La Sala Especializada en Protección al Consumidor del Tribunal del INDECOPI mediante Resolución N° 0026-2024/SPC-INDECOPI, ha sancionado a una Entidad Financiera al haber cometido las infracciones del deber de idoneidad y por no adoptar medidas de seguridad en operaciones no reconocidas.
SOBRE EL DEBER DE IDONEIDAD
El artículo 18° del Código de Protección y Defensa del Consumidor dispone que la idoneidad debe ser entendida como la correspondencia entre lo que el consumidor espera y lo que efectivamente recibe, en función a lo que se le hubiera ofrecido, la publicidad e información transmitida, entre otros factores, atendiendo a las circunstancias del caso. A su vez, el artículo 19° del citado Código indica que el proveedor responde por la idoneidad y calidad de los productos y servicios ofrecidos.
En su denuncia, la denunciante refirió que el Banco no habría adoptado las medidas de seguridad necesarias al permitir que, se realicen 2 operaciones no reconocidas, con cargo a su cuenta de ahorros y tarjeta de crédito, respectivamente
Al respecto, la Comisión declaró infundada la denuncia, tras considerar que dichas operaciones fueron válidamente autorizadas por la denunciante.
Sin embargo, para la Sala dado el recurso de apelación formulado por la denunciante y en aras de dilucidar la responsabilidad del Banco, corresponde cotejar, en primer lugar, si esta cumplió con su deber de monitoreo y detección de operaciones inusuales a fin de determinar si correspondía generar una alerta; así, una vez superada dicha evaluación, se procederá a analizar si se realizó un cargo justificado de la misma, cumpliendo con los requisitos de validez pertinentes.
De acuerdo con la garantía legal contemplada en el Reglamento de Tarjetas de Crédito y Débito (en adelante, el Reglamento), aprobado por Resolución SBS 6523-2013, el parámetro de idoneidad en la prestación de servicios y productos financieros en el marco de la afectación de las cuentas o líneas de crédito de los consumidores, se encuentra comprendido -de forma unívoca por las medidas de seguridad atribuidas a las entidades financieras por la normativa sectorial, encontrándose entre ellas, ineludiblemente, el deber de monitoreo y detección de consumos inusuales o sospechosos.
Bajo este orden de ideas, las expectativas razonables de un consumidor, al contar con un producto financiero con las entidades financieras, importan que estas desplieguen todas las medidas de seguridad contempladas a su cargo legalmente, sin excepción alguna, siendo que, la falta de observancia de una de ellas comportaría la prestación de un servicio financiero inidóneo. En ese sentido, la autoridad administrativa debe evaluar el cumplimiento de dicha garantía legal, incluso aunque el consumidor no hubiera cuestionado su observancia de forma completa o explícita.
Ahora bien, sobre el deber de monitoreo de operaciones ajenas el patrón de consumo del tarjetahabiente, corresponde señalar que el artículo 2°.5 del Reglamento, define que el comportamiento habitual de consumo del usuario se refiere al tipo de operaciones que usualmente realiza cada uno con sus tarjetas, considerando diversos factores como, por ejemplo, el país de consumo, tipos de comercio, frecuencia, canal utilizado, entre otros, los cuales pueden ser determinados a partir de la información histórica de las operaciones de cada usuario que registra la empresa.
De otro lado, el artículo 17° del Reglamento dispone que las empresas del sistema financiero deben adoptar como medidas de seguridad, entre otras, la implementación de sistemas de monitoreo de operaciones orientados a detectar operaciones que no corresponden al comportamiento habitual de consumo del usuario, en aras de proteger a los usuarios del cargo de transacciones fraudulentas en las cuentas de sus tarjetas de crédito o débito.
En ese sentido, la normativa sectorial exige que el patrón de consumo que las entidades del sistema financiero construyan respecto a cada uno de sus clientes, debe responder a una serie de factores que la entidad determine a partir del análisis sistemático de la información histórica del usuario.
Al respecto, de acuerdo con el razonamiento expuesto previamente por este Colegiado, a manera de otorgar un criterio objetivo a la determinación del comportamiento habitual de consumo de un denunciante, se deberá tener en cuenta el importe individual de las operaciones que el consumidor usualmente realizaba con el producto objeto de denuncia, lo cual será obtenido del estudio de los estados de cuenta o estado de saldos de movimientos previamente emitidos, correspondientes a las líneas de crédito y/o cuentas objeto de estudio. Así, para determinar si una operación es inusual o no al comportamiento habitual de consumo del cliente debe considerarse si, previamente, se realizaron, con cargo al producto estudiado, operaciones por importes similares a los controvertidos en sede administrativa.
Es pertinente acotar que el referido estudio debe comprender un análisis que considere la totalidad de canales utilizados por el consumidor, pues considerar uno de ellos por sí solos, no puede llevar a determinar -inequívocamente- que una operación es inusual o sospechosa, por lo que tales factores deberán ser analizados en conjunto con la información obtenida del historial de consumos del cliente, referida al importe de las operaciones que usualmente realizaba
SOBRE LA VALIDEZ DE OPERACIONES NO RECONOCIDAS
En casos de operaciones con tarjeta de débito o crédito, la Sala no desconoce la posibilidad que las mismas puedan ser objeto de usos fraudulentos; sin embargo, su uso se vería limitado en tanto no se tuviera acceso a la clave secreta, cuyo resguardo es responsabilidad exclusiva de cada tarjetahabiente. Por ello, de acreditarse que la operación se realizó con el uso conjunto de estos los requisitos de autenticación requeridos para tales efectos, la transacción debe reputarse como válidamente realizada.
Adicionalmente, cabe agregar que la comprobación de un hecho negativo -la no realización de una operación- no es factible para un consumidor. Por el contrario, en su condición de proveedor, es la empresa del sistema financiero quien debe probar que tal transacción se realizó utilizando las medidas de seguridad puestas a disposición del consumidor. Lo anterior, en atención a la ventaja que posee la entidad bancaria en cuanto al manejo de información y de medios disponibles para probar que la operación cuestionada sí se efectuó.
Siendo así, el artículo 18° del Reglamento de Ciberseguridad – Resolución S.B.S. N° 0504-2021, dispone que las entidades del sistema financiero deben adoptar mecanismos de seguridad en el enrolamiento (afiliación) de un usuario a un canal digital, debiendo estos mecanismos estar orientados mínimamente a la verificación de la identidad del usuario que solicita la operación y la generación de las respectivas credenciales del usuario respecto a su afiliación.
Asimismo, es importante destacar que el artículo 19° del Reglamento de Ciberseguridad establece que, para la validez de operaciones por un canal digital que impliquen pagos o transferencia de fondos a terceros, la contratación de un producto, registro de un beneficiario de confianza, modificación de límites y condiciones, entre otros supuestos, se requiere que las entidades del sistema financiero adopten las siguientes acciones: a) La utilización de, por lo menos, 2 factores de autenticación que correspondan a categorías distintas y sean independientes uno del otro; b) La generación de un código de autenticación mediante métodos criptográficos, cuyo uso debe ser por única vez; y, c) La notificación al usuario de los datos de la operación exitosa.
Dicho lo anterior, conviene precisar que las operaciones controvertidas consisten en una transferencia a terceros y una disposición de efectivo realizados a través de la banca por internet, por lo que el Banco no estaba exento de aplicar lo dispuesto en el artículo 19° del Reglamento de Ciberseguridad.
En virtud de lo expuesto, este Colegiado considera que corresponde revocar la resolución venida en grado, en los extremos que declaró infundada la denuncia interpuesta contra el Banco; y, en consecuencia, se declara fundada la misma, por infracciones de los artículos 18° y 19° del Código, al probarse que no adoptó las medidas de seguridad pertinentes al permitir que se realicen 2 operaciones no reconocidas, con cargo a la cuenta de ahorros y la tarjeta de crédito de la denunciante.
SOBRE LOS MÉTODOS COMERCIALES COERCITIVOS
El artículo 56º del Código de Protección y Defensa del Consumidor regula el derecho que tiene todo consumidor a no ser objeto de métodos comerciales coercitivos por parte de los proveedores. De esta manera, el literal b) del artículo 56° establece específicamente a que no se obligue a los consumidores a asumir prestaciones que no hayan sido pactadas por estos o a efectuar pagos por productos o servicios que no han sido requeridos previamente.
En el presente caso, la consumidora denunció que el Banco le habría atribuido indebidamente un préstamo, toda vez que no lo solicitó, ni lo autorizó.
Al respecto, la Comisión declaró infundada la denuncia, tras considerar que el préstamo fue válidamente autorizado por la denunciante.
La Sala, al revisar el recurso de apelación, señala que el préstamo cuestionado fue adquirido a través de la banca móvil, no siendo un hecho controvertido la afiliación de la denunciante a ese canal, puesto que tal conclusión no ha sido negada y/o desvirtuada por la interesada, advirtiéndose incluso de sus estados de cuenta y movimientos el uso de ese canal para la realización de otras operaciones.
Siendo así, la Sala conviene traer a colación que el artículo 17° del Reglamento de Ciberseguridad señala que las empresas del sistema financiero están obligadas a implementar procesos de autenticación para controlar el acceso a los servicios que provea por canales digitales. Asimismo, el artículo 19° de dicho cuerpo normativo establece que, para la validez de operaciones por un canal digital que impliquen pagos o transferencia de fondos a terceros, la contratación de un producto, registro de un beneficiario de confianza, modificación de límites y condiciones, entre otros supuestos, se requiere que las entidades del sistema financiero adopten las siguientes acciones:
i) La utilización de, por lo menos, 2 factores de autenticación que correspondan a categorías distintas y sean independientes uno del otro.
ii) La generación de un código de autenticación mediante métodos criptográficos, cuyo uso debe ser por única vez.
iii) La notificación al usuario de los datos de la operación efectuada de manera exitosa.
De la revisión del expediente, añade la Sala, se aprecia que el Banco presentó como medios probatorios los reportes de su sistema que demostrarían el ingreso correcto al canal digital (a las 12:21:13 horas), la generación de la clave token respectiva (a las 12:24:00 horas) y el registro de la operación (a las 12:24:04 horas).
Como puede apreciarse de los medios probatorios antes citados y atendiendo a lo informado en el Boletín Semanal N° 16 del mes de mayo de 2021, emitido por la SBS, el Banco habría utilizado 2 factores de autenticación que corresponden a categorías distintas, estos son, el ingreso a la banca por internet (algo que el usuario es) y la generación de un clave token para la operación (algo que el usuario posee). No obstante, del reporte del Banco, se aprecia que el ingreso a la banca por internet fue a través de una validación biométrica, no siendo ello posible pues la operación cuestionada se realizó por medio de la banca por internet (canal con características distintas a la banca móvil, en donde sí es factible aplicar una validación biométrica).
Asimismo, el Banco no ha demostrado la remisión de la clave token al correo electrónico fijado por la consumidora. Si bien el Banco adujo que en el registro de la operación se consignó el ingreso correcto de la clave token respectiva – la cual había sido previamente remitida a la denunciante-; lo cierto es que el denunciado no ha demostrado la remisión de dicha clave al correo electrónico, pese a que pudo presentar la comunicación que cursó a la interesada a fin de constatar que la clave remitida era la misma que fue ingresada para validar la operación controvertida.
De ahí que, a consideración del Colegiado, el Banco no solo debía demostrar la implementación de factores de autentificación para validar las operaciones, sino también que estos sean utilizados eficazmente en cada transacción; no obstante, los elementos probatorios presentados por el Banco no generan la suficiente verosimilitud sobre su aplicación correcta y, en consecuencia, de la validez de la operación (atribución de préstamo).
Aunado a ello, no se aprecia que el Banco haya demostrado el cumplimiento de los otros requisitos previstos en el Reglamento de Ciberseguridad (Generación del código de autenticación de la operación cuestionada y la notificación inmediata de su exitosa realización), pese a que se encontraba en mejor posición de demostrarlo, máxime si la entrada en vigencia de dicha norma fue el 1 de julio de 2021, cuyo plazo de adecuación a lo dispuesto por las entidades financieras era hasta el 1 de julio de 2022, fecha anterior a los hechos materia de la denuncia.
En ese sentido, aun cuando el Banco tuvo conocimiento de los presupuestos contemplados en el Reglamento de Ciberseguridad, dicho administrado no aportó ningún medio probatorio orientado a demostrar el cumplimiento cabal de su obligación, con lo cual no resulta razonable colegir que el préstamo materia de denuncia haya sido realizado por la consumidora.
Bajo tales consideraciones, corresponde revocar la resolución venida en grado, en el extremo que declaró infundada la denuncia interpuesta contra el Banco; y, en consecuencia, se declara fundada la misma, por infracción del artículo 56° literal b) del Código, al probarse que atribuyó indebidamente a la denunciante el préstamo cuestionado.