Carlos Tamani Rafael
Abogado por la Universidad Nacional Mayor de San Marcos, Máster en Derecho privado patrimonial y doctorado en Derecho privado por la Universidad de Salamanca (España). Investigador visitante del Tribunal de Justicia de la Comunidad Andina y socio de Ivs Civile Salmanticense, Red Salmantina de Civilistas Latinoamericanos (España). Actualmente es profesor a tiempo completo de la Facultad de Derecho y Ciencias Políticas de la Universidad Tecnológica del Perú, profesor a tiempo parcial de la Universidad Privada del Norte y consultor principal en TR Consultores.
Sumilla:
En el presente artículo, el autor realiza una breve reflexión sobre la responsabilidad en casos de operaciones efectuadas con una tarjeta de crédito, tanto en presencia como sin presencia del usuario. En específico, el autor destaca cómo en distintas situaciones, tales como la clonación de tarjetas o la estafa en el acceso de datos, se observa un estándar elevado para la efectividad de la protección al consumidor.
1. Premisa
En el Perú el uso de las tarjetas de crédito se vuelve cada vez más común, aunque sin llegar a generar la familiaridad o confianza de otros lugares. Sin embargo, ese aumento de los titulares de tarjetas y de las operaciones que se realizan no han ido de la mano con un incremento en la seguridad de las transacciones que se realizan con las mismas. Así, podemos identificar algunas situaciones concretas que afectan a los consumidores, como son la clonación de tarjetas, el robo o sustracción, la intimidación o amenaza para obtener datos sensibles de los clientes, estafa o robo de datos del plástico o cuentas de los usuarios, infiltración en sistemas internos de entidades financieras, entre otros. Estos casos son vistos normalmente desde una óptica bastante reduccionista que no se pregunta sobre la calificación jurídica que el ordenamiento jurídico hace de cada circunstancia, sino solo si la misma se ha realizado cumpliendo con las medidas de seguridad que se prevén.
Lo señalado justifica la necesidad de reflexionar sobre la atribución de responsabilidad frente a la realización de operaciones fraudulentas, aunque previamente es menester dar cuenta de los requisitos de las operaciones con tarjeta de crédito o débito. Luego de ello, analizaremos concretamente qué mecanismos existen para remediar el perjuicio creado por una operación no realizada por el titular de la tarjeta de crédito, que le genera una obligación dineraria.
2. Características y medidas de seguridad de las operaciones con tarjetas de crédito o débito
Es importante tener en claro cuales son las operaciones con tarjeta que pueden realizarse. Podemos clasificarlas cuando menos en dos grandes grupos: las realizadas con tarjeta presente y con tarjeta de no presente.
Con las primeras nos referimos a los casos de consumo en establecimientos comerciales o fuera de estos pero utilizando en ambas circunstancias el Terminal de Punto de Venta (TPV)[en inglés “Point of Sale”, POS]. Asimismo, nos referimos a las operaciones realizadas a través de las ventanillas o
cajeros automáticos de las entidades financieras. Con las segundas nos referimos a las operaciones realizadas vía internet, sea a través de la plataforma de las entidades financieras, de las plataformas del comercio o de los TPV Virtuales.
La diferencia planteada es relevante para la determinación de los requisitos existentes para la celebración válida de estas operaciones, como veremos a continuación.
Es preciso recordar en este punto, que el artículo 14 de la Resolución SBS N° 6523-2013, Reglamento de Tarjetas de Crédito y Débito (en adelante, el Reglamento), dispone que para cargar el importe de las operaciones realizadas con la tarjeta de débito a la cuenta de ahorros, otorgada por las empresas del sistema financiero, estas deben acreditar que el consumidor autorizó expresamente la realización de dichas operaciones, sea a través de la suscripción de una orden de pago, el ingreso de un código o la firma electrónica [1].
De acuerdo con ello, en el caso de las operaciones con tarjeta de crédito presente se requiere de manera general la consignación del número de Documento Nacional de Identidad (DNI), la firma del titular en el “voucher” de la transacción y en algunos casos el ingreso de clave secreta [2]. Por su parte, en las operaciones con tarjeta de débito presente se requiere el ingreso de la clave secreta en todos los casos.
En el caso de las operaciones con tarjeta no presente (sea tarjeta de crédito o débito), se exige el ingreso del número de tarjeta, fecha de vencimiento, el número de CVV o CVV2 y, en algunos casos, ingreso de clave dinámica (vía SMS, token físico o virtual).
Adicionalmente el artículo 17 del Reglamento establece una serie de medidas de seguridad respecto a las operaciones que se realizan con tarjetas de débito, tales como: (i) contar con un sistema de monitoreo de las operaciones que se realizan, que tenga como finalidad detectar las operaciones que no correspondan al comportamiento habitual de los usuarios, (ii) identificar patrones de fraude, y (iii) generar alertas por el sistema de monitoreo en caso se detecten situaciones inusuales [3].
Así, se puede afirmar que existen las siguientes medidas de seguridad a cargo de las entidades financieras:
(i) Incorporadas en el plástico, las vinculadas a los chips y el tratamiento de la información contenido en él.
(ii) Entrega de la tarjeta y clave de acceso solo al titular, salvo instrucción expresa distinta.
(iii) Permitir cambio de clave a titular.
(iv) Posibilidad de habilitar un sistema de notificaciones respecto a las operaciones realizadas con sus tarjetas (esto se convertirá en obligatorio desde la entrada en vigencia de la Resolución SBS N° 5570-2019)
(v) Posibilidad de usuarios de informar al Banco de que van a realizar operaciones en el extranjero.
(vi) Establecimiento de monto máximo en caso de micropago.
(vii) Respecto al monitoreo y realización de operaciones, deberá contarse con un sistema que detecte las operaciones inusuales o que correspondan a un patrón de fraude, alertando a los usuarios.
(viii) Establecer medidas de seguridad en torno al tratamiento de los datos personales que se almacenan en sus sistemas.
(ix) En los negocios afiliados debe asegurarse que cuenten con procedimientos orientados a la verificación de la validez de la tarjeta, identidad del usuario y firma (en caso sea aplicable).
3. Responsabilidad frente a los fraudes bancarios
Ahora bien, una vez que ocurre una operación no reconocida, corresponde a las entidades financieras demostrar la validez de estas. Dicha demostración se realizará en atención a las medidas de seguridad que hemos comentado en el punto anterior. Esto es que siempre que el banco demuestre el cumplimiento de los requisitos de validez de las operaciones se liberará de toda acusación en su contra.
Cabe indicar que el Reglamento establece circunstancias expresas en las que el usuario se libera de responsabilidad, lo que a contrario implica que en línea de principio a normativa asume que el usuario es siempre responsable de las operaciones no reconocidas. Por lo que, podríamos afirmar en este punto que se presume que el consumidor que presenta un reclamo por un fraude bancario, está actuando de mala fe. Así, se ha establecido la liberación de la responsabilidad del consumidor en los siguientes casos:
(i) Operaciones realizadas luego de la llamada de aviso de la pérdida, sustracción, robo, hurto o uso no autorizado de la tarjeta.
(ii) Cuando no existan mecanismos para alertar al banco de la sustracción o pérdida de la tarjeta.
(iii) Cuando exista clonación.
(iv) Funcionamiento defectuoso de canales o sistemas para la realización de operaciones.
(v) Manipulación de cajeros automáticos.
(vi) Suplantación de usuario en las oficinas.
(vii) Micropago.
(viii) Operaciones realizadas luego de la cancelación de la tarjeta o cuando hubiere expirado.
Se puede apreciar como el estándar establecido para el consumidor es uno bastante alto que no toma en consideración las circunstancias que ocurren sin su culpa, como la falta de aviso de la pérdida por lesión grave o debido a la fuerte impresión generada debido a la violencia con que a veces se realizan los robos en nuestro país.
Así, volviendo a las situaciones planteadas como más comunes podemos establecer quién responde en atención a la regulación:
(i) Clonación:
Nos encontramos en esta circunstancia cuando existen dos plásticos vinculados a una misma cuenta circulando paralelamente. Esto no debería ocurrir en atención a las medidas de seguridad que debe tener el plástico asegurando la incorruptibilidad del chip. Sin embargo, si se llegara a comprobar, la entidad financiera responde en todos los casos.
(ii) Sustracción o robo violento:
Nos referimos a los casos en que se sustrae de forma no violenta el plástico o se trata de un robo. Podrían darse circunstancias en este caso que impidan el aviso por parte de los consumidores afectados, sin embargo, eso no ha sido contemplado por la normativa sectorial vigente. Siendo que la única forma en que podría responder la entidad financiera es cuando se hubiere comunicado inmediatamente o se trate de operaciones inusuales.
(iii) Intimidación o amenaza para obtener datos sensibles:
Hacemos referencia a los casos de no uso del plástico de forma física, sino de intimidación para obtener datos sensibles de plástico del usuario y poder realizar operaciones virtuales. Del mismo modo que en el caso anterior, salvo que se avise de manera inmediata o se trate de operaciones inusuales, no habrá responsabilidad de la entidad financiera.
(iv) Estafa para acceder a datos:
En este caso hacemos referencia al engaño que se produce sobre los usuarios y que por ejemplo termina en el recojo del plástico o la entrega de datos sensibles vía telefónica, en la creencia de que se estaba hablando con un representante de la entidad financiera. Del mismo modo que en el caso anterior, salvo que se avise de manera inmediata o se trate de operaciones inusuales, no habrá responsabilidad del banco.
(v) Infiltración en sistemas internos de entidades financieras:
Nos referimos a la circunstancia de una filtración en la base de datos o el sistema del banco que permita acceder a los datos sensibles de los clientes o directamente realizar operaciones. De llegar a acreditarse esta situación, siempre se hará responsable a la entidad financiera en atención al incumplimiento de sus medidas de seguridad.
En línea con lo señalado hasta este punto, podemos delimitar en un cuadro los casos en que responderá la entidad financiera y los consumidores, evidenciándose un desbalance entre unos y otros casos:
4. A modo de conclusión: La necesidad de construir un sistema que tenga como base la buena fe del consumidor.
Llegados a este punto es importante dar una mirada al tratamiento de los fraudes bancarios en la Unión Europea. Así, esta materia es regulada en la Directiva 2015/2366, Sobre servicios de pago en el mercado interior, estableciéndose en resumidas cuentas lo siguiente:
(i) En caso de operación no reconocida, esta debe ser comunicada al banco inmediatamente, salvo que exista una justificación para la demora.
(ii) El banco está obligado a devolver el monto reclamado, teniendo como plazo para ello el día siguiente hábil de realizada la comunicación por el consumidor, salvo que tenga motivos justificados de que hay un fraude y lo comunique a la autoridad nacional competente.
(iii) Respecto a la distribución de la responsabilidad por la operación no reconocida, el usuario solo responderá hasta por un total de 50 euros de las pérdidas derivadas de la utilización de un instrumento de pago extraviado o robado o de su apropiación indebida. Siendo que los montos superiores a 50 euros son asumidos por los bancos. Esto ocurre salvo que el banco tenga justificadas razones para pensar que el consumidor está buscando defraudar a la institución.
De esta breve descripción del modelo europeo, se aprecia que parten de la premisa de que los consumidores reclaman siempre de buena fe, estando la carga de demostrar lo contrario en quien le resulta menos costoso, esto es, la entidad financiera. Ello explica porque se establece un plazo de devolución corto frente a los reclamos de los usuarios de servicios financieros.
Por el contrario, en el modelo peruano se parte de la premisa de que el usuario tiene mala fe al reclamar por una operación no reconocida. Así, no se toman en consideración los casos de imposibilidad de brindar aviso a la entidad financiera, ni los casos de robo o hurto o estafa y la necesidad de establecer una responsabilidad compartida con la entidad financiera, ni existe plazo establecido legalmente para la devolución de los montos cuestionados. Exigiéndose, además de todo lo ya señalado, un alto nivel técnico a los consumidores para reclamar sin tener en cuenta el poder de mercado de las entidades financieras.
Todo ello genera el escenario perfecto para que las entidades financieras peruanas carezcan de incentivos para combatir las diferentes situaciones que ponen en riesgo el dinero de sus clientes. Ello sumado a una alta concentración en el mercado, es el escenario perfecto para que el sector bancario se haya convertido en el más denunciado y el que en definitiva tiene menos casos fundados. Esto último es resultado, no tanto de la existencia de denuncias injustificadas o de mala fe, sino de la incorrecta manera de solucionar un tema que genera tanta afectación a los ciudadanos.
Así, debe promoverse una reforma del sistema de atribución de responsabilidad frente a operaciones no reconocidas realizadas con tarjeta de crédito o débito, debiendo dejarse de lado esa presunción injustificada de la mala fe de los usuarios. Sirva el presente artículo para promover la discusión sobre esta materia que parece darse por sentada por la doctrina y la jurisprudencia administrativa y permita generar un modelo que busque atender las necesidades de los consumidores financieros.
Bibliografía:
[1] Resolución SBS N° 6523-2013, Reglamento de Tarjetas de Crédito y Débito
Artículo 14°.- Cargos
Las empresas cargarán en la cuenta de depósitos el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de débito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 13° del Reglamento, en caso corresponda; así como las demás obligaciones asumidas en el contrato, conforme a la legislación vigente sobre la materia.
Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de débito.
[2] Se excluye de estos requisitos los casos de micropago, en los que la entidad financiera en coordinación con el establecimiento establece el pago sin mecanismos de seguridad hasta por un monto máximo.
[3] Resolución SBS N° 6523-2013, Reglamento de Tarjetas de Crédito y Débito
Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones
Las empresas deben adoptar como mínimo las siguientes medidas de seguridad con respecto a las operaciones con tarjetas que realizan los usuarios:
1. Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario.
2. Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones.
3. Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones.
4. Establecer límites y controles en los diversos canales de atención, que permitan mitigar las pérdidas por fraude.
5. Requerir al usuario la presentación de un documento oficial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticación de múltiple factor. La Superintendencia podrá establecer, mediante oficio múltiple, montos mínimos a partir de los cuales se exija la presentación de un documento oficial de identidad.
6. En el caso de operaciones de retiro o disposición de efectivo, según corresponda, u otras con finalidad informativa sobre las operaciones realizadas u otra información similar, deberá requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto.