Como ya analizamos en distintos artículos (Responsabilidad de Buscadores de Internet 1, Responsabilidad de Buscadores de Internet 2 y Ley de Defensa al Consumidor a los intermediarios del comercio electrónico) la conectividad y las nuevas plataformas traen situaciones completamente novedosas y atípicas que los jueces deben resolver, aplicando leyes que se actualizan a un ritmo muchísimo más lento que la evolución vertiginosa de las funcionalidades e innovación del sector privado. En esta oportunidad, nos proponemos analizar la responsabilidad que le cabe a una billetera virtual ante el robo de un dispositivo que tenía acceso a la misma. El 3 de febrero de 2022 el Tribunal Municipal de Faltas II de San Martín tomó una decisión difícil en una causa sin precedentes.
En “L. F. M. c/ Mercado Libre S.R.L.” se analiza la responsabilidad objetiva de la empresa y su plataforma Mercado Pago, relacionada a las medidas de seguridad que debería aplicar para que nadie que no sea el titular de la billetera pueda acceder a la misma ni sustraer los montos allí depositados. Adelantamos el final, la empresa fue condenada por el 200% de los daños.
En el caso bajo análisis, el denunciante sufre un asalto en donde le robaron el teléfono celular, entre otras pertenencias. Los delincuentes exigen desbloquear el celular y la cuenta de mercado pago. Antes de poder bloquear la cuenta, se habían extraído $105.000 a una cuenta bancaria debidamente identificada. Mercado Pago no se hace responsable por las sumas sustraídas y el denunciante se queja de la facilidad para el desbloqueo de las cuentas contra las dificultades para solicitar el bloqueo.
Si bien la demandada se presenta en autos como una empresa de simple intermediación, el juez evalúa que “no solo se limita a brindar un soporte de pago virtual sino que además permite transferir fondos, pagar servicios, percibir dinero, operar con una tarjeta de crédito personal, constituir plazos fijos, poseer un CVU para operar y hasta gestionar préstamos personales o una línea de crédito, al igual que cualquier Entidad Bancaria”.
En tal sentido, el juez interpreta que “bajo el principio de la realidad queda demostrado, a todas luces, la actividad financiera desplegada por la empresa sumariada, debiendo esta cumplir con toda la normativa respecto a la protección de los intereses económicos de los usuarios financieros, como así también extremar todas las medidas necesarias a los fines de proteger y asegurar la intangibilidad de los activos que son depositados por los usuarios del sistema.” En resumidas cuentas, le aplica el régimen bancario a una empresa que no requiere dicha habilitación ni ofrece estos servicios específicamente.
Este punto es por demás importante para toda la industria FinTech, ya que en su gran mayoría no está alcanzada por regulaciones estrictas como las del Banco Central (BCRA) para bancos o la Comisión de Valores (CNV) para agentes de bolsa. En tal sentido, las empresas de este sector deberían poder defenderse diciendo que cumplen con la totalidad de medidas de seguridad que le exigen las regulaciones existentes y sería cierto.
Sin perjuicio de ello, el juez considera que la regulación existente es insuficiente y que las empresas que tienen operaciones y servicios tan diversos tienen la obligación de aplicar mayores controles y medidas de seguridad que resguarden a sus usuarios. Esta interpretación también tiene que ver con que el presente caso se evalúa en el contexto de una relación de consumo, en donde por Ley de Defensa al Consumidor, éstos deben ser protegidos por quienes dirimen los casos al ser la parte más débil en la relación jurídica.
Es por este tipo de interpretaciones, además de la convicción propia que algunas compañías pueden tener, que todas las empresas del sector ultiman sus esfuerzos en materia de seguimiento y cumplimiento. La mayoría tienen mecanismos de seguridad y cumplimiento de leyes muy por encima de lo que les es exigible, entre otras, porque saben que es posible que ante un reclamo terminen condenados si hacen solo lo mínimo que les es exigible.
Uno de los principales argumentos de la condena es considera insuficientes los mecanismos de seguridad aplicados, instando a la sumariada a aplicar inteligencia artificial para mapear el comportamiento de sus usuarios y detectar actividades sospechosas (aunque ello podría considerarse un avance sobre la privacidad de sus usuarios que no se encuentra totalmente justificado). Para el juez una solución sería aplicar “sistemas de alertas temprana en donde ante cada operación el usuario reciba una confirmación en sus dispositivos móviles, ya sea por mail, msj de texto, llamado telefónico, o mismo efectuar una verificación fehaciente respecto a la identidad del usuario registrado, reteniendo transferencias por plazos de tiempos cortos a los fines de prevenir fraudes y futuros daños, entre otras acciones de prevención”. Desde nuestro lugar parece realmente imposible de aplicar, menos en una empresa del tamaño de Mercado Libre. Lamentablemente, a veces los fallos carecen de aplicación práctica y / o sentido de la realidad.
Sin perjuicio de ello, sí concuerdo con el siguiente extracto “El avance de las tecnologías aplicada a las cuestiones financieras ha generado una hipervulnerabilidad tecnológica en los usuarios y consumidores”, pero el peso de esta transformación a la que nos obliga la realidad actual no puede ser soportado exclusivamente por las empresas tecnológicas. El juez sostiene que “la conducta de estas empresas intermediarias, que brindan sus servicios a través de distintos los entornos digitales, ‘debe ajustarse a un standard de responsabilidad agravada, distinta de la que le cabría a una simple persona’”. Esto implica desconocer completamente que cualquier usuario de programa o plataforma alguna debería capacitarse e interiorizarse respecto a su uso y riesgos; especialmente si le va a transferir sumas de dinero. Para el juez, esta “vulnerabilidad” justifica la “ausencia de conocimientos por parte del usuario del servicio de Mercado PAGO”, invirtiendo el principio general de que “nadie puede alegar su propia torpeza”.
Tampoco es cierto que las plataformas “no son de fácil control para el hombre”, dado lo intuitivo de las plataformas. Más allá de mi opinión al respecto, si se considerase que realmente son de difícil control para los usuarios, más abona la teoría que el usuario conocía los riesgos y dificultades de operar mediante estas plataformas, por lo que no puede desentenderse del riesgo que implican.
Llama la atención que el fallo considera al Home Banking y Billetera Virtual como “una cosa y una actividad riesgosa”. Siendo así, y un hecho notorio que el usuario conoce (o debería conocer), es irrazonable únicamente atribuir la responsabilidad objetiva a la empresa que brinda el servicio y no, al menos, considerar la culpa concurrente de quien solicitó un servicio riesgoso y terminó sufriendo daños.
Un argumento que comparto con el juez es la obligación primordial e indelegable de informar preventivamente a sus usuarios en materia de ciberseguridad pero para el presente fallo “el deber de seguridad es independiente a que esta haya o no advertido e informado a los usuarios sobre estas modalidades delictivas” considera que “[…] el deber de seguridad […] recayendo sobre los proveedores de bienes y servicios un deber de resultado”. Ello equivale a decir que, independientemente de cualquier medida de seguridad que el proveedor aplique, es responsable de cualquier sustracción que sufra el usuario por ser los proveedores “guardianes y custodios” de los valores. Considera como “razonable” la expectativa del usuario de ser imposible que su billetera virtual sea vulnerada.
Tampoco resulta justificable considerar que “[…] el servicio que provee a través del uso de las nuevas tecnologías y a través de Internet […] es objetiva y absoluta, ya que sin la intervención de estos elementos el daño en los intereses económicos del actor no se habría producido”. La sustracción de los bienes del actor, podría haberse dado de igual forma si hubiese tenido el dinero en efectivo en una billetera física.
Otro punto sumamente relevante del fallo es la apreciación de las obligaciones de los proveedores para evitar daños a sus usuarios: “[…] el deber de seguridad […] conlleva la obligación del proveedor de adoptar todas aquellas medidas que sean razonables y necesarias de prevención a los fines de evitar el daño del consumidor […]”. Será fundamental la interpretación respecto a lo que son “medidas razonables” en este sentido para determinar la responsabilidad de las empresas y no establecer conceptos irrestrictos de responsabilidad. También establece el fallo que el proveedor “debe adoptar todos los recaudos y medidas necesarias para que cada producto que comercializa o el servicio que presta sea conforme a lo exigido por las leyes y decretos que tutelan la lealtad comercial y la defensa de los usuarios y consumidores”. Pese a que en el fallo no se identifican incumplimientos en este sentido, de todas formas, se condena por un todo a la demandada.
De la lectura del fallo, resulta, a mi criterio, parcial la visión del juez sobre la relación de consumo de un servicio que de por sí es riesgoso (y que el juez mismo reconoce). Aplicar un criterio más severo a empresas que generan un gran valor a la sociedad (por las posibilidades que brindan y la agilidad que traen a las operaciones) que a las tradicionales, resulta arbitrario e injustificado.
Es perfectamente razonable la exigencia a las empresas de tecnología a dar información fidedigna y en lenguaje comprensible sobre la totalidad de los riesgos que implica el uso de sus plataformas y servicios, así como educación financiera y capacitaciones sobre mejores prácticas de seguridad informática. Si se identifica la actividad como riesgosa por distintos motivos, y esta información no solo se encuentra disponible, sino que constantemente se envía en forma proactiva a los usuarios, no es razonable condenar en forma “absoluta” a la empresa proveedora como si no hiciera ninguna acción para prevenir estos daños.
Considerando lo anterior y que siempre se requiere de alguna acción u omisión del usuario para poder acceder a una billetera virtual (contraseña insegura, pérdida de control sobre algún dispositivo, poner la misma contraseña en varios servicios, ingresar los datos en links inseguros, entregar la contraseña a terceros, etc.), debe analizarse en cada caso en profundidad y determinar si no existe culpa concurrente de la víctima. Caso contrario, se estaría incentivando el manejo irresponsable de la seguridad informática, ya que actuando con o sin pericia, “la empresa siempre paga”. También se podrían estar incentivando fraudes que causan pérdidas millonarias a la industria financiera y de seguros todos los años.
Es importante destacar que la condena, que es independiente del dolo o culpa en la comisión de la falta, se considera “ejemplificadora e intimidatoria (conforme criterio de la Corte Suprema en fallos 171:366) y no meramente retributiva”. En tal sentido, MercadoLibre no solo fue condenado a pagar los $105.700 que fueron transferidos desde la cuenta de MercadoPago del denunciante más intereses, sino que agrega una multa de $100.000 más costas.
Por último, respecto a este caso, nótese que probablemente con un bloqueo de pantalla de pocos segundos y / o un sistema de validación de transferencias con huella digital para las operaciones activado en el celular, las operaciones no podrían haber sucedido. Estas omisiones en la seguridad del dispositivo, son plenamente imputables al denunciante; sin embargo, no hay valoración sobre las mismas y únicamente se responsabiliza a la empresa por “no tener seguridad suficiente” en forma “absoluta”.
