Sumario: 1. El problema: una operación bancaria no reconocida. 2. Actuaciones inmediatas y reclamo ante la entidad bancaria. 3. Postulación de una denuncia ante el Indecopi. 4. Protección del Consumidor ante operaciones bancarias fraudulentas.
1. El problema: una operación bancaria no reconocida
Con el inicio de la cuarentena obligatoria a causa de la pandemia de la covid-19, el mundo digital ha ganado mayor espacio, siendo un hecho que se ha incrementado las operaciones bancarias por medio de las plataformas virtuales de las entidades financieras.
Una operación bancaria constituye un hecho jurídico que realiza el cliente conforme a los derechos y obligaciones regulados en el contrato de operaciones bancarias celebrado con la entidad bancaria. El no reconocimiento de dichas operaciones bancarias, sea por una razón particular, genera que el cliente no acepte la validez de estas, pese a que las operaciones bancarias surtan efectos inmediatos y supuestamente se haya cumplido con las medidas de seguridad pertinentes.
Un supuesto de operaciones bancarias no reconocidas constituye la operación bancaria realizada bajo un supuesto delictivo tipificado como fraude informático[1] en agravio de la cuenta bancaria del cliente perteneciente al sistema financiero. Ante el incremento de ciberdelincuencia surge la ocasión de ofrecer pautas a fin de salvaguardar los intereses y derechos de los consumidores frente a los servicios financieros por “operaciones bancarias fraudulentas”, recordando que no se debe compartir datos bancarios.
2. Actuaciones inmediatas y reclamo ante la entidad bancaria
Ante una operación bancaria no reconocida o fraudulenta, lo inmediato es bloquear la tarjeta bancaria conforme a los protocolos que el banco previamente haya determinado por los medios disponibles como son sus plataformas virtuales y las llamadas a la central telefónica. Asimismo, se debe procurar, de ser posible, la reversión de las operaciones como sucede en el caso de los giros bancarios, los cuales pueden ser anulados luego de su realización cumpliendo ciertos requisitos. Una vez realizado el bloqueo, corresponde cursar comunicación de dichas operaciones bancarias no reconocidas ante la entidad bancaria como también la interposición de la denuncia ante la división especializada de la Policía Nacional del Perú. Estas actuaciones inmediatas son sumamente importantes para posteriormente postularlas en un procedimiento administrativo sancionador.
Es un derecho del consumidor de servicios financieros (y cliente del Banco), interponer un reclamo por operaciones bancarias no reconocidas alegando los hechos del caso, las circunstancias y razones necesarias a fin de obtener la reversión de las operaciones bancarias, evitando el perjuicio económico. El Banco tendrá treinta (30) días calendario para resolver el reclamo procediendo a notificar válidamente al reclamante la respuesta positiva o negativa.
Asimismo, constituye un punto muy importante, la recopilación de medios probatorios como sería el estado de cuenta bancaria, una captura de pantalla de la plataforma virtual en el momento de los hechos demostrando que el sistema del banco no fue idónea o no estuvo operativa para el bloqueo de la tarjeta, una captura de pantalla de celular del momento exacto de la llamada por motivo de la operación bancaria y que el proveedor nunca contestó, así como de la grabación de la misma comunicación, el link de internet en donde figure una página fraudulenta, el historial de internet, la filmación del momento exacto del “cambiazo” de la tarjeta, la recopilación de voucher, y cualquier medio probatorio pertinente para sustentar el caso.
3. Postulación de una denuncia ante el Indecopi
Ante una respuesta negativa de la entidad bancaria y, con ello, la no reversión de las operaciones bancarias no reconocidas o fraudulentas, será necesario que se acuda al Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi) interponiendo la respectiva denuncia por infracciones incurridas por el proveedor, aperturándose el respectivo procedimiento administrativo sancionador en materia de protección al consumidor.
Cabe la posibilidad de interponer conjuntamente una medida cautelar a fin de tutelar la eficacia de la decisión definitiva con relación al perjuicio económico emergente.
En este procedimiento administrativo especial, se debe analizar la idoneidad del servicio financiero ofrecido por la entidad bancaria denunciada, y sí esta como proveedor cumplió o no con las obligaciones legales reguladas por el Código de Protección y Defensa del Consumidor (Ley 29571) como también por el Reglamento de Tarjetas de Crédito y Débito (Resolución SBS 5570-2019). En este sentido, el consumidor debe alegar la acreditación de un defecto en el servicio financiero que ocasionó la operación bancaria no reconocida o fraudulenta, mientras que por parte del proveedor (el banco) quién se encuentra en una mejor posición en la relación de consumo tendrá la carga de la prueba para demostrar que la operación bancaria se ejecutó cumpliendo las medidas de seguridad y que no existió defecto en el servicio brindado[2].
Se debe ser cuidadoso en la elaboración de la denuncia, la narración de los hechos y la forma de atribución de las infracciones a los deberes del proveedor. La diferencia es importante, en tanto que sí existe negligencia e imprudencia del consumidor (como entregar datos bancarios a personas no autorizadas) genera razones suficientes para que el Banco alegue el eximente de responsabilidad al haberse generado una ruptura del nexo causal de responsabilidad. Un caso muy especial, y que reclama mayor estudio, es analizar el supuesto en el cual un tercero con conocimientos especializados y en un accionar doloso obtiene datos bancarios y con ellos obtiene provecho económico indebido como sucede en el caso del delito de fraude informático; no obstante, ello no es excusa para no analizar si la entidad bancaria cumplió con los deberes de seguridad y monitoreo de las operaciones bancarias.
El punto clave para discernir es el análisis de la idoneidad del servicio financiero con base a las medidas y protocolos de seguridad bancaria, así como también del sistema de monitoreo para determinar la validez o no de la operación bancaria cuestionada. Legalmente[3], las entidades bancarias tienen el deber de contar con sistemas de monitoreo de operaciones que sean capaces de detectar operaciones que no corresponden con el comportamiento habitual de consumo del usuario, sistemas capaces de generar alertas, las identificaciones de patrones de fraude, así como el establecimiento de límites y controles de seguridad para mitigar las pérdidas por fraude. Igualmente, las entidades bancarias deben contar con mecanismos para la comunicación inmediata al usuario sobre las posibles operaciones de fraude como las acciones para proceder con el bloque temporal o definitivo de la tarjeta.
Otro punto importante a analizar es el patrón de consumo y el patrón de fraude. Por el primero, por medio de los estados de cuenta, se analizará el comportamiento habitual del cliente de si efectivamente las sumas de dinero por medio de transacciones y operaciones bancarias son usuales a su actividad diaria, y es que el patrón de consumo se concretiza al nivel de consumo del cliente. Por otro lado, el patrón de fraude identifica aquellas transacciones que se realizan dentro de un parámetro “sospechoso” como por ejemplo el que se realicen varias transacciones en un mismo momento o en períodos cortos de tiempo, en diferentes zonas alejadas entre sí, pero en lapsos cortos de tiempo, en un horario poco habitual, destinadas a personas en lugares lejanos y cualquier operación que no es habitual en el consumo personal[4].
Asimismo, corresponde analizar las disposiciones contenidas en el contrato de operaciones bancarias suscrito al momento que el cliente obtiene una tarjeta de crédito y/o débito, revisar los términos y condiciones en la cual aceptamos al momento de crear una cuenta en la plataforma virtual de la entidad bancaria, así como las medidas de seguridad y recomendaciones que aparecen al momento de realizar una operación bancaria virtual.
La deficiencia de las medidas de seguridad y del sistema de monitoreo de la entidad bancaria denunciada, así como los hechos que respaldan los patrones de consumo y fraude genera que se atribuya la responsabilidad y con ello se proceda a obtener la medida correctiva solicitada como sería la reversión de las operaciones bancarias no reconocidas.
4. Protección del Consumidor ante operaciones bancarias fraudulentas
A modo de ejemplo, Indecopi se ha pronunciado respecto a las operaciones bancarias no reconocidas o fraudulentas como se puede leer en la Resolución 015-2020/Indecopi-Piu perteneciente al Expediente ORPS 373-2019/PS0-Indecopi-Piu por el cual se reconoce cinco puntos importantes al momento de declarar fundada la denuncia:
a) La valoración de la prueba dinámica al indicar que existen situaciones en las que el proveedor se encuentra en una mejor posición en la relación de consumo para probar y demostrar un hecho negativo con relación al servicio ofrecido. En este caso, la entidad bancaria deberá demostrar que la operación bancaria no reconocida fue una operación bancaria realizada conforme las medidas y protocolos de seguridad.
b) Se reconoce como marco normativo de valoración, la Resolución SBS 5570-2019, Reglamento de Crédito y Débito por el cual las entidades financieras deben cumplir con las obligaciones legales de contar con procedimientos de aceptación para verificar la validez de la operación, asimismo el proveedor debe garantizar y asegurar la idoneidad del servicio financiero en un estándar de calidad y seguridad de las operaciones.
c) La prestación de un servicio idóneo implica un nivel de seguridad razonable que los proveedores deben garantizar para que se dé un adecuado cumplimiento de las prestaciones asumidas. En este sentido, las instituciones financieras deben encontrarse en capacidad de responder a los cuestionamientos que puedan eventualmente formular los consumidores respecto al procesamiento de las operaciones efectuadas, y demostrar técnicamente las razones sobre las cuales se sustenta la validez de las operaciones cuestionadas.
d) Se exime o no de responsabilidad administrativa al proveedor si se produce una ruptura del nexo causal por imprudencia del propio consumidor afectado cuando el proveedor acredita y demuestra que el usuario brindo la clave secreta a terceros. No obstante, con el avance de la ciberdelincuencia, resulta importante analizar el tipo penal de fraude informático, en el cual el delincuente obtiene datos bancarios por medio clonación de plataformas virtuales y demás modalidades de phishing.
e) Se reconoce el valor del patrón de consumo y patrón de fraude junto con los sistemas de monitoreo y medidas de seguridad de la entidad financiera a fin de demostrar la idoneidad del servicio frente a las operaciones bancarias no reconocidas.
Finalmente, a modo de consejo, se recuerda cuidar estrictamente su información bancaria, no compartir a terceros las contraseñas, número de la tarjeta, fecha de vencimiento, el CVV de la tarjeta, la clave de internet y cualquier otro dato importante; de la misma manera cuidar de los ingresos en las plataformas virtuales en tanto que existe muchas veces suplantaciones de las páginas webs como resultado de la ciberdelincuencia.
[1] Véase el artículo 8 de la Ley de Delitos Informáticos, Ley 30096.
[2] Véase el f. j. 33 de la Resolución 015-2020/Indecopi-Piu, perteneciente al Expediente en 373-2019/PS0-Indecopi-Piu.
[3] Véase los artículos 17 y 20 de la Resolución SBS 5570-2019.
[4] Villar, Silvia. Resolución de conflictos sobre operaciones no reconocidas con tarjetas de crédito y débito desde la perspectiva de Indecopi. Revista de estudiantes Ita Ius Esto. 15 de diciembre del 2019. p. 3.
