San José, lunes 29 de setiembre de 2008 Para: Sr. William Hayden

San José, lunes 29 de setiembre de 2008
Para: Sr. William Hayden Quintero
Gerente General
Banco Nacional de Costa Rica
Fax 2223-8054
OFICIO N° 09650-2008-DHR -[GA]
AL CONTESTAR POR FAVOR CONSIGNE ESTE NUMERO DE OFICIO
EXPEDIENTE N°
13266-2007-SI-ACH
Sr. Mario Rivera
Gerente General
Banco de Costa Rica
Fax. 2255-0911
Sr. Gerardo Porras Sanabria
Gerente General
Banco Popular y Desarrollo Comunal
Fax. 2255-1966
Sr. Guillermo Quesada Oviedo
Gerente General
Banco Crédito Agrícola de Cartago
Fax. 2551-8538
Sr. Guillermo Constenla
Presidente Ejecutivo
Instituto Nacional de Seguros
Fax 2222-2310
De:
Lisbeth Quesada Tristán
Defensora de los Habitantes
Copia: Sra. Rocío Aguilar Montoya
Contralora General
Contraloría General
de la República
Fax 2501-8100
Sr. Francisco de Paula Gutiérrez
Presidente Ejecutivo
Junta Directiva
Banco Central de Costa Rica
Fax 2255-0867
Sr. Óscar Rodríguez Ulloa
Superintendente General
Superintendencia General de Entidades
Financieras
Fax 2243-4849
Sra. Cynthia Zapata Calvo
Coordinadora de la Unidad Técnica de Apoyo
Comisión Nacional del Consumidor
Fax 2255-2467
Sr. Isidro Serrano Rodríguez
Gerente General
Radiográfica Costarricense S.A.
Fax 2287-0332
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
1
INFORME ESPECIAL
FRAUDES ELECTRÓNICOS:
DE LA RESPONSABILIDAD DE LOS BANCOS DEL ESTADO
INFORME SOBRE LA ACTUACIÓN DE LOS BANCOS DEL ESTADO ANTE LOS FRAUDES
ELECTRÓNICOS Y SU RESPONSABILIDAD ADMINISTRATIVA: CONTROL INTERNO Y
VALORACIÓN DEL RIESGO
1.
INTRODUCCION.
1.1
ORIGEN Y RESUMEN DE LA INVESTIGACIÓN.
La Defensoría de los Habitantes de la República recibió de un grupo de clientes afectados varias
denuncias en contra de algunos bancos estatales relacionados con la ola de fraudes electrónicos que se
desató, específicamente en el transcurso del año 2007.
En este sentido, ante los hechos y por sugerencia de las mismas autoridades de los bancos, las personas
procedieron a plantear las denuncias judiciales correspondientes ante el Ministerio Público. No obstante,
en vía administrativa, alegan que para algunos de los casos los bancos han incurrido en omisión de
respuesta y en ocasiones se han limitado a afirmarles que “el banco no se hará responsable por los
montos sustraídos”.
Además, les han informado que deben esperar a que se determine si lo sucedido responde a
irregularidades o fallas técnicas del sistema de seguridad bancaria.
De los hechos descritos se obtiene un claro descontento que contrasta con la obligación de los bancos de
tutelar, salvaguardar, proteger y custodiar el patrimonio que les ha sido encomendado para cuidarlo
como “buenos padres de familia”; y su incuestionable vocación de servicio al cliente.
1.2.
ALCANCE DE LA INVESTIGACIÓN Y COMPETENCIA DE LA DEFENSORIA
Tal y como lo establece la Ley de la Defensoría de los Habitantes (Ley Nº 7319), le corresponde a la
institución ejercer un control de legalidad sobre el funcionamiento de las instituciones públicas, velando
porque se ajusten a la moral, la justicia, la Constitución Política y las leyes.
Esta labor encomendada de protección de los derechos e intereses de las y los habitantes conlleva la
necesaria tarea de velar porque las instituciones públicas cumplan con los objetivos para los cuales
fueron creadas. El cumplimiento de dichos objetivos debe contribuir al fortalecimiento del sistema
democrático, generando una participación activa de las y los habitantes en el desarrollo del país.
Para ello, la calidad de gestión pública requerida impone que la misma responda a criterios de eficiencia,
eficacia, transparencia, rendición de cuentas y legalidad, entre otros; principios denominados
modernamente como Principios de Buen Gobierno, contenidos en nuestra legislación y desarrollados en
diversos informes anuales por parte de la Defensoría de los Habitantes 1 .
1
Informes Anuales 2003-2003; 2003-2004; 2005-2006; 2007-2008
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
2
La relación entre las y los habitantes y las instituciones públicas debe ser respetuosa, eficiente y
satisfactoria. En ese sentido, existe un nexo irremplazable entre la gestión pública, la calidad de la misma
y el efectivo respeto de los derechos humanos. Y es que tal y como ha sido reconocido a nivel
internacional,
“...La gestión pública, consiste en parte en instituciones y en normas efectivas, pero
también en la protección de derechos humanos, en la promoción de una participación
más amplia de las instituciones y en normas que afecten a la vida de la población, así
como en el logro de resultados económicos y sociales más equitativos.. Hoy en día,
está generalmente aceptado que la participación, la transparencia y la rendición de
cuentas son elementos importantes de un buen gobierno. El buen gobierno ha pasado
a estar intrínsecamente unido a los conceptos y la práctica de la democracia y al
imperio de la ley”. 2
Esta relación existente entre la protección de los derechos humanos, los criterios de Buen Gobierno y
su efectiva aplicación en la gestión pública, trae consigo la necesidad de contar con mecanismos que
permitan la evaluación constante de dicha gestión, de forma tal que en la misma se transversalicen los
principios de Buen Gobierno, generando los instrumentos de control necesarios que permitan detectar
cualquier desvío que aleje a las instituciones del cumplimiento de sus objetivos, definiendo e
implementando las acciones correctivas necesarias.
La evaluación constante del quehacer de la Administración Pública en punto al cumplimiento de sus
objetivos, es una tarea inicial y principalmente encomendada a la Administración misma, estableciéndose
para ello procedimientos que lo permitan. Asimismo, debe la Administración estar abierta a dicha
evaluación por parte de las y los habitantes, que ven en la rendición de cuentas, la oportunidad de
determinar si las y los funcionarios públicos han cumplido a cabalidad con la función encomendada.
Es así como internacionalmente surge la normativa de control interno, misma que ha tenido como
objetivo generar una cultura de control en todos los niveles de la organización que permita establecer un
compromiso y una efectiva responsabilidad por la gestión pública, generando sistemas de rendición de
cuentas en el quehacer diario de las y los funcionarios públicos.
En ese sentido, la Defensoría de los Habitantes a partir de la labor de protección de derechos, tiene
diariamente la oportunidad de detectar y señalar acciones u omisiones de la Administración Pública que
generan el incumplimiento de los derechos de las y los habitantes. Estas acciones u omisiones de la
Administración Pública, en la gran mayoría de los casos evidencian, entre otras cosas, ausencia de
delimitación de funciones y responsabilidades a lo interno de las instituciones, inexistencia de
procedimientos que permitan establecer con claridad qué hacer, cómo hacerlo y para qué, así como un
débil compromiso con los objetivos institucionales.
Las denuncias recibidas en la Defensoría por violación de algún derecho legal o constitucionalmente
establecido generan la realización de investigaciones en las cuales se examinan los procedimientos en el
nivel institucional así como las acciones o omisiones internas que dieron como resultado la violación del
derecho denunciado, siendo en la mayoría de los casos comprobada alguna falla o debilidad del sistema
de control interno institucional, como se examinará en el tema que nos ocupa.
Se corrobora el inevitable nexo existente entre la protección de derechos y una gestión pública de
calidad, generándose un especial interés en los procesos de control interno que desarrollen las
instituciones y que -como se analizará posteriormente- permitan como un fin último, el efectivo ejercicio
de los derechos por parte de las y los habitantes.
2
Organización de Naciones Unidas (ONU). Informe sobre el Desarrollo Humano. 2002. Páginas 51 y siguientes.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
3
En ese sentido, desde la óptica de la labor realizada por la Defensoría, los objetivos perseguidos con el
control interno, sean la eficiencia y efectividad en el accionar de la administración pública, así como el
buen uso de los recursos públicos, forman también parte de los buscados en la labor contralora de
legalidad que realiza la institución.
Es evidente entonces que, eficientes y adecuados sistemas de control interno en las instituciones
permiten mayores niveles de satisfacción por parte de las y los habitantes.
En el marco de las competencias legalmente establecidas, se inició la investigación sobre el proceder de
los bancos del Estado en cuanto a las reiteradas denuncias recibidas en materia de fraudes electrónicos,
así como cuáles son las acciones legales a las que están llamadas las entidades financieras a tomar, así
como de qué manera se ha analizado el tema desde el punto de vista del control interno y valoración del
riesgo en materia de seguridad informática en el caso de la prestación de servicios en línea,
específicamente lo conocido como “Internet banking”.
Se realiza de esta forma, un análisis desde los parámetros anteriormente indicados de un servicio, servicio de Internet banking- que se le brinda a las y los habitantes por parte de instituciones públicas del
sector bancario. Servicio que, como tal, debe cumplir con estándares de calidad y seguridad, tanto para
la institución que lo oferta, como para las y los clientes que lo reciben.
1.3.
DELIMITACIÓN TEMPORAL DEL ESTUDIO.
Es conveniente destacar que la delimitación temporal del presente estudio, está referida a los fraudes
electrónicos que se dieron durante el año 2007 y el primer semestre del año 2008.
2.
DESARROLLO DE LA INVESTIGACIÓN.
2.1
TRASLADO Y SOLICTUD DE INFORMES.
Conforme lo indicado, admitida la queja para su investigación y estudio, se solicitó mediante los oficios
589-2008-DHR, 1023-DHR-2008, 1024-DHR-2008, 1056-DHR-2008, 1407-DHR-2008, 2121-DHR-2008 y
2197-DHR a las siguientes instituciones, la presentación del informe de ley.
Instituciones consultadas:
•
•
•
•
•
•
•
•
•
•
Contraloría General de la República (CGR)
Banco Central de Costa Rica (BCCR)
Superintendencia General de Entidades Financieras (SUGEF)
Banco Nacional de Costa Rica (BNCR)
Banco de Costa Rica (BCR)
Bancrédito (Bancrédito)
Banco Popular y de Desarrollo Comunal (BPDC)
Radiográfica Costarricense (RACSA)
Instituto Nacional de Seguros (INS)
Comisión Nacional del Consumidor (CNC)
De los informes recibidos, se obtuvieron las siguientes ideas centrales, así como lo hechos constatados
que serán destacados en el transcurso de la investigación, según corresponda.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
4
2.2.
CONTRALORÍA GENERAL DE LA REPÚBLICA.
Mediante el oficio FOE-ED-0146 del 4 de marzo de 2008, el señor Allan Roberto Ugalde Rojas, en calidad
de Gerente de Área de la División de Fiscalización Operativa y Evaluativa del Área de Servicios
Económicos para el Desarrollo de la Contraloría General de la República, remitió el informe requerido,
indicando entre otras cosas lo siguiente:
Que constitucionalmente se le confiere a la Contraloría General de la República (CGR) una “función
constitucional de control de los fondos públicos, con el propósito de mejorar la gestión de la Hacienda
Pública y contribuir con el control político y ciudadano”.
Señala que los bancos del Estado deben responder ante la CGR, por las actuaciones relacionadas con la
eficiencia y la eficacia en el uso y manejo de los recursos públicos.
Que según la Contraloría General de la República, la prestación de servicios que los bancos ofrecen a
través de Internet, es regulada por la SUGEF, la cual se encarga de velar por la estabilidad, la solidez y el
eficiente funcionamiento del Sistema Financiero Nacional.
Que según la CGR, la SUGEF emitió normativa cuyos lineamientos sirven de base para regular la
administración, los sistemas, los equipos, la seguridad, la utilización y los controles aplicados al Área de
Tecnología de la Información de las entidades fiscalizadas (Normativa de Tecnología de Información).
2.3
BANCO CENTRAL DE COSTA RICA.
Mediante oficio AJ-079-2008 del 8 de febrero del 2008, remitido por el señor Roy González Rojas, en
calidad de Gerente del Banco Central de Costa Rica, recibido el 11 de febrero del 2008, se obtuvo que
formalmente, no existe una normativa o protocolo específico para reportar al Banco Central de Costa Rica
o a la Superintendencia General de Entidades Financieras los casos que se denuncian por fraude
electrónico.
Específicamente, sobre las competencias del Banco Central en relación con la actividad bancaria,
especialmente lo referido a la prestación de servicios ofrecidos a través de Internet, se señala que las
competencias del Banco Central de Costa Rica están determinadas por la Ley Orgánica del Banco Central
de Costa Rica, Ley No. 7558, la cual establece en su artículo 2, como un objetivo subsidiario de la
Institución lo siguiente:
“d) Promover un sistema de intermediación financiera estable, eficiente y competitivo.”
Asimismo, se cita el artículo 3 de esa misma Ley Orgánica, el cual establece, como funciones esenciales
del Banco Central, entre otras, las siguientes específicamente relacionadas con el sistema bancario
nacional:
“e) La promoción de condiciones favorables al robustecimiento, la liquidez, la solvencia y
el buen funcionamiento del Sistema Financiero Nacional. (...)
g) La determinación de políticas generales de crédito y la vigilancia y coordinación del
Sistema Financiero Nacional. (...)
j) El establecimiento de las regulaciones para la creación, el funcionamiento y el control de
las entidades financieras”.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
5
Agregan que en términos generales, para el ejercicio de estas facultades el Banco Central puede utilizar
el instrumento jurídico denominado “Directriz”, propio de su potestad de dirección que implica las
“...pautas u orientaciones que sirven de marco conceptual para la toma de decisiones”. (Corte Plena,
sentencia del 16-6-84 citada por la Sala Segunda de la Corte Suprema de Justicia, Resolución No. 200300496 de las 09:40 horas del 17 de setiembre del 2003).
Que mediante el mecanismo de la Directriz el Banco Central podría regular un área de acción general en
donde si el ente actúa, lo haga en determinada dirección, pero no puede obligar a hacerlo o impedir que
actúe, pues siempre dicho ente podrá hacerlo incluso en una dirección distinta a la indicada, asumiendo
las respectivas responsabilidades por sus actuaciones.
Del mismo documento se obtuvo que para la fiscalización y supervisión de las decisiones que en esta y
otras materias son adoptadas, la ley creó tres superintendencias constituidas como órganos de
desconcentración máxima, sobre las cuales no existe relación jerárquica con la Junta Directiva del Banco
Central, su Presidencia o la Gerencia en los asuntos relacionados con su especialidad técnica, resultando
además que los reglamentos que los rigen son emitidos por el Consejo Nacional de Supervisión del
Sistema Financiero Nacional (CONASSIF), que es también a su vez un órgano de desconcentración
máxima del Banco Central y sobre el cual el Ente Emisor tampoco tiene injerencia en el ejercicio de sus
funciones.
2.4
SUPERINTENDENCIA GENERAL DE ENTIDADES FINANCIERAS.
Esta Defensoría solicitó a la Superintendencia General de Entidades Financieras (SUGEF), mediante el
oficio 1056-2008-DHR, su posición en cuanto al tema planteado. En este sentido, el señor José Armando
Fallas Martínez, en calidad de Intendente General remitió el oficio SUGEF 579-200800993 fechado 22 de
febrero del 2008, del cual para lo que interesa, se destaca lo siguiente.
Que actualmente la SUGEF, de manera taxativa, carece de competencia para resolver conflictos o casos
relacionados con reclamos de clientes ante el Sistema Bancario Nacional.
Que la SUGEF ha procurado que las entidades financieras, reciban y tramiten las denuncias que por
alguna razón han sido planteadas ante su autoridad con la finalidad de brindar la mejor información
posible para los clientes con el objeto de que cuenten con la información necesaria para plantear,
eventualmente las denuncias que consideren ante la vía judicial.
2.5
BANCO NACIONAL DE COSTA RICA.
El Banco Nacional de Costa Rica, por medio del oficio DCGM-033-2008 del 7 de enero del 2008, remitido
por el licenciado Sigifredo Fonseca Mora en calidad de Director Corporativo de Gestión de Medios, en
cuanto a la información solicitada destacó lo que en los párrafos siguientes se consigna de interés para la
presente investigación. Asimismo, conviene señalar que del oficio remitido por el BNCR se utilizará
información adicional en el transcurso de la presente investigación.
Al respecto, se indicó que el Banco Nacional siempre da respuesta a los planteamientos de sus clientes.
Además, de que en el Banco se cuenta con un documento interno para la atención de los reclamos de los
clientes denominado PRO.DCTIC.DSI.O1: Protocolo para el manejo de reclamos administrativos
relacionados a los servicios de Internet Banking. Este protocolo se estableció con el objetivo de regular y
estandarizar el proceso de atención de los reclamos administrativos relacionados a los servicios de
Internet Banking interpuestos por clientes del Banco Nacional.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
6
Añaden que los casos son atendidos por medio de la Dirección Regional respectiva. Específicamente, en
los casos de Phishing se realiza una investigación por parte del Unidad de Seguridad Informática donde
se analizan las transacciones electrónicas que se imputan y son cuestionadas por el cliente.
Para mayor detalle respecto a los procesos, procedimientos, elementos de control interno y
aseguramiento de la infraestructura tecnológica del Banco Nacional, se hace referencia al documento
denominado “Aseguramiento de la Infraestructura, procesos, políticas de seguridad de la información y
administración del servicio de Internet Banking del Banco Nacional”, oficio No. USI-025-2008.
2.6
BANCO DE COSTA RICA.
Por parte del Banco de Costa Rica, se recibió el oficio SG-DBE-01-11-01 del 21 de enero del 2008
remitido por el señor Mario Rivera Turcios en calidad de Subgerente General de la Dirección de Banca
Electrónica y al respecto nos informa:
Que las autoridades del Banco de Costa Rica (BCR) han realizado importantes inversiones en el área de
seguridad de Tecnologías de la Información (TI) por lo cual, cuentan con los controles destinados a
garantizar la seguridad de la información y recursos económicos de los cuales son custodios.
El BCR cuenta con controles relacionados con equipos firewall, equipos de detección de ataques dirigidos
a sus redes (equipos IPS), sistemas antivirus y antiespías, uso de zonas de acceso restringido, sistemas
de alarmas para identificar y alertar de situación anormales, parcheo de equipos, monitoreo externo a
cargo de una empresa que realiza monitoreos diarios de la plataforma del Banco y alerta en caso de
vulnerabilidad, encriptación que evita que la información entre cliente banco sea vulnerada por terceros.
Que el BCR al asegurar que los sistemas del banco no han sido vulnerados en ningún caso de fraude
electrónico afirma que los delincuentes han dirigido sus estrategias defraudatorias hacia los clientes,
tratando de aprovechar algún descuido de éstos en el uso de los medios electrónicos.
Que según el BCR, las situaciones de fraude se dan porque algunas personas no cuentan con sistemas de
protección en sus equipos o simplemente son engañados por los conocidos sitios falsos en donde se les
solicita sus datos privados que una vez capturados, son utilizados para cometer el fraude. En este
sentido, agrega que la plataforma del Banco es segura y monitoreada constantemente. Además de tener
un procedimiento interno para el tratamiento de incidentes de seguridad que son administrados según
corresponda para cada caso.
Se adiciona que han implementado campañas informativas sobre el fraude electrónico y medidas de
seguridad preventiva destacando la importancia de no revelar las contraseñas y realizar transacciones
desde sitios seguros. Además, de que el BCR, es sujeto de auditorías externas por una empresa
independiente la cual es contratada por la SUGEF, SUPEN y SUGEVAL.
Indican que para la prestación del servicio, todo cliente del BCR debe de firmar un contrato de cuenta
que refiere al Reglamento de Servicios de Banca Electrónica y que son de conocimiento obligado de los
clientes ya que el sistema no permite la habilitación del servicio hasta que el cliente haya aceptado
expresamente y de previo, los derechos y obligaciones derivadas de dicha normativa.
Que los sistemas de tecnologías de la información, son valorados por la SUGEF en las visitas de
supervisión y según la teoría de riesgos enfocados a los recursos con que cuenta la institución, entre más
sana sea una entidad financiera, más prolongados los períodos de visita entre una y otra. Además, se
cuenta con un programa de supervisión establecido.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
7
2.7
BANCRÉDITO.
Por su parte, Bancrédito, por medio del subgerente general, Gregorio Segura Coto, remitió el oficio SFG009-2008 del 21 de enero del 2008 con el cual se refieren a lo solicitado, destacando que el Banco ha
venido aplicado la Autoevaluación de Control Interno (…) y que producto de esa autoevaluación surgen
acciones de mejora en acatamiento a las debilidades detectadas, donde la página Web y su seguridad no
son ajenas a dicho proceso de mejora continua.
En cuanto a casos de fraude presentados en esa institución, afirma que hasta la fecha de presentación
del informe no se les había presentado un solo caso.
Además, manifiesta que el Banco cuenta con una unidad de Auditoría de Sistemas, misma que de
acuerdo a su plan de trabajo anual, realiza revisiones a los sistemas de información. Además, en la
revisión de la Auditoría Externa, que por ley se contrata en forma anual, dentro de las áreas auditadas se
encuentra la Dirección de Tecnología. La más reciente revisión que se llevó a cabo por parte de la
Auditoría Externa fue en noviembre del 2007. El Banco no está sometido a procesos de rendición de
cuentas, pero atiende cualquier requerimiento que sobre este tema soliciten los Entes de supervisión y
control.
Finalmente sobre el tema de seguros afirma, en lo que refiere a las cuentas de ahorros y corrientes el
INS no tiene entre sus productos uno que se adapte para amparar las pérdidas provocadas por fraudes
por Internet.
2.8
BANCO POPULAR Y DE DESARROLLO COMUNAL.
Del Banco Popular se recibió el oficio SGN-080-2008 fechado 21 de enero del 2008, remitido por el
Subgerente, Geovanni Garro Mora, quien aportó para la presente investigación, la información que a
continuación se destaca:
El Banco Popular y de Desarrollo Comunal no es un banco del Estado. En ese sentido el artículo 2 de la
Ley Nº 4351 del 11 de julio de 1969 (Ley Orgánica del Banco Popular y de Desarrollo Comunal)
expresamente establece que el “Banco Popular y de Desarrollo Comunal es una institución de Derecho
Público no estatal, con personería jurídica y patrimonio propio, con plena autonomía administrativa y
funcional. Su funcionamiento se regirá por las normas del Derecho Público”.
Aclarado el punto, además se obtuvo que durante el año 2007, el Banco Popular y de Desarrollo Comunal
(BP) recibió un total de 54 denuncias relacionadas con fraudes vía Internet.
Señala que en el BP “no se detectaron elementos o indicios que permitan suponer que medió violación de
los procedimientos y la normativa imperante del Banco o de sus funcionarios por lo que las transacciones
se realizaron de manera transparente y legítima para el Banco”. (ver informe de Seguridad Bancaria oficio
SS-238-2008).
En cuanto al tema de Control Interno, se aplica la metodología de mapas de riesgo y las
autoevaluaciones según la Ley Nº 8492 y la Directriz 24-2000 de la SUGEF que incluye los riesgos
inherentes a los sistemas informáticos. Por otra parte, en la actualidad no se encuentra establecida la
obligación de reportar a la SUGEF o en su defecto al Banco Central de Costa Rica.
Que el servicio que presta el BP, es un servicio conexo a la Tarjeta Popular y en ese sentido el contrato
establece que “El Banco no asume ninguna responsabilidad por pérdidas, robos, extravíos o sustracciones
a que pueda estar sujeto el cliente por parte de personas ajenas al Banco”.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
8
Que la afiliación al servicio es voluntaria y conlleva la aceptación de una serie de términos y condiciones
de uso. Establece que la “contraseña”, es prueba irrefutable de que es el cliente quien accede al sistema
en función de la aceptación de las operaciones realizadas.
2.9
RADIOGRÁFICA COSTARRICENSE.
Mediante oficio 20.GR.155.2008, la Gerencia General de RACSA remite el oficio 110.DJ.0256.2008,
mediante el cual la Asesoría Jurídica y la Dirección de Redes se refieren a la solicitud de información
planteada por parte de esta Defensoría.
Al respecto nos indican que RACSA se ha caracterizado por ser un Proveedor de Acceso a Internet (ISP,
Internet Service Provider), es decir, que únicamente conecta Internet 3 a los usuarios. Esto implica que
únicamente RACSA se limita a prestar servicios de conectividad.
Que según cita RACSA en su informe, la seguridad informática “consiste en asegurar que los recursos del
sistema de información (material informático o programas) de una organización sean utilizados de la
manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea
posible a las personas que se encuentran acreditadas y dentro de los límites de su autorización”.
(http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica )
En cuanto a la seguridad informática, ilustra señalando que depende de los requerimientos específicos de
la organización, así como de la adecuada utilización que el usuario haga de acuerdo con el sistema de
seguridad informático que cada quien implemente.
Sobre el tema de Internet bancario, una entidad contrata con RACSA para que le supla el enlace para
brindar servicios que vayan a ofrecer (servicios que a lo interno de RACSA se desconocen). A nivel de
plataforma solo se observa el envío y recepción de tráfico, pero no su contenido dado que es una
situación ajena a la Institución y además que está protegida por el principio constitucional de privacidad
de las comunicaciones.
Tampoco RACSA mantiene control de la aplicación y los esquemas de seguridad definidos por cada
entidad. En este sentido, RACSA debe de tomar las previsiones para garantizar que su plataforma no esté
expuesta a ataques que generen problemas que pongan en riesgo la operación de sus redes y
plataformas. Esto lo cumple mediante el monitoreo que realiza una empresa especializada a nivel mundial
la cual protege sus plataformas de manera ininterrumpida las 24 horas del día.
Que en tal sentido, RACSA suple seguridad sobre la operación de sus plataformas y equipos, con paredes
de fuego, pero no sobre las aplicaciones o servicios de valor agregado que desarrolla cada institución
para establecer servicios en línea en la relación banco-cliente.
Finalmente, informa que la Contraloría de Servicios de RACSA, no ha recibido ni tramitado reclamos por
fraude informático, lo cual obedece a la naturaleza de la actividad comercial desarrollada por esa
empresa de telecomunicaciones.
3
Internet es un método de interconexión descentralizada de redes de computadoras implementando en un conjunto de protocolos
denominado TCP/IP y garantiza que redes físicas heterogéneas funcionan como una red lógica única de alcance mundial”.
www.wikipedia.org
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
9
2.10
DIRECCIÓN DE APOYO AL CONSUMIDOR.
La Dirección de Apoyo al Consumidor del Ministerio de Economía, Industria y Comercio, por medio de su
Directora Cynthia Zapata Calvo, mediante oficio DAC-168-08 del 15 de marzo del 2008, nos informa en
términos generales, que la competencia de la Comisión Nacional del Consumidor está claramente definida
en la Ley No. 7472, no obstante; aclara que existen situaciones específicas en las cuales la Comisión no
podría intervenir ya sea por existir una competencia exclusiva y excluyente en la materia, como es el caso
de la materia financiera y las competencias de la SUGEF; o bien porque el objeto del reclamo es el
resarcimiento de los daños y perjuicios causados, aspecto reservado a la sede judicial.
Cita a manera de ejemplo: “debe entenderse que la Comisión Nacional del Consumidor no podría de
conformidad con el artículo 53 inciso e) decretar la suspensión de los servicios bancarios provistos por vía
electrónica sin entrar en competencias de la SUGEF, pues eso tiene incidencias a nivel de la operatividad
del sistema financiero en su conjunto”.
2.11
INSTITUTO NACIONAL DE SEGUROS.
Al ser consultado sobre el tema, el Dr. Guillermo Constenla, en calidad de Presidente Ejecutivo del INS,
mediante oficio PE-2008-0346 del 4 de marzo del 2008, señaló que el INS ofrece, a las instituciones
financieras de banca, un producto para proteger contra diversos riesgos inherentes a la actividad propia
de las mismas.
Además, existe la protección denominada “Póliza de Fidelidad Bancaria” cuyas coberturas son variadas e
incluyen “específicamente a petición de los solicitantes la cobertura denominada DELITO POR
COMPUTADORA Y ELECTRÓNICO, que brinda amparo contra fraudes electrónicos, bajo condiciones
pactadas de cobertura y ciertas exclusiones que aplicarían”.
Que adicionalmente existe un procedimiento, mediante atención de requisitos (solicitud de seguro y
cuestionario específico con información particular de la actividad desarrollada), (…) y que la póliza se
suscribe como una negociación particular y requiere de un análisis realizado por los técnicos de consuno
con las reaseguradoras”.
3. HALLAZGOS DE LA INVESTIGACIÓN.
Analizada la información rendida por las diferentes instituciones consultadas, la Defensoría ha llegado a
los siguientes hallazgos:
3.1
3.2
3.3
Que la Contraloría General de la República, mediante oficio número 14766 del 13 de diciembre
del 2007, autorizó al Banco Nacional de Costa Rica, a aplicar un procedimiento de urgencia para
la consecución de una solución integral que permita brindar autenticación en las aplicaciones de
Internet Banking.
Que la Contraloría General de la República, mediante oficio Nº 919 del 5 de febrero del año en
curso, autorizó al Banco Crédito Agrícola de Cartago (Bancrédito) una contratación directa para la
implementación de una solución que complementa el mecanismo de usuario y clave en su sitio
transaccional de Internet.
Que en materia de seguridad informática se distinguen tres elementos fundamentales 4 :
3.3.1
4
Información: Es el objeto de mayor valor para una organización, el objetivo es el
resguardo de la información, independientemente del lugar en donde se encuentre
registrada, en algún medio electrónico o físico”.
Tomado del oficio 110.DJ.256.2008. Informe RACSA.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
10
3.3.2
Equipos que la soportan: software, hardware y organización.
3.3.3
Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que
manejan la información”.
3.3.4
Que existen al menos cuatro modalidades principales de estafa para el robo de
identidad (incluye contraseña de acceso y otra información sensible de tarjetas):
- Infraestructura instalada en “cafés Internet” es posible que les capturen la clave de
acceso y otra información importante.
- Mediante la instalación de los denominados “keyloggers”; pueden ser físicos que se
conectan al teclado, o lógicos que se instalan en la computadora, así se captura todo lo
que el usuario digita.
- Técnica del “Phishing”, es una de las modalidades más generalizadas y consiste en el
envío de un correo al cliente para engañarlo mediante la suplantación de identidad
solicitándole nombre de usuario, contraseña, número de cédula, dirección so pretexto
de que el banco se encuentra realizando actualizaciones de información personal.
- Mediante software tipo “malaware”, el cual puede ser virus, Spyware, troyanos, los
cuales se instalan en las computadoras de los clientes desde donde realizan sus
transacciones diarias.
3.4
Que de la información solicitada a los Bancos, se logró elaborar el siguiente cuadro sobre el total
de dinero que se destina a los proyectos de inversión en sistemas de información. Según los
datos obtenidos, el dato cubre el año 2007 y algunas proyecciones para el 2008:
Cuadro Número 2. Inversión de los bancos estatales en
Sistemas de Información años 2007 y 2008.
Año 2007
Año 2008
Banco Nacional
Banco de Costa
Rica
6,650,000,000ºº
(sic) (seis mil
seiscientos
cincuenta millones
exactos)
Presupuesto total
de tecnología US $
55,7 millones
(2% para
infraestructura de
seguridad)
Costo equipos:
¢85,120,000,ºº
Valor origen del
software:
¢ 21,280,000,ºº
Servicios
contratados
diversos:
¢ 14,000,000ºº
No suministrado
No suministrado
650,000,000,ºº
(seiscientos
cincuenta millones
exactos)
BANCRÉDITO
BANCO POPULAR
¢ 92,185,200,ºº
(noventa y dos
millones ciento
ochenta y cinco mil
doscientos colones)
Contratación por
excepción número
1.08. Suministro e
Implementación de
Certificados Digitales
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
11
(para solución
antifraude)
TOTAL:
3.5
7,300,000,000ºº
27,850,000,000ºº
¢
¢ 92,185,200,ºº
(conversión 120,400,000,ºº
propia calculado
a ¢500ºº por
dólar)
Fuente. Elaboración propia con datos recibidos de los Bancos del Estado.
Que en el caso del Banco Nacional dentro de las principales tecnologías utilizadas de seguridad, se
destacan:
3.5.1 Certificados digitales: significa una garantía al cliente de que está accediendo al
sitio oficial del Banco de manera segura. Señalan que de esta manera se previene
la
práctica común en Internet del “enmascaramiento”, donde terceros se hacen pasar por
organizaciones reconocidas para causar perjuicio a sus clientes. Son
dirigidos a los
usuarios y el más común es el denominado “Phishing”.
3.6
3.5.2
El banco cuenta con herramientas y procedimientos para la identificación oportuna
de amenazas a la seguridad de las aplicaciones y en especial las aplicaciones Web,
lo cual, afirman que “se traduce en mejora en la seguridad de cara al cliente y los
servicios ofrecidos por el Banco”.
3.5.3
Controles Antivirus-AntiSPAM-AntiSpyware-Antimalware. La expansión de estos
controles evitan que el tráfico de e-mail y otros archivos compartidos pasen
directamente a los servidores y estaciones de trabajo (…).
3.5.4
Certificado de seguridad contra Intrusos (hacker safe). La seguridad del sitio
www.bncr.fi.cr se prueba y certifica a diario ante Hacker Safe, lo cual ayuda a
tratar las preocupaciones sobre los hackers en que no tengan acceso a los datos
confidenciales.
Que de conformidad con lo indicado por el INS, dicha entidad aseguradora ofrece a las
instituciones financieras de banca, un producto para proteger contra diversos riesgos inherentes a la
actividad propia de las mismas. En ese sentido, existe la protección denominada “Póliza de
Fidelidad Bancaria” cuyas coberturas son variadas e incluyen “específicamente a petición de los
solicitantes la cobertura denominada DELITO POR COMPUTADORA Y ELECTRÓNICO, que brinda
amparo contra fraudes electrónicos, bajo condiciones pactadas de cobertura y ciertas exclusiones
que aplicarían”.
Asimismo, se ofrece un procedimiento mediante atención de requisitos (solicitud de seguro y
cuestionario específico con información particular de la actividad desarrollada) (…) la póliza se suscribe
como una negociación particular y requiere de un análisis realizado por los técnicos de consumo con las
reaseguradoras”.
3.7 Que por parte de RACSA, existen amenazas novedosas y por tanto imprevisibles y de muy diversa
índole, por lo que existen técnicas de aseguramiento de los sistemas como los que se detallan a
continuación:
3.7.2
Codificar la información: criptología, criptografía y criptociencia, contraseñas.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
12
4.
3.7.3
Vigilancia de red.
3.7.4
Tecnologías repelentes o protectoras: contrafuegos, sistemas de detección de
intrusos –antispyware, antivirus, llaves para protección de software.
3.7.5
Mantener los sistemas de información con las actualizaciones que mas impacten en
seguridad. (www.wikipedia.org)
3.7.6
Que según RACSA Internet, por sus características de red abierta, universal y
democrática, permite el ingreso y acción de múltiples actores y del llamado
concepto de “ingeniería social” que se aplica a los usuarios de forma que se
obtienen datos personales, tales como la contraseña con lo cual personas
inescrupulosas manipulan la información.
3.7.7
Que RACSA advierte que la red no es que deba dejar de utilizarse para realizar
transacciones o movimientos, sino que el uso de esta herramienta que además de
ágil, facilita muchos servicios que conllevan una gran responsabilidad de parte del
usuario quien se ve obligado a cuidar su información.
CONSIDERACIONES DE FONDO
Con fundamento en lo expuesto se realizan las siguientes consideraciones en cuanto a las fuentes del
derecho y marco jurídico aplicable:
4.1
SOBRE EL DERECHO DE ACCESO A LA INFORMACIÓN.
Una de las denuncias que con mayor recurrencia se planteó por parte de las y los afectados de estafas
bancarias fue la referida al hermetismo y poca colaboración por parte de algunas de las entidades
bancarias al momento en que las y los perjudicados requirieron información sobre su caso específico y
las razones que justificaban la declinación de algunos de los reclamos.
Tomando en consideración lo anterior, se ha considerado importante referirse al derecho de acceso a
la información que le asiste a cada una de las personas. Al respecto, en los tiempos que vivimos, la
transparencia en el ejercicio de la función pública resulta uno de los principios que con mayor frecuencia
y gravedad se violenta. Y es que la transparencia es violentada cuando se limita formal o materialmente
el derecho que tienen las y los habitantes de acceso a la información considerada como pública. La
primera regla para hacer efectiva la transparencia está en brindar la información que permita a las y los
habitantes tener un conocimiento sobre las actividades del sector público o bien empresas privadas que
suministren un servicio público. Es claro que el derecho de acceso a la información administrativa
deviene de vital importancia por cuanto es el que permite al habitante ejercer un control de la legalidad y
de la oportunidad, conveniencia o mérito, eficacia y eficiencia de los actos de la administración pública.
En este sentido, es preciso recordar cuanto afirmó la Sala Constitucional en el voto N° 2002-03074 de las
15:24 horas del 2 de abril de 2002:
“El derecho a la información es uno de los derechos del ser humano y está referido a
una libertad pública individual cuyo respeto debe ser propiciado por el propio Estado.
Este derecho, es a la vez, un derecho social cuya tutela, ejercicio y respeto se hace
indispensable para que el ciudadano tome parte activa en las tareas públicas y pueda así
participar en la toma de decisiones que afectan a la colectividad. En ese sentido, es un
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
13
derecho humano inalienable e indispensable en la medida en que se parte de que
información significa participación.
De esta manera, si la información es requisito para que el ciudadano individualmente
considerado adopte decisiones, informar, a la vez, es promover la participación
ciudadana. El derecho de la información distingue tres facultades esenciales de quienes
lo ejercen: la facultad de recibir, la facultad de investigar y la facultad de difundir
informaciones. La facultad de recibir información se refiere principalmente a la
obtención, recepción y difusión de noticias o informaciones, las cuales deben referirse a
hechos con trascendencia pública y ser conformes con la realidad, asequible por igual a
todos, debiendo referirse a hechos relevantes cuyo conocimiento esté dirigido a formar
opinión y a fomentar la participación del ciudadano, siendo requisito esencial que la
información sea completa y veraz” (el destacado no corresponde al original).
En cuanto a los Derechos del Consumidor y el acceso a la información, la Defensoría se permite tomar
nota de algunas apreciaciones en la materia que plantea ante los hechos denunciados la Asociación de
Consumidores Libres, al señalar que del derecho citado, se deriva en materia comercial, el derecho de
información que establece claramente el artículo 41 del Reglamento a la Ley de Promoción y
Competencia y Defensa Efectiva del Consumidor. Este derecho se complementa con el derecho de tutela
de los intereses económicos y sociales como derechos fundamentales al ser catalogados como “derechos
fundamentales e irrenunciables” del consumidor según los mismos tratados y convenios internacionales
que conforman nuestro cuerpo normativo.
Es decir, debe garantizarse el acceso a una información, así establecido por la misma Asamblea General
de Naciones Unidas, cuando emitió las directrices para la protección al consumidor según se cita:
“Derecho a la información. La publicidad, las etiquetas, los precios, los instructivos, las garantías y, en
general toda la información de los productos y servicios que le ofrezcan debe ser oportuna, completa,
clara y verdaderamente para que pueda elegir sabiendo lo que se está comprando”
(http://www.profeco.gob.mx/saber/derechos7.asp)
En igual sentido, la misma Comisión de Defensa al Consumidor mediante el voto número 005-00 del 13
de enero del 2000, reafirmó que “(…) es necesario recalcar (…) que el principal objetivo del deber de
información del comerciante, es suministrar al consumidor todos los elementos que incidan directamente
en su decisión de consumo. Se pretende con ello, que el consumidor cuente con toda la información
necesaria para decidir si consume o no un bien o recibe un servicio, y que esa información, se presente al
consumidor de forma clara y veraz”.
En cuanto a lo citado, sin duda alguna, un aspecto vital para la prestación del servicio electrónico por
parte de los bancos, es el tema de la información que ofrecen a sus clientes. Esta información además de
clara y veraz debe de tener como respaldo niveles de seguridad informática para las transacciones que
realice el cliente dado que, sin duda alguna, se expone a un servicio riesgoso. Es claro que cada vez que
una entidad bancaria amplia la oferta de servicios a sus clientes, debe brindar la información necesaria
que le permita al cliente no sólo conocer en qué consiste el nuevo servicio, sino, además si el mismo
conlleva algún tipo de riesgo en su uso.
4.2
SOBRE EL DERECHO HUMANO A LA PROTECCIÓN DE DATOS.
El tema del acceso a la información trae consigo la urgente necesidad de determinar cuál es la
información que resulta accesible por ser considerada como pública, de qué forma es catalogada como
tal y, cuáles son los mecanismos utilizados por el Estado para salvaguardar aquella información no
catalogada como pública.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
14
Es así como el derecho de acceso a la información requiere de ser complementado con el respeto al
derecho que, modernamente se ha denominado el Derecho de autodeterminación informativa, el
cual puede definirse de la siguiente forma:
“ (...) la autodeterminación informativa o tutela de los datos personales es un derecho
personalísimo que ha adquirido autonomía conceptual con relación a otros derechos de la
persona como la intimidad o privacidad, la imagen, el honor o la identidad personal, y se
integra en un marco amplio de la libertad y la identidad personal. Implica la facultad de
ejercer control sobre la información personal del concernido, contenida en un registro de
cualquier tipo. Ha surgido para aplicarse a nuevas realidades jurídicas, que sólo
parcialmente, pueden ser descriptas o fundamentadas a través de la noción tradicional de
"intimidad", ya que es un producto de la era informática. Su fundamentación jurídica
puede y debe relacionarse con el derecho a la intimidad, pero lo excede, refleja más que
una protección a la intimidad, ya que puede contener también los intereses de un grupo
social contra el procesamiento, almacenamiento y recolección de información,
especialmente vinculado con prácticas discriminatorias." 5
En Costa Rica, la Procuraduría General de la República en Dictamen Nº 037-2002 del 8 de febrero del
2002, señalaba en torno al derecho de autodeterminación informativa:
(…).La autodeterminación informativa reconoce el derecho que tiene todo ser humano de
"controlar" el manejo de sus datos personales por parte de terceras personas. Se entiende
por controlar el hecho de conocer quiénes manejan su información personal, para qué
fines y el tipo de información que manejan, así como los derechos derivados de rectificar
los datos incorrectos o solicitar la eliminación de las informaciones innecesarias. Por ello,
la autodeterminación informativa cae dentro del ámbito de la autonomía personal y, más
específicamente, de la identidad personal, que le permite conocer y fiscalizar la utilización
que realicen terceros de sus datos personales. Fiscalización que no solo constituye un
ejercicio de la libertad, sino que también genera un marco de protección al individuo
contra las actuaciones de terceros que, con el uso indebido o abusivo de su información,
podrían colocarse en una situación de poder sobre el interesado".
Este derecho ha sido reconocido por la Sala Constitucional como una derivación del derecho a la
intimidad, tal y como fue señalado en la resolución No. 4847-99 del 22 de junio del 1999. Asimismo,
conviene referirse a qué se ha entendido por “datos personales”. Al respecto, la Procuraduría General de
la República, en dictamen C-238-2002 del 17 de setiembre 2002, definió el concepto de dato personal
como el referido a la “posibilidad de identificación del titular de esos datos, por lo que bien cubre datos
que sean de fácil conocimiento público, como son el sexo o el color de la piel, los cuales incluso son
susceptibles de una protección mayor, en tanto como datos sensibles puede dar lugar a
discriminaciones”.
Es claro que la tutela de los datos personales conlleva un mayor esfuerzo, esto tomando en
consideración las nuevas manifestaciones tecnológicas que puedan afectar al uso de los datos personales
de los ciudadanos y a su derecho fundamental a la protección de los mismos. En ese sentido, conviene
señalar que junto al desarrollo tecnológico y de nuevos servicios de la sociedad de la información se ha
ampliado las opciones de intercambio de información entre las personas y de acceso a la misma
5
VIGGIOLA, Lidia E. y MOLINA QUIROGA, Eduardo. Tutela de la autodeterminación informativa. Aproximación a una
regulación eficaz del tratamiento de datos personales. Ponencia presentada al Congreso Internacional "Derechos y Garantías en el
Siglo
XXI"
de
la
Asociación
de
Abogados
de
Buenos
Aires.
Documento
electrónico
localizado
en
http://www.aaba.org.ar/bi151302.htm. Abril de 1999.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
15
poniendo en jaque los criterios tradicionales de garantía de la protección de datos y la privacidad, que
deben adaptarse a los nuevos retos que se plantean.
Lo anteriormente expuesto cobra importancia en cuanto al deber que tienen las entidades financieras de
resguardar los datos referidos a sus clientes. En ese sentido, la Agencia Española de Protección de
Datos, institución de avanzada en el tema, elaboró una serie de Recomendaciones para usuarios de
Internet 6 , donde se explica de una forma amigable y con claridad cuáles son los principales riesgos a los
que se ven expuestos las y los usuarios de Internet en cuanto al uso de sus datos personales. Asimismo,
se establecen como características que definen a un sistema de transacciones seguras las siguientes 7 :
“Garantizar, mediante el cifrado, la confidencialidad de las transacciones comerciales
electrónicas, de manera que los datos contenidos en dichas transacciones sólo sean
accesibles a las partes intervinientes.
Garantizar, mediante el uso de firmas electrónicas, la integridad de las transacciones, de tal
manera que su contenido no pueda ser alterado por terceros ajenos, sin ser descubiertos.
Garantizar, mediante el uso de la firma electrónica y la certificación, la autenticidad tanto
del titular del medio de pago, como del proveedor. La firma electrónica garantiza la
integridad de la transacción. La certificación por parte de un tercero de confianza (TTP o
Trusted Third Party) garantiza la identidad de las partes que intervienen en la
transacción.”.
De esta forma, la protección de los datos brindados por las y los usuarios de los servicios ofrecidos vía
Internet por las entidades financieras, resulta también un tema que debe ser considerado por los
proveedores de los servicios, todo en aras de generar un clima de seguridad para las y los clientes que
deciden utilizar los servicios.
4.3 SOBRE
EL FRAUDE ELECTRÓNICO
8
.
En los últimos años, Costa Rica ha tenido un importante incremento en relación con el acceso de la
población a la red mundial de información conocida como Internet. La red, ha desarrollado espacios para
tener acceso a servicios públicos y privados, comercio, información de diarios, bibliotecas, bancos y un
contacto permanente con familiares y amigos alrededor del mundo, entre muchos otros usos. Ante este
panorama, tanto empresas privadas como instituciones públicas han visualizado en Internet un potencial
interesante para la promoción de sus servicios.
En este sentido, no se han quedado atrás los bancos estatales ni privados, ofreciendo atractivas ventajas
mediante la utilización de los servicios de banca electrónica, o “ventanillas de banco electrónico”,
promocionándose la facilidad que significa para las personas usuarias el realizar transferencias de diversa
índole tales como pago de servicios públicos, municipales, gremiales e incluso de inversiones, entre
muchos otros más, sin tener que desplazarse a las instalaciones bancarias.
Esta oferta de trámites electrónicos, sin duda alguna, responde a las exigencias personales y
empresariales de competitividad para más y mejores servicios que permitan a los actores enfrentar con
eficiencia y eficacia las exigencias de los mercados modernos. Esta nueva modalidad de prestación de
6
https://www.agpd.es/portalweb/canaldocumentacion/recomendaciones/common/pdfs/Recomendaciones-Internet-mayo-2006.pdf
https://www.agpd.es/upload/Recomendaciones_Internet_2001%20_V3.pdf
8
Fraude: acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete. 2. Acto tendente a eludir
una disposición legal en perjuicio del Estado o de terceros. Electrónico: Adj. relativo a la electrónica.
Definiciones según el Diccionario de la Lengua Española de la Real Academia. Vigésima Primera Edición.
7
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
16
servicios vía electrónica, trae consigo los retos que conlleva el establecer parámetros de eficiencia,
confianza y seguridad en la prestación de los mismos.
Es así como, al generarse en la red mayor actividad ligada al tema del dinero, igualmente se han
proliferado nuevas modalidades delictivas que atentan contra el derecho a la intimidad e información de
los usuarios, así como contra su esfera patrimonial. Es decir, se da una relación lógica que nos indica que
a mayor crecimiento y movimiento comercial, de igual manera se da un aumento creciente de nuevas
actividades delictivas.
Lo anterior se ha visto reflejado en la presentación de quejas 9 ante la Defensoría de los Habitantes, por
“Fraude Electrónico”. Las solicitudes de intervención recibidas generaron la necesidad de realizar una
investigación del accionar de los bancos del Estado en punto a los fraudes electrónicos denunciados
(infraestructuras en cafés Internet; keyloggers; Phishing; malaware), desde la perspectiva de los
Derechos Fundamentales y el Derecho a un Buen Gobierno.
Conviene recordar como se ha citado, que el Derecho a un Buen Gobierno, contiene varios elementos
esenciales que lo dotan de contenido y permiten a las y los habitantes exigir a las instituciones públicas
su aplicación. Entre dichos elementos se ubican tanto la legalidad como la eficiencia, la eficacia y la
responsabilidad, entre otros.
En el caso de la prestación de servicios públicos, cobra especial importancia el cumplimiento efectivo de
los principios de eficiencia y eficacia. En tal sentido, esta Defensoría ha señalado que “los procesos de las
instituciones deben producir resultados que satisfagan las necesidades de las personas haciendo el mejor
uso de los recursos a disposición... 10 ”.
Ahora bien, en tratándose de servicios públicos novedosos, tales como los ofrecidos por los bancos del
Estado vía Internet, conviene determinar cuáles son las obligaciones que la prestación de dichos servicios
genera para las instituciones que los brindan. Asimismo, se plantea la interrogante de cuál debe ser el
papel del Estado en la protección de los derechos de las personas que pudieran verse afectadas con
ocasión de estas nuevas modalidades de prestación de servicios.
Sobre este tema y según estudio realizado por el periódico La Nación, se destaca que “en los Estados
Unidos, la Ley ordena que el banco reintegre el dinero o pruebe que el usuario actuó de forma
fraudulenta, o que de alguna forma permitió que la transferencia se realizara”11 .
Sobre el mismo tema en Inglaterra por ejemplo, el mismo artículo destaca que “la ausencia de ley no fue
excusa para los banqueros ingleses, quienes voluntariamente crearon el Código Bancario. Este incluye una
norma similar a la de los Estados Unidos” 12 .
Al respecto, conviene mencionar que la primera mención del término Phishing se ubica en el año 1996, y
se indica que fue adoptado por hackers que intentaban “pescar” cuentas de miembros de la empresa AOL
en los años noventas 13 . Ya para el año 2004, el fraude electrónico y el robo de identidad se presentaba
como una importante preocupación. Desde ese momento a la fecha, tal y como se reseñó oportunamente
las modalidades de fraudes han ido en aumento en cuanto a su modalidad y número.
Para el año 2006, la empresa de seguridad informática McAfee se refería al riesgo de estafas electrónicas
e indicaba:
9
Se recibieron un total de 20 quejas, mismas que se ha tramitan bajo una investigación de oficio, Expediente Nº 13266-2007.
Defensoría de los Habitantes. Informe Anual. 2002-2003. pp. 70.
11
”Prácticas de banca en línea en CR son inaceptables”, La Nación, 13 febrero 2008. pp. 4-A
12
Ibíd.
13
http://www.conexionvip.com/310-que-es-el-phishing.html
10
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
17
“Esto continuará siendo un problema en el 2006, dado que los ataques se enfocan cada vez
más a través del uso de programas espía y ladrones de contraseñas. Los defectos en los
protocolos de correo electrónico, las debilidades de seguridad en el software de exploración y
una carencia de educación básica sobre seguridad computacional contribuyen al aumento en
los incidentes de fraude electrónico, pues los criminales se aprovechan de estas situaciones.
McAfee AVERT Labs prevé un aumento de los troyanos distribuidos de fraude electrónico,
troyanos que convierten a un computador infectado en un sitio Web de fraude electrónico y
luego crean spam para que otros usuarios vayan a ese equipo o sitio infectado.
En el año 2006, McAfee AVERT Labs también espera un mayor número de sitios Web para el
robo de contraseñas, más ataques destinados a capturar la ID y contraseña de un usuario al
mostrar una página falsa de inicio de sesión y un mayor enfoque de los servicios en línea
populares como eBay. Como demostraron los ataques de fraude electrónico después del
huracán Katrina, McAfee AVERT Labs también prevé más ataques que se aprovechen de la
disposición de ayudar de las personas. En contraste, se anticipa que el número de ataques a
ISP disminuirá y que aquellos enfocados al sector financiero se mantendrán en el mismo nivel”.
14
Lo anterior muestra cómo el tema que nos ocupa viene siendo conocido y atendido a nivel mundial desde
muchos años atrás, generando que las empresas e instituciones que brindan servicios en línea tomen las
previsiones y medidas de seguridad que permitan atender una problemática que, lo único certero es que
continuará en aumento en cuanto a su complejidad.
Tal y como se indicó, la Defensoría recibió de un grupo de afectados varias denuncias en contra de
algunos bancos estatales relacionados con la ola de fraudes electrónicos que se desató, especialmente en
el transcurso del año 2007 15 . El mayor malestar de las personas denunciantes está referido al hecho de
que en muchos casos los bancos han sido omisos en responder las gestiones planteadas, y, en aquellos
casos en que se ha dado respuesta, ésta ha sido el recomendar a los clientes plantear las denuncias
judiciales correspondientes ante el Ministerio Público.
Los bancos concentraron su posición en sostener que sus sistemas informáticos no han sido, en lo más
mínimo, vulnerados y con esto trasladan toda la responsabilidad a las y los clientes afectados por los
fraudes. Es decir, fundamentan sus argumentos en la teoría de la responsabilidad subjetiva.
De los hechos descritos se obtiene un claro descontento de los clientes que contrasta con la obligación de
los bancos de tutelar, salvaguardar, proteger y custodiar el patrimonio que les ha sido encomendado para
cuidarlo como “buenos padres de familia”; y su incuestionable vocación de servicio al cliente. Además,
conviene señalar que la temática planteada relaciona diversos derechos y obligaciones derivados de un
servicio público vinculado con la misma estabilidad del sistema bancario nacional, todo lo cual ha de ser
considerado al momento del análisis del mismo.
4.4
CONSIDERACIONES DEL DERECHO PENAL SOBRE EL TEMA
Tal y como se ha planteado con anterioridad, en contraposición a los avances tecnológicos señalados y el
impulso de una mayor eficiencia y eficacia en la prestación de los servicios públicos, han proliferado
varias modalidades de fraude informático, que han surgido en igual proporción. En la materia penal nos
14
http://www.pergaminovirtual.com.ar/revista/cgi-bin/hoy/archivos/2005/00001034.shtm
15
Noticias en diarios nacionales: “Alertan sobre fraudes electrónicos”, El Financiero, 4 octubre 2006; “Se disparan estafas bancarias
mediante Internet”, La Nación, 10 junio 2007; ”Prácticas de banca en línea en CR son inaceptables”, La Nación, 13 febrero 2008.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
18
encontramos con que el Título VI sobre Delitos contra el ámbito de intimidad en la Sección Primera el
Artículo 196 del Código Penal aborda el tema relacionado con la “Violación de Comunicaciones
Electrónicas”. Dicho artículo señala que comete ilícito la persona que:
“(…) para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se
apodere, accese, modifique, altere, suprima, intercepte, interfiera, utilice, difunda o
desvíe de su destino, mensajes, datos, e imágenes contenidas en soportes electrónicos,
informáticos, magnéticos y telemáticos (…)”
En este sentido, se adiciona el artículo 217bis de la Sección de Delitos contra la Propiedad, Título VII,
donde se establece la figura denominada Fraude Informático que dice:
“Artículo 217 bis: se impondrá pena de prisión de uno a diez años a la persona que, con la
intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya
en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante la
programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier
otra acción que incida en el proceso de los datos del sistema”. (Así reformado mediante
Ley Nº 8148 de 24 de octubre del 2001, publicada en La Gaceta del 21 de noviembre del
2001).
Del artículo citado, se desprende cómo desde el año 2001 la legislación costarricense prevé la
penalización de la conducta denunciada. De ahí que los casos denunciados por fraude electrónico, desde
la materia penal, hayan sido atendidos y actualmente tramitados por el Ministerio Público. Con las
recientes detenciones realizadas a los principales sospechosos que han actuado en territorio nacional, ha
quedado en evidencia el accionar del Ministerio Público al respecto, así como la estrategia de detectar e
ir tras redes dedicadas a este tipo de delitos.
Además, en el mismo Título, Sección V sobre Administración Fraudulenta y apropiaciones indebidas el
artículo 229 del citado Código refiere a la “Alteración de Datos y Sabotaje Informático”. En este artículo
se tipifica la conducta dolosa de una persona que:
“…por cualquier medio accese, borre, suprima, modifique o inutilice sin autorización los
datos registrados en una computadora. Si como resultado de las conductas indicadas se
entorpece o inutiliza el funcionamiento de un programa de cómputo, una base de datos o
un sistema informático, la pena será de tres a seis años de prisión. Si el programa de
cómputo, la base de datos o el sistema informático contienen datos de carácter público se
impondrá pena de prisión de hasta ocho años”.
4.5 DE LAS TEORÍAS JURIDICAS DE LA RESPONSABILIDAD.
Conviene analizar el tema que nos ocupa desde la óptica de la responsabilidad jurídica, para ello
profundizando en el presente apartado en los diferentes tipos de responsabilidad existentes, enunciados
tanto en el nivel doctrinal como normativo en la legislación costarricense.
Resulta importante recordar que en el ordenamiento jurídico costarricense el principio básico de la
responsabilidad civil a nivel general se manifiesta en el artículo 1045 del Código Civil cuando establece
que: “aquel que por dolo, falta, negligencia o imprudencia, cause un daño a otro, está obligado a
repararlo junto con los perjuicios.”
Claramente se desprende que esta disposición se rige por una noción que atiende a consideraciones
subjetivas del agente productor del daño y no es sino en el artículo 1048 del mismo Código Civil que se
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
19
establece una responsabilidad que, trascendiendo a quien directamente produce el daño, envuelve
también a un tercero cuando indica que: “quien encarga a una persona el cumplimiento de uno o varios
actos está obligado a escoger una persona apta para ejecutarlos y a vigilar la ejecución de lo
encomendado en los límites de la diligencia de un buen padre de familia.”
Ahora bien, específicamente en el ámbito del Derecho Administrativo los principios que perfilan el
régimen de responsabilidad de la Administración Pública se encuentran en la Constitución Política,
concretamente en los artículos 9, 41 y 49, tal y como se desprende de su lectura 16 .
Consecuente con esta última disposición constitucional, la Ley Reguladora de la Jurisdicción Contencioso
Administrativa, en su momento, estableció en los artículos 2 inciso b) y 23, que a esa jurisdicción
corresponde conocer sobre la responsabilidad patrimonial del Estado y demás entidades de la
Administración Pública y de las eventuales indemnizaciones que surjan como consecuencia del actuar
lesivo de la Administración.
Finalmente, la Ley General de la Administración Pública vino a establecer expresa e inequívocamente en
las disposiciones del Título Sétimo, dos condiciones base para la atribución de la responsabilidad
administrativa, la primera y esencial es la de producir un daño, mismo que para ser resarcible ha de
reunir los requisitos de ser efectivo, evaluable económica e individualizable respecto a una persona o
grupo (artículo 196 de la Ley General de la Administración Pública) y la segunda, que ese daño se
produzca a consecuencia de la actividad de la Administración. Se trata pues del también
denominado régimen de extensión de la responsabilidad del Estado que se evidencia claramente en el
artículo 190 cuando establece:
“Artículo 190.- 1. La Administración responderá por todos los daños que cause su
funcionamiento legítimo o ilegítimo, normal o anormal, salvo fuerza mayor, culpa de la
víctima o hecho de un tercero. (…)
Asimismo, en el artículo 191 se estableció la obligación de la Administración de reparar todo daño
causado a los derechos subjetivos ajenos por faltas de sus servidores cometidas durante el desempeño
de los deberes del cargo o con ocasión del mismo, utilizando las oportunidades o medios que ofrece, aún
cuando sea para fines o actividades o actos extraños a su misión.
A partir de la promulgación de la Ley General de la Administración Pública interesa precisar que se
establecieron en el ordenamiento jurídico administrativo varias condiciones básicas para la imputación a
la Administración de la obligación de resarcir:
1.- Que el agente al momento de producir el daño se encuentre en el ejercicio de su función o
bien, utilizando los medios y/o las oportunidades que le da el cargo que ostenta aún cuando
sea para fines o actos extraños a su función.
2.- la titularidad de la Administración respecto a la actividad o servicio del cual se deriva el daño.
3.- la demostración de que el agente forma parte de la organización administrativa.
4.- la existencia de una lesión o daño cierto, real y efectivo, no eventual ni hipotético.
5.- una relación de causalidad entre el hecho imputable a la Administración y el daño infringido.
6.- que el daño sea antijurídico entendido como la no obligación del afectado de soportarlo.
16
Artículo 9.- El Gobierno de la República es popular, representativo, alternativo y responsable. (…)
Artículo 41.- Ocurriendo a las leyes, todos han de encontrar reparación para las injurias o daños que hayan recibido en su
persona, propiedad o intereses morales. Debe hacérseles justicia pronta, cumplida, sin denegación y en estricta conformidad con
las leyes.
Artículo 49.- Establécese la jurisdicción contencioso-administrativa como atribución del Poder Judicial, con el objeto de garantizar
la legalidad de la función administrativa del Estado, de sus instituciones y de toda otra entidad de derecho público. (…)
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
20
7.- que no han operado causales eximentes de imputabilidad tales como fuerza mayor, culpa de
la víctima o hecho de un tercero.
Tal y como se evidencia de estos elementos, no se obliga a la víctima a demostrar culpa ni dolo del
agente para exigirle responsabilidad al Estado.
En lo que concierne al alcance que tiene la obligación del Estado de indemnizar a la víctima, el régimen
costarricense de responsabilidad objetiva abarca no sólo los daños sino también los perjuicios cuando la
lesión se ha producido a consecuencia de un acto ilícito o de un funcionamiento anormal de la
Administración, conforme los artículos 190 a 192 de la Ley General de la Administración Pública y hoy
retomado por el nuevo Código Procesal Contencioso Administrativo.
No ocurre lo mismo en el supuesto de daño por conducta lícita o funcionamiento normal en que sólo son
indemnizables los daños pero no los perjuicios o lo que es lo mismo, el denominado lucro cesante
(artículo 194, inciso 2 de la Ley General de la Administración Pública).
La jurisprudencia de la Sala Constitucional ha sido consistente al diferenciar ambos conceptos,
usualmente utilizados en forma errónea como uno sólo:
“(…) con el nombre de “daños y perjuicios” se designa la indemnización pecuniaria que el
deudor está obligado a satisfacer al acreedor. El daño es la pérdida sufrida. El perjuicio
es la ganancia que deja de producirse. El daño constituye la pérdida irrogada al
damnificado (damnun emergens), en tanto el perjuicio está conformado por la ganancia
o utilidad frustrada o dejada de percibir (lucro cesans), la cual era razonable y
probablemente esperable si no se hubiese producido el hecho ilícito (…). 17
Asimismo de interés para el caso objeto de la presente denuncia, importa destacar que el Derecho
Administrativo costarricense reconoce la indemnización no sólo de los daños materiales o patrimoniales
sino también por afectación a bienes morales, dando lugar a lo que en doctrina se conoce como un
resarcimiento plenario, tal y como claramente se desprende del artículo 197 de la Ley General de la
Administración Pública 18 .
Más recientemente, mediante el Voto Nº 1333 de las diez horas quince minutos del 2 de noviembre del
2007, la Sala Tercera de la Corte Suprema de Justicia, desarrolla y reitera la aplicación de Teoría de la
Responsabilidad Objetiva con base en la cual condena al Banco Nacional de Costa Rica al pago de los
daños y perjuicios debidamente determinados en la sentencia a favor de los actores civiles debidamente
legitimados.
Dicho voto además, cita jurisprudencia que señala que “...en la responsabilidad civil objetiva debe existir un
nexo causal entre la actividad riesgosa puesta en marcha por el agente y el daño ocasionado” (Sala Primera
de la Corte Suprema de Justicia, No. 354 de las 10 horas del 14 de diciembre de 1990).
Alguna otra jurisprudencia que permite perfilar el tema de la responsabilidad civil objetiva es la que a
continuación se cita:
(…) En la responsabilidad objetiva o por riesgo creado “... se prescinde del elemento
culpa como criterio de imputación, enfocándose en una conducta o actividad de un
sujeto físico o jurídico, caracterizada por la puesta en marcha de una actividad peligrosa,
o la mera tenencia de un objeto de peligro. El elemento de imputación de esta
17
Voto de las 14:00 horas del 15 de julio de 1992, Sala Constitucional de la Corte Suprema de Justicia.
Artículo 197.- Cabrá responsabilidad por el daño de bienes puramente morales, lo mismo que por el padecimiento moral y el
dolor físico causados por la muerte o por la lesión inferida, respectivamente.
18
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
21
responsabilidad es el riesgo creado, o la conducta creadora de riesgo. Por ello, se afirma,
la noción de riesgo sustituye los conceptos de culpa y antijuricidad...” (Sala Primera de la
Corte Suprema de Justicia No. 376 de las 14:40 horas del 9 de julio de 1999).
Desde el punto de vista práctico -dice el jurista costarricense Víctor Pérez Vargas-:
“...la responsabilidad objetiva se resume en una ventaja a favor del lesionado que significa
una parcial inversión la (sic) de la prueba, en el sentido de que ésta queda exonerado de la
carga de probar la culpa (culpa o dolo) del causante del daño y vano sería el intento de éste
de probar su falta de culpa...” (Pérez Vargas, Víctor, Derecho Privado , I Edición, Editorial
Publitex, San José, Costa Rica, 1988, Pág. 417).
Conviene al respecto hacer mención a lo resuelto por la Defensoría de los Habitantes en cuanto al tema
de la Responsabilidad Objetiva, mismo analizado en el Expediente Nº 20480-24-2005, en el cual se
señala, entre otras cosas, lo siguiente:
“La denominada responsabilidad objetiva de la Administración Pública tal y como la concibe el moderno
Derecho Administrativo y que recoge el ordenamiento jurídico costarricense, en realidad es el resultado
de la evolución de varias etapas donde del principio inicial de irresponsabilidad del Estado por sus
actuaciones se pasa posteriormente a reconocer una responsabilidad del funcionario en la que a tales
efectos se deslinda entre los actos de gestión y los actos de autoridad, donde los primeros se colocan en
la esfera del derecho privado concibiendo una igualdad de derecho entre las partes –funcionario y
administrado- mientras que los actos de autoridad por el contrario parten de la premisa de una
desigualdad de derechos justificada en las relaciones de poder del Estado, de modo que si el acto que
originaba el daño era un acto de autoridad justificado en un “interés público”, el Estado prevalecía sobre
la persona y no cabía indemnización alguna.
En una tercera etapa se subordinó la responsabilidad del Estado a la existencia de una falta de servicio
configurada cuando actuando el funcionario dentro del marco de la competencia administrativa causaba
un daño; se la diferenció entonces de la falta personal que corresponde a la cometida por el
representante del Estado que se extralimitaba en el cumplimiento de sus funciones con la intención de
dañar.
La cuarta etapa es en la que se evoluciona de la noción de culpa del funcionario a la sola constatación del
daño producido con ocasión del simple funcionamiento de la Administración, es decir, se abandona la
teoría de la culpa del funcionario para pasar a la teoría objetiva de la responsabilidad como fundamento
del instituto indemnizatorio.
Desde el enfoque del Derecho Administrativo, sobre la conducta omisiva, recordemos que los Bancos al
ofrecer el servicio, deben someterse a un riguroso procedimiento de valoración del riesgo dado que
eventualmente con el servicio exponen a su cartera de clientes a un riesgo. Es decir, dicha conducta
refiere a la obligación del banco de haber tomado medidas que, en principio no fueron tomadas, y que
propiciaron las consecuencias negativas como las ya conocidas. En este sentido, según el autor Pérez
Vargas, la doctrina y la jurisprudencia advierten que “esa conducta omisiva configura el daño por
omisión, por negligencia y por falta de diligencia” 19 .
En igual sentido, las consideraciones que ha formulado la Asociación de Consumidores Libres, a la luz de
la prestación del servicio de la banca electrónica, señala que una conducta omisa implica no haber
realizado algo que debió de haberse previsto o realizado. Considerado por la doctrina y la jurisprudencia
19
Ibíd. pp. 387.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
22
como negligencia, omisión y falta de diligencia 20 . Es decir, que la omisión por culpa tiene lugar por el
descuido de cumplir deberes superiores (…) 21 .
Complementariamente, nos referimos a la Teoría del Riesgo Creado, la cual consiste en que la persona
que se beneficia de una actividad o bien peligroso, para su explotación económica, representa un peligro
social, por lo que debe enfrentar los daños que por su explotación ocasione, sin consideraciones de
índole subjetiva, pues una actuación diligente no evita el daño.
Desde este análisis, debe recordarse que el elemento de culpabilidad es determinante de la
responsabilidad subjetiva (es decir, del sujeto, de su actuación) por lo que quien produce el daño se
libera cuando no se logra demostrar que su actuación ha sido negligente. Es decir, que la conducta del
sujeto es valorada para poder imputar una posible indemnización. Conviene señalar que la culpa se
sanciona para inducir a los ciudadanos hacia una conducta diligente, con la finalidad de procurar una
convivencia social óptima para tomar las previsiones necesarias del caso para no causar daños a los
demás, pues si la persona actúa con la debida diligencia el daño se podría haber evitado.
Lo anterior, sería aplicable a la actuación de los bancos, bajo el entendido de que no debe pretender
trasladar toda la responsabilidad al sujeto, a su cliente, al que está sometiendo mediante el servicio
ofrecido a una actividad que implica una condición riesgosa.
Un aspecto adicional que conviene destacar es lo relacionado con el debido proceso en vía
administrativa, es decir, de los casos revisados la intervención del banco se limitó a realizar auditorías
informáticas, como por ejemplo lo fue el caso del Banco Nacional; no obstante, no fueron
procedimientos formales conforme lo establece la Ley General de la Administración Pública. Con lo
anterior, se estaría en presencia de una posible violación al debido proceso y derecho de defensa de las
y los afectados.
4.6
SOBRE EL CONTROL INTERNO Y LA VALORACIÓN DEL RIESGO.
El Control Interno, entendido como el proceso, ejecutado por el consejo directivo, la administración y
otro personal de una entidad, diseñado para proporcionar seguridad razonable referente al logro de
objetivos en las siguientes categorías: a) proteger y conservar el patrimonio público contra cualquier
pérdida, despilfarro, uso indebido, irregularidad o acto ilegal; b) exigir confianza y oportunidad de la
información; c) garantizar eficiencia y eficacia de las operaciones; d) cumplir con el ordenamiento
jurídico y técnico 22 ; es considerado hoy en día como vital en el quehacer de las organizaciones y la
realización de una gestión pública de calidad.
En ese sentido, conviene destacar que el Committee of Sponsoring Organization 23 , -COSO- por sus siglas
en inglés, ha generado un cambio importante en el enfoque del Control Interno, estableciendo nuevos
criterios técnicos para mejorar los sistemas que buscan propiciar una mayor eficacia en la organización.
Para lograr el efectivo cumplimiento de los objetivos establecidos mediante el control interno, se han
determinado cinco componentes del mismo a saber: ambiente de control; administración del
riesgo; actividades de control; información y comunicación; y monitoreo. Cada uno de estos
componentes a su vez ha sido desarrollado de forma tal que las organizaciones puedan trabajar en la
aplicación de los mismos.
Conviene indicar a la vez que la Ley de Control Interno Nº 8292, retoma en gran parte los componentes
promovidos por dicha organización y que consecuentemente pretende optimizar la consecución de los
20
21
22
23
Pérez Vargas, Víctor. Derecho Privado. San José, 1994. pp. 387.
Borrel Macia, Antonio. Responsabilidades derivadas de culpa extracontractual. Barcelona, pp. 63.
Ley General de Control Interno (Nº 8292); artículo 8.
http://www.coso.org/
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
23
objetivos institucionales por medio del adecuado control interno. Además, todo eso ligado al Sistema
Específico de la Valoración de Riesgos que corresponde a la Administración Activa.
En cuanto a la Valoración del Riesgo para analizar los factores tanto externos como internos del contexto
dentro del cual funcionan los bancos, como referente teórico se menciona la norma AS/NZS 4360:1999 24
la cual contiene aspectos tales como la definición aceptable de los riesgos para la organización, es decir,
lo que ofrece tanto el entorno interno como el externo. Mejor conocido como el establecimiento del
contexto. Esto necesariamente conlleva a un segundo paso que estaría determinado por la identificación
del riesgo; es decir que debe darse un señalamiento de los riesgos posibles que están ya sea en el
entorno interno o en el externo.
Una vez identificados se procede con su análisis. En este sentido, la Administración debe,
necesariamente, tener la capacidad de conocer y tener un nivel de riesgo aceptado por la misma
organización y las posibles consecuencias que de ahí se puedan manifestar. Posteriormente, el otro
componente que se propone es la evaluación del riesgo una vez analizado; es decir, que sea posible
generar un plan de acción que se ajuste a la consecución de los objetivos trazados por la organización.
Finalmente, un elemento a destacar es el del tratamiento del riesgo como paso fundamental dado que es
necesario cuantificarlo en función de las opciones para su posible tratamiento.
Todos estos componentes, deben de estar permeados y retroalimentados constantemente por un
constante monitoreo a nivel interno y externo, de la tal suerte que se busque un mejoramiento casi
permanente y que persigue por ende minimizar el riesgo.
Si se analiza con detenimiento la propuesta de la valoración del riesgo en complemento con la teoría de
la responsabilidad objetiva, se evidencia que los controles y los riesgos a que se expone a los clientes de
los bancos eran de suficiente consideración como para únicamente trasladar la responsabilidad del riesgo
con la simple firma contractual de la relación Banco-Cliente a los usuarios del servicio. Es decir, si ya se
sabía que existe un riesgo inminente al exponer al cliente al “ciberespacio”, los bancos debieron de
minimizar el riesgo o al menos asegurar de manera solidaria el patrimonio de sus clientes.
El caso de las estafas electrónicas, puede catalogarse como el típico daño por funcionamiento legítimo
recogido por el artículo mencionado con anterioridad y los siguientes de la Ley General de Administración
Pública.
El daño por funcionamiento legítimo se ajusta a la prestación del servicio bancario y según los descargos
de las autoridades de los bancos, estas pretenden relegar la responsabilidad basándose en la teoría de la
responsabilidad subjetiva, la cual ha ido perdiendo terreno ante las nuevas corrientes de la
responsabilidad objetiva e incluso por la teoría de la Responsabilidad del Estado Legislador.
En igual sentido, los Bancos cuestionados han pretendido excusarse apelando al Principio de Legalidad 25 ,
por la ausencia de leyes que regulen el tema; sin embargo, no sería de recibo dados los referentes
jurisprudenciales como los citados en el presente informe sobre la responsabilidad objetiva que confirman
la responsabilidad de las autoridades administrativas en este sentido.
Por otra parte, el agotamiento de la vía administrativa por parte de los Bancos, se limitó en su momento
a consignar los registros y movimientos de las direcciones IP (por su siglas en inglés: Internet Protocol)
que por el contrario, en algunos casos, demostraron que las rutas no correspondían a un comportamiento
24
Estándar Australiano para la Valoración del Riesgo. Referente Teórico básico:
http://www.wales.nhs.uk/ihc/documents/A.4.1.4_Australia_and_New_Zealand_Methodology_AS_NZ%204360_1999.pdf
25
Consagrado en el artículo 11 de la Constitución Política, y desarrollado también en el artículo 11 de la Ley General de la
Administración Pública.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
24
normal de la actividad comercial o financiera de sus clientes. Es decir, se rompía abruptamente con un
perfil de movimientos diarios.
En este sentido, esta Defensoría considera que las investigaciones realizadas por cada entidad financiera
y que a la postre utilizan para evadir su responsabilidad ante el cliente, son de carácter eminentemente
técnico, sin atender los parámetros y condiciones básicas como para ser catalogados como
procedimientos administrativos formales que tengan el poder de agotar la vía administrativa. Dicho de
otro modo, las investigaciones realizadas por los bancos constituyen un insumo técnico dentro del
contexto de una investigación preliminar; pero no constituyen un procedimiento administrativo donde el
cliente hubiera tenido la oportunidad de ofrecer sus argumentos o descargos, si fuera el caso, en un
tema tan importante, como lo es la evasión de la responsabilidad bancaria.
Es por ello que la Defensoría considera que en este sentido, lo bancos vulneraron los derechos de
defensa y al debido proceso de sus clientes.
Además, debe llamarse la atención en cuanto a que existe un campo de acción que no puede evadirse ni
obviarse, el cual es el de la investigación y responsabilidad administrativa. Preocupa a esta Defensoría la
manera en que, al referir los casos a la vía judicial, la administración bancaria pretendía evadir una cuota
de responsabilidad administrativa, que a la postre en la vía judicial, podría resultar más onerosa en
términos de condena, costas e indemnizaciones para el sistema bancario nacional, más allá de la
devolución de los dineros sustraídos a sus propios clientes, como inicialmente fue pretendido.
En este sentido, se retoma lo que señala el artículo 111 de la Ley de la Administración Financiera de la
República y Presupuestos Públicos, Ley número 8131, la cual refiere al delito informático estableciendo
que:
“Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios
públicos o particulares que realicen, contra los sistemas informáticos de la Administración
Financiera y de Proveeduría, alguna de las siguientes acciones:
a.) Apoderarse, copiar, destruir, alterar, transferir o mantener en su poder, sin el debido
permiso de la autoridad competente, información, programas o bases de datos de
usos restringido.
b.) Causar daño, dolosamente, a los componentes lógicos o físicos de los aparatos, las
máquinas o los accesorios que apoyan el funcionamiento de los sistemas informáticos.
c.) Facilitar a terceras personas el uso del código personal y la clave de acceso asignados
para acceder a los sistemas.
d.) Utilizar las facilidades del Sistema para beneficio propio o de terceros.
Otro aspecto que merece atención, es que no queda suficientemente demostrado que las autoridades
bancarias hayan sido exhaustivas para lograr un claro panorama sobre el tema de los seguros que
refieren al fraude electrónico. No queda demostrado que se haya planteado alguna negociación concreta
con el Instituto Nacional de Seguros sobre esta posibilidad. Lo anterior con motivo de la opción que dejó
planteada la Presidencia Ejecutiva del INS al afirmar que: “esta Institución está en capacidad de ofrecer a
los bancos estatales y privados un seguro para amparar bajo determinadas condiciones y términos las
pérdidas económicas derivadas de los riesgos señalados supra, incluyendo lo concerniente a los fraudes
electrónicos 26 ”.
26
Ver. Oficio PE-2008-0456 del 26 de marzo de 2008. pp. 2.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
25
4.7
SOBRE LA NORMATIVA EN TECNOLOGÍA DE LA INFORMACIÓN 27 .
A continuación se refieren parte de los lineamientos girados por la SUGEF, como base para regular la
administración, los sistemas, los equipos, la seguridad, la utilización y los controles aplicados al Área de
Tecnología de la Información de las entidades fiscalizadas.
“Normativa de Tecnología de la Información.
(…) Artículo 27. La entidad debe establecer y comunicar a sus clientes las condiciones legales
y operativas bajo las cuales se brindará el servicio financiero por Internet, que determinen
cuándo, cómo, dónde y a quién se le dará el servicio.
Artículo 28. La entidad debe administrar adecuadamente la seguridad lógica de los servicios
financieros por Internet. Para esto la entidad debe:
a.) Establecer (sic)
b.) Implementar mecanismos de seguridad que protejan la integridad y privacidad de la
información sensible cuando el canal de transmisión sea Internet
c.) Implementar y dar mantenimiento a los mecanismos de seguridad en todos aquellos
puntos con acceso al servicio financiero por Internet. Estos mecanismos deberán probarse
al menos dos veces al año.
d.) Mantener activas y definir periodos de retención para las bitácoras que permitan la
reconstrucción de las transacciones efectuadas mediante los servicios financieros por
Internet.
Artículo 29. La entidad debe considerar dentro del plan de continuidad, un apartado donde se
detallen acciones, procedimientos y recursos que consideren los riesgos posibles, que afecten
de forma parcial o total la operación normal de los servicios financieros por Internet.
Artículo 30. La entidad debe velar por la adecuada disponibilidad, capacidad y el desempeño
de los servicios financieros por Internet.
Artículo 31. La entidad debe comunicar a los clientes que utilicen los servicios financieros por
Internet, cuando se abandona el sitio Web de la entidad y se acceda el de un tercero”.
Como se desprende de la normativa citada, la principal indicación va orientada hacia la protección del
patrimonio bancario y su funcionamiento tecnológico; no obstante, en relación con la protección
patrimonial del cliente no se hacen mayores indicaciones, siendo aquél el principal activo de los bancos.
4.8
SOBRE EL RECONOCIMIENTO PÚBLICO DE LOS HECHOS.
A continuación, algunas de las informaciones que circularon en medios de comunicación nacional e
Internet que evidencia la afectación pública que se generó mediante los hechos denunciados de fraude
bancario:
27
Acuerdo Adoptado por el Consejo Nacional de Supervisión del Sistema Financiero, mediante artículo 10, del acta de la Sesión 3472002, celebrada el 19 de Diciembre del 2002. Publicado en el diario oficial: “LA GACETA” 16 del 23 de enero del 2003.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
26
“Clientes bancarios indefensos ante saqueo electrónico. Bancos alegan que clientes dan mal
uso a claves de seguridad en Internet. ”. Otto Vargas. En La Nación, 5 de noviembre del
2007. http://www.nacion.com/ln_ee/2007/noviembre/05/pais1302053.html
“La ingenuidad del costarricense, la poca información que maneja con relación al
refinamiento y propagación de los delitos informáticos y la escasa legislación en torno al
tema, colocan a nuestros ciudadanos en inminente riesgo de convertirse en víctimas de las
múltiples modalidades del crimen informático”.Por Ana Madrigal. http://informatico.com/php/print.php?id=01-08-0502408
“Los bancos pueden tener responsabilidad objetiva por fraudes en perjuicio de sus clientes”
Víctor Pérez Vargas. Profesor de Derecho, UCR. En La Nación. 13 de enero de 2008
/Opinión.
“Bancos incumplen mejores estándares internacionales. Prácticas de Banca en Línea en
Costa Rica son inaceptables. Bancos en el exterior tienen que probar culpa del cliente o
reintegrar el dinero. Superintendente recomienda aplicar una medida similar en Costa Rica”.
Por Hazel Feigenblatt, en La Nación, 13 de febrero del 2008. pp. 4A.
“Abogada ya tiene lista demanda contra banco”.
“Empresario sospecha que hubo “gato casero”.
“La Palabra del Banco contra la del Cliente”
Entrevistas por Hazel Feigenblatt. En La Nación, 13 de febrero del 2008. pp. 5A.
“Fiscalía de Fraudes investiga a “Frenteadores”. http://ministeriopublico.poderjudicial.go.cr/noticias/noticiad/Frenteadores%20Fraudes.html
5. CONCLUSIONES.
Esta Defensoría en ningún momento se opone al servicio de banca electrónica; por el contrario, es
conciente de la necesidad que ésta implica, en especial en términos de competitividad. No obstante, no
se puede estar del todo de acuerdo con trasladar la responsabilidad a sus clientes por las pérdidas
sufridas ante los hechos de fraude electrónico. Es decir, la Teoría de la Responsabilidad Subjetiva está
siendo superada por las consideraciones legales que ya se han venido desarrollando en los Tribunales de
Justicia.
En igual sentido, a pesar de las considerables ventajas que significan los servicios bancarios vía Internet,
la ausencia de un respaldo sólido en cuanto a la prestación del servicio, expone a los clientes a un riesgo
inminente y bajo su propia responsabilidad. La prestación de servicios bancarios vía Internet sin que,
hasta la fecha, exista un verdadero respaldo por parte de quienes ofrecen el servicio, expone el
patrimonio de las personas que lo utilizan.
El estudio realizado por esta Defensoría, permitió determinar que existen deficiencias en la regulación de
la responsabilidad que deben de asumir los bancos ante la prestación del servicio de banca electrónica.
Es decir, las acciones se encausan para proteger a los bancos y no a sus clientes.
Se han iniciado esfuerzos importantes para atender el problema en vía legislativa; no obstante, más allá
de las modificaciones y la depuración de las figuras penales, sería conveniente trasladar mayores
responsabilidades a las entidades financieras en procura de mayor protección para los clientes, tal y
como opera en otras latitudes.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
27
Desde un enfoque de servicio al cliente, se da una ruptura entre el Banco y el Cliente; es decir, desde el
momento en que el cliente reporta al banco el posible fraude, aquél pasa a ser el principal sospechoso y
se le delega toda la carga de la prueba. Además de que con un escueto agotamiento de la vía
administrativa se remite a la vía judicial. En este sentido, culpar a los usuarios, en cierta forma, es tener
una visión estrecha en dicha materia, de ahí la necesidad de conocer con mayor detalle a sus clientes
desde el principio de “Conozca a su Cliente”.
En este sentido, el Banco no asume una posición solidaria con su cliente, ni siquiera en los casos
señalados por la modalidad del “Phishing” mediante los cuales se utiliza la imagen del Banco. Es decir,
que el Banco ni siquiera se ha preocupado por perseguir penalmente a quienes están utilizando su
imagen para cometer los fraudes de esa manera.
Es evidente la necesidad de establecer un marco normativo que resguarde la posición en la que
actualmente se encuentran los clientes de los servicios bancarios vía Internet. La normativa vigente es
insuficiente para salvaguardar los intereses de los clientes, por el contrario, de esta situación los únicos
beneficiados han sido las entidades bancarias que actualmente trasladan la carga de la prueba, incluso
como se mencionó, a clientes que, por años, han sido leales a sus servicios y que han captado a través
de estrategias publicitarias.
Si bien es cierto, nuestro ordenamiento jurídico carece de un marco normativo para la atención de los
casos de Fraude Electrónico en vía administrativa, aplican los principios de responsabilidad objetiva como
principio del derecho que ha sido desarrollado recientemente en la jurisprudencia de nuestros Tribunales
y de los cuales se debería partir para la prestación de dicho servicio.
Los lineamientos de la SUGEF, si bien es cierto están más dirigidos hacia la protección del patrimonio
bancario, deberían incluir alguna obligación de los Bancos que promuevan salvaguardar la integridad
patrimonial de sus clientes que han depositado en ellos sus haberes, además de su confianza.
6. RECOMENDACIONES.
Con base en lo anterior y con fundamento en el artículo 14 de la Ley Nº 7319 del 17 de noviembre de
1992 y en el artículo 32 del Decreto Ejecutivo Nº 22266-J,
LA DEFENSORÍA DE LOS HABITANTES DE LA REPÚBLICA
RECOMIENDA
AL CONSEJO NACIONAL DE SUPERVISIÓN
DEL SISTEMA FINANCIERO NACIONAL –CONASSIFÚNICO: Revisar el acuerdo adoptado por el Consejo Nacional mediante artículo 10, del acta de la Sesión
347-2002, celebrada el 19 de Diciembre del 2002; publicado en el diario oficial: “LA GACETA” 16 del 23
de enero del 2003 con la finalidad de reforzar las opciones posibles que puedan señalar mayor
responsabilidad de las entidades financieras en cuanto a la protección del patrimonio de sus clientes.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
28
LA DEFENSORÍA DE LOS HABITANTES DE LA REPÚBLICA
RECOMIENDA A
LA SUPERINTENTENCIA GENERAL DE ENTIDADES FINANCIERAS –SUGEFÚNICO: Requerir a todas las entidades fiscalizadas un informe trimestral relacionado con los casos de
fraude electrónico a los que se vean expuestos. Lo anterior con la finalidad de que sea un documento de
acceso público y que pueda ser consultado por los interesados. Todo esto enmarcado dentro del derecho
de acceso a la información.
LA DEFENSORÍA DE LOS HABITANTES DE LA REPÚBLICA
RECOMIENDA A
LAS JUNTAS DIRECTIVAS DE LOS BANCOS NACIONAL, COSTA RICA, BANCRÉDITO
Y BANCO POPULAR Y DE DESARROLLO COMUNAL
PRIMERO: Restituir los montos que han sido defraudados a sus clientes y coadyuvar en la vía judicial
con las personas que así lo consideren y que han interpuesto denuncias contra terceros por las estafas
realizadas.
SEGUNDO: Girar el acuerdo de Junta Directiva necesario para ofrecer al cliente de banca electrónica el
seguro por fraude bancario que tiene el Instituto Nacional de Seguros, mismo que será costeado por la
entidad bancaria y no por el cliente.
TERCERO: Indicar las medidas que ofrece el banco para respaldar su cartera de clientes en caso de que
sean víctimas de Fraude Bancario.
CUARTO: Remitir un informe relacionado con la valoración del riesgo que haya evidenciado que el Banco
previó escenarios posibles y que tomó las medidas del caso para proteger a su cartera de clientes
mediante la prestación del servicio de banca electrónica, a sabiendas de lo que implica este servicio.
LA DEFENSORÍA DE LOS HABITANTES DE LA REPÚBLICA
RECOMIENDA
AL INSTITUTO NACIONAL DE SEGUROS
ÚNICO: Elaborar un informe específico y detallado sobre el servicio denominado “Póliza de Fidelidad
Bancaria” incluidas las coberturas del llamado delito por computadora y electrónico con la finalidad de
que los bancos cuenten con mayor y mejor información sobre esta posibilidad para mitigar en parte las
consecuencias de los posibles fraudes electrónicos.
Se previene que por disposición del artículo 14 párrafo tercero de la Ley Nº 7319 el no acatamiento
injustificado de las recomendaciones de la Defensoría de los Habitantes puede ser objeto de una
recomendación de amonestación para el funcionario que las incumpla o, en caso de incumplimiento
reiterado, de una recomendación de suspensión o despido.
En virtud de lo anterior, y con fundamento en el artículo 32 del Reglamento a la Ley de la Defensoría de
los Habitantes, los órganos públicos deben, en el plazo de QUINCE DÍAS HÁBILES a partir del día
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
29
siguiente a la notificación de este informe final, remitir a la Defensoría de los Habitantes un informe de
cumplimiento de las recomendaciones formuladas, en el cual deberá incluirse la siguiente información:
a.)
b.)
c.)
Medidas que se adoptarán para hacer efectiva las recomendaciones.
Plazo en el que se ejecutarán dichas medidas.
Funcionario encargado de su ejecución.
En relación con la presente resolución cabe interponer recurso de reconsideración dentro de los ocho días
siguientes a su notificación.
En caso de no acoger estas recomendaciones, la Defensoría, además, estará valorando el
acompañamiento de las personas afectadas en la vía Contenciosa Administrativa.
Este informe fue preparado por el licenciado Alexander Chacón Valverde, bajo la supervisión y aportes de
la Licda. Hazel Díaz Meléndez, en calidad de Directora del Área de Control de Gestión Administrativa.
Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371
Apdo. Postal: 686-1005 San José - Correo electrónico: [email protected]
San José, Costa Rica
30