Seguridad de sistemas, ¿quién responde?

Renato Jijena

Impacta una noticia consignando que el 80% de los chilenos teme que las transacciones financieras en línea, sin presencia de plásticos, sean vulnerables. Delitos informáticos masificados como el engaño, “espejeando” y simulando la conexión a un sitio web bancario, lo explican; sentencias de no buen fundamento y en base a entelequias jurídicas de la Corte Suprema, atribuyendo la responsabilidad a los bancos, lo abonan; y el hecho real de la vulnerabilidad inherente a todo sistema, red o plataforma electrónica, configura un escenario válido.

Se olvida que siempre hay dos víctimas afectadas, la inmediata o directa que es el titular de la tarjeta o de la cuenta corriente en su patrimonio, y la mediata o indirecta que es el administrador del sistema cuyo patrimonio y confidencialidad tecnológica se vulnera.

La protección de cuentacorrentistas y tarjetahabientes no se logra, a pesar de la promoción en contrario, satanizando a los emisores de tarjetas y prestadores de servicios comerciales y financieros, ni tampoco invirtiendo cifras millonarias en sistemas, auditorías, certificaciones y capacitaciones en seguridad física y lógica, o como de está de moda, en ciberseguridad.

Cuando un prestador de servicios ofrece usar Internet para transacciones o pagos electrónicos, y su cliente acepta la oferta de la mano de un contrato de adhesión para el uso de canales digitales, debe hacerlo bajo el paraguas del artículo 23 de la ley del consumidor, es decir, garantizando –a priori- que no actuará con negligencia o causando menoscabo por fallas y deficiencias de seguridad. En la otra orilla del contrato, el cliente y consumidor también debe asumir una carga de diligencia o cuidado, bastante menor, más pasiva, de menor costo, pero necesaria y exigible por seguridad, fiabilidad del sistema y equidad.

El equilibrio necesario, en primer lugar, debe ser normativo, de la mano de herramientas como la ley 20.009, que desde 2005 vino a limitar la responsabilidad de los usuarios de tarjetas articulando un sistema obligatorio -para bancos y casas comerciales- de avisos y bloqueos en casos de hurtos, robos y extravíos, estableciendo de cargo del proveedor demostrar que el propio tarjetahabiente no realizó la transacción.

Doce años después las malas prácticas de exigir contratar un seguro complementario, demorar los plazos de reembolsos, estipular contractualmente que la responsabilidad será del titular de la clave de acceso o password, mantener sistemas de bandas magnéticas y no reemplazarlas por chips, no instalar biometría en los cajeros, no validar previamente las transferencias con doble clave + mensaje SMS, entre otras, hacían necesario optimizar el sistema normativo.

Un Boletín 11.078, trabajado en la Comisión de Economía del Senado, propuso subsumir todo tipo de “transacciones electrónicas”, aumentar las exigencias a los proveedores y los resguardos a los consumidores y obligar a tener por no escritas y prohibir prácticas abusivas. Al aprobarse, debiera mejorar el equilibrio de las responsabilidades concurrentes.