Puntos de vista

Camilo Martínez Beltrán Biografía

Abogado de la Pontificia Universidad Javeriana. Especialista en Regulación Financiera de la Universidad de los Andes y Máster en Derecho de la Universidad de Georgetown (Estados Unidos). Director de la Especialización en Derecho Societario de la Universidad Javeriana y Socio Director de la firma DLA Piper Martínez Beltrán. Correo electrónico: cmartinez@dlapipermb.com

Sergio Rojas Quiñones Biografía

Abogado de la Pontificia Universidad Javeriana. Máster en Derecho de Daños de la Universidad de Girona (España). Profesor Universitario y miembro activo del Instituto Colombiano de Responsabilidad Civil y del Estado. Asociado Senior de la firma DLA Piper Martínez Beltrán. Correo electrónico: srojas@dlapipermb.com

Sumario Sin dolo y sin culpa: un nuevo paradigma jurisprudencial para la responsabilidad bancaria

El análisis tradicional de la responsabilidad civil de las entidades bancarias situaba el régimen de imputación aplicable en la esfera de la responsabilidad por culpa. No obstante, nuevos pronunciamientos de la Sala de Casación Civil de la Corte Suprema de Justicia y de la Superintendencia Financiera de Colombia se han apartado de la citada postura.

Abstract No fraud and no fault: a new jurisprudential paradigm for banking liability

The traditional analysis of the civil liability of banking entities is based on the imputation regime applicable in the sphere of fault liability. However, new pronouncements from the Civil Cassation Chamber of the Supreme Court of Justice and the Financial Superintendence of Colombia have departed from the cited position.

Responsabilidad derivada de la actividad bancaria

Responsabilidad objetiva

Culpa

Dolo

Información bancaria

Sin dolo y sin culpa: un nuevo paradigma jurisprudencial para la responsabilidad bancaria

Revista Nº 60 Jul-Sep. 2018

por Camilo Martínez Beltrán y Sergio Rojas Quiñones 

Introducción

La responsabilidad civil ha sido objeto de profundas revisiones y transformaciones en el derecho colombiano de los últimos veinte años.

A semejanza de lo que ha acontecido en otros sistemas continentales como el español, el francés o el alemán, la preocupación por la situación de las víctimas de ciertos fenómenos contemporáneos ha planteado profundas discusiones sobre la eficacia del derecho de daños y ha desembocado en la introducción de reformas que, en su mayoría, son marcadamente expansionistas.

Existen ciertos ámbitos en los que esta situación ha sido ampliamente analizada. Así, por ejemplo, en el campo de la responsabilidad civil por actividades de riesgo, es bien conocida la propagación que durante los últimos años ha venido aconteciendo: propagación de los criterios objetivos de atribución —aun cuando se siga hablando de un sistema teóricamente anclado en las presunciones de culpa—, facilitación de la prueba y mayores condenas suelen estar presentes en la jurisprudencia de los órganos de decisión.

Lo propio ha ocurrido en otros ámbitos como el de la responsabilidad profesional, la de los medios de comunicación o, con más notoriedad, en la responsabilidad por productos, escenario muy proclive para la incorporación de nuevas tendencias en materia de daños.

Pero el notable incremento de las reparaciones en estos escenarios ha estado eclipsado por la correlativa desprotección que dicho incremento ha generado en otros espacios en los que la búsqueda de una indemnización se ha convertido en el pretexto perfecto para hacer de la responsabilidad una práctica de justicia selectiva.

En efecto, en ciertos subsistemas de responsabilidad, las dificultades para encontrar al verdadero responsable de un daño han llevado a que la jurisprudencia ingenie formas de atribución que tienen la virtualidad teórica de trasladar la afectación, del verdadero agente que la causó, a un tercero que habrá de responder aun cuando su conducta poco o nada tenga que ver con el resultado antijurídico que se ha producido.

Esto ha sucedido, con especial fuerza, en el ámbito de la responsabilidad derivada de la actividad financiera.

En efecto, muy por el estilo de la tendencia difundida bajo la expresión Deep Pocket, los jueces colombianos han venido sumando cada vez más hipótesis de responsabilidad a cargo de la banca por hechos que, en principio, no tienen vinculación con acciones u omisiones de esta última.

En concreto, han auspiciado una definitiva ola expansiva de la responsabilidad objetiva frente a las entidades bancarias que ha llevado incluso a comprometer su responsabilidad en eventos de fraude perpetuado por terceros, sin considerar si dicho fraude ha sobrevenido como consecuencia de la acción u omisión de la entidad demandada.

Así, han abierto el camino para un régimen de responsabilidad en el que la imputación se lleva a cabo con independencia de la corrección o incorrección del comportamiento del banco, lo que no solo genera profundas inquietudes en lo relacionado con el juicio de atribución, sino que llega incluso a morigerar aspectos propios de la causalidad.

Pero lo más grave es que en varios de los casos en donde las autoridades han optado por la objetividad, se han abstenido, sin embargo, de aceptar abiertamente que esa es la postura teórica por la cual se han inclinado.

Sí: el fenómeno de la objetivación de la responsabilidad de los bancos se ha caracterizado por ser disimulado o camuflado. Los jueces preservan todavía en sus elaboraciones teóricas referencias constantes a la culpa, las cuales desaparecen por completo a la hora de hacer el análisis fáctico del caso estudiado.

Así se camuflan formas de responsabilidad objetiva bajo el ropaje de una responsabilidad por culpa que, a la hora de la verdad —esto es, del juicio de responsabilidad— en poco o en nada tienen que ver con la diligencia del actuar.

El objetivo del presente artículo de revisión es justamente el de identificar e individualizar este fenómeno.

Mediante las consideraciones aquí expuestas se pondrán en evidencia los escenarios en los cuales la jurisprudencia ha implementado formas de responsabilidad objetiva en la actividad bancaria en general y las características de dicha objetivación. Así, al concluir la lectura de este escrito se evidenciará la notable incursión que la responsabilidad sin culpa ha tenido en el ámbito específico de la banca, aun cuando tal incursión haya sido velada o disimulada.

En otros términos, se demostrará que, contrario a lo que afirma la teoría, la responsabilidad de las entidades bancarias es, hoy en día, predominantemente objetiva, aun cuando camuflada bajo el ropaje de una culpa meramente teórica o marginal en el juicio de atribución de responsabilidad, como sigue.

I. La responsabilidad objetiva. Generalidades

En el ordenamiento jurídico colombiano impera, como principio general, el neminem laedere. En virtud de este principio, toda persona tiene el deber de evitar dañar a otras y, en caso de perjudicar antijurídicamente a un tercero, tiene el deber de reparar el daño causado. Así, el principio del neminem laedere, consagrado, según la posición mayoritaria, en el artículo 2341 del Código Civil colombiano, da lugar a un débito de dos facetas: el deber de no dañar (a) y el deber de reparar los perjuicios que, en incumplimiento del primero de los débitos, fueron causados (b)(1).

De acuerdo con la fuente de los perjuicios de donde se puede derivar el deber de indemnizar, en el derecho nacional —siguiendo una tendencia propia de las codificaciones del derecho continental en general, particularmente del Código Civil francés de 1804— se distingue entre dos grandes bifurcaciones de la responsabilidad: la civil contractual, que es la que se ocupa de la reparación de los perjuicios derivados del incumplimiento de una o varias relaciones obligatorias preexistentes, singulares y concretas, provengan o no de un contrato; y la extracontractual, que, de contera, tiene por objeto el estudio de las indemnizaciones cuya fuente no sea el incumplimiento de una o varias obligaciones singulares y concretas(2). Así, por ejemplo, la situación de cumplimiento imperfecto de una obligación, como la obligación de información —provenga o no de un contrato—, si dicho incumplimiento generó un daño, se encauza por la vía de la responsabilidad civil contractual (existe una obligación previa, singular y concreta). Por el contrario, la situación de un accidente de tránsito que involucra sujetos que no comparten lazo obligacional alguno, se encamina por la vía de la responsabilidad civil extracontractual.

Ahora bien, en forma simultánea a la anterior clasificación, la ley, la jurisprudencia y la doctrina también han reconocido carta de ciudadanía a otra diferenciación, según la cual hay que distinguir entre responsabilidad subjetiva y responsabilidad objetiva(3).

La primera, en general, es aquella en la que el débito indemnizatorio surge a raíz de una actuación dolosa o culposa del agente, de tal manera que la constatación de la corrección del comportamiento juega un papel estructural en la imputación de la responsabilidad.

La segunda, por su parte, es aquella en la que dicha responsabilidad se compromete sin necesidad de que medie una actuación culposa o dolosa, sino simplemente en consideración al daño, la actuación o el riesgo.

Así, mientras que el protagonismo en la responsabilidad subjetiva es propio de la culpa, en la responsabilidad objetiva ese protagonismo se desplaza hacia factores de atribución objetivos, desapareciendo la culpa, la diligencia o el cuidado del panorama de análisis(4).

En efecto, en las definiciones de la objetivación se suele decir, de manera rigurosa, que en esta desaparece toda consideración culpabilística, perdiendo cualquier importancia las reflexiones subjetivas que, en el otro régimen, tendrían lugar.

Puesto en otros términos, los teóricos de la objetivación han llevado el régimen a tal punto que, para caracterizarlo, sostienen que su principal rasgo es que allí pierde sentido el estudio de la culpa y, en general, de los factores subjetivos de atribución de responsabilidad, los cuales desaparecen del análisis dogmático y jurídico: la responsabilidad objetiva se compromete aún a pesar de que el eventual responsable haya obrado con la mayor prudencia, pericia y diligencia, en la medida en que en esta modalidad de responsabilidad es indiferente la corrección o incorrección del comportamiento del agente.

No en vano, profesores como Javier Tamayo Jaramillo explican que la responsabilidad civil objetiva supone “… que el elemento subjetivo de la culpa carece de incidencia en la responsabilidad y que debería bastar el daño y la imputabilidad causal del agente para que este comprometiese su responsabilidad…” (se subraya) (Tamayo, 2007)(5).

Mariano Yzquierdo Tolsada sigue también esta orientación y explica que en los sistemas de responsabilidad objetiva se prescinde de factores de atribución subjetivos y, concretamente, de la culpa como elemento que justifica la imputación de responsabilidad(6).

Enrique Barros Bourie, por su parte, afirma que en la responsabilidad objetiva no se requiere “… juicio de valor alguno respecto de la conducta del demandado, sin perjuicio de los demás requisitos que señale el estatuto legal aplicable …” (Barros, 2007).

Nótese cómo el criterio de estos y de otros doctrinantes de vieja data, como Luis Díez-Picazo (1999) y Ricardo de Ángel Yágüez(7), es radical en cuanto al alcance de la responsabilidad objetiva: afirman, en general, que esta prescinde por completo de la culpa, que en ella carece de relevancia el examen subjetivo de la conducta del sujeto y que el juez no tiene que mirar rasgos de pericia o diligencia.

Idéntica posición ha sido adoptada por la jurisprudencia. Solamente a manera de ejemplo, es ilustrativo el pronunciamiento de la Sala de Casación Civil de la Corte Suprema de Justicia del 24 de agosto del 2009, en el que se afirmó que en la responsabilidad objetiva:

“… la culpa, no estructura esta responsabilidad, tampoco su ausencia demostrada la excluye ni exime del deber de reparar el daño, esto es, no es que el legislador la presuma, sino que carece de relevancia para estructurarla o excluirla, en cuanto, el deber resarcitorio surge aun sin culpa y por el solo daño causado en ejercicio de una actividad peligrosa en consideración a esta, a los riesgos y peligros que comporta, a la lesión inferida y a pesar de la diligencia empleada (…) el criterio de la culpa carece de toda relevancia para su existencia, o sea, para el surgimiento del deber de reparar el daño y, también, para [la] exoneración, siendo oportuno verificar sus exigencias normativas …”(8).

Así, en la jurisprudencia se impone también el criterio de prescindencia absoluta y radical de la culpa en el marco de la responsabilidad objetiva, en el sentido de indicar que cuando se está ante este particular régimen no tiene relevancia alguna el examen culpabilista.

De ahí lo gravosa que resulta la responsabilidad cuyo factor de atribución es objetivo: en la medida en que la culpa no desempeña ningún rol en la imputación de responsabilidad, el agente puede resultar condenado por el solo hecho de incurrir en la hipótesis fáctica prevista en la norma, aun a pesar de que sus acciones hayan observado la más estricta diligencia y cuidado.

II. El abandono de la culpa. Un nuevo paradigma en la responsabilidad bancaria

Ahora bien, la aplicación de la responsabilidad objetiva en los diferentes subsistemas de responsabilidad es una regla de excepción.

En efecto, por la interpretación que se ha hecho del artículo 88 de la Constitución Política colombiana, la jurisprudencia tiene establecido con relativa claridad que la regla general en materia de imputación es la culpa.

En ese orden de ideas, solo cuando una norma consagra la objetividad —esto es, la prescindencia de la culpa como criterio de atribución de la responsabilidad— es viable que el juez condene al agente dañador a pagar la indemnización sin considerar su nivel de diligencia, cuidado o pericia.

Esto es especialmente relevante en el ámbito de la responsabilidad contractual.

En este escenario, el Código Civil colombiano estableció, como regla general, la imputación de responsabilidad por culpa.

No en vano, el artículo 1604 de la mencionada codificación estructura la responsabilidad del deudor a partir de los criterios de culpa grave, leve y levísima, según el beneficio que el vínculo jurídico le genere a las partes(9). Así, la valoración subjetiva de la conducta se erige como el criterio general de atribución en materia de responsabilidad contractual, como es la que se predica, por regla general, de la relación que sostienen las entidades bancarias con sus clientes y usuarios.

Pero la jurisprudencia ha abierto una excepción a esta regla general. Desde la década de los treinta del siglo pasado, los fallos de los jueces han venido aplicando diferentes interpretaciones que le han abierto un espacio destacado a la responsabilidad objetiva en materia contractual (Ordóñez, 2010). Espacio que se ha ensanchado exponencialmente en los últimos años, en los que se han reconocido cada vez más excepciones a la regla general de la culpa.

La actividad de las entidades bancarias es una de aquellas en las que recientemente se han venido reconociendo cada vez más hipótesis de responsabilidad objetiva, esto es, casos en los que la entidad es obligada a indemnizar aun a pesar de la diligencia de la misma.

En efecto, se ha justificado la aplicación de sistemas objetivos a la actividad de los bancos con estribo en razones de diversa índole como, por ejemplo, (i) la confianza pública que se deposita en la actividad financiera; (ii) el postulado según el cual las entidades financieras deben responder por los riesgos que crean con independencia de si tales riesgos se materializan o no por la culpa de la entidad creadora; (iii) se ha justificado también en la condición de profesional que tiene el banco y su personal, calidad que le imprime una carga de responsabilidad mayor frente a la sociedad, comoquiera que es la entidad quien conoce y puede administrar profesionalmente los riesgos asociados a su entorno; y, (iv) en fin, se ha acudido al aforismo ubi emolumentum, ibi incomoda, según el cual es la entidad financiera quien debe soportar los riesgos asociados al desarrollo de su actividad, dado que es ella la que obtiene el provecho de los mismos.

Con base en una cualquiera de tales vías, los fallos de los jueces han prescindido de las consideraciones de culpa y han aplicado un régimen estricto en virtud del cual el solo acaecimiento de un hecho generador de daño compromete la obligación de indemnizar a cargo de la entidad respectiva.

En efecto, en diversas ocasiones la ley y la jurisprudencia han reconocido situaciones en las que el análisis de responsabilidad no debe tener en cuenta la culpa, la diligencia o la pericia de la entidad bancaria que la perpetúa, consagrando así un sistema de responsabilidad objetiva, como tradicionalmente ha sucedido en los casos de infracciones al régimen cambiario y el pago de cheques falsos o adulterados.

Sin embargo, a estas hipótesis tradicionales, la jurisprudencia reciente ha sumado nuevos eventos de objetividad que, como se decía previamente, han puesto de manifiesto una marcada tendencia en este sentido.

Vale la pena aclarar que en estas situaciones la Corte no ha esclarecido puntualmente que se trata de casos de responsabilidad objetiva y que se está realizando un análisis bajo este régimen. Sin embargo, desde la perspectiva de fondo, ha sido claro en tales eventos que el sentenciador ha terminado por prescindir de lleno de todo análisis culpabilista lo que ha permitido concluir, sin necesidad de que el tribunal lo haga explícito, que su régimen de partida es el de la responsabilidad objetiva.

Así ha sucedido, por ejemplo, en relación con el fraude electrónico, en el que la Corte, aun cuando no con claridad meridiana, terminó aplicando un sistema evidentemente objetivo a la responsabilidad predicable de la entidad bancaria por el reembolso de dineros que un usuario había perdido como consecuencia del proceder delincuencial a través de canales electrónicos.

De hecho, en algunas situaciones, la Corte Suprema de Justicia ha incorporado formalmente el análisis de la culpa en sus consideraciones, pero, al desarrollarlo, lo ha borrado de tajo al entender configurada la supuesta culpa con el mero incumplimiento del resultado prometido. Esto es lo que ha sucedido, por ejemplo, en la esfera del deber de información de las entidades financieras frente a sus consumidores, caso en el que la Corte emplea el concepto de culpa desde una perspectiva nominal pero, al descender a su análisis, lo homologa con un concepto radicalmente distinto: el del mero incumplimiento, con lo cual deja de estudiar la diligencia y la pericia que habría de examinarse en un sistema verdaderamente subjetivo.

En estos casos, que algunos califican como responsabilidad objetiva velada o tácita, se han sumado hipótesis cada vez más alarmantes como son, hoy en día, la mayoría de los casos derivados de la infracción de cualquier obligación de resultado, con el agravante de que, al no ser expresamente calificados como eventos de responsabilidad objetiva, no han sido claramente identificados por la doctrina y por las diferentes prácticas jurídicas, evitando así la adopción de políticas de prevención y aseguramiento adecuados.

Bajo este entendimiento es evidentemente posible que la Corte Suprema de Justicia continúe incrementando los casos en los que emplea el régimen de responsabilidad objetiva frente a entidades financieras, sobre todo en cuanto a las obligaciones que tiene la entidad frente a sus clientes.

A continuación, los ejemplos más destacados:

1.1. El nuevo paradigma objetivo para los fraudes electrónicos: 

PAG18TABLA1
 

PAG19TABLA1A
 

El tema de la responsabilidad ante el fraude electrónico no se encuentra explícitamente regulado en la legislación colombiana, a pesar de ser uno de los mayores problemas que afectan el normal desarrollo de la actividad financiera hoy en día.

El Código de Comercio solo previó de forma explícita la aplicación del régimen de responsabilidad objetiva en aquellos casos de falsificación de cheques, sin pronunciarse de forma expresa para otros tipos de fraudes que afectan a la banca, como es justamente el caso del fraude electrónico, lo que ha obligado a que este sea un tema desarrollado predominantemente por el camino judicial, tanto en la jurisdicción ordinaria como en cabeza de la Superintendencia Financiera, haciendo uso de sus funciones jurisdiccionales.

Para el efecto, la jurisprudencia se ha valido de una serie de herramientas legales a la hora de tomar decisiones acerca de la responsabilidad en casos de fraude electrónico, decidiendo así si la carga de esta responsabilidad está en manos del titular de la cuenta afectada o en manos de la entidad financiera.

Ciertamente, la resolución de cada caso particular se ha valido de un acervo legal muy variado que incluye, entre otras:

— El principio de buena fe propio de las relaciones comerciales, contenido en el artículo 871 del Código de Comercio. Este principio se hace relevante para la materia porque es aquel que fundamenta los deberes y las obligaciones que le asisten a cada una de las partes en el marco de su relación comercial más allá de lo simplemente dispuesto en el contrato, de modo tal que impone un contenido tácito o ínsito en los vínculos jurídicos, a partir del cual los jueces han encontrado cierta obligación de seguridad y garantía frente el acaecimiento de fraude en las plataformas electrónicas puestas al servicio de los usuarios.

— Se han tenido en cuenta también los deberes que le asisten a la entidad financiera frente al contrato de depósito que tiene con su cliente, lo cual convierte a tal entidad en depositario y, de contera, en custodio del dinero. Para los casos de los contratos tanto de cuenta corriente como de depósito de ahorro —C. Co., arts. 1382 a 1392 y 1396 a 1398, respectivamente—, existe un deber de custodia del dinero y de seguridad de las operaciones a cargo de la entidad financiera. Estos deberes se hacen particularmente importantes a la hora de analizar la responsabilidad que le asiste a las entidades frente al fraude electrónico, en la medida en que tienen una obligación de cuidado y custodia frente al dinero que administran y los mecanismos que ponen al servicio del consumidor, a la par que una obligación de resultado en lo concerniente a la restitución de dicho dinero.

— Además, en tercer lugar, han sido importantes las hipótesis legales en las que se ha establecido la responsabilidad objetiva, como es el caso particular de la falsificación de cheques, conforme lo establecido en los artículos 732, 733 y 1391 del Código de Comercio.

— En fin, se ha considerado el desbalance en la relación comercial que existe entre los bancos y sus depositantes, desarrollado por la jurisprudencia y por el estatuto de protección al consumidor financiero —L. 1328/2009— que, en conjunto con el Estatuto Orgánico del Sistema Financiero, consagra una serie de salvaguardas y deberes a cargo de las entidades, en su mayoría, de resultado, orientados a mitigar los efectos que tal desequilibrio en la relación podría generar(10).

El inconveniente es que, en este variado grupo de fundamentos, el rol de la culpa y, de contera, de la responsabilidad objetiva no siempre ha estado del todo claro.

La inclusión de deberes tales como la diligencia, la custodia, la seguridad y la protección a cargo de las entidades financieras contenidas en las normas precitadas dificultan una clara interpretación acerca de la responsabilidad que le asiste a las mismas.

En efecto, aunque la actividad financiera es una actividad especial, de carácter empresarial y profesional en la que se crean riesgos profesionales para provecho de estas entidades, y que en ciertos casos a estas entidades les asiste responsabilidad objetiva, varias normas hablan de un deber de diligencia a su cargo.

El que se aluda a una prestación de diligencia, abre la posibilidad de analizar la responsabilidad de entidades financieras en sede de la responsabilidad subjetiva, con una estricta valoración de la culpa o la diligencia en la que incurren estas.

Y es que, aun cuando algunos fundamentos parecieran tender a la objetividad (v. gr. la aplicación analógica del régimen de responsabilidad por el pago de cheques falsos o adulterados), lo cierto es que otros de los fundamentos conducen a la aplicación de deberes de cuidado típicos de sistemas subjetivos, en los que el análisis de la corrección o incorrección del proceder de la entidad financiera se torna relevante.

Por lo anterior, ha existido una gran variación en la forma de interpretar la responsabilidad aplicable frente a los fraudes electrónicos, que ha considerado tanto la aplicabilidad de regímenes de responsabilidad subjetiva como la de sistemas de responsabilidad objetiva.

A esto se suma la dificultad de distinguir entre las diferentes modalidades de fraude, que incluyen phishing, pharming y hoax, entre otros. Los límites entre estas diversas modalidades tampoco se encuentran claramente definidos legalmente, por lo cual han surgido debates en la doctrina y la jurisprudencia respecto de si algunas de las formas de fraude exigen de valoraciones de culpa y de diligencia por parte de la entidad que la perpetúa, mientras que otras no lo hacen(11).

Esta situación de indeterminación obliga entonces a hacer un análisis de la tendencia que, en la actualidad, observa cada órgano de decisión, con la advertencia de que dicha tendencia puede variar en la medida en que se reinterpreten los fundamentos jurídicos que han servido de base a la institución. Veamos:

1.1.1. La Superintendencia Financiera de Colombia: 

En lo que concierne a la Superintendencia Financiera de Colombia, la inclinación de sus sentencias ha sido la de proferir decisiones severas a la hora de evaluar la responsabilidad endilgable a las entidades financieras por fraudes electrónicos.

Tal posición se ha estructurado en la imposición a los bancos de deberes de diligencia muy altos que los hacen responder hasta por culpa levísima, sin llegar, en todo caso, al ámbito de la responsabilidad objetiva, esto es, manteniéndose en el escenario general de la responsabilidad contractual por culpa.

En este sentido, si bien la jurisprudencia vigente, en virtud de las protecciones al consumidor financiero y los deberes procesales probatorios en manos de las entidades bancarias, ha impuesto un grado alto de responsabilidad a las entidades financieras, continúa haciéndolo con estribo en un análisis de la diligencia predicable de la entidad financiera, eso sí, arreciando las exigencias de prudencia, pericia y diligencia, de modo que requiere de los bancos un comportamiento sumamente cuidadoso a la hora de evitar la perpetración de fraudes electrónicos.

Dicho tratamiento por parte de la SFC se caracteriza, además, por varios rasgos.

En primer lugar, por considerar que las entidades bancarias deben garantizar unos grados altos de seguridad y diligencia, entre otros, en relación con la idoneidad de los medios de transacción para proteger las operaciones de los depositantes y su información confidencial(12). En este sentido, la superintendencia afirma que le asiste responsabilidad a los bancos cuando estos no cumplan con unos altos estándares de cuidado que permitan proteger a sus clientes en la utilización de los servicios financieros(13), denegando incluso, en algunos casos aislados, la posibilidad de exoneración del banco con la prueba de la culpa del cliente o usuario(14).

Así las cosas, la SFC ha concluido que se deben aplicar unos estándares altos en cuanto a los deberes de las entidades financieras, pero siempre bajo el marco del deber de diligencia y, por ende, bajo un régimen de responsabilidad subjetiva, eso sí, con deberes de cuidado muy reforzados o exigentes.

De hecho, en un amplio número de sentencias de la Superintendencia Financiera se ha considerado que la culpa está configurada por el solo hecho de que:

— No se informe adecuadamente al consumidor de los riesgos asociados al uso de canales electrónicos o al fraude general, recorriendo exhaustivamente las modalidades de fraude que se pueden presentar.

— No se le instruya a dicho consumidor acerca de los mecanismos que puede adoptar para evitar tales riesgos (v. gr. cambio periódico de las claves, uso del portal transaccional solo a través de equipos de confianza, no revelación de la información financiera a terceros, etc.).

— No se implementen medidas que, con independencia de la diligencia del consumidor, eviten el fraude electrónico, tales como el cambio forzoso de la clave en los productos.

— No se articule un sistema adecuado de respuesta frente al fraude electrónico que permita al consumidor acceder a medidas de seguridad inmediatas una vez se ha identificado la perpetración de una conducta de esta naturaleza frente al cliente.

— No se adopten mecanismos de autenticación suficientemente exigentes que permitan evitar la perpetuación de conductas constitutivas de fraude.

— O, en fin, no se identifiquen adecuadamente operaciones que salen del perfil transaccional del cliente(15). Es decir, la SFC ha considerado que debe endilgarse un cierto grado de responsabilidad a las entidades cuando estas han incumplido el deber de diligencia que les asiste al no advertir que las operaciones se salen del perfil normal de transacciones del usuario de la cuenta.

Adicionalmente, la SFC ha estructurado su posición en una inversión de la carga de la prueba.

En efecto, considera la entidad que, además de estar vinculada por unos deberes de cuidado y diligencia sumamente exigentes, la banca es quien tiene la carga de acreditar que ha cumplido con tales deberes y que, en tal virtud, no le asiste responsabilidad en cada caso particular.

Esta posición relativa a la carga probatoria la ha fundamentado la SFC en que (i) se considera como una práctica abusiva el que se imponga la carga de probar la culpa al consumidor financiero, desconocedor del sistema y de la información y, (ii) en que una interpretación a favor del consumidor (interpretación pro consumatore) impone aliviar las tareas que este último debe agotar para hacer valer los derechos que le corresponden frente al sector financiero(16).

Nótese entonces cómo la postura de la SFC ha sido muy exigente, aun cuando en el ámbito de la responsabilidad subjetiva: con estribo en una aplicación del deber de cuidado, con altos estándares de diligencia exigidos y con una inversión de la carga probatoria, se ha tutelado a los consumidores y usuarios frente a la perpetración de fraudes electrónicos que irrogan alguna clase de daño.

Ahora bien, aun cuando esta ha sido la tendencia general de la SFC, no deben dejarse de destacar algunos fallos aislados en los que, sin reconocerlo expresamente, la mencionada autoridad se ha acercado mucho a la responsabilidad objetiva.

Estos casos se han presentado en eventos relativamente recientes en los que la SFC ha estructurado sus imputaciones por la vía de las obligaciones de resultado, aduciendo que en las mismas la culpa de la entidad se presume y su exoneración solo sobreviene en la medida en que se demuestre una ruptura del nexo causal.

En este tipo de hipótesis, la SFC ha considerado que la aplicación de la obligación de resultado compromete la responsabilidad de la entidad en la medida en que se presume su actuar culposo y sin que la prueba de la diligencia sea suficiente para liberarla del débito indemnizatorio.

Como es apenas obvio, una postura de esta naturaleza, en la que la culpa se presume en una presunción que no se puede desvirtuar, hace que el sistema linde con la objetividad, en la medida en que la culpa deja de desempeñar un rol a la hora de imputar la responsabilidad (ya que se presume) o de exonerarla (toda vez que la simple diligencia no libera a la entidad)(17).

Vale la pena resaltar que, para poder eximirse de responsabilidad en estos casos, se ha exigido que se desvirtúe el perjuicio aducido por el reclamante o que se acredite que no fue el proceder de la entidad el que causó dicho perjuicio —de ordinario, a través de la prueba de una causa extraña—.

Estos pronunciamientos, sin embargo, han correspondido a posturas aisladas(18). La regla general, como se ha expresado, ha sido la de entender que la responsabilidad atribuible a las entidades financieras en materia de fraude electrónico se estructura sobre la base de la culpa, aunque dicha culpa se ha examinado con base en los estándares exigentes y severos, en donde se requiere de la banca un nivel de cuidado muy depurado, y en los que se aplican inversiones de la carga de la prueba que alivian la situación del consumidor, lo que ha llevado a una tendencia general de las condenas en contra de las entidades.

1.1.2. La Corte Suprema de Justicia: 

Ahora bien, en lo que concierne a la Corte Suprema de Justicia, la cuestión es diferente.

En el caso de este órgano de decisión, recientes pronunciamientos, derivados de la composición actual del máximo órgano de la jurisdicción ordinaria —y, en tal virtud, del órgano de cierre de la misma— sí han aplicado esquemas de responsabilidad objetiva para el caso de los fraudes electrónicos o informáticos.

En efecto, la Corte Suprema de Justicia se pronunció en este sentido en el 2016, en una providencia del 19 de diciembre(19).

En tal fallo, a la hora de analizar la conducta de una entidad bancaria tras la comisión de un fraude electrónico contra uno de los usuarios de la misma, la corporación se abstuvo de realizar un juicio relativo a la intención o la diligencia de la entidad demandada. Por el contrario, la Corte terminó haciendo una imputación de responsabilidad objetiva, esto es, una imputación con prescindencia del examen de cuidado y diligencia que sería propio de un sistema de responsabilidad subjetiva. Veamos.

En dicha oportunidad, los hechos relataban que la sociedad Tax Individual S.A. fue víctima de la modalidad de fraude electrónico de phishing, al hacer uso de la plataforma electrónica del Banco Comercial AV Villas S.A., por medio del cual se realizaron transferencias superiores a $ 124.000.000 de su cuenta de ahorros a otras cuentas bancarias.

Pues bien, al descender al análisis jurídico del asunto, la Corte Suprema de Justicia:

— Recordó los fundamentos generales con base en los cuales se ha aplicado la responsabilidad objetiva en Colombia, según se explicó previamente. Así las cosas, refrendó los deberes que le asisten a la entidad financiera en virtud del principio de buena fe comercial —C. Co., art. 871— y de su posición dominante en relación con los consumidores financieros, según lo dispuesto en la Ley 1328 del 2009.

La providencia judicial reafirmó también la naturaleza de la relación comercial bancaria, según lo dispuesto en el Estatuto Orgánico del Sistema Financiero y las normas acerca del contrato de depósito.

Adicionalmente, recalcó la aplicabilidad de regímenes de responsabilidad objetiva contenidos en el Código de Comercio, en sus artículos 732, 733 y 1391, así como en la ley de instrumentos negociables y la jurisprudencia respectiva.

— Recordados estos fundamentos, la providencia mencionada precisó que la legislación no desarrolla la responsabilidad de las entidades bancarias por fraudes diferentes de aquellos relacionados con el pago de cheques falsos o adulterados y que, en este sentido, advirtió que existe un vacío legal frente a la temática.

No obstante, indicó también que dicho vacío legal no puede ser interpretado en el sentido de que no exista una responsabilidad por fraudes acometidos a través de los canales dispuestos por las entidades financieras ni tampoco puede entenderse como un vacío que evite la aplicación de formas de responsabilidad objetiva a estas hipótesis en particular.

— Para la Corte, la omisión del legislador frente a las demás modalidades de fraude conduce a la aplicación de la analogía normativa(20). En tal virtud, señaló la corporación que la situación debía resolverse con base en normas que regulan casos similares al analizado para lo cual, en criterio del tribunal, resultaba preciso acudir a los preceptos que regulan el pago de cheques falsos o adulterados.

Ciertamente, al ser esta una hipótesis de fraude, es dable extender lo previsto legislativamente para este último evento a la hipótesis no regulada del fraude electrónico o informático.

Al sentir de la corporación, se trata de situaciones asimilables en las que la finalidad del legislador es la misma: proteger a los consumidores y usuarios frente a la causación de daños derivados de la perpetración de actividades fraudulentas, en las que los bancos son quienes están mejor posicionados para administrar y, de contera, para asumir el riesgo de daño.

En palabras de la corporación:

“Siendo la bancaria y la de intermediación financiera, actividades en las que —como atrás se dijo— existe un interés público y son realizadas por expertos que asumen un deber de custodia de dineros ajenos, siéndole exigibles, según lo previsto por el Estatuto Orgánico del Sistema Financiero (D. 663/1993) y las circulares Básica Contable y Financiera (100/1995) y Básica Jurídica (7/1996) unos altos y especiales cargos o cumplimiento de estándares de seguridad(21), diligencia, implementación de mecanismos de control y verificación de las transacciones e incluso de seguridad de la confiabilidad de la información y preservación de la confiabilidad, es natural que la asunción de tales riesgos no les corresponda a los clientes que han encomendado el cuidado de parte de su patrimonio a tales profesionales, de ahí que sea[n] ellos quienes deban asumir las consecuencias derivadas de la materialización de esos riesgos” (se destaca).

— Nótese cómo se extendió la teoría del riesgo, propia del sistema objetivo de responsabilidad por el pago de cheques falsos y adulterados, a los eventos generales de infracción a la seguridad de la información y preservación de la confiabilidad.

Ciertamente, la Corte se refirió en múltiples apartados a la aplicación de los sistemas de riesgo creado y riesgo provecho a la generalidad de eventos de fraude que se perpetúen en el marco de la actividad financiera.

Es así como señaló:

“4.2. Sucede que a la par que las tecnologías de la información han ampliado enormemente las posibilidades de comunicación y dinamizan las relaciones comerciales, el tratamiento automatizado de datos incrementa los riesgos de ocurrencia de hechos ilícitos que ocasionan daño a los haberes patrimoniales de los clientes de las entidades financieras.

“En ese sentido, se ha dicho que la “difusión de la informática en todos los ámbitos de la vida social ha determinado que se le utilice como instrumento para la comisión de actividades que lesionan intereses jurídicos y entrañan el consiguiente peligro social…” (Pérez, 1996).

(...).

“Sin embargo, no es posible ignorar que se trata de riesgos que son propios de la actividad asumida por las entidades y corporaciones que participan en el e-commerce, entre ellas los bancos, de la cual obtienen grandes beneficios económicos, pues son estos los que para disminuir costos y obtener mejores rendimientos, han puesto al servicio de sus clientes los recursos informáticos y los sistemas de comunicaciones a través de la red, en una estrategia de ampliación de la oferta y cobertura de productos y servicios financieros.

“Es natural y obvio que la implementación de medios como el portal virtual de transacciones, si bien requiere de una inversión para su operación y mantenimiento, genera un lucro para la entidad, en la medida en que atrae un mayor número de clientes y de operaciones bancarias”.

Pues bien, para la Corte, este riesgo creado con la implementación de diferentes canales tecnológicos debe ser asumido por la entidad que dio lugar al mismo y que, además, se lucra de la actividad que lo genera. En efecto, señaló la corporación:

“El uso de este lleva ínsito el riesgo de fraude electrónico, el cual es de la institución financiera precisamente por la función cumplida por las instituciones financieras y el interés general que existe en su ejercicio y la confianza depositada en él, lo que determina una serie de mayores exigencias, cargas y deberes que dichas entidades deben cumplir con todo el rigor; por el provecho que obtiene de las operaciones que realiza; por ser la dueña de la actividad, la que —se reitera— tiene las características de ser profesional, habitual y lucrativa; y además, por ser quien la controla, o al menos, a quien le son los exigibles los deberes de control, seguridad y diligencia en sus actividades, entre ellas la de custodiar dineros provenientes del ahorro privado.

— Aserto que le permitió a la Corte concluir que, habida cuenta de la asunción del riesgo, las entidades bancarias deben:

• Adoptar los mecanismos de mitigación que sean necesarios de modo que el riesgo sea reducido a su mínima expresión.

Vale la pena aclarar que existen normas que reglamentan los estándares de seguridad que deben proveer las entidades financieras para el desarrollo de esta actividad(22). La Corte destaca algunos de tales deberes al afirmar que las entidades deben:

“[D]efinir el enfoque organizacional para la valoración del riesgo; Identificar los riesgos, labor en la que es preciso 1) identificar los activos dentro del alcance del SGSI y los propietarios de estos activos. 2) identificar las amenazas a estos activos. 3) identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas. 4) identificar los impactos que la pérdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos para después e) Analizar y evaluar los riesgos, lo que comprende: 1) valorar el impacto de negocios que podría causar una falla en la seguridad, sobre la organización, teniendo en cuenta las consecuencias de la pérdida de confidencialidad, integridad o disponibilidad de los activos. 2) valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando las amenazas, las vulnerabilidades, los impactos asociados con estos activos, y los controles implementados actualmente. 3) estimar los niveles de los riesgos. 4) determinar la aceptación del riesgo o la necesidad de su tratamiento a partir de los criterios establecidos en el numeral 4.2.1, literal c) y por último f) Identificar y evaluar las opciones para el tratamiento de los riesgos”.

La norma citada en la sentencia contiene, además, las acciones que deben realizar las entidades para tratar los riesgos de información, entre los cuales se enmarcan:

“1) aplicar los controles apropiados. 2) aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan claramente la política y los criterios de la organización para la aceptación de riesgos (véase el numeral 4.2.1, literal c); 3) evitar riesgos, y 4) transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras, proveedores, etc.”.

También deben adoptarse mecanismos que garanticen el control de acceso, entre los que se encuentran:

“1) Brindar protección a los puertos de configuración y diagnóstico remoto, el acceso lógico y físico a los puertos de configuración y de diagnóstico debe estar controlado; 2) separar los grupos de servicios de información, usuarios y sistemas de información en las redes; 3) restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control del acceso y los requisitos de aplicación del negocio tratándose de redes compartidas; 4) implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control del acceso de las aplicaciones del negocio (…)[,] evitar el acceso no autorizado a los sistemas operativos, el acceso se debe controlar mediante un procedimiento de registro de inicio seguro. Todos los usuarios deben tener un identificador único (ID del usuario) únicamente para su uso personal, y se debe elegir una técnica apropiada de autenticación para comprobar la identidad declarada de un usuario. Los sistemas de gestión de contraseñas deben ser interactivos y asegurar la calidad de las contraseñas y se debe prever la suspensión de sesiones con un determinado período de inactividad, y la limitación del tiempo de conexión a la red”.

• Pero, además de los mecanismos de mitigación y conjuración del riesgo, las entidades bancarias deben también asumir la responsabilidad por los daños que se causen cuando uno de tales riesgos sea efectivamente materializado. Dice la Corte:

“Por eso, por una parte las instituciones financieras están compelidas a adoptar mecanismos de protección de los datos transferidos en relación con sus usuarios, a través de los cuales pueda prevenirse la defraudación, pues para el momento en que estos son detectados, generalmente, ya se ha causado el daño patrimonial, y por otra, están sujetas a la responsabilidad que acarrea para ellas la creación de un riesgo de fraude que afecta a sus clientes, a disposición de los cuales ha dispuesto su plataforma y recursos tecnológicos(23) (se destaca).

— En suma, para la Corte Suprema de Justicia, en su pronunciamiento del 2016, los diferentes casos de fraude que pueden tener lugar en el marco de la actividad bancaria no tienen una naturaleza diferente a la que le corresponde a la falsificación de cheques, por lo cual se concluye que es predicable, en general, el mismo régimen de responsabilidad para el caso de fraude electrónico y para el evento de falsificación de cheques, cual es la responsabilidad por el riesgo creado y el riesgo provecho o, puesto en otros términos, la responsabilidad objetiva: la entidad financiera deberá responder cuandoquiera que se perpetúe una pérdida tras un fraude electrónico, con independencia de si ha obrado o no con diligencia en la prevención de dicho fraude.

En palabras de la Corte:

De ahí que atendiendo la naturaleza de la actividad y de los riesgos que involucra o genera su ejercicio y el funcionamiento de los servicios que ofrece; el interés público que en ella existe; el profesionalismo exigido a la entidad y el provecho que de sus operaciones obtiene, los riesgos de pérdida por transacciones electrónicas corren por su cuenta, y por lo tanto, deben asumir las consecuencias derivadas de la materialización de esos riesgos a través de reparar los perjuicios causados, y no los usuarios que han confiado en la seguridad que les ofrecen los establecimientos bancarios en la custodia de sus dineros, cuya obligación es apenas la de mantener en reserva sus claves de acceso al portal transaccional” (se destaca).

— De hecho, la corporación precisó expresamente que la exoneración de dicha responsabilidad sobrevendrá cuando el banco demuestre que la defraudación fue el resultado del actuar negligente del cuentahabiente, sin que se contemple como causal de exoneración la propia diligencia de la entidad bancaria:

“Desde luego que consumada la defraudación, el banco para exonerarse de responsabilidad, debe probar que esta ocurrió por culpa del cuentahabiente o de sus dependientes, que con su actuar dieron lugar al retiro de dinero de la cuenta, transferencias u otras operaciones que comprometieron sus recursos, pues amén de que es este quien tiene el control del mecanismo que le permiten hacer seguimiento informático a las operaciones a través de controles implantados en los software especializados con los que cuentan, la culpa incumbe demostrarla a quien la alegue (C. Co., art. 835), pues se presume la buena fe ‘aun la exenta de culpa’”.

La conclusión es entonces clara: desde el fallo del 2016, la Corte Suprema de Justicia acogió un sistema de responsabilidad objetiva para el evento de fraude electrónico, asimilable al que se emplea en los casos de pagos de cheques falsos o adulterados.

Este sistema de responsabilidad objetiva se caracteriza por el hecho de que el banco habrá de responder en el evento de que se materialice el riesgo de fraude electrónico, aun a pesar de que haya obrado con prudencia y diligencia en la prevención de dicho fraude.

Para exonerarse solo podrá, como es natural, desvirtuar el daño reclamado o demostrar que el proceder fraudulento sobrevino como consecuencia de la culpa del cliente o usuario, carga de la prueba que, en todo caso, le corresponde a la banca.

Naturalmente, se trata de una responsabilidad muy gravosa.

1.2. La información y otras hipótesis de consumo: 

Tabla 2. —Línea jurisprudencial— Responsabilidad por infracción del deber de información.

PAG35TABLA2
 

Mediante un fallo de año 2017, la CSJ abrió las puertas para las imputaciones de responsabilidad objetiva frente a las entidades financieras también en el evento de incumplimientos al deber de información(24).

En esta providencia, proferida con base en el artículo 21 de la Ley 546 de 1999 —dado que la época de los hechos impedía la aplicación de la regulación actualmente vigente, cual es la contenida en la Ley 1328 de 2009—, la Corte Suprema de Justicia fue enfática en afirmar que, en materia de información, la banca tiene una obligación de resultado en virtud de la cual debe:

“[S]uministrar información cierta, suficiente, oportuna y de fácil comprensión para el público y para los deudores respecto de las condiciones de sus créditos, en los términos que determine la Superintendencia Bancaria. Durante el primer mes de cada año calendario, los establecimientos de crédito enviarán a todos sus deudores de créditos individuales hipotecarios para vivienda una información en las condiciones del presente artículo”(25).

Lo relevante de la providencia, en cualquier caso, es que al calificar la obligación de información como una de aquellas que se considera de resultado, introdujo, aunque no expresamente, parámetros objetivos de atribución asociados a la valoración de la responsabilidad derivada de la omisión de información.

En efecto, aunque el fallo de la CSJ en cuestión nunca hace mención explícita de la responsabilidad objetiva o de la aplicación de este régimen a la hora de analizar la obligación de indemnización en cabeza de la entidad financiera frente a la infracción del deber de información, la forma en la que realiza el análisis corresponde, a no dudarlo, a este régimen de responsabilidad.

Ciertamente, en sus consideraciones, la Corte afirma que en tratándose de la obligación de información, la mera transgresión de la prestación consistente en suministrar datos relevantes para el consumidor es, per se, constitutivo de culpa.

Así las cosas, el elemento culpa se entiende configurado por el solo hecho de que no se provea toda la información que la banca está en la obligación de proveer, sin que sea necesaria ninguna consideración relativa a la pericia, la prudencia o la diligencia observada por la entidad a la hora de suministrar dicha información.

Esto conduce a que, aun cuando formalmente se hable de culpa —lo que acercaría el régimen a la responsabilidad subjetiva—, materialmente se esté, en realidad, frente a un sistema de responsabilidad objetiva.

Y es que, bien analizado el fallo, se observa evidentemente que en el mismo no se valora, de ninguna manera, la prudencia, diligencia, pericia o el cuidado con el que la entidad bancaria procedió a suministrar la información. Simplemente se afirma que el hecho de no entregar algunos datos es, per se, configurador de la culpa. En otras palabras, se homologa el elemento culpa con la conducta objetiva de no suministrar la información, sin un típico análisis de diligencia.

Como es natural, una postura en este sentido corresponde, en realidad, a la prescindencia del análisis de culpa en el juicio de responsabilidad: en la medida en que la atención se fija simplemente en el elemento objetivo del incumplimiento, sin ninguna valoración de pericia o diligencia, la Corte, aun cuando de forma velada, está aplicando en realidad un juicio de responsabilidad objetiva, con la implicación connatural de que las posibilidades de exoneración de la entidad involucrada son más limitadas.

Ahora bien, para efectos de claridad, vale la pena mencionar que aun cuando la Corte realiza este análisis, en el fallo decide no imputarle responsabilidad a la entidad financiera por considerar que (i) el daño que se busca probar no es un daño cierto, sino que es un daño hipotético y (ii) que la omisión de la entidad financiera no fue determinante desde el punto de vista causal frente al caso. En este sentido, considera la Corte que no se acreditaron los elementos de la responsabilidad civil y termina por exonerar a la entidad financiera de responsabilidad por el caso. Pero la exoneración no sobreviene por la diligencia, como sucedería en un típico sistema de responsabilidad subjetivo: para la Corte, el análisis de la prudencia y la pericia deja de tener una relevancia especial en la atribución de responsabilidad en la medida en que se entiende configurada la culpa con la trasgresión del contenido obligaciones.

Esto representa un claro cambio frente a las actuaciones previas de la CSJ, las cuales, por lo menos hasta el año 2015, habían considerado que para acreditarse la responsabilidad civil frente a las entidades financieras por omisiones al deber de información debía probarse la actuación dolosa o culposa por parte de dicha entidad(26).

1.3. ¿La responsabilidad contractual en general? 

Esta misma situación se ha presentado, por regla general, cuando la entidad financiera se encuentra comprometida por una obligación de resultado.

En efecto, como se estableció previamente, la existencia de obligaciones de resultado tiende a la formación de escenarios de responsabilidad objetiva.

Esto sucede debido a que las obligaciones de resultado comprometen la realización de una transformación específica y no el simple esfuerzo enderezado para obtener dicha transformación.

De ahí que las obligaciones de resultado sean, por regla general, incompatibles con el elemento culpa: si la responsabilidad de quien es obligado al resultado se exceptuara en aquellos casos en que, a pesar de no haber logrado dicho resultado, se ha empleado todo el cuidado y la diligencia en la procura del mismo, se confundiría la obligación de resultado con aquella en la que basta poner todo el empeño para obtener una finalidad específica, así no se obtenga la finalidad.

En otros términos, si la diligencia exonerara al obligado de resultado cuando no obtiene dicho resultado, este tipo de obligaciones se confundirían con la obligación de medio.

De ahí que se afirme que, con independencia de herramientas retóricas como la presunción de culpa, las obligaciones de resultado tienden a entroncarse en sistemas de responsabilidad objetiva, esto es, sistemas en los que dicha culpa no desempeña ningún rol estructural a la hora de atribuir o exonerar el juicio de responsabilidad(27).

Este asunto reviste particular importancia en la actualidad, ante un escenario en el que la Corte Suprema de Justicia ha ampliado las obligaciones de resultado atribuibles a las entidades financieras.

Ciertamente, en la medida en que la Corte asigne mayores obligaciones de resultado, asignará también responsabilidades que tienden en mayor medida a la objetividad, lo que ha sucedido, en particular, respecto de las siguientes obligaciones de las entidades bancarias:

1. La obligación de guardar el secreto bancario, obligación de resultado que compromete a la entidad, entre otros, a no revelar las fuentes, destino y cuantía de las operaciones de su clientela y demás datos.

2. Las obligaciones a cargo de la entidad bancaria en los contratos de depósito irregular, tales como:

(i) Obligación de devolución de la suma recibida; y,

(ii) Obligación de realizar el pago de intereses.

3. Ante la existencia de un contrato de depósito en cuenta corriente, la entidad bancaria está obligada, en una obligación de resultado, a:

(i) Permitir el depósito de dinero, cheques y otros títulos en la cuenta.

(ii) Permitir el depósito hecho por terceros en la cuenta de un cliente.

(iii) Garantizar la seguridad en caso de ofrecer la posibilidad de hacer depósitos nocturnos.

(iv) Facilitar al cliente formularios de consignación y cheques o chequeras.

(v) Llevar cuenta corriente que de fe de la anotación contable del cliente y facilitar al cliente los datos sobre esta.

4. En el contrato de apertura de crédito, es de resultado la obligación del banco de conceder crédito de dinero o de firma a sus clientes dentro de los cupos establecidos.

5. También es de resultado, la obligación de pago por medio de una suma de dinero o títulos valores al beneficiario, ante un contrato de crédito documentario.

6. Ante la existencia de un contrato de descuento, es de resultado la entrega de la suma de dinero al deudor.

7. Para el caso del contrato de reporto, son obligaciones de resultado de la entidad:

(i) Conservar los títulos valores adquiridos del reportado.

(ii) Retransmitir los títulos al reportado según lo pactado en el contrato.

8. En el caso del contrato de depósito regular, son obligaciones de resultado de la entidad la custodia física, conservación y restitución de los mismos bienes recibidos.

9. En el servicio de cajas de seguridad a favor de cliente, la entidad tiene las siguientes obligaciones de resultado:

(i) Permitir y mantener el libre acceso del cliente a la caja.

(ii) Conservar un duplicado de la llave o forma de acceso.

(iii) Prohibir el ingreso de extraños y terceros.

(iv) Garantizar condiciones de seguridad, idoneidad e integridad de los bienes custodiados.

10. En fin, en el caso de operaciones de leasing existen también obligaciones de resultado como la entrega del bien.

Estas son, en apretada relación, los casos más recurrentes de obligaciones de resultado en el sector bancario.

Obligaciones que, por ser de esta naturaleza, observan una tendencia general hacia la objetividad, en los términos ya explicados.

Ciertamente, considerando la interpretación que tradicionalmente ha hecho la jurisprudencia, en tratándose de obligaciones en las que se compromete el resultado, la diligencia del deudor deja de ser un criterio relevante para la atribución o la exoneración de la responsabilidad, lo que conduce a que se haga más estricto el juicio de responsabilidad y, de contera, a que se incremente exponencialmente la posibilidad de una condena.

III. No se trata entonces de una regla excepcional

Si se sintetizan las consideraciones anteriores en una tabla, se observa entonces que no son pocos los subsistemas de responsabilidad de la banca que han quedado, a la postre, cobijados por una regla de objetividad. En efecto:

PAG41TABLA
 

PAG42TABLA
 

PAG43TABLA
 

La expansión de la objetividad es entonces ineluctable.

Y lo más llamativo es que tal expansión no se ha originado de una elaboración diáfana o clara en la que abiertamente se reconozca el abandono del dolo y de la culpa como criterios predominantes de imputación de responsabilidad.

Por el contrario, según se vio, en la mayoría de los casos se ha tratado de incorporaciones veladas en las que, como se explicó, se preservan referencias teóricas a la culpa que, sin embargo, pierden toda su relevancia práctica y real a la hora de hacer el juicio de atribución de la obligación de indemnizar.

Así, por ejemplo, bajo la idea de la teoría del riesgo y de las obligaciones de resultado, los usuarios del sistema judicial han terminado involucrados en regímenes objetivos de responsabilidad, aun a pesar de obrar bajo la convicción teórica de que se trata de sistemas fundados en la culpa.

Esta falta de claridad no le hace gran favor a la justicia correctiva que debe imperar en un sistema de daños como el colombiano.

Lo anterior, por cuanto impide que los dos extremos de la interacción dañosa conozcan, con precisión, el sistema bajo el cual se juzgarán sus conductas y se derivará la responsabilidad, lo que dificulta no solo las posibilidades de defensa en un proceso, sino que entorpece también la prevención del daño en la medida en que un juicio exacerbado de responsabilidad reduce los incentivos para evitar. Al fin y al cabo, se materializará una condena.

La identificación de esta problemática es el primer paso, por lo demás, para encontrar alternativas de solución que sean consistentes y eficaces, no con el fin de desproteger a las víctimas frente a los derechos que han podido adquirir, sino con miras a clarificar el sistema de responsabilidad y a tutelar las salvaguardas connaturales que deben regir cualquier juicio de imputación.

Bienvenida la objetividad, pero con límites. Bienvenida la objetividad, pero de manera clara, transparente y abierta. Bienvenida, en fin, una objetividad que no se convierta en una presunción de responsabilidad ni, mucho menos, en un mecanismo cuyo propósito sea simplemente el de encontrar los Deep Pockets y no los responsables por un perjuicio en particular.

Bibliografía

Arrubla, J. (2009). Tensión, balance y proyecciones de la responsabilidad contractual y de la responsabilidad extracontractual. En: Tendencias de la responsabilidad civil en el siglo XXI. Bogotá: Pontificia Universidad Javeriana y Editorial Diké.

Asúa, C. (2003). Responsabilidad civil médica, tratado de responsabilidad civil. Navarra: Elcano.

Ataz, J. (1985). Los médicos y la responsabilidad civil. Madrid: Montecorvo.

Barros, E. (2007). Tratado de responsabilidad extracontractual. Santiago de Chile: Editorial Jurídica de Chile.

Corte Constitucional de Colombia, Sala Plena. (22 de agosto de 2012) Sentencia C-640. [M.P. María Victoria Calle Correa].

Corte Constitucional de Colombia, Sala Plena. (26 de julio de 2000) Sentencia C-955. [M.P. José Gregorio Hernández Galindo].

Corte Suprema de Justicia, Sala de Casación Civil. (11 de julio de 2001). Sentencia. Expediente 6201. [M.P. Silvio Fernando Trejos Bueno].

Corte Suprema de Justicia, Sala de Casación Civil. (11 de marzo de 1943). Sentencia (sin número. [M.P. Isaías Cepeda].

Corte Suprema de Justicia, Sala de Casación Civil. (11 de marzo de 2010). Sentencia 2010-00320. [M.P. Arturo Solarte Rodríguez].

Corte Suprema de Justicia, Sala de Casación Civil. (14 de marzo de 2017). Sentencia SC-3530-2017. [M.P. Álvaro Fernando García Restrepo].

Corte Suprema de Justicia, Sala de Casación Civil. (15 de julio de 1938). Sentencia (sin número. [M.P. Juan Francisco Mujica].

Corte Suprema de Justicia, Sala de Casación Civil. (16 de junio de 2008). Sentencia 01394-01. [M.P. Edgardo Villamil Portilla].

Corte Suprema de Justicia, Sala de Casación Civil. (19 de diciembre de 2016). Sentencia SC-18614-2016 (05001310300120080031201). [M.P. Ariel Salazar Ramírez].

Corte Suprema de Justicia, Sala de Casación Civil. (23 de agosto de 2000). Sentencia. Expediente 5005. [M.P. Jorge Antonio Castillo Rugeles].

Corte Suprema de Justicia, Sala de Casación Civil. (24 de agosto de 2009). Sentencia 2001-01054. [M.P. William Namén Vargas].

Corte Suprema de Justicia, Sala de Casación Civil. (24 de octubre de 1994) Sentencia. [G.J. t, CCXXXI, n° 2470].

Corte Suprema de Justicia, Sala de Casación Civil. (26 de noviembre de 1965). Sentencia. [G.J. t, CXIII-CXIV, n° 2278-2279].

Corte Suprema de Justicia, Sala de Casación Civil. (27 de julio de 1994) Sentencia. [G.J. t, CCXXXI, n° 2470].

Corte Suprema de Justicia, Sala de Casación Civil. (29 de noviembre de 1976) Sentencia.

Corte Suprema de Justicia, Sala de Casación Civil. (30 de septiembre de 1986) Sentencia. [G.J. t, CLXXXIV, n° 2423].

Corte Suprema de Justicia, Sala de Casación Civil. (31 de julio de 2001), Sentencia. Expediente 5831. [no publicada oficialmente].

Corte Suprema de Justicia, Sala de Casación Civil. (7 de febrero de 2007). Sentencia 1999-00097. [M.P. César Julio Valencia Copete].

Corte Suprema de Justicia, Sala de Casación Civil. (8 de septiembre de 2003) Sentencia 6909. [M.P. César Julio Valencia Copete].

Corte Suprema de Justicia, Sala de Casación Civil. (9 de diciembre de 1936) Sentencia sin número. [M.P. Antonio Rocha].

Corte Suprema de Justicia, Sala de Casación Civil. (9 de diciembre de 1936) Sentencia. [G.J. t, XLIV, n° 1918-1919].

Corte Suprema de Justicia, Sala de Casación Civil. (9 de septiembre de 1999) Sentencia. [G.J. t, CCLXI, n° 2500].

Corte Suprema de Justicia. Sala de Casación Civil. (17 de septiembre de 2002) Sentencia S-176-2002. Expediente 6434. [M.P. Nicolás Bechara Simancas].

Corte Suprema de Justicia. Sala de Casación Civil. Sentencia del 23 de agosto de 1998.

De Pina, R. (1984). Teoría y práctica del cheque. 3ª ed. México: Editorial Porrúa S.A.

Díez-Picazo, L. (1999). Derecho de daños. Madrid: Civitas.

Fernández, J. M. (2002). Sistema de responsabilidad médica. Granada: Comares.

López, M. (2010). Elementos de la responsabilidad civil. Bogotá: Pontificia Universidad Javeriana y Biblioteca Jurídica Diké.

Martínez-Pereda, J. M. (2002). La responsabilidad en el diagnóstico prenatal. Actualidad del Derecho Sanitario.

Melennec, L. & Sicard, J. (1978). La responsabilité civile du médecin. París: Editions Génerales Graphiques.

Morello, A. (1974). Indemnización del daño contractual. 2ª edición. La Plata: Ed. Platense-Abeledo Perrot.

Narváez, J. (2002). El contrato de seguro en el sector financiero. Bogotá: Ediciones Librería del Profesional.

Ordóñez, P. (2010). Responsabilidad civil por actividades peligrosas (actualidad de las teorías subjetiva y objetiva). Bogotá: Pontificia Universidad Javeriana.

Penneau, J. (1977). La responsabilié médicale. Toulouse: Éditions Sirey.

Pérez, A. E. (1996). Ensayos de informática jurídica. México: Fontamara.

Rodota, N. (1964). Il problema della responsabilità civile. Milán.

Rodríguez, J. (1993). Derecho Bancario. 7ª ed. México: Editorial Porrúa S.A.

Rodríguez, S. (1990). Contratos bancarios. Su significación en América Latina. Bogotá: Editorial ABC.

Santos, J. (2008). Instituciones de responsabilidad civil. Bogotá: Pontificia Universidad Javeriana. Tomo II.

Superintendencia Financiera de Colombia. (10 de julio de 2013). Sentencia, Radicación 2013-0014. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (13 de julio de 2015). Expediente 2015-0184. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (20 de agosto de 2014). Sentencia 2014035759. Expediente 2014-0339. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (20 de enero de 2014). Sentencia 2013069313. Expediente 2013-0425. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (20 de noviembre de 2013). Sentencia 2013041561. Expediente 2013-0211. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (25 de junio de 2014) Sentencia 2013090535. Expediente 2013-0602. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (25 de noviembre de 2013). Sentencia 2013055994. Expediente 2013-0325. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (27 de enero de 2014). Sentencia 2013064608. Expediente 2013-0392. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (31 de julio de 2015). Expediente 2014-1428. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (5 de diciembre de 2013). Sentencia 2013044253. Expediente 2013-0230. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (6 de junio de 2014). Sentencia 2013085308. Expediente 2013-0549. [Delegatura para funciones jurisdiccionales].

Superintendencia Financiera de Colombia. (9 de mayo de 2013). Sentencia [Delegatura para funciones jurisdiccionales].

Tamayo, J. (2007). Tratado de Responsabilidad Civil. Medellín: Legis Tomo I.

Yzquerdo, M. (2001). Sistema de responsabilidad civil contractual y extracontractual. Madrid: Dykinson.

(1) Sobre la estructura genérica de la responsabilidad civil como consecuencia o derivación del principio del neminem laedere, es numerosa la doctrina que se puede consultar. Con todo, dentro de los estudios caracterizados por abordar el tema desde una perspectiva contemporánea y a partir de una explicación de su estructura general —a pesar de hacerlo en el marco de la responsabilidad médica—, se pueden consultar los mencionados a continuación: López Mesa, Marcelo (210). Elementos de la responsabilidad civil. Bogotá: Pontificia Universidad Javeriana y Biblioteca Jurídica Diké, pp. 241 y ss.; Ataz López, J. (1985). Los médicos y la responsabilidad civil. Madrid: Montecorvo; Asúa González, C. (2003). Responsabilidad civil médica, Tratado de responsabilidad civil. Navarra: Elcano, pp. 1031-1107; Fernández Hierro, J. (2002). Sistema de responsabilidad médica. Granada: Comares; Martínez-Pereda Rodríguez, J. (2002). La responsabilidad en el diagnóstico prenatal, Actualidad del Derecho Sanitario, pp. 1-21; Melennec, L. y Sicard, J. La responsabilité civile du médecin. París: Editions Génerales Graphiques; Penneau, J. (1977). La responsabilié médicale. Toulouse: Éditions Sirey.

(2) Existen múltiples estudios que se ocupan de señalar las diferencias entre responsabilidad contractual y extracontractual. Así, por vía de elocuente ejemplo, el profesor Jorge Santos Ballesteros desarrolla los principales puntos de distinción entre uno y otro régimen de responsabilidad, como son, entre otros, los aspectos atinentes a su estructura, su cometido, el examen de la culpa y el dolo, la competencia territorial de los jueces que conocen de uno y otro asunto, entre varios aspectos más (al respecto, vid. Santos, J. Instituciones de responsabilidad civil. Tomo II. Bogotá: Pontificia Universidad Javeriana, pp. 191 y ss.; Cfr. Morello, A. (1974). Indemnización del daño contractual. 2ª edición. La Plata: Ed. Platense-Abeledo Perrot.
Para otros, sin embargo, esta diferenciación ha perdido vigencia. Es así como el profesor y actual magistrado de la Sala de Casación Civil de la Corte Suprema de Justicia, Jaime Arrubla Paucar, considera que “…en realidad la diferencia entre una y otra (responsabilidad delictual y responsabilidad contractual) es más aparente que real y solamente varía el contenido de uno de los elementos que les es común, por ello somos partidarios de la tendencia unicista de la responsabilidad civil…” Arrubla, J. Tensión, balance y proyecciones de la responsabilidad contractual y de la responsabilidad extracontractual. En: Solarte, A. (2009). Tendencias de la responsabilidad civil en el siglo XXI. Bogotá: Pontificia Universidad Javeriana y Editorial Diké. p. 159. Más adelante agrega el doctor Arrubla que “… en la actualidad y desde un punto de vista jurídico, tenemos que no se justifica la dualidad de sistema en cuanto a la responsabilidad. Se dice que tanto la responsabilidad contractual como la extracontractual, tienen la misma esencia…” Ibid., p. 163. Esta tendencia parece también estar ganando algún espacio en la Corte Suprema de Justicia. Vid. Corte Suprema de Justicia. Sala de Casación Civil. Sentencia del 7 de febrero de 2007. expediente 23162-31-03-001-1999-00097-01.

(3) Es importante anotar que no son estas las únicas denominaciones con que se conocen las dos modalidades de responsabilidad. Por lo tanto, se habla de responsabilidad con culpa y responsabilidad sin culpa. Para este último caso, se usan también expresiones como responsabilidad estricta, al traducir la denominación de la expresión en el derecho anglosajón (strict liability), aun cuando, en estricto sentido, los sistemas de responsabilidad estricta no son homologables a lo que en Colombia conocemos como responsabilidad objetiva.

(4) La explicación de Enrique Barros Bourie sobre el origen y evolución de la denominada responsabilidad civil objetiva, estricta o sin culpa, resulta bastante ilustrativa. En términos generales sostiene el mencionado autor que “… la responsabilidad por culpa es atribuida al demandado a condición de que su conducta haya infringido un deber de cuidado. La responsabilidad estricta tiene lugar en el ámbito del riesgo que la ley atribuye a quien desarrolla una cierta actividad. El criterio de imputación de responsabilidad puede ser manejar un cierto tipo de instalación, usar una cosa o realizar una actividad que la ley somete a un estatuto de responsabilidad por riesgo. Lo determinante es que el daño cuya reparación se demanda sea una materialización de ese riesgo que ha justificado el establecimiento de un régimen de responsabilidad estricta. La responsabilidad por culpa tiene un elemento objetivo que la aleja del reproche personal; pero esa objetividad es radicalizada en el caso de la responsabilidad estricta, porque esta ni siquiera requiere que la conducta sea objetivamente reprochable. Lo determinante es que se materialice un riesgo que está bajo el control del responsable. Desde el punto de vista lógico, son claras las diferencias entre los regímenes (puros) de responsabilidad estricta y por culpa. Sin embargo, conviene tener presente, desde luego, que el paso de uno a otro está marcado en la práctica por una transición, más que por un salto discreto …” (Barros, E. (2007). Tratado de responsabilidad extracontractual. Santiago de Chile: Editorial Jurídica de Chile, p. 445).
Una renovada y actualizada perspectiva de la cuestión es la expuesta por Luis Díez Picazo, quien justamente pone de presente el panorama actual de la responsabilidad objetiva y su contraposición a la responsabilidad con culpa. Al respecto, vid. Díez-Picazo, L. (1999). Derecho de daños. Madrid: Civitas, pp. 241-242.

(5) A lo anterior, el profesor colombiano, como muestra aún más elocuente de la concepción extrema de la responsabilidad objetiva que actualmente impera, afirma que “… la legislación colombiana contiene, como todas las demás, paralelos al principio general de responsabilidad con culpa, no pocos casos de responsabilidad objetiva, lo que nos permite concluir que nuestro ordenamiento jurídico es mixto en la medida en que en algunas oportunidades la responsabilidad se fundamenta en la culpa, mientras en otras, la responsabilidad es puramente objetiva. Al analizar las dos doctrinas extremas de la responsabilidad siempre culposa y de la responsabilidad siempre objetiva, se puede observar que la responsabilidad civil objetiva ha ido ganando terreno día a día, todo ello a costa de la responsabilidad con culpa …”. Ibíd.

(6) El profesor español Yzquierdo Tolsada, al abordar el tema de los factores de atribución de responsabilidad, explica que en el régimen objetivo la característica estructural es que no se introduce un análisis de culpa. Refiriéndose al caso concreto de las actividades peligrosas, por vía de ejemplo, sostiene que “… en determinadas actividades peligrosas, ha sucedido en España, como en otros países, que es el propio legislador el que se ocupa de establecer la fórmula de la responsabilidad objetiva o sin culpa: el que sufre el daño como fruto de una actividad dominada por el signo de la responsabilidad objetiva, tiene que ser resarcido, haya habido o no culpa por parte del que lo causó. Ya no es que se suavice la prueba de la culpa o se desplace sobre el demandado la prueba de la ausencia, es que, simplemente, se prescinde de ella…” (se subraya). Yzquierdo, M. (2001). Sistema de responsabilidad civil contractual y extracontractual. Madrid: Dykinson, p. 222.

(7) Al respecto, puede consultarse su interesante disertación sobre la culpa y la responsabilidad objetiva en la responsabilidad civil, en: (1995). Algunas previsiones sobre el futuro de la responsabilidad civil. Madrid: Cuadernos Civitas, pp. 29-35, que, por lo demás, se refiere también al denominado reverdecimiento de la culpa. Cfr. Rodota, N. (1964). Il problema della responsabilità civile. Milán, pp. 58-71.

(8) Corte Suprema de Justicia. Sala de Casación Civil. Sentencia del 24 de agosto del 2009, expediente 11001-3103-038-2001-01054-01.

(9) “ART. 1604.—El deudor no es responsable sino de la culpa lata en los contratos que por su naturaleza solo son útiles al acreedor; es responsable de la leve en los contratos que se hacen para beneficio recíproco de las partes; y de la levísima en los contratos en que el deudor es el único que reporta beneficio. El deudor no es responsable del caso fortuito, a menos que se haya constituido en mora (siendo el caso fortuito de aquellos que no hubieran dañado a la cosa debida, si hubiese sido entregado al acreedor), o que el caso fortuito haya sobrevenido por su culpa. La prueba de la diligencia o cuidado incumbe al que ha debido emplearlo; la prueba del caso fortuito al que lo alega. Todo lo cual, sin embargo, se entiende sin perjuicio de las disposiciones especiales de las leyes, y de las estipulaciones expresas de las partes” Código Civil colombiano, artículo 1604.

(10) Frente a este tema, el literal k del numeral 4º del artículo 208 del EOSF establece: “Valoración probatoria. Las pruebas se valorarán en su conjunto conforme a las reglas de la sana crítica, atendiendo la naturaleza administrativa de la infracción, la índole objetiva de la responsabilidad correspondiente y los propósitos perseguidos por el régimen sancionatorio”.

(11) Rodríguez Puentes afirma en su texto: “Responsabilidad bancaria frente al phishing”, en donde afirma que: “Al respecto, debe tenerse en cuenta que existe cierta dificultad en la determinación del sentido exacto en que ha de utilizarse el término phishing, toda vez que la alta velocidad de evolución del fenómeno y dado el escenario rápidamente cambiante en que se presenta —la web—, conlleva no solo diferentes formas de ejecución, sino también de comprensión del mismo”. Si bien el señor Rodríguez Puentes se refiere exclusivamente al tema del phishing, distinguiéndolo en particular de la modalidad de pharming, es cierto que la evolución de este tema se ha dado a velocidades mayores que el desarrollo legal de las mismas. En este sentido, no está zanjado el debate alrededor de los límites de las modalidades de las mismas, y mucho menos si la variación en la modalidad gradúa de alguna forma la responsabilidad aplicable.

(12) Estas aseveraciones de la SFC se encuentran fundamentadas en las obligaciones que le asisten a las entidades vigiladas por la SFC, contenidas en el artículo 7º de la Ley 1328 del 2009, literal q), según el cual dichas entidades están obligadas, entre otros, a “disponer de los medios electrónicos y controles idóneos para brindar eficiente seguridad a las transacciones, a la información confidencial de los consumidores financieros y a las redes que la contengan”.

(13) Este es el caso de una serie de sentencias que incluyen: Superintendencia Financiera de Colombia 2013055994, expediente 2013-0325, 25 de noviembre de 2013; Superintendencia Financiera de Colombia 2013085308, expediente 2013-0549, 6 de junio de 2014; Superintendencia Financiera de Colombia 2014035759, expediente 2014-0339, 20 de agosto de 2014.

(14) Superintendencia Financiera de Colombia, expediente 2014-1428, 31 de julio de 2015.

(15) Este es el caso de sentencias tales como: Superintendencia Financiera de Colombia 2013041561, expediente 2013-0211, 20 de noviembre de 2013; Superintendencia Financiera de Colombia 2013044253, expediente 2013-0230, 5 de diciembre de 2013; Superintendencia Financiera de Colombia 2013069313, expediente 2013-0425, 20 de enero de 2014; Superintendencia Financiera de Colombia 2013064608, expediente 2013-0392, 27 de enero de 2014; Superintendencia Financiera de Colombia, expediente 2015-0184, 13 de julio de 2015.

(16) Rodríguez Puentes afirma en su texto: “Responsabilidad bancaria frente al phishing” a partir del literal c) del artículo 12 de la Ley 1328 del 2009. En tanto imponer la carga probatoria a los consumidores se consideran cláusulas abusivas, es claro que esta carga le corresponde a la entidad. Si bien el artículo 167 del Código General del Proceso permite al juez distribuir la carga de la prueba, este artículo no es aplicable en esta ocasión por la interpretación favorable que debe dar al consumidor financiero, y a entender que el posicionamiento de la carga de la prueba del banco es un derecho inalienable del consumidor financiero.

(17) Este es el caso de sentencias de la SFC tales como la 2013064608, expediente 2013-0392, 27 de enero de 2014; 2013090535, expediente 2013-0602, 25 de junio de 2014.

(18) Un caso supremamente atípico fue el del fallo de la SFC del 28 de julio de 2015, que consideró que, para que el banco concurra en responsabilidad con el usuario, debe haberse establecido que el banco incumplió sus deberes de seguridad y diligencia. La providencia en cuestión muestra un entendimiento de la norma contrario a las protecciones de la Ley 1328 del 2009, pues, como se estableció, la carga de la prueba de estos deberes está en cabeza de la entidad financiera, para efectos de proteger al consumidor financiero desfavorecido.

(19) Corte Suprema de Justicia Sala Civil, Sentencia SC-186142016 (050013103001200 80031201), 19 de diciembre de 2016.

(20) El artículo 1º del Código de Comercio colombiano permite la aplicación de normas por vía de analogía para aquellos casos en los que la ley no contempló nada en particular sobre un tema específico. En este sentido, podría llegar a considerarse que, a falta de norma específica acerca de la regulación y la responsabilidad aplicable a otro tipo de fraudes, debe aplicarse por analogía lo dispuesto en el Código de Comercio para la responsabilidad ante la falsificación de cheques.

(21) Entre ellos la NTC-ISO/IEC 27001 aprobada el 22 de marzo de 2006, que recopila los requisitos exigidos para la implementación, revisión, mantenimiento y mejora del sistema de gestión de la seguridad de la información con el fin de “asegurar controles de seguridad suficientes y proporcionales que protejan los activos de información y brinden confianza a las partes interesadas”.

(22) El estándar técnico internacional en la materia se encuentra contenido en la norma NTCNTC-ISO/IEC 27001, adoptada por Colombia.

(23) Cfr. Corte Suprema de Justicia, Sentencia del 23 de agosto de 1998.

(24) Corte Suprema de Justicia, Sala de Casación Civil, Sentencia SC-3530-2017 del 14 de marzo de 2017.

(25) Corte Suprema de Justicia, Sala de Casación Civil, Sentencia SC-3530-2017 del 14 de marzo de 2017.

(26) En sentencia del 19 de junio de 2015 se pronunció la CSJ considerando que: “Aunque la jurisprudencia constitucional, a la que se remite la censura para sustentar sus cuestionamientos, en general ha reiterado el criterio atinente al deber que tienen las entidades financieras de informar de manera clara, completa y comprensible a los deudores de créditos de vivienda sobre las modificaciones que se requiera introducirle a los mismos, y de ser necesario, obtener el consentimiento del obligado, o la autorización mediante decisión judicial para proceder de conformidad, entre otros eventos, en el planteado por el impugnante relativo a que por haberse concedido los créditos en pesos se requería la aceptación del deudor para proceder a su redenominación a UVR; con el fin de evidenciar el dislate denunciado, era indispensable desvirtuar la conclusión fáctica del juzgador de segundo grado consistente en la falta de demostración de que el banco ‘obró en forma dolosa o en abuso de sus derechos subjetivos para acrecentar el valor de la acreencia’, con la cual sustentó la desestimación de la pretensión subsidiaria relativa al pago de la indemnización de perjuicios”.

(27) Al respecto, afirma Rodríguez Azuero: “la ley tiende a consagrar hipótesis que se han denominado como de responsabilidad objetiva, en las cuales, ante el incumplimiento, no es necesario inquirir por la conducta del banco, por lo que algún sector de la doctrina ha advertido que más bien se trata de una presunción de culpa a su cargo. Ahora bien, la inicial severidad de esta teoría parece resultar altamente morigerada ante la evolución que muestra la teoría general de la responsabilidad contractual, pues, en la medida en la que las obligaciones sean de resultado, el efecto práctico viene a ser idéntico”.