SUPERINTENDENCIA FINANCIERA DE COLOMBIA
REPÚBLICA DE COLOMBIA SUPERINTENDENCIA FINANCIERA DE COLOMBIA DELEGATURA PARA FUNCIONES JURISDICCIONALES
ACCIÓN DE PROTECCIÓN AL CONSUMIDOR ARTÍCULOS 57 y 58 DE LA LEY 1480 DE 2011 y 24 DE LA LEY 1564 DE 2012.
Radicado interno: XXXX
506 Jurisdiccionales
23 Fallo
Expediente: XXXX Demandante: XXXX Demandado: XXXX
Asunto: AUDIENCIA PÚBLICA – PROCESO VERBAL SUMARIO DE MAYOR CUANTÍA.
En Bogotá, a 23 días del mes de julio de 2014, siendo las 2:30 p.m., fecha y hora señaladas en audiencia del pasado 3 de junio (fls. 221 y 222) para continuar con el trámite respectivo dentro de la acción de protección al consumidor de la referencia, la Delegatura para Funciones Jurisdiccionales se constituye en audiencia pública para los efectos correspondientes, disponiendo el registro de lo actuado de conformidad con lo previsto en el numeral 5 del artículo 432 del Código de Procedimiento Civil, cuyo archivo hace parte integral de la presente acta. Asiste la diligencia Claudia Marcela Gómez Vásquez, profesional especializado de la misma Delegatura.
(…)
SENTENCIA
Procede la Delegatura para Funciones Jurisdiccionales de la Superintendencia Financiera de Colombia, bajo la perspectiva del régimen de protección al consumidor financiero, a resolver en derecho la controversia surgida de la relación contractual entre la sociedad XXXX y XXXX
I. ANTECEDENTES Y ACTUACIÓN PROCESAL
La sociedad XXXX, en ejercicio de la acción de protección al consumidor, presentó demanda en contra del XXXX en procura de que éste le reconozca y pague: (i) la suma de $352’129.860, correspondientes a 12 operaciones efectuadas los días 15 y 16 de mayo de 2013, a través de las cuales se debitaron recursos depositados en la cuenta corriente de la que es titular la sociedad demandante, (ii) los costos asociados a las mismas (Impuesto al Gravamen Financiero, comisiones e Impuesto al Valor Agregado) y, (iii) el interés bancario corriente calculado desde el 15 de mayo de 2013 hasta la fecha del reintegro, teniendo en cuenta “la tasa pasiva de interés más alta que aplique al instrumento de colocación bancario que posea XXXX durante el periodo”.
Indica que el representante legal de la sociedad se enteró de las mencionadas operaciones después de recibir varios correos electrónicos por parte del Banco el 15 de mayo de 2013, que no fueron objeto de alarma, en los cuales se le informaba de la creación de lotes para el pago de facturas y del posterior pago de los mismos. Cuando recibió un correo denegando una operación, el 16 de mayo de 2013, se comunicó con la contadora de la empresa y posteriormente con el Banco, para averiguar por tal situación. La abogada de la compañía se dirigió a una sucursal en la entidad, para solicitar el bloqueo para el débito de la cuenta, que se produjo en la misma fecha, así como el reintegro correspondiente, petición ésta última que no fue acogida por el Banco, aduciendo que el cliente fue afectado por una modalidad de fraude denominada “PHISHING”.
Mediante providencia de 25 de noviembre de 2013 fue admitida la demanda (fl. 112), ordenando su notificación al XXXX, quien dio oportuna contestación, admitiendo lo relacionado con la relación
Calle 7 No. 4 – 49 Bogotá D.C. Conmutador: (571) 5 94 02 00 – 5 94 02 01 www.superfinanciera.gov.co
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
contractual existente entre las partes, la reclamación formulada por la sociedad demandante y la recuperación de parte de los dineros así debitados de la cuenta, y negando los restantes hechos, al tiempo que propuso las excepciones de mérito que denominó “Culpa de la sociedad demandante” y “hecho de un tercero”.
Por no existir acuerdo conciliatorio y al no observar causal de nulidad que pudiera afectarlo, esta Delegatura continúo el curso del proceso, surtiendo todas las etapas que le son propias y que concluyen en la fecha con la decisión correspondiente, previa la presentación de las conclusiones de las partes.
II. CONSIDERACIONES 1. Competencia y presupuestos
Esta Delegatura es competente para conocer del conflicto surgido entre las partes, en ejercicio de la acción de protección al consumidor, toda vez que se trata de una controversia relacionada con la ejecución y cumplimiento de las obligaciones emanadas de la relación contractual establecida entre XXXX, como consumidor financiero y el XXXX, entidad vigilada por esta Superintendencia (fl. 112 a 114). Adicionalmente se encuentra habilitado el elemento temporal a que alude el numeral 3o del artículo 58 de la Ley 1480 y no se observa causal alguna de nulidad que pueda invalidar lo actuado, por lo que la presente instancia finalizará con un pronunciamiento sobre el fondo del litigio.
2. Problema Jurídico
¿Se predica un incumplimiento contractual de XXXX por las 12 operaciones efectuadas los días 15 y 16 de mayo de 2013, a través de las cuales se debitaron recursos depositados en la cuenta corriente de la que es titular la sociedad demandante, quien afirma no haberlas efectuado ni autorizado?
Para resolver el problema así planteado, la Delegatura analizará, de manera general, el contrato de depósito y su régimen de responsabilidad, lo que le permitirá avocar el caso concreto.
3. Características generales del contrato de depósito y el régimen de responsabilidad
El contrato de depósito en cuenta de corriente constituye un depósito irregular, por el cual, el establecimiento bancario adquiere la propiedad de las sumas o especies dinerarias depositadas, obligándose a restituir su equivalente, junto con los intereses estipulados, al depositante o a quién éste designe cuando le sea solicitado o acaezca la condición o plazo acordados.
El contrato así suscrito se encuentra enmarcado en dos escenarios de clara y expresa protección constitucional, el del derecho del consumidor previsto por el artículo 78 de la Carta y el ejercicio de la actividad financiera, de evidente interés público como lo establece el artículo 335 ibídem. Bajo dicho marco, la ejecución del contrato impone precisos deberes de diligencia a las partes contratantes, determinados por aspectos tales como la utilidad que éste les reporta, experiencia, profesionalismo, poder negocial, ubicación en el contrato, etc.
A este respecto, la Corte Suprema de Justicia en sentencia del once (11) de marzo de dos mil diez (2010) señaló que “(…) ha sido criterio constante de esta Corporación considerar que las instituciones
financieras, y particularmente las bancarias, están sujetas a un especial régimen de responsabilidad civil frente a los daños que puedan sufrir los clientes o usuarios de sus servicios, el que ha estado presidido, entre otros, por lineamientos tales como que dichos establecimientos son empresarios profesionales que se consideran expertos en la intermediación financiera; que reciben una especial habilitación del Estado para desarrollar su actividad en virtud de la confianza que se deposita en ellos al conferirles la posibilidad de manejar el ahorro del público, por lo que surgen a su cargo especiales deberes de diligencia; que en las operaciones de captación de recursos ordinariamente celebran contratos de depósito irregular en los que el banco se convierte en titular de los recursos transferidos y asume, por ende, obligaciones de resultado para efectos de su restitución; y, finalmente, que en su labor deben administrar diversos riesgos (de falsificación de títulos, de indebidas intromisiones informáticas, etc.) respecto de los cuales no es admisible su traslado sin formula de juicio a los ahorradores o cuentahabientes, menos aún a través de estipulaciones
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
contractuales que contengan exoneraciones totales de responsabilidad que el ordenamiento aplicable proscribe expresamente (art. 98, num. 4.1, inc. 2°, del Estatuto Orgánico del Sistema Financiero) y que la jurisprudencia igualmente ha censurado.” (Corte Suprema de Justicia, Sala de Casación Civil. Tutela 2010-00320. MP. Arturo Solarte Rodríguez).
Así las cosas, en torno al estándar de conducta propio de las entidades financieras, la ejecución de las operaciones que les corresponden debe estar precedida y acompañada por un conjunto de medidas tuitivas, de precaución e información dispuestas para salvaguardar el interés público que la actividad financiera comporta, exigibles en el ámbito contractual por virtud de lo establecido en los artículos 38 de la Ley 153 de 1887, 871 del Código de Comercio y en la Ley 1328 de 2009, y que son correlato del derecho de los usuarios a recibir productos y servicios con estándares de seguridad y calidad (literales a del artículo 5° y b artículo 7° de la Ley 1328 de 2009); así, el artículo 5° de la misma Ley 1328 consagra un conjunto de derechos vigente “durante todos los momentos de su relación con la entidad vigilada”.
En armonía con lo anterior, se contemplan unos requerimientos mínimos de seguridad y calidad para la realización de operaciones, contenidos en el Capítulo XII del Título I de la Circular Básica Jurídica No. 007 de 1996 de la Superintendencia Bancaria – hoy Financiera de Colombia, que deben asegurar las entidades financieras según sea el canal e instrumento para la realización de operaciones puestos a disposición de sus clientes. La operatividad de dichos requerimientos integra las obligaciones de la entidad financiera, pues con estos se pretenden mitigar los riesgos naturales y propios de la actividad, que asume en su ejercicio profesional y de la que consecuentemente se beneficia, sin que – en todo caso – se entienda dispensada de adoptar otros mecanismos adicionales que resulten más adecuados para minimizar la ocurrencia de situaciones que afecten el normal desarrollo de sus operaciones o representen peligro para el cumplimiento de sus obligaciones contractuales para con los consumidores financieros.
Es así como se contempla en la citada Circular Básica Jurídica como requerimientos mínimos de seguridad y calidad para la realización de operaciones, (i) “Establecer procedimientos para el
bloqueo de canales o de instrumentos para la realización de operaciones, cuando existan situaciones o hechos que lo ameriten o después de un número de intentos de accesos fallidos por parte de un cliente, así como las medidas operativas y de seguridad para la reactivación de los mismos.” y, (ii) “Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la confirmación oportuna de las operaciones monetarias que no correspondan a sus hábitos” (numerales 3.1.12 y 3.1.13.)
Así las cosas, si bien el ejercicio de la actividad financiera genera un régimen especial de responsabilidad en sus relaciones contractuales, esto no significa que el consumidor financiero esté autorizado, ni le sea permitido, incumplir las obligaciones a su cargo, máxime si se tiene en cuenta que lo que se está en juego es su propio patrimonio. A este respecto, cabe señalar que el artículo 6° de la Ley 1328 de 2009, prevé como buenas prácticas de protección propias del consumidor financiero: (i) hacer buen uso de la cuenta, (ii) revisar “los términos y condiciones del respectivo contrato y sus anexos” y, (iii) “observar las instrucciones y recomendaciones que imparta la entidad vigilada sobre el manejo de productos o servicios financieros”, sin perjuicio del cumplimiento de las obligaciones especiales pactadas en el respectivo contrato, siempre y cuando ellas no correspondan a cláusulas abusivas que limiten o restrinjan los derechos del consumidor o exoneren, limiten o atenúen la responsabilidad de la entidad financiera (literal d y parágrafo del artículo 11 de la Ley 1328 de 2009).
A este respecto, la Corte Suprema de Justicia, en sentencia ya citada, señaló que “el particular régimen que se ha reseñado no comporta, ni mucho menos, un sistema de responsabilidad absoluta en contra de la entidad bancaria, ni una indebida generalización de los criterios objetivos de imputación, pues es bien sabido que la institución financiera puede ejercer su derecho de defensa en orden a desvirtuar algunos de los presupuestos de la pretensión indemnizatoria, y en ese sentido, aunque en ocasiones no le sea admitido acreditar su propia diligencia –caso del incumplimiento de obligaciones de resultado–, siempre podrá desplegar una amplia labor en el campo probatorio para acreditar, v.gr., que el perjuicio reclamado no ha existido o que la causa del daño que se le imputa no se encuentra en sus acciones u omisiones sino en la conducta exclusiva del cuentacorrentista o de sus vinculados o, en fin, que el daño ha sido consecuencia de un evento imprevisible e irresistible, ajeno, además, al círculo de control que corresponda a su actividad (…)”
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
Bajo los anteriores lineamientos, la Delegatura para Funciones Jurisdiccionales resolverá en derecho la controversia planteada como ha quedado identificada, con base en las pruebas oportuna y debidamente aportadas al proceso.
4. El caso en concreto
En el presente asunto no se somete a discusión que: (i) en el año 2011, XXXX, por intermedio de su representante legal ALI VILLAFRANCA FANYTEN, celebra con XXXX el contrato de cuenta corriente bancaria N° *****11866, (ii) el 14 de mayo de 2013, el señor VILLAFRANCA FANYTEN recibió un correo electrónico en el que le informaban que la cuenta empresarial había vencido el 13 de mayo de 2013 y que debía ingresar a un link indicado para acceder de manera segura al portal Web de XXXX, (iii) el señor VILLAFRANCA FANYTEN accedió al mencionado link y suministró el NIT de la empresa, su documento de identidad y la clave de acceso al portal, (iv) los días 15 y el 16 de mayo de 2013, se efectuaron 12 operaciones débito con cargo a los recursos de la mencionada cuenta corriente, (v) el 16 de mayo de 2013 la sociedad demandante informó al Banco de las operaciones realizadas en su cuenta corriente, (vi) el Banco remitió información a la entidad demandante con el nombre de las personas beneficiarias de dichas transferencias, (vii) el 27 de mayo de 2013 se realizó una reunión con representantes de ambas partes para tratar el asunto que es objeto de esta demanda, en la cual XXXX manifestó a la sociedad demandante que no atendería positivamente su solicitud de reintegro de las sumas de dinero debitadas de la cuenta corriente en comento, posición que se ratificó en comunicación de 2 de julio de 2013, (viii) XXXX ha acreditado a la fecha la suma de $40’229.384, del total de los recursos debitados de la cuenta corriente de la sociedad demandante, que fueron abonados en los meses de mayo a agosto de 2013, por lo que la reclamación actual de la sociedad demandante asciende a la suma de $352’129.860; hechos se declararon probados en la audiencia celebrada el pasado 14 de marzo (Disco compacto obrante a fl. 169, a partir de las 11:54:29 horas de la grabación correspondiente).
Las mencionadas operaciones se describen a continuación, con apoyo en las documentales que obran en proceso, especialmente del “REGISTRO DE OPERACIONES DÍA 15 Y 16 DE MAYO 2013” (fl. 68), la comunicación de la entidad de 2 de julio de 2013 (fl. 82), el extracto de la cuenta corriente objeto de la litis, para el periodo comprendido entre el 01/05/2013 al 31/05/2013 (fls. 96 y 97) y el log transaccional correspondiente a los días 15 y el 16 de mayo de 2013 (fls. 188 a 191):
Fecha |
Hora de autorización |
Login Usuario |
Valor |
15/05/2013 |
10:57:30 |
U9004280225_20630845 |
$49’000.000 |
10:58:14 |
$49’500.000 |
||
10:58:55 |
$49’600.000 |
||
10:59:48 |
$18’000.000 |
||
10:59:48 |
$18’300.000 |
||
11:00:27 |
$49’550.000 |
||
11:01:02 |
$49’700.000 |
||
11:01:40 |
$49’800.000 |
||
11:02:19 |
$49’650.000 |
||
16/05/2013 |
08:58:13 |
$19’500.000 |
|
08:58:14 |
$19’200.000 |
||
08:58:14 |
$18’500.000 |
Bajo esta perspectiva, atendiendo el régimen especial que comporta el ejercicio profesional de la actividad financiera, concernía a la pasiva acreditar dentro del presente proceso: (i) el cumplimiento de las obligaciones contractuales asumidas y, (ii) que en cabeza de la sociedad demandante se desplegó una conducta culposa u omisiva que de manera directa o indirecta diera lugar a la realización de las operaciones que por vía jurisdiccional reclama o que, simplemente, el perjuicio reclamado no existe.
Respecto del cumplimiento de las obligaciones por parte de la entidad financiera, se opone la pasiva a la prosperidad de las pretensiones del libelo con las excepciones que denominó “CULPA DE LA SOCIEDAD DEMANDANTE” y “HECHO DE UN TERCERO”, que básicamente se hizo consistir en que, la demandante fue víctima de una modalidad de fraude informático denominado “PHISHING”, por lo cual las operaciones se efectuaron por terceros que contaban con la información necesaria para el efecto (NIT de la empresa, documento de identidad y la clave de acceso al portal) la cual fue suministrada por el representante legal de la sociedad actora, a través
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
de un link que recibió por correo electrónico, contrariando en este sentido los protocolos de seguridad del Banco, como también al no asignar direcciones IP, no otorgar un token al usuario a través del cual se efectuaron las operaciones y no verificar las operaciones que el Banco le notificó, a través de correos electrónicos, relacionados con la creación de los lotes de facturas y posteriormente, con el pago de los mismos.
Sobre el particular, se advierte que, de acuerdo con la respuesta a la reclamación elevada por sociedad demandante (fls. 79 a 89), los resultados de la investigación surtida al interior del Banco en ella plasmados y lo declarado por su representante legal en audiencia iniciada el 18 de octubre pasado (fl. 169 a partir de 11:09:15), así como por el testigo LUIS JAVIER ROZO ALVARADO (fl. 169 a partir de 13:28:56), los sistemas del banco funcionaron correctamente y las operaciones reclamadas cursaron con la información confidencial del cliente, “validando la clave del usuario” y dentro de los parámetros definidos por él mismo, en palabras de la perito MÓNICA YALINE SÁNCHEZ RODRÍGUEZ, en el curso de la presente audiencia.
Así mismo obra en el plenario el “REGLAMENTO DEL SERVICIO DE INTERNET Y DEMÁS CANALES ELECTRÓNICOS” suscrito por las partes el 4 de junio de 2012, cuyas cláusulas cuarta y quinta
indican que: “1) La totalidad de las claves que se generen para la utilización del SERVICIO DE INTERNET son secretas, personales e intransferibles, por lo tanto, EL CLIENTE, el Administrador del Sistema y los Usuarios, se obligan a no divulgarlas, de manera que ningún tercero pueda hacer uso de las mismas y por ende del SERVICIO DE INTERNET”. Así mismo, que es el administrador del servicio designado por el Cliente, quien crea y asigna las claves para el manejo de los diferentes productos a través de Internet y determina los roles de los usuarios del servicio (fl. 130). Encuentra la Delegatura que tales disposiciones contractuales no resultan limitantes o restrictivas de los derechos del consumidor ni exoneran, limitan o atenúan la responsabilidad de la entidad financiera, por lo cual, la sociedad demandante estaba llamada a su cumplimiento (literal d y parágrafo del artículo 11 Ley 1328 de 2009), sin que le resulten exigibles responsabilidades asignadas sin fórmula de juicio previo o exonerando a la entidad financiera de responsabilidad, en perjuicio de los derechos de los usuarios.
También se estableció en el curso del proceso que el Banco demandado no solicita información confidencial a sus clientes mediante el mecanismo descrito pues, como lo manifestó la representante legal de la pasiva en su declaración, existen protocolos de seguridad para la reactivación de usuarios, que implican la comunicación directa con el cliente, sin que en ningún caso se haga a través de SMS o correos electrónicos que contengan enlaces o links (fl. 169, a partir de las 11:09:15). También, que el Banco instruyó a su cliente, tanto de manera presencial (fls. 179 y 180) como virtual (a través de información divulgada a través de su sitio Web – a la que se refirió igualmente la perito ingeniera de sistemas que rindió su dictamen en precedencia, y a través de correos electrónicos directamente remitidos al representante legal de la demandante – fls. 79 a 81) sobre las medidas de seguridad que debía observar para realizar sus operaciones a través de Internet, en los cuales resaltó la importancia de abstenerse de ingresar a la Banca OnLine a través de enlaces de correos electrónicos. Al ser interrogado sobre el particular en la audiencia del pasado 14 de marzo, el representante legal de la demandante manifestó que conocía las recomendaciones de seguridad impartidas por el Banco sobre el uso de este canal, a través de correos electrónicos y en el mismo sitio Web de la entidad, dentro de las cuales mencionó las de no contestar correos electrónicos sospechosos y ser cuidadoso con el suministro de información (fl. 169, a partir de 10:20:09), recomendación de seguridad que por demás se constituye en una buena práctica e protección propia de los consumidores financieros a la luz del artículo 6o de la Ley 1328 de 2009 y que tiene por finalidad precisamente evitar que terceros no autorizados tengan acceso a la información requerida para acceder a los recursos depositados.
Encuentra entonces la Delegatura que la modalidad descrita detalladamente en los hechos 2.2. y 2.3. de la demanda y que precedió a las operaciones débito cuyo reintegro se reclama, corresponde a lo que se conoce como Phishing, cuyos aspectos técnicos fueron expuestos por el testigo LUIS JAVIER ROZO ALVARADO y reiterados por la perito ingeniera de sistemas que rindió su dictamen en el curso de la presente audiencia, consistente en el envío de un correo electrónico a un usuario, simulando pertenecer a una empresa existente, mediante el cual se le solicita información privada, que posteriormente es utilizada para suplantar su identidad. Así, se dirige al usuario a visitar un sitio Web, en el cual se le solicita actualizar información personal (como una contraseña, la tarjeta de crédito, seguro social o números de cuentas bancarias) que la
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
organización legítima ya tiene, captando los datos con los cuales se ha de acceder vía electrónica a los dineros de quien se han tomado los datos de manera ilícita.
En este contexto, aparece demostrado en el plenario que el representante legal de XXXX recibió un correo electrónico el 14 de mayo de 2013, en el que le informaban que la cuenta empresarial había vencido, por lo que debía ingresar a un link “para acceder de manera segura al portal Web de XXXX”, a lo cual procedió, suministrando el NIT de la empresa, su documento de identidad y la clave de acceso al portal (hechos que fueron relevados de prueba por las partes, por así haberlo acordado en la audiencia del 14 de marzo de 2014 – fl. 169, 11:54:29), conducta que resulta contraria no sólo lo acordado por las partes en la disposición contractual antes trascrita, sino también a los deberes de autoprotección del consumidor financiero a los que se aludió en precedencia y que incidió de manera determinante sobre la causación del daño que se aduce.
Sin embargo, como la sociedad demandante reclama que, pese al suministro de la información por parte de su representante legal en las condiciones descritas, en el presente caso se predica igualmente un incumplimiento de la pasiva, por cuanto: (i) las partes habían acordado el uso de Token como elemento indispensable para la realización de operaciones a través del portal del Banco y las reclamadas se efectuaron sin contar con tal elemento; (ii) no se observaron los topes acordados para pagos a terceros y, (iii) el Banco no alertó a la sociedad sobre la realización de operaciones que no correspondían a sus hábitos transaccionales, a través de los medios acordados para el efecto, procede entonces el Despacho a analizar cada uno de los aspectos planteados por la sociedad demandante, a efectos de establecer si es posible predicar uno o más incumplimientos del Banco de sus deberes contractuales correlativos y así determinar si ambas culpas, la de la sociedad demandante, al suministrar su información confidencial en la forma anotada y la eventual de la entidad demandada, resultaron determinantes en la causación del daño verificado:
A.- DEL USO DEL TOKEN PARA LA REALIZACIÓN DE LAS OPERACIONES QUE SON OBJETO DE LA DEMANDA: se encuentra demostrado que las partes habían acordado la implementación de un mecanismo de seguridad llamado TOKEN, definido en el “REGLAMENTO DEL SERVICIO DE INTERNET Y DEMÁS CANALES ELECTRÓNICOS”, fl. 133 vuelto y “RECOMENDACIONES SEGURIDAD PAGOS A TERCEROS – fls. 159 a 161, como “el Dispositivo de hardware que genera una clave aleatoria diferente cada minuto… [la cual] está sincronizada con el portal transaccional del Banco”, que se habilitó para el servicio de Internet y demás canales electrónicos. En el mismo documento contractual se indica que el ADMINISTRADOR DEL SERVICIO DE INTERNET (en este caso, lo era el representante legal de la demandante) tenía, en virtud del contrato, la responsabilidad de recibir uno o varios token y de asignar, como usuarios de los mismos, a funcionarios de su entera confianza. Así mismo, que XXXX recibió del Banco demandado 2 dispositivos TOKEN para tales efectos el 3 y el 23 de enero de 2013 (fls. 177 y 178) lo que resulta concordante con la autorización impartida por la Sociedad al Banco al momento de solicitar el acceso a los servicios de canales electrónicos, que se refiere al uso de 2 TOKEN (fl. 157).
En este orden de ideas y teniendo en cuenta que dichos dispositivos fueron asignados al administrador (9004280225) y a un usuario (52149042), como consta en la respuesta dada a la sociedad demandante por la pasiva el 2 de julio de 2013 (fls. 86 y 87) y en la documental denominada “ADMINISTRACIÓN DE TOKENS” (fl. 158), el usuario a través del cual se realizaron las operaciones objeto del proceso (U9004280225_20630845 – fls. 68, 82, 167 y 183 a 191) no contaba con Token, ya que éste no le había sido asignado por el administrador, a quien le correspondía hacerlo, en los términos del contrato. Revisada al respecto la bitácora transaccional de la sociedad demandante (fls. 183 a 191) encuentra la Delegatura que, efectivamente, aparecen 3 usuarios efectuando operaciones en la cuenta, uno de los cuales – desde el que se realizaron las operaciones disputadas – no contaba, como se vio, con el mecanismo de autenticación fuerte que el Banco puso a disposición de su cliente para brindar una mayor seguridad en la realización de las operaciones, sin que le resulte imputable a éste un asunto que es propio de la administración de la cuenta por parte del consumidor, como lo es la decisión de asignar o no a sus diferentes usuarios, los TOKEN puestos a su disposición por la entidad financiera. Lo anterior se corrobora con el dictamen pericial rendido por la ingeniera MÓNICA YALINE SÁNCHEZ RODRÍGUEZ que, sobre el particular, indica haber ejecutado “una consulta a las bases de datos del XXXX a fecha junio de 2013, encontrando (…) que la sociedad demandante tenía asignados dos token pero ninguno de ellos correspondía al usuario 20630845, es decir el usuario 20630845 no tenía asignado token” (fl. 239).
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
Es la oportunidad para manifestar que esta Delegatura ha dado valor al dictamen pericial en conjunto con las demás pruebas del proceso, por lo que no siendo procedente la objeción que del mismo realizó la apoderada de la actora en audiencia, procede a su correspondiente valoración, bajo las reglas de la sana crítica.
Ahora bien, no comparte la Delegatura la manifestación de que no se le informó de tal situación al administrador, por cuanto no solo obra la constancia de capacitación que recibió al respecto el representante legal de la demandada, sino que revisado el log transaccional a folios183 a 191, se observa que claramente se accedía con el usuario 20630845, quien no tenía token, circunstancia que hasta el momento de las operaciones reclamadas, no había sido óbice para la realización de operaciones en la cuenta de la entidad demandante.
Concluye entonces el Despacho que, para la época de los hechos, el usuario a través del cual se realizaron las citadas operaciones, no requería de mecanismos de autenticación diferentes para la realización de transacciones a través de Internet, que la información suministrada por el señor VILLAFRANCA FANYTEN al responder el correo electrónico de 14 de mayo de 2013 (ciertamente obrando de manera desprevenida, confiada o de “buena fe” como lo indica la apoderada de la actora en sus alegatos de cierre), sin que la omisión en la asignación de TOKEN al usuario desde el cual se realizaron las mismas, pueda resultarle imputable a la entidad demandada, como se vio. Obsérvese que tal situación acaece ciertamente el día anterior a que se diera inicio al trámite de las operaciones materia de demanda, lo que permite concluir que dicha conducta tuvo un efecto determinante de las mismas.
B.- DE LA INOBSERVACIA DE LOS PARÁMETROS ESTABLECIDOS PARA EL PAGO DE FACTURAS: se afirma en la demanda, con fundamento en la respuesta del Banco de 2 de julio de 2013 (fls. 79 a 89) que había establecido la suma de $50’000.000 como límite de la cuantía para pago de facturas, por lo que los parámetros fijados por el administrador no fueron tenidos en cuenta por el Banco en este caso (fl. 17). Posteriormente, en el escrito mediante el cual se descorrió el traslado de las pruebas aportadas en audiencia, la apoderada de la sociedad demandante afirma que el Banco desconoció el límite de $100.000.000 cada 30 días y la inscripción obligatoria de beneficiarios, acordada en la solicitud de acceso a los servicios de canales electrónicos, que consta en el documento obrante a folio 157 del expediente.
Consultadas a este respecto las pruebas del proceso, encuentra el Despacho que en el apartado relativo a “PAGOS A TERCEROS” del documento denominado “SOLICITUD DE ACCESO A LOS SERVICIOS DE CANALES ELECTRÓNICOS – PERSONA JURIDICA”, de 4 de junio de 2012 (fl. 157), consta que el cliente SI desea habilitar o conservar el módulo de pagos a terceros y que debe inscribir obligatoriamente a los beneficiarios de los mismos, sin que en dicho documento se haga mención alguna al límite de $50’000.000 de pesos por registro de pago, aludido por la entidad demandada que, sin embargo, allegó sobre el particular la impresión de una de las pantallas parametrizadas por el cliente en la visita realizada el 22 de enero de 2013, en la que consta que no se requiere de inscripción obligatoria y se establece un valor de $50’000.000, asociado al campo “firmas” (fl. 182).
El límite de $100.000.000 cada 30 días, como consta en la solicitud obrante a folio 157 del expediente, corresponde al módulo AUTORIZACIONES DE ACCESO a los servicios allí descritos, entre los cuales no se encuentra PAGO A TERCEROS, que está en un módulo independiente. Al ser interrogado el testigo ROZO ALVARADO a este respecto, confirmó al Despacho que el módulo del que se hizo uso para hacer estas operaciones fue el de PAGOS A TERCEROS, que tenía un tope máximo de transacciones de $50’000.000, añadiendo a continuación que muchas de las operaciones que se efectuaron se encuentran “pegadas al tope”, pero sin superarlo (fl. 169, a partir de las 13:54:14). Confrontada esta afirmación con el “REGISTRO DE OPERACIONES DIA 15 Y 16 DE MAYO DE 2013” (fl. 68), información que se reproduce en la respuesta de la entidad financiera demandada de 2 de julio de 2013 (fl. 82), encuentra el Despacho que ninguna de las 9 operaciones efectuadas excedió el límite de $50’000.000 fijado por el administrador al configurar el módulo de PAGOS A TERCEROS, el cual operaba por cada registro de pago, como lo explica la entidad demandada en la ya mencionada comunicación de 2 de julio de 2013: “es decir, por cada una de las solicitudes de pago que se efectúan con independencia total del lote”, añadiendo sobre el particular que “El límite de cuantía por cada registro de pago, solamente puede ser establecido por el
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
administrador designado por el CLIENTE, una vez realizado el proceso de autenticación, no requiere autorizaciones adicionales por parte de otros usuarios del CLIENTE, ni por parte del Banco y se realiza en cuestión de segundos dentro del mismo módulo y pantalla”, razón por la cual, las operaciones que son objeto de la demanda se encuentran dentro de los parámetros establecidos por el cliente para efectos del módulo PAGOS A TERCEROS, sin que se haya allegado al proceso probanza alguna que permita al Despacho concluir lo contrario.
C.- DEL ALERTAMIENTO DE LAS OPERACIONES A LA SOCIEDAD DEMANDANTE, A TRAVÉS DE LOS MEDIOS ACORDADOS PARA EL EFECTO: las diferentes pruebas del proceso son consistentes en informar que el mecanismo pactado por las partes para efectos de pagos a terceros, constaba de dos pasos, a saber: en el primero, se creaban uno o varios lotes de pagos y, en el segundo, se agregaban los datos de los beneficiarios de los referidos pagos y se autorizaban. Con posterioridad a cada uno de estos pasos, el Banco remitía una comunicación por correo electrónico al cuentacorrentista, para informarle lo correspondiente (documentales obrantes a fls. 50 a 67 y 81 a 83, declaración de la representante legal de la entidad demandada, fl. 169, a partir de las 11:17:45 y de las 11:48:41 y testimonio del señor LUIS JAVIER ROZO ALVARADO, fl. 169, a partir de las 13:21:22).
Consta en el expediente que el 15 de mayo de 2013, XXXX remitió al correo electrónico [email protected] 10 correos electrónicos (fls. 50 a 59), informando de la creación de igual número de lotes de pagos a terceros, y los cuales confesó el representante legal de la demandante, recibió y leyó, asumiendo que era la contadora quien estaba realizando los pagos y por lo tanto, “no se alarmó”, como se confesó en los hechos 2.5 y 2.6. de la demanda (fl. 3) y se corroboró en la declaración por él rendida ante esta Delegatura (fl. 169, a partir de las 10:14:18 y 10:41:19). Baste anotar al respecto, que el mismo demandante reconoció en su interrogatorio que el Banco ya había dirigido a este correo electrónico comunicaciones relacionadas con operaciones no reclamadas, por lo que no resulta de recibo la afirmación en los alegatos de conclusión sobre el desconocimiento de dicha cuenta de correo para el efecto.
También se encuentra demostrado que, al mencionado buzón electrónico, el Banco remitió al representante legal de la demandante comunicaciones informando sobre el inicio del proceso de validación de datos y fondos, lo que también fue confesado en el hecho 2.7. de la demanda (fl. 3), quien solamente se alarmó con la situación cuando vio que el encabezado de uno de los correos se refería a una transacción negada (fl. 169, a partir de 10:14:18).
Verifica el Despacho entonces que el Banco informó a la sociedad demandante de la realización de todas y cada una de las operaciones que son materia de este proceso, cumpliéndose el propósito de enterar al representante legal de la sociedad demandante sobre su realización, pese a lo cual, el representante legal guardó silencio, generando en el Banco una confianza respecto de ser, la sociedad demandante, la autora de las operaciones que hoy se reclaman, razón que permite tener por justificado el que no se procediera a bloquear el canal o el producto, dado el efecto de confirmación o verificación de proceder dichas operaciones del titular de la cuenta, como se indica en los correos enviados, por lo que para este caso en particular, resultaba indiferente si se trataba de operaciones inusuales o por fuera de perfil, ya que el silencio o la conducta omisiva de la demandante a través de su representante legal, validaron las operaciones que por correo electrónico se pretendieron confirmar.
La anterior circunstancia permite, a la luz del artículo 2357 del Código Civil, confirmar la culpa de la demandante en la causación del daño que reclama, ya que además de incumplir con lo pactado y con las recomendaciones de seguridad propias del canal, se expuso a él imprudentemente. Distinta hubiere sido la suerte de los recursos de haber atendido oportunamente los múltiples y oportunos correos que sobre su utilización estaba recibiendo de su depositario.
Sobre el particular vale la pena resaltar lo expuesto por la Sala de Casación Civil de la Corte Suprema de Justicia, con ponencia del Magistrado Arturo Solarte Rodríguez, en sentencia del 16 de diciembre de 2010, en el sentido que: “el hecho o la conducta de quien ha sufrido el daño pueden ser, en todo o en parte, la causa del perjuicio que ésta haya sufrido. En el primer supuesto –conducta del perjudicado como causa exclusiva del daño-, su proceder desvirtuará, correlativamente, el nexo causal entre el comportamiento del presunto ofensor y el daño inferido, dando lugar a que se exonere por completo al demandado del deber de reparación. Para que el
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
demandado se libere completamente de la obligación indemnizatoria se requiere que la conducta de la víctima reúna los requisitos de toda causa extraña, en particular que se trate de un evento o acontecimiento exterior al círculo de actividad o de control de aquel a quien se le imputa la responsabilidad….”
Conforme con lo expuesto, no se advierte incumplimiento de los requerimientos de seguridad establecidos para la realización de las operaciones que sea imputable al Banco demandado, como tampoco de los deberes contractuales correlativos del Banco, aducidos por la demandante y atrás analizados, por lo que la excepción denominada “CULPA DE LA SOCIEDAD DEMANDANTE”, está llamada a prosperar y enerva la pretensión indemnizatoria de la demanda, dada la calidad de exclusiva que dicha culpa tuvo sobre el daño que se pretende sea reparado, lo que releva al Despacho de pronunciarse sobre la restante.
Por último, se impondrá condena por concepto de costas al demandante, para lo cual se fijan las agencias en derecho en la suma de DOS MILLONES DE PESOS MONEDA CORRIENTE ($2’000.000,oo).
Conforme con las consideraciones expuestas, la DELEGATURA PARA FUNCIONES JURISDICCIONALES DE LA SUPERINTENDENCIA FINANCIERA DE COLOMBIA, administrando justicia en nombre de la República de Colombia y por autoridad de la Ley,
RESUELVE
PRIMERO: DECLARAR probada la excepción de mérito denominada “CULPA DE LA SOCIEDAD
DEMANDANTE”, por las razones expuestas a lo largo de esta decisión.
SEGUNDO: NEGAR, en consecuencia, las pretensiones de la demanda.
TERCERO: CONDENAR en costas a la parte demandante en favor de la demandada. Liquídense por Secretaría, teniendo en cuenta para el efecto, que se fija como agencias en derecho la suma de DOS MILLONES DE PESOS MONEDA CORRIENTE ($2’000.000).
Cumplido lo anterior, por Secretaría archívese el expediente. La anterior decisión es notificada a las partes en estrados. APELACIÓN PARTE DEMANDANTE.
CONCEDE EL RECURSO DE APELACIÓN presentado por la apoderada de la parte DEMANDANTE, en el efecto SUSPENSIVO –Inciso 1o del Art. 354 del Código de Procedimiento Civil-, ante la Sala Civil del H. Tribunal Superior del Distrito Judicial de Bogotá. – Reparto. En consecuencia, por Secretaría, remítase la actuación al superior, previas las constancias del caso.
No siendo más el motivo de la presente audiencia, se termina y firma por quienes en ella intervinieron.
LA DELEGATURA PARA FUNCIONES JURISDICCIONALES,
CLAUDIA PATRICIA GRILLO TRUJILLO
LA APODERADA DE LA SOCIEDAD DEMANDANTE,
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
XXXX
EL APODERADO DEL BANCO DEMANDADO,
XXXX