1).
Azuero, S. R. (1990). Contratos bancarios: su significación en América Latina.
Bogotá: Legis.
Baquero, é. R. (2013). El incumplimiento obligacional y sus aspectos probatorios.
En É. R. Baquero, Obligaciones y contratos (págs. 287-408). Bogotá: Universidad del Rosario.
Burrow, R. (2017). Increased bank liability for online fraud. North Carolina Banking Institute, 17, 382-400.
Calderón Villegas, J. J., & López Castro, Y. (2016). La analogía en asuntos de derecho privado. Bogotá: Universidad del Rosario.
Medina, D. E. (2008). El derecho de los jueces. Bogotá: Legis. Mora, C. H. (2017). Pobreza & Prejuicio. Bogotá: Planeta.
Moreno, A. M. (2016). Claves de la modernización del derecho de contratos.
Bogotá: Ibáñez.
Pico Zúñiga, F. A., & Rojas Quiñonez, S. A. (2013). Solidarismo contractual.
Bogotá: Ibáñez.
Saade, C. P. (2012). Riesgos en las transacciones electrónicas bancarias. Una carga que debe ser asumida por la banca. E-mercatoria, Vol. 11(N° 1).
Villegas, J. J. (2013). La constitucionalización del derecho privado: la verdadera historia del impacto constitucional en Colombia. Bogotá: Temis.
Zárate, A. R. (enero-junio de 2014). Análisis económico de la responsabilidad bancaria frente a los fraudes electrónicos: el riesgo provecho, el riesgo creado y el riesgo profesional. Universitas(128), 285-314.
