TARJETA DE CRÉDITO, RELACIÓN CONTRACTUAL, TRANSACCIONES ELECTRÓNICAS Concepto 2009051225-003 del 21 de septiembre de 2009. Síntesis: Consideraciones sobre las relaciones contractuales originadas por el uso de la tarjeta de crédito entre el establecimiento de crédito y los tarjetahabientes. Normatividad sobre transacciones electrónicas. Los incumplimientos contractuales por parte de establecimientos comerciales con ocasión del uso de las tarjetas de crédito son competencia de la justicia ordinaria. Se advierte en la consulta formulada que el posible incumplimiento en la prestación del servicio indicado deviene de un establecimiento de comercio y no del ejercicio de actividades de una entidad administradora de un sistema de pago de bajo valor o de un establecimiento de crédito, motivo por el cual se sugiere poner de presente la reclamación ante la SIC. «(…) solicita el pronunciamiento de esta Superintendencia frente a las siguientes inquietudes: “a) Si esa Superintendencia tiene alguna ingerencia (sic) o requisito para que por ejemplo, el sistema bancario de tarjetas de crédito de (…), al establecerse en Colombia el sistema de compra por vía telefónica a través de establecimientos de comercio, tal entidad deba o esté obligada y haya presentado ante ustedes algún proyecto o minuta de contrato de manejo de tarjeta de crédito para firme el usuario o tarjeta- habiente, para su aprobación? En caso positivo, indicar en qué época ocurrió y, si del proyecto de ese contrato existe depósito en esa Superintendencia o en otro lugar, donde pueda obtenerse. “b) Si existe alguna directiva de esa entidad a nivel bancario, en la que se indiquen los requisitos que los bancos deben exigir a los proveedores o intermediarios del sistema de compra vía telefónica, para hacer efectivos los comprobantes elaborados unilateralmente, sin la firma del usuario de la tarjeta de crédito, sin que se haya realizado previamente la entrega del producto ofrecido? En caso positivo, favor indicar en qué época y las pertinentes indicaciones de la o las directivas que se hayan dado. “c) Cualesquiera otra información que su despacho tenga a bien suministrar con miras a conocer muy específicamente el modus operandi con que se inició y funciona el sistema de ventas o compras vía telefónica, a través de cargos en la tarjeta de crédito, a través de terceras personas proveedoras y/o intermediarias cobradoras de las facturas y que se han afiliado al sistema (…)”. Sobre el particular proceden los siguientes comentarios: En primer lugar resulta procedente destacar que de la consulta planteada se desprenden tres conductas que dan lugar a diferentes relaciones jurídicas, la primera la surgida entre el comprador y usuario de la tarjeta de crédito con el establecimiento de comercio, la segunda la originada entre el tarjeta habiente y el establecimiento de crédito y la tercera, en la cual no tiene una participación activa el tarjetahabiente o usuario de la tarjeta de crédito, pues es la que tiene lugar entre el establecimiento de crédito que expide la tarjeta de crédito y la entidad administradora de un sistema de pago de bajo valor, encargada del proceso de compensación y pago, tal y como se explica más adelante. I. Relación Contractual entre el Tarjetahabiente y el Establecimiento de Comercio La relación existente entre el tarjetahabiente y el establecimiento de comercio, implica que este último se obliga a suministrar los bienes y/o servicios que requiera el primero, y a recibir de éste como medio de pago por dichos conceptos, la tarjeta de crédito expedida por el correspondiente establecimiento de crédito. Dichas relaciones, se rigen por las normas contractuales y en virtud de las mismas, las partes estarán obligadas a lo por ellas pactado. Sobre el particular, le informo esta Superintendencia por su carácter de autoridad administrativa, no es competente para dirimir conflictos surgidos con ocasión de la celebración de acuerdos o contratos, siendo la jurisdicción ordinaria la autoridad competente para resolver esta clase de controversias. Adicional a lo anterior, le informo que la Superintendencia de Industria y Comercio (SIC) cuenta con una dependencia destinada a la protección al consumidor, la cual tiene facultades legales para conocer acerca de incumplimientos como los planteados en su consulta. Así las cosas, lo procedente en este caso, tratándose de una inconformidad frente a la prestación de un servicio por parte de un establecimiento de comercio, es necesario que se formule su reclamación ante la SIC. II. Sistemas de Pago de Bajo Valor Respecto a la supervisión de este Organismo sobre los sistemas de pago de bajo valor, resulta preciso aclarar que el literal o) del artículo primero del Decreto 1400 del 2005 define el sistema de pago de bajo valor, como un conjunto organizado de políticas, reglas, acuerdos, instrumentos de pago, entidades y componentes tecnológicos, tales como equipos, software y sistemas de comunicación, que permiten la transferencia de fondos entre los participantes, mediante la recepción, el procesamiento, la transmisión, la compensación y/o la liquidación de órdenes de transferencia y recaudo. Adicional a lo anterior, estos sistemas se encuentran autorizados para procesar órdenes de transferencia o recaudo, incluyendo aquellas derivadas de la utilización de tarjetas crédito o débito, por un valor promedio diario. En este orden de ideas, en la actualidad ostentan la calidad de entidades administradoras de sistemas de pago de bajo valor, las siguientes: Asociación Gremial de Instituciones Financieras "Credibanco", ACH Colombia S.A., Servibanca S.A., A Toda Hora S.A., Redeban Multicolor S.A. y la Central Cooperativa y Solidaria de Servicios Múltiples "Visionamos". Bajo los anteriores supuestos, resulta pertinente precisar que las marcas “Visa” y “MasterCard”, son franquicias internacionales, cuya representación en el país la ostentan Credibanco y Redeban Multicolor S.A., respectivamente, pero respecto de dichas franquicias esta Superintendencia no ejerce inspección, vigilancia y control en tanto no son sistemas de pago de bajo valor. III. De las relaciones contractuales originadas por el uso de la tarjeta de crédito entre el establecimiento de crédito y los tarjetahabientes En cuanto al tema de las relaciones contractuales originadas con la ocasión del uso de las tarjetas de crédito, esta Superintendencia en concepto 2006045350 del 10 de octubre del 2006 manifestó: “Respecto de las tarjetas de crédito valga recordar que su emisión obedece a la celebración del contrato mercantil de apertura de crédito, el cual se encuentra regulado en el artículo 1400 del Código de Comercio como “el acuerdo en virtud del cual un establecimiento bancario se obliga a tener a disposición de una persona sumas de dinero, dentro del límite pactado y por un tiempo fijo o indeterminado”. “Es de destacar que en virtud de dicho acuerdo, se crea una relación entre el establecimiento de crédito y el tarjetahabiente, el cual se rige por las normas contractuales, que constituyen ley para las partes de conformidad con lo señalado por el artículo 1602 del Código Civil, según el cual, los contratantes se obligan a lo pactado y no podrán invalidar dicho acuerdo sino por su consentimiento o por causas legales. “Así mismo, debe indicarse que en virtud de dicho contrato surgen otras relaciones contractuales a saber: Entre el establecimiento bancario y el establecimiento de comercio y, entre el tarjetahabiente y el establecimiento de comercio. “La existente entre el establecimiento de crédito emisor de la tarjeta y el establecimiento de comercio, generalmente llamada de afiliación, implica que éste último se obliga a recibir como medio de pago por la compra de sus mercancías o la prestación de sus servicios, la tarjeta de crédito expedida por el correspondiente establecimiento de crédito, y éste a su vez a pagar las facturas suscritas por su tarjetahabiente. “(…) “Lo anterior para precisar que la tarjeta de crédito es simplemente un medio de pago, como lo puede ser el dinero o el cheque, que emplean los clientes de los establecimientos de crédito1 a efectos de pagar los consumos que hubieren efectuado para la adquisición de bienes y/o prestación de servicios en los diferentes establecimientos comerciales afiliados (v.gr. las agencias de viaje), y como quiera que dichas relaciones se rigen por normas 1 Si bien existen otras entidades que emiten tarjetas de crédito, nos referimos sólo a aquellas que corresponden a nuestro ámbito de competencia. contractuales y por el principio de la autonomía de la voluntad, en ello no tiene injerencia ni competencia esta Entidad”. Ahora bien, para que se efectúen las transferencias de los fondos de las operaciones derivadas de tarjetas de crédito o débito, es preciso aludir a la relación existente entre los establecimientos de crédito y las Entidades Administradoras de Sistemas de Pago de Bajo Valor, como “Credibanco Visa” , en virtud de la cual, éstas últimas permiten el acceso y uso del sistema a los establecimientos de crédito (en calidad de participantes2) para permitir la transferencia de fondos entre los mismos, mediante la recepción, transmisión, procesamiento, compensación y/o liquidación de las órdenes de transferencia o recaudo. Dichos acuerdos, al igual que los anteriormente enunciados, se encuentran sujetos a lo estipulado por ellos en el contrato, en virtud de los principios de la libertad contractual y autonomía de la voluntad, anteriormente referidos, y por consiguiente, lo relacionado con las tarifas y condiciones económicas bajo las cuales se adelantan las operaciones propias de esta actividad, son igualmente de libre determinación por las partes contratantes, y sobre los cuales la Superintendencia Financiera de Colombia no tiene competencia para pronunciarse, motivo por el cual no existe normatividad que establezca la obligación por parte de esta Superintendencia para impartir aprobación o reglamentar el sistema de compras vía telefónica. Lo anterior no constituye óbice para que esta Superintendencia cumpla con el deber de de supervisar el cumplimiento estricto de las obligaciones que deben acatar las sociedades administradoras de bajo valor y los establecimientos de crédito en ejercicio de su actividad. IV. Normatividad sobre transacciones electrónicas Sobre el tema esta Superintendencia por medio de concepto 2007026466 del 8 de junio del 2007 señaló: “Sobre el particular, tenemos que la Ley 527 de 1999, “por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”, fue expedida con el ánimo de otorgar un ambiente jurídico que de confianza y seguridad a las relaciones que se desarrollan en el marco de un entorno tecnológico, como es el Internet. Se trata entonces de una norma de alcance general respecto de las diferentes actividades que puedan adelantarse en el Internet en un ámbito comercial. “Resulta pertinente recordar que la Honorable Corte Constitucional declaró la exequibilidad de la norma mencionada en Sentencia C – 662 del 8 de junio de 2000, con 2 Decreto 1400 de 2005, “Artículo 1, literal h) Participante: Cualquier entidad que haya sido autorizada por el administrador de un sistema de pago de bajo valor conforme a su reglamento para tramitar órdenes de transferencia o recaudo en un sistema de pago de bajo valor, y que participa directamente en la compensación y liquidación de dichas órdenes”. Magistrado Ponente Fabio Morón Díaz. En términos generales la Corte resaltó la importancia de este desarrollo legislativo en los siguientes términos: “La Ley 527 de 1999 es, pues, el resultado de una ardua labor de estudio de temas de derecho mercantil internacional en el seno de una Comisión Redactora de la que formaron parte tanto el sector privado como el público bajo cuyo liderazgo se gestó -a iniciativa del Ministerio de Justicia y con la participación de los Ministerios de Comercio Exterior, Transporte y Desarrollo. “Como ya quedó expuesto, obedeció a la necesidad de que existiese en la legislación colombiana un régimen jurídico consonante con las nuevas realidades en que se desarrollan las comunicaciones y el comercio, de modo que las herramientas jurídicas y técnicas dieran un fundamento sólido y seguro a las relaciones y transacciones que se llevan a cabo por vía electrónica y telemática, al hacer confiable, seguro y válido el intercambio electrónico de informaciones.” “Adicionalmente, el Gobierno Nacional reglamentó parcialmente la ley en comento mediante el Decreto 1747 de 2000 respecto de las entidades de certificación, los certificados y las firmas digitales. “Ahora bien, respecto del tema concreto de los pagos electrónicos que pueden efectuarse a través de las entidades vigiladas por esta Superintendencia, el numeral 8º del Capítulo Primero del Título Segundo de la Circular Externa 007 de 1996 (Circular Básica Jurídica) de esta Superintendencia indica las reglas mínimas relativas a las transacciones a través de tarjetas de crédito y débito, terminales, cajeros automáticos, puntos de servicio en oficinas y establecimientos comerciales que deben observar los establecimientos de crédito. “La finalidad de estas reglas mínimas es la adecuada protección de los derechos de los consumidores financieros, al impartir instrucciones a las vigiladas sobre la información que están deben suministrar a sus clientes y usuarios, respecto del funcionamiento y condiciones de estas operaciones, de manera que estos la conozcan adecuadamente, y procedan a efectuar las operaciones de manera segura. “De otra parte, el Capítulo XXIII de la Circular Externa 100 de 1995 (Circular Básica Contable y Financiera) de esta Superintendencia, adicionado por la Circular Externa 049 de 2006 de esta Entidad, contempla las reglas relativas a la administración del riesgo operativo al que se enfrentan las entidades sometidas a la vigilancia e inspección de esta Entidad. Por virtud de este instructivo, dichas entidades deben “desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO), acorde con su estructura, tamaño, objeto social y actividades de apoyo, estas últimas realizadas directamente o a través de terceros, que les permita identificar, medir, controlar y monitorear eficazmente este riesgo”. “El numeral 2.7 del mencionado Capítulo define el SARO como el “conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo”. “Dentro de los factores que componen este tipo de riesgo, mencionados en la Circular en comento, se encuentra la tecnología, entendida como el “conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones”. Y, las fallas tecnológicas son reconocidas como eventos de riesgo operativo que pueden generar pérdidas a los clientes y/o a la entidad respectiva”. Posteriormente a través de la Circular 052 del 2007 expedida por esta Superintendencia, la cual adicionó el Capítulo Décimo Segundo al Título Primero de la Circular Básica Jurídica (Circular Externa 007 de 1996) y derogó el numeral 8 del Capítulo Primero, Título II de la Circular Externa 007 de 1996 (Circular Básica Jurídica) y el Anexo Técnico “Estándares mínimos de seguridad que deben observarse en la realización de algunas operaciones a través de terminales, cajeros automáticos, puntos de servicio en oficinas y establecimientos comerciales y tarjetas débito o crédito”, se establecieron los requerimientos mínimos de seguridad y calidad en el manejo de la información a través de medios y canales de distribución de productos y servicios. En efecto en el citado instructivo, se dispuso que todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), debían acatar lo allí dispuesto con excepción del Fondo de Garantías de Instituciones Financieras “Fogafín”, el Fondo de Garantías de Entidades Cooperativas “Fogacoop”, el Fondo Nacional de Garantías S.A. “F.N.G. S.A.”, el Fondo Financiero de Proyectos de Desarrollo “Fonade”, los Almacenes Generales de Depósito, los Fondos de Garantía que se constituyan en el mercado público de valores, los Fondos Mutuos de Inversión, los Fondos Ganaderos, las Sociedades Calificadoras de Valores y/o Riesgo, las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior, los Corredores de Seguros y de Reaseguros, los Comisionistas Independientes de Valores, las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulación. En consecuencia, los establecimientos bancarios, son destinatarios directos de tales instrucciones y deben cumplir en forma estricta con las mismas, en la medida que son entidades encargadas de la expedición del medio de pago de tarjetas débito y crédito, respecto del cual el numeral 6 del citado instructivo señalo las siguientes obligaciones: “Establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para la emisión, transporte, recepción, custodia, entrega, devolución y destrucción de las tarjetas. Se debe estipular el tiempo máximo de permanencia de las tarjetas en cada una de estas etapas. “Cifrar la información de los clientes que sea remitida a los proveedores y fabricantes de tarjetas, para mantener la confidencialidad de la misma. “Velar porque los centros de operación en donde se realizan procesos tales como: realce, estampado, grabado y magnetización de las tarjetas, entre otros, así como de la impresión del sobreflex, mantengan procedimientos, controles y medidas de seguridad orientadas a evitar que la información relacionada pueda ser copiada, modificada o utilizada con fines diferentes a los de la fabricación de la misma. “Velar porque en los centros donde se realicen los procesos citados en el numeral anterior, apliquen procedimientos y controles que garanticen la destrucción de aquellas tarjetas que no superen las pruebas de calidad establecidas para su elaboración, así como la información de los clientes utilizada durante el proceso. Iguales medidas se deberán aplicar a los sobreflex. “Establecer los procedimientos, controles y medidas de seguridad necesarias para la creación, asignación y entrega de las claves a los clientes. “Cuando la clave (PIN) asociada a una tarjeta débito haya sido asignada por la entidad vigilada, esta deberá ser cambiada por el cliente antes de realizar su primera operación. “Ofrecer a sus clientes mecanismos que brinden la posibilidad inmediata de cambiar la clave de la tarjeta débito en el momento que estos lo consideren necesario. “Establecer en los convenios que se suscriben con los establecimientos de comercio la obligación de verificar la firma y exigir la presentación del documento de identidad del cliente para las operaciones que se realicen con tarjeta de crédito. “Emitir tarjetas personalizadas que contengan al menos la siguiente información: nombre del cliente, indicación de si es crédito o débito, nombre de la entidad emisora, fecha de expiración, espacio para la firma del cliente y número telefónico de atención al cliente. “Al momento de la entrega de la tarjeta a los clientes, ésta deberá estar inactiva. Las entidades deberán definir un procedimiento para su respectiva activación, el cual contemple al menos dos de tres factores de autenticación: algo que se sabe, algo que se tiene, algo que se es. En cualquier caso, se deberán entregar las tarjetas exclusivamente al cliente o a quien este autorice. “Ofrecer a sus clientes tarjetas débito y/o tarjetas crédito que manejen internamente cualquiera de los mecanismos fuertes de autenticación tales como: OTP (One Time Password), biometría, etc.; dichas tarjetas deberán servir indistintamente para realizar transacciones en cajeros automáticos (ATM), en puntos de pago (POS), en Internet y en sistemas de audio respuesta (IVR)”. En razón de lo expuesto, debe concluirse que los incumplimientos contractuales por parte de establecimientos comerciales con ocasión del uso de las tarjetas de crédito son competencia de la justicia ordinaria. En todo caso, lo que se advierte por esta Entidad en la consulta por usted formulada es que el posible incumplimiento en la prestación del servicio que usted indica deviene de un establecimiento de comercio y no del ejercicio de actividades de una entidad administradora de un sistema de pago de bajo valor o de un establecimiento de crédito, motivo por el cual le sugerimos poner de presente su reclamación ante la SIC. (…).»