Avisar de contenido inadecuado

HURTO POR MEDIOS ELECTRÓNICOS *POR KMP

{
}

HURTO POR MEDIOS ELECTRÓNICOS 
*POR KMP

 

CONCEPTO

SOLICITANTE: xxxxxxxx
OBJETO: RESPONSABILIDAD PENAL Y CIVIL POR HURTO POR MEDIOS ELECTRONICOS

CUESTIÓN PRELIMINAR


La solicitante pide que se analice la responsabilidad penal y civil por el hurto por medios informáticos del que fue víctima.

SOBRE LOS HECHOS


El señor XXXXXXXX el día sábado XX de noviembre de 2018 alrededor de las XXXX hrs perdió completamente la comunicación celular, quedo sin voz ni datos, en ese momento se encontraba trabajando xxxxxxxxxxxxxxxxxxxxx, al percatarse que quedo completamente sin servicio decidió llamar a *611 servicio al cliente para averiguar qué había sucedido, le informaron que su SIM CARD había sido cambiada por error por un funcionario de un concesionario en xxxxx; requiriéndolo para que se acercara personalmente a un centro de atención de xxxxxxxx para resolver la situación, lo cual se le imposibilitaba por encontrarse trabajando por lo que pidió al asesor claro que me reactivara el servicio, pero no accedió.

Para superar los problemas de conectividad del internet le presto a un compañero un  un módem de internet, y en ese momento se percató que le habían hackeado la cuenta bancaria porque le llegaron los mensajes a su celular de transacciones de su cuenta bancaria, y un mensaje de correo electrónico que le llego del banco informándole que habían sacado todo de su cuenta.

 

CONCEPTO

Es necesario que se aborde la temática de la regulación penal en cuanto al hurto por medios informáticos, la responsabilidad de los bancos por las irregularidades en el manejo de los dineros dejados a su cuidado, y de los operadores móviles por el manejo de los datos personales.

• RESPONSABILIDAD PENAL


El tema de HURTO POR MEDIOS INFORMATICOS está regulado por el Código Penal Colombiano en el TÍTULO VII BIS- DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS, CAPITULO II DE LOS ATENTADOS INFORMÁTICOS Y OTRAS INFRACCIONES, de la siguiente manera:


“ARTÍCULO 269I. HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. <Artículo adicionado por el artículo 1 de la Ley 1273 de 2009. El nuevo texto es el siguiente:> El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.


ARTÍCULO 269J. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. <Artículo adicionado por el artículo 1de la Ley 1273 de 2009. El nuevo texto es el siguiente:> El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.
Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.”

De acuerdo a la lectura de los artículos transcritos, quien se apodere de una cosa mueble ajena, con el propósito de obtener provecho para sí o para otro, utilizando medios informáticos incurriría en los delitos de hurto calificado y/o transferencia no consentida de activos.

• RESPONSABILIDAD CIVIL Y CONTRACTUAL EN EL CASO DE HURTO A TRAVES DE MEDIOS INFORMATICOS 


Es importante señalar que las normas que regulan el tema de seguridad de la información y su adecuada gestión por las organizaciones privadas de los datos personales, son las siguientes: en forma general la ley 1581 de 2012 y la ley 1266 de 2008, y específicamente la Circular 052 de 2007 dictada por la Superintendencia Financiera. Estas normas nos permiten dilucidar los deberes que tienen las entidades privadas encargadas del manejo de datos personales en desarrollo de su objeto social, sean estas entidades financieras u operadores móviles, para establecer la responsabilidad civil y contractual por las irregularidades en el manejo de los datos personales que permitieron el desvío de los dineros dejados al cuidado del banco.

Por ello se pasa a enunciar los aspectos relevantes de las normas señaladas:
• La ley 1581 de 2012 desarrolla “el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales”, siendo aplicable “a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada”. Además, establece los deberes de los responsables del tratamiento y encargados del tratamiento y los deberes de los encargados del tratamiento de la información .

• La LEY ESTATUTARIA 1266 DE 2008 establece las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y dictan otras disposiciones; además de señalar los deberes de los operadores de los bancos de datos (ART.7 ).

• La Resolución 5111 de 2017 de la Comisión de Regulación de Comunicaciones por la cual se establece el régimen de protección de los derechos de los usuarios de servicios de comunicaciones, establece (articulo2.1.5.1. ) las condiciones para el uso y circulación de datos personales se deben ceñir a las normas vigentes de protección de datos personal.

• La circular 052 de 2007 sobre “Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios” establece en el art. 3 que en desarrollo de los criterios de seguridad y calidad, y considerando los canales de distribución utilizados, las entidades deberán cumplir, como mínimo, con los siguientes requerimientos: “(I) Disponer de hardware, software y equipos de telecomunicaciones, así como de los procedimientos y controles necesarios, que permitan prestar los servicios y manejar la información en condiciones de seguridad y calidad. (II) Gestionar la seguridad de la información, para lo cual podrán tener como referencia los estándares ISO 17799 y 27001, o el último estándar disponible. (III) Disponer que el envío de información a sus clientes, tales como certificaciones, extractos, notificaciones, sobreflex, entre otros, así como los medios (tarjetas débito y crédito, chequeras, etc.) se haga en condiciones de seguridad. Cuando la información que la entidad remite a sus clientes sea de carácter confidencial y se envíe como parte de, o adjunta a un correo electrónico, ésta deberá estar cifrada. (IV)Dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad. (V) Velar por que la información enviada a los clientes esté libre de software malicioso.(VI) Proteger las claves de acceso a los sistemas de información. En desarrollo de esta obligación, las entidades deberán evitar el uso de claves compartidas, genéricas o para grupos. La identificación y autenticación en los dispositivos y sistemas de cómputo de las entidades deberá ser única y personalizada.(VII) Dotar a sus terminales o equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones. (VII) Velar porque los niveles de seguridad de los elementos usados en los canales no se vean disminuidos durante toda su vida útil. (IX) Disponer de los mecanismos necesarios para que los clientes tengan la posibilidad de personalizar las condiciones bajo las cuales se les prestará servicios por los diferentes canales, dejando constancia de ello. En desarrollo de lo anterior, la entidad deberá permitir que el cliente, por lo menos, inscriba las cuentas a las cuales realizará transferencias o pagos, defina montos, número de operaciones y canales. En cualquier caso, los montos máximos deberán ser definidos por la entidad. Así mismo, deberá permitir que el cliente registre las direcciones IP, los números de los teléfonos fijos y móviles desde los cuales operará. La entidad podrá determinar los procedimientos que permitan identificar y, de ser necesario, bloquear las transacciones provenientes de direcciones IP o números fijos o móviles considerados como inseguros. (X) Ofrecer, cuando el cliente así lo exija, la posibilidad de manejar una contraseña diferente para cada uno de los canales.(XI) Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo solo lo pueda realizar personal debidamente autorizado. (XII) Establecer procedimientos para el bloqueo de canales o de medios, cuando existan situaciones o hechos que lo ameriten o después de un número de intentos de accesos fallidos por parte de un cliente, así como las medidas operativas y de seguridad para la reactivación de los mismos. (XIII) Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la confirmación de las operaciones que no correspondan a sus hábitos. (XIV) Realizar una adecuada segregación de funciones del personal que administre, opere, mantenga y, en general, tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales y medios de servicio al cliente y al usuario. En desarrollo de lo anterior, las entidades deberán establecer los procedimientos y controles para el alistamiento, transporte, instalación y mantenimiento de los dispositivos usados en los canales de distribución de servicios. (XV)Definir los procedimientos y medidas que se deberán ejecutar cuando se encuentre evidencia de la alteración de los dispositivos usados en los canales de distribución de servicios financieros. (XVI)Sincronizar todos los relojes de los sistemas de información de la entidad involucrados en los canales de distribución. Se deberá tener como referencia la hora oficial suministrada por la Superintendencia de Industria y Comercio. (XVII) Tener en operación solo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad. (XVIII) Contar con controles y alarmas que informen sobre el estado de los canales, y además permitan identificar y corregir las fallas oportunamente. (IXX) Incluir en el informe de gestión a que se refiere el articulo 47 de la ley 222 de 1995 y sus modificaciones, un análisis sobre el cumplimiento de las obligaciones enumeradas en la presente Circular. (XX) Considerar en sus políticas y procedimiento relativos a los canales y medios de distribución de productos y servicios, la atención a personas con discapacidades físicas, con el fin de que no se vea menoscabada la seguridad de su información”.

De igual forma la circular (Art. 7) dispone que las entidades deberán implementar un sistema de análisis de vulnerabilidades informáticas que cumpla al menos con los siguientes requisitos:(1)Estar basado en un hardware de propósito específico (appliance) totalmente separado e independiente de cualquier dispositivo de procesamiento de información, de comunicaciones y/o de seguridad informática. (2)Generar de manera automática por lo menos dos (2) veces al año un informe consolidado de las vulnerabilidades encontradas. Los informes de los últimos dos años deberán estar a disposición de la SFC. (3) Las entidades deberán tomar las medidas necesarias para remediar las vulnerabilidades detectadas en sus análisis. (4) Realizar un análisis diferencial de vulnerabilidades, comparando el informe actual con respecto al inmediatamente anterior. (5) Las herramientas usadas en el análisis de vulnerabilidades deberán estar homologadas por el CVE (Common Vulnerabilitis and Exposures) y actualizadas a la fecha de su utilización. (6) Para la generación de los informes solicitados se deberá tomar como referencia la lista de nombres de vulnerabilidades CVE publicada por la corporación Mitre (www.mitre.org).

Por lo anterior, es dable concluir que las entidades bancarias y operadores móviles, para lo que respecta al caso, tienen el deber de conservar la información obtenida en desarrollo de su objeto social, bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento que deriven en la comisión del hurto mediante medios informáticos.

Es importante señalar que la H. Corte Suprema de Justicia Colombiana solo se ha pronunciado sobre la responsabilidad del banco ante la comisión de un hurto por medios informáticos, indicando lo siguiente:
“(…)el ordenamiento positivo reconoce que las instituciones bancarias ejercen una actividad que es profesional, habitual y de la que deriva un provecho económico, a la que le es inherente una multiplicidad de peligros, y entre ellos se encuentran los derivados de las operaciones que realizan (riesgos operacionales), que pueden afectar los intereses de los cuentahabientes por la mala disposición de sus depósitos.
Siendo la bancaria y la de intermediación financiera, actividades en las que -como atrás se dijo- existe un interés público y son realizadas por expertos que asumen un deber de custodia de dineros ajenos, siéndole exigibles, según lo previsto por el Estatuto Orgánico del Sistema Financiero (Decreto 663 de 1993) y las Circulares Básica Contable y Financiera (100 de 1995) y Básica Jurídica (007 de 1996) unos altos y especiales cargas o cumplimiento de estándares de seguridad1, diligencia, implementación de mecanismos de control y verificación de las transacciones e incluso de seguridad de la confiabilidad de la información y preservación de la confiabilidad, es natural que la asunción de tales riesgos no les corresponda a los clientes que han encomendado el cuidado de parte de su patrimonio a tales profesionales, de ahí que sea ellos quienes deban asumir las consecuencias derivadas de la materialización de esos riesgos.
En ese orden de ideas, «a la hora de apreciar la conducta de uno de tales establecimientos -ha dicho la Corte- es necesario tener presente que se trata de un comerciante experto en la intermediación financiera, como que es su oficio, que maneja recursos ajenos con fines lucrativos y en el que se encuentra depositada la confianza colectiva» (CSJ SC-076, 3 Ago. 2004, Rad. 7447) y por tales razones se le exige «obrar de manera cuidadosa, diligente y oportuna en ejercicio de sus conocimientos profesionales y especializados en materia bancaria» para impedir que sean quebrantados los derechos patrimoniales de titulares de las cuentas de ahorro y corrientes de cuya apertura y manejo se encarga (CSJ SC, 3 Feb. 2009, Rad. 2003-00282-01).
De todo lo anterior deriva, necesariamente que en la materia impera un «modelo particular de responsabilidad profesional del banco» (CSJ SC-201, 15 Dic. 2006, Rad. 2002-00025-01).
Por eso, si «entre las obligaciones que al banco impone el artículo 1382 del Código de Comercio, derivadas del contrato de cuenta corriente, “está la de mantener los dineros depositados regularmente para entregarlos en la medida que el cuentacorrentista haga disposición de ellos de acuerdo con las distintas modalidades reconocidas por la ley, por el contrato o por las prácticas bancarias. (...) Ante esos compromisos, el banco debe mantener las precauciones, diligencias y cuidados indispensables para que los actos de movimiento de la cuenta del usuario se alcance con plena normalidad; por eso, cualquier desviación constituye un factor de desatención del contrato, dado su particular designio”; de modo que “si llega a producirse una operación de transferencia de fondos que incida en el saldo, cualquier reclamo o inconformidad que muestre el cuentacorrentista puede comprometer la responsabilidad de la entidad bancaria que para exonerarse debe acreditar, por cualquier medio idóneo, que contó con la autorización de aquel” (sent. del 23 de agosto de 1988, resaltado fuera del texto)» (ibídem)» (ibídem).


Y lo mismo ocurre tratándose de cuentas de ahorro, porque en ellas el Banco «es responsable por el reembolso de sumas depositadas que haga a persona distinta del titular de la cuenta o de su mandatario» (art. 1398 C. Co.). Claro está, sin desconocer, en ninguno de los dos casos, que la responsabilidad de dicha institución financiera, puede atenuarse, moderarse e incluso excluirse en virtud de culpa atribuible al titular de la cuenta.”

Así pues, es dable decir que ante la comisión de un hurto por medios informáticos la responsabilidad estaría en cabeza del banco por cuenta del riesgo que ha creado y del cual se beneficia, al poner en el mercado unos medios transaccionales, en desarrollo de su objeto social, que constituyen una actividad riesgosa que requiere para su realización de altos estándares de diligencia, seguridad, control, confiabilidad, profesionalismo, y de seguridad de la información que sea transmitida por esa vías sin importar si el dinero manejado pertenece a cuentas de ahorro o cuentas corrientes; no obstante puede eximirse de responsabilidad al probar la culpa del usuario, de tal manera el usuario tendría que cargar con el perjuicio generado.

Ahora lo anterior es aplicable para el caso de los operadores móviles cuando no hubiesen asegurado las condiciones de seguridad de los datos personales, y esto hubiese permitido la concreción del hurto mediante medios informáticos

 NORMAS PROCESALES


Ahora en el caso en que se haya configurado la responsabilidad de las entidades bancarias y operadores móviles, para acudir a los estrados judiciales para que se declare que la entidad bancaria y el operador móvil son responsables contractualmente por la sustracción de una suma de una cuenta de ahorros bajo la modalidad de fraude electrónico se debe tener en cuenta que no encuadra dentro de las funciones jurisdiccionales establecidas en el artículo 24 del Código General del Proceso para la Superintendencia de Industria y Comercio y la Superintendencia Financiera, siendo así, corresponde a la jurisdicción civil.

La competencia está radicada en los Jueces Civiles del Circuito de acuerdo a lo establecido en el numeral noveno del artículo 20 del C.G.P y se tramitarán por el proceso verbal o por el verbal sumario, según la cuantía teniendo en cuenta los artículos 25 y 26 del C.G.P., de conformidad con el parágrafo 3 del artículo 390 del mismo código .

                                                    CONCLUSIONES


Al tenor de las normas y fundamentos de derecho anteriormente señalados:
• Quien se apodere de una cosa mueble ajena, con el propósito de obtener provecho para sí o para otro, utilizando medios informáticos incurriría en los delitos de hurto calificado y/o transferencia no consentida de activos.

• Los operadores de servicios móviles y las entidades bancarias tienen el deber de conservar la información obtenida en desarrollo de su objeto social, bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento que deriven en la comisión del hurto mediante medios informáticos; y por ello, los riesgos de pérdida por transacciones electrónicas corren por su cuenta, debiendo reparar los perjuicios causados, no obstante podrán exonerarse de responsabilidad, probando la culpa del cuentahabiente o de sus dependientes, que con su actuar dieron lugar al retiro de dinero de la cuenta, transferencias u otras operaciones que comprometieron sus recursos.

• Para obtener la reparación del daño ocasionado se debe acudir a la jurisdicción civil, siendo competencia de los Jueces Civiles del Circuito a través del trámite del proceso verbal o del verbal sumario, dependiendo de la cuantía.
NOTA: El presente concepto no es obligatorio jurídicamente, se trata de una opinión, apreciación o juicio, que por lo mismo se expresa en términos de conclusiones, elementos de información o criterios de orientación para los consultantes

{
}
{
}

Deja tu comentario HURTO POR MEDIOS ELECTRÓNICOS *POR KMP

Identifícate en OboLog, o crea tu blog gratis si aún no estás registrado.

Avatar Tu nombre