Las modalidades del fraude informático son variadas y se expanden constantemente, pero todas persiguen causar un perjuicio patrimonial en quienes lo sufren, lo que se concreta mediante una transferencia de dinero desde las cuentas de sus titulares hacia las de un tercero. La Ley N° 21.234, reconociendo el aumento en frecuencia y potencialidad de daño de dicho delito, determinó el sujeto que debe soportar las consecuencias de tales hechos. Dicha ley limitó la responsabilidad de titulares y usuarios de tarjetas de pago y transacciones electrónicas en caso de extravío, hurto, robo o fraudes, ampliando considerablemente aquella que corresponde soportar a las entidades financieras.
Si bien esta ley ratifica lo ya establecido en los artículos 3°, 12 y 23 de la Ley 19.947 sobre Protección de los Derechos de los Consumidores, particularmente en lo referente al deber del prestador de un servicio (en este caso de pago o bancario) de otorgar seguridad en su uso, en la práctica fue más allá del estándar establecido en el ámbito del consumo. Así, establece un procedimiento sumarísimo en que, interpuesto el reclamo por parte del usuario, las instituciones están obligadas a indemnizar dentro de un periodo de cinco días hábiles el monto de lo defraudado o sustraído, con un límite de 35 Unidades de Fomento (aproximadamente 1 millón de pesos).
Recientemente se dio cuenta de la presentación de querella de los Bancos de Chile, Falabella y Santander, en contra de sus propios clientes por conductas que pudieran ser consideradas como autofraudes, ya que los propios clientes estarían desconociendo sus propias operaciones. En la práctica ello pudiera explicarse porque ese reducido plazo permite ser aprovechado para obtener indemnizaciones de parte de los bancos mediante la simulación de un fraude informático, lo que a su vez puede constituir delito de uso fraudulento de tarjetas de pago contemplado en el artículo 7° de la Ley N° 20.009. Las instituciones bancarias, previo al cumplimiento de este plazo fatal de cinco días previsto para la indemnización, no tienen tiempo suficiente para efectuar un análisis de la existencia de dolo o culpa grave de los usuarios, al ser elementos psicológicos de difícil objetivización.
De este modo, la norma actual dificulta las tareas de prevención de los emisores por su breve plazo y los expone a ser ellos mismos víctimas de delitos por el abuso de los usuarios de la norma, generando, por añadidura, un riesgo criminógeno. Si bien la ley tuvo como objetivo incrementar los estándares de seguridad por parte de emisores, en la práctica generó una exposición a riesgos delictivos difícil de cubrir, la que está siendo aprovechada por algunos para cometer fraudes altamente rentables y con baja probabilidad de condena.
La norma en comento confirma un principio básico del Derecho, vigente desde los tiempos de Cicerón: demasiada regulación esconde costos que son difíciles de prever en el caso concreto pero que, al poco andar, generan mayores perjuicios que los beneficios prometidos. En este caso, ello se está materializado en una responsabilidad objetiva de emisores y el aumento de riesgos delictivos. En este contexto, es preferible poner el énfasis en una regulación de la ciberseguridad efectiva, que incremente directamente las medidas de seguridad en transferencias y uso de medios de pago, evitando traspasos de riesgos que en teoría parecen justos, pero en la práctica redundan en la arbitrariedad propia de todo exceso.
