San José, lunes 29 de setiembre de 2008 Para: Sr. William Hayden Quintero Gerente General Banco Nacional de Costa Rica Fax 2223-8054 OFICIO N° 09650-2008-DHR -[GA] AL CONTESTAR POR FAVOR CONSIGNE ESTE NUMERO DE OFICIO EXPEDIENTE N° 13266-2007-SI-ACH Sr. Mario Rivera Gerente General Banco de Costa Rica Fax. 2255-0911 Sr. Gerardo Porras Sanabria Gerente General Banco Popular y Desarrollo Comunal Fax. 2255-1966 Sr. Guillermo Quesada Oviedo Gerente General Banco Crédito Agrícola de Cartago Fax. 2551-8538 Sr. Guillermo Constenla Presidente Ejecutivo Instituto Nacional de Seguros Fax 2222-2310 De: Lisbeth Quesada Tristán Defensora de los Habitantes Copia: Sra. Rocío Aguilar Montoya Contralora General Contraloría General de la República Fax 2501-8100 Sr. Francisco de Paula Gutiérrez Presidente Ejecutivo Junta Directiva Banco Central de Costa Rica Fax 2255-0867 Sr. Óscar Rodríguez Ulloa Superintendente General Superintendencia General de Entidades Financieras Fax 2243-4849 Sra. Cynthia Zapata Calvo Coordinadora de la Unidad Técnica de Apoyo Comisión Nacional del Consumidor Fax 2255-2467 Sr. Isidro Serrano Rodríguez Gerente General Radiográfica Costarricense S.A. Fax 2287-0332 Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 1 INFORME ESPECIAL FRAUDES ELECTRÓNICOS: DE LA RESPONSABILIDAD DE LOS BANCOS DEL ESTADO INFORME SOBRE LA ACTUACIÓN DE LOS BANCOS DEL ESTADO ANTE LOS FRAUDES ELECTRÓNICOS Y SU RESPONSABILIDAD ADMINISTRATIVA: CONTROL INTERNO Y VALORACIÓN DEL RIESGO 1. INTRODUCCION. 1.1 ORIGEN Y RESUMEN DE LA INVESTIGACIÓN. La Defensoría de los Habitantes de la República recibió de un grupo de clientes afectados varias denuncias en contra de algunos bancos estatales relacionados con la ola de fraudes electrónicos que se desató, específicamente en el transcurso del año 2007. En este sentido, ante los hechos y por sugerencia de las mismas autoridades de los bancos, las personas procedieron a plantear las denuncias judiciales correspondientes ante el Ministerio Público. No obstante, en vía administrativa, alegan que para algunos de los casos los bancos han incurrido en omisión de respuesta y en ocasiones se han limitado a afirmarles que “el banco no se hará responsable por los montos sustraídos”. Además, les han informado que deben esperar a que se determine si lo sucedido responde a irregularidades o fallas técnicas del sistema de seguridad bancaria. De los hechos descritos se obtiene un claro descontento que contrasta con la obligación de los bancos de tutelar, salvaguardar, proteger y custodiar el patrimonio que les ha sido encomendado para cuidarlo como “buenos padres de familia”; y su incuestionable vocación de servicio al cliente. 1.2. ALCANCE DE LA INVESTIGACIÓN Y COMPETENCIA DE LA DEFENSORIA Tal y como lo establece la Ley de la Defensoría de los Habitantes (Ley Nº 7319), le corresponde a la institución ejercer un control de legalidad sobre el funcionamiento de las instituciones públicas, velando porque se ajusten a la moral, la justicia, la Constitución Política y las leyes. Esta labor encomendada de protección de los derechos e intereses de las y los habitantes conlleva la necesaria tarea de velar porque las instituciones públicas cumplan con los objetivos para los cuales fueron creadas. El cumplimiento de dichos objetivos debe contribuir al fortalecimiento del sistema democrático, generando una participación activa de las y los habitantes en el desarrollo del país. Para ello, la calidad de gestión pública requerida impone que la misma responda a criterios de eficiencia, eficacia, transparencia, rendición de cuentas y legalidad, entre otros; principios denominados modernamente como Principios de Buen Gobierno, contenidos en nuestra legislación y desarrollados en diversos informes anuales por parte de la Defensoría de los Habitantes 1 . 1 Informes Anuales 2003-2003; 2003-2004; 2005-2006; 2007-2008 Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 2 La relación entre las y los habitantes y las instituciones públicas debe ser respetuosa, eficiente y satisfactoria. En ese sentido, existe un nexo irremplazable entre la gestión pública, la calidad de la misma y el efectivo respeto de los derechos humanos. Y es que tal y como ha sido reconocido a nivel internacional, “...La gestión pública, consiste en parte en instituciones y en normas efectivas, pero también en la protección de derechos humanos, en la promoción de una participación más amplia de las instituciones y en normas que afecten a la vida de la población, así como en el logro de resultados económicos y sociales más equitativos.. Hoy en día, está generalmente aceptado que la participación, la transparencia y la rendición de cuentas son elementos importantes de un buen gobierno. El buen gobierno ha pasado a estar intrínsecamente unido a los conceptos y la práctica de la democracia y al imperio de la ley”. 2 Esta relación existente entre la protección de los derechos humanos, los criterios de Buen Gobierno y su efectiva aplicación en la gestión pública, trae consigo la necesidad de contar con mecanismos que permitan la evaluación constante de dicha gestión, de forma tal que en la misma se transversalicen los principios de Buen Gobierno, generando los instrumentos de control necesarios que permitan detectar cualquier desvío que aleje a las instituciones del cumplimiento de sus objetivos, definiendo e implementando las acciones correctivas necesarias. La evaluación constante del quehacer de la Administración Pública en punto al cumplimiento de sus objetivos, es una tarea inicial y principalmente encomendada a la Administración misma, estableciéndose para ello procedimientos que lo permitan. Asimismo, debe la Administración estar abierta a dicha evaluación por parte de las y los habitantes, que ven en la rendición de cuentas, la oportunidad de determinar si las y los funcionarios públicos han cumplido a cabalidad con la función encomendada. Es así como internacionalmente surge la normativa de control interno, misma que ha tenido como objetivo generar una cultura de control en todos los niveles de la organización que permita establecer un compromiso y una efectiva responsabilidad por la gestión pública, generando sistemas de rendición de cuentas en el quehacer diario de las y los funcionarios públicos. En ese sentido, la Defensoría de los Habitantes a partir de la labor de protección de derechos, tiene diariamente la oportunidad de detectar y señalar acciones u omisiones de la Administración Pública que generan el incumplimiento de los derechos de las y los habitantes. Estas acciones u omisiones de la Administración Pública, en la gran mayoría de los casos evidencian, entre otras cosas, ausencia de delimitación de funciones y responsabilidades a lo interno de las instituciones, inexistencia de procedimientos que permitan establecer con claridad qué hacer, cómo hacerlo y para qué, así como un débil compromiso con los objetivos institucionales. Las denuncias recibidas en la Defensoría por violación de algún derecho legal o constitucionalmente establecido generan la realización de investigaciones en las cuales se examinan los procedimientos en el nivel institucional así como las acciones o omisiones internas que dieron como resultado la violación del derecho denunciado, siendo en la mayoría de los casos comprobada alguna falla o debilidad del sistema de control interno institucional, como se examinará en el tema que nos ocupa. Se corrobora el inevitable nexo existente entre la protección de derechos y una gestión pública de calidad, generándose un especial interés en los procesos de control interno que desarrollen las instituciones y que -como se analizará posteriormente- permitan como un fin último, el efectivo ejercicio de los derechos por parte de las y los habitantes. 2 Organización de Naciones Unidas (ONU). Informe sobre el Desarrollo Humano. 2002. Páginas 51 y siguientes. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 3 En ese sentido, desde la óptica de la labor realizada por la Defensoría, los objetivos perseguidos con el control interno, sean la eficiencia y efectividad en el accionar de la administración pública, así como el buen uso de los recursos públicos, forman también parte de los buscados en la labor contralora de legalidad que realiza la institución. Es evidente entonces que, eficientes y adecuados sistemas de control interno en las instituciones permiten mayores niveles de satisfacción por parte de las y los habitantes. En el marco de las competencias legalmente establecidas, se inició la investigación sobre el proceder de los bancos del Estado en cuanto a las reiteradas denuncias recibidas en materia de fraudes electrónicos, así como cuáles son las acciones legales a las que están llamadas las entidades financieras a tomar, así como de qué manera se ha analizado el tema desde el punto de vista del control interno y valoración del riesgo en materia de seguridad informática en el caso de la prestación de servicios en línea, específicamente lo conocido como “Internet banking”. Se realiza de esta forma, un análisis desde los parámetros anteriormente indicados de un servicio, servicio de Internet banking- que se le brinda a las y los habitantes por parte de instituciones públicas del sector bancario. Servicio que, como tal, debe cumplir con estándares de calidad y seguridad, tanto para la institución que lo oferta, como para las y los clientes que lo reciben. 1.3. DELIMITACIÓN TEMPORAL DEL ESTUDIO. Es conveniente destacar que la delimitación temporal del presente estudio, está referida a los fraudes electrónicos que se dieron durante el año 2007 y el primer semestre del año 2008. 2. DESARROLLO DE LA INVESTIGACIÓN. 2.1 TRASLADO Y SOLICTUD DE INFORMES. Conforme lo indicado, admitida la queja para su investigación y estudio, se solicitó mediante los oficios 589-2008-DHR, 1023-DHR-2008, 1024-DHR-2008, 1056-DHR-2008, 1407-DHR-2008, 2121-DHR-2008 y 2197-DHR a las siguientes instituciones, la presentación del informe de ley. Instituciones consultadas: • • • • • • • • • • Contraloría General de la República (CGR) Banco Central de Costa Rica (BCCR) Superintendencia General de Entidades Financieras (SUGEF) Banco Nacional de Costa Rica (BNCR) Banco de Costa Rica (BCR) Bancrédito (Bancrédito) Banco Popular y de Desarrollo Comunal (BPDC) Radiográfica Costarricense (RACSA) Instituto Nacional de Seguros (INS) Comisión Nacional del Consumidor (CNC) De los informes recibidos, se obtuvieron las siguientes ideas centrales, así como lo hechos constatados que serán destacados en el transcurso de la investigación, según corresponda. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 4 2.2. CONTRALORÍA GENERAL DE LA REPÚBLICA. Mediante el oficio FOE-ED-0146 del 4 de marzo de 2008, el señor Allan Roberto Ugalde Rojas, en calidad de Gerente de Área de la División de Fiscalización Operativa y Evaluativa del Área de Servicios Económicos para el Desarrollo de la Contraloría General de la República, remitió el informe requerido, indicando entre otras cosas lo siguiente: Que constitucionalmente se le confiere a la Contraloría General de la República (CGR) una “función constitucional de control de los fondos públicos, con el propósito de mejorar la gestión de la Hacienda Pública y contribuir con el control político y ciudadano”. Señala que los bancos del Estado deben responder ante la CGR, por las actuaciones relacionadas con la eficiencia y la eficacia en el uso y manejo de los recursos públicos. Que según la Contraloría General de la República, la prestación de servicios que los bancos ofrecen a través de Internet, es regulada por la SUGEF, la cual se encarga de velar por la estabilidad, la solidez y el eficiente funcionamiento del Sistema Financiero Nacional. Que según la CGR, la SUGEF emitió normativa cuyos lineamientos sirven de base para regular la administración, los sistemas, los equipos, la seguridad, la utilización y los controles aplicados al Área de Tecnología de la Información de las entidades fiscalizadas (Normativa de Tecnología de Información). 2.3 BANCO CENTRAL DE COSTA RICA. Mediante oficio AJ-079-2008 del 8 de febrero del 2008, remitido por el señor Roy González Rojas, en calidad de Gerente del Banco Central de Costa Rica, recibido el 11 de febrero del 2008, se obtuvo que formalmente, no existe una normativa o protocolo específico para reportar al Banco Central de Costa Rica o a la Superintendencia General de Entidades Financieras los casos que se denuncian por fraude electrónico. Específicamente, sobre las competencias del Banco Central en relación con la actividad bancaria, especialmente lo referido a la prestación de servicios ofrecidos a través de Internet, se señala que las competencias del Banco Central de Costa Rica están determinadas por la Ley Orgánica del Banco Central de Costa Rica, Ley No. 7558, la cual establece en su artículo 2, como un objetivo subsidiario de la Institución lo siguiente: “d) Promover un sistema de intermediación financiera estable, eficiente y competitivo.” Asimismo, se cita el artículo 3 de esa misma Ley Orgánica, el cual establece, como funciones esenciales del Banco Central, entre otras, las siguientes específicamente relacionadas con el sistema bancario nacional: “e) La promoción de condiciones favorables al robustecimiento, la liquidez, la solvencia y el buen funcionamiento del Sistema Financiero Nacional. (...) g) La determinación de políticas generales de crédito y la vigilancia y coordinación del Sistema Financiero Nacional. (...) j) El establecimiento de las regulaciones para la creación, el funcionamiento y el control de las entidades financieras”. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 5 Agregan que en términos generales, para el ejercicio de estas facultades el Banco Central puede utilizar el instrumento jurídico denominado “Directriz”, propio de su potestad de dirección que implica las “...pautas u orientaciones que sirven de marco conceptual para la toma de decisiones”. (Corte Plena, sentencia del 16-6-84 citada por la Sala Segunda de la Corte Suprema de Justicia, Resolución No. 200300496 de las 09:40 horas del 17 de setiembre del 2003). Que mediante el mecanismo de la Directriz el Banco Central podría regular un área de acción general en donde si el ente actúa, lo haga en determinada dirección, pero no puede obligar a hacerlo o impedir que actúe, pues siempre dicho ente podrá hacerlo incluso en una dirección distinta a la indicada, asumiendo las respectivas responsabilidades por sus actuaciones. Del mismo documento se obtuvo que para la fiscalización y supervisión de las decisiones que en esta y otras materias son adoptadas, la ley creó tres superintendencias constituidas como órganos de desconcentración máxima, sobre las cuales no existe relación jerárquica con la Junta Directiva del Banco Central, su Presidencia o la Gerencia en los asuntos relacionados con su especialidad técnica, resultando además que los reglamentos que los rigen son emitidos por el Consejo Nacional de Supervisión del Sistema Financiero Nacional (CONASSIF), que es también a su vez un órgano de desconcentración máxima del Banco Central y sobre el cual el Ente Emisor tampoco tiene injerencia en el ejercicio de sus funciones. 2.4 SUPERINTENDENCIA GENERAL DE ENTIDADES FINANCIERAS. Esta Defensoría solicitó a la Superintendencia General de Entidades Financieras (SUGEF), mediante el oficio 1056-2008-DHR, su posición en cuanto al tema planteado. En este sentido, el señor José Armando Fallas Martínez, en calidad de Intendente General remitió el oficio SUGEF 579-200800993 fechado 22 de febrero del 2008, del cual para lo que interesa, se destaca lo siguiente. Que actualmente la SUGEF, de manera taxativa, carece de competencia para resolver conflictos o casos relacionados con reclamos de clientes ante el Sistema Bancario Nacional. Que la SUGEF ha procurado que las entidades financieras, reciban y tramiten las denuncias que por alguna razón han sido planteadas ante su autoridad con la finalidad de brindar la mejor información posible para los clientes con el objeto de que cuenten con la información necesaria para plantear, eventualmente las denuncias que consideren ante la vía judicial. 2.5 BANCO NACIONAL DE COSTA RICA. El Banco Nacional de Costa Rica, por medio del oficio DCGM-033-2008 del 7 de enero del 2008, remitido por el licenciado Sigifredo Fonseca Mora en calidad de Director Corporativo de Gestión de Medios, en cuanto a la información solicitada destacó lo que en los párrafos siguientes se consigna de interés para la presente investigación. Asimismo, conviene señalar que del oficio remitido por el BNCR se utilizará información adicional en el transcurso de la presente investigación. Al respecto, se indicó que el Banco Nacional siempre da respuesta a los planteamientos de sus clientes. Además, de que en el Banco se cuenta con un documento interno para la atención de los reclamos de los clientes denominado PRO.DCTIC.DSI.O1: Protocolo para el manejo de reclamos administrativos relacionados a los servicios de Internet Banking. Este protocolo se estableció con el objetivo de regular y estandarizar el proceso de atención de los reclamos administrativos relacionados a los servicios de Internet Banking interpuestos por clientes del Banco Nacional. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 6 Añaden que los casos son atendidos por medio de la Dirección Regional respectiva. Específicamente, en los casos de Phishing se realiza una investigación por parte del Unidad de Seguridad Informática donde se analizan las transacciones electrónicas que se imputan y son cuestionadas por el cliente. Para mayor detalle respecto a los procesos, procedimientos, elementos de control interno y aseguramiento de la infraestructura tecnológica del Banco Nacional, se hace referencia al documento denominado “Aseguramiento de la Infraestructura, procesos, políticas de seguridad de la información y administración del servicio de Internet Banking del Banco Nacional”, oficio No. USI-025-2008. 2.6 BANCO DE COSTA RICA. Por parte del Banco de Costa Rica, se recibió el oficio SG-DBE-01-11-01 del 21 de enero del 2008 remitido por el señor Mario Rivera Turcios en calidad de Subgerente General de la Dirección de Banca Electrónica y al respecto nos informa: Que las autoridades del Banco de Costa Rica (BCR) han realizado importantes inversiones en el área de seguridad de Tecnologías de la Información (TI) por lo cual, cuentan con los controles destinados a garantizar la seguridad de la información y recursos económicos de los cuales son custodios. El BCR cuenta con controles relacionados con equipos firewall, equipos de detección de ataques dirigidos a sus redes (equipos IPS), sistemas antivirus y antiespías, uso de zonas de acceso restringido, sistemas de alarmas para identificar y alertar de situación anormales, parcheo de equipos, monitoreo externo a cargo de una empresa que realiza monitoreos diarios de la plataforma del Banco y alerta en caso de vulnerabilidad, encriptación que evita que la información entre cliente banco sea vulnerada por terceros. Que el BCR al asegurar que los sistemas del banco no han sido vulnerados en ningún caso de fraude electrónico afirma que los delincuentes han dirigido sus estrategias defraudatorias hacia los clientes, tratando de aprovechar algún descuido de éstos en el uso de los medios electrónicos. Que según el BCR, las situaciones de fraude se dan porque algunas personas no cuentan con sistemas de protección en sus equipos o simplemente son engañados por los conocidos sitios falsos en donde se les solicita sus datos privados que una vez capturados, son utilizados para cometer el fraude. En este sentido, agrega que la plataforma del Banco es segura y monitoreada constantemente. Además de tener un procedimiento interno para el tratamiento de incidentes de seguridad que son administrados según corresponda para cada caso. Se adiciona que han implementado campañas informativas sobre el fraude electrónico y medidas de seguridad preventiva destacando la importancia de no revelar las contraseñas y realizar transacciones desde sitios seguros. Además, de que el BCR, es sujeto de auditorías externas por una empresa independiente la cual es contratada por la SUGEF, SUPEN y SUGEVAL. Indican que para la prestación del servicio, todo cliente del BCR debe de firmar un contrato de cuenta que refiere al Reglamento de Servicios de Banca Electrónica y que son de conocimiento obligado de los clientes ya que el sistema no permite la habilitación del servicio hasta que el cliente haya aceptado expresamente y de previo, los derechos y obligaciones derivadas de dicha normativa. Que los sistemas de tecnologías de la información, son valorados por la SUGEF en las visitas de supervisión y según la teoría de riesgos enfocados a los recursos con que cuenta la institución, entre más sana sea una entidad financiera, más prolongados los períodos de visita entre una y otra. Además, se cuenta con un programa de supervisión establecido. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 7 2.7 BANCRÉDITO. Por su parte, Bancrédito, por medio del subgerente general, Gregorio Segura Coto, remitió el oficio SFG009-2008 del 21 de enero del 2008 con el cual se refieren a lo solicitado, destacando que el Banco ha venido aplicado la Autoevaluación de Control Interno (…) y que producto de esa autoevaluación surgen acciones de mejora en acatamiento a las debilidades detectadas, donde la página Web y su seguridad no son ajenas a dicho proceso de mejora continua. En cuanto a casos de fraude presentados en esa institución, afirma que hasta la fecha de presentación del informe no se les había presentado un solo caso. Además, manifiesta que el Banco cuenta con una unidad de Auditoría de Sistemas, misma que de acuerdo a su plan de trabajo anual, realiza revisiones a los sistemas de información. Además, en la revisión de la Auditoría Externa, que por ley se contrata en forma anual, dentro de las áreas auditadas se encuentra la Dirección de Tecnología. La más reciente revisión que se llevó a cabo por parte de la Auditoría Externa fue en noviembre del 2007. El Banco no está sometido a procesos de rendición de cuentas, pero atiende cualquier requerimiento que sobre este tema soliciten los Entes de supervisión y control. Finalmente sobre el tema de seguros afirma, en lo que refiere a las cuentas de ahorros y corrientes el INS no tiene entre sus productos uno que se adapte para amparar las pérdidas provocadas por fraudes por Internet. 2.8 BANCO POPULAR Y DE DESARROLLO COMUNAL. Del Banco Popular se recibió el oficio SGN-080-2008 fechado 21 de enero del 2008, remitido por el Subgerente, Geovanni Garro Mora, quien aportó para la presente investigación, la información que a continuación se destaca: El Banco Popular y de Desarrollo Comunal no es un banco del Estado. En ese sentido el artículo 2 de la Ley Nº 4351 del 11 de julio de 1969 (Ley Orgánica del Banco Popular y de Desarrollo Comunal) expresamente establece que el “Banco Popular y de Desarrollo Comunal es una institución de Derecho Público no estatal, con personería jurídica y patrimonio propio, con plena autonomía administrativa y funcional. Su funcionamiento se regirá por las normas del Derecho Público”. Aclarado el punto, además se obtuvo que durante el año 2007, el Banco Popular y de Desarrollo Comunal (BP) recibió un total de 54 denuncias relacionadas con fraudes vía Internet. Señala que en el BP “no se detectaron elementos o indicios que permitan suponer que medió violación de los procedimientos y la normativa imperante del Banco o de sus funcionarios por lo que las transacciones se realizaron de manera transparente y legítima para el Banco”. (ver informe de Seguridad Bancaria oficio SS-238-2008). En cuanto al tema de Control Interno, se aplica la metodología de mapas de riesgo y las autoevaluaciones según la Ley Nº 8492 y la Directriz 24-2000 de la SUGEF que incluye los riesgos inherentes a los sistemas informáticos. Por otra parte, en la actualidad no se encuentra establecida la obligación de reportar a la SUGEF o en su defecto al Banco Central de Costa Rica. Que el servicio que presta el BP, es un servicio conexo a la Tarjeta Popular y en ese sentido el contrato establece que “El Banco no asume ninguna responsabilidad por pérdidas, robos, extravíos o sustracciones a que pueda estar sujeto el cliente por parte de personas ajenas al Banco”. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 8 Que la afiliación al servicio es voluntaria y conlleva la aceptación de una serie de términos y condiciones de uso. Establece que la “contraseña”, es prueba irrefutable de que es el cliente quien accede al sistema en función de la aceptación de las operaciones realizadas. 2.9 RADIOGRÁFICA COSTARRICENSE. Mediante oficio 20.GR.155.2008, la Gerencia General de RACSA remite el oficio 110.DJ.0256.2008, mediante el cual la Asesoría Jurídica y la Dirección de Redes se refieren a la solicitud de información planteada por parte de esta Defensoría. Al respecto nos indican que RACSA se ha caracterizado por ser un Proveedor de Acceso a Internet (ISP, Internet Service Provider), es decir, que únicamente conecta Internet 3 a los usuarios. Esto implica que únicamente RACSA se limita a prestar servicios de conectividad. Que según cita RACSA en su informe, la seguridad informática “consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentran acreditadas y dentro de los límites de su autorización”. (http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica ) En cuanto a la seguridad informática, ilustra señalando que depende de los requerimientos específicos de la organización, así como de la adecuada utilización que el usuario haga de acuerdo con el sistema de seguridad informático que cada quien implemente. Sobre el tema de Internet bancario, una entidad contrata con RACSA para que le supla el enlace para brindar servicios que vayan a ofrecer (servicios que a lo interno de RACSA se desconocen). A nivel de plataforma solo se observa el envío y recepción de tráfico, pero no su contenido dado que es una situación ajena a la Institución y además que está protegida por el principio constitucional de privacidad de las comunicaciones. Tampoco RACSA mantiene control de la aplicación y los esquemas de seguridad definidos por cada entidad. En este sentido, RACSA debe de tomar las previsiones para garantizar que su plataforma no esté expuesta a ataques que generen problemas que pongan en riesgo la operación de sus redes y plataformas. Esto lo cumple mediante el monitoreo que realiza una empresa especializada a nivel mundial la cual protege sus plataformas de manera ininterrumpida las 24 horas del día. Que en tal sentido, RACSA suple seguridad sobre la operación de sus plataformas y equipos, con paredes de fuego, pero no sobre las aplicaciones o servicios de valor agregado que desarrolla cada institución para establecer servicios en línea en la relación banco-cliente. Finalmente, informa que la Contraloría de Servicios de RACSA, no ha recibido ni tramitado reclamos por fraude informático, lo cual obedece a la naturaleza de la actividad comercial desarrollada por esa empresa de telecomunicaciones. 3 Internet es un método de interconexión descentralizada de redes de computadoras implementando en un conjunto de protocolos denominado TCP/IP y garantiza que redes físicas heterogéneas funcionan como una red lógica única de alcance mundial”. www.wikipedia.org Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 9 2.10 DIRECCIÓN DE APOYO AL CONSUMIDOR. La Dirección de Apoyo al Consumidor del Ministerio de Economía, Industria y Comercio, por medio de su Directora Cynthia Zapata Calvo, mediante oficio DAC-168-08 del 15 de marzo del 2008, nos informa en términos generales, que la competencia de la Comisión Nacional del Consumidor está claramente definida en la Ley No. 7472, no obstante; aclara que existen situaciones específicas en las cuales la Comisión no podría intervenir ya sea por existir una competencia exclusiva y excluyente en la materia, como es el caso de la materia financiera y las competencias de la SUGEF; o bien porque el objeto del reclamo es el resarcimiento de los daños y perjuicios causados, aspecto reservado a la sede judicial. Cita a manera de ejemplo: “debe entenderse que la Comisión Nacional del Consumidor no podría de conformidad con el artículo 53 inciso e) decretar la suspensión de los servicios bancarios provistos por vía electrónica sin entrar en competencias de la SUGEF, pues eso tiene incidencias a nivel de la operatividad del sistema financiero en su conjunto”. 2.11 INSTITUTO NACIONAL DE SEGUROS. Al ser consultado sobre el tema, el Dr. Guillermo Constenla, en calidad de Presidente Ejecutivo del INS, mediante oficio PE-2008-0346 del 4 de marzo del 2008, señaló que el INS ofrece, a las instituciones financieras de banca, un producto para proteger contra diversos riesgos inherentes a la actividad propia de las mismas. Además, existe la protección denominada “Póliza de Fidelidad Bancaria” cuyas coberturas son variadas e incluyen “específicamente a petición de los solicitantes la cobertura denominada DELITO POR COMPUTADORA Y ELECTRÓNICO, que brinda amparo contra fraudes electrónicos, bajo condiciones pactadas de cobertura y ciertas exclusiones que aplicarían”. Que adicionalmente existe un procedimiento, mediante atención de requisitos (solicitud de seguro y cuestionario específico con información particular de la actividad desarrollada), (…) y que la póliza se suscribe como una negociación particular y requiere de un análisis realizado por los técnicos de consuno con las reaseguradoras”. 3. HALLAZGOS DE LA INVESTIGACIÓN. Analizada la información rendida por las diferentes instituciones consultadas, la Defensoría ha llegado a los siguientes hallazgos: 3.1 3.2 3.3 Que la Contraloría General de la República, mediante oficio número 14766 del 13 de diciembre del 2007, autorizó al Banco Nacional de Costa Rica, a aplicar un procedimiento de urgencia para la consecución de una solución integral que permita brindar autenticación en las aplicaciones de Internet Banking. Que la Contraloría General de la República, mediante oficio Nº 919 del 5 de febrero del año en curso, autorizó al Banco Crédito Agrícola de Cartago (Bancrédito) una contratación directa para la implementación de una solución que complementa el mecanismo de usuario y clave en su sitio transaccional de Internet. Que en materia de seguridad informática se distinguen tres elementos fundamentales 4 : 3.3.1 4 Información: Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico”. Tomado del oficio 110.DJ.256.2008. Informe RACSA. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 10 3.3.2 Equipos que la soportan: software, hardware y organización. 3.3.3 Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información”. 3.3.4 Que existen al menos cuatro modalidades principales de estafa para el robo de identidad (incluye contraseña de acceso y otra información sensible de tarjetas): - Infraestructura instalada en “cafés Internet” es posible que les capturen la clave de acceso y otra información importante. - Mediante la instalación de los denominados “keyloggers”; pueden ser físicos que se conectan al teclado, o lógicos que se instalan en la computadora, así se captura todo lo que el usuario digita. - Técnica del “Phishing”, es una de las modalidades más generalizadas y consiste en el envío de un correo al cliente para engañarlo mediante la suplantación de identidad solicitándole nombre de usuario, contraseña, número de cédula, dirección so pretexto de que el banco se encuentra realizando actualizaciones de información personal. - Mediante software tipo “malaware”, el cual puede ser virus, Spyware, troyanos, los cuales se instalan en las computadoras de los clientes desde donde realizan sus transacciones diarias. 3.4 Que de la información solicitada a los Bancos, se logró elaborar el siguiente cuadro sobre el total de dinero que se destina a los proyectos de inversión en sistemas de información. Según los datos obtenidos, el dato cubre el año 2007 y algunas proyecciones para el 2008: Cuadro Número 2. Inversión de los bancos estatales en Sistemas de Información años 2007 y 2008. Año 2007 Año 2008 Banco Nacional Banco de Costa Rica 6,650,000,000ºº (sic) (seis mil seiscientos cincuenta millones exactos) Presupuesto total de tecnología US $ 55,7 millones (2% para infraestructura de seguridad) Costo equipos: ¢85,120,000,ºº Valor origen del software: ¢ 21,280,000,ºº Servicios contratados diversos: ¢ 14,000,000ºº No suministrado No suministrado 650,000,000,ºº (seiscientos cincuenta millones exactos) BANCRÉDITO BANCO POPULAR ¢ 92,185,200,ºº (noventa y dos millones ciento ochenta y cinco mil doscientos colones) Contratación por excepción número 1.08. Suministro e Implementación de Certificados Digitales Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 11 (para solución antifraude) TOTAL: 3.5 7,300,000,000ºº 27,850,000,000ºº ¢ ¢ 92,185,200,ºº (conversión 120,400,000,ºº propia calculado a ¢500ºº por dólar) Fuente. Elaboración propia con datos recibidos de los Bancos del Estado. Que en el caso del Banco Nacional dentro de las principales tecnologías utilizadas de seguridad, se destacan: 3.5.1 Certificados digitales: significa una garantía al cliente de que está accediendo al sitio oficial del Banco de manera segura. Señalan que de esta manera se previene la práctica común en Internet del “enmascaramiento”, donde terceros se hacen pasar por organizaciones reconocidas para causar perjuicio a sus clientes. Son dirigidos a los usuarios y el más común es el denominado “Phishing”. 3.6 3.5.2 El banco cuenta con herramientas y procedimientos para la identificación oportuna de amenazas a la seguridad de las aplicaciones y en especial las aplicaciones Web, lo cual, afirman que “se traduce en mejora en la seguridad de cara al cliente y los servicios ofrecidos por el Banco”. 3.5.3 Controles Antivirus-AntiSPAM-AntiSpyware-Antimalware. La expansión de estos controles evitan que el tráfico de e-mail y otros archivos compartidos pasen directamente a los servidores y estaciones de trabajo (…). 3.5.4 Certificado de seguridad contra Intrusos (hacker safe). La seguridad del sitio www.bncr.fi.cr se prueba y certifica a diario ante Hacker Safe, lo cual ayuda a tratar las preocupaciones sobre los hackers en que no tengan acceso a los datos confidenciales. Que de conformidad con lo indicado por el INS, dicha entidad aseguradora ofrece a las instituciones financieras de banca, un producto para proteger contra diversos riesgos inherentes a la actividad propia de las mismas. En ese sentido, existe la protección denominada “Póliza de Fidelidad Bancaria” cuyas coberturas son variadas e incluyen “específicamente a petición de los solicitantes la cobertura denominada DELITO POR COMPUTADORA Y ELECTRÓNICO, que brinda amparo contra fraudes electrónicos, bajo condiciones pactadas de cobertura y ciertas exclusiones que aplicarían”. Asimismo, se ofrece un procedimiento mediante atención de requisitos (solicitud de seguro y cuestionario específico con información particular de la actividad desarrollada) (…) la póliza se suscribe como una negociación particular y requiere de un análisis realizado por los técnicos de consumo con las reaseguradoras”. 3.7 Que por parte de RACSA, existen amenazas novedosas y por tanto imprevisibles y de muy diversa índole, por lo que existen técnicas de aseguramiento de los sistemas como los que se detallan a continuación: 3.7.2 Codificar la información: criptología, criptografía y criptociencia, contraseñas. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 12 4. 3.7.3 Vigilancia de red. 3.7.4 Tecnologías repelentes o protectoras: contrafuegos, sistemas de detección de intrusos –antispyware, antivirus, llaves para protección de software. 3.7.5 Mantener los sistemas de información con las actualizaciones que mas impacten en seguridad. (www.wikipedia.org) 3.7.6 Que según RACSA Internet, por sus características de red abierta, universal y democrática, permite el ingreso y acción de múltiples actores y del llamado concepto de “ingeniería social” que se aplica a los usuarios de forma que se obtienen datos personales, tales como la contraseña con lo cual personas inescrupulosas manipulan la información. 3.7.7 Que RACSA advierte que la red no es que deba dejar de utilizarse para realizar transacciones o movimientos, sino que el uso de esta herramienta que además de ágil, facilita muchos servicios que conllevan una gran responsabilidad de parte del usuario quien se ve obligado a cuidar su información. CONSIDERACIONES DE FONDO Con fundamento en lo expuesto se realizan las siguientes consideraciones en cuanto a las fuentes del derecho y marco jurídico aplicable: 4.1 SOBRE EL DERECHO DE ACCESO A LA INFORMACIÓN. Una de las denuncias que con mayor recurrencia se planteó por parte de las y los afectados de estafas bancarias fue la referida al hermetismo y poca colaboración por parte de algunas de las entidades bancarias al momento en que las y los perjudicados requirieron información sobre su caso específico y las razones que justificaban la declinación de algunos de los reclamos. Tomando en consideración lo anterior, se ha considerado importante referirse al derecho de acceso a la información que le asiste a cada una de las personas. Al respecto, en los tiempos que vivimos, la transparencia en el ejercicio de la función pública resulta uno de los principios que con mayor frecuencia y gravedad se violenta. Y es que la transparencia es violentada cuando se limita formal o materialmente el derecho que tienen las y los habitantes de acceso a la información considerada como pública. La primera regla para hacer efectiva la transparencia está en brindar la información que permita a las y los habitantes tener un conocimiento sobre las actividades del sector público o bien empresas privadas que suministren un servicio público. Es claro que el derecho de acceso a la información administrativa deviene de vital importancia por cuanto es el que permite al habitante ejercer un control de la legalidad y de la oportunidad, conveniencia o mérito, eficacia y eficiencia de los actos de la administración pública. En este sentido, es preciso recordar cuanto afirmó la Sala Constitucional en el voto N° 2002-03074 de las 15:24 horas del 2 de abril de 2002: “El derecho a la información es uno de los derechos del ser humano y está referido a una libertad pública individual cuyo respeto debe ser propiciado por el propio Estado. Este derecho, es a la vez, un derecho social cuya tutela, ejercicio y respeto se hace indispensable para que el ciudadano tome parte activa en las tareas públicas y pueda así participar en la toma de decisiones que afectan a la colectividad. En ese sentido, es un Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 13 derecho humano inalienable e indispensable en la medida en que se parte de que información significa participación. De esta manera, si la información es requisito para que el ciudadano individualmente considerado adopte decisiones, informar, a la vez, es promover la participación ciudadana. El derecho de la información distingue tres facultades esenciales de quienes lo ejercen: la facultad de recibir, la facultad de investigar y la facultad de difundir informaciones. La facultad de recibir información se refiere principalmente a la obtención, recepción y difusión de noticias o informaciones, las cuales deben referirse a hechos con trascendencia pública y ser conformes con la realidad, asequible por igual a todos, debiendo referirse a hechos relevantes cuyo conocimiento esté dirigido a formar opinión y a fomentar la participación del ciudadano, siendo requisito esencial que la información sea completa y veraz” (el destacado no corresponde al original). En cuanto a los Derechos del Consumidor y el acceso a la información, la Defensoría se permite tomar nota de algunas apreciaciones en la materia que plantea ante los hechos denunciados la Asociación de Consumidores Libres, al señalar que del derecho citado, se deriva en materia comercial, el derecho de información que establece claramente el artículo 41 del Reglamento a la Ley de Promoción y Competencia y Defensa Efectiva del Consumidor. Este derecho se complementa con el derecho de tutela de los intereses económicos y sociales como derechos fundamentales al ser catalogados como “derechos fundamentales e irrenunciables” del consumidor según los mismos tratados y convenios internacionales que conforman nuestro cuerpo normativo. Es decir, debe garantizarse el acceso a una información, así establecido por la misma Asamblea General de Naciones Unidas, cuando emitió las directrices para la protección al consumidor según se cita: “Derecho a la información. La publicidad, las etiquetas, los precios, los instructivos, las garantías y, en general toda la información de los productos y servicios que le ofrezcan debe ser oportuna, completa, clara y verdaderamente para que pueda elegir sabiendo lo que se está comprando” (http://www.profeco.gob.mx/saber/derechos7.asp) En igual sentido, la misma Comisión de Defensa al Consumidor mediante el voto número 005-00 del 13 de enero del 2000, reafirmó que “(…) es necesario recalcar (…) que el principal objetivo del deber de información del comerciante, es suministrar al consumidor todos los elementos que incidan directamente en su decisión de consumo. Se pretende con ello, que el consumidor cuente con toda la información necesaria para decidir si consume o no un bien o recibe un servicio, y que esa información, se presente al consumidor de forma clara y veraz”. En cuanto a lo citado, sin duda alguna, un aspecto vital para la prestación del servicio electrónico por parte de los bancos, es el tema de la información que ofrecen a sus clientes. Esta información además de clara y veraz debe de tener como respaldo niveles de seguridad informática para las transacciones que realice el cliente dado que, sin duda alguna, se expone a un servicio riesgoso. Es claro que cada vez que una entidad bancaria amplia la oferta de servicios a sus clientes, debe brindar la información necesaria que le permita al cliente no sólo conocer en qué consiste el nuevo servicio, sino, además si el mismo conlleva algún tipo de riesgo en su uso. 4.2 SOBRE EL DERECHO HUMANO A LA PROTECCIÓN DE DATOS. El tema del acceso a la información trae consigo la urgente necesidad de determinar cuál es la información que resulta accesible por ser considerada como pública, de qué forma es catalogada como tal y, cuáles son los mecanismos utilizados por el Estado para salvaguardar aquella información no catalogada como pública. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 14 Es así como el derecho de acceso a la información requiere de ser complementado con el respeto al derecho que, modernamente se ha denominado el Derecho de autodeterminación informativa, el cual puede definirse de la siguiente forma: “ (...) la autodeterminación informativa o tutela de los datos personales es un derecho personalísimo que ha adquirido autonomía conceptual con relación a otros derechos de la persona como la intimidad o privacidad, la imagen, el honor o la identidad personal, y se integra en un marco amplio de la libertad y la identidad personal. Implica la facultad de ejercer control sobre la información personal del concernido, contenida en un registro de cualquier tipo. Ha surgido para aplicarse a nuevas realidades jurídicas, que sólo parcialmente, pueden ser descriptas o fundamentadas a través de la noción tradicional de "intimidad", ya que es un producto de la era informática. Su fundamentación jurídica puede y debe relacionarse con el derecho a la intimidad, pero lo excede, refleja más que una protección a la intimidad, ya que puede contener también los intereses de un grupo social contra el procesamiento, almacenamiento y recolección de información, especialmente vinculado con prácticas discriminatorias." 5 En Costa Rica, la Procuraduría General de la República en Dictamen Nº 037-2002 del 8 de febrero del 2002, señalaba en torno al derecho de autodeterminación informativa: (…).La autodeterminación informativa reconoce el derecho que tiene todo ser humano de "controlar" el manejo de sus datos personales por parte de terceras personas. Se entiende por controlar el hecho de conocer quiénes manejan su información personal, para qué fines y el tipo de información que manejan, así como los derechos derivados de rectificar los datos incorrectos o solicitar la eliminación de las informaciones innecesarias. Por ello, la autodeterminación informativa cae dentro del ámbito de la autonomía personal y, más específicamente, de la identidad personal, que le permite conocer y fiscalizar la utilización que realicen terceros de sus datos personales. Fiscalización que no solo constituye un ejercicio de la libertad, sino que también genera un marco de protección al individuo contra las actuaciones de terceros que, con el uso indebido o abusivo de su información, podrían colocarse en una situación de poder sobre el interesado". Este derecho ha sido reconocido por la Sala Constitucional como una derivación del derecho a la intimidad, tal y como fue señalado en la resolución No. 4847-99 del 22 de junio del 1999. Asimismo, conviene referirse a qué se ha entendido por “datos personales”. Al respecto, la Procuraduría General de la República, en dictamen C-238-2002 del 17 de setiembre 2002, definió el concepto de dato personal como el referido a la “posibilidad de identificación del titular de esos datos, por lo que bien cubre datos que sean de fácil conocimiento público, como son el sexo o el color de la piel, los cuales incluso son susceptibles de una protección mayor, en tanto como datos sensibles puede dar lugar a discriminaciones”. Es claro que la tutela de los datos personales conlleva un mayor esfuerzo, esto tomando en consideración las nuevas manifestaciones tecnológicas que puedan afectar al uso de los datos personales de los ciudadanos y a su derecho fundamental a la protección de los mismos. En ese sentido, conviene señalar que junto al desarrollo tecnológico y de nuevos servicios de la sociedad de la información se ha ampliado las opciones de intercambio de información entre las personas y de acceso a la misma 5 VIGGIOLA, Lidia E. y MOLINA QUIROGA, Eduardo. Tutela de la autodeterminación informativa. Aproximación a una regulación eficaz del tratamiento de datos personales. Ponencia presentada al Congreso Internacional "Derechos y Garantías en el Siglo XXI" de la Asociación de Abogados de Buenos Aires. Documento electrónico localizado en http://www.aaba.org.ar/bi151302.htm. Abril de 1999. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 15 poniendo en jaque los criterios tradicionales de garantía de la protección de datos y la privacidad, que deben adaptarse a los nuevos retos que se plantean. Lo anteriormente expuesto cobra importancia en cuanto al deber que tienen las entidades financieras de resguardar los datos referidos a sus clientes. En ese sentido, la Agencia Española de Protección de Datos, institución de avanzada en el tema, elaboró una serie de Recomendaciones para usuarios de Internet 6 , donde se explica de una forma amigable y con claridad cuáles son los principales riesgos a los que se ven expuestos las y los usuarios de Internet en cuanto al uso de sus datos personales. Asimismo, se establecen como características que definen a un sistema de transacciones seguras las siguientes 7 : “Garantizar, mediante el cifrado, la confidencialidad de las transacciones comerciales electrónicas, de manera que los datos contenidos en dichas transacciones sólo sean accesibles a las partes intervinientes. Garantizar, mediante el uso de firmas electrónicas, la integridad de las transacciones, de tal manera que su contenido no pueda ser alterado por terceros ajenos, sin ser descubiertos. Garantizar, mediante el uso de la firma electrónica y la certificación, la autenticidad tanto del titular del medio de pago, como del proveedor. La firma electrónica garantiza la integridad de la transacción. La certificación por parte de un tercero de confianza (TTP o Trusted Third Party) garantiza la identidad de las partes que intervienen en la transacción.”. De esta forma, la protección de los datos brindados por las y los usuarios de los servicios ofrecidos vía Internet por las entidades financieras, resulta también un tema que debe ser considerado por los proveedores de los servicios, todo en aras de generar un clima de seguridad para las y los clientes que deciden utilizar los servicios. 4.3 SOBRE EL FRAUDE ELECTRÓNICO 8 . En los últimos años, Costa Rica ha tenido un importante incremento en relación con el acceso de la población a la red mundial de información conocida como Internet. La red, ha desarrollado espacios para tener acceso a servicios públicos y privados, comercio, información de diarios, bibliotecas, bancos y un contacto permanente con familiares y amigos alrededor del mundo, entre muchos otros usos. Ante este panorama, tanto empresas privadas como instituciones públicas han visualizado en Internet un potencial interesante para la promoción de sus servicios. En este sentido, no se han quedado atrás los bancos estatales ni privados, ofreciendo atractivas ventajas mediante la utilización de los servicios de banca electrónica, o “ventanillas de banco electrónico”, promocionándose la facilidad que significa para las personas usuarias el realizar transferencias de diversa índole tales como pago de servicios públicos, municipales, gremiales e incluso de inversiones, entre muchos otros más, sin tener que desplazarse a las instalaciones bancarias. Esta oferta de trámites electrónicos, sin duda alguna, responde a las exigencias personales y empresariales de competitividad para más y mejores servicios que permitan a los actores enfrentar con eficiencia y eficacia las exigencias de los mercados modernos. Esta nueva modalidad de prestación de 6 https://www.agpd.es/portalweb/canaldocumentacion/recomendaciones/common/pdfs/Recomendaciones-Internet-mayo-2006.pdf https://www.agpd.es/upload/Recomendaciones_Internet_2001%20_V3.pdf 8 Fraude: acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete. 2. Acto tendente a eludir una disposición legal en perjuicio del Estado o de terceros. Electrónico: Adj. relativo a la electrónica. Definiciones según el Diccionario de la Lengua Española de la Real Academia. Vigésima Primera Edición. 7 Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 16 servicios vía electrónica, trae consigo los retos que conlleva el establecer parámetros de eficiencia, confianza y seguridad en la prestación de los mismos. Es así como, al generarse en la red mayor actividad ligada al tema del dinero, igualmente se han proliferado nuevas modalidades delictivas que atentan contra el derecho a la intimidad e información de los usuarios, así como contra su esfera patrimonial. Es decir, se da una relación lógica que nos indica que a mayor crecimiento y movimiento comercial, de igual manera se da un aumento creciente de nuevas actividades delictivas. Lo anterior se ha visto reflejado en la presentación de quejas 9 ante la Defensoría de los Habitantes, por “Fraude Electrónico”. Las solicitudes de intervención recibidas generaron la necesidad de realizar una investigación del accionar de los bancos del Estado en punto a los fraudes electrónicos denunciados (infraestructuras en cafés Internet; keyloggers; Phishing; malaware), desde la perspectiva de los Derechos Fundamentales y el Derecho a un Buen Gobierno. Conviene recordar como se ha citado, que el Derecho a un Buen Gobierno, contiene varios elementos esenciales que lo dotan de contenido y permiten a las y los habitantes exigir a las instituciones públicas su aplicación. Entre dichos elementos se ubican tanto la legalidad como la eficiencia, la eficacia y la responsabilidad, entre otros. En el caso de la prestación de servicios públicos, cobra especial importancia el cumplimiento efectivo de los principios de eficiencia y eficacia. En tal sentido, esta Defensoría ha señalado que “los procesos de las instituciones deben producir resultados que satisfagan las necesidades de las personas haciendo el mejor uso de los recursos a disposición... 10 ”. Ahora bien, en tratándose de servicios públicos novedosos, tales como los ofrecidos por los bancos del Estado vía Internet, conviene determinar cuáles son las obligaciones que la prestación de dichos servicios genera para las instituciones que los brindan. Asimismo, se plantea la interrogante de cuál debe ser el papel del Estado en la protección de los derechos de las personas que pudieran verse afectadas con ocasión de estas nuevas modalidades de prestación de servicios. Sobre este tema y según estudio realizado por el periódico La Nación, se destaca que “en los Estados Unidos, la Ley ordena que el banco reintegre el dinero o pruebe que el usuario actuó de forma fraudulenta, o que de alguna forma permitió que la transferencia se realizara”11 . Sobre el mismo tema en Inglaterra por ejemplo, el mismo artículo destaca que “la ausencia de ley no fue excusa para los banqueros ingleses, quienes voluntariamente crearon el Código Bancario. Este incluye una norma similar a la de los Estados Unidos” 12 . Al respecto, conviene mencionar que la primera mención del término Phishing se ubica en el año 1996, y se indica que fue adoptado por hackers que intentaban “pescar” cuentas de miembros de la empresa AOL en los años noventas 13 . Ya para el año 2004, el fraude electrónico y el robo de identidad se presentaba como una importante preocupación. Desde ese momento a la fecha, tal y como se reseñó oportunamente las modalidades de fraudes han ido en aumento en cuanto a su modalidad y número. Para el año 2006, la empresa de seguridad informática McAfee se refería al riesgo de estafas electrónicas e indicaba: 9 Se recibieron un total de 20 quejas, mismas que se ha tramitan bajo una investigación de oficio, Expediente Nº 13266-2007. Defensoría de los Habitantes. Informe Anual. 2002-2003. pp. 70. 11 ”Prácticas de banca en línea en CR son inaceptables”, La Nación, 13 febrero 2008. pp. 4-A 12 Ibíd. 13 http://www.conexionvip.com/310-que-es-el-phishing.html 10 Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 17 “Esto continuará siendo un problema en el 2006, dado que los ataques se enfocan cada vez más a través del uso de programas espía y ladrones de contraseñas. Los defectos en los protocolos de correo electrónico, las debilidades de seguridad en el software de exploración y una carencia de educación básica sobre seguridad computacional contribuyen al aumento en los incidentes de fraude electrónico, pues los criminales se aprovechan de estas situaciones. McAfee AVERT Labs prevé un aumento de los troyanos distribuidos de fraude electrónico, troyanos que convierten a un computador infectado en un sitio Web de fraude electrónico y luego crean spam para que otros usuarios vayan a ese equipo o sitio infectado. En el año 2006, McAfee AVERT Labs también espera un mayor número de sitios Web para el robo de contraseñas, más ataques destinados a capturar la ID y contraseña de un usuario al mostrar una página falsa de inicio de sesión y un mayor enfoque de los servicios en línea populares como eBay. Como demostraron los ataques de fraude electrónico después del huracán Katrina, McAfee AVERT Labs también prevé más ataques que se aprovechen de la disposición de ayudar de las personas. En contraste, se anticipa que el número de ataques a ISP disminuirá y que aquellos enfocados al sector financiero se mantendrán en el mismo nivel”. 14 Lo anterior muestra cómo el tema que nos ocupa viene siendo conocido y atendido a nivel mundial desde muchos años atrás, generando que las empresas e instituciones que brindan servicios en línea tomen las previsiones y medidas de seguridad que permitan atender una problemática que, lo único certero es que continuará en aumento en cuanto a su complejidad. Tal y como se indicó, la Defensoría recibió de un grupo de afectados varias denuncias en contra de algunos bancos estatales relacionados con la ola de fraudes electrónicos que se desató, especialmente en el transcurso del año 2007 15 . El mayor malestar de las personas denunciantes está referido al hecho de que en muchos casos los bancos han sido omisos en responder las gestiones planteadas, y, en aquellos casos en que se ha dado respuesta, ésta ha sido el recomendar a los clientes plantear las denuncias judiciales correspondientes ante el Ministerio Público. Los bancos concentraron su posición en sostener que sus sistemas informáticos no han sido, en lo más mínimo, vulnerados y con esto trasladan toda la responsabilidad a las y los clientes afectados por los fraudes. Es decir, fundamentan sus argumentos en la teoría de la responsabilidad subjetiva. De los hechos descritos se obtiene un claro descontento de los clientes que contrasta con la obligación de los bancos de tutelar, salvaguardar, proteger y custodiar el patrimonio que les ha sido encomendado para cuidarlo como “buenos padres de familia”; y su incuestionable vocación de servicio al cliente. Además, conviene señalar que la temática planteada relaciona diversos derechos y obligaciones derivados de un servicio público vinculado con la misma estabilidad del sistema bancario nacional, todo lo cual ha de ser considerado al momento del análisis del mismo. 4.4 CONSIDERACIONES DEL DERECHO PENAL SOBRE EL TEMA Tal y como se ha planteado con anterioridad, en contraposición a los avances tecnológicos señalados y el impulso de una mayor eficiencia y eficacia en la prestación de los servicios públicos, han proliferado varias modalidades de fraude informático, que han surgido en igual proporción. En la materia penal nos 14 http://www.pergaminovirtual.com.ar/revista/cgi-bin/hoy/archivos/2005/00001034.shtm 15 Noticias en diarios nacionales: “Alertan sobre fraudes electrónicos”, El Financiero, 4 octubre 2006; “Se disparan estafas bancarias mediante Internet”, La Nación, 10 junio 2007; ”Prácticas de banca en línea en CR son inaceptables”, La Nación, 13 febrero 2008. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 18 encontramos con que el Título VI sobre Delitos contra el ámbito de intimidad en la Sección Primera el Artículo 196 del Código Penal aborda el tema relacionado con la “Violación de Comunicaciones Electrónicas”. Dicho artículo señala que comete ilícito la persona que: “(…) para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere, accese, modifique, altere, suprima, intercepte, interfiera, utilice, difunda o desvíe de su destino, mensajes, datos, e imágenes contenidas en soportes electrónicos, informáticos, magnéticos y telemáticos (…)” En este sentido, se adiciona el artículo 217bis de la Sección de Delitos contra la Propiedad, Título VII, donde se establece la figura denominada Fraude Informático que dice: “Artículo 217 bis: se impondrá pena de prisión de uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante la programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema”. (Así reformado mediante Ley Nº 8148 de 24 de octubre del 2001, publicada en La Gaceta del 21 de noviembre del 2001). Del artículo citado, se desprende cómo desde el año 2001 la legislación costarricense prevé la penalización de la conducta denunciada. De ahí que los casos denunciados por fraude electrónico, desde la materia penal, hayan sido atendidos y actualmente tramitados por el Ministerio Público. Con las recientes detenciones realizadas a los principales sospechosos que han actuado en territorio nacional, ha quedado en evidencia el accionar del Ministerio Público al respecto, así como la estrategia de detectar e ir tras redes dedicadas a este tipo de delitos. Además, en el mismo Título, Sección V sobre Administración Fraudulenta y apropiaciones indebidas el artículo 229 del citado Código refiere a la “Alteración de Datos y Sabotaje Informático”. En este artículo se tipifica la conducta dolosa de una persona que: “…por cualquier medio accese, borre, suprima, modifique o inutilice sin autorización los datos registrados en una computadora. Si como resultado de las conductas indicadas se entorpece o inutiliza el funcionamiento de un programa de cómputo, una base de datos o un sistema informático, la pena será de tres a seis años de prisión. Si el programa de cómputo, la base de datos o el sistema informático contienen datos de carácter público se impondrá pena de prisión de hasta ocho años”. 4.5 DE LAS TEORÍAS JURIDICAS DE LA RESPONSABILIDAD. Conviene analizar el tema que nos ocupa desde la óptica de la responsabilidad jurídica, para ello profundizando en el presente apartado en los diferentes tipos de responsabilidad existentes, enunciados tanto en el nivel doctrinal como normativo en la legislación costarricense. Resulta importante recordar que en el ordenamiento jurídico costarricense el principio básico de la responsabilidad civil a nivel general se manifiesta en el artículo 1045 del Código Civil cuando establece que: “aquel que por dolo, falta, negligencia o imprudencia, cause un daño a otro, está obligado a repararlo junto con los perjuicios.” Claramente se desprende que esta disposición se rige por una noción que atiende a consideraciones subjetivas del agente productor del daño y no es sino en el artículo 1048 del mismo Código Civil que se Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 19 establece una responsabilidad que, trascendiendo a quien directamente produce el daño, envuelve también a un tercero cuando indica que: “quien encarga a una persona el cumplimiento de uno o varios actos está obligado a escoger una persona apta para ejecutarlos y a vigilar la ejecución de lo encomendado en los límites de la diligencia de un buen padre de familia.” Ahora bien, específicamente en el ámbito del Derecho Administrativo los principios que perfilan el régimen de responsabilidad de la Administración Pública se encuentran en la Constitución Política, concretamente en los artículos 9, 41 y 49, tal y como se desprende de su lectura 16 . Consecuente con esta última disposición constitucional, la Ley Reguladora de la Jurisdicción Contencioso Administrativa, en su momento, estableció en los artículos 2 inciso b) y 23, que a esa jurisdicción corresponde conocer sobre la responsabilidad patrimonial del Estado y demás entidades de la Administración Pública y de las eventuales indemnizaciones que surjan como consecuencia del actuar lesivo de la Administración. Finalmente, la Ley General de la Administración Pública vino a establecer expresa e inequívocamente en las disposiciones del Título Sétimo, dos condiciones base para la atribución de la responsabilidad administrativa, la primera y esencial es la de producir un daño, mismo que para ser resarcible ha de reunir los requisitos de ser efectivo, evaluable económica e individualizable respecto a una persona o grupo (artículo 196 de la Ley General de la Administración Pública) y la segunda, que ese daño se produzca a consecuencia de la actividad de la Administración. Se trata pues del también denominado régimen de extensión de la responsabilidad del Estado que se evidencia claramente en el artículo 190 cuando establece: “Artículo 190.- 1. La Administración responderá por todos los daños que cause su funcionamiento legítimo o ilegítimo, normal o anormal, salvo fuerza mayor, culpa de la víctima o hecho de un tercero. (…) Asimismo, en el artículo 191 se estableció la obligación de la Administración de reparar todo daño causado a los derechos subjetivos ajenos por faltas de sus servidores cometidas durante el desempeño de los deberes del cargo o con ocasión del mismo, utilizando las oportunidades o medios que ofrece, aún cuando sea para fines o actividades o actos extraños a su misión. A partir de la promulgación de la Ley General de la Administración Pública interesa precisar que se establecieron en el ordenamiento jurídico administrativo varias condiciones básicas para la imputación a la Administración de la obligación de resarcir: 1.- Que el agente al momento de producir el daño se encuentre en el ejercicio de su función o bien, utilizando los medios y/o las oportunidades que le da el cargo que ostenta aún cuando sea para fines o actos extraños a su función. 2.- la titularidad de la Administración respecto a la actividad o servicio del cual se deriva el daño. 3.- la demostración de que el agente forma parte de la organización administrativa. 4.- la existencia de una lesión o daño cierto, real y efectivo, no eventual ni hipotético. 5.- una relación de causalidad entre el hecho imputable a la Administración y el daño infringido. 6.- que el daño sea antijurídico entendido como la no obligación del afectado de soportarlo. 16 Artículo 9.- El Gobierno de la República es popular, representativo, alternativo y responsable. (…) Artículo 41.- Ocurriendo a las leyes, todos han de encontrar reparación para las injurias o daños que hayan recibido en su persona, propiedad o intereses morales. Debe hacérseles justicia pronta, cumplida, sin denegación y en estricta conformidad con las leyes. Artículo 49.- Establécese la jurisdicción contencioso-administrativa como atribución del Poder Judicial, con el objeto de garantizar la legalidad de la función administrativa del Estado, de sus instituciones y de toda otra entidad de derecho público. (…) Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 20 7.- que no han operado causales eximentes de imputabilidad tales como fuerza mayor, culpa de la víctima o hecho de un tercero. Tal y como se evidencia de estos elementos, no se obliga a la víctima a demostrar culpa ni dolo del agente para exigirle responsabilidad al Estado. En lo que concierne al alcance que tiene la obligación del Estado de indemnizar a la víctima, el régimen costarricense de responsabilidad objetiva abarca no sólo los daños sino también los perjuicios cuando la lesión se ha producido a consecuencia de un acto ilícito o de un funcionamiento anormal de la Administración, conforme los artículos 190 a 192 de la Ley General de la Administración Pública y hoy retomado por el nuevo Código Procesal Contencioso Administrativo. No ocurre lo mismo en el supuesto de daño por conducta lícita o funcionamiento normal en que sólo son indemnizables los daños pero no los perjuicios o lo que es lo mismo, el denominado lucro cesante (artículo 194, inciso 2 de la Ley General de la Administración Pública). La jurisprudencia de la Sala Constitucional ha sido consistente al diferenciar ambos conceptos, usualmente utilizados en forma errónea como uno sólo: “(…) con el nombre de “daños y perjuicios” se designa la indemnización pecuniaria que el deudor está obligado a satisfacer al acreedor. El daño es la pérdida sufrida. El perjuicio es la ganancia que deja de producirse. El daño constituye la pérdida irrogada al damnificado (damnun emergens), en tanto el perjuicio está conformado por la ganancia o utilidad frustrada o dejada de percibir (lucro cesans), la cual era razonable y probablemente esperable si no se hubiese producido el hecho ilícito (…). 17 Asimismo de interés para el caso objeto de la presente denuncia, importa destacar que el Derecho Administrativo costarricense reconoce la indemnización no sólo de los daños materiales o patrimoniales sino también por afectación a bienes morales, dando lugar a lo que en doctrina se conoce como un resarcimiento plenario, tal y como claramente se desprende del artículo 197 de la Ley General de la Administración Pública 18 . Más recientemente, mediante el Voto Nº 1333 de las diez horas quince minutos del 2 de noviembre del 2007, la Sala Tercera de la Corte Suprema de Justicia, desarrolla y reitera la aplicación de Teoría de la Responsabilidad Objetiva con base en la cual condena al Banco Nacional de Costa Rica al pago de los daños y perjuicios debidamente determinados en la sentencia a favor de los actores civiles debidamente legitimados. Dicho voto además, cita jurisprudencia que señala que “...en la responsabilidad civil objetiva debe existir un nexo causal entre la actividad riesgosa puesta en marcha por el agente y el daño ocasionado” (Sala Primera de la Corte Suprema de Justicia, No. 354 de las 10 horas del 14 de diciembre de 1990). Alguna otra jurisprudencia que permite perfilar el tema de la responsabilidad civil objetiva es la que a continuación se cita: (…) En la responsabilidad objetiva o por riesgo creado “... se prescinde del elemento culpa como criterio de imputación, enfocándose en una conducta o actividad de un sujeto físico o jurídico, caracterizada por la puesta en marcha de una actividad peligrosa, o la mera tenencia de un objeto de peligro. El elemento de imputación de esta 17 Voto de las 14:00 horas del 15 de julio de 1992, Sala Constitucional de la Corte Suprema de Justicia. Artículo 197.- Cabrá responsabilidad por el daño de bienes puramente morales, lo mismo que por el padecimiento moral y el dolor físico causados por la muerte o por la lesión inferida, respectivamente. 18 Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 21 responsabilidad es el riesgo creado, o la conducta creadora de riesgo. Por ello, se afirma, la noción de riesgo sustituye los conceptos de culpa y antijuricidad...” (Sala Primera de la Corte Suprema de Justicia No. 376 de las 14:40 horas del 9 de julio de 1999). Desde el punto de vista práctico -dice el jurista costarricense Víctor Pérez Vargas-: “...la responsabilidad objetiva se resume en una ventaja a favor del lesionado que significa una parcial inversión la (sic) de la prueba, en el sentido de que ésta queda exonerado de la carga de probar la culpa (culpa o dolo) del causante del daño y vano sería el intento de éste de probar su falta de culpa...” (Pérez Vargas, Víctor, Derecho Privado , I Edición, Editorial Publitex, San José, Costa Rica, 1988, Pág. 417). Conviene al respecto hacer mención a lo resuelto por la Defensoría de los Habitantes en cuanto al tema de la Responsabilidad Objetiva, mismo analizado en el Expediente Nº 20480-24-2005, en el cual se señala, entre otras cosas, lo siguiente: “La denominada responsabilidad objetiva de la Administración Pública tal y como la concibe el moderno Derecho Administrativo y que recoge el ordenamiento jurídico costarricense, en realidad es el resultado de la evolución de varias etapas donde del principio inicial de irresponsabilidad del Estado por sus actuaciones se pasa posteriormente a reconocer una responsabilidad del funcionario en la que a tales efectos se deslinda entre los actos de gestión y los actos de autoridad, donde los primeros se colocan en la esfera del derecho privado concibiendo una igualdad de derecho entre las partes –funcionario y administrado- mientras que los actos de autoridad por el contrario parten de la premisa de una desigualdad de derechos justificada en las relaciones de poder del Estado, de modo que si el acto que originaba el daño era un acto de autoridad justificado en un “interés público”, el Estado prevalecía sobre la persona y no cabía indemnización alguna. En una tercera etapa se subordinó la responsabilidad del Estado a la existencia de una falta de servicio configurada cuando actuando el funcionario dentro del marco de la competencia administrativa causaba un daño; se la diferenció entonces de la falta personal que corresponde a la cometida por el representante del Estado que se extralimitaba en el cumplimiento de sus funciones con la intención de dañar. La cuarta etapa es en la que se evoluciona de la noción de culpa del funcionario a la sola constatación del daño producido con ocasión del simple funcionamiento de la Administración, es decir, se abandona la teoría de la culpa del funcionario para pasar a la teoría objetiva de la responsabilidad como fundamento del instituto indemnizatorio. Desde el enfoque del Derecho Administrativo, sobre la conducta omisiva, recordemos que los Bancos al ofrecer el servicio, deben someterse a un riguroso procedimiento de valoración del riesgo dado que eventualmente con el servicio exponen a su cartera de clientes a un riesgo. Es decir, dicha conducta refiere a la obligación del banco de haber tomado medidas que, en principio no fueron tomadas, y que propiciaron las consecuencias negativas como las ya conocidas. En este sentido, según el autor Pérez Vargas, la doctrina y la jurisprudencia advierten que “esa conducta omisiva configura el daño por omisión, por negligencia y por falta de diligencia” 19 . En igual sentido, las consideraciones que ha formulado la Asociación de Consumidores Libres, a la luz de la prestación del servicio de la banca electrónica, señala que una conducta omisa implica no haber realizado algo que debió de haberse previsto o realizado. Considerado por la doctrina y la jurisprudencia 19 Ibíd. pp. 387. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 22 como negligencia, omisión y falta de diligencia 20 . Es decir, que la omisión por culpa tiene lugar por el descuido de cumplir deberes superiores (…) 21 . Complementariamente, nos referimos a la Teoría del Riesgo Creado, la cual consiste en que la persona que se beneficia de una actividad o bien peligroso, para su explotación económica, representa un peligro social, por lo que debe enfrentar los daños que por su explotación ocasione, sin consideraciones de índole subjetiva, pues una actuación diligente no evita el daño. Desde este análisis, debe recordarse que el elemento de culpabilidad es determinante de la responsabilidad subjetiva (es decir, del sujeto, de su actuación) por lo que quien produce el daño se libera cuando no se logra demostrar que su actuación ha sido negligente. Es decir, que la conducta del sujeto es valorada para poder imputar una posible indemnización. Conviene señalar que la culpa se sanciona para inducir a los ciudadanos hacia una conducta diligente, con la finalidad de procurar una convivencia social óptima para tomar las previsiones necesarias del caso para no causar daños a los demás, pues si la persona actúa con la debida diligencia el daño se podría haber evitado. Lo anterior, sería aplicable a la actuación de los bancos, bajo el entendido de que no debe pretender trasladar toda la responsabilidad al sujeto, a su cliente, al que está sometiendo mediante el servicio ofrecido a una actividad que implica una condición riesgosa. Un aspecto adicional que conviene destacar es lo relacionado con el debido proceso en vía administrativa, es decir, de los casos revisados la intervención del banco se limitó a realizar auditorías informáticas, como por ejemplo lo fue el caso del Banco Nacional; no obstante, no fueron procedimientos formales conforme lo establece la Ley General de la Administración Pública. Con lo anterior, se estaría en presencia de una posible violación al debido proceso y derecho de defensa de las y los afectados. 4.6 SOBRE EL CONTROL INTERNO Y LA VALORACIÓN DEL RIESGO. El Control Interno, entendido como el proceso, ejecutado por el consejo directivo, la administración y otro personal de una entidad, diseñado para proporcionar seguridad razonable referente al logro de objetivos en las siguientes categorías: a) proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal; b) exigir confianza y oportunidad de la información; c) garantizar eficiencia y eficacia de las operaciones; d) cumplir con el ordenamiento jurídico y técnico 22 ; es considerado hoy en día como vital en el quehacer de las organizaciones y la realización de una gestión pública de calidad. En ese sentido, conviene destacar que el Committee of Sponsoring Organization 23 , -COSO- por sus siglas en inglés, ha generado un cambio importante en el enfoque del Control Interno, estableciendo nuevos criterios técnicos para mejorar los sistemas que buscan propiciar una mayor eficacia en la organización. Para lograr el efectivo cumplimiento de los objetivos establecidos mediante el control interno, se han determinado cinco componentes del mismo a saber: ambiente de control; administración del riesgo; actividades de control; información y comunicación; y monitoreo. Cada uno de estos componentes a su vez ha sido desarrollado de forma tal que las organizaciones puedan trabajar en la aplicación de los mismos. Conviene indicar a la vez que la Ley de Control Interno Nº 8292, retoma en gran parte los componentes promovidos por dicha organización y que consecuentemente pretende optimizar la consecución de los 20 21 22 23 Pérez Vargas, Víctor. Derecho Privado. San José, 1994. pp. 387. Borrel Macia, Antonio. Responsabilidades derivadas de culpa extracontractual. Barcelona, pp. 63. Ley General de Control Interno (Nº 8292); artículo 8. http://www.coso.org/ Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 23 objetivos institucionales por medio del adecuado control interno. Además, todo eso ligado al Sistema Específico de la Valoración de Riesgos que corresponde a la Administración Activa. En cuanto a la Valoración del Riesgo para analizar los factores tanto externos como internos del contexto dentro del cual funcionan los bancos, como referente teórico se menciona la norma AS/NZS 4360:1999 24 la cual contiene aspectos tales como la definición aceptable de los riesgos para la organización, es decir, lo que ofrece tanto el entorno interno como el externo. Mejor conocido como el establecimiento del contexto. Esto necesariamente conlleva a un segundo paso que estaría determinado por la identificación del riesgo; es decir que debe darse un señalamiento de los riesgos posibles que están ya sea en el entorno interno o en el externo. Una vez identificados se procede con su análisis. En este sentido, la Administración debe, necesariamente, tener la capacidad de conocer y tener un nivel de riesgo aceptado por la misma organización y las posibles consecuencias que de ahí se puedan manifestar. Posteriormente, el otro componente que se propone es la evaluación del riesgo una vez analizado; es decir, que sea posible generar un plan de acción que se ajuste a la consecución de los objetivos trazados por la organización. Finalmente, un elemento a destacar es el del tratamiento del riesgo como paso fundamental dado que es necesario cuantificarlo en función de las opciones para su posible tratamiento. Todos estos componentes, deben de estar permeados y retroalimentados constantemente por un constante monitoreo a nivel interno y externo, de la tal suerte que se busque un mejoramiento casi permanente y que persigue por ende minimizar el riesgo. Si se analiza con detenimiento la propuesta de la valoración del riesgo en complemento con la teoría de la responsabilidad objetiva, se evidencia que los controles y los riesgos a que se expone a los clientes de los bancos eran de suficiente consideración como para únicamente trasladar la responsabilidad del riesgo con la simple firma contractual de la relación Banco-Cliente a los usuarios del servicio. Es decir, si ya se sabía que existe un riesgo inminente al exponer al cliente al “ciberespacio”, los bancos debieron de minimizar el riesgo o al menos asegurar de manera solidaria el patrimonio de sus clientes. El caso de las estafas electrónicas, puede catalogarse como el típico daño por funcionamiento legítimo recogido por el artículo mencionado con anterioridad y los siguientes de la Ley General de Administración Pública. El daño por funcionamiento legítimo se ajusta a la prestación del servicio bancario y según los descargos de las autoridades de los bancos, estas pretenden relegar la responsabilidad basándose en la teoría de la responsabilidad subjetiva, la cual ha ido perdiendo terreno ante las nuevas corrientes de la responsabilidad objetiva e incluso por la teoría de la Responsabilidad del Estado Legislador. En igual sentido, los Bancos cuestionados han pretendido excusarse apelando al Principio de Legalidad 25 , por la ausencia de leyes que regulen el tema; sin embargo, no sería de recibo dados los referentes jurisprudenciales como los citados en el presente informe sobre la responsabilidad objetiva que confirman la responsabilidad de las autoridades administrativas en este sentido. Por otra parte, el agotamiento de la vía administrativa por parte de los Bancos, se limitó en su momento a consignar los registros y movimientos de las direcciones IP (por su siglas en inglés: Internet Protocol) que por el contrario, en algunos casos, demostraron que las rutas no correspondían a un comportamiento 24 Estándar Australiano para la Valoración del Riesgo. Referente Teórico básico: http://www.wales.nhs.uk/ihc/documents/A.4.1.4_Australia_and_New_Zealand_Methodology_AS_NZ%204360_1999.pdf 25 Consagrado en el artículo 11 de la Constitución Política, y desarrollado también en el artículo 11 de la Ley General de la Administración Pública. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 24 normal de la actividad comercial o financiera de sus clientes. Es decir, se rompía abruptamente con un perfil de movimientos diarios. En este sentido, esta Defensoría considera que las investigaciones realizadas por cada entidad financiera y que a la postre utilizan para evadir su responsabilidad ante el cliente, son de carácter eminentemente técnico, sin atender los parámetros y condiciones básicas como para ser catalogados como procedimientos administrativos formales que tengan el poder de agotar la vía administrativa. Dicho de otro modo, las investigaciones realizadas por los bancos constituyen un insumo técnico dentro del contexto de una investigación preliminar; pero no constituyen un procedimiento administrativo donde el cliente hubiera tenido la oportunidad de ofrecer sus argumentos o descargos, si fuera el caso, en un tema tan importante, como lo es la evasión de la responsabilidad bancaria. Es por ello que la Defensoría considera que en este sentido, lo bancos vulneraron los derechos de defensa y al debido proceso de sus clientes. Además, debe llamarse la atención en cuanto a que existe un campo de acción que no puede evadirse ni obviarse, el cual es el de la investigación y responsabilidad administrativa. Preocupa a esta Defensoría la manera en que, al referir los casos a la vía judicial, la administración bancaria pretendía evadir una cuota de responsabilidad administrativa, que a la postre en la vía judicial, podría resultar más onerosa en términos de condena, costas e indemnizaciones para el sistema bancario nacional, más allá de la devolución de los dineros sustraídos a sus propios clientes, como inicialmente fue pretendido. En este sentido, se retoma lo que señala el artículo 111 de la Ley de la Administración Financiera de la República y Presupuestos Públicos, Ley número 8131, la cual refiere al delito informático estableciendo que: “Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios públicos o particulares que realicen, contra los sistemas informáticos de la Administración Financiera y de Proveeduría, alguna de las siguientes acciones: a.) Apoderarse, copiar, destruir, alterar, transferir o mantener en su poder, sin el debido permiso de la autoridad competente, información, programas o bases de datos de usos restringido. b.) Causar daño, dolosamente, a los componentes lógicos o físicos de los aparatos, las máquinas o los accesorios que apoyan el funcionamiento de los sistemas informáticos. c.) Facilitar a terceras personas el uso del código personal y la clave de acceso asignados para acceder a los sistemas. d.) Utilizar las facilidades del Sistema para beneficio propio o de terceros. Otro aspecto que merece atención, es que no queda suficientemente demostrado que las autoridades bancarias hayan sido exhaustivas para lograr un claro panorama sobre el tema de los seguros que refieren al fraude electrónico. No queda demostrado que se haya planteado alguna negociación concreta con el Instituto Nacional de Seguros sobre esta posibilidad. Lo anterior con motivo de la opción que dejó planteada la Presidencia Ejecutiva del INS al afirmar que: “esta Institución está en capacidad de ofrecer a los bancos estatales y privados un seguro para amparar bajo determinadas condiciones y términos las pérdidas económicas derivadas de los riesgos señalados supra, incluyendo lo concerniente a los fraudes electrónicos 26 ”. 26 Ver. Oficio PE-2008-0456 del 26 de marzo de 2008. pp. 2. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 25 4.7 SOBRE LA NORMATIVA EN TECNOLOGÍA DE LA INFORMACIÓN 27 . A continuación se refieren parte de los lineamientos girados por la SUGEF, como base para regular la administración, los sistemas, los equipos, la seguridad, la utilización y los controles aplicados al Área de Tecnología de la Información de las entidades fiscalizadas. “Normativa de Tecnología de la Información. (…) Artículo 27. La entidad debe establecer y comunicar a sus clientes las condiciones legales y operativas bajo las cuales se brindará el servicio financiero por Internet, que determinen cuándo, cómo, dónde y a quién se le dará el servicio. Artículo 28. La entidad debe administrar adecuadamente la seguridad lógica de los servicios financieros por Internet. Para esto la entidad debe: a.) Establecer (sic) b.) Implementar mecanismos de seguridad que protejan la integridad y privacidad de la información sensible cuando el canal de transmisión sea Internet c.) Implementar y dar mantenimiento a los mecanismos de seguridad en todos aquellos puntos con acceso al servicio financiero por Internet. Estos mecanismos deberán probarse al menos dos veces al año. d.) Mantener activas y definir periodos de retención para las bitácoras que permitan la reconstrucción de las transacciones efectuadas mediante los servicios financieros por Internet. Artículo 29. La entidad debe considerar dentro del plan de continuidad, un apartado donde se detallen acciones, procedimientos y recursos que consideren los riesgos posibles, que afecten de forma parcial o total la operación normal de los servicios financieros por Internet. Artículo 30. La entidad debe velar por la adecuada disponibilidad, capacidad y el desempeño de los servicios financieros por Internet. Artículo 31. La entidad debe comunicar a los clientes que utilicen los servicios financieros por Internet, cuando se abandona el sitio Web de la entidad y se acceda el de un tercero”. Como se desprende de la normativa citada, la principal indicación va orientada hacia la protección del patrimonio bancario y su funcionamiento tecnológico; no obstante, en relación con la protección patrimonial del cliente no se hacen mayores indicaciones, siendo aquél el principal activo de los bancos. 4.8 SOBRE EL RECONOCIMIENTO PÚBLICO DE LOS HECHOS. A continuación, algunas de las informaciones que circularon en medios de comunicación nacional e Internet que evidencia la afectación pública que se generó mediante los hechos denunciados de fraude bancario: 27 Acuerdo Adoptado por el Consejo Nacional de Supervisión del Sistema Financiero, mediante artículo 10, del acta de la Sesión 3472002, celebrada el 19 de Diciembre del 2002. Publicado en el diario oficial: “LA GACETA” 16 del 23 de enero del 2003. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 26 “Clientes bancarios indefensos ante saqueo electrónico. Bancos alegan que clientes dan mal uso a claves de seguridad en Internet. ”. Otto Vargas. En La Nación, 5 de noviembre del 2007. http://www.nacion.com/ln_ee/2007/noviembre/05/pais1302053.html “La ingenuidad del costarricense, la poca información que maneja con relación al refinamiento y propagación de los delitos informáticos y la escasa legislación en torno al tema, colocan a nuestros ciudadanos en inminente riesgo de convertirse en víctimas de las múltiples modalidades del crimen informático”.Por Ana Madrigal. http://informatico.com/php/print.php?id=01-08-0502408 “Los bancos pueden tener responsabilidad objetiva por fraudes en perjuicio de sus clientes” Víctor Pérez Vargas. Profesor de Derecho, UCR. En La Nación. 13 de enero de 2008 /Opinión. “Bancos incumplen mejores estándares internacionales. Prácticas de Banca en Línea en Costa Rica son inaceptables. Bancos en el exterior tienen que probar culpa del cliente o reintegrar el dinero. Superintendente recomienda aplicar una medida similar en Costa Rica”. Por Hazel Feigenblatt, en La Nación, 13 de febrero del 2008. pp. 4A. “Abogada ya tiene lista demanda contra banco”. “Empresario sospecha que hubo “gato casero”. “La Palabra del Banco contra la del Cliente” Entrevistas por Hazel Feigenblatt. En La Nación, 13 de febrero del 2008. pp. 5A. “Fiscalía de Fraudes investiga a “Frenteadores”. http://ministeriopublico.poderjudicial.go.cr/noticias/noticiad/Frenteadores%20Fraudes.html 5. CONCLUSIONES. Esta Defensoría en ningún momento se opone al servicio de banca electrónica; por el contrario, es conciente de la necesidad que ésta implica, en especial en términos de competitividad. No obstante, no se puede estar del todo de acuerdo con trasladar la responsabilidad a sus clientes por las pérdidas sufridas ante los hechos de fraude electrónico. Es decir, la Teoría de la Responsabilidad Subjetiva está siendo superada por las consideraciones legales que ya se han venido desarrollando en los Tribunales de Justicia. En igual sentido, a pesar de las considerables ventajas que significan los servicios bancarios vía Internet, la ausencia de un respaldo sólido en cuanto a la prestación del servicio, expone a los clientes a un riesgo inminente y bajo su propia responsabilidad. La prestación de servicios bancarios vía Internet sin que, hasta la fecha, exista un verdadero respaldo por parte de quienes ofrecen el servicio, expone el patrimonio de las personas que lo utilizan. El estudio realizado por esta Defensoría, permitió determinar que existen deficiencias en la regulación de la responsabilidad que deben de asumir los bancos ante la prestación del servicio de banca electrónica. Es decir, las acciones se encausan para proteger a los bancos y no a sus clientes. Se han iniciado esfuerzos importantes para atender el problema en vía legislativa; no obstante, más allá de las modificaciones y la depuración de las figuras penales, sería conveniente trasladar mayores responsabilidades a las entidades financieras en procura de mayor protección para los clientes, tal y como opera en otras latitudes. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 27 Desde un enfoque de servicio al cliente, se da una ruptura entre el Banco y el Cliente; es decir, desde el momento en que el cliente reporta al banco el posible fraude, aquél pasa a ser el principal sospechoso y se le delega toda la carga de la prueba. Además de que con un escueto agotamiento de la vía administrativa se remite a la vía judicial. En este sentido, culpar a los usuarios, en cierta forma, es tener una visión estrecha en dicha materia, de ahí la necesidad de conocer con mayor detalle a sus clientes desde el principio de “Conozca a su Cliente”. En este sentido, el Banco no asume una posición solidaria con su cliente, ni siquiera en los casos señalados por la modalidad del “Phishing” mediante los cuales se utiliza la imagen del Banco. Es decir, que el Banco ni siquiera se ha preocupado por perseguir penalmente a quienes están utilizando su imagen para cometer los fraudes de esa manera. Es evidente la necesidad de establecer un marco normativo que resguarde la posición en la que actualmente se encuentran los clientes de los servicios bancarios vía Internet. La normativa vigente es insuficiente para salvaguardar los intereses de los clientes, por el contrario, de esta situación los únicos beneficiados han sido las entidades bancarias que actualmente trasladan la carga de la prueba, incluso como se mencionó, a clientes que, por años, han sido leales a sus servicios y que han captado a través de estrategias publicitarias. Si bien es cierto, nuestro ordenamiento jurídico carece de un marco normativo para la atención de los casos de Fraude Electrónico en vía administrativa, aplican los principios de responsabilidad objetiva como principio del derecho que ha sido desarrollado recientemente en la jurisprudencia de nuestros Tribunales y de los cuales se debería partir para la prestación de dicho servicio. Los lineamientos de la SUGEF, si bien es cierto están más dirigidos hacia la protección del patrimonio bancario, deberían incluir alguna obligación de los Bancos que promuevan salvaguardar la integridad patrimonial de sus clientes que han depositado en ellos sus haberes, además de su confianza. 6. RECOMENDACIONES. Con base en lo anterior y con fundamento en el artículo 14 de la Ley Nº 7319 del 17 de noviembre de 1992 y en el artículo 32 del Decreto Ejecutivo Nº 22266-J, LA DEFENSORÍA DE LOS HABITANTES DE LA REPÚBLICA RECOMIENDA AL CONSEJO NACIONAL DE SUPERVISIÓN DEL SISTEMA FINANCIERO NACIONAL –CONASSIFÚNICO: Revisar el acuerdo adoptado por el Consejo Nacional mediante artículo 10, del acta de la Sesión 347-2002, celebrada el 19 de Diciembre del 2002; publicado en el diario oficial: “LA GACETA” 16 del 23 de enero del 2003 con la finalidad de reforzar las opciones posibles que puedan señalar mayor responsabilidad de las entidades financieras en cuanto a la protección del patrimonio de sus clientes. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 28 LA DEFENSORÍA DE LOS HABITANTES DE LA REPÚBLICA RECOMIENDA A LA SUPERINTENTENCIA GENERAL DE ENTIDADES FINANCIERAS –SUGEFÚNICO: Requerir a todas las entidades fiscalizadas un informe trimestral relacionado con los casos de fraude electrónico a los que se vean expuestos. Lo anterior con la finalidad de que sea un documento de acceso público y que pueda ser consultado por los interesados. Todo esto enmarcado dentro del derecho de acceso a la información. LA DEFENSORÍA DE LOS HABITANTES DE LA REPÚBLICA RECOMIENDA A LAS JUNTAS DIRECTIVAS DE LOS BANCOS NACIONAL, COSTA RICA, BANCRÉDITO Y BANCO POPULAR Y DE DESARROLLO COMUNAL PRIMERO: Restituir los montos que han sido defraudados a sus clientes y coadyuvar en la vía judicial con las personas que así lo consideren y que han interpuesto denuncias contra terceros por las estafas realizadas. SEGUNDO: Girar el acuerdo de Junta Directiva necesario para ofrecer al cliente de banca electrónica el seguro por fraude bancario que tiene el Instituto Nacional de Seguros, mismo que será costeado por la entidad bancaria y no por el cliente. TERCERO: Indicar las medidas que ofrece el banco para respaldar su cartera de clientes en caso de que sean víctimas de Fraude Bancario. CUARTO: Remitir un informe relacionado con la valoración del riesgo que haya evidenciado que el Banco previó escenarios posibles y que tomó las medidas del caso para proteger a su cartera de clientes mediante la prestación del servicio de banca electrónica, a sabiendas de lo que implica este servicio. LA DEFENSORÍA DE LOS HABITANTES DE LA REPÚBLICA RECOMIENDA AL INSTITUTO NACIONAL DE SEGUROS ÚNICO: Elaborar un informe específico y detallado sobre el servicio denominado “Póliza de Fidelidad Bancaria” incluidas las coberturas del llamado delito por computadora y electrónico con la finalidad de que los bancos cuenten con mayor y mejor información sobre esta posibilidad para mitigar en parte las consecuencias de los posibles fraudes electrónicos. Se previene que por disposición del artículo 14 párrafo tercero de la Ley Nº 7319 el no acatamiento injustificado de las recomendaciones de la Defensoría de los Habitantes puede ser objeto de una recomendación de amonestación para el funcionario que las incumpla o, en caso de incumplimiento reiterado, de una recomendación de suspensión o despido. En virtud de lo anterior, y con fundamento en el artículo 32 del Reglamento a la Ley de la Defensoría de los Habitantes, los órganos públicos deben, en el plazo de QUINCE DÍAS HÁBILES a partir del día Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 29 siguiente a la notificación de este informe final, remitir a la Defensoría de los Habitantes un informe de cumplimiento de las recomendaciones formuladas, en el cual deberá incluirse la siguiente información: a.) b.) c.) Medidas que se adoptarán para hacer efectiva las recomendaciones. Plazo en el que se ejecutarán dichas medidas. Funcionario encargado de su ejecución. En relación con la presente resolución cabe interponer recurso de reconsideración dentro de los ocho días siguientes a su notificación. En caso de no acoger estas recomendaciones, la Defensoría, además, estará valorando el acompañamiento de las personas afectadas en la vía Contenciosa Administrativa. Este informe fue preparado por el licenciado Alexander Chacón Valverde, bajo la supervisión y aportes de la Licda. Hazel Díaz Meléndez, en calidad de Directora del Área de Control de Gestión Administrativa. Bo. México, Calle 22 Avenidas 7 y 11 - Teléfono: 2258-8585 - Facsímil: 2248-2371 Apdo. Postal: 686-1005 San José - Correo electrónico: defensoria@dhr.go.cr San José, Costa Rica 30