Blog

En Colombia ha sido común en el sistema financiero que cuando un usuario bancario, por ejemplo via Pishing experimenta un hurto de dinero vía electrónica, la pérdida económica resultado del hurto informático sea asumida por esta persona.

La postura del sistema financiero ha sido que la perdida debe ser asumida por el usuario en la medida que el delito es resultado de su falta de cuidado, imprudencia y negligencia al suministrar sus datos personales (nombre de usuario y claves privadas) registrados en las plataformas transacciones del banco a terceros inescrupulosos que vía portales web falsos los obtienen para fines defraudatorios.

La mayoría de las discusiones de este tipo son abordadas de forma directa, es decir, entre el usuario del sistema financiero y el respectivo banco; en ocasiones los bancos al investigar encuentran que existieron vulnerabilidades en sus sistemas que dan lugar a compartir la perdida; pero en la mayoría de los casos, la postura se orienta a imputar la totalidad de la perdida al usuario.

En ocasiones los usuarios desisten de iniciar acciones legales, sea por la lentitud del sistema judicial o bien por los costos en tiempo y dinero que significa el intento de discutir ante los jueces casos como el expuesto; lo que determina la ausencia de pronunciamientos judiciales.

Esta realidad, a partir de la reciente sentencia SV 18.614 de la Corte Suprema de Justicia de Colombia, sienta un precedente importante en relación con la responsabilidad de quienes tratan datos personales en sus sistemas de información, si bien la sentencia aborda una problemática particular referida al sector bancario, no es menos cierto que tendrá implicaciones frente a la gestión de incidentes de seguridad en el ambiente de las organizaciones, sean privadas o públicas.

Básicamente la sentencia analiza si debe endilgarse responsabilidad a la entidad bancaria por el fraude en la cuenta de ahorro del usuario, realizado a través de la plataforma informática del banco, considerando la específica y profesional función de cuidado y custodia del dinero.

Pienso que es pertinente que cada empresa, según su propia realidad económica, reflexione sobre una eventual decisión de una corte sobre una vulnerabilidad en sus sistemas de información que llegue a configurar un incidente de seguridad y que el mismo tenga repercusiones jurídicas.

La Corte Suprema de Justicia señala dentro de los aspectos más relevantes que la operación bancaria implica un deber especial de diligencia en virtud de la confianza pública depositada, su particular responsabilidad civil y el beneficio económico que reporta su especializada actividad financiera. Así mismo, señala que los contratos deben ejecutarse conforme el principio de buena fe, y que las partes se obligan no solo a lo pactado, sino también respecto de todo aquello que es de la esencia del objeto contratado; tal como lo señalan las normas comerciales.

Indica la Corte Suprema en su sentencia que la Responsabilidad Bancaria solo desaparece por culpa imputada y probada del usuario del sistema financiero.

En el análisis probatorio la Corte califica que existió una orfandad probatoria por parte del banco en la demostración de los controles que impedían materializar los riesgos originados en las transacciones electrónicas que realizan los usuarios en los sistemas de información del banco. Cabe preguntarse en un escenario paralelo, referido a un incidente de seguridad de la información que comprometa datos personales en cualquier otro sector económico, si nuestras organizaciones están en capacidad de demostrar la existencia de controles adecuado, según el riesgo y en atención al tipo de información personal tratada, por ejemplo, historias clínicas, datos sensibles, datos de menores de edad, entre otros.

Indica la Corte en el caso en estudio que, incluso la demostración de medidas extremas de seguridad en las transacciones electrónicas, sin demostrar la culpa del usuario mantiene el deber de reparar el perjuicio causado. La Corte ante la ausencia de prueba sobre la responsabilidad de la víctima del fraude en el ambiente de sistema transacciones del banco sentencia que si el fraude no fue resultado de la culpa del usuario, cualquier persona pudo sufrirlo, por tanto, es un deber inexcusable del banco precaverlo.

La Corte en atención al aforismo romano Ubi Emolumentum, iba incomoda, establece que el banco debe responder y resarcir el dinero a la víctima en atención al especial deber de seguridad y custodia que tiene.

La reflexión originada en esta sentencia, teniendo presente la vigente obligación legal de gestionar y reportar incidentes de seguridad que comprometan la seguridad y protección de datos personales, invita a que las empresas analicen qué tan preparadas están para evidenciar Responsabilidad Demostrada frente al tratamiento de datos personales; respuesta que será trascendental frente a la obligación general de responsabilidad y el principio de indemnización de daño que ya se cierne en el entorno de la protección de la información personal.

Ha sido escaso el desarrollo jurisprudencial sobre situaciones como la expuesta, pues la mayoría de las discusiones sobre incidentes de seguridad en los sistemas de información empresariales eran de costumbre en el sistema financiero.

Cuando un usuario del sistema financiero experimenta un fraude informático, resultado de una conducta como el pishing, mediante la cual este ingresa los datos personales (nombre de usuario y clave secreta) a una página web idéntica a la plataforma informática, a través de la cual realiza de forma habitual sus transacciones.

La Corte Suprema de Colombia en reciente sentencia SV 18.614 estableció que un banco colombiano era responsable de indemnizar los perjuicios sufridos por una empresa usuario del banco, como resultado de un fraude informático mediante una práctica de pishing, mediante la cual le fueron hurtados 124 millones de pesos.

Arean Velasco Melo MsID